[ назад ] [ Содержание ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ вперед ]

Securing Debian HOWTO
Глава 5 - Before the compromise


5.1 Follow Debian security updates

As soon as new security bugs are revealed in packages, debian maintainers and upstream authors generally patch them within days or even hours. After the bug is fixed, a new package is provided on http://security.debian.org. Put the following line in your sources.list and you will get security updates automatically, whenever you update your syste m.

deb http://security.debian.org/debian-security potato/updates main contrib non-free Most people, who don't live in a country which prohibits importing or using strong cryptography, should add this line as well: deb http://security.debian.org/debian-non-US stable/non-US main contrib non -free If you want, you can add the deb-src lines to apt as well. See the apt manpage for further details.


5.2 Exchange software

Вы должны попытаться избавиться от сетевых сервисов, которые отправляют и принимают пароли по сети открытым текстом, таких как FTP/Telnet/NIS/RPC. Автор всем советует использовать ssh вместо telnet и ftp. Также, по возможности не используйте NIS, Network Information Service, поскольку он разрешает совместное использование паролей. При неаккуратной настройке это очень небезопасно. Last, but not least, disable RPC wherever possible. Many security holes for this service are known and can be easily exploited. On the other hand NFS services are quite important in some networks, so find a balance of security and usability in a network. Most of the DDoS (distributed denial of service) attacks use rpc exploits to get into the system and act as a so called agent/handler. Запретить portmap проще простого. Есть два способа. Простейший способ для системы Debian состоит в том, чтобы дать команду update-rc.d portmap remove. This in fact removes every symlink relating to portmap in /etc/rc${runlevel}.d/ (you could do this manually yourself) . You could as well chmod 644 /etc/init.d/portmap, but that gives an error message when booting. You can also strip off the "start-stop-daemon" part in the /etc/init.d/portmap shell script. Имейте в виду, что переход с telnet на ssh с использованием других протоколов, передающих незакрытый текст, в ЛЮБОМ случае не увеличит вашу защиту! Лучше было бы удалить ftp, telnet, pop, imap, http и установить вместо них соответствующие им сервисы, поддерживающие шифрование. Вы должны подумать над переходом на SSL-версии этих сервисов: ftp-ssl, telnet-ssl, pop-ssl, https ... Большинство из вышеприведенных советов применимы к каждой системе Unix.


5.3 Полезные заплаты для ядра

Для ядра существуют заплатки, значительно повышающие защиту системы. Вот некоторые из них:


5.4 Genius/Paranoia Ideas, what you could do

This is probably the most unstable and funny section, since I hope that some of the "duh. that sounds crazy"-ideas might be realized. Following here you will find some - well, it depends on the point of view whether you say they are genius, paranoid, crazy or secure - ideas to increase your security rapidly but you will not come unscathed out of it.


[ назад ] [ Содержание ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ вперед ]

Securing Debian HOWTO

v1.1 27 april 2002Thu, 7 Dec 2000 19:10:13 +0100
Alexander Reelsen ar@rhwd.net
Перевод: Ильгиз Кальметьев, ilgiz@mail.rb.ru