Пару вопросов по безопасности.

1.Как узнать что в системе происходит что то не то

За всем следить.

2.Могут ли проникать вирусы через yum install ? к примеру установил munin а там вирус ?

Легко, если указывать непойми чьи репозитарии. Если указывать репозитарии дистрибутива, то, в общем-то, тоже могут, но у вменяемых дистрибутивов просто так первый встречный ничего не подсунет. Хотя и у вменяемых нельзя на 100% исключать появление крысы. Однако, достаточно быстро возникнет шум и слышно будет во всей сети (Интернет, в смысле).

выполнять команду sudo введя пароль от рута

Как раз не рута, а того пользователя, от которого sudo запускается. Если этому пользователю разрешено.

там будет только один сайт

Если там будет популярная CMS, следить за обновлениями.

На счет репозиториев, вот оно что, а я думал, все легально, чисто, и безопасно. А не тут то было :) а что нужно знать перед установкой репозиториев тогда ? лазить по нету и смотреть кто производитель и т д ?

А как можно за всем следить, я вот тоже об этом думал, столько всего. как это уместить все в одно место и что бы понятно было что происходит, как говорится взять контроль в свои руки, что бы было место куда можно было зайти и посмотреть все что делалось в системе, какие нарушение и так далее ? (т.е любые попытки там проникновение и других методов можно было отследить)

На счет цмс можно сказать что она самописная и очень простая, ну конечно гарантии 100% нет, но все же думаю если что то или кто то будет пытатся то у него будет больше шансов через систему, чем через цмс.

На счет репозиториев, вот оно что, а я думал, все легально, чисто, и безопасно.

В основном оно так. Но все мы люди, всякое бывает. Мантейнер может обидеться на белый свет. Либо разработчик ПО, а мантейнер может не заметить/не проверить/и т.п. Утерю ключей/паролей тоже исключать нельзя. Опять же, проверить весь, к примеру, KDE мантейнеру, поддерживающему его в дистрибутиве, не реально, а тот же KDE разрабатывается, тоже, большой группой. KDE на сервере, разумеется, не нужен, но и тот же apache пишут люди, а кто-то кладёт в репозитарий.

А как можно за всем следить, я вот тоже об этом думал, столько всего.
как это уместить все в одно место и что бы понятно было что происходит

Это так быстро не расскажешь. Вариантов много. Я бы сказал, что лучше запустить веб-сервер в виртуалке, а следить из хост-системы. Но и это может быть спорно в некоторых случаях. Можно контрольные суммы установленных файлов проверять, логи писать не локально, а на другой хост...

Эм, понимаю на счет что не расскажеш. Нужно думаю поискать какие то наработанные варианты, думаю хоть кто то выкладывал свой план по работе за слежкой логов и системой.. ну пусть там не мего супер план, но хотя бы для начала, основное, самое важное, за ним и следить.. да а так если прикинуть действительно вариантов куча.. я вот пятый день только в никсе, и понимаю что это действительно свобода :) Но эта свобода и навешивает на тебя не мало ответственности.. ибо за всем нужно следить и самому все настраивать

но хотя бы для начала, основное, самое важное, за ним и следить...

Ну вот начни с контрольных сумм и с логов на другой хост (syslog может логи как локально писать, так и на другой хост слать; в качестве syslog-сервера посмотри syslog-ng, хотя, для одного хоста, это не так важно, какой syslog). Если физический сервер твой, можешь начать с OpenVZ, веб-сервера в VPS, слива логов из VPS на хост и ежедневной сверки контрольных сумм. Вот этой штукой, к примеру (про исключения не забывай - /tmp и /var/log проверять смысла ноль :-) ): http://o-security.sourceforge.net/
Ну а дальше - читай, что пишут, информации много.

А что на счет noexec кажется не помню вообщем на счет перемонитование директорий таких как /tmp /var/tmp ? я помню натыкался на статью там где настоятельно их рекомендовали перемониторвать.. и сделать что бы на них не могли выполняться скрипты, вообщем как то так - это обьязательно ? (Ибо там писали что в ту дерикторию, вдруг что, будут записывать злые дяди всякие нехорошие файлы)

Спасибо почитаю !

вообщем как то так - это обьязательно ?

Надо смотреть по твоим приложениям. Если им не надо исполнение чего-то, что находится в /tmp и /var/tmp, то это не повредит.

перемонитование директорий

Только это касается не директорий, а разделов, которые монтируются в соответствующие точки монтирования (впрочем точка монтирования и есть каталог), То есть, /tmp и /var/tmp должны быть отдельными ФС для использования noexec. Для /tmp вполне пойдёт tmpfs, а вот /var/tmp, по стандарту, должна сохранять содержимое при перезагрузке. Хотя, и на удаление данных там никто обижаться не должен тоже. В общем, смотри по ситуации. Опять же, я не знаю, кому на веб-сервере может понадобиться /var/tmp, так что, можно и симлинком на /tmp сделать, с вероятностью 99%.

Ну как я понял в темп грузятся временные файлы, типа картинок, да на сайте есть картинки, но в темпах они не хранятся же вечно только во время загрузки.И потом после проверки либо удаляются либо грузятся в папку.А так вроде ничего больше. Ну да там как раз за это и писали за tmpfs не сильно вникал но суть понял. Просто пытаюсь что нужно защищать на базовом этапе хотя бы.

Едва ли не самый важный аспект общей безопасности - бекапы (на внешний хост). Потом логи - тоже на внешний хост.

Т.е логи записывать сразу на внешний ?

лучше копии посылать - время от времени сверять локальные с отосланными - тоже инфа на выявление. Кракеры заметают следы(часто просто удаляют логи, реже правят). При сравнение сразу будет ясно что что-то не так и можно копать что случилось)

Можно поподробней на счет сверять ? знаю дифф - но если логи на другом хосте, тогда нужно иметь доступ к хости при сверении логов, или просто скачать те и те, и потому другим софтом сверить уже на хоум пк ? И что сверять, т.е логи то разные.. записи в них тоже ? Или просто анализ проводить ?

вот сайтик не плохой и всё доступно рассписанно вроде (ну мне так кажется) - почитай там много статей по твоим вопросам задачам
http://Litl-Admin.ru

Сразу не обязательно. Сложно будет администрировать. Копировать на внешний хост - полезно (впрочем тут уже писали много раз это). Поможет разобраться с проблемами именно безопасности.

Еще полезно регулярно делать аудиты логов - просматривать (автоматизированно понятное дело) как само содержание логов, так и соответствие логов на внешнем хосте, тем что лежат на сервере.

Автоматизированно это как ? Автоматизация включает некий анализ ? или что ?

блин) ты сам то как думаешь? (теме место скорее в «генерал» ветке).
Ты начни с практики - потом будешь сдесь спрашивать, что вот такая тулза не работает как мне надо(описать конкретный пример) что можно поправить в конфигах или какой аналог посоветуете.
А то столько разговора, короче изучай мат часть и практикуйся.

зы:сорри точнее в ветке «талкс»

Ну, наличее бороды не означает что меня можно посылать в разные ветки :)

В осномном меня интересует безопасность сервера, там будет только один сайт, и я хотел бы как то проверить, к примеру безопасно ли настрое сервер ? т.е понятно что я пока что по мануалам учусь что то не много знал читал давно, но все же вот написал может что посоветуете как проверить что все хорошо, что нет лишних прав и так далее, я как то думал может есть какой то софт, который запускаеш на сервере а он говорит вот там то и там то, не верные права или какае то опасная настройка ?

Начни с того что:
1. установи ос +вэб сервис и свой веб сайт залей
2. по тести и убедись что все без ошибок работает(все ошибки исправь если такие появились, а они точно будут=).
3. займись безопасностью

когда дойдёшь до третьего пункта - 9 из 10 твоих вопросов связанных с безопасностью уже будут тобой-же самим решены.

И главное будет что спросить по факту)
Главная безопасность любой системы - это прямые руки и трезвая голова =)

yum install ? к примеру установил munin а там вирус

Нет, если ты конечно не ставишь непонятные пакеты, непонятно откуда.

В осномном меня интересует безопасность сервера, там будет только один сайт, и я хотел бы как то проверить

Возможно пригодится: https://www.ssllabs.com/ssltest/

Я так и делаю, меня безопасность сайта пока не интересует ибо все что я мог там сделал и проверил, меня больше интересует безопасность самой системы, и слежение за ней, т.е если что то не то, я должен знать.

Ну а так вообщем ситуация ясна, анализ и сравнение логов (ну вот на счет автоматизации я так и не понял.. *автоматизации сравнение

=) вот начни с изучения этого
http://www.opennet.ru/prog/sml/122.shtml

но если логи на другом хосте, тогда нужно иметь доступ к хости при сверении логов

Я же обозначил простой вариант: хост с OpenVZ, на котором VPS с веб-сервером. Файловая система VPS из хост-системы доступна, а вот из VPS хост-система - нет (теоретически; практика может отличаться, недавно вот находили косяк, позволяющий приложению в VPS записать что-то наружу при определённых условиях). Либо, вовсе, можно сделать два VPS.

или просто скачать те и те

Тоже вполне вариант.

Спасибо. Я щас смотрю просто все варианты, а потом уже сделаю вывод и сделаю то что мне нужно будет. Просто хотя бы одни раз настроить все как пологается, что бы мониторить ротацию логов. И быть в более мение защищенном режиме.

Для анализа к примеру: logwatch logalyze

Для сравнения на доверенном хосте можно и самому наколхозить скриптик то. В случае, если логи храняться в идентичных файлах - так вообще ничего сложного (хеш посчитать), если файлы хранения разные - будет чуть сложнее. Хотя 99% все это уже где-то реализовано.

Ну вот, снабдили меня тут целым вооружением :) это хорошо, осталось это реализовать попробовать, несомненно будут проблемы но как без них :) Лазиной их если что :)

Засунь сайт в песочницу, например, GrSecurity или аналоги.

1.Как узнать что в системе происходит что то не то. 2.Могут ли проникать вирусы через yum install ? к примеру установил munin а там вирус ?

1. гугли «мониторинг»

2. могут, если ставить из левых реп.

Удалить все правила фаервола

дефолтные политики DROP не забудь.

к примеру безопасно ли настрое сервер ?

нет

Ибо там писали что в ту дерикторию, вдруг что, будут записывать злые дяди всякие нехорошие файлы

писать не страшно, страшно выполнять.

Ну я вижу как вариант,в конце всего настроя провести пен тестинг каким то сторонним сервисом, или кем то очень хорошо понимающим защиту.

Здравствуйте!

Сайт по безопасности Linux на английском языке:

http://www.linuxsecurity.com

Здравствуйте!

Вот тема: «Основы безопасности при работе на компьютерах» на форуме ALTLinux:

http://forum.altlinux.org/index.php/topic,34912.0.html