LINUX.ORG.RU

20 советов по повышению безопасности сервера Linux

 , ,


0

0

В этой статье из серии, посвященной безопасности серверов Linux, приводится 20 советов по повышению безопасности Linux-сервера, установленного с настройками, заданными по умолчанию.

>>> Подробности

★★★

Проверено: Shaman007 ()

На советы не похоже. Больше напоминает «FAQ начинающего сервероида».

slyjoe
()

>Expire : Количество дней, начиная с 1 января 1070 г.

вона как, оказывается. Unix c 1070 года существует. Информативная стать.

А по факту сферические советы в вакууме.

rave
()
Ответ на: комментарий от rave

>Это в Debian, CentOS или RHEL?

И другие.

Мне вот интересно — а есть ли такие задачи, в которых X сервер на сервере действительно необходим?

edigaryev ★★★★★
()
Ответ на: комментарий от edigaryev

статью ещё не читал, но в Х можно позволить себе например нормальные шрифты в консоли(а если ещё и фреймбуффера нормального нет..) и браузер с н-ным количеством вкладок.

S_Paul ★★★★★
()
Ответ на: комментарий от S_Paul

Зачем браузер на сервере с н-ным количеством вкладок? Апдейты с майкрософт.ком качать :)

>№ 10: Удалите X Windows

>X Windows на сервере не нужен

урюк )))

forkostya
()

>Запускайте различные сетевые сервисы на отдельных серверах или отдельных экземплярах виртуальной машины.

Популяризация виртуализации делает свое дело

unt1tled ★★★★
()
Ответ на: комментарий от S_Paul

> статью ещё не читал, но в Х можно позволить себе например нормальные шрифты в консоли(а если ещё и фреймбуффера нормального нет..) и браузер с н-ным количеством вкладок.

Зачем? Неужели локально с ним работаете? Достаточно ssh, ну на крайняк можно Х-приложения на рабочий десктоп пробрасывать....

zd3n
()

А там есть: «Совет #0: отключите машину от сети.»? По ссылке не ходил.

ferhiord ★★
()

Используйте pam_cracklib.so to для того, чтобы поверять силу используемых паролей.

Подозреваю перевод. Невнимательный.

world
()
Ответ на: комментарий от S_Paul

но в Х можно позволить себе например нормальные шрифты в консоли(а если ещё и фреймбуффера нормального нет..) и браузер с н-ным количеством вкладок.

Зачем вам это все на сервере? Для этого есть десктоп.

edigaryev ★★★★★
()

Thank you, Captain Obvious!!!

anonymous
()

Все 20 "советов" можно тупо объединить в один.

Оградите сервер от деби^Wнеграмотных школьников и сотрудников.

lexxus-lex ★★★
()
Ответ на: комментарий от lexxus-lex

> Оградите сервер от деби^Wнеграмотных школьников и сотрудников.

полностью согласен, целевая аудитория статьи - начинающие убунтоиды слезшие с winfaq'а

p.s. тенденция продвижения линукса в массы работает потихоньку (вроде бы и хорошо, но иногда ...)

real_maverick ★★★
()
Ответ на: комментарий от edigaryev

У меня сервер терминалов (freenx) крутится, и 1С v8.1 под вайном в ней. А Х-трафик - попробуй пробрось - нужен будет канал шириной с дом.

staks
()

>в нем должны присутствовать заглавные и прописные буквы Заглавные и прописные - это одно и то же. Маленькие буквы называются - строчные. Всегда ваш, К.О.

anonymous
()

Всё-таки вы меня удивляете. Все такие умные, статья ни о чём, а как иначе узнать те или иные вещи? Для себя в каждой такой статье нахожу что-то новое + повторяю старое, новые методы решения старых проблем и так далее.

В общем, полезная ссылочка, спасибо!

Irben ★★★
()

ждёмсь "20 советов по повышению безопасности десктопа Linux "
№ 10: Удалите X Windows

anonym43
()

>Избегайте использовать FTP
>yum erase inetd xinetd ypserv [b]tftp-server[/b]

Каким боком tftp сервер относится к протоколу ftp?
>воспользуйтесь менеджером пакетов RPM, таким как yum или apt-get и/или dpkg

apt-get - однозначно "менеджер пакетов RPM".
>nmap -sT -O localhost

Параметр "-О" здесь просто необходим, я ж не знаю, какая ОС у меня на сервере.
Ну и конечно же, их русский такой русский!

unikoid ★★★
()

rsbac не упомянут, слив.
Кроме того предлагается сувать всё в виртуальные машины или полноценные контейнеры типо openvz. Аффтар явно хочет делать лишную работу, просто любит видимо. И упомянув SELinux видимо забыл что контейнеры реально нужны скорее не для безопастности, а для разграничения ресурсов и имения процессами разных копий одних и тех же файлов. Не говоря уже о удобстве cgroups, jail(из rsbac).
В общем свалено всё в кучу в статье. Такие не нужны. Централизованный репозитарий документации пора делать, чтобы там освещались конкретные темы в подразделах. А не так, галопом по европам. Вердикт - жопа.

ixrws ★★★
()
Ответ на: комментарий от Irben

Во-первых: неоригиальная документация на неоригинальном языке - по определению зло, большое зло.
Во-вторых: статьи пытающиеся охватить кучу тем за мало времени не могут содержать в себе достаточного количества информации. Если аффтар хотел донести сведения о тех или иных подсистемах и принципах - то он мог кинуть 20ть ссылок + 20 кратких описаний ссылок, состоящих из 3-10 слов. Люди бы не тратили время на чтение этой писанины.
В-третьих: пора уже объединятся и писать документацию в рамках тех проектов, для которых документация пишется. Такие же статьи быстро теряют актуальность и их сложнее искать.

ixrws ★★★
()

Маладца!!!

>X Windows на сервере не нужен.
># yum groupremove "X Window System"

Нужен. И еще как! :)

root@cactus:~# ldd /usr/local/apache/libexec/libphp5.so | grep "libX"
libX11.so.6 => /usr/X11R6/lib/libX11.so.6 (0xb72b0000)
libXpm.so.4 => /usr/X11R6/lib/libXpm.so.4 (0xb72a0000)
libXau.so.6 => /usr/X11R6/lib/libXau.so.6 (0xb6ca2000)
libXdmcp.so.6 => /usr/X11R6/lib/libXdmcp.so.6 (0xb6c9c000)
root@cactus:~#

Аффтар! Дерзай!!! :) Жизнь такими темпами у тебя будет ОЧЧЧЕНЬ веселой.

su
()
Ответ на: комментарий от forkostya

Зачем браузер на сервере с н-ным количеством вкладок? Апдейты с майкрософт.ком качать :)

опущусь до оскорблений: ты «не очень умный человек», незнаю что там с апдейтами у тебя, но сервер может быть НЕ ТОЛЬКО удалённым, а и под боком а идти куда-то лень.

S_Paul ★★★★★
()
Ответ на: комментарий от kost-bebix

to zd3n и kost-bebix: ещё двое поставили себя в дурацкое положение, для вас тоже сервер нечто эфемерное в интернетах?

S_Paul ★★★★★
()
Ответ на: комментарий от ixrws

Во-первых: неоригиальная документация на неоригинальном языке - по определению зло, большое зло.

Есть же ссылка на оригинал в начале статьи.

Во-вторых: статьи пытающиеся охватить кучу тем за мало времени не могут содержать в себе достаточного количества информации. Если аффтар хотел донести сведения о тех или иных подсистемах и принципах - то он мог кинуть 20ть ссылок + 20 кратких описаний ссылок, состоящих из 3-10 слов. Люди бы не тратили время на чтение этой писанины.

Опять-таки почти после каждого совета есть ссылка, а чаще больше одной на дополнительный материал.

В-третьих: пора уже объединятся и писать документацию в рамках тех проектов, для которых документация пишется. Такие же статьи быстро теряют актуальность и их сложнее искать.

Абсолютно согласен, что статьи теряются. Правда, если ты сидишь на данном ресурсе, то найти нужную статью, прочитанную когда-то не так уж и сложно. Да и почти вся информация актуальна первые пару дней, потом очень редко кто-то к ней возвращается, ибо всё находится с помощью поисковиков.

Irben ★★★
()
Ответ на: комментарий от q4x2

Принимаю, но сабж не стаёт от этого лучше.

ixrws ★★★
()

Нафига нужны TCP-wrappers если есть iptables? Чтобы ещё больше затруднить конфигурирование сетевых ACL и разбросать их по двум местам вместо одного?

cyberax
()
Ответ на: комментарий от zenith

>Это пять :)

Ачо? Я всегда отключаю, если есть возможность.
Люблю отключать.

Zale
()
Ответ на: комментарий от su

Вау! Это что за серверный дистрибутив такой где php иксы хочет?

cyberax
()
Ответ на: комментарий от unikoid

> apt-get - однозначно "менеджер пакетов RPM"

Ну как тебе так сказать.

$ yum search apt

apt : Debian's Advanced Packaging Tool with RPM support

anonymous
()
Ответ на: комментарий от edigaryev

Мне вот интересно — а есть ли такие задачи, в которых X сервер на сервере действительно необходим?

Году в 2005-м возился с системой управления проектами Project Tracking, что славным РЕЛЭКС'ом ваяется. Так там ошметки иксов на сервере были обязательным требованием. Ибо оно генерило отчеты забавно-заковыристым способом: создавало невидимое окно, рисовало на нем текст отчета и делало скриншот 8)

nebm51
()
Ответ на: комментарий от unikoid

Oh SHI~, нашел у себя в списке пакетов для SUSE. Взглянуть, что ли...

unikoid ★★★
()
Ответ на: комментарий от unikoid

Fedora 11, но такое не только тут. А есть еще это:

alien : Install Debian and Slackware Packages with RPM

anonymous
()
Ответ на: комментарий от nebm51

>Ибо оно генерило отчеты забавно-заковыристым способом: создавало невидимое окно, рисовало на нем текст отчета и делало скриншот 8)

Ух ты, за такое наверное руки отрывают. И ноги, чтобы не смогли приделать руки.

Получается что иксы нужны только для терминальных серверов (freenx, LTSP).

edigaryev ★★★★★
()

по-моему, перестать пользоваться telnetd, rsh и rlogin предлагают уже лет десять. а ими как никто не пользовался, так и не пользуется. нипанятна.

volh ★★
()
Ответ на: комментарий от nebm51

> Мне вот интересно — а есть ли такие задачи, в которых X сервер на сервере действительно необходим? Oracle e-Business Suite, например.

svs ★★★
()
Ответ на: комментарий от cyberax

Честно говоря, для чего именно PHP нужны либы Хов не знаю.
Правда, подозреваю, что для отрисовки TTF, GD и, может быть, XML.
Причем, вовсе не факт, что PHP иксовые либы вызывает напрямую. Возможно, он просто вызывает некие либы, которым для работы нужны libX.
Вот config.nice от него:

#! /bin/sh
#
# Created by configure

'./configure' \
'--with-apxs=/usr/local/apache/bin/apxs' \
'--disable-ipv6' \
'--with-openssl' \
'--with-zlib' \
'--enable-bcmath' \
'--with-bz2' \
'--enable-calendar' \
'--enable-dba=shared' \
'--enable-ftp' \
'--with-openssl-dir' \
'--with-gd' \
'--with-jpeg-dir' \
'--with-png-dir' \
'--with-zlib-dir' \
'--with-xpm-dir' \
'--with-ttf' \
'--with-freetype-dir' \
'--with-t1lib' \
'--enable-gd-native-ttf' \
'--enable-gd-jis-conv' \
'--with-gettext' \
'--with-gmp' \
'--enable-mbstring' \
'--with-mhash' \
'--with-mysql=/usr/local' \
'--with-mysql-sock=/tmp/mysql.sock' \
'--with-ncurses' \
'--with-readline' \
'--with-snmp' \
'--with-mm' \
'--enable-soap' \
'--enable-sockets' \
'--enable-wddx' \
'--with-xmlrpc' \
'--with-iconv' \
'--enable-zip' \
'--with-xsl' \
'--with-mime-magic' \
'--with-mcrypt=/usr/local' \
"$@"

su
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.