Početak›Forumi›Linuks›Opšte Linuks diskusije›Malo moje security prakse :)
- This topic has 10 odgovora, 6 glasova, and was last updated 14 years, 11 months ranije by dukenukem_4d.
-
AutorČlanci
-
7. maj 2009. u 12:00 pm #11080Miso VranesUčesnik
Kako najcesce koristim linux u mrezi glede sigurnosti:
-Ne koristiti privilegovani nalog (root ili root group account) za svakodnevni rad
-Za root nalog postaviti maksimalno sigurnu lozinku, dugacku sa velikim i malim slovima brojevima i specijalnim znacima ili lockovati root account i koristiti sudoer accounte
-Ako se koristi sudoer onda ne koristiti sudoer nalog za svakodnevni rad (voditi racuna ako se koristi ubuntu ili njegovi derivati koje odredjeno vrijeme za sudo pristup pamte sudo lozinku neko vrijeme)
-Po mogucstvu izdvojiti /home na posebnu particiju i vezati je u stablo fajl sistema sa noexec opcijom, sta ima korisnik da pokrece izvrsni kod sa svoje particije
-Ne pokretati dvoklikom nikakve fajlove sa desktopa ili koji imaju .desktop ekstenziju od bilo gdje, analizirati fajl prije otvaranja ako se mora otvoriti
-Ne pokretati nikakve nepotrebne servise i daemonn procese koji otvaraju portove ako to nije potrebno, analizirati otvorene portove sa nmap-om
-Server servise pokretati pod server account nalogom kome po mogucstvu zabraniti console login
-Ne koristiti vnc za pristup grafickom desktopu spolja ili samo uz jaku lozinku ako mora, koristiti freenx ili ssh -X opcije
-Nadogradjivati sistem sa security apdejtima
-Instalirati clamav av i povremeno skenirati sistem zbog fajl shareinga sa Windows masinamaNe enkriptijem fajlove… jos :))
Mozete li dopisati svoju praksu ? : ))
EDIT by GoranSTX: sređen typo u naslovu7. maj 2009. u 1:55 pm #78486marelliUčesnik@Miso Vranes
Jel koristis neki firewall?
7. maj 2009. u 5:26 pm #78487Miso VranesUčesnikE, da.. Konfigurisan mi je kuci pfsense na jednoj staroj masini pa ga nemam na kompjuterima, ali da slazem se da je to obavezna stvar!
7. maj 2009. u 5:38 pm #78488marelliUčesnikjel pfsense koristi packet filter ?
7. maj 2009. u 8:30 pm #78489Miso VranesUčesnikPfsense je derivat monowall-a, znaci iz FreeBSD izveden
os namjenjen pravljenju firewall box-ova. Instalira se na komp cije mrezne karte podrzava a zatim se konfigurise rucno ili pomocu web interfejsa. Nevjerovatna stvar, za klasu sigurnija od smoothwall-a, untangle-a, clarck connecta i td. Kako je to u sustini freebsd koristi se kernel ip filtering tj. isto sto i u linux packet filteringu.Link:
8. maj 2009. u 10:42 am #78490ak-87Učesnik-Po mogucstvu izdvojiti /home na posebnu particiju i vezati je u stablo fajl sistema sa noexec opcijom, sta ima korisnik da pokrece izvrsni kod sa svoje particije
Mozes li mi malo pojasniti ovu stavku? Jel to znaci da prakticno sve dozvole za izvrsavanje na /home particiji “ne vaze”? Kako ovo prevazici ako npr. imam neke python ili bash skripte? Recimo, ja u svom home diru imam poddirektorijum bin/ u koji ubacujem neke svoje skripte, “instaliram” neke stvari za koje ne postoji binarni paket za moj distro (npr. LimeWire, Google Earth) itd.
Inace, sto se tice moje security prakse – firewall, sigurnosne zakrpe i iskljucivanje servisa poput ssh-a, sendmail-a i sl. (koje naravno ne koristim) su prvo sto uradim na novom sistemu. Do sada nisam koristio AV, ali planiram da ga instaliram – cisto zbog drugara sa Winom.
8. maj 2009. u 6:25 pm #78491Miso VranesUčesnikUpravo tako, ne mozes nikakav kod ne mozes izvrsiti sa takve particije sto nije lose ako imas vise ljudi koji koriste kompjuter. Ako imas superuser ovlascenja i znas sta radis uvijek mozes kao root privremeno prepraviti /etc/fstab i remountati /home bez noexec, obaviti sto ti treba pa remountati sa noexec ili pak za razlicite korisnike rucno kreirati home direktorijume na razlicitim particijama pa jednima koji znaju sta rade dati exec a onima koji ne znaju noexec. :))
8. maj 2009. u 11:54 pm #78492PobroUčesniknoexec ne radi i nema veze sa skriptama, bash perl python mogu da se izvrsavaju, na 2.4 kernelu nije radio cak ni kod binarnih programa :angel:
9. maj 2009. u 6:35 am #78493GoranSTXUčesnikmene je noexec uspešno sprečavao u pokretanju binarnih izvršnih fajlova sa /home particije pri čemu sam ja sve vreme sumnjao na dozvole. Kernel je bio 2.6 na Archu… Ne mogu vam opisati frustracije…
A mislim da ne bi trebalo da ima uticaja na izvršavanje skripti koje ne pozivaju neke sistemske pozive (ili tako nešto :D)9. maj 2009. u 9:16 am #78494Miso VranesUčesnikUpravo tako kako si naveo ! Znas, sustina je u tome da se sprijeci izvrsenje malicioznog koda bez znanja korisnika iz njegovg /home/ direktorijuma. Napominjem da nas cetvoro koristi 2 kompjutera kuci a samo ja imam kakvo takvo znanje o kompjtuterima tako da smo na ovaj nacin prilicno bezbijedni.
-
AutorČlanci
Moraš biti prijavljen da bi postavio komentar u ovoj temi.