Необходимые шаги по защите сервера FreeBSD_1

В статье  приведено несколько советов по укреплению OS FreeBSD v5.x и выше.

 

Структура файловой системы

При установке по умолчанию, вы обнаружите две директории для хранения временных

файлов — /tmp и /var/tmp. Нет необходимости использовать два различных раздела для временных файлов.Заменим /var/tmp ссылкой на /tmp.

#mv /var/tmp/* /tmp/

#rm -rf /var/tmp

#ln -s /tmp /var/tmp

 

Отключение локального доступа root

Предотвратим эту возможность. Откройте /etc/ttys с помощью текстового редактора и

измените каждую запись «secure» на «insecure».

Такое изменение записи в файле консолей приведет к необходимости ввода пароля пользователя в однопользовательском режиме, что усложнит взлом системы при перезагрузке.

# nano -w /etc/ttys

console none unknown off insecure

#ttyv0 «/usr/libexec/getty Pc» cons25 on insecure

# Virtual terminals

ttyv1 «/usr/libexec/getty Pc» cons25 on insecure

ttyv2 «/usr/libexec/getty Pc» cons25 on insecure

ttyv3 «/usr/libexec/getty Pc» cons25 on insecure

ttyv4 «/usr/libexec/getty Pc» cons25 on insecure

ttyv5 «/usr/libexec/getty Pc» cons25 on insecure

ttyv6 «/usr/libexec/getty Pc» cons25 on insecure

ttyv7 «/usr/libexec/getty Pc» cons25 on insecure

ttyv8 «/usr/X11R6/bin/xdm -nodaemon» xterm off nsecure

# Serial terminals

# The ‘dialup’ keyword identifies dialin lines to login, fingerd etc.

ttyd0 «/usr/libexec/getty std.9600» dialup off insecure

ttyd1 «/usr/libexec/getty std.9600» dialup off insecure

ttyd2 «/usr/libexec/getty std.9600» dialup off insecure

ttyd3 «/usr/libexec/getty std.9600» dialup off insecure

# Dumb console

dcons «/usr/libexec/getty std.9600» vt100 off insecure

 

SSH логины

По умолчанию, FreeBSD не позволяет вход root посредством SSH. Будет хорошей идеей ограничить доступ к SSH только членами группы wheel, либо создать отдельную группу, например sshusers, для пользователей которым позволен вход посредством SSH, но не позволено выполнение su.

Вносим измения в файл конфигурации sshd:

 

#cat /etc/ssh/sshd_config

#PermitRootLogin=no

#AllowGroups wheel sshusers

#Protocol 2

#X11Forwarding=no

#VersionAddendum

 

Кроме того мы хотим, чтобы использовались только соединения SSHv2, поскольку SSHv1 небезопасно. На сервере не должен быть запущен X11. Последняя запись сделана для отключения показа типа OC.

 

С

оздание банера для прользователей, который виден после входа в систему по SSH.

Выполним следующие действия: 

#echo «Banner /etc/welcomemsg» >> /etc/ssh/sshd_config

 

#cat  /etc/welcomemsg

# !!Внимание!!!

# READ THIS BEFORE ATTEMPTING TO LOGON

#

#Помните, Мы за Вами следим!!!

#  

EOF

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *