Bsdadmin.ru

Записки администратора FreeBSD

Путь на сайте

Домашняя FreeBSD Необходимые шаги по защите сервера FreeBSD_1

Необходимые шаги по защите сервера FreeBSD_1

В статье  приведено несколько советов по укреплению OS FreeBSD v5.x и выше.
 
Структура файловой системы
При установке по умолчанию, вы обнаружите две директории для хранения временных
файлов - /tmp и /var/tmp. Нет необходимости использовать два различных раздела для временных файлов.Заменим /var/tmp ссылкой на /tmp.
#mv /var/tmp/* /tmp/
#rm -rf /var/tmp
#ln -s /tmp /var/tmp
 
Отключение локального доступа root
Предотвратим эту возможность. Откройте /etc/ttys с помощью текстового редактора и
измените каждую запись «secure» на «insecure».
Такое изменение записи в файле консолей приведет к необходимости ввода пароля пользователя в однопользовательском режиме, что усложнит взлом системы при перезагрузке.
# nano -w /etc/ttys
console none unknown off insecure
#ttyv0 "/usr/libexec/getty Pc" cons25 on insecure
# Virtual terminals
ttyv1 "/usr/libexec/getty Pc" cons25 on insecure
ttyv2 "/usr/libexec/getty Pc" cons25 on insecure
ttyv3 "/usr/libexec/getty Pc" cons25 on insecure
ttyv4 "/usr/libexec/getty Pc" cons25 on insecure
ttyv5 "/usr/libexec/getty Pc" cons25 on insecure
ttyv6 "/usr/libexec/getty Pc" cons25 on insecure
ttyv7 "/usr/libexec/getty Pc" cons25 on insecure
ttyv8 "/usr/X11R6/bin/xdm -nodaemon" xterm off nsecure
# Serial terminals
# The 'dialup' keyword identifies dialin lines to login, fingerd etc.
ttyd0 "/usr/libexec/getty std.9600" dialup off insecure
ttyd1 "/usr/libexec/getty std.9600" dialup off insecure
ttyd2 "/usr/libexec/getty std.9600" dialup off insecure
ttyd3 "/usr/libexec/getty std.9600" dialup off insecure
# Dumb console
dcons "/usr/libexec/getty std.9600" vt100 off insecure
 
SSH логины
По умолчанию, FreeBSD не позволяет вход root посредством SSH. Будет хорошей идеей ограничить доступ к SSH только членами группы wheel, либо создать отдельную группу, например sshusers, для пользователей которым позволен вход посредством SSH, но не позволено выполнение su.
Вносим измения в файл конфигурации sshd:
 
#cat /etc/ssh/sshd_config
#PermitRootLogin=no
#AllowGroups wheel sshusers
#Protocol 2
#X11Forwarding=no
#VersionAddendum
 
Кроме того мы хотим, чтобы использовались только соединения SSHv2, поскольку SSHv1 небезопасно. На сервере не должен быть запущен X11. Последняя запись сделана для отключения показа типа OC.
 
С оздание банера для прользователей, который виден после входа в систему по SSH.
Выполним следующие действия: 
#echo "Banner /etc/welcomemsg" >> /etc/ssh/sshd_config
  #cat  /etc/welcomemsg
# !!Внимание!!!
# READ THIS BEFORE ATTEMPTING TO LOGON
#
#Помните, Мы за Вами следим!!!
#  
EOF

Домашняя FreeBSD Необходимые шаги по защите сервера FreeBSD_1