Какими способами можно повысить безопасность редхат линукс?
Рылся в поисковике, ничего не нашел. Где можно почитать?
Какое есть специализированое ПО для повышения секюрности линукса? Снорт не предлагать, редхат его не поддерживает...
Безопасность RedHat
Модератор: weec
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
BigBrother
- сержант
- Сообщения: 150
- Зарегистрирован: 2007-07-27 17:05:55
- Откуда: Украина
- Контактная информация:
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
hizel
- дядя поня
- Сообщения: 9032
- Зарегистрирован: 2007-06-29 10:05:02
- Откуда: Выборг
Re: Безопасность RedHat
вы о чем?
если о самой системе, то там есть selinux
если о самой системе, то там есть selinux
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.
-
BigBrother
- сержант
- Сообщения: 150
- Зарегистрирован: 2007-07-27 17:05:55
- Откуда: Украина
- Контактная информация:
Re: Безопасность RedHat
Есть выделеный сервер в интернете, на котором установлен редхат линукс. К серверу есть удаленный доступ по ssh.
Каким образом можно обезопасить хотя бы эс-эс-аш от посягательств вандалов? И поднять секурность системы на сетевом уровне?
Каким образом можно обезопасить хотя бы эс-эс-аш от посягательств вандалов? И поднять секурность системы на сетевом уровне?
-
koffu
- сержант
- Сообщения: 154
- Зарегистрирован: 2008-03-23 0:51:18
- Откуда: Киев
- Контактная информация:
Re: Безопасность RedHat
Самое простое - перенести порт SSH с 22 например на 2000 или на 1024< какой от фонаря придумаешь.
Или добавить в iptables:
(ЭТО ПРИМЕР НАСТРОЙКИ НЕ НАСТРОЕННОГО IPTABLES!!! У ВАС МОГУТ БЫТЬ УЖЕ ПРОПИСАНЫ КАКИЕ-ТО СВОИ ПРАВИЛА!!! СОВЕТ, ПОТРЕНЕРУЙТЕСЬ НА ВИРТУАЛЬНЫХ МАШИНАХ ИЛИ РЯДОМСТОЯЩИХ, ПРЕЖДЕ ЧЕМ ВВОДИТЬ ЭТИ КОМАНДЫ НА РАБОТАЮЩЕМ СЕРВЕРЕ, ЕСЛИ ВЫ НЕ ДО КОНЦА ПОНИМАЕТЕ ЧТО ОНИ ДЕЛАЮТ!!!)
Если страшно или нет опыта конфигурирования firewall удаленно, можно сделать(буква i большая, не L), тогда есть шанс, что сам себя не отрежешь от сервера.[/color]
[/b]
где XXX.XXX.XXX.XXX и YYY.YYY.YYY.YYY твои IP, которые ни при каких обстоятельствах не должны быть забанены.
потом с помощью убедиться, что счетчик пакетов срабатывает на нужные правила, сделать так:
После этого желательно в /etc/ssh/sshd_config поставить MaxAuthTries перезапустить ssh. Будем иметь с незнакомого IP 2 попытки ввести имя и 2 раза пароль на каждую, после этого "Connection Refused" на 10 мин с попытки последнего доступа(этих параметров вполне хватает) или 2 успешных логина раз в 10 мин. По-опыту: количество оленей брутфорсящих сервер снижается с 300-1000 * 6 аккаунтов (по-умолчанию 6 повторов пароля на имя) до 1~6 аккаунтов, что хорошо видно по отчетам Logwatch. Освободить оленей 
можно так:
Код: Выделить всё
vi /etc/ssh/sshd_config
Port 2000
/etc/init.d/ssh restart
Или добавить в iptables:
(ЭТО ПРИМЕР НАСТРОЙКИ НЕ НАСТРОЕННОГО IPTABLES!!! У ВАС МОГУТ БЫТЬ УЖЕ ПРОПИСАНЫ КАКИЕ-ТО СВОИ ПРАВИЛА!!! СОВЕТ, ПОТРЕНЕРУЙТЕСЬ НА ВИРТУАЛЬНЫХ МАШИНАХ ИЛИ РЯДОМСТОЯЩИХ, ПРЕЖДЕ ЧЕМ ВВОДИТЬ ЭТИ КОМАНДЫ НА РАБОТАЮЩЕМ СЕРВЕРЕ, ЕСЛИ ВЫ НЕ ДО КОНЦА ПОНИМАЕТЕ ЧТО ОНИ ДЕЛАЮТ!!!)
Если страшно или нет опыта конфигурирования firewall удаленно, можно сделать
Код: Выделить всё
iptables -I INPUT 1 -p tcp -s <XXX.твой IP.XXX> --dport 22 -j ACCEPT[/b]
Код: Выделить всё
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -N SSH_WHITELIST
iptables -A SSH -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --rttl --name sshbr --rsource
iptables -A SSH -p tcp -m tcp --dport 22 -m state --state NEW -j SSH_WHITELIST
iptables -A SSH -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 600 --hitcount 3 --rttl --name sshbr --rsource -j REJECT --reject-with tcp-reset
iptables -A SSH -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A SSH_WHITELIST -s XXX.XXX.XXX.XXX -p tcp -m tcp --dport 22 -m state --state NEW -m recent --remove --rttl --name sshbr --rsource
iptables -A SSH_WHITELIST -s YYY.YYY.YYY.YYY -p tcp -m tcp --dport 22 -m state --state NEW -m recent --remove --rttl --name sshbr --rsourceпотом с помощью
Код: Выделить всё
iptables -L -v --line-numbersКод: Выделить всё
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROPКод: Выделить всё
echo clear > /proc/net/ipt_recent/sshbr-
Adekamer
- пингвин
- Сообщения: 694
- Зарегистрирован: 2007-10-09 18:36:48
- Откуда: 127.0.0.1
- Контактная информация:
Re: Безопасность RedHat
пачоматик на иптаблес - там есть порткнок
те надо телнетом в определенной последовательности постучаться по портам - и тогда открываеться для тебя(твоего ИП)
доступ
ну селинух конечно - если осилишь
те надо телнетом в определенной последовательности постучаться по портам - и тогда открываеться для тебя(твоего ИП)
доступ
ну селинух конечно - если осилишь
-
Andy
- ст. лейтенант
- Сообщения: 1117
- Зарегистрирован: 2007-03-04 7:48:58
- Откуда: Mytischi
Re: Безопасность RedHat
Патчоматик - это сторонние патчи для расширения функционала netfilter? Ты осилил SELinux?Adekamer писал(а):пачоматик на иптаблес - там есть порткнок
ну селинух конечно - если осилишь
Jul 16 19:37:15 freebsd sshd[4152]: Invalid user idiot from 210.75.200.104
-
Adekamer
- пингвин
- Сообщения: 694
- Зарегистрирован: 2007-10-09 18:36:48
- Откуда: 127.0.0.1
- Контактная информация:
Re: Безопасность RedHat
http://www.portknocking.org/view/docume ... nockdaemon
пока похвастаться что осилил селинукс немогу
пока похвастаться что осилил селинукс немогу
-
paix
- лейтенант
- Сообщения: 863
- Зарегистрирован: 2007-09-24 12:41:05
- Откуда: dn.ua
- Контактная информация:
Re: Безопасность RedHat
centos\rhel с коробки имеет очень неплохую безопасность, кстати с включенным selinux по умолчанию и iptbales с некоторым набором правил.
а вообще пароли посложнее, поменьше сервисов ненужных запускать, и апдейтить систему периодически (и следить за ней)
еще есть интересные штуки по типу fail2ban
Кстати никто не знает есть ли аналоги fail2ban только на C ?
а вообще пароли посложнее, поменьше сервисов ненужных запускать, и апдейтить систему периодически (и следить за ней)
еще есть интересные штуки по типу fail2ban
Кстати никто не знает есть ли аналоги fail2ban только на C ?
With best wishes, Sergej Kandyla