» Защита серверов на базе FreeBSD

Оригинал документа:
www.sddi.net/FBSDSecCheckList.html
Перевод и добавления: by ZmeY (zmey@kahovka.net) Этот документ является списком параметров защиты для применения на FreeBSD серверах.

Читать

Небольшая опечатка.


Цитата:

Убедитесь, что он начинается с . Это говорит о том, что вы удачно перешли с md5 алгоритма криптования на Blowfish.

А должно быть так - ...начинается с $2$

чето стоящее за последнее время
давай еще такие переводы с конкретными примерами

ACC


Цитата:

Небольшая опечатка.


Цитата:
Убедитесь, что он начинается с . Это говорит о том, что вы удачно перешли с md5 алгоритма криптования на Blowfish.


А должно быть так - ...начинается с $2$

Спасибо. Исправлено. Это не автор опечатался, это при постинге так получилось - символ $ потерялся с преобразованием.

djelektronik

Да. Статья рульная. Читала с большим интересом.

Вопрос уточняющий:


Цитата:

используем rdate вместо ntp для синхронизации часов сервера с мировым временем.

Не поняла толком преимуществ.

lynx
Видимо имеется ввиду, что вместо ntpd юзаем rdate - но с таким-же успехом можно вырубить ntpd и запускать ntpdate периодически.

Вообще ntpd - полезная штука. Но нужно грамотно ограничить к нему доступ снаружи.

Вот еще вопросик:


Цитата:

2. Настройка


Отключаем inetd.

....
6. rc.conf


vi /etc/rc.conf

inetd_enable="NO"
# Better ways to run your daemons

А у меня многое через него запущено. В частности - закрыть/открыть ftp, я правлю /etc/inetd.conf и kill -HUP 83 (83 - /usr/sbin/inetd)

lynx
запускай фтп без инетд

lynx
Если существует необходимость то лучше, как мне кажется использовать xinetd, по первой будет конечно обращаться к документации что бы правильно описать правила запуска в конфиге, но потом тебе понравиться.
Вообще я замечал во многих документах inetd_enalbe="NO" входит в стандарт везде так пишут толковое объяснение можно получить здесь. Написано там примерно следующее (могут быть ошибки т.к. переводил очень быстро):

Цитата:

Если вам необходимо использовать inetd убедитесь в том что запуски сервисов через inetd хорошо логируются и что количество запусков одной службы достаточно для того что бы вам не устроили ДОС атаку. По умолчанию количество одновременно запущенных сервисов через inetd = 256 я рекомендую 1024 (вы можете настроить это на своем компьютере если считаете это необходимым). Если у вас медленное соединение с Интернет, то это не играет роли, если же у вас быстроее соединение то некто создав сценарий подключения к вашему серверу, который создаст более 256 соединений и тогда ваш inetd не сможет отвечать на последующие запросы. С другой стороны если вы хотите настроить кол-во одновременных соедиенений равное 1024, убедитесь что у вас достаточно мощный компьютер, иначе открытие 1024-х одновременных соединений telnet может вывести из строя ваш компьютер.

В файл /etc/hosts.allow лучшее, как мне кажется, вставлять в заключение такую конструкцию:

ALL : ALL \
: spawn (echo Access deny. | \
/usr/bin/mail -s "tcpd\: %d@%h[%a] unautorized access to me!" root) & \
: deny

а не запрещать доступ к отдельным видам сервисов....

Добавлено
Цитата:
"
#pseudo-device bpf
#Berkley Packet Filter. Защита от снифинга на уровне ядра. #Не убирайте эту опцию, если собираетесь использовать dhcp.
"

И это тоже не совсем точно. Псевдо девайз bpf требуется не только dhcp.
Он также требуется, вобщем-то, нужным вещам как tcpdump, trafshow...

На мой взгляд, не совсем корректно ограничивать на чтение файл
/etc/hosts.allow только для root, т.к. сервисы работающие не от root'а
будут "ругаться" об отсутствии возможности прочитать этот файл.

...ух, и меня сюда занесло;)
И так начнемс...

1. Не вижу никакого смысла в переходе с MD5 на Blowfish.
2. ntpd, нужно устанавливать в /chroot jail и запускать от имени пользователя с ограниченными правами, тогда ненужное телодвижение с rdate отпадает само собой...
3. inetd, как и sendmail пора на помойку... Вместо inetd, рекомендуется использовать xinetd или UCSPI-TCP...
4. hosts.[allow|deny] тоже выкинуть... опять же, все это можно заменить используя xinetd... или UCSPI-TCP...

ginger
с каких это пор
Цитата:

sendmail пора на помойку

new_yorik
Дело в том, что sendmail самый дерявый MTA из всех существующих, к тому же громозок, на сегодняшний день лучший выбор - это Postfix или Exim, Qmail не рекомендуется, т.к. утратил позицию security mta, ввиду того что, для того чтобы его довести до нужного уровня безопасности требуется наложить кучу патчей, большая часть которых между собой не совместима...

P.S. Если слухи не врут сами FreeBSD'ники , использует Postfix...;)

ginger
я не думаю что он на много дырявее постфикса. громоздок потому что наиболее функционален. а фрибсд орг действительно использует Postfix

new_yorik
В том, то и дело что дырявее...;)
У Postfix не найдено дыр по сей день... новый релиз это не security fix, а какой-то мелкий bug fix...

Цитата:

громоздок потому что наиболее функционален

Postfix не уступает по функциональности sendmail, а Exim переплюнул уже давно!

дыры которых в постфикс нет
про все остальное промолчу, ибо говорю то что видел, а ексим я не видел.

new_yorik

Цитата:

дыры которых в постфикс нет

Неужели я сказала, что в Postfix'е нет дыр? Я сказала что в Postfix'е нет дыр связанных с безопасностью, чего не скажешь про sendmail!

Дыры есть везде, просто где-то их не нашли.

Надо использовать то, что знаешь.
Но знать надо хорошо.

В нормальных руках и sendmail хорош, как в корявых postfix глюкав.
Нет универсальных решений:
где-то inetd хватает, где-то xinetd ставить надо
где-то sendmail'а хватит за глаза, где-то что-то иное
Все зависит от задачи и времени, выделенного, для задачи.

dl

Цитата:

Надо использовать то, что знаешь.

Не всегда так... знание это очень хорошо, но не знание иного, что есть гораздо лучше и проще это очень плохо, а по сему, нужно развиваться...

Ушли в сторону от обсуждения статьи.
Замечу, что log_in_vain="YES" это даже не мера, а скорее полу-мера.

Советую установить /usr/ports/security/portsentry.
Программа отслеживате подключение к указанным портам, с возможностью добовления блок листа в файрвол.


Цитата:

INTERFACE="rl0" (интерфейс за которым следим)
INTERFACE_ADDRESS="195.195.95.5" (ИП к которому пытаются подключится)
TCP_PORTS="1,7,9,11,15,21,23,70,79,80,109,110,111,119,138,139,143,512,513,514,515,540,635,666,1080,1524,2000,2001,4000,4001,5631,5632,5742,6000,6001,6667,12345,12346,20034,27374,27665,30303,32771,32772,32773,32774,31337,40421,40425,49724,54320,54321"
UDP_PORTS="1,7,9,66,67,68,69,111,137,138,161,162,474,513,517,518,635,666,700,2049,5631,5632,31335,27444,34555,32770,32771,32772,32773,32774,31337"
TCP_PORTS="1,11,15,79,111,119,143,515,540,635,666,1080,1524,2000,6667,12345,12346,20034,27374,27665,31337,32771,32772,32773,32774,40421,49724,54320,54321"
UDP_PORTS="1,7,9,69,161,162,513,635,2049,27444,32770,32771,32772,32773,32774,31337,54321"
IGNORE_FILE="/usr/local/etc/portsentry.ignore"
HISTORY_FILE="/usr/local/etc/portsentry.history"
BLOCKED_FILE="/usr/local/etc/portsentry.blocked"
RESOLVE_HOST = "0"
BLOCK_UDP="1"
BLOCK_TCP="1"
SCAN_TRIGGER="0"

Наиболее раннее оповещение о вторжение в систему -
/usr/ports/security/tripwire - настройки не покажу )))

SergeyKa1

Цитата:

Советую установить /usr/ports/security/portsentry.
Программа отслеживате подключение к указанным портам, с возможностью добовления блок листа в файрвол.

Вместо фаервола лучше использовать команду route, которая отрубит существующее подключения а фаервол, существующее оставит а последующие отрубит...
Помимо PortSentry, нужно использовать HostSentry...
Для параноидальности установить Snort с Acid модулем... для анализа происходящего...;)

Цитата:

Вместо фаервола лучше использовать команду route, которая отрубит существующее подключения а фаервол, существующее оставит а последующие отрубит...
Помимо PortSentry, нужно использовать HostSentry...
Для параноидальности установить Snort с Acid модулем... для анализа происходящего...;)

/usr/ports/security/portsentry рубит соединение сразу при обращении к необслуживаемому порту.

HostSentry выполняет те же функции что и tripwire - не вижу смысла в совместном использовании. Или одно или другое.

Snort+Snortsam+Oinkmaster с Acid - заменят связку portsentry + tripwire.
Не параноя а глупость.

SergeyKa1

Цитата:

HostSentry выполняет те же функции что и tripwire - не вижу смысла в совместном использовании. Или одно или другое.

Совершенную глупость сказали... рекомендую прежде ознакомиться и понять что такое TripWire и что такое HostSentry... и для чего каждый из них используется!

Цитата:

Snort+Snortsam+Oinkmaster с Acid - заменят связку portsentry + tripwire.
Не параноя а глупость.

Опять же, услышали звон, да не знаете где он!
Прежде чем давать такое сравнение, узнайте что это такое и для чего используется...
...хех, лихачь;)

Цитата:

/usr/ports/security/portsentry рубит соединение сразу при обращении к необслуживаемому порту.

...опять же, как же можно такое говорить, что portsentry что-то там рубит? Во первых он не рубит а анализирует, в случае определения сканирования или атаки он выполнит одну из команд (iptables/ipfw/route), самая эффективная это route, потому что соединение будет заблокировано моментально в случае с фаерволом такого не происходит... только последующие соединения будут блокированы!

Читать... читать... и еще раз читать!;)

Цитата:

...опять же, как же можно такое говорить, что portsentry что-то там рубит? Во первых он не рубит а анализирует, в случае определения сканирования или атаки он выполнит одну из команд (iptables/ipfw/route), самая эффективная это route, потому что соединение будет заблокировано моментально в случае с фаерволом такого не происходит... только последующие соединения будут блокированы!

_http://www.bytemag.ru/Article.asp?ID=1207


Цитата:

PortSentry - простой детектор сканирования, который прекращает связь между хостом-жертвой и атакующим. Хост "сбрасывает" локальные маршруты, устанавливает динамические правила доступа и добавляет хост в специальные файлы TCP wrappers hosts.deny, причем все это происходит в реальном времени.

разве я говорил что portsentry использует только службу ipfw?

С остальным погорячился. Совершенно разные по принципу программы Sorry

SergeyKa1

Цитата:

http://www.bytemag.ru/Article.asp?ID=1207

В этой статье автор допустил неточность... PortSentry, для блокирования использует вспомогательные утилиты, о которыхбыло сказано выше... но сам он этого не делает...
Если Вы настраивали PortSentry, то должны об этом знать... в файле конфигурации перечислены возможные действия в случае обнаружения несанкционированно доступа...


Цитата:

разве я говорил что portsentry использует только службу ipfw?

...а я такое говорила?;)


Цитата:

С остальным погорячился. Совершенно разные по принципу программы Sorry

Хорошо, что вы во всем разобрались..;)

Вау, сисадмин моего прова... а говорят Инет большой, гггг
----------------
DJ KISLOTNIY

Прочитал статью, ПОНРАВИЛОСЬ !!!
Будет ли дальше развиваться ???

Решил настроить rdate, как в статье написано, только вот до этого ntp не использовался.
Установил порт rdate и хочу проверить как работает, пускаю:
rdate time.nist.gov
Получаю:
rdate: Could not connect socket: Connection refused
Что не так настроено? Подскажите, я с синхронизацией времени вообще никогда не сталкивался...

pazdak

Развиваться будет, только в том случае если автор статьи ее обновит. В таком случае я обновлю перевод.

По поводу обновления времени, посмотри может быть каким-то файрволлом закрыты соединения на udp 123 порт.
Имеет смысл в качестве теста разрешить траффик с и на этот порт. Если не получиться проверь может быть ты не видишь самого хоста

По поводу всяких там portsentry и тп.
Насколько я понимаю автора, он писал список того чего нужно сделать что бы при сборке сервера он было наиболее безопасный. А все эти утилиты каждый уже доставляет по своему желанию, кому-то нравится одно кому-то другое. Так что весь этот шум и гам по поводу того что лучше ставить snort или portsentry я думаю был лишним. Если вы заметили то настроек и правил сетевого экрана здесь тоже нет.

Zmey

Цитата:

Если не получиться проверь может быть ты не видишь самого хоста

ping идет на time.nist.gov

Цитата:

Имеет смысл в качестве теста разрешить траффик с и на этот порт

Ты это имеешь ввиду: ???
00200 0 0 allow udp from any to any 123
00300 0 0 allow udp from any 123 to any