Какие конкретные изменения вы вносите при усилении установки нового NetBSD?

Я знаю большинство общих советов: "отключите ненужные службы", "на самом деле нет, отключите ненужные службы", "наименьшие привилегии" и т. Д. Я также видел несколько руководств и / или инструментов, например, Bastille, для усиление Linux-боксов, но ничего такого, что, похоже, не приспособлено для NetBSD

Предположим, ради этого списка, что я уже убедился root У меня нет доступа по SSH, но я не установил никакого серверного программного обеспечения.

Каковы ваши первые шаги по обеспечению безопасности новой коробки NetBSD?

ОБНОВЛЕНИЕ: чтобы быть ясным, я ищу конкретные шаги. Я полностью самоучка, когда дело доходит до администратора сервера, но я чувствую, что у меня есть приличное понимание общих принципов. Я ищу детали по двум причинам:

  1. Чтобы увидеть, есть ли что-нибудь специфичное для NetBSD, которое я пропустил.
  2. Чтобы увидеть, есть ли у других людей лучшие методы для реализации общих принципов на практике.

Благодарю.

Источник

3 ответа

Решение

Пожалуйста, смотрите безопасность (8) в руководстве по NetBSD. Вы можете:

  • Установить безопасный уровень в rc.conf укрепить производственную систему
  • включить security.curtain = 1 в sysctl.conf, чтобы ограничить пользователей видеть друг друга.
  • Сделать соответствующие файлы неизменяемыми или добавлять только с помощью chflags
  • Включить PaX mprotect и расширения рандомизации макета адресного пространства (aslr) в sysctl.conf (security.pax.mprotect.global=1, security.pax.aslr.global=1)
  • Рассмотрим Veriexec проверенные двоичные файлы

См. Также статью Элада Эфрата " Недавние усовершенствования в области безопасности в NetBSD".

Обратите внимание, что функции, предотвращающие изменение двоичных файлов, также не позволяют обновлять систему, поэтому подготовьтесь к обновлению в однопользовательском режиме.

Расширения PaX могут помешать работе некоторых программ, таких как gnu make. Вы можете оставить флаги.global отключенными и установить флаги PaX на двоичной основе с помощью paxctl.

Источник

То же самое с каждой системой:

  • Установите и настройте брандмауэр. Сделайте это как можно более ограничительным.
  • Убедитесь, что система регулярно обновляется
  • Отключить пароль для входа в SSH, разрешить только сертификаты
  • Установите хорошие процедуры регистрации и анализа журнала.
  • При настройке серверов: если возможно, но за решеткой (chroot jails)
  • Не устанавливайте X11, веб-браузер или любое несерверное программное обеспечение (кроме, конечно, рабочей станции...).
  • Отключи его от сети;-)
Источник

Как сказал SvenW, основные понятия довольно хорошо применимы по всем направлениям.

Для подробного изучения в Центре интернет-безопасности есть тест, доступный для FreeBSD. Я полагаю, что это должно быть довольно легко перевести на вашу среду.

Источник
Другие вопросы по тегам