На главную
Вы находитесь в Хранилище файлов Белорусской цифровой библиотеки

Linux и Security

Конфигурирование tcp-wrapper'а

Перекрыть доступ снаружи на узловую машину: В файл /etc/hosts.deny вставить строчку ALL : ALL Открыть доступ на узловую машину с машин локальной сети 195.0.1.0 В файл /etc/hosts.allow вставить строчки ALL : \ 127.0.0.1 ALL : \ 195.0.1.0/255.255.255.0

А какой версии sendmail на вашей машине?

Date: 10 апр 97 Кстати CERT советует ставить Sendmail 8.8.5. Более ранние версии позволяют удаленно выполнять любые команды от имени суперпользователя на вашей машине.

* Имеющий доступ к консоли Linux может стать суперюзером *

Способы: 0. Загрузка со своей загрузочной дискеты 1. Загрузка с single user mode 2. Указать альтернативную программу init 3. Задать другой root-partition

1. Booting to single-user mode

LILO: linux single Debian обходит это поправками в /etc/initab, а RedHat - пропускает # What to do in single-user mode. ~~:S:wait:/sbin/sulogin

2. Указать альтернативную программу init

LILO: linux init=/bin/bash

3. Задать другой root-partition

LILO: linux root=/dev/hda1 Если создать в отдельной партиции всю положенную для корня структуру, то можно будет с нее загрузиться. Эту возможность можно получить, например, если /tmp монтируется в отдельную партицию. Или машина поддерживает UMS­ DOS и имеет досовский раздел.

Лечение

Закрыть паролем BIOS-setting и отключить возможность загрузиться с дискеты. Закрывайте возможность перехвата LILO-prompt A workaround can be achieved by using PASSWORD and RESTRICT options in /etc/lilo.conf. Внимание: /etc/lilo.conf должен быть root.root 600, чтоб никто не смог этот пароль подсмотреть.

* kerneld and ifconfig *

Команда /sbin/ifconfig module-name позволяет _любому_ пользователю загрузить модуль из каталога /lib/modules используя kerneld. Лечение: Пока не залечено в промышленном масштабе. Отключайте kerneld или явно указывайте модули, которые можно грузить, уберите все лишние модули доставшиеся вам после инсталляции.

Дырка в X

Xserver -xkbdir 'id > /tmp/I_WAS_HERE;' Quick fix: 1. as usual chmod u-s,g-s all installed Xserver binaries (*) 2. use xdm or a SAFE and PARANOID wrapper to start Xserver

Security и lilo

А вы знаете, что загрузчик lilo может запустить после загрузки root-овый shell? Lilo boot: linux init=/bin/sh rw

Кое какие закрывашки в RedHat 5.2

chmod 700 /usr/sbin chmod 700 /usr/X11R6 chmod -s /usr/lib/emacs/20.3/i386-redhat-linux/movemail rm /usr/libexec/mail.local # -- это надо? вроде, procmail уже есть. rm /usr/sbin/userhelper # - дыряв - кусок GUI для админов новичков rpm -Uvf lpr-0.48-0.5.2.i386.rpm # взять из updates #www.openwall.com/bind/ rpm -U vixie-cron-3.0.1-37.5.2.i386.rpm ps axuw|grep -i cron root 1151 0.0 0.1 864 416 ? S 21:03 0:00 CROND root 1804 1.5 0.1 864 496 ? S 21:04 0:00 crond неплохо бы создать группу crontab и -rwsr-x--- 1 root crontab 20200 Aug 27 19:12 crontab ии на файл crontab тогда root.crontab, chmod 4710 /usr./bin/crontab crond'а. поправить ftpaccess'овый regex (чтобы из .файлов давал только .forward) создавать, а лучше - вообще никаких. и sendmail (чтобы у таких .forward не позволял запускать скрипты)

Подозрительные services: Какой процесс висит на порту

netstat -an | egrep -v ':80 |udp|:53 ' lsof: продвинутый fuser (открытые файлы, порты и т.д. ftp://vic.cc.purdue.edu/pub/tools/unix/lsof/ sockstat: (послабее, но попроще) fuser -v 6012/tcp #www.bog.pp.ru/work/linux.html#firewall

Last-modified: Tue, 25 Jan 2000 23:00:29 GMT
World LibraryРеклама в библиотекеПроект для детей старше 12 лет!
Проект Либмонстра, партнеры БЦБ - Украинская цифровая библиотека и Либмонстр Россия
https://database.library.by