Slackware hardening
: 2006-03-23, 10:41
Od jakiegoś czasu w wolnej chwili zaczełem sobie tłumaczyć na polski oraz uaktualniać artykuł Dentona o herdeningu slackware: http://www.cochiselinux.org/files/syste ... ng-0.4.txt
Nie jestem pewien jednak kilku kwesti, i prosiłbym o pomoc w uzyskaniu
odpowiedzi na poniższe pytania:
------------------------------------1
Na samym dole jest podana lista programów, które wzmacniają zabezpieczenia, uważam iż nie ma sie co rozpisywać odnośnie każdego z nich, bo tna każdy z nich można by napisać paredzesiąt stron. Chyba wystarczy tylko wzmianka, że takowe istnieją oraz linki do stron skąd można pobrać oprogramowanie i jak je skonfigurować. Jednak wiele z tych programów jest już nieaktualnych i niepotrzebnych. Mają pewnie jakieś inne zamienniki w obecnych czasach. Nie jestem specem od bezpieczeństwa, ale ciągle się ucze i poznaje. Tak więc proszę o sugestie odnośnie zamienników, których teraz winno się używać.
------------------------------------2
Kolejną rzeczą są pliki i foldery z ustaawionym bitem SUID/SGID. Wiadomo, najlepiej byłoby wywalić wszyskie, jednak gdy użytkownik wdraża poniższe ustawienia , należy zostawić w pewnych plikach. Ja miałem problem tylko z "su", gdy bit SUID był zdjęty, ale czy napewno ? Co z resztą katalogów - wywalić wszystko?
-------------------------------------3
Następna rzecz to pliki i foldery z możliwością zapisu, dla grup,innych. Czy wszyskim odebrać możliwość z wyników?
-------------------------------------4
Nie jestem pewien ale:
Wyczytalem ze w jajkach ponizej 2.4 trzeba to wlaczyc, w celu unikniecia ataków fragmentacyjnych. czy w 2.4 i 2.6 nie trzeba ?
-------------------------------------5
Denton pisze, żeby zrobić tak:
Lines 57-58: comment out and add:
Wg mnie powinno być tak: (zakomentować całośc odnośnie PS1, i zamiast tego wstawić:)
Nie jestem pewien jednak kilku kwesti, i prosiłbym o pomoc w uzyskaniu
odpowiedzi na poniższe pytania:
------------------------------------1
Na samym dole jest podana lista programów, które wzmacniają zabezpieczenia, uważam iż nie ma sie co rozpisywać odnośnie każdego z nich, bo tna każdy z nich można by napisać paredzesiąt stron. Chyba wystarczy tylko wzmianka, że takowe istnieją oraz linki do stron skąd można pobrać oprogramowanie i jak je skonfigurować. Jednak wiele z tych programów jest już nieaktualnych i niepotrzebnych. Mają pewnie jakieś inne zamienniki w obecnych czasach. Nie jestem specem od bezpieczeństwa, ale ciągle się ucze i poznaje. Tak więc proszę o sugestie odnośnie zamienników, których teraz winno się używać.
------------------------------------2
Kolejną rzeczą są pliki i foldery z ustaawionym bitem SUID/SGID. Wiadomo, najlepiej byłoby wywalić wszyskie, jednak gdy użytkownik wdraża poniższe ustawienia , należy zostawić w pewnych plikach. Ja miałem problem tylko z "su", gdy bit SUID był zdjęty, ale czy napewno ? Co z resztą katalogów - wywalić wszystko?
Kod: Zaznacz cały
find / -type f \( -perm -4000 -o -perm -2000 \) -ls > suid_files.out
find / -type d \( -perm -4000 -o -perm -2000 \) -ls > suid_dir.out
-------------------------------------3
Następna rzecz to pliki i foldery z możliwością zapisu, dla grup,innych. Czy wszyskim odebrać możliwość z wyników?
Kod: Zaznacz cały
find / -type f \( -perm -2 -o -perm -20 \) -ls > write_files.out
find / -type d \( -perm -2 -o -perm -20 \) -ls > write_dir.out
-------------------------------------4
Nie jestem pewien ale:
Wyczytalem ze w jajkach ponizej 2.4 trzeba to wlaczyc, w celu unikniecia ataków fragmentacyjnych. czy w 2.4 i 2.6 nie trzeba ?
Kod: Zaznacz cały
echo 1 > /proc/sys/net/ipv4/ip_always_defrag
Denton pisze, żeby zrobić tak:
Lines 57-58: comment out and add:
Kod: Zaznacz cały
elif [ `id -u` = "0" ]; then
PS1="\[\033[1;31m\[\t [\j]:\w\$\[\033[0m\] "
else
PS1="\[\033[1;32m\[\t [\j]:\w\$\[\033[0m\] "
Kod: Zaznacz cały
if [ id -u = "0" ]; then
PS1="\[\033[1;31m\[\t [\j]:\w\$\[\033[0m\] "
else
PS1="\[\033[1;32m\[\t [\j]:\w\$\[\033[0m\] "
fi