Logo Море(!) аналитической информации!
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware
Архив форумов ЦИТФорума
Море(!) вопросов - Море(!) ответов
 
 FAQFAQ   ПоискПоиск   ПользователиПользователи   ГруппыГруппы   РегистрацияРегистрация 
 ПрофильПрофиль   Войти и проверить личные сообщенияВойти и проверить личные сообщения   ВходВход 
Как правильно задавать вопросы

как защитить FreeBSD

 
Перейти:  
Этот форум закрыт, вы не можете писать новые сообщения и редактировать старые.   Эта тема закрыта, вы не можете писать ответы и редактировать сообщения.    Список форумов Архив форумов ЦИТФорума -> Unix
Предыдущая тема :: Следующая тема  
Автор Сообщение
baronjohn



Зарегистрирован: 25.03.2005
Сообщения: 16
Откуда: Украина

СообщениеДобавлено: Пт Янв 27 2006 14:41    Заголовок сообщения: как защитить FreeBSD Ответить с цитатой

недавно включил сервер в сеть(сеть университета,я думаю есть люди,которые его взломают)....
система-FreeBSD 5.4 работают mysql и apache.Защиты-никакой...

Помогите его защитить.Большая просьба-если можна,пошагово:
че делать,как делать,че об этом почитать...инфы в инете немеряно,а че именно надо-незнаю.

Заранее благодарен!
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
dio



Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар

СообщениеДобавлено: Ср Фев 08 2006 14:22    Заголовок сообщения: Ответить с цитатой

просто ставь и все...запарятся ломать Laughing
_________________
All is not lost! Smile
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
dio



Зарегистрирован: 07.10.2004
Сообщения: 722
Откуда: Дважды орденоносная Кубань,Краснодар

СообщениеДобавлено: Ср Фев 08 2006 14:27    Заголовок сообщения: Ответить с цитатой

или тут...
http://www.onlamp.com/pub/a/bsd/2003/03/06/FreeBSD_Basics.html
www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/security.html
www.freebsd.org/security/security.html
www.watson.org/fbsd-hardening/
www.antioffline.com/deviation/bsd.html
_________________
All is not lost! Smile
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
Dmitry_Karpov



Зарегистрирован: 23.02.2006
Сообщения: 212
Откуда: Москва, Матвеевское

СообщениеДобавлено: Пн Фев 27 2006 13:14    Заголовок сообщения: Ответить с цитатой

1) Оставь работающими только реально нужные сервисы.

2) Для реально нужных сервисов оставь только реально нужные функции.

3) Сделай качественные пароли - достаточно длинные и не подбираемые по словарю.

Обычно этого хватает.


Последний раз редактировалось: Dmitry_Karpov (Вт Фев 28 2006 13:06), всего редактировалось 1 раз
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
crash



Зарегистрирован: 02.11.2001
Сообщения: 1836
Откуда: Бердск

СообщениеДобавлено: Пн Фев 27 2006 15:26    Заголовок сообщения: Ответить с цитатой

Dmitry_Karpov писал(а):
1) Обнови систему до FreeBSD'4.11.

оригинальное решение вернуться с 5 на 4.
а смысл?
baronjohn, ipfw не помешает
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
baronjohn



Зарегистрирован: 25.03.2005
Сообщения: 16
Откуда: Украина

СообщениеДобавлено: Вт Фев 28 2006 11:03    Заголовок сообщения: Ответить с цитатой

стоко прочитал за эти дни...такая каша в голове...

ipfw уже работает.
а какие сервисы нужны для норм. работы системы?
мне нужны только мускля и апач...
могу ли я закрыть все порты кроме 80 и 3306?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Dmitry_Karpov



Зарегистрирован: 23.02.2006
Сообщения: 212
Откуда: Москва, Матвеевское

СообщениеДобавлено: Вт Фев 28 2006 13:18    Заголовок сообщения: Ответить с цитатой

ipfw нужен только для прикрытия тех сервисов, которые не могут защитить себя сами (обычно это машины с Windows). Ну, иногда для прикрытия тех сервисов, к которым вообще не должно быть доступа снаружи (Samba, Squid, MySQL).

Что же касается PHP-скриптов, то они действительно бывают очень дырявыми. Постарайся сделать так, чтобы даже если их ломанут, хакер не мог получить никаких удобных для дальнейшего взлома инструментов:
  • Сделай так, чтобы webuser (от имени которого выполняется менктпрктатор скриптов) не мог запускать cc, perl, ftp-клиента, wget.
  • Не храни на этой машине никаких документов, не нужных для её работы.
  • Запрети через ipfw исходящие TCP-соединения.
  • Не создавай файлов и директорий, доступных для записи (правда, паранойя в этом деле до добра не доводит).
  • Поставь флаги защиты на все файлы, котрые не собираешься изменять - прежде всего на файлы в директориях bin, sbin, lib, libexec и т.п.; а затем поставь высокий уровень секурности, чтобы никто эти флаги не мог снять. Правда, замаешься обновлять систему.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
Taras_



Зарегистрирован: 08.09.2005
Сообщения: 12

СообщениеДобавлено: Ср Апр 12 2006 18:27    Заголовок сообщения: Ответить с цитатой

Vasyl писал(а):
Если мускуля нужны только ему самому, то можешь смело зарыть всё кроме 80 на предмет входящих соединений. Можно оставить ещё ssh для управления, хотя можно и без него.

А ещё, раз надо апач и мускуля, то, скорее всего, на нём ещё и что-то стоять будет под php - посмотри в гугле насчёт уязвимостей конкретных скриптов.


Я бы использовал pf и synproxy state на 80-м, потом nginx, а потом Apache.
_________________
http://www.elantech.ru : Аутсорсинг ИТ.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail Посетить сайт автора
bsDrake



Зарегистрирован: 19.07.2005
Сообщения: 8

СообщениеДобавлено: Сб Апр 29 2006 12:28    Заголовок сообщения: Ответить с цитатой

Taras_ писал(а):

Я бы использовал pf и synproxy state на 80-м, потом nginx, а потом Apache.


согласен с аффтаром
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Показать сообщения:   
Этот форум закрыт, вы не можете писать новые сообщения и редактировать старые.   Эта тема закрыта, вы не можете писать ответы и редактировать сообщения.    Список форумов Архив форумов ЦИТФорума -> Unix Часовой пояс: GMT + 3
Страница 1 из 1

 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах


Powered by phpBB © 2001, 2002 phpBB Group
Русская поддержка phpBB

 

IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

Информация для рекламодателей PR-акции, размещение рекламы — adv@citforum.ru,
тел. +7 495 6608306, ICQ 232284597
Пресс-релизы — pr@citforum.ru
Послать комментарий
Информация для авторов
This Web server launched on February 24, 1997
Copyright © 1997-2000 CIT, © 2001-2006 CIT Forum
Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...