Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
baronjohn
Зарегистрирован: 25.03.2005 Сообщения: 16 Откуда: Украина
|
Добавлено: Пт Янв 27 2006 14:41 Заголовок сообщения: как защитить FreeBSD |
|
|
недавно включил сервер в сеть(сеть университета,я думаю есть люди,которые его взломают)....
система-FreeBSD 5.4 работают mysql и apache.Защиты-никакой...
Помогите его защитить.Большая просьба-если можна,пошагово:
че делать,как делать,че об этом почитать...инфы в инете немеряно,а че именно надо-незнаю.
Заранее благодарен! |
|
Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004 Сообщения: 722 Откуда: Дважды орденоносная Кубань,Краснодар
|
Добавлено: Ср Фев 08 2006 14:22 Заголовок сообщения: |
|
|
просто ставь и все...запарятся ломать _________________ All is not lost! |
|
Вернуться к началу |
|
|
dio
Зарегистрирован: 07.10.2004 Сообщения: 722 Откуда: Дважды орденоносная Кубань,Краснодар
|
|
Вернуться к началу |
|
|
Dmitry_Karpov
Зарегистрирован: 23.02.2006 Сообщения: 212 Откуда: Москва, Матвеевское
|
Добавлено: Пн Фев 27 2006 13:14 Заголовок сообщения: |
|
|
1) Оставь работающими только реально нужные сервисы.
2) Для реально нужных сервисов оставь только реально нужные функции.
3) Сделай качественные пароли - достаточно длинные и не подбираемые по словарю.
Обычно этого хватает.
Последний раз редактировалось: Dmitry_Karpov (Вт Фев 28 2006 13:06), всего редактировалось 1 раз |
|
Вернуться к началу |
|
|
crash
Зарегистрирован: 02.11.2001 Сообщения: 1836 Откуда: Бердск
|
Добавлено: Пн Фев 27 2006 15:26 Заголовок сообщения: |
|
|
Dmitry_Karpov писал(а): | 1) Обнови систему до FreeBSD'4.11.
|
оригинальное решение вернуться с 5 на 4.
а смысл?
baronjohn, ipfw не помешает |
|
Вернуться к началу |
|
|
baronjohn
Зарегистрирован: 25.03.2005 Сообщения: 16 Откуда: Украина
|
Добавлено: Вт Фев 28 2006 11:03 Заголовок сообщения: |
|
|
стоко прочитал за эти дни...такая каша в голове...
ipfw уже работает.
а какие сервисы нужны для норм. работы системы?
мне нужны только мускля и апач...
могу ли я закрыть все порты кроме 80 и 3306? |
|
Вернуться к началу |
|
|
Dmitry_Karpov
Зарегистрирован: 23.02.2006 Сообщения: 212 Откуда: Москва, Матвеевское
|
Добавлено: Вт Фев 28 2006 13:18 Заголовок сообщения: |
|
|
ipfw нужен только для прикрытия тех сервисов, которые не могут защитить себя сами (обычно это машины с Windows). Ну, иногда для прикрытия тех сервисов, к которым вообще не должно быть доступа снаружи (Samba, Squid, MySQL).
Что же касается PHP-скриптов, то они действительно бывают очень дырявыми. Постарайся сделать так, чтобы даже если их ломанут, хакер не мог получить никаких удобных для дальнейшего взлома инструментов: - Сделай так, чтобы webuser (от имени которого выполняется менктпрктатор скриптов) не мог запускать cc, perl, ftp-клиента, wget.
- Не храни на этой машине никаких документов, не нужных для её работы.
- Запрети через ipfw исходящие TCP-соединения.
- Не создавай файлов и директорий, доступных для записи (правда, паранойя в этом деле до добра не доводит).
- Поставь флаги защиты на все файлы, котрые не собираешься изменять - прежде всего на файлы в директориях bin, sbin, lib, libexec и т.п.; а затем поставь высокий уровень секурности, чтобы никто эти флаги не мог снять. Правда, замаешься обновлять систему.
|
|
Вернуться к началу |
|
|
Taras_
Зарегистрирован: 08.09.2005 Сообщения: 12
|
Добавлено: Ср Апр 12 2006 18:27 Заголовок сообщения: |
|
|
Vasyl писал(а): | Если мускуля нужны только ему самому, то можешь смело зарыть всё кроме 80 на предмет входящих соединений. Можно оставить ещё ssh для управления, хотя можно и без него.
А ещё, раз надо апач и мускуля, то, скорее всего, на нём ещё и что-то стоять будет под php - посмотри в гугле насчёт уязвимостей конкретных скриптов. |
Я бы использовал pf и synproxy state на 80-м, потом nginx, а потом Apache. _________________ http://www.elantech.ru : Аутсорсинг ИТ. |
|
Вернуться к началу |
|
|
bsDrake
Зарегистрирован: 19.07.2005 Сообщения: 8
|
Добавлено: Сб Апр 29 2006 12:28 Заголовок сообщения: |
|
|
Taras_ писал(а): |
Я бы использовал pf и synproxy state на 80-м, потом nginx, а потом Apache. |
согласен с аффтаром |
|
Вернуться к началу |
|
|
|