Максимально кастрировать систему аля безопасность

2

2

Суть, на хосте стоит программа которая связывается с сервером по 443 порту https/wss весимо, и к ней есть доступ по 22 порту, ssh то бишь, только по ключу. Всё, ничего более вещать и слушать не должно. Запрет всего и вся noexec на всё что можно, кастрация системных утилит. Пароль от рута в 100500 символов.

Я тут не затем как всё ограничить, man+гугл+прямые вопросы на лор в помощь не проблема, может кто добавит что? Грубо говоря хост по сути должен стать огорожен по самое небалуй.

Ссылка

←	Вопрос по безопасности OpenBSD

Nmap и 1720/tcp open H323/Q.931: несовсем понял проблему

→

Грубо говоря хост по сути должен стать огорожен по самое небалуй.

Настроить selinux. Виртуализовать все, что связывается с сеткой(сетевой адаптер пробросить), а сам гипервизор спрятать в какую-нибудь задницу, охраняемую злыми дядьками с квадратными челюстями. Залить все ненужные разъемы эпоксидкой, выкинуть из ядра драйвера от всего, что не будет необходимо для работы. Закрыть на семь ключей, колючую проволоку и обнести минным полем. мимо-воннаби-параноик

anonymous
(07.02.18 13:20:59 MSK)

Ссылка

Если нужна только одна программа, то было бы хорошо делать так, чтобы у пользователя эта программа была указана в качестве оболочки, разумеется программа должна уметь работать в качестве оболочки.

rumgot ★★★★★
(07.02.18 13:26:20 MSK)

Ответ на: комментарий от rumgot 07.02.18 13:26:20 MSK

Да про оболочку я подумал, следовательно надо запретить переключение виртуальных консолей +1 в записную книжку ))

Deleted
(07.02.18 13:37:50 MSK)

Ссылка

Если ты описал все входные условия, то больше ничего не нужно.

Deleted
(07.02.18 14:02:13 MSK)

Ссылка

XIP ядро + XIP фс + nx RAM

anonymous
(07.02.18 15:42:50 MSK)

Ссылка

Ответ на: комментарий от rumgot 07.02.18 13:26:20 MSK

а exec something в .profile, защищенном от записи, не прокатит?

MyTrooName ★★★★★
(07.02.18 15:58:00 MSK)

Ответ на: комментарий от MyTrooName 07.02.18 15:58:00 MSK

Не пробовал так. Хз

rumgot ★★★★★
(07.02.18 16:55:46 MSK)

Ссылка

10 апреля 2018 г.

ограничь доступ к портам для новых подключений, прикинь сколько новых подключений происходит в час c одного IP и ограничь используя iptables:

добавь правила:

iptables -N ssh_brute_check
iptables -A INPUT -p tcp -m conntrack --ctstate NEW -m tcp --dport 22 -j ssh_brute_check
-A ssh_brute_check -m conntrack --ctstate NEW -m recent --update --seconds 3600 --hitcount 3 --name DEFAULT --rsource -j DROP
-A ssh_brute_check -m recent --set --name DEFAULT --rsource -j ACCEPT

AnastasiaM
(10.04.18 16:41:15 MSK)