LINUX.ORG.RU

20 советов по повышению безопасности сервера Linux

 , ,


0

0

В этой статье из серии, посвященной безопасности серверов Linux, приводится 20 советов по повышению безопасности Linux-сервера, установленного с настройками, заданными по умолчанию.

>>> Подробности

★★★

Проверено: Shaman007 ()

20 советов по повышению безопасности сервера Linux

ниочем.

Slackware_user ★★★★★ ()

20 советов по повышению безопасности сервера Linux

На советы не похоже. Больше напоминает «FAQ начинающего сервероида».

slyjoe ()

20 советов по повышению безопасности сервера Linux

№ 14: Отключите IPv6

Это пять :)

zenith ★★★ ()

20 советов по повышению безопасности сервера Linux

>Expire : Количество дней, начиная с 1 января 1070 г.

вона как, оказывается. Unix c 1070 года существует. Информативная стать.

А по факту сферические советы в вакууме.

rave ()

20 советов по повышению безопасности сервера Linux

>Удалите X Windows

Если он не нужен, то нахрена ставить то было???

rave ()

20 советов по повышению безопасности сервера Linux

>Это в Debian, CentOS или RHEL?

И другие.

Мне вот интересно — а есть ли такие задачи, в которых X сервер на сервере действительно необходим?

edigaryev ★★★★★ ()

Re: 20 советов по повышению безопасности сервера Linux

статью ещё не читал, но в Х можно позволить себе например нормальные шрифты в консоли(а если ещё и фреймбуффера нормального нет..) и браузер с н-ным количеством вкладок.

S_Paul ★★★★ ()

20 советов по повышению безопасности сервера Linux

Зачем браузер на сервере с н-ным количеством вкладок? Апдейты с майкрософт.ком качать :)

>№ 10: Удалите X Windows

>X Windows на сервере не нужен

урюк )))

forkostya ()

20 советов по повышению безопасности сервера Linux

>Запускайте различные сетевые сервисы на отдельных серверах или отдельных экземплярах виртуальной машины.

Популяризация виртуализации делает свое дело

unt1tled ★★★★ ()

20 советов по повышению безопасности сервера Linux

> статью ещё не читал, но в Х можно позволить себе например нормальные шрифты в консоли(а если ещё и фреймбуффера нормального нет..) и браузер с н-ным количеством вкладок.

Зачем? Неужели локально с ним работаете? Достаточно ssh, ну на крайняк можно Х-приложения на рабочий десктоп пробрасывать....

zd3n ()

20 советов по повышению безопасности сервера Linux

А там есть: «Совет #0: отключите машину от сети.»? По ссылке не ходил.

ferhiord ★★ ()

20 советов по повышению безопасности сервера Linux

Используйте pam_cracklib.so to для того, чтобы поверять силу используемых паролей.

Подозреваю перевод. Невнимательный.

world ()

20 советов по повышению безопасности сервера Linux

но в Х можно позволить себе например нормальные шрифты в консоли(а если ещё и фреймбуффера нормального нет..) и браузер с н-ным количеством вкладок.

Зачем вам это все на сервере? Для этого есть десктоп.

edigaryev ★★★★★ ()

20 советов по повышению безопасности сервера Linux

Thank you, Captain Obvious!!!

anonymous ()

20 советов по повышению безопасности сервера Linux

Все 20 "советов" можно тупо объединить в один.

Оградите сервер от деби^Wнеграмотных школьников и сотрудников.

lexxus-lex ★★★ ()

20 советов по повышению безопасности сервера Linux

> Оградите сервер от деби^Wнеграмотных школьников и сотрудников.

полностью согласен, целевая аудитория статьи - начинающие убунтоиды слезшие с winfaq'а

p.s. тенденция продвижения линукса в массы работает потихоньку (вроде бы и хорошо, но иногда ...)

real_maverick ★★★ ()

20 советов по повышению безопасности сервера Linux

>в нем должны присутствовать заглавные и прописные буквы Заглавные и прописные - это одно и то же. Маленькие буквы называются - строчные. Всегда ваш, К.О.

anonymous ()

Re: 20 советов по повышению безопасности сервера Linux

Всё-таки вы меня удивляете. Все такие умные, статья ни о чём, а как иначе узнать те или иные вещи? Для себя в каждой такой статье нахожу что-то новое + повторяю старое, новые методы решения старых проблем и так далее.

В общем, полезная ссылочка, спасибо!

Irben ★★ ()

20 советов по повышению безопасности сервера Linux

Ну наконец-то! А то мануалы, мануалы..

anonymous ()

20 советов по повышению безопасности сервера Linux

ждёмсь "20 советов по повышению безопасности десктопа Linux "
№ 10: Удалите X Windows

anonym43 ()

20 советов по повышению безопасности сервера Linux

>Избегайте использовать FTP
>yum erase inetd xinetd ypserv [b]tftp-server[/b]

Каким боком tftp сервер относится к протоколу ftp?
>воспользуйтесь менеджером пакетов RPM, таким как yum или apt-get и/или dpkg

apt-get - однозначно "менеджер пакетов RPM".
>nmap -sT -O localhost

Параметр "-О" здесь просто необходим, я ж не знаю, какая ОС у меня на сервере.
Ну и конечно же, их русский такой русский!

unikoid ★★★ ()

20 советов по повышению безопасности сервера Linux

rsbac не упомянут, слив.
Кроме того предлагается сувать всё в виртуальные машины или полноценные контейнеры типо openvz. Аффтар явно хочет делать лишную работу, просто любит видимо. И упомянув SELinux видимо забыл что контейнеры реально нужны скорее не для безопастности, а для разграничения ресурсов и имения процессами разных копий одних и тех же файлов. Не говоря уже о удобстве cgroups, jail(из rsbac).
В общем свалено всё в кучу в статье. Такие не нужны. Централизованный репозитарий документации пора делать, чтобы там освещались конкретные темы в подразделах. А не так, галопом по европам. Вердикт - жопа.

ixrws ★★ ()

20 советов по повышению безопасности сервера Linux

Во-первых: неоригиальная документация на неоригинальном языке - по определению зло, большое зло.
Во-вторых: статьи пытающиеся охватить кучу тем за мало времени не могут содержать в себе достаточного количества информации. Если аффтар хотел донести сведения о тех или иных подсистемах и принципах - то он мог кинуть 20ть ссылок + 20 кратких описаний ссылок, состоящих из 3-10 слов. Люди бы не тратили время на чтение этой писанины.
В-третьих: пора уже объединятся и писать документацию в рамках тех проектов, для которых документация пишется. Такие же статьи быстро теряют актуальность и их сложнее искать.

ixrws ★★ ()

20 советов по повышению безопасности сервера Linux

Маладца!!!

>X Windows на сервере не нужен.
># yum groupremove "X Window System"

Нужен. И еще как! :)

root@cactus:~# ldd /usr/local/apache/libexec/libphp5.so | grep "libX"
libX11.so.6 => /usr/X11R6/lib/libX11.so.6 (0xb72b0000)
libXpm.so.4 => /usr/X11R6/lib/libXpm.so.4 (0xb72a0000)
libXau.so.6 => /usr/X11R6/lib/libXau.so.6 (0xb6ca2000)
libXdmcp.so.6 => /usr/X11R6/lib/libXdmcp.so.6 (0xb6c9c000)
root@cactus:~#

Аффтар! Дерзай!!! :) Жизнь такими темпами у тебя будет ОЧЧЧЕНЬ веселой.

su ()

Re: 20 советов по повышению безопасности сервера Linux

Зачем браузер на сервере с н-ным количеством вкладок? Апдейты с майкрософт.ком качать :)

опущусь до оскорблений: ты «не очень умный человек», незнаю что там с апдейтами у тебя, но сервер может быть НЕ ТОЛЬКО удалённым, а и под боком а идти куда-то лень.

S_Paul ★★★★ ()

Re: 20 советов по повышению безопасности сервера Linux

Во-первых: неоригиальная документация на неоригинальном языке - по определению зло, большое зло.

Есть же ссылка на оригинал в начале статьи.

Во-вторых: статьи пытающиеся охватить кучу тем за мало времени не могут содержать в себе достаточного количества информации. Если аффтар хотел донести сведения о тех или иных подсистемах и принципах - то он мог кинуть 20ть ссылок + 20 кратких описаний ссылок, состоящих из 3-10 слов. Люди бы не тратили время на чтение этой писанины.

Опять-таки почти после каждого совета есть ссылка, а чаще больше одной на дополнительный материал.

В-третьих: пора уже объединятся и писать документацию в рамках тех проектов, для которых документация пишется. Такие же статьи быстро теряют актуальность и их сложнее искать.

Абсолютно согласен, что статьи теряются. Правда, если ты сидишь на данном ресурсе, то найти нужную статью, прочитанную когда-то не так уж и сложно. Да и почти вся информация актуальна первые пару дней, потом очень редко кто-то к ней возвращается, ибо всё находится с помощью поисковиков.

Irben ★★ ()

20 советов по повышению безопасности сервера Linux

Нафига нужны TCP-wrappers если есть iptables? Чтобы ещё больше затруднить конфигурирование сетевых ACL и разбросать их по двум местам вместо одного?

cyberax ()

20 советов по повышению безопасности сервера Linux

Мне вот интересно — а есть ли такие задачи, в которых X сервер на сервере действительно необходим?

Году в 2005-м возился с системой управления проектами Project Tracking, что славным РЕЛЭКС'ом ваяется. Так там ошметки иксов на сервере были обязательным требованием. Ибо оно генерило отчеты забавно-заковыристым способом: создавало невидимое окно, рисовало на нем текст отчета и делало скриншот 8)

nebm51 ()

20 советов по повышению безопасности сервера Linux

>Ибо оно генерило отчеты забавно-заковыристым способом: создавало невидимое окно, рисовало на нем текст отчета и делало скриншот 8)

Ух ты, за такое наверное руки отрывают. И ноги, чтобы не смогли приделать руки.

Получается что иксы нужны только для терминальных серверов (freenx, LTSP).

edigaryev ★★★★★ ()

20 советов по повышению безопасности сервера Linux

по-моему, перестать пользоваться telnetd, rsh и rlogin предлагают уже лет десять. а ими как никто не пользовался, так и не пользуется. нипанятна.

volh ★★ ()

20 советов по повышению безопасности сервера Linux

facepalm

paran0id ★★★★★ ()

20 советов по повышению безопасности сервера Linux

Честно говоря, для чего именно PHP нужны либы Хов не знаю.
Правда, подозреваю, что для отрисовки TTF, GD и, может быть, XML.
Причем, вовсе не факт, что PHP иксовые либы вызывает напрямую. Возможно, он просто вызывает некие либы, которым для работы нужны libX.
Вот config.nice от него:

#! /bin/sh
#
# Created by configure

'./configure' \
'--with-apxs=/usr/local/apache/bin/apxs' \
'--disable-ipv6' \
'--with-openssl' \
'--with-zlib' \
'--enable-bcmath' \
'--with-bz2' \
'--enable-calendar' \
'--enable-dba=shared' \
'--enable-ftp' \
'--with-openssl-dir' \
'--with-gd' \
'--with-jpeg-dir' \
'--with-png-dir' \
'--with-zlib-dir' \
'--with-xpm-dir' \
'--with-ttf' \
'--with-freetype-dir' \
'--with-t1lib' \
'--enable-gd-native-ttf' \
'--enable-gd-jis-conv' \
'--with-gettext' \
'--with-gmp' \
'--enable-mbstring' \
'--with-mhash' \
'--with-mysql=/usr/local' \
'--with-mysql-sock=/tmp/mysql.sock' \
'--with-ncurses' \
'--with-readline' \
'--with-snmp' \
'--with-mm' \
'--enable-soap' \
'--enable-sockets' \
'--enable-wddx' \
'--with-xmlrpc' \
'--with-iconv' \
'--enable-zip' \
'--with-xsl' \
'--with-mime-magic' \
'--with-mcrypt=/usr/local' \
"$@"

su ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.