Linux サーバーを維持する上で、どのようなセキュリティのベスト プラクティスを強くお勧めしますか?
(つまり、ファイアウォールを立ち上げる、不要なサービスを無効にする、suid 実行可能ファイルに注意する、など。)
また: Selinux に関する決定的なリファレンスはありますか?
編集: はい、少なくとも openvpn、ssh、apache (現時点では動的コンテンツなし) を使用してマシンをインターネットに接続し、一部の人々にシェル アクセスを提供する予定です。
SELinux については、SELinux By Exampleが非常に役立つことがわかりました。サーバーを可能な限り安全に保つことについて非常に詳細に説明されており、そのような幅広いトピックについて非常によく書かれています.
一般的には:
NSAドキュメント「RHEL5のNSAセキュリティガイド」は次の場所で入手できます。
http://www.nsa.gov/ia/_files/os/redhat/rhel5-guide-i731.pdf
これは非常に役立ち、少なくとも体系的です。
簡単に言えば、場合によるということです。それはあなたがそれを何のために使用しているかに依存し、それはあなたが物を保護するためにどれだけの努力を払うべきかに影響を与えます.
この質問への回答には、いくつかの便利なヒントがあります: 公開アクセス用に Linux Web サーバーを保護する
ボックスをインターネットに投げていない場合、これらの回答の一部は関係ありません. あなたがそれをインターネットに投げ出し、漠然と興味深いものをホストしている場合、それらの答えはあなたにとって自由すぎる.
それは多かれ少なかれ私がすることです。
編集:以前に名前を付けるのを忘れていたいくつかのアイデアを追加しました...
目標: 最も難しいのは、常にセキュリティの目標を定義することです。その時点で、他のすべては比較的簡単です。
調査/調査: 攻撃者が取るのと同じアプローチ、つまりネットワークの偵察 (namp はそのために非常に役立ちます) を検討してください。
詳細情報: SELinux by example は参考になる本ですが、SELinux 情報の集中化された優れた情報源を見つけることは依然として困難です。時々役に立つリンクの小さなリストがありますhttp://delicious.com/reverand_13/selinux
役立つソリューション/ツール: ほとんどの人が言うことと同様に、少ないほど多くなります。SELinux を備えた箱から取り出した状態で、クリップ ( http://oss.tresys.com/projects/clip ) をお勧めします。私の友人は、ボックスが他の参加者から直接攻撃を受けている学術シミュレーションでそれを使用しました。私はその話がその箱のために非常に好意的に結ばれたことを覚えています.
SELinux ポリシーの作成に慣れる必要があります。モジュラー ポリシーも役立ちます。SLIDE や seedit (まだ試していません) などのツールが役立つかもしれません。
1.) 必要かつ関連するポートのみを有効にします。
2.) ネットワーク データの定期スキャン - アウト
3.) サーバーにアクセスする IP アドレスを定期的にスキャンし、それらの IP アドレスに関連する異常なデータ アクティビティがログ/トレースから検出されたかどうかを確認します。
4.) 重要で機密性の高いデータやコードがサーバーに存在する必要がある場合は、暗号化できる可能性があります
-広告
必要がない限り、DNS サーバーを使用しないでください。BIND は、セキュリティの問題とエクスプロイトのホットスポットでした。