1

Linux サーバーを維持する上で、どのようなセキュリティのベスト プラクティスを強くお勧めしますか?
(つまり、ファイアウォールを立ち上げる、不要なサービスを無効にする、suid 実行可能ファイルに注意する、など。)

また: Selinux に関する決定的なリファレンスはありますか?

編集: はい、少なくとも openvpn、ssh、apache (現時点では動的コンテンツなし) を使用してマシンをインターネットに接続し、一部の人々にシェル アクセスを提供する予定です。

4

8 に答える 8

5

SELinux については、SELinux By Exampleが非常に役立つことがわかりました。サーバーを可能な限り安全に保つことについて非常に詳細に説明されており、そのような幅広いトピックについて非常によく書かれています.

一般的には:

  • 必要のないものはすべて無効にします。攻撃ドメインが広ければ広いほど、違反が発生する可能性が高くなります。
  • 重要なサーバーの前に侵入検知システム (IDS) レイヤーを使用します。
  • 内部ネットワークとは異なるセキュリティ ゾーンにサーバーを配置します。
  • アップデートをできるだけ早く展開します。
  • リモートでアクセス可能なアプリに対するゼロデイ攻撃の最新情報を入手してください。
于 2008-10-09T11:31:53.153 に答える
4

NSAドキュメント「RHEL5のNSAセキュリティガイド」は次の場所で入手できます。

http://www.nsa.gov/ia/_files/os/redhat/rhel5-guide-i731.pdf

これは非常に役立ち、少なくとも体系的です。

于 2008-10-09T12:11:18.363 に答える
4

簡単に言えば、場合によるということです。それはあなたがそれを何のために使用しているかに依存し、それはあなたが物を保護するためにどれだけの努力を払うべきかに影響を与えます.

この質問への回答には、いくつかの便利なヒントがあります: 公開アクセス用に Linux Web サーバーを保護する

ボックスをインターネットに投げていない場合、これらの回答の一部は関係ありません. あなたがそれをインターネットに投げ出し、漠然と興味深いものホストしている場合、それらの答えはあなたにとって自由すぎる.

于 2008-10-09T11:27:17.127 に答える
2
  • ソフトウェアを実際に使用するものだけに制限する
  • sudo、ACL、カーネル機能、および SELinux/AppArmor/PaX ポリシーを通じて、ユーザーの権限を制限します
  • 難しいパスワードの使用を強制する (人間が理解できる言葉を使用しない、誕生日を使用しないなど)。
  • 「危険な」アプリケーション用に LXC カウンター、chroot、または vserver ジェイルを作成する
  • ネットワーク トラフィック用の Snort やログ分析用の OSSEC など、いくつかの IDS をインストールします。
  • サーバーを監視する
  • 機密データを暗号化します (truecrypt は神々の贈り物です)
  • GRSecurity でカーネルにパッチを適用します。これにより、非常に優れたレベルのパラノイアが追加されます。

それは多かれ少なかれ私がすることです。

編集:以前に名前を付けるのを忘れていたいくつかのアイデアを追加しました...

于 2008-10-09T13:05:12.937 に答える
1

目標: 最も難しいのは、常にセキュリティの目標を定義することです。その時点で、他のすべては比較的簡単です。

調査/調査: 攻撃者が取るのと同じアプローチ、つまりネットワークの偵察 (namp はそのために非常に役立ちます) を検討してください。

詳細情報: SELinux by example は参考になる本ですが、SELinux 情報の集中化された優れた情報源を見つけることは依然として困難です。時々役に立つリンクの小さなリストがありますhttp://delicious.com/reverand_13/selinux

役立つソリューション/ツール: ほとんどの人が言うことと同様に、少ないほど多くなります。SELinux を備えた箱から取り出した状態で、クリップ ( http://oss.tresys.com/projects/clip ) をお勧めします。私の友人は、ボックスが他の参加者から直接攻撃を受けている学術シミュレーションでそれを使用しました。私はその話がその箱のために非常に好意的に結ばれたことを覚えています.

SELinux ポリシーの作成に慣れる必要があります。モジュラー ポリシーも役立ちます。SLIDE や seedit (まだ試していません) などのツールが役立つかもしれません。

于 2009-06-20T00:34:32.377 に答える
1

1.) 必要かつ関連するポートのみを有効にします。

2.) ネットワーク データの定期スキャン - アウト

3.) サーバーにアクセスする IP アドレスを定期的にスキャンし、それらの IP アドレスに関連する異常なデータ アクティビティがログ/トレースから検出されたかどうかを確認します。

4.) 重要で機密性の高いデータやコードがサーバーに存在する必要がある場合は、暗号化できる可能性があります

-広告

于 2008-10-09T11:25:59.703 に答える
0

必要がない限り、DNS サーバーを使用しないでください。BIND は、セキュリティの問題とエクスプロイトのホットスポットでした。

于 2008-10-09T13:29:48.020 に答える