Sikkerhet

[JuZt3r]

Nå sitter jeg her på julaften, og har ikke en dritt å gjøre

så tittet jeg igjennom *ix forumet og fant ikke noe som hadde med *ix sikkerhet å gjøre.

Så jeg bare lurer på hvordan dere sikkrer desktop\server pcene deres?

Personlig har jeg ikke en dritt av sikkerhet både "server" og desktop pc. (uten om at desktop pc står bak en ruter som nekter ting ut og inn og bare slår seg av når den vil ) og selfølgelig alt av programvare osv oppdatert.

 

EDIT:

 

Dere kunne kanskje tatt med om det er på server eller desktop pc, og hvorfor dere har akkurat den sikkerheten. Og kanskje beskrevet\forklart hva det er. SÅ det kan hjelpe med og andre til å sikre pcen\servern

Endret 24. desember 2003 av JuZt3r

[DummeGaas]

Jeg har et skikkelig vanskelig root-passord(5hj-2!.e).

[bkak]

Rootpassord, toorkonto sikret og jeg oppdaterer alt. Er vel det som strengt tatt trengs for hjemmemaskiner det

[JuZt3r]

toorkonto? hva er det? (eller er det bare jeg som er på jordet her nå?)

[dvj]

* firewall

* på serverene kernel modul support (unngå rootkit som benytter seg av moduler)

* "up2date" programmvare

* få/ingen unødvendige services

* private filer kryptert på harddisken

 

det er det jeg kommer på i farten

[bkak]

toorkonto? hva er det? (eller er det bare jeg som er på jordet her nå?)

$ finger toor

Login: toor Name: Bourne-again Superuser

Directory: /root Shell: /bin/sh

Last login Wed Dec 24 12:30 (CET) on ttyv0

No Mail.

No Plan.

 

Backup root.

[Stim]

Installerer OS uten å ha maskinen på nett.

Setter opp tripwire og brannmur (Drop)

Kobler så opp maskinen på nett og kjører en kontrollert oppdatering kombinert med jevnlig oppdatering av tripwire image db.

 

Kjører ikke automatisk oppdatering men gjør det manuelt mens jeg leser mail Dvs. daglig.

 

Sjekker log og root mail ofte (Tripwire status sendes til en mailkonto utenfor mitt system)

 

Vurderer å sette opp en egen logserver (Kommer til å samarbeide med flere på jobb om dette)

[[0x]]

kjører IDS snort

[Yamato47]

Inntil nylig har jeg hatt ikke kjøring av uviktige demoner og hyppige rekompileringer som eneste sikkerhetstiltak på hjemmeboksen.

 

Etterhvert nå som jeg begynner å bruke den til mer og mer viktige ting, og ikke bare til leketøy, jobber jeg utifra en plan for å forbedre sikkerheten.

 

Her er mi prioriterte liste over sikkerhetstiltak. Prioriteringen er i forhold til viktighet og ressurs-kostnad.

 

1. Gode passord. Jeg bruker et program som bruker apg.

2. Backup! - Data og oppsett-filer.

3. Ikke kjøre tjenere uten at man selv har konfigurert dem _skikkelig_. Les manualen!

4. Ikke kjøre jalla-program, som ferske p2p-program på alfa/beta-stadiet eller program som glftpd - med mindre man murer dem inne med jail eller tilsvarende.

5. Hyppige oppgraderinger av os og demoner. Følge med på sikkerhets-epostlistene.

6. Pakkefilter.

7. (Software) raid som sikkerhet mot hd-kræsj.

8. Minimere bruk av rot-konto i skall.

9. Overvåkningssystemer.

10. Jailing av demoner. Låse alt ned.

11. Dedikert OpenBSD-boks mot nettet.

Endret 24. desember 2003 av arehb

[DrDoogie]

Rangert tilkobling til internett:

 

1. Honeypot med WinBlowsXtraMuch installert

2. Hardware brannmur fra Cisco

3. Duplisert software brannmur med nok en honeypot i parallell (3 maskiner)

4. Nettverket

 

 

 

 

 

 

 

Nei.

[kattemat]

Ang. logserver så er det artig å kutte lederene ut fra logserveren i kabelen slik at ingen trafikk kan gå ut. Ergo kan det kun appendes til serveren... og ingen vet om den egentlig finnes engang

[GNUfan]

Jeg har grsec på boxen min. Ganske genialt egentlig. Planlegger å hive inn snort også, men jeg har ikke hatt tid/gidd enda.

[Cronius]

Ang. logserver så er det artig å kutte lederene ut fra logserveren i kabelen slik at ingen trafikk kan gå ut. Ergo kan det kun appendes til serveren... og ingen vet om den egentlig finnes engang

Når systemadminer går til det ekstreme

[kyrsjo]

Ang. logserver så er det artig å kutte lederene ut fra logserveren i kabelen slik at ingen trafikk kan gå ut. Ergo kan det kun appendes til serveren... og ingen vet om den egentlig finnes engang

Bruke UDP da

[laaknor]

Har aldri vært noe særlig iptables-menneske, så server'ne mine kjører ikke brannmur.

 

Nå kjører alle server'ne som er tilgjengelig på nettet i hvertfall over på debian, med minimalt med tjenester.

 

Kjører apt-get update i cron hver dag, slik at jeg ser når det kommer sikkerhetsoppdateringer (installerer stadig vekk nye ting som skal testes ut

 

 

Alle serverne som har brukere på seg, har også satt opp rettigheter på diverse viktigste programmer, slik at folka ikke kan skaffe seg root-tilgang... Dette gjelder da su, make, sudo, og diverse andre morsomme programmer. I tillegg har ingen av mail/ftp/web-brukerne ssh-tilgang, ved at jeg har satt shellet deres til

#!/bin/bash

passwd

logout

 

De serverne som jeg ikke er alene om å administrere har også webmin, hvor alle de andre har relativt begrenset tilgang, akkurat til det de trenger. root login via ssh er også stengt, så eneste måten for brukere å skaffe seg root-tilgang, er om jeg veit om det......

[dvj]

Jeg har grsec på boxen min. Ganske genialt egentlig. Planlegger å hive inn snort også, men jeg har ikke hatt tid/gidd enda.

hva er grsec og snot?

[kyrsjo]

SNORT er en IDS. Dvs. et program som logger alle mer eller mindre seriøse forsøk på hacking.

 

grsec er så vidt jeg vet security patcher til kernel. Ikke skyt meg hvis jeg tar feil her.

[Egil.B]

http://www.grsecurity.org/features.php

[hegga]

Å fortelle noen hvilke sikkerhetstiltak en bruker selv,

er en sikkerhetsrisiko.

[bkak]

Å fortelle noen hvilke sikkerhetstiltak en bruker selv,

er en sikkerhetsrisiko.

Pokker ta, nå vet folk at jeg har passord på rootkontoen min!