[Sysadmins] безопасность

Dmitriy L. Kruglikov =?iso-8859-1?q?Dmitriy=2EKruglikov_=CE=C1_orionagro=2Ecom=2Eua?=
Пн Авг 28 09:58:58 MSD 2006 

On Sun, 27 Aug 2006 17:36:22 +0300 Artem Zolochevskiy wrote:

> Скажу сразу, я не спец по безопасности...
Ну, особым спецом, в вашем случае, быть и не нужно, 
но кое-что нужно понимать...
Для начала, в консоли от root
# netstat -nap
И посмотрите, какие порты открыты, особенно, на адресе
0.0.0.0
Проверить, нужны ли вам эти сервисы...
> 1. запретить iptables INPUT на необходимые порты
Более правильно, запретить все, а потом открыть только то, что
действительно нужно.
> 2. просто настроить сервисы на слушание определённых
> интерфейсов (чтоб не слушали интернет_нитерфейс).
И это правильно...
> 
> Что предпочтительнее?
Лучше всего комбинировать оба варианта.

> Я так понимаю, во втором случае от iptables вообще можно
> отказаться? Или даже если на внешнем интерфейсе никаких
> сервисов не висит, всё равно стоит что-то подкручивать с
> iptables - но тогда что именно? Что есть толкового почитать на
> это тему, чтоб кратко и по теме?
В Инете примеров и рекомендаций много...

> 
> PS
> вопрос возник после того, как только что подняв машину завёл
> пользователя admin c паролем admin (думал когда закончу работу
> поменяю) поставил ssh и... 
Будет правильным в конфиге sshd прописать пользователей, которым
явно разрешено пользовать ssh ...
# cat /etc/openssh/sshd_config
...
AllowUsers yourname
AllowGroups wheel
DenyUsers bin nobody sys
DenyGroups users

> Я ж не супер-мега сервер какой-то, а
> рядовой adsl-щик.
Интересно было бы узнать, что именно и куда заливали...
Скорее всего, ваш сервер пытались поиметь на предмет рассылать с
него спам ...

В любом случае, защита сервера или рабочей станции, смотрящей в
Инет, вопрос комплексный ...
Пишите конкретные вопросы, не оставим без подсказки ...


--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_orionagro.com.ua   |@_@ |
 DKR6-RIPE                               |!_/ |
 ICQ# 13047326                          //   \ \
 XMPP:dkr6 на jabber.ru                   (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
СОВЕТ НАЧИНАЮЩЕМУ ПРОГРАММИСТУ
  Никогда не исправляйте найденные ошибки, ибо это повлечет за
собой появление неизвестного числа ненайденных. Лучше опишите их
  в сопроводительной документации как особенность программы.

Подробная информация о списке рассылки Sysadmins