Бруй В.В., Карлов С.В. - Linux-сервер - пошаговые инструкции - инсталляции и настройки (1077321), страница 17
Текст из файла (страница 17)
Инсталляция операционной системы Linux на сервереslocate:x:21:Необходимо удалить группы пользователей, выделенные жирным шрифтом.Шаг 4Установка атрибута immutable (т. е. запрет любых изменений) может использоваться для предотвращения случайного удаления или перезаписи защищенного файла.
Он также препятствует созданию символьной ссылки к файлу, которая может использоваться для атаки, основанной на удалении файлов/etc/passwd, /etc/shadow, /etc/group или /etc/gshadow.Для установки атрибута immutable для файлов паролей и групп выполните:[root@drwalbr /]# chattr +i /etc/passwd[root@drwalbr /]# chattr +i /etc/shadow[root@drwalbr /]# chattr +i /etc/group[root@drwalbr /]# chattr +i /etc/gshadowЕсли в дальнейшем потребуется добавить или удалить пользователей, пароли, группу пользователейили файлы групп, или установить rpm-пакет, который автоматически добавляет нового пользователя и/илигруппу пользователей, вы должны снять атрибут immutable с файлов /etc/passwd, /etc/shadow,/etc/group и /etc/gshadow.
Для этого:[root@drwalbr /]# chattr -i /etc/passwd[root@drwalbr /]# chattr -i /etc/shadow[root@drwalbr /]# chattr -i /etc/group[root@drwalbr /]# chattr -i /etc/gshadowУправление монтированием файловых системВы можете управлять монтированием файловых систем, размещенных на отдельных разделах диска,с использованием опций монтирования файловых систем:• defaults – все операции (quota, read-write и suid) разрешены;• noquota – отсутствуют квоты для пользователей;• nosuid – отсутствует доступ SUID/SGID;• nodev – отсутствует доступ к символьным или специальным устройствам;• noexec – запрещено выполнение любых файлов;• quota – все пользователи имеют квоты;• ro – разрешен доступ только для чтения;• rw – разрешен доступ чтения и записи;• suid – разрешен доступ SUID/SGID.Шаг 1Отредактируйте файл /etc/fstab в соответствии с вашими потребностями, например, заменивстроки:/dev/hda13 /usrext3defaults01/dev/hda14 /tmpext3defaults01/dev/hda18 /homeext3defaults01/dev/hda16 /var/libext3defaults01на:/dev/hda13/dev/hda14/dev/hda18/dev/hda16/usr/tmp/home/var/libext3ext3ext3ext3Defaults,defaults,defaults,defaults,ro 01nosuid01nosuid, noexec 0nodev01Шаг 2Для перемонтирования файловых систем с новыми опциями выполните:[root@drwalbr /]# mount /usr -oremount[root@drwalbr /]# mount /var/lib -oremount[root@drwalbr /]# mount /home -oremount[root@drwalbr /]# mount /tmp -oremountПроверить правильность монтирования файловых систем можно с помощью команды:[root@drwalbr/]# cat /proc/mounts1Глава 3.
Общие мероприятия по обеспечению безопасности сервера49Полезно смонтировать каталог /usr, в который устанавливаются основные пользовательские программы, с опцией ro (только чтение). При этом устраняется возможность замены критичных, с точки зрениябезопасности системы, файлов.ЗАМЕЧАНИЕ При установке программ из исходных кодов или rpm-пакетов в указанный каталог необходимо перемонтировать его без опции ro. Для этого удалите из файла /etc/fstab опцию ro и перемонтируйте каталог с помощью команды mount -oremount.Права доступа к файлам сценариев запуска и остановки процессовВ каталоге /etc/init.d находятся файлы сценариев запуска и остановки процессов, запускаемыхпри загрузке системы. Обычным пользователям, а также злоумышленникам, получившим права доступаобычных пользователей, совершенно не обязательно знать, что находится в этих файлах. Поэтому настоятельно рекомендуем разрешить доступ к этим файлам (чтение, запись и исполнение) только пользователюroot:[root@drwalbr /]# chmod 0700 /etc/init.d/*При установке программы, использующей сценарий в каталоге /etc/init.d, не забывайте проверять права доступа к вновь созданному или измененному сценарию.Специальные символы у программ, владельцем которых является rootОбычный пользователь сможет выполнить программу с правами суперпользователя root, если вправах доступа к файлу программы установлен, так называемый, SUID или SGID бит (символ "s" в правахдоступа, например, -rwsr-xr-x или -r-xr-sr-x допускаемый символ).
Поскольку эти программы предоставляют специальные привилегии пользователю, который их выполняет, важно удалить SUID и SGID изправ доступа файлов программ, владельцем которых является root, и которые не должны выполнятьсядругими пользователями. Это делается следующим образом.Шаг 1Для получения списка программ, имеющих в правах доступа SUID или SGID-биты, выполните:[root@drwalbr /]# find / -type f \( -perm -04000 -o -perm -02000 \) -execls -l {} \;-rwsr-xr-x1 rootroot60104 Июл 29 20:34 /bin/mount-rwsr-xr-x1 rootroot30664 Июл 29 20:34 /bin/umount-rwsr-xr-x1 rootroot35040 Июн 19 2002 /bin/ping-rwsr-xr-x1 rootroot19072 Июн 10 2002 /bin/su-r-xr-sr-x1 roottty6920 Июн 10 2002 /usr/bin/wall-rwsr-xr-x1 rootroot34680 Июн 4 2002 /usr/bin/chage-rwsr-xr-x1 rootroot36032 Июн 4 2002 /usr/bin/gpasswd-rws--x--x1 rootroot12104 Июл 29 20:34 /usr/bin/chfn-rws--x--x1 rootroot11496 Июл 29 20:34 /usr/bin/chsh-rws--x--x1 rootroot4764 Июл 29 20:34 /usr/bin/newgrp-rwxr-sr-x1 roottty9008 Июл 29 20:34 /usr/bin/write-rwsr-xr-x1 rootroot21044 Июн 4 2002 /usr/bin/crontab-rwxr-sr-x1 rootmail17767 Июн 4 2002 /usr/bin/lockfile-r-s--x--x1 rootroot15080 Июн 4 2002 /usr/bin/passwd-rwxr-sr-x1 rootslocate30422 Июн 4 2002 /usr/bin/slocate-rwsr-xr-x1 rootroot32797 Июн 19 2002 /usr/sbin/ping6-rwsr-xr-x1 rootroot14033 Июн 19 2002 /usr/sbin/ traceroute6-rwsr-xr-x1 rootroot17413 Июл 11 2002/usr/sbin/usernetctl-rwxr-sr-x1 rootutmp6372 Июн 4 2002/usr/sbin/utempter-rws--x--x1 rootroot22388 Июн 4 2002/usr/sbin/userhelper-rwxr-sr-x1 rootroot14609 Июл 11 2002 /sbin/netreport-r-sr-xr-x1 rootroot109384 Июл 29 14:12 /sbin/pwdb_chkpwd-r-sr-xr-x1 rootroot16072 Июл 29 14:12 /sbin/unix_chkpwdfind / -type f \( -perm -2 -o -perm -20 \) -exec ls -ldg {} \;50Часть 1.
Инсталляция операционной системы Linux на сервереШаг 2Снимите SUID-биты в правах доступа к следующим файлам:[root@drwalbr /]# chmod a-s /bin/mount[root@drwalbr /]# chmod a-s /bin/umount[root@drwalbr /]# chmod a-s /bin/ping[root@drwalbr /]# chmod a-s /usr/bin/wall[root@drwalbr /]# chmod a-s /usr/bin/chage[root@drwalbr /]# chmod a-s /usr/bin/gpasswd[root@drwalbr /]# chmod a-s /usr/bin/chfn[root@drwalbr /]# chmod a-s /usr/bin/chsh[root@drwalbr /]# chmod a-s /usr/bin/newgrp[root@drwalbr /]# chmod a-s /usr/bin/write[root@drwalbr /]# chmod a-s /usr/sbin/ping6[root@drwalbr /]# chmod a-s /usr/sbin/traceroute6[root@drwalbr /]# chmod a-s /usr/sbin/usernetctl[root@drwalbr /]# chmod a-s /sbin/netreportЗапрещение внутренним компьютерам сообщать серверу свой MAC-адресЗлоумышленник может легко изменить IP-адрес своего компьютера и представиться в виде другогокомпьютера для вашей системы. Для исключения (осложнения) реализации такого мероприятия следует запретить всем локальным компьютерам в вашей сети сообщать серверу свой MAC (Media Access Control) иIP-адрес.Для этого необходимо сделать следующее.Шаг 1Для каждого компьютера в сети узнайте его MAC-адрес:[root@drwalbr /]# ifconfigeth0Link encap:Ethernet HWaddr 00:80:48:CB:BD:73inet addr:172.16.181.103 Bcast:172.16.181.255Mask:255.255.255.0UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1RX packets:1 errors:0 dropped:0 overruns:0 frame:0TX packets:26 errors:0 dropped:0 overruns:0 carrier:0collisions:0 txqueuelen:100RX bytes:250 (250.0 b) TX bytes:2996 (2.9 Kb)Interrupt:11 Base address:0xc000loLink encap:Local Loopbackinet addr:127.0.0.1 Mask:255.0.0.0UP LOOPBACK RUNNING MTU:16436 Metric:1RX packets:10 errors:0 dropped:0 overruns:0 frame:0TX packets:10 errors:0 dropped:0 overruns:0 carrier:0collisions:0 txqueuelen:0RX bytes:700 (700.0 b) TX bytes:700 (700.0 b)MAC-адресом компьютера являются символы, стоящие после HWaddr в первой строке вывода команды ifconfig.
В данном примере - 00:80:48:CB:BD:73.Шаг 2После определения MAC-адреса, соответствующего определенному IP-адресу, их нужно добавить вARP таблицу сервера:[root@drwalbr /]# arp -s 172.16.181.103 00:80:48:CB:BD:73или:[root@drwalbr /]# arp -s karlnext.und 00:80:48:CB:BD:73Шаг 3Проверьте правильность внесенных изменений:[root@drwalbr /]# arpAddressHwtypeHwaddressFlags Mask…karlnext.undether 00:80:48:CB:73:00 CMIfaceeth0Глава 3. Общие мероприятия по обеспечению безопасности сервера51Шаг 4Для того, чтобы внесенные нами изменения сохранились при перезагрузке системы, добавьте в конецфайла /etc/rc.local строку:arp -s 172.16.181.103 00:80:48:CB:BD:73или:arp -s karlnext.und 00:80:48:CB:BD:73Теперь в случае изменения IP-адреса компьютера karlnext сервер не будет отвечать на его запросы.Необычные или скрытые файлыПроверьте систему на предмет наличия необычных или скрытых файлов (файлы, которые начинаютсяс точки и обычно не отображающиеся в выводе команды ls), поскольку они могут использоваться дляскрытия инструментальных программ, используемых для получения информации о системе.Для поиска скрытых файлов наберите:[root@drwalbr /]# find / -name "..
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
