Записки программиста, обо всем и ни о чем. Но, наверное, больше профессионального.

2009-12-02

Die hard server

Гы, 20 шагов приводящих к неубиваемому серверу. Условно, конечно.

1. Шифруйте коммуникации.
2. Снесите неиспользуемый софт.
3. Один сетевой сервис - одна оп.система (виртуализация рулит).
4. Ставьте обновления почаще.
5. Используйте SELinux.
6. Установите жесткую политику учетных записей (паролей).
7. Рутовую учетку убрать.
8. Сервер под замок и никакого доступа к биосу или очередности загрузки.
9. Повторение №2: отключите ненужные сервисы.
10. Никакой графики, реальные сервера работают только консольно.
11. Firewall, iptables обязательны к применению.
12. Это я не понял, но, говорят, затруднить доступ к /etc/sysctl.conf, а как - не говорят.
13. Используйте разные дисковые разделы для разных точек монтирования.
14. Отключите IPv6.
15. Избавьтесь от ненужных SUID и SGID программ.
16. Используйте централизованную систему аутентификации.
17. Анализируйте логи и пользуйте системы аудита. Логи складывайте в безопасные места.
18. Обезопасьте SSH сервер.
19. Используйте IDS.
20. Защищайте (шифруйте?) файлы, каталоги, почту.

cyberciti.biz/tips/linux-security
rus-linux.net/nlib.php?name=/MyLDP/sec/securitytips


Еще один ролик от "теории фана", как сброс мусора в мусорник сделать развлечением:



Я уже постил ихнее, про забавную ходьбу по ступенькам.

Чего б такого придумать, чтоб на газоне моем не парковались?

2 комментария:

  1. Насчет пункта 7, про "рутовую учетку убрать" - а как же тогда одминить?..

    ОтветитьУдалить
  2. Ну, не то чтобы убрать начисто, нет. Речь там о том, чтобы не давать возможности логинится (работать, открывать сессию) рутом. Логинится надо бесправным пользователем а рутовые задачи выполнять при помощи команды sudo. Спецкоманда такая, все ходы записывает и позволяет выполнять строго разрешенные команды.

    ОтветитьУдалить

Архив блога

Ярлыки

linux (241) python (191) citation (185) web-develop (170) gov.ru (157) video (123) бытовуха (112) sysadm (100) GIS (97) Zope(Plone) (88) Book (81) programming (81) бурчалки (81) грабли (77) development (73) Fun (72) windsurfing (72) Microsoft (64) hiload (62) opensource (58) internet provider (57) security (57) опыт (55) movie (52) Wisdom (51) ML (47) language (45) hardware (44) JS (41) curse (40) driving (40) money (40) DBMS (38) bigdata (38) ArcGIS (34) history (31) PDA (30) howto (30) holyday (29) Google (27) Oracle (27) virtbox (27) health (26) vacation (24) AI (23) Autodesk (23) SQL (23) Java (22) humor (22) knowledge (22) translate (20) CSS (19) cheatsheet (19) hack (19) tourism (19) Apache (16) Manager (15) web-browser (15) Никонов (15) happiness (14) music (14) todo (14) PHP (13) weapon (13) HTTP. Apache (12) SSH (12) course (12) frameworks (12) functional programming (12) hero (12) im (12) settings (12) HTML (11) SciTE (11) crypto (11) game (11) map (11) scala (10) HTTPD (9) ODF (9) купи/продай (9) benchmark (8) documentation (8) 3D (7) CS (7) DNS (7) NoSQL (7) Photo (7) cloud (7) django (7) gun (7) matroska (7) telephony (7) Microsoft Office (6) VCS (6) bluetooth (6) pidgin (6) proxy (6) Donald Knuth (5) ETL (5) NVIDIA (5) REST (5) bash (5) flash (5) keyboard (5) price (5) samba (5) CGI (4) LISP (4) RoR (4) cache (4) display (4) holywar (4) nginx (4) pistol (4) xml (4) Лебедев (4) IDE (3) IE8 (3) J2EE (3) NTFS (3) RDP (3) USA (3) holiday (3) mount (3) spark (3) Гоблин (3) кухня (3) урюк (3) AMQP (2) ERP (2) IE7 (2) NAS (2) Naudoc (2) PDF (2) address (2) air (2) british (2) coffee (2) font (2) ftp (2) messaging (2) notify (2) sharepoint (2) ssl/tls (2) stardict (2) tests (2) tunnel (2) udev (2) APT (1) CRUD (1) Canyonlands (1) Cyprus (1) DVDShrink (1) Jabber (1) K9Copy (1) Matlab (1) Palanga (1) Portugal (1) VBA (1) WD My Book (1) autoit (1) bike (1) cannabis (1) chat (1) concurrent (1) dbf (1) ext4 (1) idioten (1) krusader (1) license (1) mindmap (1) pneumatic weapon (1) quiz (1) regexp (1) robot (1) science (1) serialization (1) tie (1) vim (1) Науру (1) крысы (1) налоги (1) пианино (1)

Google+ Followers