általános intézkedések
fizikai biztonság
boot loader jelszavasítása
grub
lilo
init=/bin/bash
használt merevlemezek megsemmisítése
http://freshmeat.net/projects/disksanitizer
legjobb: fizikai megsemmisítés
backupok védelme
kompromittált backup + rendszervisszaállítás kikényszerítése = behatolás
kódolt backupok
http://duplicity.nongnu.org/
offsite backupok
elkülönített partíciók
/, /boot, /usr, /var, /tmp, /home, /opt
noexec és nosetuid flag azokon, amik nem tartalmaznak futtatható fájlokat kompatibilitási gondok! - logrotate nem fut noexec /tmp-vel
ro flag használata a rendszer normál üzeme közben
ro média használata (pl. cd-rom) a gyökér fájlrendszernek
helyesen felkonfigurált tűzfal
iptables
http://www.linuxguruz.com/iptables/
szükségtelen csomagok eltávolítása
minimális telepítésből kezdjük a rendszer építését
rpm -qa
telepített programok listája
patch/update management
csak ismert és ellenőrzött forrásból
előzetesen tesztelve
írásos munkamenetet követve
utólagos monitoring kövesse
rendszerszolgáltatások minimalizálása
netstat
/etc/inittab
inetd konfiguráció
rendszerindítás és újraindítás védelme
CTRL-ALT-DEL kikapcsolása (/etc/inittab)
default runlevel beállítása
TCP wrappers szolgáltatás helyes konfigurációja
/etc/hosts.allow
/etc/hosts.deny
kernel hálózati beállítások
/etc/sysctl.conf
net.ipv4.tcp_syncookies = 1
SYN flood támadás ellen
net.ipv4.conf.all.accept_source_route = 0
MitM támadás ellen
net.ipv4.conf.all.accept_redirects = 0
MitM támadás ellen
net.ipv4.conf.all.rp_filter = 3
ingres and egres filtering - IP Spoofing ellen
net.ipv4.icmp_echo_ignore_all = 1
ping kikapcs
net.ipv4.icmp_echo_ignore_broadcasts = 1
broadcast ping kikapcs
net.ipv4.icmp_ignore_bogus_error_responses = 1
egyéb gyanús icmp kikapcs
net.ipv4.conf.all.log_martians = 1
nem megfelelő című csomagok naplózása
http://www.linuxsecurity.com/content/view/111337/65/
http://www.linuxexposed.com/content/view/49/52/
SSH démon konfigurációja
/etc/ssh/sshd_config
Port 2222
alapértelmezett TCP port megváltoztatása
PermitRootLogin no
UsePrivilegeSeparation yes
sshd két privilégium szinten fogadja a kapcsolatokat
Protocol 2
AllowTcpForwarding no
X11Forwarding no
StrictModes yes
ssh konfigurációs fájlok jogainak ellenőrzése
IgnoreRhosts yes
HostbasedAuthentication no
RhostsRSAAuthentication no
#Subsystem sftp /usr/lib/misc/sftp-server
SFTP kikapcsolása
PermitEmptyPasswords no
PasswordAuthentication no
jelszavas azonosítás tiltása
RSAAuthentication yes
kulcs alapú azonosítás engedélyezése
PubkeyAuthentication yes
kulcs alapú azonosítás engedélyezése
jogosultságok beállítása
umask
SetUID és SetGID fájlok keresése
find / -path /proc -prune -o -type f -perm +6000 -ls
Bárki által írható fájlok keresése
find / -path /proc -prune -o -perm -2 ! -type l -ls
Tulajdonos nélküli fájlok keresése
find / -path /proc -prune -o -nouser -o -nogroup
host alapú IDS telepítése
http://en.wikipedia.org/wiki/Host_based_intrusion_detection_system
fcheck
tripwire
ossec
saját script... stb...
bastille
biztonsági beállításokat ellenőrző és elvégző scriptek
http://www.bastille-unix.org
http://bastille-linux.sourceforge.net