Comments 24
Можно и вовсе переименовать пользователя root
можно.
админам локалхоста всё можно...
К сожалению, часто эти инструкции содержат неактуальную, а то и вредную информацию и не объясняют, почему делается так
вот-вот.
можно узнать, чем переименование рута лучше * ему в /etc/shadow?
Ограничивать срок действия пароля больше не считается хорошей идеей:
https://nakedsecurity.sophos.com/2016/08/18/nists-new-password-rules-what-you-need-to-know/
https://nakedsecurity.sophos.com/2016/08/18/nists-new-password-rules-what-you-need-to-know/
Еще можно было бы про port-knocking рассказать
Злоумышленник может не знать об этом флаге, как итог он потратит больше времени чем расчитывал.
А почему злоумышленник не может быть низкоквалифицированным? Более того, он вообще может быть роботом — пролез через какую-нибудь свежую дырку в установленном софте и хозяйничает не сервере. В этом случае даже простейшие методы защиты могут оказаться эффективны.
Согласен, часто попадаются взломы которые сделаны роботом. Так например один робот пытался запустить на FreeBSD зловреда, который упорно искал /proc. т.к на FreeBSD слоя совместимости с Linux не было, то он висел в бесконечном цикле и просто потреблял ресурсы. При этом не было никакой активности типа спама или ddos.
Актуальный сейчас firewall в RH-based firewalld. Ещё можно рассказать про логи и про монитоирнг checksum для ключевых файлов.
Может быть я ретроград в этом плане, но, честно говоря, не особо люблю эту обертку, потому, как правило, удаляю и настраиваю с нуля чистый iptables.
Хороший мануал нашел в 2000 бородатом году, актуален и по сей день http://www.opennet.ru/docs/RUS/iptables/
Хороший мануал нашел в 2000 бородатом году, актуален и по сей день http://www.opennet.ru/docs/RUS/iptables/
Он весьма удобен, но другие дистры как-то не подхватили тренд.
Не помешало бы описать монтирование разделов, tcp_wrappers, audit, AIDE, файловым системам, да и в целом пробежаться по CIS рекомендациям — https://www.cisecurity.org/cis-benchmarks/, для тех кто пользуется ansible, есть плейбуки https://github.com/MindPointGroup/RHEL7-CIS — сам не проверял, но выглядит многообещающе.
Спасибо всем за замечания и пожелания. Всё будет учтено в следующей статье.
Интересно, для какой атаки необходим компилятор на сервере? Что мешает злоумышленнику с shell'ом скачать готовый зловред под нужную архитектуру, или запустить скрипт на том же shell?
Linux по праву считается более защищенной системой, чем MS Windows
Мне кажется, или вы сравниваете ядро, с нафаршированной под завязку операционной системой общего назначения?
Даже если так, где можно увидеть развернутое сравнение, которое подтвердит ваш тезис?
По умолчанию эта система отключена.
кстати, если брать Арч то acl по умолчанию установлен(как зависимость systemd) и включен.
Думаю, что было бы плюсом к статье рассказать про логирование в сторонку и дать рекомендации по организации бэкапа.
а) * в /etc/shadow не блокирует подключение по ключам.
а должен? ;)
что было раньше: /etc/shadow или sshd?
б) на неправильный логин отлуп на несколько инструкций «быстрее», чем сравнение хешей.
ой, я вас умоляю…
переименование рута внесёт гораздо больше разнообразия (в т.ч. и лишних "инструкций") в сисадминскую рутину...
Sign up to leave a comment.
Базовая фортификация Linux: выбираем ежи и учимся рыть траншеи