Комментарии 24
"# Игнорирование broadcast-запросов net.ipv4.icmp_echo_ignore_broadcasts=1 net.ipv4.icmp_ignore_bogus_error_messages=1
"
Зачем игнорировать broadcast запросы? Какой смысл этой настройки в плане безопасности?
В некоторых случаях ping'и применяются в качестве простого метода для выявления доступных по сети хостов. Таким способом (без фулл-скана) злоумышленник может находить цели, удобные для атаки или для горизонтального перемещения. Блокируя респонсы, можно понизить вероятность обнаружения хоста злоумышленником и предотвратить вероятные атаки.
Да, а в windows 98 пинг с размером пакета больше 65520 байт приводил к синему экрану смерти. :)
Это называется security thru obscurity и никогда не понимал этого. Если у вас ДЫРЕНЬ которую вы прикрываете блокируя броадкасты, то мне вас жаль. Правда считаете что сложно пройтись по всем доступным L2 адресам если уже попал в сеть ?
14.1.1 уберите неспользуемые модули ядра.
man 8 lsmod
man 8 rmmod
man 8 modinfo
man 5 modprobe.d // зависит от дистрибутива
14.1.2. соберите кастом ядро, куда нужные модули будут вкомпилены статически. динамическую загрузку остальных модулей запретить.
Заблокировать все учетные записи с пустым паролем:
Пароль для рута во многих случаях не нужен, вместо этого настраивается sudo для конкретных юзеров, а рут остается с пустым паролем и запретом на логин юзерам с пустым паролем.
Одна сетевая служба на каждую отдельную систему или экземпляр виртуальной машины
Как-то этот весь абзац не слишком хорошо переведен. Попробуйте еще раз.
Про deborphan нет ничего
Linux == Ubuntu, понел-понел
Зашел сюда чтобы не удивиться
Про deborphan нет ничего
А зачем он нужен вообще если есть `autoremove` ?
У вас криокамера протекла ?
Есть подозрение, что Вы никогда не пользовались autoremove на боевых серверах.
Я - честно - пару раз попробовал. Пару серверов убил. Сырое.
Linux == Ubuntu, понел-понел
Справедливости ради, linux и не только debian based.
И вообще это ядро, а не система.
Скоро буду делать vps сервер под видео хостинг видео. Трафик около 1000 человек в день. Какой лучше дистрибутив выбрать для быстрой и надёжной работы? (Граф интерфейс ненужен) И какие есть способы защиты видео от прямого скачивания, чтобы видео можно было смотреть только на определенных сайтах? Спасибо
Debian всегда был и будет серверной системой которая очень стабильна и надежна. Ставь 11ю верисию, там максимально стабильно. В 12й версии я зачечал незначительные мелкие глюки. Защиту от скачивани нужно будет искать самостоятельно, тут помочь не смогу. Кстати что у вас за хостинг VPS?
Я бы рекомендовал ArchLinux для начала. Если сервер слабоват в плане железа, то есть небольшой смысл попробовать Gentoo. Так же можно взглянуть на NixOs из-за декларативной системы описания конфигурации.
В плане безопасности мои знания очень ограничены. На ум мне пришла только мысль генерировать какой-нибудь токен (например jwt) с коротким сроком жизни. А на стороне клиента генерировать и отправлять его раз в n секунд. В теории, это даст спокойно смотреть фильм, так как генерация токена достаточно малоресурсная задача, но не даст скачать фильм, так как через условные 30 секунд сервер потребует токен, не получит его и обрубит канал для скачивания.
Всё таки лучше исходить из конкретной задачи и модели нарушителя. А так можно много чего придумать, от CIS Benchmarks (https://www.cisecurity.org/cis-benchmarks) до целых талмудов "Методический документ ФСТЭК. Рекомендации по безопасной настройке операционных систем Linux"
Идиотов, применяющих ограничение срока действия пароля для юзеров, нужно обьявлять врагами народа и отправлять землекопами на строительство марсианских тоннелей.
xinetd-то за что?
"Минимизируйте установленное программное обеспечение, чтобы минимизировать уязвимости в Linux"
А что делать с полученным списком в 1600+ установленных пакетов на "рядовом" хосте? М.б. Вручную все сверять? М.б. есть какие-то соображения на этот счет?
Базовая гигиена серверов Linux (часть 1)