Базовая фортификация Linux: выбираем ежи и учимся рыть траншеи

[begemoth3663]

Можно и вовсе переименовать пользователя root

можно.
админам локалхоста всё можно...

К сожалению, часто эти инструкции содержат неактуальную, а то и вредную информацию и не объясняют, почему делается так

вот-вот.
можно узнать, чем переименование рута лучше * ему в /etc/shadow?

[saboteur_kiev]

Ну если начать уже так придираться, но можно например такое
а) * в /etc/shadow не блокирует подключение по ключам.
б) на неправильный логин отлуп на несколько инструкций «быстрее», чем сравнение хешей.

[varnav]

Ограничивать срок действия пароля больше не считается хорошей идеей:

https://nakedsecurity.sophos.com/2016/08/18/nists-new-password-rules-what-you-need-to-know/

[KonstantinSpb]

Еще можно было бы про port-knocking рассказать

[caban]

Злоумышленник может не знать об этом флаге, как итог он потратит больше времени чем расчитывал.

[Loki3000]

А почему злоумышленник не может быть низкоквалифицированным? Более того, он вообще может быть роботом — пролез через какую-нибудь свежую дырку в установленном софте и хозяйничает не сервере. В этом случае даже простейшие методы защиты могут оказаться эффективны.

[caban]

Согласен, часто попадаются взломы которые сделаны роботом. Так например один робот пытался запустить на FreeBSD зловреда, который упорно искал /proc. т.к на FreeBSD слоя совместимости с Linux не было, то он висел в бесконечном цикле и просто потреблял ресурсы. При этом не было никакой активности типа спама или ddos.

[caban]

Актуальный сейчас firewall в RH-based firewalld. Ещё можно рассказать про логи и про монитоирнг checksum для ключевых файлов.

[axmetishe]

Может быть я ретроград в этом плане, но, честно говоря, не особо люблю эту обертку, потому, как правило, удаляю и настраиваю с нуля чистый iptables.
Хороший мануал нашел в 2000 бородатом году, актуален и по сей день http://www.opennet.ru/docs/RUS/iptables/

[varnav]

Он весьма удобен, но другие дистры как-то не подхватили тренд.

[axmetishe]

Не помешало бы описать монтирование разделов, tcp_wrappers, audit, AIDE, файловым системам, да и в целом пробежаться по CIS рекомендациям — https://www.cisecurity.org/cis-benchmarks/, для тех кто пользуется ansible, есть плейбуки https://github.com/MindPointGroup/RHEL7-CIS — сам не проверял, но выглядит многообещающе.

[Tri-Edge]

Спасибо всем за замечания и пожелания. Всё будет учтено в следующей статье.

[iig]

Интересно, для какой атаки необходим компилятор на сервере? Что мешает злоумышленнику с shell'ом скачать готовый зловред под нужную архитектуру, или запустить скрипт на том же shell?

[YaakovTooth]

Скрипт на том же самом шелле, например, не сможет быть модулем для апача, например.

[iig]

Если есть доступ к шеллу — проще скачать готовый модуль.

[YaakovTooth]

Проще-непроще, я про рабочие кейсы говорю, которые сам видел и чинил, а не в теории рассуждаю, что якобы проще злоумышленнику.

[AdVv]

Linux по праву считается более защищенной системой, чем MS Windows

Мне кажется, или вы сравниваете ядро, с нафаршированной под завязку операционной системой общего назначения?
Даже если так, где можно увидеть развернутое сравнение, которое подтвердит ваш тезис?

[xotkot]

По умолчанию эта система отключена.

кстати, если брать Арч то acl по умолчанию установлен(как зависимость systemd) и включен.

[Juiceee]

Думаю, что было бы плюсом к статье рассказать про логирование в сторонку и дать рекомендации по организации бэкапа.

[begemoth3663]

а) * в /etc/shadow не блокирует подключение по ключам.

а должен? ;)
что было раньше: /etc/shadow или sshd?

б) на неправильный логин отлуп на несколько инструкций «быстрее», чем сравнение хешей.

ой, я вас умоляю…
переименование рута внесёт гораздо больше разнообразия (в т.ч. и лишних "инструкций") в сисадминскую рутину...

[saboteur_kiev]

Например?
Просто переименовать юзера и ВСЕ, никаких других инструкций нет.