タグ付けされた質問 「hardening」


3
神話か現実か:SELinuxはrootユーザーを制限できますか?
私はどこかを読んだり聞いたりしました(LinuxCBTのSELinuxコースのことかもしれませんが、確かではありません)。オンラインのLinuxサーバーがあり、rootユーザーのパスワードも与えられています。Linuxサーバーは、SELinuxルールを使用して強化されており、すべてのユーザーがrootユーザーでログインできますが、OSに害を及ぼすことはできません。 私には神話のように思えますが、確認したかったのは、Linuxユーザーを(おそらくSELinuxで)強化して、rootユーザーでさえ特定の悪意のある活動を実行できないようにすることですか?(例:システムファイルの削除、ログファイルの消去、重要なサービスの停止など) このようなLinuxボックスは、ハニーポットを構築するための素晴らしい出発点になります。 編集: 回答(現在削除済み)と少しのグーグルに基づいて、このような強化されたLinuxサーバーを指摘するリンクを少なくとも2つ入手しました。残念ながら、両方のサーバーがダウンしています。記録のために、ここに説明をコピーして貼り付けます。 1)http://www.coker.com.au/selinux/play.htmlから: SE Linuxマシンでの無料ルートアクセス! Debianプレイマシンsshにplay.coker.com.auからアクセスするにはとしてするには、パスワードは... このようなマシンを正常に実行するには、多くのスキルが必要です。実行するかどうかを尋ねる必要がある場合、答えは「いいえ」です。 これの目的は、必要なすべてのセキュリティがUnix権限なしでSE Linuxによって提供できることを実証することです(ただし、実サーバーにもUni​​x権限を使用することをお勧めします)。また、SEマシンにログインして、それがどのようなものかを確認する機会を提供します。 SE Linuxプレイマシンにログインするときは、ログインする前に-xオプションを使用してX11転送を無効にするか、/ etc / ssh / ssh_configファイルでForwardX11 noを設定してください。また、ログインする前に、-aオプションを使用してsshエージェント転送を無効にするか、/ etc / ssh / ssh_configファイルでForwardAgent noを設定してください。これらの設定を正しく無効にしないと、プレイマシンにログインすると、SSHクライアントを介して攻撃を受ける危険があります。 これを議論するためのIRCチャンネルがあり、それがある#selinuxにirc.freenode.net。 ここに簡単なFAQがあります 2)http://www.osnews.com/comments/3731から 強化されたGentooの目的は、Gentooを高セキュリティ、高安定性の本番サーバー環境で実行可能にすることです。このプロジェクトは、Gentoo本体から切り離されたスタンドアロンのプロジェクトではありません。強力なセキュリティと安定性を提供するソリューションをGentooに提供することに焦点を当てたGentoo開発者のチームになることを意図しています。このマシンは、強化されたGentooのSELinuxのあるデモ機。主な用途は、SELinux統合とポリシーのテストと監査です。

2
Linuxボックスを強化するために何を使用しますか?Apparmor、SELinux、grsecurity、SMACK、chroot?
デスクトップマシンとしてLinuxに戻る予定です。より安全にしたいと思います。そして、特に私が自分のサーバーを手に入れることを計画しているので、いくつかの強化テクニックを試してください。 適切な健全化戦略とは何でしょうか?どのツールを使用する必要があります-Apparmor、SELinux、SMACK、chroot? Apparmorなどのツールを1つだけ使用するか、上記の組み合わせを使用する必要がありますか? これらのツールにはどのような利点/欠点がありますか?他に何かありますか? セキュリティ(改善)比率に対する正しい構成はどれですか? デスクトップ環境でどちらを使用したいですか?サーバー環境のどれ。 非常に多くの質問。

2
グループに基づいて他のユーザーからプロセスを非表示にしますか(Linuxの場合)?
Linuxシステムで特定のユーザーグループのプロセス非表示を構成することはできますか? 例:グループXのユーザーは、ps / topまたは/ procの下のグループYのユーザーが所有するプロセスを表示できません。 SELinuxでこのような設定を構成することは可能ですか? (私はおかしなgrsecurityパッチセットの同様の機能を漠然と覚えていますが、IIRCの方が一般的でした。さらに、カスタムカーネルを維持する必要なく、標準のLinuxディストリビューションを構成したいと思っています。) 編集:よりわかりやすくするために、Solaris 10にも同様の機能があります。この例はそれほど一般的ではありませんが、ユーザーまたは一部のユーザーがpsなどで自分のプロセスの情報のみを表示できるように構成できます。

3
Apache WebサーバーでのDoS攻撃の防止
これは、使用しているバージョンのApacheです-httpd-2.2.15-39.el6.centos.x86_64 最近、DoS攻撃のためにWebサイトがダウンしたため、iptablesの調査を開始し、DoS攻撃を防ぐためにそれを使用する方法を調べました。いくつかのフォーラムに出くわし、今理解しようとしている十分なルールがあります。単一のIPから作成される接続の数に上限を設けるために、クライアント(Webブラウザー)とサーバー(Webサーバー-httpd)間の通信を理解したかったのです。たとえば、Google Chromeで「www.mywebsite.com」にアクセスしてから、Webサイトのさまざまなページを調べ始めました。これで、クライアントとWebサーバー間でいくつの接続が確立されましたか。ウェブサーバーでnetstatを実行して確認しました。IP(chrome web browser)との接続が1つしか表示されません。いつもそうですか?クライアントとWebサーバー間で1つの接続のみが確立され、この1つの接続のみで通信が行われますか?この接続はどれくらい長く続きますか? 以下のルールを使用しても安全ですか? iptables -I INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --set iptables -I INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 10 -j DROP 上記の2つのルールは、自分のマシンからWebサーバーへの接続が非常に多くなるというシナリオのリスクを完全に排除します(1分あたり10接続を正当と見なしませんか?)。 次に、以下の2つのルールを検討します iptables -A INPUT -p …
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.