Hagaag, waxaan diyaarinayay qoraalkan my blog in muddo ah ayay igula taliyeen gudaha DesdeLinux, iyo waqtiga oo yaraa awgood, ma uusan awoodin mana uusan rabin. Haddaan xoogaa caajis ahay ????. Laakiin hadda waxay ku jiraan shaqo joojin, sidaan ku leenahay Cuba ...
0- Hayso nidaamyadeenna cusboonaysiinta cusboonaysiinta amniga ee ugu dambeeyay.
0.1- Cusboonaysiinta Xasaasiga ah Liisaska dirista [Lataliyaha Amniga ee Slackware, Lataliyaha Amniga Debian, kiiskeyga]
1- Sero helitaanka jireed ee server-yada shaqaalaha aan loo fasaxin.
1.1- Codso lambarka sirta ah BIOS ee adeegeena
1.2- Looma shubi karo CD / DVD
1.3- Furaha sirta ah ee GRUB / Lilo
2- Siyaasad sir ah oo wanaagsan, jilayaasha xarfaha iyo kuwa kale.
2.1- Gabowga erayga sirta ah (Password Aging) ee amarka "chage", iyo sidoo kale tirada maalmaha ee u dhexeeya beddelka ereyga iyo taariikhda ugu dambaysa ee isbeddelka.
2.2- Ka fogow adeegsiga ereyada sirta ah ee hore:
gudaha /etc/pam.d/common-password
password sufficient pam_unix.so use_auth ok md5 shadow remember 10
Marka waxaad badashaa erayga sirta ah waxayna ku xasuusinaysaa 10-kii lambar ee ugu dambeeyay ee isticmaaleha haystay.
3- Nidaam maamul wanaagsan / kala-saarid shabakadeena ah [router, switches, vlans] iyo firewall, iyo waliba xeerarka shaandhaynta INPUT, OUTPUT, FORWARD [NAT, SNAT, DNAT]
4- Awood u yeelo isticmaalka qolofka [/ etc / shells]. Isticmaalayaasha aan u baahnayn inay galaan nidaamka waxay helayaan / bin / been ama / bin / nologin.
5- Ka jooji isticmaaleyaasha marka soo galitaanku ku guuldareysto [failurelog], iyo sidoo kale xakamee koontada isticmaalaha nidaamka.
passwd -l pepe -> xannibo isticmaale pepe passwd -v pepe -> furid isticmaale pepe
6- Fududee adeegsiga "sudo", WELIGII ha u galin asal ahaan ssh, "MARNA". Xaqiiqdii waa inaad wax ka beddesho qaabeynta ssh si aad u gaarto ujeedadan. U isticmaal furayaasha guud / kuwa gaarka ah server-yadaada sudo.
7- Ka dalbo nidaamyadeenna “Mabda'a mudnaanta ugu yar".
8- Hubi adeegyadayada waqti ka waqti [netstat -lptun], mid kasta oo ka mid ah adeegeyaasheena. Kudar qalabka kormeerka ee naga caawin kara howshan [Nagios, Cacti, Munin, Monit, Ntop, Zabbix].
9- Ku rakib IDS-yada, Snort / AcidBase, Snotby, Barnyard, OSSEC.
10- Nmap waa saaxiibkaa, u isticmaal si aad u hubiso subnet / subnet-kaaga.
11- Dhaqanka wanaagsan ee amniga ee OpenSSH, Apache2, Nginx, MySQL, PostgreSQL, Postfix, Squid, Samba, LDAP [kuwa inta badan adeegsada] iyo adeegyo kale oo aad ugu baahan tahay shabakaddaada.
12- Ku kaydi dhammaan isgaarsiinta inta ay suurtagal tahay nidaamyadeenna, SSL, gnuTLS, StarTTLS, dheefshiidka, iwm ... Oo haddaad wax ka qabato macluumaadka xasaasiga ah, ku kaydso darawalkaaga adag !!!
13- Ku cusbooneysii adeegeyaasha boostada amniga ugu dambeeyay, liiska madow iyo xeerarka antispam.
14- Waxqabadka jarista ee nidaamyadeena oo leh logwatch iyo logcheck.
15- Aqoonta iyo isticmaalka qalabka sida sare, sar, vmstat, bilaash, iyo kuwa kale.
sar -> warbixinta waxqabadka nidaamka vmstat -> geedi socodka, xasuusta, nidaamka, i / o, cpu activity, iwm iostat -> cpu i / o status mpstat -> multiprocessor status iyo isticmaalka pmap -> isticmaalka xasuusta ee habab bilaash ah - > xusuusta iptraf -> taraafikada waqtiga dhabta ah ee shabakadeena ethstatus -> kontarool ku saleysan koontada kumbuyuutarka ee kumbuyuutarka etherape -> garaafka shabakada shaashadda ss -> xaaladda godka [tcp socket info, udp, sockets sodium, DCCP Sockets] tcpdump -> Falanqeyn faahfaahsan de traffic vnstat -> kormeerka taraafikada shabakada ee xulashooyinka mtr -> qalabka ogaanshaha iyo falanqaynta xad dhaafka ee shabakadaha ethtool -> tirooyinka ku saabsan kaararka shabakada
Hadda waa dhammaantood. Waan ogahay inay jiraan kun iyo hal talo soo jeedin xaga amaanka ah oo deegaanka noocan ah ah, laakiin kuwani waa kuwa sida aadka ah ii taabtay, ama mararka qaarkood waxay ahayd inaan dalbado / ku jimicsado deegaan aan maamuley.
Habsiinta waxaanan rajaynayaa inay kuu adeegto 😀
Waxaan kugu martiqaadayaa faallooyinka si aad noogu sheegto xeerar kale oo la hirgaliyay marka laga reebo kuwa horay loo soo sheegay, si kor loogu qaado aqoonta akhristayaashayada 😀
Hagaag waxaan ku dari lahaa:
1. - Codso xeerarka sysctl si looga hortago marin u helka dmesg, / proc, SysRQ, loogu qoondeeyo PID1 udub dhexaadka, u oggolow ilaalinta isku xirnaanta adag iyo kuwa jilicsan, ilaalinta TCP / IP xirmooyinka IPv4 iyo IPv6 labadaba, firfircooni VDSO buuxa ugu badnaan kala soocida tilmaamayaasha iyo qoondaynta booska xusuusta iyo hagaajinta xoogga ka soo horjeeda qulqulka qulqulka.
2.- Abuur darbiyada dabka ee nooca SPI (Stateful Package Inspect) si looga hortago isku xirnaanta aan la abuurin ama horey loogu oggolaan helitaanka nidaamka.
3. - Haddii aadan haysan adeegyo dammaanad qaadaya isku xirnaanta mudnaanta sare ee meel fog, si fudud uga noqo marinka iyaga adoo isticmaalaya marin.conf, ama, haddii taas la waayo, awood u siiya helitaanka kaliya isticmaale ama koox gaar ah.
4.- Isticmaal xadka adag si aad uga hortagto marin u helida kooxaha qaarkood ama isticmaaleyaasha inay khalkhal geliyaan nidaamkaaga. Aad waxtar badan ugu leh bey'adaha ay ka jiraan isticmaale fara badan oo firfircoon markasta.
5.- TCPWrappers waa saaxiibkaa, haddii aad ku jirto nidaam taageero u ah, isticmaalkiisuna waxba kuma yeeli doono, sidaa darteed waad u diidi kartaa marin kasta oo martigaliye ah haddii aan horay loogu qaabeynin nidaamka.
6.- Abuur furayaasha SSH RSA ugu yaraan 2048 jajab ama ka fiican 4096 jajab oo leh furayaasha xarfaha oo ka badan 16 xaraf.
7.- Sidee ayaad dunida u qori kartaa? Hubinta rukhsadda aqrinta ah ee buuggaaga maahan wax xun oo waa habka ugu fiican ee looga hortagi karo gelitaanka aan la oggolaan ee ka jira deegaanno badan oo adeegsadeyaal ah, iyada oo aan lagu xusin in ay ku sii adkeyneyso marinnada aan la oggoleyn ee qaarkood inay helaan helitaanka macluumaadka aadan rabin. cid kale ma aragto.
8.- Ku dheji qayb kasta oo bannaanka ka baxsan oo aan u qalmin, oo leh xulashooyinka noexec, nosuid, nodev.
9.- Isticmaal aalado sida rkhunter iyo chkrootkit si aad xilliyo u hubiso in nidaamku aanu lahayn rootkit ama furin lagu rakibay. Qiyaas caqli gal ah haddii aad tahay mid ka mid ah kuwa wax ka rakibaya meelaha keydka aan aaminka ahayn, ee ka yimaada PPA ama si toos ah ugu noolaan karaan koodhadhka goobaha aan aaminka ahayn.
Uhmmm, macaan comment Faallo wanaagsan, ku dar ragga… 😀
Ma lagu dabaqayaa Xakamaynta Helitaanka Khaaska ah SElinux?
maqaal aad u wanaagsan
Mahadsanid saaxiib 😀
Waad salaaman tihiin oo hadaan ahay isticmaale caadi ah miyaan isticmaalaa su ama sudo?
Waxaan u isticmaalaa su sababtoo ah ma jecli sudo, maxaa yeelay qofkasta oo haysta lambarkayga furaha ayaa beddeli kara wuxuu doono nidaamka, bedelkiisna maya maya.
Kumbuyuutarkaaga wax dhib ah kuma haysto isticmaalka su, waad u isticmaali kartaa dhib la'aan, server-yada, waxaa si weyn loogu talinayaa inaad joojiso isticmaalka su oo aad isticmaasho sudo, qaar badan waxay dhahaan waxaa sabab u ah xaqiijinta hubinta cidda fulisay amarka iyo suudo howshaas qabta ... gaar ahaan, kumbuyuutarkeyga waxaan ku isticmaalaa, sida adiga oo kale ...
Sure, runtii ma aqaano sida ay ugu shaqeyso server-yada. In kastoo, aniga waxay ila tahay in sudo ay heshay faa iidada ah inaad mudnaan siin karto adeegsadaha kombiyuutar kale, haddii aanan khaldamin.
Maqaalka xiisaha leh, waxaan ku kaydiyaa feylasha qaarkood gnu-gpg, sida ay tahay mudnaanta ugu yar, haddii aad rabto inaad fuliso, tusaale ahaan, binary asal ah oo aan la garanayn ayaa ku lumay badda weyn ee macluumaadka ku jira diskka, sidee baan uga saaraa marin u helista shaqooyinka qaarkood ?
Waxaan kugu leeyahay qaybtaas, in kastoo aan u maleynayo inaad kaliya u ordi karto sidii sudo / xidid, barnaamijyo la isku halleyn karo, taas oo ah, waxay ka yimaadeen repo-kaaga ...
Waxaan xasuustaa aqrinta inay jirto wado lagu suurta galiyo awooda asalka ee buug ku saabsan GNU / Linux iyo UNIX, hadii aan helo waan dhigayaa 😀
@andrew halkan waa maqaalka aan sheegay iyo xoogaa caawimaad ah
http://www.cis.syr.edu/~wedu/seed/Labs/Capability_Exploration/Capability_Exploration.pdf
http://linux.die.net/man/7/capabilities
https://wiki.archlinux.org/index.php/Capabilities
iyo baqashada la jeexjeexay si ay u maamusho binaries?
Isticmaalka sudo waqti kasta aad ayey ugafiican tahay.
Ama waad istcimaali kartaa sudo, laakiin waxaad xadideysaa waqtiga sirta la xasuusto.
Qalab la mid ah waxaan u adeegsadaa kormeerka pc, "iotop" bedel ahaan "iostat", "htop" aad u fiican "maamulaha hawsha", "iftop" kormeerka bandwidth.
qaar badani waxay u maleynayaan in la buunbuuniyey, laakiin waxaan horeyba u arkay weerarro lagu daro server-ka botnet-ka.
https://twitter.com/monitolinux/status/594235592260636672/photo/1
ps: Dawarsadayaasha Shiinaha iyo isku daygooda ay ku jabsanayaan server-kayga.
wax sidoo kale ku habboon ayaa ah in loo isticmaalo baqashada la jeexjeexay ee adeegyada, markaa haddii sababo jira awgood loo soo weeraro ma jabinayaan nidaamka.
Adeegsiga amarka ps sidoo kale waa mid kufiican la socodka waxayna qeyb ka noqon kartaa falalka lagu hubinayo cilladaha amniga. socda ps -ef wuxuu taxaa dhammaan hababka, wuxuu la mid yahay kan sare hase yeeshee wuxuu muujinayaa kala duwanaansho qaarkood. Ku rakibida iptraf waa aalad kale oo shaqeyn karta.
Ka qayb qaadasho wanaagsan.
Waxaan ku dari lahaa: SELinux ama Apparmor, waxay kuxirantahay harka, marwalba waa karti.
Khibradeyda gaarka ah waxaan ka gartay inay dhaqan xumo tahay in la joojiyo qaybahaas. Had iyo jeer waxaan sameynaa markaan rabno inaan rakibno ama aan qaabeyno adeeg, iyadoo marmarsiinyo laga heysto inay ku socoto dhibaato la'aan, marka runtii waxa ay tahay inaan sameyno waa inaan baranno la qabsiga iyaga si aan ugu oggolaano adeeggaas.
Thanks.
1.Sidee loo kaydin karaa nidaamka faylka oo dhan? u qalantaa ??
2.Waa in ay noqotaa in la qoro markasta oo nidaamka la cusbooneysiinayo?
3. Furashada nidaamka feylasha ee mashiinka oo dhan miyay la mid tahay in la fayl garaysto fayl kale?
Sidee ku ogaatay inaad ogtahay waxaad ka hadlayso?
Sidoo kale, waad qafis kartaa barnaamijyada iyo xitaa isticmaaleyaal badan. In kasta oo tan oo kale la sameeyo ay ka sii shaqo badan tahay, laakiin haddii ay wax dhacaan, oo aad haysato nuqul hore oo faylkaas ah, waa uun garaacid iyo heeso.
Siyaasadda amniga ee ugu wanaagsan uguna habboon ma ahan in laga xumaado.
Iskuday, waa wax aan khaldami karin.
Waxaan isticmaalayaa csf oo markaan furayo macmiil khalday lambarkiisa sirta ah marinka qaar, waxay dib u dhigtaa hawsha laakiin way sameysaa. Waa caadi?
Waxaan raadinayaa amarka in laga furo ssh ... talo soo jeedin kasta