next up previous index
Következő: 5.9.7.2 Külső behatolási kísérletek Fel: 5.9.7 Linux szerverek biztonsági Előző: 5.9.7 Linux szerverek biztonsági   Index

5.9.7.1 Bevezető

Csak a rendeltetésszerű működéshez szükséges csomagokat telepítsük. Célszerű legalább a /tmp, a /home és a /var könyvtárakat külön partícióra tenni. Ez megnehezíti néhány program hibáinak kihasználását (pl. állományok jogosulatlan átírása az adott file-ra mutató link segítségével, bár a symlink-es exploitok ellen nem véd), lehetővé teszi a disk quota hatékonyabb beállítását illetve megakadályozza, hogy a syslogd üzenetei megtöltsék a root partíciót, megnehezítve ezzel a rendszer normális működését.

Ha még óvatosabbak akarunk lenni, a /var/spool-t is külön partícióra tehetjük. Ezzel megakadályozható, hogy a /var valamilyen módon való megtöltése esetén (pl. DoS attack) se álljanak le a spool-t használó processzek, illetve viszont: ha a spool meg is telik, a /var nem. A /tmp-t és a /home-ot érdemes nosuid paraméterrel mountolni. A /home mountolható noexec paraméterrel is, ha a felhasználók saját programokat nem futtatnak. A /tmp nosuid mountolása megelőzi a setuid tmp file-ok race condition jellegű hibáinak kihasználását. Szóval ez az /etc/fstab-ban valahogy így nézzen ki:

/dev/hda2 /tmp ext2 defaults,nosuid 1 2
/dev/hda4 /home ext2 defaults,nosuid,noexec 1 2

A felhasználók által foglalható maximális merevlemez területet is érdemes korlátozni, így a userek nem tudnak buta dolgokat (pl. ,,cat /dev/zero > nagyfile'') művelni. Ennek beállításához ajánlott olvasmány a 'quota howto'. Quota kell a /tmp-re (a nagy tmp file-ok létrehozásának megakadályozására illetve, hogy az elvetemültebbek ne itt tárolják a dolgaikat), a /var-ra a mail spool méretének limitálása miatt, illetve a /home-ra a home könyvtárak méretének korlátozása érdekében.

Telepítés után ellenőrizzük, nincsenek-e már ismert biztonsági hibák rendszerünkben. Az ellenőrzést kezdjük az adott disztribúció hibalistájával, majd nézzük át a biztonsággal foglalkozó site-okat (pl. Rootshell), listák archívumait (pl. BUGTRAQ). Ha valamiben már találtak biztonsági hibát, azonnal cseréljük le. A legtöbb helyen a javított csomagok elérhetőségét is megadják. Ha még nincs javított verzió, próbálkozhatunk a közreadott patchekkel is. Ha patch sincsen, az adott szolgáltatást célszerű ideiglenesen leállítani. Javítás után minden esetben teszteljük le a rendszert, valóban kijavítottuk-e a hibát. A fent említett levelezési listára feliratkozni is érdemes, így előbb értesülhetünk a számunkra fontos hibákról és patchekről.

Rossz hozzáállás, hogy ,,itt nincs semmi, ami bárkinek is kellene, nem éri meg betörni''. Igenis megéri. Általában nem a célgépre törnek be először, hanem keresnek egy könnyen törhető, de gyors kapcsolattal rendelkező gépet, amit ugródeszkaként használnak. Így a betörő valódi címe rejtve marad, mivel az ugródeszkaként szolgáló gépről általában mindent törölnek, ami a nyomukra vezethetne. Nem igazán jó megoldás az sem, ha egy jól működő, hibátlan programot minden megfontolás nélkül lecserélünk csak azért, mert megjelent egy új verziója. Jusson eszünkbe, hogy az új verzió új hibákat is eredményezhet, ezért upgrade előtt mindig olvassuk el a README/CHANGES/FEATURES/stb.-t. Azért vannak.


next up previous index
Következő: 5.9.7.2 Külső behatolási kísérletek Fel: 5.9.7 Linux szerverek biztonsági Előző: 5.9.7 Linux szerverek biztonsági   Index

1999-09-17