Купить сервер в Киеве. Cерверы и рабочие станции в Украине
Продажа мощных серверов по низким ценам. Серверы Dell, HP, Supermicro. Мощные рабочие станции из США. В наличии новые и б/у за наличку и по безналу.
  • Главная
  • Серверы
  • Рабочие станции
  • Комплектующие
  • Статьи
  • Контакт
  • Главная
  • Серверы
  • Рабочие станции
  • Комплектующие
  • Статьи
  • Контакт

Основы безопасности FreeBSD

Несмотря на то, что FreeBSD по праву считается одной из самых безопасных ОС в мире, тем не менее дам несколько советов, как эту самую безопасность улучшить.

Для начала, я не буду рассказывать про пользу обновлений операционной системы, обновление ПО, правильная настройка фаервола и т.д. и т.п. Это Вы и так должны понимать.

Для начала, поиграемся с sysctl.conf

vi /etc/sysctl.conf
net.inet.tcp.blackhole=2 # Это превращает машину в черную дыру при попытке подключиться к портам, которые не обслуживаются вашим сервером.
net.inet.udp.blackhole=1
kern.ps_showallprocs=0 # только пользователь root может видеть все запущенные процессы

/etc/rc.d/sysctl restart

Теперь поиграемся с правами доступа к крону

chmod 0600 /etc/crontab # только пользователь root должен иметь доступ к файлу настройки cron

Права доступа к файлам.

При помощи команды chmod 600, мы разрешаем доступ только пользователю root на запись и чтение файла.  При помощи команды chmod 700, мы также даем возможность пользователю root возможность запускать файл.

chmod 0700 /root
chmod 0600 /etc/syslog.conf
chmod 0600 /etc/rc.conf
chmod 0600 /etc/newsyslog.conf
chmod 0600 /etc/hosts.allow
chmod 0600 /etc/login.conf
chmod 0700 /usr/home/*

Console Access (доступ к консоли)

Запомните что хоть мы и блокируем доступ от неавторизованного доступа в однопользовательском режиме, это не обеспечивает полную защиту вашего сервера. Некто с плохими намерениями может снять жесткий диск с вашего сервера и установить его на другом компьютере. Если сервер не защищен физически, то никакие программные настройки, вас не спасут от взлома вашей системы. Изменение прав доступа к первой консоли означает что вы не сможете войти в систему в однопользовательском режиме, не зная пароля пользователя

vi /etc/ttys
console  none   unknown   off   insecure  # запрашивать пароль пользователя root в однопользовательском режиме.
ttyv0   “/usr/libexec/getty Pc”  cons25   on   insecure
# Virtual terminals
ttyv1   “/usr/libexec/getty Pc”  cons25   on   insecure
ttyv2   “/usr/libexec/getty Pc”  cons25   on   insecure
ttyv3   “/usr/libexec/getty Pc”  cons25   on   insecure
ttyv4   “/usr/libexec/getty Pc”  cons25   on   insecure
ttyv5   “/usr/libexec/getty Pc”  cons25   on   insecure
ttyv6   “/usr/libexec/getty Pc”  cons25   on   insecure
ttyv7   “/usr/libexec/getty Pc”  cons25   on   insecure

Некоторые данные, которые необходимы в rc.conf

vi /etc/rc.conf
inetd_enable=”NO” # Better ways to run your daemons
syslogd_enable=”YES” # Конечно мы хотим вести регистрацию событий. Если вы планируете настроить
# удаленную регистрацию событий, тогда пропустите следующую строку.
# Если файлы регистрации событий будут расположены на локальном диске,
# убедитесь что у вас смонтирован раздел /var.
syslogd_flags=”-ss” # Этим мы закроем 514 udp порт если мы не хотим использовать удаленную
# регистрацию событий на или с этого сервера. Естественно не нужно добавлять
# эту строчку, если вы планируете настроить удаленную регистрацию событий.
icmp_drop_redirect=”YES” # Отключаем прием и отправку переадресовующих ICMP пакетов.
icmp_log_redirect=”YES” # Регистрировать переадресовующие ICMP пакеты в журнальном файле
clear_tmp_enable=”YES” # Очищать директорию /tmp при загрузке.
portmap_enable=”NO” # Если не используется NFS
icmp_bmcastecho=”NO” # Предотвращает springboarding и smurf атаки, запрещая серверу отвечать
# на широковещательные ping-пакеты.
fsck_y_enable=”YES” # При ошибках файловой системы на этапе загрузки утилита fsck будет
# запущена с флагом -y (man fsck)
update_motd=”NO” #Не обновлять файл с сообщением дня /etc/motd
tcp_drop_synfin=”YES” # Отбрасывать synfin пакеты. Смотри ниже, необходимые изменения в ядре.
log_in_vain=”YES” # Установите эту опцию, если вы хотите записывать все попытки подключения
# к закрытым портам вашего сервера.
sshd_enable=”YES” # Это позволит сделать удаленный доступ к серверу более защищенным.

Опубликовано 17.08.2013
100
Консольные команды FreeBSD
Особенности gmirror на FreeBSD

Смотрите также:

Программе установки не удалось создать новый или найти существующий системный раздел

Решение проблем с установкой Windows 10 (8.1, 8, 7) с USB флешки (Программе установки не удалось создать новый или найти существующий системный раздел)

Mysql

Журналы (logs) в MySQL

ddosattack

Полезные команды, которые могут пригодиться при DDoS и не только

netstat

Использование netstat

    Контакт

    e-mail  sales@server-kiev.com
    skype  l_o_t_u_s33
    skype  +38 (068) 784-3255

    Комплектующие

    • Процессоры (CPU) (0)
    • Блоки питания (3)
    • Жесткие диски (HDD) (7)
    • Видеокарты (0)
    • Контроллеры (4)
    • Материнские платы (7)
    • Оперативная память (2)
    • Радиаторы / Кулеры (0)
    • Мониторы (2)
    • Проекторы (0)
    • SSD (0)
    • Сетевое оборудование (0)

    Новые поступления

    • Gigabyte 7PESH2MS-00 Intel C602 Chipset Rev 1.0 LGA2011 E-ATX
    • Сервер HP DL560p Gen8 4×E5-4650 48GB RAM
    • Acer ET322QU 32″ Black Freesync 75Hz LED IPS Monitor 2560×1440
    • Dell Precision T5600 2x Xeon E5-4650L 64GB HDD 1TB
    • LG 32UK50T-W 32″ Class 4K UHD (3840 x 2160)
    • HP Z420 6-ти ядерный Xeon E5-1650 3,2 GHZ 32GB RAM 120GB SSD 3000GB HDD
    • Supermicro PWS-1K62P-1R 1620 Watt Power Supply — 180-240 V
    • Серверный блок питания SUPERMICRO Ablecom 560W/600W 1U PWS-563-1H
    • SUPERMICRO Ablecom PWS-521-1H 520W Watt Switching Power Supply
    • HP DL580 Gen8 E7-4880v2 2.80GHz 120 потоков 256Gb DDR3 16x16GB
    • Рабочая станция E5-2697v3 28/56 Ядер-Потоков Intel Xeon / 256GB DDR4 / 3/3TB SSD/HDD / GTX 1080 / 1300W
    • 1C Сервер Supermicro 1-2U 2PS Xeon 32x 2.6GHz 128GB DDR3 ECC SAS-SATA
    • Монитор Dell S2817Q
    • Twin Сервер Supermicro 6027TR-DTRF 2U 2PS 4x Xeon 32x 2.9GHz 4x E5-4650L 128GB DDR3 ECC SAS-SATA
    • Supermicro X9DRi-LN4F+ v1.20 Dual LGA 2011 DDR3 Xeon v1. v2
    • Рабочая станция SuperMicro Xeon E5-4650L 96GB DDR3 SSD 240GB 3TB HDD Quadro
    • Рабочая станция GIGABYTE Xeon E5-4650L 64GB DDR3 SSD 240GB 3TB HDD GTX
    • DELL SAS 1GB 9265-8I 6GB/S Raid DNKYM 6GB/S LSI MEGARAID
    • MSI Z97 Gaming 5
    • HP ProLiant DL370 G6 ML370 G6

    Translate:

    Метки

    1С бухгалтерия 1С предприятие 10600R avocent binary log c6100 command line ddos dell error log freebsd IPKVM kernel linux log mysql netstat nettop networking poweredge query log slow query log snippets sysadmin tcp/ip unix windows 10 windows 10 setup troubleshooting Виртуализация Программе установки не удалось создать новый или найти существующий системный раздел команды freebsd консоль лог всех запросов mysql оперативная память память для серверов полезные мелочи проблемы с установкой windows продажа сервер сисадмин сниппеты установка windows установщик не может найти раздел фрибсд ядро
Яндекс.Метрика
e-mail  sales@server-kiev.com
skype  server-kiev
Купить сервер в Киеве
Купить рабочую станцию в Киеве
Серверы Dell купить
Серверы Supermicro купить
Недвижимость Киева и Украины