Porovnávané verzie

Stará verzia 2

changes.mady.by.user D2000 Dev Team

Uložené

porovnané s

Nová verzia Aktuálny

changes.mady.by.user D2000 Dev Team

Uložené

Kľúč

  • Tento riadok sa pridal
  • Riadok je odstránený.
  • Formátovanie sa zmenilo.

...

Zabránenie úniku informácií cez súbory issue

Odporúčame zmeniť súbory „issue“ a „issue.net“ issue“ a „issue.nettak, aby neposkytovali žiadne relevantné údaje alebo aby poskytli zavádzajúce údaje. Zároveň odporúčame do týchto súborov zahrnúť informácie o autorizovanom používaní systému a možnom postihu pri neautorizovanom používaní systému. Príklad:
WARNING : Unauthorized access to this system is forbidden and will be
prosecuted by law. By accessing this system, you agree that your actions-
may be monitored if unauthorized usage is suspected.

...

Odstránenie interaktívneho interpretera príkazov (shell) v súbore /etc/passwd zo systémových účtov. Pre väčšinu z nich nie je potrebné mať priradený interaktívny interpreter príkazov (shell). Tento shell môže byť zneužitý pri kompromitácii danej služby alebo aplikácie tak, že útočník bude mať prístup na tento shell s právami, s akými bola spustená daná služba. Odporúčame na tieto účty nastaviť shell /bin/false.

...

Odporúčame vytvorenie personalizovaných účtov pre všetkých užívateľov Linuxového servera (štandardne sa jedná iba o administrátorov, keďže D2000 užívatelia štandardne nepotrebujú priamy prístup na aplikačný server).
Poznámka: s týmto súvisia aj ďalšie dva body - zakázanie priameho prihlásenia užívateľa root.


Zakázanie priameho prihlásenia užívateľa root cez SSH (povoliť iba prístup z iných účtov cez sudo)

...

chmod a-st /usr/bin/chage
chmod a-st /usr/bin/gpasswd
chmod a-st /usr/bin/newgrp
chmod a-st /usr/bin/fusermount3
chmod a-st /usr/bin/pkexec
chmod a-st /usr/bin/crontab
chmod a-st /usr/bin/chfn
chmod a-st/usr/bin/at
chmod a-st /usr/bin/chsh
chmod a-st /usr/bin/fusermount
chmod a-st /usr/bin/ksu
chmod a-st /usr/libexec/sssd/ldap_child
chmod a-st /usr/libexec/sssd/proxy_child
chmod a-st /usr/libexec/sssd/selinux_child
chmod a-st /usr/libexec/cockpit-session
chmod a-st /usr/lib/polkit-1/polkit-agent-helper-1
chmod a-st /usr/sbin/userhelper
chmod a-st /usr/sbin/unix_chkpwd
chmod a-st /usr/bin/locate
chmod a-st /usr/libexec/openssh/ssh-keysign


Kontrola otvorených TCP a UDP portov a procesov, ktoré na nich počúvajú (príkazom netstat -46npl ) a následná redukcia nepotrebných. Napríklad na konkrétnom serveri boli vypnuté služby rpcbind.socket a rpcbind, ktoré boli predtým používané na pripojenie NFS subsystému.


Ďalšie odporúčania (zo sekcie Windows Hardening)