Paprasti žingsniai tvarkant savo FreeBSD sistemą.

Paprasti žingsniai tvarkant savo FreeBSD sistemą.

Šiame straipsnyje aptarsime labai paprastus žingsnius, kurie padės šiektiek apsaugoti savo FreeBSD sistemą ir sudėlioti dalykus į savo vietas.

Viską darysime "straight forward" ir eisime tiesiai prie veiksmų.

1. Išjungiame sendmail.

Manau net nereikia aptarinėti, kodėl reikia išjungti ir nebenaudoti sendmail.

1.1 Redaguojame "/etc/mail/sendmail.cf"

1.2 Surandame "O DaemonPortOptions=Port=587, Name=MSA, M=E", užkomentuojame simboliu "#", išsaugome.

1.3 Įvedame komandą "killall -HUP sendmail"

1.4 Prie "/etc/rc.conf" failo pridedame eilutę su tekstu " sendmail_enable="NONE" "

1.5 kill -9 sendmail

2. Išjungiam nereikalingus "servisus"

Prie failo "/etc/rc.conf" pridedame šias eilutes :

nfs_server_enable="NO"
nfs_client_enable="NO"
portmap_enable="NO"
#Syslogd
syslogd_enable="YES"
syslogd_flags="-ss"
tcp_drop_synfin="YES"
#ijungiam "accounting'ą"
accounting_enable="YES"
#trinam kaskart tmp
clear_tmp_enable="YES"
inetd_enable="NO"

3. Konvertuojam slaptažodžių hešus į 'blowfish'.

Tiesiog pakeisime algoritmą naudojamą mūsų slaptažodžių saugojimui.

3.1 Redaguojame "/etc/login.conf" failą.

3.2 Keičiame failo turinį į ":passwd_format=blf:\" vistoje MD5 ar kito.

3.3 cap_mkdb /etc/login.conf

3.4 Pakeičiame visų esamų vartotojų slaptažodžius dar kartą (passwd)

3.5 "cat /etc/master.passwd | grep root" - turėtume pamatyti kažką panašaus į "root:$2a$"

Paskutinis žingsnis - naujų vartotojų kurimas kartu su "blowfish".

Į "/etc/auth.conf" failą įrašome "crypt_default=blf", visas kitas eilutes užkomentuojame "#" simboliu.

4. Mūsų fancy csh

alias j		 jobs -l
alias la		ls -a
alias lf		ls -FA
alias ll		ls -lA
alias pf		pfctl

# A righteous umask
umask 22

set path = (/sbin /bin /usr/sbin /usr/bin /usr/games /usr/local/sbin /usr/local/bin /usr/X11R6/bin$

#galite pasikeisti į savo norimą redaktorių, nebūtinai 'nano'.
setenv  EDITOR  nano
setenv  PAGER   more
setenv  BLOCKSIZE	   K

if ($?prompt) then
	# An interactive shell -- set some stuff up
	#rodo esama patch'a, daugiau dokumentacijos "man csh"
	set prompt = "`/bin/hostname -s`# [%c][%t] # "
	set filec
	#naudos spalvas
	set color
	#autolistas bus naudojamas spaudžiant "tab".
	set autolist
	#istorija
	set history = 100
	set savehist = 100
	set mail = (/var/mail/$USER)
	if ( $?tcsh ) then
			bindkey "^W" backward-delete-word
			bindkey -k up history-search-backward
			bindkey -k down history-search-forward
	endif
endif

5. SSL naudojimas.

Keli variantai - beta arba stable. Iš praždių turėtumete nuspresti vis dėlto kuris jums bus tinkamiausias.

Visus juos galite rasti /usr/ports/security/openssl-* (opensll - bus 'current' versija).

1. Suintaliuojame pasirinktą OpenSSL'ą iš portų sistemos.

2. Į "make.conf" failą pridedame :

WITH_OPENSSL_PORT=yes
WITH_OPENSSL_BETA=yes
WITHOUT_X11=yes

"WITHOUT_X11=yes" - nurodomas tada, kai jums tiesiog nereikės X11, jis nėra būtinas.

"WITH_OPENSSL_STABLE=yes" - naudos "openssl stable".

6. Sysctl

Keletas būtinų sysctl'ų. Visus juos galima nurodyti per konsolę arba ssh, taip pat "/etc/sysctl.conf" faile.

sysctl security.bsd.see_other_uids=0
sysctl net.inet.udp.blackhole=1
sysctl net.inet.tcp.blackhole=2

Portų sysctl'ai :

sysctl -a | fgrep portrange

Pavizdys : "sysctl net.inet.ip.portrange.lowfirst=10000" - reiškią, kad vartotojams neturintiems reikiamų privilegijų leisim naudoti tik prievadus ('portus') prasideančius tik 10000 ir didesniu skaičiumi.

Pačių sysctl'ų yra kiek daugiau, apie tai reikėtų skaityti individualiai.

7. Permisijos

Greitai ir neskausmyngai.

chmod 600 /etc/crontab ; chmod 700 /root ; chmod 700 /home/* ; chmod 650 /etc/rc.* ; chmod 600 /etc/master.passwd

echo "root" > /var/cron/allow
echo "root" > /var/at/at.allow

Visa kita (skonio reikalas) :

chmod o= /etc/crontab; chmod o= /usr/bin/crontab;chmod o= /usr/bin/at; chmod o= /usr/bin/atq;chmod o= /usr/bin/atrm;chmod o= /usr/bin/batch;chmod o= /etc/fstab; chmod o= /etc/ftpusers; chmod o= /etc/group; chmod o= /etc/hosts; chmod o= /etc/hosts.allow; chmod o= /etc/hosts.equiv; chmod o= /etc/hosts.lpd; chmod o= /etc/inetd.conf; chmod o= /etc/login.access; chmod o= /etc/login.conf; chmod o= /etc/newsyslog.conf; chmod o= /etc/rc.conf; chmod o= /etc/ssh/sshd_config; chmod o= /etc/sysctl.conf; chmod o= /etc/syslog.conf; chmod o= /etc/ttys; chmod o= /usr/bin/users; chmod o= /usr/bin/w; chmod o= /usr/bin/who; chmod o= /usr/bin/lastcomm; chmod o= /usr/sbin/jls; chmod o= /usr/bin/last; chmod o= /usr/sbin/lastlogin; chmod ugo= /usr/bin/rlogin; chmod ugo= /usr/bin/rsh; chmod =o /etc/spwd.db

8. Greitas FreeBSD sistemos atnaujinimas.

8.1 Cvsup.

cd /usr/ports/net/cvsup-without-gui/ && make install clean && rehash
cp /usr/share/examples/cvsup/stable-supfile /usr/src
cp /usr/share/examples/cvsup/ports-supfile /usr/ports

8.2 Make.conf redagavimas ir direktyvos.

SUP_UPDATE=yes
SUPHOST=cvsup.lt.freebsd.org
SUPFILE=/usr/share/examples/cvsup/stable-supfile
PORTSSUPFILE=/usr/share/examples/cvsup/ports-supfile

8.3 Greitas atnaujinimas.

Priklausomai nuo naudojamos įrangos atnaujinimas gali užtrukti nuo 30 minučių iki ~6 valandų.

cd /usr/src && make update && make buildworld && make buildkernel && make installkernel && mergemaster -p && make installworld

8.4.Perkrauname sistemą.

reboot 

8.5 Likusi dalis

cd /usr/src && make clean && cd /usr/ports && make update && rehash

OpenSSH.

Instaliavimas.

cd /usr/ports/security/openssh-portable/ && make config
make install distclean

rc.conf direktyvos

sshd_enable="NO"
openssh_enable="YES"

Konfiguravimas ir paruošimas

vi /usr/local/etc/ssh/sshd_config
/usr/local/etc/rc.d/openssh start

Sentrytools, lsof ?

http://sourceforge.net/projects/sentrytools/

http://www.akadia.com/services/lsof_intro.html

cd /usr/ports/security/portsentry/ && make install distclean && rehash
cd /usr/ports/sysutils/lsof/ && make install distclean && rehash
cp /usr/local/etc/portsentry.conf.default /usr/local/etc/portsentry.conf
ln -s /usr/local/etc/portsentry.conf /etc/sentry.conf
vi /etc/sentry.conf (konfiguruojame portsentry)
portsentry -tcp && portsentry -udp && sockstat -4 | grep portsentry (matome daug portų)

[/i]

Kiek prisimenu norint užkrauti portsentry kartu su sistemo pakrovimu reikia naudoti šias direktyvas rc.conf faile :

portsentry_tcp_enable="YES"
portsentry_udp_enable="YES"

Ir jeigu neturite susikompiliave pf savo FreeBSD sistemoje :

http://www.openbsd.org/faq/pf/

kldload pf && pfctl -e 
pfctl -s info (pf informacija)

Na štai atnaujine portų sistemą, "FreeBSD branduolį", bei pačia sistemą, įrašėme openssh, sentrytools.

Sėkmės.

Šaunuolis beck, nors ir nedaug kam čia šito reikėjo manau, be vis tiek idėja labai sveikintina.

Jei išjungiame sendmail, ką galime naudoti email siuntimui iš PHP'o? Ar šis straipsnis turi omeny, kad sistema skirta ne web serveriui?

Bet kokiu atveju, reikės įsimesti šį straipsnį į bookmarkus tam atvejui, jei reikės žaisti su freebsd :)

Tikrai naudingas straipsnis, tikiu kad ateityje pravers :)

Jei išjungiame sendmail, ką galime naudoti email siuntimui iš PHP'o? Ar šis straipsnis turi omeny, kad sistema skirta ne web serveriui?

 

Bet kokiu atveju, reikės įsimesti šį straipsnį į bookmarkus tam atvejui, jei reikės žaisti su freebsd :)

Pagal skoni - exim, postfix, qmail. Net is "sukonfiguruiotas" sendmail'as yra nesaugus, jis gali vistiek relay'inti brukalus t.y. spam'a, o programisiui bus maziau darbo ir dar daug visokiu kokiu negeru dalyku gali nutikti benaudojant sendmail'a.