Re: Włamanie - co dalej?

To: debian-user-polish@lists.debian.org
Subject: Re: Włamanie - co dalej?
From: "Wojciech Ziniewicz" <wojciech.ziniewicz@gmail.com>
Date: Wed, 14 Nov 2007 13:29:35 +0100
Message-id: <[🔎] d1473ad90711140429sc031fa2v609ad45f36ec4ff@mail.gmail.com>
In-reply-to: <[🔎] 20071114080648.45c92bf6@laptop>
References: <[🔎] 4735996E.9050909@epf.pl> <[🔎] 20071114080648.45c92bf6@laptop>

14-11-07, Jerzy Patraszewski <sm0q@pbw.edu.pl> napisał(a):

> Podsumowując:
> grsec+pax+chroot+suexec+separacja usług+mod_security+tripwire/aide+... -> to na poziomie instalacji
> chrootkit+logcheck+spożytkowanie logów z ww. narzędzi +np.

w sumie nihil novi - niektorzy nie chcą miec zainstalowanego grseca
czy pax'a . dla przykładu - miałem duze problemy z jednym i drugim na
zwyklym routerze z IMQ,l7,p-o-m,ipp2p,pppoe . po prostu mnóstwo
segfaultów - kiedy doszedłem do sytuacji keidy wszystkie wersje
pasowały do siebie i nie było problemów z grsekiem - dostawałem oopsa
raz w miesiącu - po roku prób doszedlem ze chodziło o grsec + raid 1
;)

trzeba sobie uswiadomić ,że najwazniejsze nie są te wszystkie patche
na jadro , selinux itd - to powinno wynikać raczej z włąsnej potrzeby
anizeli z tego ze ktos to podpowiedział bo wtedy sytuacja wyglada w
ten sopsob ze np. mamy selinuxa ale nie wiemy co to audit w syslogu ;)

z mojego doswiadczenia wynika ,że na prawde wystarczającymi w 90%
przypadków (te 10% to egzotyczne rozwiązania ) zabezpieczeniami są

- czujny i swiadomy admin
- polityka oddebilniania userów (zakaz zakładania konta "test" haslo "test" itp)
- podstawowe CZYNNOSCI (nie mowie ze to są jakiekolwiek
zabezpieczenia) po instalacji systemu czyli wywalenie niepotrzebnych
modułów z apache'a, uzywanie tylko sudo, brak mozliwosci logowania
roota przez ssh, zmiana portu ssh na jakis losowy , updaty z
security.debian.org , uzywanie stabilnej dystrybucji, przekompilowanie
kernela ( kernele stockowe to szajs niestety ;/ ) , podmontowanie tmp
z flagami nodev,nosuid,noexec (z doswiadzcenia wiem ze to jest
przyczyną ok 50% compromisów ;) ).

a najważniejsze z tego wszystkiego - i uważam ze w ogole za mało sie o
tym chyba mowi bo niektorzy tego po prostu nie robią i nie planują -
BACKUPY .

jak ktoś juz na liscie powiedział 'tylko prawdziwi faceci nie robia backupów'

to tyle.
pozdr



-- 
Wojciech Ziniewicz
Unix SEX :{look;gawk;find;sed;talk;grep;touch;finger;find;fl
ex;unzip;head;tail; mount;workbone;fsck;yes;gasp;fsck;more;yes;yes;eje
ct;umount;makeclean; zip;split;done;exit:xargs!!;)}

Reply to:

Follow-Ups:
- Re: Włamanie - co dalej?
  - From: Jerzy Patraszewski <sm0q@pbw.edu.pl>
- Re: Włamanie - co dalej?
  - From: Marcin Owsiany <porridge@debian.org>

References:
- Włamanie - co dalej?
  - From: Mikołaj Menke <clauz@epf.pl>
- Re: Włamanie - co dalej?
  - From: Jerzy Patraszewski <sm0q@pbw.edu.pl>

Prev by Date: Re: Włamanie - co dalej?
Next by Date: Re: Włamanie - co dalej?
Previous by thread: Re: Włamanie - co dalej?
Next by thread: Re: Włamanie - co dalej?
Index(es):
- Date
- Thread