sslug-teknik team mailing list archive

[MONZ <monz@xxxxxxxxx>]

"Morten Gade Sørensen" wrote:
> Jeg vil bare lige høre folks syn på RedHat, som mange mener er den mindst
> sikre linux distribution.

Udover alt det andre har skrevet, kan jeg tilføje, at RedHat kan sikres
ganske fortræffeligt, præsis som Størner og andre har sagt det.

Lær at fjerne services der ikke er brug for og som er usikre, det gøres
primært i /etc/inetd.conf .
Undlad helt telnet og andet usikkert stads.
Tænk over hvilke brugere og grupper der skal kunne hvad, og med hvilke
rettigheder. Brug chown/chmod de steder i filsystemet hvor det er
relevant, så access til dirs og filer passer med brugerprofilerne, jvnf.
førnævnte.
Lær at indsætte de options i http.conf, sendmail.cf (f.eks.) og
samba.conf, der begrænser access til det mest nødvendige; kan dem ikke i
hovedet :-
Brug ssh, og konfigurerer denne til kun at tillade connect fra få,
kendte ip-numre. Samme for connect til mailsystemet.
Compiler kernen med support for firewalling og aktiver de ting i /proc
der beskytter mod spoofing og syn-attacks; se fx. Størner's firewall
script på sslug's sider, eller læs bogen Linux Firewalls, kan ikke huske
forfatteren.

Selv uden ipchains er enhver Linux herefter rimelig svær at penetrere.

Og hold selvfølgelig systemet opdateret med relevante pakker og patches.

Derudover kan til RedHat downloades et 'hardening utility' fra fx.
freshmeat, som bl.a. ændrer flere applikationer og services, så de ikke
kører suid til root; bind er een af dem.

Sættes Linux op som firewall, så check med isp'en, om de kun har
aktiveret noget nat, eller om der måske skulle aktiveres nogle basale
filtre...
-- 
Regards, Mogens Valentin
SysAdm  http://www.quizpeople.com  - valentin@xxxxxxxxxxxxxx
Private http://www.danbbs.dk/~monz - monz@xxxxxxxxx
Choose  http://www.linux.org - OpenSource, freedom of choice