A biztonság megfelelő kezelése érdekében figyelemmel kell kísérni az új fejlesztéseket és ismerni kell a legfrissebb biztonsági problémákat. A rendszer mindenfajta problémák elleni védelmének egyik lehetséges módja a biztonsági közlemények által javasolt frissítési csomagok lehető leggyorsabb telepítése. A SUSE biztonsági közlemények a következő levelezési listán kerülnek közreadásra, ami az alábbi címen lehet feljelentkezni:http://en.opensuse.org/Communicate/Mailinglists. A opensuse-security-announce@opensuse.org listán első kézből értesülhet a frissítési csomagokkal kapcsolatos tudnivalókról és a SUSE biztonsági csoportjának tagjai is az aktív listatagok között vannak.
A opensuse-security@opensuse.org levelezési lista kiváló hely bármilyen biztonsági kérdés felvetésére. Erre ugyanazon a weboldalon lehet feliratkozni.
A bugtraq@securityfocus.com a világ egyik legismertebb biztonsági listája. Ajánljuk a lista olvasását (naponta körülbelül 15-20 levél érkezik). További információ: http://www.securityfocus.com.
Az alábbi szabálylista az alapszintű biztonsági megfontolások kezeléséhez nyújt hasznos segítséget:
A mindennapos feladatok lehető legkorlátozottabb jogosultsággal való elvégzését előíró szabálynak megfelelően a rendszeres feladatokat ne root
felhasználóként hajtsa végre. Ez csökkenti a kakukktojások és vírusok saját hiba miatti érkezését.
Ha lehetséges, akkor mindig titkosított kapcsolatot alkalmazzon egy távoli gép használatához. telnet, ftp, rsh és rlogin helyett mindig érdemes az ssh-t (secure shell) használni.
Kerülje a csak IP-címekre épülő hitelesítési módszerek használatát.
A hálózattal kapcsolatos legfontosabb csomagokból mindig telepítse a legfrissebb változatot és jelentkezzen fel a megfelelő levelezési listákra, hogy értesüljön a megfelelő programok (bind, sendmail, ssh stb.) új verzióiról. Ugyanez igaz a helyi biztonság szempontjából fontos szoftverekre is.
A rendszer biztonsága szempontjából kritikus fontosságú fájlok jogosultságainak optimalizálása érdekében módosítsa az /etc/permissions
fájlt. Ha eltávolította egy programról a setuid bitet, akkor elképzelhető, hogy nem tudja a kívánt módon végrehajtani a feladatát. Cserébe viszont a program nem jelent további biztonsági kockázatot. Hasonló megközelítés alkalmazható a mindenki számára írható könyvtárak és fájlok esetében is.
A kiszolgáló működéséhez nem elegendhetetlenül szükséges hálózati szolgáltatásokat tiltsa le. Ez biztonságosabbá teszi a rendszert. A LISTEN socket állapottal rendelkező nyitott portok a netstat
programmal kereshetők meg. Ami a paramétereket illeti, érdemes a netstat -ap
vagy netstat -anp
formában használni a parancsot. A -p
opció lehetővé teszi annak megtekintését, hogy melyik eljárás milyen néven foglal le portot.
Hasonlítsa össze a netstat
eredményeit azzal, amelyet egy, a gépen kívülről kezdeményezett portelemzés eredményez. E feladatra megfelelő program az nmap
, amely nem csak a gép portjait ellenőrzi, hanem ebből következtet is arra, hogy mely szolgáltatások várnak ezek mögött. A portelemzés azonban agresszív cselekedet is lehet, így ne hajtsa végre olyan gépen, ahol az adminisztrátor kifejezetten nem hagyta jóvá. Végül ne feledje el, hogy nem csak a TCP-portokat kell elemezni, hanem az UDP-portokat is (-sS
és -sU
paraméter).
A rendszer fájlintegritásának megbízható módon történő megfigyeléséhez használja a SUSE Linux Enterprise AIDE
(Advanced Intrusion Detection Environment) programját. Titkosítsa az AIDE által létrehozott adatbázist a módosítás megakadályozásához. A gépen kívül, egy hálózatra nem csatlakoztatott adathordozón tartson fenn az adatbázisról egy biztonsági másolatot.
Harmadik féltől származó szoftver telepítésekor megfelelő körültekintéssel járjon el. Előfordult már, hogy egy cracker egy trójai programot épített be a biztonsági szoftvercsomag tar archív állományába, de ezt szerencsére gyorsan észrevették. Ha kétségei vannak egy adott webhellyel kapcsolatban, ne telepítse az onnan letöltött bináris csomagokat.
A SUSE RPM csomagjai gpg-aláírással vannak ellátva. A SUSE által az aláíráshoz használt kulcs:
ID:9C800ACA 2000-10-19 SUSE Package Signing Key <build@suse.de> Key fingerprint = 79C1 79B2 E1C8 20C1 890F 9994 A84E DAE8 9C80 0ACA
Az rpm --checksig package.rpm
parancs megmutatja, hogy az eltávolított csomag aláírása és ellenőrzőösszege helyes-e. A kulcs a disztribúció első CD-jén és a legtöbb kulcskiszolgálón megtalálható.
Rendszeres időközönként ellenőrizze a felhasználók és a rendszerfájlok biztonsági mentéseit. Gondoljon arra, hogyha nem ellenőrzi, hogy a mentés működik-e, akkor az lehet, hogy teljesen értéktelen.
Ellenőrizze a naplófájlokat. Hacsak lehetséges, írjon egy kis parancsfájlt a gyanús bejegyzések megkereséséhez. Ez kétségkívül nem egyszerű feladat. A végén csak azt tudhatja, hogy mely bejegyzések szokatlanok és melyek nem.
A tcp_wrapper
segítségével korlátozhatja a gépen futó egyedi szolgáltatások elérését, így explicit módon vezérelheti, hogy melyik IP-címek csatlakozhatnak egy szolgáltatáshoz. A tcp_wrapper
-rel kapcsolatos további információrt tekintse meg a tcpd és hosts_access kézikönyvoldalát (man 8 tcpd
, man hosts_access
).
A SuSEfirewall segítségével javítható a tcpd
által kínált biztonság (tcp_wrapper
).
A biztonsági intézkedéseket redundánsra tervezze: a kétszer megjelenő üzenet jobb, mintha nincs üzenet.