Оригинал: “20 Linux Server Hardening Security Tips”
Автор: Vivek Gite
Дата публикации: 30 октября 2009 г.
Перевод: Н.Ромоданов
Дата перевода: ноябрь 2009 г.

Поддержание безопасности Linux сервера на высоком уровне важно для сохранения от рук взломщиков (хакеров) ваших данных, интеллектуальной собственности и экономии времени. Системный администратор отвечает за безопасность компьютера с Linux. В этой первой статье из серии, посвященной безопасности серверов Linux, приводится 20 советов по повышению безопасности Linux сервера, установленного с настройками, заданными по умолчанию. Читать дальше…

Взято с http://www.ibm.com/

Уровень сложности: средний

Кен Милберг, UNIX-консультант Future Tech, составитель технической документации и эксперт по сайту, Future Tech

21.07.2009

Большинство системных администраторов, планирующих установку Linux на IBM® System p®, непременно приходят к важному вопросу: какой дистрибутив выбрать? В данной статье дается сравнение двух дистрибутивов – от Red Hat и Novell – и приводятся их плюсы и минусы при использовании в системах POWER. Я расскажу об истории возникновения обоих дистрибутивов, отношениях IBM с этими компаниями и основных факторах, влияющих на выбор дистрибутива. Также мы сравним и сопоставим процесс создания LVM-разделов в SLES и RHEL.

Введение

Возможность установки Linux на системы POWER (сокращенно – Linux on POWER, LoP) появилась в 2005 году с выходом технологии Advanced Power Virtualization и системы IBM System p5®. Сейчас пользователи могут устанавливать Linux, портированный для процессора POWER, на логические разделы серверов IBM System p. При этом доступны различные средства, связанные с виртуализацией, имеющиеся при работе на System p в операционной системе AIX®, версии UNIX® от IBM: микроразделы, виртуальные серверы ввода-вывода (VIOS), а также другие расширенные возможности, например, Capacity on Demand (CoD, выделение ресурсов по требованию). Более того, в Linux на POWER поддерживаются такие новые технологии Power6, как Live Partition Mobility (позволяет перераспределять нагрузку между серверами System p “на лету”, без выключения) и совместно используемые выделенные мощности (более оптимально задействует циклы совместно используемых процессоров). Читать дальше…

named(8)		FreeBSD System Manager's Manual 	      named(8)

ИМЯ
     named -- Сервер доменных имен Интернет (DNS)

СИНТАКСИС
     named [-d debuglevel] [-p port#] [-(b|c) config_file] [-f -q -r -v]
	   [-u user_name] [-g group_name] [-t directory] [-w directory]
	   [config_file]

ОПИСАНИЕ
     named - сервер доменных имен Интернета (DNS). Дополнительную информацию
     о системе DNS можно получить в документах RFC 1033, 1034 и 1035. Запущенный
     без аргументов, named считывает конфигурационный файл по умолчанию
     /etc/namedb/named.conf, читает данные инициализации и начинает прослушивать
     входящие запросы. Аргумент config_file, заданный в конце командной строки,
     перезаписывает конфигурацию, заданную другими конфигурационными файлами,
     определенных в опциях "-b" и "-c".
 Читать дальше...

Описание любого домена (служебная информация, его NS, сервера почты, субдомены) или, иначе говоря, зоны, должно строго соответствовать определенному формату. Рассмотрим его.

$TTL 1h
@       IN      SOA     ns1.my-ns-server.com. hostmaster.example.com. (
    2007022600	; Serial
    3h		; Refresh
    1h		; Retry
    1w		; Expiry
    1d		; TTL
)

;;; NS ;;;
	        NS	ns1.my-ns-server.com.
		NS	ns.my-secondary-ns.com.

;;; MX ;;;
		MX 10	mx.example.com.

;;; A ;;;
	        A	192.168.1.1
www		CNAME	@
mx		A	192.168.1.1

Читать дальше…

Как это делается при наличии Gnome или KDE знают все. Поэтому – консоль! Зачем? А вдруг у вас нету GUI(сервер, к примеру) или графическая оболочка снова сбоит…

Выбор часового пояса:
Идём в папку /usr/share/zoneinfo/, выбираем город, находящийся с нами в одном часовом поясе.
Теперь вместо /etc/localtime ставим символическую ссылку на /etc/localtime:
root[~]# ln -fs /usr/share/zoneinfo/Europe/Yekaterinburg /etc/localtime
Устанавливаем время и дату:
date ММДДЧЧммГГГГ.СС
Месяц, День, Час, Минуты, Год, Секунды.
root[~]# date 073008102009.59
Thu Jul 30 08:10:59 EDT 2009
Выполнять с правами root’а.

Постановка задачи
1. Шифрование разделов
1.1 Подготовим ядро Linux
1.2 Переходим к шифрованию
2. Загрузчик на usb флешке (grub)
2.1 Подготовим флешку
2.2 Переходим к загрузчику
2.3 Автоматизация монтирования шифрованных разделов при загрузке
2.4 Уничтожение загрузчика
2.5 Шифрование swap раздела
3. Паранойя
3.1. Ставим на флешку линукс (Gentoo)
3.2. Доводим дело до конца

Читать дальше…

10 самых распространенных ошибок конфигураций Linux и xBSD

Установить Linux/BSD не проблема, инсталлятор все сделает за нас, а вот правильно настроить систему, чтобы ее тут же успешно не атаковали хакеры, удается далеко не каждому. Проанализировав ситуацию, мыщъх отобрал десяток наиболее распространенных ошибок, допускаемых не только начинающими, но и матерыми юниксоидами.

Все видели логотип на главной странице OpenBSD? «Всего лишь две удаленных уязвимости в конфигурации по умолчанию за десять лет промышленной эксплуатации». Означает ли это, что, установив OpenBSD на свою машину, мы можем ничего не опасаться? Нет и еще раз нет!

Несмотря на то что в xBSD и особенно в Linux имеется достаточное количество дыр, под которые написано множество эксплойтов, большинство атак совершается не через них (хотя и через них тоже), а «благодаря» грубым ошибкам конфигурации, допущенным администратором. Это справедливо как для серверов, так и для рабочих станций, однако серверы имеют свою специфику: здесь доминируют дыры в PHP/Perl-скриптах, SQL-injecting и т.д. Об этом уже неоднократно говорилось на страницах нашего журнала, так что оставим серверы в покое (о них есть, кому позаботиться) и сосредоточимся на рабочих станциях обычных пользователей, которые обучаются методом тыка и совершенно незнакомы с тактикой ведения боя против хакеров.

Читать дальше…

На конференции SIGINT 09 представлена beta-версия LiveCD дистрибутива Ubuntu Privacy Remix (UPR), основанного на Ubuntu 9.04 и предназначенного для обеспечения максимально возможной степени изоляции для защиты персональных данных пользователя. Кроме средств для предотвращения проникновения злонамеренного кода, такого как троянские программы, модули перехвата клавиатурного ввода и rootkits, в дистрибутиве используются и средства для противостояния средствам слежения и мониторинга активности пользователей, внедряемым некоторыми правительствами.

Ключевые особенности дистрибутива:

• Базовая система работает только c CD в режиме для чтения. Дистрибутив не предназначен для установки на жесткий диск, дополнительные программы, включая вредоносные, доустановить невозможно.
• Все внешние накопители и локальные жесткие диски ПК могут быть смонтированы только в режиме “noexec”, недопускающем выполнение программ с внешних носителей.
• Из Linux ядра убрана поддержка оборудования для работы в сети, дистрибутив работает полностью автономно, задействование LAN/WLAN/Bluetooth запрещено.
• В дистрибутиве используются только open source программы, исходные тексты которых доступны для аудита.
• Для хранения настроек пользователя, таких как файлы конфигурации программ и PGP-ключи, используется технология “extended TrueCrypt-Volumes”, позволяющая прозрачно накладывать на основную ФС примонтированные из зашифрованного раздела данные.

Появляется вопрос: а оно такое надо? Дистрибутив, изначально нацеленный на “дружелюбие”, доступность и удобство для рядовых пользователей вдруг пытаются превратить в танк. Причём, с потерей функционала если не колоссальной, то значительной…

Linux

Настраиваем поддержку ACL в Linux, это необходимо для шар самбы, что бы корректно сохранялись права виндовых машин, что бы эти права наследовались, что бы можно было править права на шары с помощью галочек в Windows, что бы профиль пользователя Windows (если у вас домен на samba) перемещался корректно ну и т.д.

Читать дальше…

Собственно озадачился на днях защитой нашего корпоративного файлового сервера, тобишь файлопомойки. То ли мусор начал лезть туда, то ли что то ещё. Вообщем, сказано – сделано. Раньше у нас стоял сервер с голой FreeBSD 6, ну и самба сервер которая через winbind общалась с юзерами. На этот раз я решил капнуть глубоко, и по самое «не хочу» обезопасить сам сервер и шары с данными.  А крутиться всё это будет уже на FreeBSD 7.1-RELEASE

Автор статьи – Максим HidX
Последнее редактирование – 17.03.09

В данной статье я как можно подробнее опишу сам процесс, от установки фряхи, до настройки фаервола (о да!). Итак, вот что будет с нашим сервером:

·      Samba сервер, с поддержкой юзеров Active Directory, acl и изменением прав на шары через Windows.

·      ClamAV антивирус с регулярным сканированием шар самбы на вирусы.

·      Антируткит. От злосных недоброжелатилей.

·      PF портированый из OpenBSD фаервол, для защиты входящих соединений.

Читать дальше…

В данном мануле я расскажу как поднять на абсолютно не требовательном железе – мини домашний файловый сервер. Я буду использовать два жестких диска. Один на 8 гигабайт, старый от IBM для системы. А второй на 40 гиг для шары, отформатированный в NTFS, благодаря чему, я (в случае поломки сервера или прочих операций) могу вставить этот диск в любой компьютер с Windows, Linux системами и получить доступ к моим данным.

Собственно всё это будет вертеться на Ubuntu Server. Думаю что и на Debian будет всё так же.

Читать дальше…

Я понимаю, что это звучит как название дешевого боевика, но все же это действительно реально сделать!

Так как я являюсь “счастливым” абонентом Екатеринбургского провайдера KAБiNET, я знаю о таком великолепном проекте как p4p.ru. Это сеть ftp серверов абонентов провайдера. Можно создать свой ftp сервер, зарегистрировать его в проекте p4p.ru и получать за это денюшку! Что я и незамедлил сделать. В связи с тем, что раньше мне не приходилось поднимать ftp, я пошел гуглить. Вот собственно что я нашел. По этой статье я в своей gentoo сделал следующее:

Читать дальше…

Jabber ( болтовня, трёп) — система для быстрого обмена сообщениями и информацией о присутствии (в контакт-листе) между любыми двумя пользователями Интернета на основе открытого протокола XMPP.
В наше время, стал очень распространён протокол обмена сообщениями – Jabber. Сейчас я расскажу, как установить собственный Jabber-сервер на FreeBSD при помощи OpenFire. Итак, поехали…

Читать дальше…

1. Установка.

Для опытов я взял свой любымый Ubuntu Linux 8.04.
Устанавливаем сервер и клиент samba.

Читать дальше…

Настройка своего PPPoE-сервера в Ubuntu довольно проста. Сегодя дорогой читатеоь вы узнаете, как осуществить установку PPPoE-сервера.
Для этого можно выполнить всего лишь несколько шагов. Устанавливаем пакет pppoe, остальные компоненты уже находтся в системе:

Читать дальше…

В наше время, протокол SSH используется так же активно, как и раньше. Сейчас я расскажу о том, как установить SSH-сервер и SSH-клиент в Linux’е. Для своих опытов беру Debian GNU/Linux.

Читать дальше…

Для простого учета статистики воспользуемся пакетом  . Настроек практически никаких, удобное web представление графиков.
Darkstat – это небольшой и эффективный сниффер пакетов, позволяющий вам без особой головной боли учитывать на своей Linux-машине сетевой трафик. Darkstat имеет встроенный веб-сервер, обращаясь к которому вы получите довольно подробную статистику о потраченных вами кило-, мега- или гигабайтах.  Позволяет просматривать статистику по портам и протоколам.

Рассмотрим на примере UBUNTU:

Читать дальше…

Jabber это открытый протокол для быстрого обмена сообщениями и информацией о присутствии между любыми двумя пользователями сети. В последне время jabber становится всё более популярным, что можно объяснить его простотой и открытостью.

Читать дальше…

Евгений В. Жданов eugene@protoplex.ru
Оригинал: http://design.protoplex.ru/?showid2=37

Многие мои друзья и знакомые часто спрашивают меня о том, как устроен мой сайт, сколько у меня таблиц в базе данных, как я храню данные и по каким полям веду поиск. Я, конечно, не выдаю все свои государственные тайны, но всегда понимаю причину таких вопросов и пытаюсь помочь людям построить быструю и надежную базу данных – т.е. тщательно продумать структуру БД таким образом, чтобы при увеличении нагрузки или объема таблиц динамический веб-сайт не превратился в тормозное усмертие. А ведь многие новички (веб-строители) даже не догадываются о том, что крупные динамические сайты тормозят вовсе не из-за нагрузки скриптов на процессор, а в основном из-за неоптимизированного или дохленького MySQL-сервера. При этом во многом все зависит от того, как устроена ваша база данных. Читать дальше…