سلام،
در این مبحث با نکات و اصول مهم برای ایمن سازی سیستم های لینوکس آشنا می شوید:
BIOS
همیشه یک کلمه رمز برای BIOS خود تعریف کنید و امکان بوت شدن از طریق Floppy و CD-ROM/DVD-ROM رو غیرفعال کنید.
این روش سیستم رو برای دستکاری تنظیمات BIOS از افراد غیر مجاز محافظت می کنه.
SSH/Secure shell
این پروتکل بصورت پیشفرض فعال هستش.
با کمک فایل sshd_config قسمت Protocol رو به 2 تغییر بدید و PermitRootLogin رو هم به No تغییر بدید. بعد SSHD رو Restart کنید.
همچنین پورت SSH رو هم تغییر بدید.
Telnet
این سرویس بصورت پیشفرض(معمولاً) فعال هستش.
با کمک xinetd.d/telnet قسمت disable رو به Yes تغییر بدید.
ProFTP
ورودی Root در این سرویس فعال هستش.
با کمک فایل proftpd.conf قسمت RootLogin رو Off کنید. بعد ProFTP رو Restart کنید.
History
خرابکارها بعد از نفوذ/خرابکاری معمولاً ردپا/Track ها رو می پوشونن(از بین میبرن). برای جلوگیری(50%) از این کار دستورات زیر رو برای فایل bash_history اعمال کنید:
هم چنین می توانید دسترسی Read only بهش بدید+گروه بندی.
حسابها و گروههای ویژه/misc. رو هم حذف کنید: game, news, lp, uucp, halt...
userdel xxxxx
groupdel yyyyy
جهت ایمنی بیشتر فایلها: تغییر دسترسی:
غیر فعال کردن سرویس هایی که استفاده نمی شوند.
بستن پورت هایی که استفاده نمی شوند.
حذف RPM هایی که استفاده نمی شوند.
غیر فعال کردن توابع خطرناک زبانهای برنامه نویسی:
PHP: symlink,shell_exec,exec,proc_close,proc_open,popen,system,dl,passthru,escapeshellarg, escapeshellcmd
نصب و پیکربندی دیوار های آتشین:
http://www.r-fx.ca/downloads/apf-current
و در آخر نصب و پیکربندی Detector حملات Brute force:
http://www.r-fx.ca/downloads/bfd-current.
موفق باشید.
منبع: http://forum.IranPHP.org
در این مبحث با نکات و اصول مهم برای ایمن سازی سیستم های لینوکس آشنا می شوید:
BIOS
همیشه یک کلمه رمز برای BIOS خود تعریف کنید و امکان بوت شدن از طریق Floppy و CD-ROM/DVD-ROM رو غیرفعال کنید.
این روش سیستم رو برای دستکاری تنظیمات BIOS از افراد غیر مجاز محافظت می کنه.
SSH/Secure shell
این پروتکل بصورت پیشفرض فعال هستش.
با کمک فایل sshd_config قسمت Protocol رو به 2 تغییر بدید و PermitRootLogin رو هم به No تغییر بدید. بعد SSHD رو Restart کنید.
همچنین پورت SSH رو هم تغییر بدید.
Telnet
این سرویس بصورت پیشفرض(معمولاً) فعال هستش.
با کمک xinetd.d/telnet قسمت disable رو به Yes تغییر بدید.
ProFTP
ورودی Root در این سرویس فعال هستش.
با کمک فایل proftpd.conf قسمت RootLogin رو Off کنید. بعد ProFTP رو Restart کنید.
History
خرابکارها بعد از نفوذ/خرابکاری معمولاً ردپا/Track ها رو می پوشونن(از بین میبرن). برای جلوگیری(50%) از این کار دستورات زیر رو برای فایل bash_history اعمال کنید:
کد:
chattr +a .bash_history
chattr +i .bash_historyحسابها و گروههای ویژه/misc. رو هم حذف کنید: game, news, lp, uucp, halt...
userdel xxxxx
groupdel yyyyy
جهت ایمنی بیشتر فایلها: تغییر دسترسی:
کد:
chmod 700 /bin/ping
chmod 700 /usr/bin/finger
chmod 700 /usr/bin/who
chmod 700 /usr/bin/w
chmod 700 /usr/bin/locate
chmod 700 /usr/bin/whereis
chmod 700 /sbin/ifconfig
chmod 700 /usr/bin/pico
chmod 700 /usr/bin/vi
chmod 700 /usr/bin/which
chmod 700 /usr/bin/gcc
chmod 700 /usr/bin/make
chmod 700 /bin/rpmغیر فعال کردن سرویس هایی که استفاده نمی شوند.
بستن پورت هایی که استفاده نمی شوند.
حذف RPM هایی که استفاده نمی شوند.
غیر فعال کردن توابع خطرناک زبانهای برنامه نویسی:
PHP: symlink,shell_exec,exec,proc_close,proc_open,popen,system,dl,passthru,escapeshellarg, escapeshellcmd
نصب و پیکربندی دیوار های آتشین:
http://www.r-fx.ca/downloads/apf-current
و در آخر نصب و پیکربندی Detector حملات Brute force:
http://www.r-fx.ca/downloads/bfd-current.
موفق باشید.
منبع: http://forum.IranPHP.org
