Quais são algumas mudanças específicas que você faz ao endurecer uma nova instalação do NetBSD?

5

Eu conheço a maioria dos conselhos gerais: "desative serviços desnecessários", "não, desative serviços desnecessários", "privilégio mínimo" etc. Também vi alguns guias e / ou ferramentas, por exemplo, Bastille, por endurecer as caixas Linux, mas nada que pareça adaptado ao NetBSD.

Suponha que, por causa dessa lista, eu tenha certeza de que root não tem acesso SSH, mas que eu não instalei nenhum software para servidor.

Quais são os seus primeiros passos para proteger uma nova caixa do NetBSD?

ATUALIZAÇÃO: para ser claro, estou procurando etapas específicas. Sou totalmente autodidata quando se trata de administração de servidores, mas sinto que tenho uma compreensão decente dos princípios gerais. Estou procurando detalhes por dois motivos:

  1. Para ver se há algo específico para o NetBSD que eu ignorei.
  2. Para ver se outras pessoas têm melhores métodos para colocar os princípios gerais em prática.

Obrigado.

    
por Hank Gay 02.02.2011 / 14:18

3 respostas

5

Por favor, veja segurança (8) no manual do NetBSD. Você pode:

  • Defina securelevel em rc.conf para fortalecer um sistema de produção
  • Ative o security.curtain = 1 em sysctl.conf para impedir que os usuários se vejam.
  • Crie arquivos relevantes imutáveis ou anexando somente com chflags
  • Habilite as extensões PaX mprotect e Randomização de layout de espaço de endereço ( aslr ) em sysctl.conf ( security.pax.mprotect.global=1 , security.pax.aslr.global=1 )
  • Considere os binários verificados Veriexec

Veja também o aprimoramentos de segurança recentes no NetBSD de Elad Efrat.

Observe que os recursos que impedem a alteração dos binários também impedem que você faça upgrade do sistema, portanto, prepare-se para fazer upgrades no modo de usuário único.

As extensões de PaX podem impedir que alguns softwares como o gnu make funcionem. Você pode deixar os sinalizadores .global desabilitados e definir sinalizadores PaX em base binária com paxctl .

    
por 28.07.2011 / 15:36
2

É o mesmo com todos os sistemas:

  • Instale e configure um firewall. Faça o mais restritivo possível.
  • Verifique se o sistema está atualizado regularmente
  • Desativar login de senha para ssh, apenas permitir certificados
  • Configure bons procedimentos de log e análise de log.
  • Ao configurar servidores: Se possível, mas atrás das grades (chroot jails)
  • Não instale o X11, um navegador da web ou qualquer software que não seja de servidor (exceto uma estação de trabalho, é claro ...).
  • Desconecte-o da rede ;-)
por 02.02.2011 / 14:35
1

Como SvenW disse, os conceitos básicos aplicam-se muito bem a todos.

Para uma leitura detalhada, o Center for Internet Security tem um Benchmark disponível para o FreeBSD. Imagino que seja bastante fácil traduzir para o seu ambiente.

    
por 02.02.2011 / 14:39