Nützliche Sicherheits-/Logfilechecks

Hallo,

ich bin gerade dabei meine Serverchen alle mal einheitlich auf den neuesten Stand zu bringen und kümmere mich dabei auch ein wenig um die Systemüberwachung.

Bis jetzt habe ich folgende Tools implementiert:

- sshd: nur v2-Verbindungen, kein Root-Login, AllowUsers gesetzt
- sudo anstelle von su
- chkrootkit
- portaudit
- logcheck
- periodic.conf mit folgender Konfiguration:
Code:
daily_status_security_portaudit_enable="YES"
daily_clean_disks_enable="YES"
daily_clean_tmps_enable="YES"
weekly_status_pkg_enable="YES"
weekly_noid_enable="YES"

Was braucht der Mensch denn noch so, was nutzt Ihr?

Schönen Gruß,

Falk
 
AndreasMeyer schrieb:
Vielleicht noch:
security/freebsd-update

Yep, eine gute Idee. Ich hätte vielleicht dazu schreiben sollen, daß ich keine fertigen Binaries auf dem System per pkg_add oder freebsd-update installieren möchte, da ich den SPP-Patch zur Minierung des Risikos eines Buffer Overflows installiert habe.

Trotzdem Danke!

Falk
 
r0b0 schrieb:
PS.: Ich weis nicht ob sudo unbedingt was auf nem sicherheitskritischen System zu suchen hat.

r0b0

Hm, was spricht denn gegen Sudo? Ich finde Sudo um Welten besser als einfach su zu benutzen oder gar direkt als root einzuloggen. Oder habe ich irgendwelche Sicherheitslücken bei Sudo verpasst?

Schönen Gruß,

Falk
 
fbrockerhoff schrieb:
Hallo,

ich bin gerade dabei meine Serverchen alle mal einheitlich auf den neuesten Stand zu bringen und kümmere mich dabei auch ein wenig um die Systemüberwachung.
...
Was braucht der Mensch denn noch so, was nutzt Ihr?

Schau mal in das Buch "BSD Hacks, 100 Industrial-Strength tips for BSD users and administrators" von Dru Lavigne. Da ist noch der ein oder andere nette Hack zu finden. Ein ganzes Kapitel beschaeftigt sich mit Systemsicherheit. Auch gibt's ein paar Kommentare zu sudo.

etwas ausfuehrlicher hat es 'asg' beleuchtet: http://www.bsdforen.de/showthread.php?t=162

Das Buch und einige Probeartikel gibt es von O'Reilly hier:
http://www.oreilly.de/catalog/bsdhks/index.html


HTH

.olaf
 
Zuletzt bearbeitet:
Ein paar auch noch empfehlenswerte Aktionen

Hallo Jungs!

Also ich mach zusätzlich immer noch:

Ports:
security/lockdown
security/portsentry
security/snort
security/acid
security/aide (oder security/tripwire)

Zur Konfig von sshd:
Nur RSA-Key-Authentication zulassen

Kernel abspecken

Securelevel hochdrehen: auf 3

Firewall-Regeln:
Port für sshd (Der nicht auf Ports 22 zuhört) nur von bestimmten Subnetzen bzw. IP-Adressen aus offen.

Alle anderen Dienste, deren Ports für jeden offen sind -> ab in die Jail

LG,
Sigmar
 
Zurück
Oben