Сетевые услуги
/Etc/inetd. conf
Удостоверьтесь, что разрешения установлены на 600.
Проверьте, имеет ли хозяин файла привилегию root-доступа.
Необходимо отключить все неиспользуемые опции. Для этого можно предложить вам закомментировать все опции, поместив символ «#» в начале каждой строки. Затем отметьте все необходимые, удалив «#» в начале строк. Это, в частности, лучший способ избежать применения «г»-КО - манд и tftp, являющихся основными источниками опасности.
Для того, чтобы внесенные изменения начали действовать, необходимо перезапустить программу inetd.
Отключите все необязательные опции, загружаемые при процедуре запуска системы и регистрируемые
Обычный ftp (tftp)
Если в использовании tftp нет необходимости, закомментируйте его в файле /etc/inetd. cbnf и перезапустите программу inetd.
/etc/services
Удостоверьтесь, что разрешения установлены на 644.
Проверьте, имеет ли хозяин файла привилегию root-доступа.
Tcp_wrapper (известный также как log_tcp)
Использование пакета:
Щ Настройте и установите пакет на свой компьютер.
♦ Установите режим PARANOID.
♦ Рассмотрите вопрос о выполнении опции RFC931.
♦ Отвергните всехосты, поместив строку all:all в файл /etc/hosts. deny и в список хостов, имеющих доступ к вашей машине, в /etc/hosts. allow.
♦ Просмотрите прилагаемую к пакету документацию.
Сверните все опции TCP. прописанные в файле /etc/inetd. conf.
Продумайте вопрос о возможности свертывания всех допустимых опций udp. Если вы их решите свернуть, то должны будете использовать опцию nowait в файле /etc/inetd. conf.
/etc/aliases
Прокомментируйте почтовый псевдоним decode, поместив символ «#» в начале строки. Для закрепления изменений выполните /usr/bin/ newaliases. Если вы используете NIS (YP), то не забудьте затем восстановить карты.
Убедитесь, что все программы, выполняемые в alias, принадлежат корню, имеют разрешение 755 и сохранены в системном каталоге, например, /usr/local/bin. При использовании smrsh выполнение программы может быть не доведено до конца.
Используйте последнюю версию sendmail 8.x (8.7.3) от Eric Allman; в настоящее время эта программа не содержит никаких известных изъянов.
Последнюю версию можно скачать из сети: ftp://ftp. auscert. org. au/ pub/mirrors/Ftp. cs. berkeley. edu/ucb/sendmail
Обратите внимание: Если вы еще не используете sendmail.8.7.* от Eric Allman, то установка и конфигурирование этой системы «под себя» может занять некоторое время. Файлы конфигурации от другой версии sendmail того же, восьмого, поколения, несовместимы с файлами конфигурации sendmail 8.7.x. Можем дать вам один совет в этом отношении. Вместе с sendmail (8) v8.7.x распространяется документ о преобразовании стандартных файлов конфигурации SUN в формат sendmail (8) v8.*. Этот документ помещен в дистрибутивном файле: contrib/convertirlg. sun. con - figs.
Если вы пользуетесь покупной версией sendmail, удостоверьтесь, что устанавливаете пакет со всеми последними «заплатами», поскольку более ранние версии sendmail зачастую использовались для взлома защиты.
Если вам необходимы функции пользуйтесь smrsh.
Если у вас нет необходимости в использовании progmailer, отключите почту к программам, соответственно отметив это поле (/bin/false) в файле конфигурации sendmail.
Проверьте, что ваша версия sendmail не имеет встроенного пароля разработчика. Убедитесь, что, если в файле /etc/sendmail. cf находится строка, начинающаяся с OW, то за этими символами следует только знак
Увеличьте sendmail (8) регистрацию до минимального регистрационного уровня 9.
Эта операция поможет обнаружить предпринятую попытку использовать sendmail (8) для проникновения в систему.
Увеличьте регистрационный уровень syslog.
Установите минимальный уровень info для почтовых сообщений, регистрируемых на консоли и/или в файле syslog.
Не забудьте, что для того, чтобы внесенные вами в sendmail изменения начали действовать, необходимо загрузить эту программу заново. Если вы используете закрепляемый файл конфигурации (sendmail. fc), то перед запуском sendmail (8) этот файл должен быть восстановлен.
Убедитесь, что номер вашей версии больше 1.91. fingerd
Если ваша версия fingerd выпущена ранее 5 ноября 1988 года, замените ее на более новую.
Finger может предоставить потенциальному взломщику большое количество информации о вашем хосте. Рассмотрите информацию, полученную от finger, и продумайте, как можно уменьшить ее содержание, отключив finger или заменив имеющуюся у вас версию на другую, в которой finger несет в себе минимум информации.
Обратите внимание: другие опции типа rusers и netstat также могут стать источниками информации.
Не используйте finger версии 1.37, так как эта программа позволяет взломщику прочитывать все файлы.
На вашем сайте не используется uucp, то отключите его (включая и регистрационную оболочку), uucp может служить «лазейкой» для взломщика.
Удалите все в каталоге uucp.
Убедитесь, что файл L. cmds принадлежит корню.
Проверьте, что к файлам и каталогам, принадлежащим uucp, не установлено общего доступа.
Убедитесь, что каждому сайту, который использует в
Систему, назначены различные
Убедитесь, что число команд, которые могут запускаться пользователями uucp-логинов, сведено к минимуму.
Решите вопрос об удалении всей ииср-подсистемы в случае отсутствия прямой необходимости ее использования.
Проверьте, что в системе нет встроенных crontab-входов, принадлежащих uucp или корню.
Отключите эту функцию.
Откомментируйте соответствующие строки в файле inetd. conf. Взломщики могут использовать эту функцию для регистрации в системе и выполнения различных команд.
World Wide Web (WWW) - httpd
Убедитесь, что вы используете самую современную версию http-де-
Мона.
Обозначьте серверный демон httpd как особого непривилегированного пользователя с именем «httpd».
При таком раскладе, если взломщик и место в за
Щите сервера, то он получит только те привилегии доступа, которыми владеет любой непривилегированный пользователь.
Не выполняйте демон сервера как корень.
Не выполняйте клиентские процессы как корень.
Выполняйте httpd в chroot(l).
Этим вы установите альтернативный корневой каталог и строго ограничьте доступ http-клиентуры к остальной части диска.
Для систем, в которых не предусмотрена команда chroot(l), можно использовать команду chrootuid.
Тщательно просмотрите все опции конфигурации вашего сервера.
Используйте опции конфигурации для придания дополнительной защиты особо важным каталогам, отключив функцию include files. Это не позволит включать содержащиеся в этих каталогах файлы в HTML-документы.
Используйте
Не запускайте без особой нужды сценарии CGI (Common Gateway Interface).
Будьте очень аккуратны при создании CGI-программ. Эти программы определяют информацию, которая отправляется по сети, и зачастую управляются самим удаленным пользователем, который может оказаться взломщиком. Если они (CGI-программы) созданы без тщательной проверки всех частей, то злонамеренный пользователь может найти в них ла-
Для взлома системы и запуска в ней произвольных команд. Почти все взломы являются результатом подобных недочетов при программировании.
Установите к жесткие бинарные ссылки вместо
Ссылок на сценарии интерпретатора. Это устранит потребность в доступном интерпретаторе команд внутри корня.
Проверяйте, что разрешения и установки использова
Ния файлов в каталоге cgi-bin соответствуют изначальным.
Избегайте передачи функций ввода пользователя непосредственно на интерпретаторы команд типа Perl, AWK, оболочек UNIX - или иных программ, допускающих, чтобы команды были внедрены в тексты исходящих сообщений типа
Отфильтровывайте все вводимые пользователями потенциально опасные символы до того, как они могут быть переданы на интерпретаторы команд.
Потенциально опасные символы — это п г (., /; ~!) > | Л $& " <.
