125 Кібербезпека / 4 Курс / 3.1_3.2_4.1_Захист інформації в інформаційно-комунікаційних системах / Лабораторнi роботи / 6 семестр / ЛР_5_Налаштування параметрiв безпеки Linux
.pdfЛабораторна робота № 5 Налаштування параметрів безпеки Linux
Примітка. Подані завдання потрібно розглядати із врахуванням конкретної *nix системи, в котрій здійснюють налаштування. Якщо формулювання завдання не відповідає дистрибутиву робочої *nix системи, доповніть завдання так, щоб можна було виконати його. Кожну із вказаних в завданнях технологій необхідно вміти пояснити (обґрунтувати її застосування або заборону).
Завдання.
1. Фізичний доступ і завантаження
1.1. Встановити пароль на BIOS, вимкнути завантаження з дисків.
1.2. Встановити пароль на LILO, GRUB чи інший загружчик (/etc/lilo.conf, /boot/grub/menu.lst,)
1.3. Конфігураційний файл LILO (GRUB) захистити від читання.
2. Файлова система.
2.1. Помістити дані, доступні для запису користувачам, не системні дані та часто змінювані робочі дані на окремі розділи.
2.2. Встановити опції монтування nosuid,noexec,nodev в /etc/fstab на такі розділи, як
/tmp.
3. Надійність паролів і безпека входу в систему.
3.1.Встановіть надійний пароль для root.
3.2.Увімкніть затінення (shadowing) паролів і MD5 (або більш стійкий).
3.3.Встановіть і використовуйте PAM, додайте підтримку MD5 в PAM і переконайтесь, що записи у файлах /etc/pam.d/, які дають доступ до комп’ютера, друге поле у файлі pam.d встановлено в "requisite" або "required".
3.4.Налаштуйте /etc/pam.d/login так, щоб дозволити тільки локальний вхід для користувача root. Також вкажіть дозволені TTY в /etc/security/access.conf та максимально обмежте «вимоги до входів» root.
3.5.Додайте pam_limits.so, якщо потрібно встановити обмеження для кожного користувача в linux окремо.
3.6.Налаштуйте /etc/pam.d/passwd, встановіть мінімальну довжину пароля та увімкніть MD5.
3.7.Додайте групу wheel в /etc/group, додайте запис pam_wheel.so group=wheel в файл
/etc/pam.d/su. Для індивідуальних налаштувань окремих користувачів використовуйте записи pam_listfile.so.
3.8.Налаштуйте файл /etc/pam.d/other з високим ступенем безпеки.
3.9.Встановіть обмеження в /etc/security/limits.conf (/etc/limits не використовується, якщо ввімкнено PAM).
3.10.Налаштуйте /etc/login.defs. Переконайтесь, що внесено відповідні зміни, якщо ввімкнено MD5 і/або PAM.
3.11.Відключіть доступ через FTP користувачу root в /etc/ftpusers. Відключіть доступ користувачу root по мережі (за потреба використайте команди su або sudo).
4. Локальна безпека
4.1.Увімкніть автоматичне встановлення патчів для ядра.
4.2.Посилити права доступу до лог-файлів (/var/log/{last,fail}log, логів Apache).
4.3.Переконайтеся, що перевірка setuid була увімкнена в /etc/checksecurity.conf.
4.4.Розгляньте можливість зробити деякі лог-файли лише доповнюючими і конфігураційні файли linux незмінними із застосуванням chattr (тільки для файлових систем ext).
4.5.Встановіть перевірку цілісності файлів (зазвичай для цього застосовують sXid, AIDE (Advanced Intrusion Detection Environment), TripWire, integrit і samhain).
4.6.Розгляньте можливість заміни locate на locate.
5. Обмеження доступу по мережі.
5.1.Інсталюйте і налаштуйте ssh.
5.2.Розгляньте можливість відключення або видалення in.telnetd.
5.3.Відключіть непотрібні сервіси в /etc/inetd.conf, використовуючи update-inetd -- disable (або відключіть inetd зовсім, або замість них xinetd чи rlinetd).
5.4.Відключіть непотрібні мережні сервіси linux, такі як mail, ftp, dns, www (якщо вони непотрібні або за ними не здійснюється моніторинг).
5.5.Налаштуйте chroot директорії для зовнішніх користувачів і демонів.
5.6.Налаштуйте файрвол і tcpwrappers (тобто hosts_access), відзначте запис
/etc/hosts.deny в тексті.
5.7.Якщо застосовується FTP-сервер, налаштуйте його так, користувачі не виходили за межі їхніх директорій.
5.8.Якщо використовується Х, то відключіть авторизацію xhost та використовуйте ssh. Відключіть віддалений доступ до принтерів.
5.9.Налаштуйте тунелювання будь-яких IMAP або POP сесій через ssl чи ssh. Якщо потрібно надавати сервіс віддаленим користувачам – налаштуйте тунель.
5.10.Встановіть loghost та сконфігуруйте інші машини відправляти логи на заданих хост (/etc/syslog.conf).
5.11.Убезпечіть BIND, Sendmail та інші комплексні демони (завантажувати в chroot, завантажувати від імені не-root псевдокористувачів).
5.12.Встановіть snort або схожу утиліту для ведення логів.
5.13.Не використовуйте NIS та RPC, якщо це можливо (відключіть portmap).
6. Політика безпека Linux.
6.1.Забороніть використання протоколів, які використовують паролі у відкритому вигляді (telnet, rsh, ftp, imap, http та інші).
6.2.Забороніть програми, які використовують SVGAlib.
6.3.Використовуйте дискові квоти.