[[dodatne_posle-konfiguracione_sigurnosne_preporuke_za_openbsd]]
 
Trace: » dodatne_posle-konfiguracione_sigurnosne_preporuke_za_openbsd

Ovaj kratki članak baziran je na preporukama za sistem administratore koje možete naći u man afterboot i ličnom iskustvu autora. Tekst nije kompletan i nije namenjen kao zamena za čitanje prave dokumentacije već je samo podsetnik na minimalan skup koraka koji će osigurati vašu OpenBSD tvrđavu.

Login

Ako ste tokom instalacije startovali ssh server bilo bi dobro da onesposobite mrežni pristup kao root. Dovoljno je da editujete /etc/ssh/sshd_config 

PermitRootLogin no

Editujte root password posle završene konfiguracije i izaberite što duži password koji će sadržati brojke, specijane karaktere i velika slova pored standardnih malih slova. 

# /usr/bin/passwd

Uvek koristite pun path do su i passwd komandi kao u primeru 

$ /usr/bin/su

Vreme

Proverite vreme vašeg sistema i ako je potrebno podesite soft link /etc/localtime do korektne vremenske zone u /usr/share/zoneinfo. Dobra je ideja da onemogućite promenu časovnika za više od 3 sekunde.

Disk mounts

Proverite kako su montirane particije 

           # cat /etc/fstab
           /dev/sd0a / ffs rw 1 1
           /dev/sd0d /usr ffs rw,nodev 1 2
           /dev/sd0e /var ffs rw,nodev,nosuid 1 3
           /dev/sd0g /tmp ffs rw,nodev,nosuid 1 4
           /dev/sd0h /home ffs rw,nodev,nosuid 1 5

Ako ste potpuno završili sa konfiguracijom sistema nije loše mountovati / particiju sa read only opcijom.

Inetd

Editujete /etc/inetd.conf i ostavite samo opcije koje su vam stvarno potrebne. Za korisnike Desktop računara preporučujemo da potpuno isključite inet server 

# echo "inetd=NO" >> /etc/rc.conf.local
# kill `cat /var/run/inetd.pid`

PF

Editujte svoj /etc/pf.conf. Naj jednostavniji skup pravila je. 

set skip on lo

scrub in

block in 
pass out

Uključite PF 

# echo "PF=YES" >> /etc/rc.conf.local
# pfctl -ef /etc/pf.conf

Kernel sigurnosni nivoi

OpenBSD OS ima četri sigurnosna nivoa za kernel -1,0,1 i 2. Tokom instalacije sigurnosni nivo je 0. OpenBSD će automatski podesiti sigurnosni nivo na +1 posle prvog reboot-a. Za dodatnu sigurnost povećajte kernel sigurnosni nivo na +2. 

# sysctl -w kern.securelevel=2

Zastavice (Kernel Flags)

Naučite da koristite zastavice. Primera radi da onemogućite promene u kernelu 

# chflags schg /bsd (koristite /bsd.mp za SMP kernel)

Da onemogućite promenu binarnih paketa. 

# chflags -R schg /bin
 
dodatne_posle-konfiguracione_sigurnosne_preporuke_za_openbsd.txt · Last modified: 2008/07/23 08:37 by oko
 
Recent changes RSS feed Creative Commons License Valid XHTML 1.0 Valid CSS Driven by DokuWiki