Fórum Root.cz
Hlavní témata => Server => Téma založeno: rob 05. 09. 2010, 12:37:49
-
Chtel bych se zeptat, jaka bezpecnostni opatreni pouzivate na vasich serverech. Nejde mi o konfiguraci konkretnich sluzeb nebo fw, ale napriklad jestli se vyplati konfigurovat chroot ci SElinux.
-
chroot nektere sluzby primo vyzaduji/doporucuji, treba Bind. Naopak u nekterych chroot muze delat problemy - Postfix.je to asi pripad od pripadu. SELinux v pripade RH/CentOS vypinam - delal mi vice problemu nez uzitku. Osobne preferuji na zabezpeceni sluzeb treba inetd/xinetd.
-
Chtel bych se zeptat, jaka bezpecnostni opatreni pouzivate na vasich serverech. Nejde mi o konfiguraci konkretnich sluzeb nebo fw, ale napriklad jestli se vyplati konfigurovat chroot ci SElinux.
OpenBSD :) No otazka je, co je pro tebe bezpecnost -- pokud si das dementni distribuci jako Ubuntu, kde se sere na veci podstatne a honi se GUI, tak vsechna tvoje prace bude k nicemu.
Prvne si udelej porad v hlave komu duverovat a co je pro tebe podstatne a co ne. Jaky OS nebo linux distro ma bezpecnostni nastaveni v default, kolik jejich sluzeb bezi pod rootem, jaky doporucuji options na primountovane FS atp. Proste si udelat prehled o jejich stylu... Napr. existuje distro Openwall, ktery vypada dobre. Rozhodne bych se vyhnul vsem Archum, Ubuntu, Fedora.
-
Naopak u nekterych chroot muze delat problemy - Postfix.
Provozuju postfix ve FreeBSD jailu a na problémy jsem nenarazil. Jaké jsou v chrootu?
-
Pouzivam linuxovou distribuci debian. Rikat, ze cokoli s GUI je k nicemu, je hloupost. Prijde mi neprakticke a casove narocne na administraci nastavovat v chrootu dovecot+postfix+antivir+antispam+Mysql, abych mel funkcni a "bezpecny" postovni server, kdyz pak ctu v diskuzi pod clankem http://www.root.cz/clanky/bezpeci-s-chrootem/ (http://www.root.cz/clanky/bezpeci-s-chrootem/), ze opustit chroot neni nic tezkeho.A to nezminuji aktualizace.
-
Prijde mi neprakticke a casove narocne na administraci nastavovat v chrootu dovecot+postfix+antivir+antispam+Mysql, abych mel funkcni a "bezpecny" postovni server, kdyz pak ctu v diskuzi pod clankem http://www.root.cz/clanky/bezpeci-s-chrootem/ (http://www.root.cz/clanky/bezpeci-s-chrootem/), ze opustit chroot neni nic tezkeho.A to nezminuji aktualizace.
No a jsme u toho, na co narážel pepazdepa - bezpečnost není o technologii, bezpečnost je o politikách.
Takže na co ses chtěl vlastně zeptat? Jaké máme politiky, nebo jak je naplňujeme technologií?
To první Ti nejspíš nikdo neřekne a to druhé je Ti k ničemu :)
Takže imho smysluplný dotaz by byl jedině "mám politiku takovou a makovou a chtěl bych ji nějak zrealizovat. Jakou techologii doporučujete/používáte?"
-
Naopak u nekterych chroot muze delat problemy - Postfix.
Provozuju postfix ve FreeBSD jailu a na problémy jsem nenarazil. Jaké jsou v chrootu?
Vzpominam si treba na komunikaci z mysql pres socket. mysql v chrootu nebylo, takze komunikace misto pres socket musela jit pres 127.0.0.1...ale urcite toho bylo vic.
-
Vzpominam si treba na komunikaci z mysql pres socket. mysql v chrootu nebylo, takze komunikace misto pres socket musela jit pres 127.0.0.1...ale urcite toho bylo vic.
No ale to neni problem, to je by design :)
-
Chroot jsem nahradil OpenVZ virtualy a nemam jediny problem. U vseho lze nastavit navic vlastni FW, zalohovani jednotlivych sluzeb je otazkou zazalohovani virtualu a pripadna oprava sluzby znamena jen restore virtualu ze zalohy. Ciste, oddelene a pohodlne.. mam proste virtualizaci rad :)