Zabezpeceni sluzeb

[rob]

Chtel bych se zeptat, jaka bezpecnostni opatreni pouzivate na vasich serverech. Nejde mi o konfiguraci konkretnich sluzeb nebo fw, ale napriklad jestli se vyplati konfigurovat chroot ci SElinux.

[Reklama]

[ext3fs]

chroot nektere sluzby primo vyzaduji/doporucuji, treba Bind. Naopak u nekterych chroot muze delat problemy - Postfix.je to asi pripad od pripadu. SELinux v pripade RH/CentOS vypinam - delal mi vice problemu nez uzitku. Osobne preferuji na zabezpeceni sluzeb treba inetd/xinetd.

[pepazdepa]

Chtel bych se zeptat, jaka bezpecnostni opatreni pouzivate na vasich serverech. Nejde mi o konfiguraci konkretnich sluzeb nebo fw, ale napriklad jestli se vyplati konfigurovat chroot ci SElinux.

OpenBSD No otazka je, co je pro tebe bezpecnost -- pokud si das dementni distribuci jako Ubuntu, kde se sere na veci podstatne a honi se GUI, tak vsechna tvoje prace bude k nicemu.

Prvne si udelej porad v hlave komu duverovat a co je pro tebe podstatne a co ne. Jaky OS nebo linux distro ma bezpecnostni nastaveni v default, kolik jejich sluzeb bezi pod rootem, jaky doporucuji options na primountovane FS atp. Proste si udelat prehled o jejich stylu... Napr. existuje distro Openwall, ktery vypada dobre. Rozhodne bych se vyhnul vsem Archum, Ubuntu, Fedora.

[Mirek Prýmek]

Naopak u nekterych chroot muze delat problemy - Postfix.

Provozuju postfix ve FreeBSD jailu a na problémy jsem nenarazil. Jaké jsou v chrootu?

[rob]

Pouzivam linuxovou distribuci debian. Rikat, ze cokoli s GUI je k nicemu, je hloupost. Prijde mi neprakticke a casove narocne na administraci nastavovat v chrootu dovecot+postfix+antivir+antispam+Mysql, abych mel funkcni a "bezpecny" postovni server, kdyz pak ctu v diskuzi pod clankem http://www.root.cz/clanky/bezpeci-s-chrootem/, ze opustit chroot neni nic tezkeho.A to nezminuji aktualizace.

[Reklama]

[Mirek Prýmek]

Prijde mi neprakticke a casove narocne na administraci nastavovat v chrootu dovecot+postfix+antivir+antispam+Mysql, abych mel funkcni a "bezpecny" postovni server, kdyz pak ctu v diskuzi pod clankem http://www.root.cz/clanky/bezpeci-s-chrootem/, ze opustit chroot neni nic tezkeho.A to nezminuji aktualizace.

No a jsme u toho, na co narážel pepazdepa - bezpečnost není o technologii, bezpečnost je o politikách.

Takže na co ses chtěl vlastně zeptat? Jaké máme politiky, nebo jak je naplňujeme technologií?
To první Ti nejspíš nikdo neřekne a to druhé je Ti k ničemu

Takže imho smysluplný dotaz by byl jedině "mám politiku takovou a makovou a chtěl bych ji nějak zrealizovat. Jakou techologii doporučujete/používáte?"

[ext3fs]

Naopak u nekterych chroot muze delat problemy - Postfix.

Provozuju postfix ve FreeBSD jailu a na problémy jsem nenarazil. Jaké jsou v chrootu?

Vzpominam si treba na komunikaci z mysql pres socket. mysql v chrootu nebylo, takze komunikace misto pres socket musela jit pres 127.0.0.1...ale urcite toho bylo vic.

[Mirek Prýmek]

Vzpominam si treba na komunikaci z mysql pres socket. mysql v chrootu nebylo, takze komunikace misto pres socket musela jit pres 127.0.0.1...ale urcite toho bylo vic.

No ale to neni problem, to je by design

[Plysak]

Chroot jsem nahradil OpenVZ virtualy a nemam jediny problem. U vseho lze nastavit navic vlastni FW, zalohovani jednotlivych sluzeb je otazkou zazalohovani virtualu a pripadna oprava sluzby znamena jen restore virtualu ze zalohy. Ciste, oddelene a pohodlne.. mam proste virtualizaci rad