GoldenLine
Zaloguj się
Paweł Jezierski

Paweł Jezierski administrator
systemów (RHCSA),
specjalista ds.sieci
(CIS...

Temat: Ocena konfiguracji serwera

Witam,
chciałbym uzyskać ocenę podstawowego zabezpieczenia serwera DNS ( BIND).

Obecna konfiguracja:
- Centos 6.0
- BIND w środowisku chroot w /var/lib/named
- /var, /home, /tmp montowane na osobnych partycjach LVM z poustawianymi NOSUID,NODEV,NOEXEC
- SSH ma wyłączone zdalne logowanie na roota, port logowania zmieniony na inny niż 22
- iptables ma poblokowane wszystkie porty oprócz tego dla SSH i DNS

To w sumie tyle. Co myślicie na temat takiej konfiguracji??

Pozdrawiam
Link do wypowiedziLink
Bartłomiej Kacprzak

Bartłomiej Kacprzak pɹɐzıʍ ʇı

Temat: Ocena konfiguracji serwera

fail2ban jest? (lub podobne).
Czy obecny jest jakiś serwer http, jak się jego konfiguracja prezentuje.

Bo na tę chwile można powiedzieć, że w miarę ok... ale "chciałem dobrze" dla niektórych klientów to troche za mało ;)
Link do wypowiedziLink

konto usunięte

Temat: Ocena konfiguracji serwera

Paweł Jezierski:
Witam,
chciałbym uzyskać ocenę podstawowego zabezpieczenia serwera DNS ( BIND).

Obecna konfiguracja:
- Centos 6.0
Te redhaty. :P Szczerze, lepszy jest backtrack po drobnym liftingu bądź SUSE Enterprise Server. Czekam wciąż na nowe slackware. :P
- BIND w środowisku chroot w /var/lib/named
Ze środowiska chroot w miarę prosto się wychodzi. Ale ok, może być.
- /var, /home, /tmp montowane na osobnych partycjach LVM z poustawianymi NOSUID,NODEV,NOEXEC
- SSH ma wyłączone zdalne logowanie na roota, port logowania zmieniony na inny niż 22

Nikt nie powinien móc zdalnie zalogować się na konto root. Logowanie za pomocą certyfikatów na konto danego użytkownika a potem logowanie lokalne na konto root, bądź użycie tylko i wyłącznie bezpieczniejszego sudo.
- iptables ma poblokowane wszystkie porty oprócz tego dla SSH i DNS

Wszystkie? UDP także?

To w sumie tyle. Co myślicie na temat takiej konfiguracji??

Pozdrawiam
Link do wypowiedziLink

konto usunięte

Temat: Ocena konfiguracji serwera

Pytanie jeszcze jak jest skonfigurowany sam bind, czy jest tylko jeden serwer czy jest master i slave, jak jest skonfigurowany transfer stref itp.

Polecam przeczytać http://www.nsa.gov/ia/_files/os/redhat/rhel5-guide-i73... pod koniec jest również opis jak zabezpieczyć sam serwer DNS.

Pozdrawiam
MS
Link do wypowiedziLink
Paweł Jezierski

Paweł Jezierski administrator
systemów (RHCSA),
specjalista ds.sieci
(CIS...

Temat: Ocena konfiguracji serwera

Witam,
Dziękuję za wszystkie wypowiedzi.
Co do serwera to jest to master bez transferu stref.
Mam zamiar na tej samej maszynie postawić też FTP-a np. vsftp?
To chyba nie jest zły pomysł a szkoda mi marnować moc maszyny tylko na obsługę DNS-a.
Link do wypowiedziLink

konto usunięte

Temat: Ocena konfiguracji serwera

Paweł Jezierski:
Witam,
Dziękuję za wszystkie wypowiedzi.
Co do serwera to jest to master bez transferu stref.
Mam zamiar na tej samej maszynie postawić też FTP-a np. vsftp?
To chyba nie jest zły pomysł a szkoda mi marnować moc maszyny tylko na obsługę DNS-a.

Lepszym rozwiązaniem moim zdaniem będzie postawienie tam postawienie zreplikowanego serwera MySQL. W sumie zależy co tam ma być, dla ilu osób etcetc.

Serwer dns będzie chodził w strefie zdemilitaryzowanej czy poza nią?

Materiały na temat replikacji mysql masz dokumentację:

http://dev.mysql.com/doc/refman/5.0/en/replication-how...

A na temat uwierzytelniania SSH poprzez klucze temat masz tutaj:

http://www.symantec.com/connect/articles/ssh-host-key-...

Certyfikaty wygeneruj przez:

http://www.cacert.org/

ale zobacz także to:

http://www.cisco.com/en/US/products/products_security_...
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj