Salvez a todos ^^
allora...il titolo è esagerato xche la sicurezza al 100% è solo una fantasia ^^
cmq...al 99% si ci può arrivare no?
allora...
Volevo dei consigli sulla sicurezza...a me mi capita ogni tanto che mi chiedono di mettere su dei server, mi danno la macchina e li preparo
Come distro non uso ne redbug ne caccadrake e ne suse...potrei usare debian o slakware...o ancora gentoo...ma preferisco sorcerer è + figa di gentoo
allora...
l'indirizzo x i curiosi è
http://sorcerer.wox.org
dopo che la metto up ricompilo TUTTO il sistema base e TUTTI i bacchetti a mano ^^
un po quello che fa gentoo solo che lo faccio a mano
x la compilazione uso questa stringa, anche se varia poi da processore a processore
ad es questa la ho usata sull'ultimo server che ho finito di mettere up ieri...era un bi proc pentium III (uso gcc 2.95)
CHOST:
i686-pc-linux-gnu
CFLAGS\CXXFLAGS:
-march=i686 -mcpu=i686 -O3 -ffast-math -malign-double -funroll-loops -pipe -fomit-frame-pointer -malign-functions=4 -fforce-addr
mi ha sempre funzionato tutto xfettamente
- configuro il login.defs, permetto l'accesso via ssh solo da host conosciuti e non da root, ovviamente uso pam e shadow
- ogni demone gira sotto specifico utente personale ed ha accesso solo alle cose che gli servono
- siccome non faccio server (o almeno ancora non mi è capitato) rimuovo i bit SUID e SGID da i vari eseguibili lasciando l'indispensabile x far eseguire il login ssh all'amministratore e far fare il su x diventare root
- script di backup che giornalmente controlla il sistema x vedere se ci sono file alterati utilizzando il crc32 dei file (ovviamente non di tutto l'hd ma ad es di tutti i file dentro /usr, /bin, /sbin, /var (tranne la sotto cartella web e log) e cosi via le altre (tranne le dir dove variano i file))
- il firewall è configurato in modo da aggiungere al log il report di dei flood ICMP, degli scan NMAP e un'altro po di roba
- le password minimo 10 caratteri alfanumerici+speciali
- il su lo può eseguire solo che è nel gruppo whell
- in auto si viene disconnessi se non si fa + nulla (dalle ssh)
- ogni utente ftp ha la root nella sua home
mmm x quanto riguarda i server uso
- apache 1.2.28
- proftpd 1.2.8p
- mysql 4.0.15a
- qmail 1.03
- openssh 3.7.1
- postgresql 7.3.4
- tk-ircd 5.5.1-r
(questo è il software che metto se mi viene chiesto)
ovviamente tutto il software php di corredo x gestire mysql, postgres
conoscete software php x gestire apache, utenti di sistema (quindi ftp e mail) e le quote (ovviamente gpl ^^)?
ed un'ultima domanda...ho cercato, ma non sono riuscito a trovare il supporto x il quote su ext3 ^^
idee?
danka ^^
Rispondi quotando
