Testowe wersje usług

Zainstaluj testową kopię usługi w komputerze, którego konfiguracja jest pod innymi względami stabilna i nie zmieni się podczas instalacji. Użyj polecenia find, aby zidentyfikować wszystkie pliki zmienione podczas instalacji i upewnij się, że zmiany są do przyjęcia. W szczególności:

Upewnij się, że prawa dostępu do plików są jak najbardziej restrykcyjne zwykli użytkownicy nie powinni mieć możliwości zapisywania danych w plikach wykonywalnych, plikach konfiguracyjnych ani katalogach tymczasowych. Jeśli to możliwe, ogranicz także prawo do odczytu i wykonania.

Przeanalizuj wszystkie programy, które mają ustawiony bit setuid, zwłaszcza jeśli są własnością roota. Jeśli mogą działać bez setuid, albo jeśli można uniknąć ich wykonywania, usuń atrybut setuid.

Jeśli program zakłada konto użytkownika, upewnij się, że hasło do tego konta jest ustawione na inne niż standardowe. Jeśli to możliwe, zmień nazwę konta napastnicy często koncentrują się na dobrze znanych nazwach kont.

Upewnij się, że wszystkie programy są wykonywane przez użytkowników z odpowiednimi przywilejami. Nie wykonuj programów z przywilejami roota, chyba że jest to konieczne (jeśli na przykład muszą używać portów o numerach poniżej 124). Jeśli musisz uruchamiać usługi z przywilejami roota, spróbuj zmienić ich katalog główny za pomocą chroot, aby ograniczyć dostępne im dane.

Jeśli dodajesz specjalne konta użytkowników na potrzeby usług, upewnij się, że nie można ich wykorzystać jako zwykłych kont logowania zarówno hasło, jak i powłoka powinny być ustawione błędnie, aby napastnicy nie wykorzystali tych kont jako punktu wejścia do komputera. Sprawdź wszystkie zmiany dokonane przez program w plikach startowych lub plikach crontab.

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>