zmej.org.ua - Памятки системного администратора.

Несмотря на то, что FreeBSD по праву считается одной из самых безопасных ОС в мире, тем не менее дам несколько советов, как эту самую безопасность улучшить. Для начала, я не буду рассказывать про пользу обновлений операционной системы, обновление ПО, правильная настройка фаервола и т.д. и т.п. Это Вы и так должны понимать.

vi /etc/sysctl.conf

net.inet.tcp.blackhole=2      # Это превращает машину в черную дыру при попытке подключиться к портам, которые не обслуживаются вашим сервером.

net.inet.udp.blackhole=1

kern.ps_showallprocs=0          # только пользователь root может видеть все запущенные процессы, это работает только для 4ки

kern.ipc.somaxconn=1024  - увеличивает размер очереди для сокетов, чем помогает предотвратить SYN-атаку, когда очередь сокета переполняется некорректными попытками соединений.

net.inet.icmp.drop_redirect=1 - уничтожать icmp-датаграммы переадресации

net.inet.icmp.log_redirect=1 - записывать в журнал событий icmp-датаграммы с указанием переадресации

# Запрещает юзерам видеть процессы соседа&root

security.bsd.see_other_uids=0

# Запрещает видеть групповые процессы

security.bsd.see_other_gids=0

# Указываем размер очереди сокета

kern.ipc.somaxconn=1024

# Отрубаем ip-редиректы

net.inet.icmp.drop_redirect=1

net.inet.icmp.log_redirect=1

net.inet.ip.redirect=0

# Назначаем размеры буфера для TCP-подключений. Если на сервер ожидается большая 

# нагрузка, и у него много памяти – лучше поставить 65535. Значение выше 65535 

# не рекомендуется.

net.inet.tcp.sendspace=32768

net.inet.tcp.recvspace=32768

# Обновляем ARP-таблицу каждые 20 минут

net.link.ether.inet.max_age=1200

# Запрещаем отвечать на все лишние запросы.

net.inet.icmp.maskrepl=0

net.inet.ip.sourceroute=0

net.inet.ip.accept_sourceroute=0

net.inet.icmp.bmcastecho=0

security.bsd.see_other_uids=0 

security.bsd.see_other_gids=0 

    * security.bsd.see_other_uids, security.bsd.see_other_gids - если 1, то пользователи (группы) могут видеть чужие процессы, сокеты и т.д. через ps, netstat, procfs;

    * security.bsd.conservative_signals - если 1, то некоторые сигналы запрещается посылать setuid/setgid процессам;

    * security.bsd.unprivileged_proc_debug - если 1, то пользовательский процесс можно отлаживать через ptrace, procfs, ktrace и т.д..

    * security.bsd.unprivileged_read_msgbuf - если 1, то пользовательский процесс может читать из системного консольного буфера сообщений;

    * security.bsd.hardlink_check_uid, security.bsd.hardlink_check_gid - если 1, то пользователи могут делать hardlink только на собственные файлы;

    * security.bsd.unprivileged_get_quota - если 1, пользователи могут просматривать информацию по установленным для них квотам.

    * vfs.usermount - если 1, то непривилегированный пользователь может монтировать и размонтировать FS, если для устройства выставлены "rw" права и пользователь является владельцем точки монтирования;

    * security.jail.set_hostname_allowed - если 1, то внутри jail можно поменять имя хоста;

    * security.jail.socket_unixiproute_only - если 1 , то сокет в jail можно создать только для доменов PF_LOCAL, PF_INET или PF_ROUTE, иначе, возвращается ошибка;

    * security.jail.sysvipc_allowed - если 1, то то в jail можно получить доступ к глобальному System V IPC;

    * security.jail.getfsstatroot_only - если 1, то в jail можно получить информацию (df)только о той файловой системе на которой создан jail;

    * security.jail.allow_raw_sockets - если 1, то в jail можно создавать raw sockets;

    * security.jail.chflags_allow - если 1, то процессы в jail могут модифицировать флаги ФС.

    * net.link.ether.bridge_ipfw - если 1 и ядро собрано с опциями IPFIREWALL и BRIDGE, то позволяет использовать ipfw для трафика внутри бриджа;

    * net.link.ether.ipfw - если 1, то ipfw2 позволяет фильтровать по MAC адресам;

    * net.inet.ip.fw.autoinc_step - задается число на которое увеличивается счетчик при добавления нового ipfw правила, когда явно не указан его номер;

    * net.inet.ip.fw.debug - если 1, то в логи помещается дополнительная отладочная информация по работе ipfw;

    * net.inet.ip.fw.verbose - если 0, то не отображать работу "log" правил в syslog;

    * net.inet.ip.fw.one_pass - если 1, то просмотр правил ipfw прекращается сразу после подпадание под queue или pipe правило. Если 0, то продолжается обработка далее идущих правил;

    * net.inet.icmp.icmplim - задается максимальное число ICMP "Unreachable" и TCP RST пакетов, которое может быть отправлено в секунду, net.inet.icmp.icmplim_output=0 позволяет не отражать в логах факты превышения лимита;

    * net.inet.tcp.icmp_may_rst, если 1, то TCP соединения со статусом SYN_SENT, могут быть оборваны посредством сообщения "ICMP unreachable";

    * net.inet.ip.redirect - если 0, то нет реакции на ICMP REDIRECT пакеты;

    * net.inet.icmp.log_redirect - если 1, то все ICMP REDIRECT пакеты отражаются в логе;

    * net.inet.icmp.drop_redirect - если 1, то ICMP REDIRECT пакеты игнорируются;

    * net.inet.tcp.icmp_may_rst - если 1, то игнорируются ICMP сообщения от блокировки пакета по пути;

    * net.inet.icmp.bmcastecho - для защиты от SMURF атак (ICMP echo request на broadcast адрес) нудно поставить 0;

    * net.inet.tcp.log_in_vain, net.inet.udp.log_in_vain - если 1, отражаем в логе попытки соединения к портам, для которых нет активных сервисов;

    * net.inet.tcp.blackhole - если 1, то SYN пакеты пришедшие на порты для которых нет активных сервисов, остаются без RST ответа, если 2, то на любые пакеты нет ответа (затрудняет сканирования портов);

    * kern.ipc.nmbclusters - если по "netstat -m" mbufs в "peak" приближается к "max", то число сетевых буферов нужно увеличить (kern.ipc.nmbclusters=N в /boot/locader.conf);

    * net.inet.ip.forwarding - если 1, то машина может форвадить пакеты между интерфейсами;

    * net.inet.tcp.sack.enable - если 1, то включен TCP Selective Acknowledgements (SACK, RFC 2018) позволяющий увеличить производительность системы в ситуации большой потери пакетов;

    * net.link.ether.inet.max_age - время жизни записи в IP route кэше, рекомендуется уменьшить для ослабления эффекта от DoS атак через ARP флуд;

    * dev.cpu.0.freq_levels - выдает список поддерживаемых частот, на которые можно переключить CPU, путем указание нужной частоты через dev.cpu.0.freq;

    * hw.snd.maxautovchans, hw.snd.pcm0.vchans - задается число виртуальных звуковых каналов, для каждого из которых может быть отдельный источник звука (на выходе они будут смикшированы);

    * kern.boottime - время последней загрузки системы;

    * kern.disks - список дисков в системе;

    * kern.geom.debugflags, для работы boot0cfg и подобных утилит нужно установить в 16;

    * kern.coredump - если 0, то при крахе приложения не будут создаваться core файлы, формат имени и путь для которых задается через kern.corefile (например: /tmp/%U.%N.core). kern.sugid_coredump=0 позволяет запретить генерацию core suid/sgid процессами;

    * kern.maxfiles - максимально допустимое число открытых файлов (файловых дескрипторов), текущее число открытых файлов можно посмотреть через kern.openfiles;

    * kern.maxprocperuid - максимально допустимое число процессов, которое может быть запущено из-под одного пользователя;

    * kern.maxvnodes - максимальное число vnode для кеширования дисковых операций, текущее значение можно посмотреть через vfs.numvnodes или debug.numvnodes/debug.freevnodes;

    * kern.smp.maxcpus (machdep.smp_cpus) - максимальное число процессоров, поддерживаемое текущей сборкой ядра;

    * kern.smp.active, kern.smp.disabled - число активных и выключенных CPU;

    * kern.smp.cpus (machdep.smp_active) - сколько CPU в online;

    * kern.smp.forward_signal_enabled - включить возможность мгновенной пересылки сигнала для процессов выполняемых в данный момент времени на разных CPU;

    * kern.smp.forward_roundrobin_enabled;

ARP

    * net.link.ether.inet.log_arp_movements - отражать в логе все широковещательные ARP пакеты с хостов MAC адрес которых отсутствует в локальном ARP кэше;

    * net.link.ether.inet.log_arp_wrong_iface - отражать в логе все ARP пакеты пришедшие с неправильного интерфейса;

/etc/rc.d/sysctl restart

chmod 0600 /etc/crontab     # только пользователь root должен иметь доступ к файлу настройки cron, у других пользователей должен быть доступ только к своим файлам крона.

chmod 0700 /root

chmod 0600 /etc/syslog.conf

chmod 0600 /etc/rc.conf

chmod 0600 /etc/newsyslog.conf

chmod 0600 /etc/hosts.allow

chmod 0600 /etc/login.conf

chmod 0700 /usr/home/*

vi /etc/ttys

console  none   unknown   off   insecure  # запрашивать пароль пользователя root в однопользовательском режиме.

ttyv0   “/usr/libexec/getty Pc”  cons25   on   insecure

# Virtual terminals

ttyv1   “/usr/libexec/getty Pc”  cons25   on   insecure

ttyv2   “/usr/libexec/getty Pc”  cons25   on   insecure

ttyv3   “/usr/libexec/getty Pc”  cons25   on   insecure

ttyv4   “/usr/libexec/getty Pc”  cons25   on   insecure

ttyv5   “/usr/libexec/getty Pc”  cons25   on   insecure

ttyv6   “/usr/libexec/getty Pc”  cons25   on   insecure

ttyv7   “/usr/libexec/getty Pc”  cons25   on   insecure

vi /etc/rc.conf

inetd_enable=”NO”          # Better ways to run your daemons

syslogd_enable=”YES”        # Конечно мы хотим вести регистрацию событий. Если вы планируете настроить

# удаленную регистрацию событий, тогда пропустите следующую строку.

# Если файлы регистрации событий будут расположены на локальном диске,

# убедитесь что у вас смонтирован раздел /var.

syslogd_flags=”-ss”         # Этим мы закроем 514 udp порт если мы не хотим использовать удаленную

# регистрацию событий на или с этого сервера. Естественно не нужно добавлять

# эту строчку, если вы планируете настроить удаленную регистрацию событий.

icmp_drop_redirect=”YES”     # Отключаем прием и отправку переадресовующих ICMP пакетов.

icmp_log_redirect=”YES”     # Регистрировать переадресовующие ICMP пакеты в журнальном файле

clear_tmp_enable=”YES”         # Очищать директорию /tmp при загрузке.

portmap_enable=”NO”         # Если не используется NFS

icmp_bmcastecho=”NO”         # Предотвращает springboarding и smurf атаки, запрещая серверу отвечать

# на широковещательные ping-пакеты.

fsck_y_enable=”YES”         # При ошибках файловой системы на этапе загрузки утилита fsck будет

# запущена с флагом -y (man fsck)

update_motd=”NO”         #Не обновлять файл с сообщением дня /etc/motd

tcp_drop_synfin=”YES”          # Отбрасывать synfin пакеты. Смотри ниже, необходимые изменения в ядре.

log_in_vain=”YES”          # Установите эту опцию, если вы хотите записывать все попытки подключения

# к закрытым портам вашего сервера.

sshd_enable=”YES”          # Это позволит сделать удаленный доступ к серверу более защищенным.

${fwcmd} add allow log ip from any to any 80 setup limit src-addr 60