Onderwerp: 9 stappen voor een veilig RH 9 / cPanel server

step 01 : system update
step 02 : securing compilers
step 03 : securing partitions
step 04 : securing services
step 05 : securing ports
step 06 : securing php and cgi
step 07 : securing install-defaults
step 08 : firewall implementation
step 09 : monitoring

http://admin0.info/articles/security/introduction.html

Leuke how-to, alhoewel ik al niet eens met RedHat zou starten als ik voor een veilige server ga

redhat rox best wel, alleen stoppen ze er mee. voor de rest kan ik geen echte nadelen bedenken van redhat (alleen 9 is crappy vanwege de libs die verschillen)

Origineel geplaatst door The MAzTER
step 01 : system update
step 02 : securing compilers
step 03 : securing partitions
step 04 : securing services
step 05 : securing ports
step 06 : securing php and cgi
step 07 : securing install-defaults
step 08 : firewall implementation
step 09 : monitoring

http://admin0.info/articles/security/introduction.html

Als eerste stap zou ik in iedergeval geen RedHat gebruiken, maar Debian of Slackware (FreeBSD of OpenBSD), het absolute minimale installeren en zoveel mogelijk van source. Step 07 kan je daarmee zo ongeveer overslaan.
Omdat men vaak eerst de HDD's partitioneerd alvorens te installeren, zou ik eerst je partities beveiligen en pas daarna je compilers. Denk aan meerdere partities voor /, /boot, /usr, /var, /home,/tmp, ... en bijv. ext3 als fs.
Vergeet daarbij ook niet je kernel te patchen met SE-Linux of GRSecurity, enz.

"Step 05 : securing ports", voor zover ik weet kent RedHat geen ports systeem, zoals OpenBSD, maar men zal wel TCP ports bedoelen . Dan vind ik "securing ports" wel erg kort door de bocht, omdat je hier aan zoveel kan denken : Monitoring (step 09), ACL's, firewalls, services securen (step 04), enz.

Al met al, voor de geavanceerde(re) admin, een vrij middelmatig document.
Een beetje (out)dated en ietswat spammerig :
http://www.dsinet.org/textfiles/unix/
http://www.dsinet.org/mirrors/pf-howto/
http://www.dsinet.org/html/linux-unixlinks.php

Mja.. kwam het tegen en dacht misschien wel handig om het hier ook te posten aangezien het voor sommige mensen wel handig is.

Origineel geplaatst door Digiover


Als eerste stap zou ik in iedergeval geen RedHat gebruiken,

want ? zeker alleen van horen zeggen of kun je ook zelf de boel cracken en sploits uitgraven ? ieder zijn eigen keuze maar vind het een zeer slap argument die je geeft "maar Debian of Slackware (FreeBSD of OpenBSD)" helemaal geen zelfs.

Meen toch laatst gelezen te hebben dat debian gekraakt was en dat er oa. slimme koppen van redhat zich over dat probleem zich gebogen hebben.

Wordt ietswat offtopic, maar past nog steeds onder het kopje "beveiliging".

Origineel geplaatst door Mikey
want ? zeker alleen van horen zeggen of kun je ook zelf de boel cracken en sploits uitgraven ? ieder zijn eigen keuze maar vind het een zeer slap argument die je geeft "maar Debian of Slackware (FreeBSD of OpenBSD)" helemaal geen zelfs.

Het is algemeen bekend dat RedHat, in een default installatie en zelfs daarna, nogal broos is (om het netjes te houden ;-)) Of ik zelf "de boel cracken en sploits uitgraven" kan, ga ik hier niet uit de doeken doen, dat zoek je zelf maar op (hint, Google).

Maar ik moet toegeven dat zelfs een RedHat installatie wel secure te krijgen is, het kost je alleen wat meer tijd en moeite.

Meen toch laatst gelezen te hebben dat debian gekraakt was en dat er oa. slimme koppen van redhat zich over dat probleem zich gebogen hebben.

Klinkt als 'klok en klepel' ;-)
Maar het klopt, er zijn een tijdje geleden enkele Debian servers gehacked, middels een 0-day 'do_brk()' kernel exploit en niets "Debian specific". Robert (Debian security team) heeft de binary exploit kunnen decrypten, waarna Debian inderdaad de hulp heeft gekregen van de RedHat en SuSE security teams. Dat heeft met het feit te maken dat het Debian team uit vrijwilligers bestaat en dat RedHat en SuSE betaalde werknemers hebben die 24/7 niets anders doen, en dat het een kernel vulnerability betrof.
Op DSINet.org kan je een aantal artikelen over deze hack vinden, mocht je je in security interesseren dan zou ik de artikelen zeker opzoeken en lezen.

http://www.dsinet.org/?id=3661
http://www.dsinet.org/?id=3670
http://www.dsinet.org/?id=3671
http://www.dsinet.org/?id=3674
http://www.dsinet.org/?id=3676
http://www.dsinet.org/?id=3685

Het is algemeen bekend dat RedHat, in een default installatie en zelfs daarna,

vind dat dus pure onzin alles is los the compilen dus waarom zou het ene pakket op jouw debian bak beter draaien dan op redhat... Ben het wel met je eens dat de standaard install niet de beste is maar goed. Tevens valt hij wel zeer goed bij te patchen. Geintresseerd in security ben ik zeker maar heb m`n eigen projecten dus wees daar maar niet ongerust over