Платные хостинги     Раскрутка сайта     Другие сайты

Защита серверов на базе FreeBSD

Оригинал документа:  www.sddi.net/FBSDSecCheckList.html   Перевод и добавления: by ZmeY (zmey@kahovka.net)    Этот документ является списком параметров защиты для применения на    FreeBSD серверах.       Читать

  А должно быть так - ...начинается с $2$

чето стоящее за последнее  время давай еще такие переводы с конкретными примерами

  Спасибо. Исправлено. Это не автор опечатался, это при постинге так получилось - символ $ потерялся с преобразованием.   djelektronik   Да. Статья рульная. Читала с большим интересом.   Вопрос уточняющий:   Цитата:  используем rdate вместо ntp для синхронизации часов сервера с мировым временем.   Не поняла толком преимуществ.  

lynx Видимо имеется ввиду, что вместо ntpd юзаем rdate - но с таким-же успехом можно вырубить ntpd и запускать ntpdate периодически.     Вообще ntpd - полезная штука. Но нужно грамотно ограничить к нему доступ снаружи.

содержательно и по существу (как серпом [censored by lynx])Замечание за нарушение п. 4.2 правил. lynx.

    А у меня многое через него запущено. В частности - закрыть/открыть ftp, я правлю /etc/inetd.conf и kill -HUP 83 (83 - /usr/sbin/inetd)      

lynx запускай фтп без инетд

На мой взгляд, не совсем корректно ограничивать на чтение файл   /etc/hosts.allow только для root, т.к. сервисы работающие не от root'а будут "ругаться" об отсутствии возможности прочитать этот файл.

...ух, и меня сюда занесло;) И так начнемс...   1. Не вижу никакого смысла в переходе с MD5 на Blowfish. 2. ntpd, нужно устанавливать в /chroot jail и запускать от имени пользователя с ограниченными правами, тогда ненужное телодвижение с rdate отпадает само собой... 3. inetd, как и sendmail пора на помойку... Вместо inetd, рекомендуется использовать xinetd или UCSPI-TCP... 4. hosts.[allow|deny] тоже выкинуть... опять же, все это можно заменить используя xinetd... или UCSPI-TCP...

new_yorik Дело в том, что sendmail самый дерявый MTA из всех существующих, к тому же громозок, на сегодняшний день лучший выбор - это Postfix или Exim, Qmail не рекомендуется, т.к. утратил позицию security mta, ввиду того что, для того чтобы его довести до нужного уровня безопасности требуется наложить кучу патчей, большая часть которых между собой не совместима...   P.S. Если слухи не врут сами FreeBSD'ники , использует Postfix...;)

ginger я не думаю что он на много дырявее постфикса. громоздок потому что наиболее функционален. а фрибсд орг действительно использует Postfix

Postfix не уступает по функциональности sendmail, а Exim переплюнул уже давно!

дыры которых в постфикс нет про все остальное промолчу, ибо говорю то что видел, а ексим я не видел.

Неужели я сказала, что в Postfix'е нет дыр? Я сказала что в Postfix'е нет дыр связанных с безопасностью, чего не скажешь про sendmail!

Дыры есть везде, просто где-то их не нашли.   Надо использовать то, что знаешь. Но знать надо хорошо.   В нормальных руках и sendmail хорош, как в корявых postfix глюкав. Нет универсальных решений: где-то inetd хватает, где-то xinetd ставить надо где-то sendmail'а хватит за глаза, где-то что-то иное Все зависит от задачи и времени, выделенного, для задачи.

Не всегда так... знание это очень хорошо, но не знание иного, что есть гораздо лучше и проще это очень плохо, а по сему, нужно развиваться...