Инструменты пользователя
усиление_безопасности_openssh
Различия
Здесь показаны различия между двумя версиями данной страницы.
| — |
усиление_безопасности_openssh [2015/03/16 08:44] (текущий) 81.222.241.194 создано |
||
|---|---|---|---|
| Строка 1: | Строка 1: | ||
| + | Linux security hardering | ||
| + | |||
| + | A. **OpenSSH** \\ | ||
| + | 1. Открываем конфиг **/etc/ssh/sshd_config**\\ | ||
| + | P.S. Предварительно зайдите на сервер из удалённой или локальной консоли \\ | ||
| + | 2. Заносим данные параметры: \\ | ||
| + | |||
| + | **Port 65343 ** <- Выбираем порт из верхнего диапазона\\ | ||
| + | **ListenAddress 158.16.6.7** <- Указываем на каком адресе будет слушаться наш демон (можно указать несколько параметров **ListenAddress**)\\ | ||
| + | **Protocol 2** <- Использование только протокола SSH2\\ | ||
| + | **UsePrivilegeSeparation yes** <- Подключившийся пользователь может создать только процессы от своих привилегий \\ | ||
| + | **Ciphers aes256-ctr,aes192-ctr** <- \\ | ||
| + | **MACs hmac-sha2-256,hmac-sha2-512-96** <- \\ | ||
| + | **KeyRegenerationInterval 3600** <- \\ | ||
| + | **ServerKeyBits 1024** <- \\ | ||
| + | |||
| + | B.**Cron**\\ | ||
| + | 1. Переходим в директорию **/etc** и вводим **ls -l | grep cron**\\ | ||
| + | 2. Меняем права у файла **crontab**. Делаем его доступным для чтения и записи только для пользователя __root__ **chmod 0600 crontab**\\ | ||
| + | 3. Далее разрешаем создавать "кроны" только руту: создаём файл **touch cron.allow && echo "root" > cron.allow && /etc/init.d/cron restart**\\ | ||
| + | |||
| + | C. **Shells** \\ | ||
| + | |||
| + | 1. Открываем файл **/etc/shells** и убираем от туда все лишние шеллы, кроме __bash__ и __sh__\\ | ||
| + | 2. В директории **/etc/skell** находим файл **.bash_logout** и записываем туда следующие строки:\\ | ||
| + | ''history -c'' \\ | ||
| + | ''/bin/rm -rf ~/.bash_history'' \\ | ||
| + | 3. Теперь у нас для каждого пользователя, у которого будет этот файл, будет затираться история его команд, после того как он выйдет из оболочки. \\ | ||
| + | P.S. В свой **.bash_logout** который находится в вашем "хомяке", тоже не забываем это добавить. \\ | ||
усиление_безопасности_openssh.txt · Последние изменения: 2015/03/16 08:44 — 81.222.241.194
Инструменты страницы
За исключением случаев, когда указано иное, содержимое этой вики предоставляется на условиях следующей лицензии: GNU Free Documentation License 1.3
