Защита серверов на базе FreeBSD

Существует огромное количество статей, обзоров и инструкций, в которых описаны методы защиты вашей FreeBSD системы. Но все они касаются отдельных методов и способов. Этот документ является списком, который удобно использовать при настройке сервера. Рекомендации, собранные в документе, помогут вам настроить наиболее защищенный сервер. Более подробное описание всех настроек и проблем безопасности вы можете найти, обратившись к списку использованных источников, в конце этого документа.

Окончательной версии этого документа не существует, он постоянно дополняется различными советами и рекомендациями. Рекомендуем вам распечатать этот документ и использовать при каждой настройке нового сервера.

В этом документе описывается использование некоторых приложений, которые включены в дерево портов FreeBSD, эти приложения помогут сделать ваш сервер еще более защищенным. Мы не описываем конфигурацию брандмауэров (ipfw, ipf, pf), почтовых агентов или веб-сервера, для этого существуют отдельные статьи, которые помогут вам наиболее безопасно установить, настроить и использовать данные приложения. В данном документе мы опишем использование chrootkit - программы для проверки наличия в системе root-kit-ов; rdate - замена для ntp; cvsup и portupgrade для обновления системы и дерева портов.

Примечание о параметре log_in_vain.

Многие хотели бы, что бы этот параметр был обязательно описан в данном документе. Раньше я тратил очень много времени на анализ журнальных файлов моего брандмауэра с информацией, что кто-то сканирует порты на моем сервере. Должен сказать, что это бесполезная трата времени. Любое ваше оборудование, подключенное к Интернет, рано или поздно будет просканировано, и вам это известно. Если информация о сканировании портов не является частью ваших журнальных файлов, значит ваш компьютер не подключен к Интернет. Но, тем ни менее, опция log_in_vain описана в этом документе.

1. Инсталяция

При разметке диска, лучше всего не использовать значения по умолчанию, а разметить его в ручную, это позволит вам применить различные опции для каждого раздела.

Если у вас мало пользователей, то нет необходимости делать раздел /usr/home большим. Если вы будете настраивать удаленную регистрацию событий, то раздел /var можно делать не очень большим. Например, разметка диска может выглядеть вот так:

none(swap)

/ /tmp /usr /usr/home /var /root

2. Настройка

Отключаем inetd.

Отключаем port_map (если не планируется использовать NFS).

Откажемся от ntp, вместо этого мы используем rdate, при обновлении будут использоваться ntp-сервера.

Нам необходимо установить коллекцию портов, которая будет расположена в /usr/ports.

После этого мы должны установить следующие порты:

/security/chrootkit

/sysutils/rdate

/sysutils/portupgrade

/net/cvsup-without-gui (считаю, что на серверах не должно быть графического интерфейса).

3. Пользователи

Так как мы запрещаем удаленную регистрацию под пользователем root через ssh, очень важно создать дополнительного пользователя. Для этого необходимо создать пользователя, который должен быть в группе wheel, что позволит ему в дальнейшем регистрироваться под пользователем root при помощи команды su.

Создадим группу для пользователей, которые могут иметь удаленный доступ:

vi /etc/group

sshusers:*:1001:список пользователей находящихся в этой группе

Сохраним файл и выйдем из vi, для этого зажмите кнопку shift и нажмите дважды кнопку zz (далее это действие будет обозначаться как ZZ).

4. Сообщение дня

cp /etc/motd /etc/motd.old

rm /etc/motd

vi /etc/motd

В содержании этого файла вам необходимо написать предупреждение о том, что доступ к данному серверу имеют только зарегистрированные пользователи и только для выполнения задач, которые разрешены на этом сервере. Также необходимо указать, что, регистрируясь на данном сервере, пользователь соглашается с системной политикой этого сервера, что очень важно в случае возникновения судебных разбирательств с пользователями, которые нарушили правила работы на вашем сервере.

Сохраняем и выходим из vi. ZZ

cp /etc/motd /etc/issue

# мы будем использовать motd для показа

# при удаленной регистрации.

# см. также /etc/ssh/sshd_config

5. OpenSSH

Мы будем настраивать авторизацию через DSA ключи, без использования паролей. Конечно если кто-то получит доступ к вашему ssh-клиенту с dsa ключами, у вас возникнут проблемы, точно также если кто-то узнает ваш пароль. Используя dsa ключи, мы избавляемся от возможности взломать нашу систему путем перебора паролей. Можете использовать dsa-ключи или пароли, выбирать вам, но никогда не пользуйтесь telnet-ом для удаленного доступа.

Откройте и отредактируйте файл /etc/ssh/sshd_config для настроек параметров демона, к которому обращаются пользователи при удаленном доступе к вашему серверу.

vi /etc/ssh/sshd_config

Port 22

Protocol 2

#Hostkey /etc/ssh/ssh_host_key

PermitRootLogin no

MaxStartups 5:50:10

# после 5 неправильных регистраций,

# отторгать 50% новых подключений, и

# не отвечать совсем, если число

# неправильных регистраций превысило 10

X11Forwarding no

PrintLastLog yes

SyslogFacility auth

# писать информацию о регистрациях в

# лог-файл to /var/log/auth.

LogLevel VERBOSE

# обычно OpenSSH - это единственный путь

# удаленного доступа к системе, мы

# хотим получать наиболее полную

# информацию от этого сервиса.

PasswordAuthentication no

PermitEmptyPasswords no

Banner /etc/issue

AllowGroups sshusers

# группа, которой разрешена

# регистрация через SSH; можно указать

# несколько групп через запятую.

Сохраняем и выходим из vi. ZZ

Теперь откроем и отредактируем файл /etc/ssh/ssh_config

vi /etc/ssh/ssh_config

ForwardAgent no

ForwardX11 no

PasswordAuthentication no

CheckHostIP yes

Port 22

Protocol 2

Сохраняем и выходим из vi. ZZ

Теперь, давайте сгенерируем DSA ключи для авторизации с пользователем, AKA <noprivuser>

su - noprivuser

ssh-keygen -d

На экране появится строка:

Generating public/private dsa key pair.

Enter file in which to save the key

#введите файл, в который сохранить ключ

(/home//.ssh/id_dsa):

# значение по умолчанию

Enter pass phrase (empty for no pass phrase):

# введите пароль для ключа или без пароля

Enter pass phrase (empty for no pass phrase):

# подтверждение пароля

Your identification has been saved in /home//.ssh/id_dsa.

#Идентификационный ключ сохранен в ....

Your public key has been saved in /home//.ssh/id_dsa.pub

#Публичный ключ сохранен в ...

The key fingerprint is (отпечаток ключа):

xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx <nonprivuser>@<host>

cd .ssh

cat id_dsa.pub > authorized_keys2

Теперь скопируйте ключ на дискету и перенесите на компьютер, с которого вы хотите подключаться к серверу.

Выйдите из регистрационной записи пользователя.

Убедитесь, что файл с ключом находится на дискете, потом удалите файл с ключом из директории .ssh пользователя. Убедитесь, что дискета в безопасном месте и защищена от записи, потому что если она повредится, вам придется генерировать ключ заново.

6. rc.conf

vi /etc/rc.conf

inetd_enable="NO"

# Better ways to run your daemons

syslogd_enable="YES"

# Конечно мы хотим вести регистрацию событий. Если вы планируете настроить

# удаленную регистрацию событий, тогда пропустите следующую строку.

# Если файлы регистрации событий будут расположены на локальном диске,

# убедитесь что у вас смонтирован раздел /var.

syslogd_flags="-ss"

# Этим мы закроем 514 udp порт если мы не хотим использовать удаленную

# регистрацию событий на или с этого сервера. Естественно не нужно добавлять

# эту строчку, если вы планируете настроить удаленную регистрацию событий.

icmp_drop_redirect="YES"

# Отключаем прием и отправку переадресовующих ICMP пакетов.

icmp_log_redirect="YES"

# Регистрировать переадресовующие ICMP пакеты в журнальном файле

clear_tmp_enable="YES"

# Очищать директорию /tmp при загрузке.

portmap_enable="NO"

# Если не используется NFS

icmp_bmcastecho="NO"

# Предотвращает springboarding и smurf атаки, запрещая серверу отвечать

# на широковещательные ping-пакеты.

fsck_y_enable="YES"

# При ошибках файловой системы на этапе загрузки утилита fsck будет

# запущена с флагом -y (man fsck)

update_motd="NO"

#Не обновлять файл с сообщением дня /etc/motd

tcp_drop_synfin="YES"

# Отбрасывать synfin пакеты. Смотри ниже, необходимые изменения в ядре.

log_in_vain="YES"

# Установите эту опцию, если вы хотите записывать все попытки подключения

# к закрытым портам вашего сервера.

sshd_enable="YES"

# Это позволит сделать удаленный доступ к серверу более защищенным.

Сохраняем и выходим из vi. ZZ

7. login.conf & auth.conf

Алгоритм md5, использующийся для шифрования паролей будет заменен на Blowfish алгоритм, который еще не взломан. Надежный алгоритм криптования необходим. Запомните: надежное криптование паролей это тоже часть безопасности. Как было сказано на встрече в Нью-Йорке, наличие надежного алгоритма криптования паролей похоже на прихожую, которая отлично защищена. Никто не может справится с этой защитой, но есть много других способов, чтобы обойти прихожую. Будут сделаны дополнительные настройки для защиты паролей, которые помогут обезопасить ваш сервер.

vi /etc/login.conf

Делаем исправления в секции default:

:passwd_format=blf:

# заменяем алгоритм криптования паролей на

# Blowfish вместо идущего по умолчанию md5.

:passwordtime=52d:

# период устаревания паролей 52 дня.

:mixpasswordcase=true:

# предупреждать пользователей о том что пароли должны содержать

# разные символы (mixed-case passwords)

:minpasswordlen=9:

# минимальная длина пароля 9 символов

:idletime=32:

# автоматически отключать пользователей после

# 32-х минут бездействия

Сохраняем и выходим из vi. ZZ

Теперь делаем базу.

cap_mkdb /etc/login.conf

Далее необходимо изменить пароли всех пользователей, для того, что бы они были закриптованы при помощи алгоритма Blowfish.

Убедитесь в этом при помощи vipw, это утилита для быстрого редактирования базы паролей /etc/master.passwd.

Обратите внимание на второе и последнее поля, которые разделены:

Второе поле содержит пароль пользователя в зашифрованном виде. Убедитесь, что он начинается с $2. Это говорит о том, что вы удачно перешли с md5 алгоритма криптования на Blowfish.

Последнее поле определяет шелл пользователя. Для пользователей, которые будут использовать bash должно быть написано /usr/local/bin/bash. Для пользователей, которые не должны иметь права регистрироваться в системе, например пользователь www для Apache, должно быть написано /sbin/nologin Удалите пользователя toor (нажмите dd на строке с пользователем toor).

Теперь сделаем что бы пароли пользователей, которые будут добавляться в дальнейшем, криптовались алгоритмом Blowfish.

vi auth.conf crypt_default=blf

Сохраняем и выходим из vi. ZZ

8. sysctl.conf

vi /etc/sysctl.conf

net.inet.tcp.blackhole=2

# Это превращает машину в черную дыру при попытке подключиться к портам, # которые не обслуживаются вашим сервером.

net.inet.udp.blackhole=1

kern.ps_showallprocs=0

# только пользователь root может видеть все запущенные процессы

9. fstab

Теперь добавим некоторые параметры к некоторым точкам монтирования. Например, нет надобности кому-либо иметь возможность запускать программы из /tmp Есть более серьезные ограничения, которые вы можете сделать при помощи настроек в файле /etc/fstab. Например, вы можете сделать некоторые точки монтирования только читаемые, такие как /usr/local/, но это значит, что вы должны иметь копию менее ограничивающего файла /etc/fstab на случай обновлений системы или установки дополнительного программного обеспечения. В нашем случае мы установим только те параметры, которые не придется менять в течение работы.

#Device Mountpoint FStype Options Dump Pass#

/dev/ad0s1b none swap sw 0 0

/dev/ad0s1a / ufs rw 1 1

/dev/ad0s1f /tmp ufs rw,noexec 2 2

/dev/ad0s1g /usr ufs rw 2 2

/dev/ad0s1h /usr/home ufs rw,nosuid,noexec 2 2

/dev/ad0s1i /var ufs rw,noexec 2 2

/dev/fd0 /floppy MSDOS rw,noauto,noexec,nosuid,nodev,noatime 0 0

/dev/acd0c /cdrom cd9660 ro,noauto 0 0

proc /proc procfs rw 0 0

Список опций, которые были заданы:

ro: только чтение,

rw: чтение запись (устанавливается по умолчанию),

sw: своп,

nosuid: опция suid не работает,

noexec: запрет на запуск файлов,

nodev: запрещает отображение файлов в виде устройств,

noauto: не монтируется автоматически во время загрузки,

noatime: препятствует файловой системе делать запись о доступе к файлу.

10. CVSup

Для того, чтобы исходные коды и документация всегда были обновленными, мы должны регулярно запускать cvsup при помощи задач cron. Обратите внимание, что мы не используем обновление портов, а просто будем регулярно обновлять необходимые исходные коды.

cp /usr/share/examples/cvsup/stable-supfile /root

cd /root

vi stable-supfile

Исправьте следующие строки:

*default host=

# на странице http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/cvsup.html

# найдите cvsup зеркало, которое наиболее быстрее будет отвечать на ваши запросы,

# при помощи команды ping и введите его здесь.

#Это 68 строка в файле.

*default release=cvs tag=RELENG_4_7

#зависит от версии операционной системы, которую вы используете.

#Это 73 строка файла.

#src-all

#закомментируйте это, хотя бы потому, что нам не нужны исходные коды src-game.

#Это 84 строка в файле.

В следующей секции файла раскомментируйте, разделы исходных кодов которые вы хотите обновлять, можно также включить и src-games. Для дополнительной информации обращайтесь к списку использованных источников в конце этого файла.

11. Cron Jobs

chmod 0600 /etc/crontab

# только пользователь root должен иметь доступ к файлу настройки cron

touch /var/cron/deny

# добавьте в этот файл всех пользователей, которым запрещено использовать cron

chmod 0600 /var/cron/deny

Теперь добавим несколько задач, которые должны выполнятся регулярно.

vi /etc/crontab 0 2 * * * root /usr/libexec/locate.updatedb

# обновлять базу данных утилиты locate каждое утро в 2 часа.

0 2 * * * root/usr/local/sbin/rdate yourNTPserver

# запускать rdate каждое утро в 2 часа.

1 3 * * * root/usr/local/sbin/chkrootkit

# запускать chkrootkit каждый месяц.

12. Kernel Changes (изменения в ядре)

Сделайте следующие изменения в конфигурационном файле вашего ядра и перекомпилируйте его. Вы можете найти эти и другие опции ядра в файле /usr/src/sys/i386/conf/LINT.

#pseudo-device bpf

#Berkley Packet Filter. Защита от снифинга на уровне ядра. #Не убирайте эту опцию, если собираетесь использовать dhcp.

options SC_NO_HISTORY

# отменяем историю команд на виртуальных терминалах

options SC_DISABLE_REBOOT

# отменяем перезагрузку по комбинации клавиш ctl-alt-del

options SC_DISABLE_DDBKEY

# отменяем debug key

options TCP_DROP_SYNFIN

# смотри выше в разделе rc.conf.

options RANDOM_IP_ID

# случайный идентификатор IP пакетов препятствует

# idlescan-style сканирования. Мешает взломщику

# определить разряд(rate) генерации пакетов.

options ICMP_BANDLIM

# Если вы решите разрешить пакеты icmp к вашему серверу, этот

# параметр, ограничит количество ответов, что помогает при

# защите от DOS атак.

13. Права доступа к файлам

При помощи команды chmod 600, мы разрешаем доступ только пользователю root на запись и чтение файла.

При помощи команды chmod 700, мы также даем возможность пользователю root возможность запускать файл.

chmod 0700 /root

chmod 0600 /etc/syslog.conf

chmod 0600 /etc/rc.conf

chmod 0600 /etc/newsyslog.conf

chmod 0600 /etc/hosts.allow

chmod 0600 /etc/login.conf

chmod 0700 /usr/home/*

14. Сетевой Протокол Времени (Network Time Protocol)

Как вы уже заметили, в нашем crontab файле (файл настройки системы crontab) мы используем rdate вместо ntp для синхронизации часов сервера с мировым временем. Точное время на сервере является очень важным пунктом для правильного ведения журнальных файлов и часто помогает при разрешении конфликтов и устранении неисправностей.

vi /etc/ntp.conf

restrict default ignore

# не работать в качестве ntp сервера.

15. TCP Wrappers

vi /etc/hosts.allow

sshd : localhost : allow sshd : x.x.x.x, x.x.x.x : allow

# разрешить ssh запросы только из сетей x.x.x.x

sshd : all : deny

# запретить запросы ssh из остальных сетей

В случае, если вы будете подключаться к серверу с динамически выделяемых IP адресов, найдите другой защищенный сервер с статическим IP адресом, на который вы можете заходить через ssh, и используйте его в качестве шлюза для подключения к вашему серверу.

Убедитесь, что вы также настроили права доступа для других служб, может быть, вы захотите добавить это:

ftpd : ALL : deny

16. Console Access (доступ к консоли)

Запомните, что хоть мы и блокируем неавторизованный доступ в однопользовательском режиме, это не обеспечивает полную защиту вашего сервера. Некто с плохими намерениями может снять жесткий диск с вашего сервера и установить его на другом компьютере. Если сервер не защищен физически, то никакие программные настройки вас не спасут от взлома системы. Изменение прав доступа к первой консоли означает, что вы не сможете войти в систему в однопользовательском режиме, не зная пароля пользователя root.

vi /etc/ttys

console none unknown off insecure

# запрашивать пароль пользователя root в однопользовательском режиме.

ttyv0 "/usr/libexec/getty Pc" cons25 on insecure

# Virtual terminals

ttyv1 "/usr/libexec/getty Pc" cons25 on insecure

ttyv2 "/usr/libexec/getty Pc" cons25 on insecure

ttyv3 "/usr/libexec/getty Pc" cons25 on insecure

ttyv4 "/usr/libexec/getty Pc" cons25 on insecure

ttyv5 "/usr/libexec/getty Pc" cons25 on insecure

ttyv6 "/usr/libexec/getty Pc" cons25 on insecure

ttyv7 "/usr/libexec/getty Pc" cons25 on insecure

17. Bash Shell

vi /usr/share/skel/.bash_logout

# Файл .bash_logout, созданный в домашнем каталоге каждого

# пользователя, с командой "clear" будет очищать экран при

# выходе пользователя из системы. Скопируйте в домашний

# каталог пользователя root.

clear

18. chflags

Команда chflags увеличивает уровень безопасности (the level of security) на указанных файлах. Эта команда особенно полезна для исполняемых или конфигурационных файлов, код или информация которых может быть испорчены другими программами/действиями.

Рассмотрите возможность применения команды chflags к приложениям, которые запускаются на вашем сервере, а также к важным конфигурационным файлам.

Запуск команды производится следующим образом:

chflags [no]appnd или [no]schg имя файла

Наберите ls -ol (буквы o и l в маленьком регистре) для просмотре измененных свойств файла. Должны быть два флажка, которые вы заметите.

sappnd - переводит файл в append-only режим и только для пользователя root. Другими словами, в файл можно добавить любые данные, но первоначальная информация не может быть изменена/удалена.

schg - делает файл изменяемым только для пользователя root.

Обе команды имеют префиксы.

"u" перед sappnd или schg применяет те же опции, но при этом добавляет владельца файла в список пользователей, которые будут иметь доступ к этому файлу.

"no" перед sappnd или schg отменит chflag опцию на файле.

19. Зачистка

Убедитесь, что все строки в файле /etc/inetd.conf закомментированы.

sockstat -4 #убедитесь что ничего лишнего не запущено.

tcpdump -xX #пока сервер только появился в сети, посмотрим кто обращается к нему.

Обновлено: 12.03.2015