Я знаю большинство общих советов: «отключите ненужные службы», «нет, выключите ненужные службы», «минимальные привилегии» и т. Д. Я также видел несколько руководств и / или инструментов, например Bastille, для усиление защиты Linux-боксов, но ничего, что казалось бы приспособленным для NetBSD.
Предположим для этого списка, что я уже убедился root у меня нет доступа по SSH, но я не устанавливал серверное программное обеспечение.
Каковы ваши первые шаги по защите нового сервера NetBSD?
ОБНОВЛЕНИЕ: Для ясности, я ищу конкретные шаги. Я полностью самоучка, когда дело доходит до администратора сервера, но чувствую, что неплохо разбираюсь в общих принципах. Я ищу подробности по двум причинам:
Спасибо.
Посмотри пожалуйста безопасность (8) в руководстве по NetBSD. Ты можешь:
rc.conf укрепить производственную системуsecurity.curtain = 1 в sysctl.conf чтобы пользователи не видели друг друга.security.pax.mprotect.global=1, security.pax.aslr.global=1)См. Также статью Элада Эфрата. Последние улучшения безопасности в NetBSD.
Обратите внимание, что функции, предотвращающие изменение двоичных файлов, также не позволяют вам обновить систему, поэтому подготовьтесь к выполнению обновлений в однопользовательском режиме.
Расширения PaX могут вообще помешать работе некоторых программ, таких как gnu make. Вы можете оставить флаги .global отключенными и установить флаги PaX на двоичной основе с помощью paxctl.
То же самое с любой системой:
Как сказал СвенВ, основные концепции вполне применимы ко всем.
Подробную информацию можно найти в Центре интернет-безопасности. Контрольный показатель доступно для FreeBSD. Я полагаю, что это должно быть довольно легко перенести в вашу среду.