Hardening – to co nikdy žádný admin nedělá

Začnu jednoduše – žádný admin tohle nedočte do konce… a pokud ano, tak se třeba něčemu přiučí.

Hardening je dlouho považováno za sprosté slovo, nicméně se jedná o poměrně důležitou část nejen produkčních serverů. To s čím se poslední roky setkávám je velmi smutné a všude, kde jsem měl tu čest testovat a následně několik týdnů napravovat… no v podstatě pokaždé to byla výzva. 

 

Co to vlastně ten Hardening je?

hardening není nic jiného, než význam slova jako takový, česky řečeno „zabetonování“ systému. Plný auditing a nastavení pravidel. Odstranění zranitelností. A znovu nastavení pravidel, nicméně je třeba připomenout:

hardening se týká i hardwarového zabezpečení OS! Víte kdo se Vám prochází po datacentru? A nemá náhodou v kapse ghostUSB?

 

Opensource nástrojů, které pomůžou, poradí a občas i chytnou za ruku a řeknou „hele koukej, tady v tomhle souboru, vidíš to? Tohle tam být nesmí, musí tam být tohle!“ například lynis, logwatch… i ten blbý syslog-ng ve správné konfiguraci dokáže odhalit spousty problémů…

 

Ahoj, jak máš řešený přístupy na roota a případně auditování, hesla atd?

No všichni mají jmenné účty a pak se přepínají přes „sudo rootsh“, to je přece bezpečný a logování přes auditd a secure log, to je přece bezva ne?

 

takhle většinou vypadá rozhovor, kde u první odpovědi protáčím oči a mám chuť s křikem utéct… 

 

Hmmm, aha, a můžeš mě pustit na server? Udělám jenom takový rychlý audit, že je všechno v pohodě.

jasně, není problém, tady máš login na roota

 

ok, hele dobrý, ani jeden kritickej průšvih…tady máš hrubý výstup po první kontrole, pustím si tam ještě jednu hračku, mezitím si to můžeš pročíst, já jdu kouřit aby mi nerupla žilka… tak se skočíme ještě rychle podívat do datacentra, že jsou zamknuté racky atd… 

Vytvořit základní „hardening skript“, který po instalaci čistého systému provede „zběžnou hygienu“ je otázka jedné noci. Nemusí to potom vypadat takhle šíleně (pro jistotu dávám jen počet záznamů, jen tak pro zajímavost 🙂 Testovacích scénářů mám v základu necelých 900

[~]# cat /var/log/expost.dat | wc -l

751

 

nastavení iptables, firewalld, přidělání nginx před apache a omezení přístupu na port 3006 spolu se zakázáním přihlášení roota na ssh není řešení, ale spíš návod „tomuhle serveru se věnuj“. Pokud v rámci penetračních testů nemůžu na roota, běžné porty typu 3006 9000 9226 a 8081 mi vracejí restrictions, tak se tomu serveru budu věnovat mnohem více, než když mi po pěti špatně zadaých heslech na roota naskočí přihlašovací timeout a časový ban na IP adresu…

 

lidi! Nepřidělávejte mi práci…. ušetříte 😀

admin in bezpečnost, CentOS 7, DB2, Debian, security, Server
1 března 2018

No comments yet, be first!

Add new comment

Your email address will not be published.

FOLLOW:
Poslední tweety
Error: Invalid or expired token.
Červenec 2024
Po Út St Čt So Ne
1234567
891011121314
15161718192021
22232425262728
293031  
MORE
Aktuální seriály
Hodnocení na SerialZone.cz
Hodnocení na SerialZone.cz
Hodnocení na SerialZone.cz
Hodnocení na SerialZone.cz
Poslední filmy

Starší hodnocení na ČSFD »

Tento web používá k poskytování služeb, personalizaci a anláze návštěvnosti soubory Cookie. Více informací

Cookie je krátký textový soubor, který navštívená webová stránka odešle do prohlížeče. Umožňuje webu zaznamenat informace o vaší návštěvě, například preferovaný jazyk a další nastavení. Příští návštěva stránek tak může být snazší a produktivnější. Soubory cookie jsou důležité. Bez nich by procházení webu bylo mnohem složitější. Soubory cookie slouží k celé řadě účelů. Používáme je například k ukládání vašich nastavení bezpečného vyhledávání, k výběru relevantních reklam, ke sledování počtu návštěvníků na stránce, k usnadnění registrace nových služeb a k ochraně vašich dat.

Nesouhlasím