Toon posts:

Standaard beveiligde Linux installatie?

Pagina: 1
Acties:

Onderwerpen

Beveiliging Linux

zondag 7 februari 2010 00:03

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Op veel vlakken is een standaard linux-installatie (RHEL) niet erg veilig. Een typisch voorbeeld is het niet standaard aanmaken en beveiligen van een /tmp-partitie, waardoor apache onbeperkt kan schrijven en uitvoeren op /tmp. Verdere belangrijke opties zouden zijn, een standaard firewall die alle poorten blokkeert, beveiligde SSH, IP's permanent blokkeren na veel authenticatie failures,

EnGarde Secure Linux ziet er wel goed uit, maar ik weet niet of dat een distro is en of dit verstandig is in combinatie met bekende software, dat meestal geschikt is voor de bekende distros.

Bij het installeren en beheren van enkele servers is het geen probleem om alles handmatig te doen, maar een standaard erg beveiligd OS, zou ook erg prettig zijn.

Selinux heb ik ook al naar gekeken, maar de vorige keer had ik meteen 30 regels in 3 dagen moeten verwijderen, voordat alles enigszins werkte. Waarschijnlijk had ik nog veel moeten uitschakelen als ik het niet had uitgeschakeld.

zondag 7 februari 2010 00:49

Acties:
  • 0 Henk 'm!

Verwijderd

Standaard helemaal goed beveiligd bestaat niet. Een goede beheerder past het systeem zo aan dat het aan zijn eisen voldoet.

Ik vind het nogal zwak om te zeggen dat RHEL niet zou voldoen. Ik denk dat je dan vooral zelf niet erg hebt begrepen hoe je een systeem beveiligt. Het is nogal naïef om er vanuit te gaan dat een ander dat voor je doet.

Beveiliging is vaak een directe vijand van gebruikersgemak en überhaupt bruikbaarheid. Als een ander, namelijk de ontwikkelaars van de distributie, alles goed zouden beveiligen, zou jij het niet kunnen gebruiken.

En dan SELinux uitschakelen omdat jij er niet mee kunt werken? Wat verwacht je dan dat ik daar verder nog over zeg?

Standaard is Apache niet eens geïnstalleerd als je daarvoor kiest. SELinux staat wel standaard aan, en je kunt inloggen, packages installeren, configuratiebestanden wijzigen, users en groepen aanmaken. Standaard wordt veel door de firewall geblokkeerd. Vrijwel alles behalve SSH. En ik mag toch hopen dat je geen simpele wachtwoorden kiest? Om bruteforce aanvallen zou je je lul uit je broek moeten lachen. Nul procent kans van slagen.

Wat je verwacht bestaat niet. Wil je dat het wel bestaat, maak het dan ook zelf. Vrijwel alles is open source.

Ik zou persoonlijk meer moeite steken in het leren omgaan met de middelen die er zijn, want dat zijn er heel wat. Probeer eens eerlijk te bepalen of een tekortkoming er een van de distributie is, of van jezelf.

zondag 7 februari 2010 12:23

Acties:
  • 0 Henk 'm!
  • lordgandalf
  • Registratie: Februari 2002
  • Laatst online: 14:45

lordgandalf

Als je een beveiligd OS wil moet je denk ik toch echt OpenBSD een poging geven is wel iets anders dan Linux maar wel out of the box secure (zover dat mogelijk is)

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

zondag 7 februari 2010 12:32

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Ik begrijp wel wat je bedoelt, ik ben zelf ook een groot fan van RHEL, maar het probleem is dat het veel werk zal zijn om elk LinuxVPS handmatig te hardenen.

Ik kies geen eenvoudige wachtwoorden, maar klanten bijvoorbeeld wel op een FTP-service. Het is prettig dat IP's geblokkeerd worden na vaak verkeerde authenticatie. Hetzelfde voor SSH, daar is het ook gewoon makkelijk om SSH ip-restricted te hebben, zodat je alleen vanaf bekende locaties en een speciale server kunt inloggen bijvoorbeeld.

Binnenkort moet ik namelijk 8 LinuxVPS-servers configureren en ik vraag me af hoe ik me dat eenvoudiger kan maken. OpenBSD lijkt inderdaad sowieso erg veilig. Ik denk dat het bij servers die weinig taken hebben, sowieso erg belangrijk is dat er zo weinig mogelijk op draait. Geen httpd-server op een dns-server e.d. Bij een CentOS installer via ServerCD wordt httpd, mail, dns, samba, allemaal standaard meegeinstalleerd. Daarom kies ik waar mogelijk ook altijd een minimale install.

Als ik mensen zie hoe ze mysql en php installeren met 'yum install php*', of zelfs op howto-forge advies geven dat ze maar complete pakketten tools moeten installeren: yum groupinstall 'Development Tools', yum groupinstall 'Development Libraries', vb: http://www.howtoforge.com/forums/showthread.php?t=33407.

zondag 7 februari 2010 18:05

Acties:
  • 0 Henk 'm!
  • JaQ
  • Registratie: Juni 2001
  • Laatst online: 12:15

JaQ

Verwijderd schreef op zondag 07 februari 2010 @ 12:32:
Ik begrijp wel wat je bedoelt, ik ben zelf ook een groot fan van RHEL, maar het probleem is dat het veel werk zal zijn om elk LinuxVPS handmatig te hardenen.
Dus ga je met iets als cobbler aan de slag?

Egoist: A person of low taste, more interested in themselves than in me

zondag 7 februari 2010 18:52

Acties:
  • 0 Henk 'm!
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

Of gewoon met fai 1x een goede debian install doen?
Die kun je dan x keer uitrollen zonder veel moeite.

i3 + moederbord + geheugen kopen?

dinsdag 9 februari 2010 16:13

Acties:
  • 0 Henk 'm!
  • igmar
  • Registratie: April 2000
  • Laatst online: 03-09 22:58

igmar

ISO20022

Verwijderd schreef op zondag 07 februari 2010 @ 12:32:
Ik begrijp wel wat je bedoelt, ik ben zelf ook een groot fan van RHEL, maar het probleem is dat het veel werk zal zijn om elk LinuxVPS handmatig te hardenen.
Je kan een RPM virtual package maken wat de benodigde configfiles zelf aanpast. Op die manier kun je eventueel later ook dingen bijstellen.
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq