DEF CON Kazakhstan

1. ХАРДЕНИНГ

2. WHOAMI
Аринов Ильяс Бейбитович
( determination )
Системный администратор
+7 708 9801532

3. ХАРДЕНИНГ
0
Процесс усиления защищенности системы,
направленный на снижение рисков информационной
безопасности. Дословно — закаливание (по
отношению к металлу или сплаву).

4. ХАРДЕНИНГ
1
Пользоваться услугами дата-центров

5. ХАРДЕНИНГ
2
Глушить радиосигналы в серверной

6. ХАРДЕНИНГ
3
Опломбировать оборудование

7. ХАРДЕНИНГ
4
Закрыть на ключ защитные панели серверов

8. ХАРДЕНИНГ
5
Защитить BIOS/UEFI

9. ХАРДЕНИНГ
6
Защитить загрузчик GRUB

10. ХАРДЕНИНГ
7
Использовать множество разделов
( /, /boot, /home, /tmp, /var )

11. ХАРДЕНИНГ
8
Использовать LVM

12. ХАРДЕНИНГ
9
Использовать RAID

13. ХАРДЕНИНГ
10
Модифицировать настройки fstab
( nosuid, nodev, noexec )

14. ХАРДЕНИНГ
11
Шифровать разделы на блочном уровне
( LUKS )

15. ХАРДЕНИНГ
12
Использовать технологию PGP

16. ХАРДЕНИНГ
13
Устанавливать только необходимые пакеты

17. ХАРДЕНИНГ
14
Автоматизировать обновления безопасности
[ yum-cron ]

18. ХАРДЕНИНГ
15
Отключить CTRL+ALT+DEL
( # systemctl mask ctrl-alt-del.target )

19. ХАРДЕНИНГ
16
Удалить неиспользуемые пакеты
( # yum list installed >> mypacks )

20. ХАРДЕНИНГ
17
Ввести профилактический перезапуск служб
( crontab )

21. ХАРДЕНИНГ
18
Остановить и уничтожить неиспользуемые службы
( # systemctl list-units -t service )

22. ХАРДЕНИНГ
19
Шифровать передачу данных
SSH, SFTP
( # ssh -L 5902:localhost:5901 remote_machine )

23. ХАРДЕНИНГ
20
Сканировать порты
( # nmap -sT -O 192.168.0.0/24 )

24. ХАРДЕНИНГ
21
Использовать сетевой экран
( # firewall-cmd --list-all )

25. ХАРДЕНИНГ
22
Делать периодический анализ трафика
( # tcpdump -i eth0 -w tcpdump.pcap )

26. ХАРДЕНИНГ
23
Использовать resolv.conf

27. ХАРДЕНИНГ
24
Отключить SUID и SGID

28. ХАРДЕНИНГ
25
Уничтожить файлы и директории без хозяина

29. ХАРДЕНИНГ
26
Исключить использование 777

30. ХАРДЕНИНГ
27
Использовать стойкие пароли
( pwmake 128 )

31. ХАРДЕНИНГ
28
Применить стойкую парольную политику
( password required pam_pwquality.so retry=3 )

32. ХАРДЕНИНГ
29
Назначить срок жизни пароля
( # chage -M 45 username )

33. ХАРДЕНИНГ
30
Блокировать неиспользуемые учетные записи
( # passwd -l username )

34. ХАРДЕНИНГ
31
Предотвратить доступ к оболочке
( # usermod -s /bin/false username )

35. ХАРДЕНИНГ
32
Блокировать виртуальные консоли
( vlock )

36. ХАРДЕНИНГ
33
Централизованное управление учетными записями
( Kerberos )

37. ХАРДЕНИНГ
34
Переключить USB накопители в режим «RO» в UDEV
( SUBSYSTEM=="block",ATTRS{removable}=="1",RUN{program}="/sbin/blockdev --setro %N" )

38. ХАРДЕНИНГ
35
Отключить доступ суперпользователя к TTY
( # cat /dev/null > /etc/securetty )

39. ХАРДЕНИНГ
36
Отключить доступ суперпользователя по SSH
( PermitRootLogin no )

40. ХАРДЕНИНГ
37
POSIX ACL
( # setfacl -m u:user:rw file )

41. ХАРДЕНИНГ
38
Использовать SELinux
( # setenforce 1 )

42. ХАРДЕНИНГ
39
Использовать расширения SELinux
( # setsebool -P httpd_enable_ftp_server on )

43. ХАРДЕНИНГ
40
Применить централизованное логирование
( rsyslog )

44. ХАРДЕНИНГ
41
Наблюдать за активностью пользователей
( ac, lastcomm, accton, sa, lastb )

45. ХАРДЕНИНГ
42
Настроить параметры работы ядра
( /etc/sysctl.conf )

46. ХАРДЕНИНГ
43
Использовать VPN

47. ХАРДЕНИНГ
44
Использовать дополнительные меры защиты
( AIDE, Fail2Ban, OSSEC, Lynis, Rkhunter )

48. ХАРДЕНИНГ
45
Модифицировать переменные окружения
( # echo 'HISTTIMEFORMAT="%d/%m/%y %T "' >> .bashrc' )
( # echo ‘PROMPT_COMMAND="history -a"’ >> .bashrc )

49. ХАРДЕНИНГ
46
Автоматически отключать SSH при простое

50. ХАРДЕНИНГ
47
Автоматизировать резервное копирование
( tar, cat, scp, rsync, duplicity, lvm )

51. ХАРДЕНИНГ
48
Изменить служебные порты по умолчанию

52. ХАРДЕНИНГ
49
Защитить от сканирования портов

53. ХАРДЕНИНГ
50 APACHE + PHP
Скрыть версии служебного ПО

54. ХАРДЕНИНГ
51 APACHE
Запретить листинг директорий глобально

55. ХАРДЕНИНГ
52 APACHE
Отключить неиспользуемые модули

56. ХАРДЕНИНГ
53 PHP
Запретить неиспользуемые функции

57. ХАРДЕНИНГ
54 PHP
Отключить отображение ошибок

58. ХАРДЕНИНГ
55 APACHE
Настроить удаленное логирование веб сервера

59. ХАРДЕНИНГ
56 APACHE
Еще раз: Исключить использование 777

60. ХАРДЕНИНГ
57 APACHE
Управлять доступом к директориям
( Order, Deny, Allow )

61. ХАРДЕНИНГ
58 APACHE
Задействовать mod_evasive

62. ХАРДЕНИНГ
59 APACHE
Задействовать mod_security

63. ХАРДЕНИНГ
60 APACHE
Игнорировать симлинки

64. ХАРДЕНИНГ
61 APACHE
Установить ограничение на размер запроса

65. ХАРДЕНИНГ
62 APACHE
Установить ограничение по времени для событий
( TimeOut )

66. ХАРДЕНИНГ
63 APACHE
Установить ограничение одновременных подключений
( MaxClients )

67. ХАРДЕНИНГ
64 APACHE
Установить время ожидания последующего запроса
( KeepAliveTimeout )

68. ХАРДЕНИНГ
65 APACHE
Ввести ограничения для запросов
( LimitRequestFields, LimitRequestFieldSize )

69. ХАРДЕНИНГ
66 APACHE
Произвести тонкую настройку логирования
( TransferLog, CustomLog, LogFormat )

70. ХАРДЕНИНГ
67 APACHE
Задействовать SSL

71. ХАРДЕНИНГ
68 APACHE
Отключить HTTP, включить HTTPS

72. ХАРДЕНИНГ
69 MYSQL
Использовать mysql_security_installation

73. ХАРДЕНИНГ
70 MYSQL
Запретить чтение и запись файлов
( local-infile=0 )

74. ХАРДЕНИНГ
71 MYSQL
Переключить работу на сокеты
( для локальных систем )

75. ХАРДЕНИНГ
72 MYSQL
Использовать SSL
( для удаленных систем )

76. ХАРДЕНИНГ
73 MYSQL
Отключить использование симлинков

77. ХАРДЕНИНГ
74 MYSQL
Переименовать административную учетную запись

78. ХАРДЕНИНГ
75 MYSQL
Настроить логирование ошибок

79. ХАРДЕНИНГ
76 MYSQL
Уничтожить неиспользуемые базы данных

80. ХАРДЕНИНГ
76 MYSQL
Изменить порт по умолчанию

81. ХАРДЕНИНГ
77 MYSQL
Использовать список разрешенных IP адресов для
удаленного подключения

82. ХАРДЕНИНГ
78 MYSQL
Отключить возможность удаленного подключения
административных учетных записей

83. ХАРДЕНИНГ
79 MYSQL
Никогда не выдавать FILE, PROCESS или SUPER

84. ХАРДЕНИНГ
80 MYSQL
Уничтожать учетные записи без паролей

85. ХАРДЕНИНГ
Обратитесь к эксперту в области информационной
безопасности, чтобы он попытался осуществить
попытку проникновения и оценил уровень
защищенности вашего сервера.

86. ХАРДЕНИНГ
Создайте, поддерживайте, используйте и
усиливайте эталонную конфигурацию системы для
новых проектов.

87. ХАРДЕНИНГ
Практический пример: Нестандартный SSH порт
# vi /etc/ssh/sshd_config [Port 2222]
# firewall-cmd --permanent --zone=public --add-port=2222/tcp
# firewall-cmd --permanent --zone=public --remove-service=ssh
# semanage port -a -t ssh_port_t -p tcp 2222
# systemctl restart sshd
# firewall-cmd --reload

88. ХАРДЕНИНГ
Практический пример: Против shell'ов
# cd /var/www/site/uploads/
# vi ./.htaccess
Options -Indexes -FollowSymLinks
<FilesMatch "(?i).(php|php3?|phtml|pl)$">
Order Deny,Allow
Deny from All
</FilesMatch>
<IfModule mod_php5.c>
php_flag engine off
</IfModule>
# service httpd restart
*FilesMatch можно переписать так, чтобы доступен был только один тип файлов
*php_flag engine off отключает возможность исполнения шелла в этой директории

89. ХАРДЕНИНГ