2. Fórumok
  3. OS, alkalmazások
  4. Linux haladóknak
  5. (kiemelt téma)
  • Téma összefoglaló
    Utoljára frissítve: 2013-09-30 15:51

    PROHARDVER!

    Mára a ProHardver!/IT.News Fórum is nagylétszámú Linuxban jártas taggal büszkélkedhet. Nehéz szinteket felállítani egy olyan rendszer ismeretében, ami annyira sokrétű, hogy teljesen szinte lehetetlen megismerni minden egyes részét. Azt azonban mindenki tudja, hogy kezdő-e vagy sem. Elsősorban nekik szólnak az alábbiak, de érdemes mindenkinek elolvasnia, mint útjelző táblát.

Új hozzászólás Aktív témák

  • #33207 Neil Watts veterán
    Új Válasz #33207
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    Neil Watts

    veterán

    Sziasztok!

    Lattam, fent is szerver biztonsagrol volt szo, kerdeznek en is. Szemelyes projektjeimhez bereltem egy CPX21-et a Hetznertol (3 mag/4GB RAM).

    Erre Full Disk Encryption-nel szeretnek felpakolni egy friss Ubuntu Linux-ot, Oracle APEX fejlesztes celjabol fokent. (Jobb lenne egy RHEL, de ahhoz draga a KSplice/AlmaCare)

    Szoftverfejlesztessel foglalkozom, uzemeltetes teren van mit tanulnom, am ezert kerdeznek is. Az alabbiakat gondoltam elvegezni a base rendszer felrakasa utan:

    - Rendszer frissitese
    - SSH kulcs alapu login, password helyett. A kulcsot Ed25519-el tervezem kesziteni
    - Kulon groupba rakom az SSH-zni tudo felhasznalokat
    - Az sshd_config biztonsagossa tetele:

    HostKey /etc/ssh/ssh_host_ed25519_key
    HostKey /etc/ssh/ssh_host_rsa_key
    HostKey /etc/ssh/ssh_host_ecdsa_key
    KexAlgorithms curve25519-sha256@libssh.org,ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256
    Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
    MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,umac-128@openssh.com
    LogLevel VERBOSE
    PermitUserEnvironment no
    Subsystem sftp  internal-sftp -f AUTHPRIV -l INFO
    Protocol 2
    X11Forwarding no
    AllowTcpForwarding no
    AllowStreamLocalForwarding no
    GatewayPorts no
    PermitTunnel no
    PermitEmptyPasswords no
    IgnoreRhosts yes
    UseDNS yes
    Compression no
    TCPKeepAlive no
    AllowAgentForwarding no
    PermitRootLogin no
    HostbasedAuthentication no
    AllowGroups a-csoport-amit-letrehoztam-az-sshzo-usereknek
    ClientAliveCountMax 0
    ClientAliveInterval 300
    ListenAdress <az ip addr altal visszatdott eth0 interface cime>
    LoginGraceTime 30
    MaxAuthTries 2
    MaxSessions 2
    MaxStartups 2
    Port <az alap 22-rol elrakom valami magasra>

    -- OpenSSH (mozilla.org) Ez alapjan eltavolitom a rovid DH kulcsokat.
    -- 2FA-t alkalmazok SSH-nal (is)
    -- Limitalom, hogy ki hasznalhat sudo-t illetve su-t.
    -- Beallitom NTP-n az idot
    -- A /proc-t hidepid=2-vel mountolom fel
    -- Eros jelszavakat hasznalok ahol csak lehet
    -- Beallok Ubuntu Pro membernek.
    -- rng-tools felpattintasa es beallitasa
    -- UFW beallitasa ugy, hogy minden kimeno es bejovo forgalmat tiltson, csak azt engedelyezzuk ami kell
    -- Behatolas erzekelesre es megelozesre felrakok egy PSAD-ot
    -- Felrakok egy Fail2Ban-t
    -- Felrakok egy AIDE-t
    -- ClamAV-t virusirtonak
    -- RKHunter
    -- chrootkit
    -- logwatch
    -- lynis
    -- ossec

    Kell meg valami? :) Ha eszetekbe jut, es megosztjatok, azt koszonom. Lehet beneztem valamit vagy elfelejtettem.

    Az Oracle cuccokat kulon, dockerbe raknam.

    Koszi!

    Udv.

Új hozzászólás Aktív témák