• Установите и постоянно обновляйте все текущие "заплатки"(патчи) связанные с безопасностью (Многие доступны по ftp из ghost.iki.rssi.ru директория Security/patches).
• Установите программу fix-modes, корректирующую разрешения доступа к файлам (для ОС Solaris ftp.fwi.uva.nl:/pub/solaris/auto-install).
• Исключите все неиспользуемые программы RPC и INETD.
• Исключите все неиспользуемые для ОС идентификаторы.
• У всех служебных идентификаторов( типа bin, sys, daemon и т. д.), не требующих непосредственной работы в них, замените существующий интерпретатор команд на фиктивный (например /bin/false).
• Используйте последнюю версию программы sendmail V8 (ftp.cs.berkeley.edu /ucb/src/sendmail).
• Установите пакеты программ типа cops (ftp.cert.org /pub/tools/cops) или типа tiger (net.tamu.edu /pub/security/TAMU) для периодических (не реже чем раз в две недели) комплексных проверок Вашей ОС.
• Установите программу tcpwrapper (ftp.win.tue.nl /pub/security/tcpwrapper) для защиты программ, контролируемых INETD (через списки доступа {access lists} на уровне приложений {application} TCP/IP).
• Установите библиотеку securlib (eecs.nwu.edu /pub/securlib.tar) и замените системную программу portmapper Вашей ОС на аналогичную (ftp.win.tue.nl /pub/security/portmap.shar), если программы типа tiger обнаружит раннюю версию этой системной программы ( например в ОС SunOS 4.1).
• Установите последнюю версию программы wu-ftpd (ftp.issi.com /pub/utilities) вместо предлагаемой Вашей ОС по умолчанию (при необходимости организации доступа "anonymous ftp" ).
• Установите программу crack и библиотеку паролей cracklib (ftp.cert.org /pub/tools) для проведения периодической проверки на наличие простых паролей в Вашей ОС.
• Создайте файл /etc/ftpusers, где перечислите все, включая служебные, (типа root, bin и т.д.) идентификаторы не требующие доступа по ftp к ним.
• Следите за тем, чтобы на каталоге /tmp присутствовал sticky bit.
• Ограничьте вход в root консолью.
• Не используйте простых паролей для любых идентификаторов.
• Не размечайте идентификаторов без пароля, не используйте открытый "гостевой вход" (guest account).
• Не допускайте наличия арифметического знака сложения в файлах /etc/hosts, /etc/hosts.equiv и ~/.rhosts(если Вы не используете YP, NIS/NIS+). Все компьютеры перечисленные в этих файлах должны находится внутри сети (domain) .iki.rssi.ru.
• Ограничьте круг лиц, имеющих доступ к режиму привилегированного пользователя. По возможности используйте программу типа sudo (coast.cs.purdue.edu /pub/tools/unix/sudo/) для выполнения привилегированных программ обычными пользователями Вашей ОС.

 Вернуться на страницу "Сетевой администратор подразделения ИКИ"