knick
Newbie | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Вырезки из личного опыта: Рекомендации по установке FreeBSD 5.X в качестве сервера 1. Разделение дисковой подсистемы: Для безопасности и удобства категорически рекомендуется делать как минимум /usr /tmp /var /home отдельными точками монитирования. Корневой раздел "/" -- 200M-350M. /usr -- "Основной" раздел, весь софт ставится сюда, squid по умолчанию хранит кэш, размер зависит от общей емкости дисковой подсистемы. /home -- Раздел с домашними каталогами пользователей, если не планируется использовать Samba, то можно сделать не очень большим ( 2 - 4 GB), иначе зависит от количества пользователей. /var -- Раздел с логами, размер зависит от того как часто вы сохраняете(ли) старые логи на внешних носителях, какой объем почты (если вы не используете MySQL или другую БД в качестве хранилища для почты). Рекомендуется не скупится на этом разделе, так как например логи апача имееют тендецию расти довольно быстро :). /var/db -- Раздел, где обычно храняться файлы БД всяких типов (MySQL, OpenLDAP, ...), при их интенсивном использовании категорически рекомендуется вынос в отедльную точку монитирования для удобства. Размер напрямую зависит от интенсивности использования. /tmp -- Раздел с временными файлами, обычно >500M хватает за глаза. swap -- Рекомендуемая формула: размер_оперативной_памяти * 2. 1.2 Выбирать устанвливаемые компоненты руками (лучше потратить на это время, поверьте), и выбирать только то, что вам нужно, причем желательно не ставить серверы с диска, а установить их позже из обновленных портов. 2. Флаги для монтируемых разделов (в /etc/fstab): /rw /usrrw /homerw, nosuid /varrw, noexec (с noexec могут возникнуть проблемы при помещении в /var чего-нибудь в chroot) /var/dbrw, noexec /tmprw, noexec, nosymlink 3. Рекомендации при установке: При установке, обязательно установите пакет cvsup, так как при сборке из портов он потребует компиляции тяжелых зависемостей. 4. Рекомендуемые действия сразу после установки FreeBSD: Пересобрать ядро, убрав оттуда опции отладки, которые включены туда по умолчанию в пятой ветке. Добваить следующие опции: options IPFIREWALL options IPDIVERT options IPFIREWALL_VERBOSE options IPFIREWALL_VERBOSE_LIMIT=10 options DUMMYNET Обновить дерево портов, для этого вам необходима программа cvsup и выход в интернет. Создаем файл /etc/cvsupfile с примерно таким содержанием: ######## /etc/cvsupfile start ######### *default host=cvsup7.FreeBSD.org *default base=/usr *default prefix=/usr *default release=cvs tag=. *default delete use-rel-suffix ports-all ######## /etc/cvsupfile end ######### В /usr/ports/.cvsignore добавляем название директорий портов, которые не имеет смысла обновлять на сервере (например все, что относится к X-ам...) на сервере. Далее выполняем host# cvsup -g -L 2 /etc/cvsupfile Рекомендуется выполнять эту команду cron-ом еженедельно или еще чаще. И с такой же переодичностью смотреть вывод pkg_version на предмет поялвения обновленного софта, можно просто сделать скрипт, который шлет мыло админу со списком устаревшего ПО). 5. Увеличение уровня безопасности: man security Не ставить не необходимое серверное ПО и вообще стараться меньше лишнего ПО ставить. Удаленно администрировать минимум по ssh и обращать внимание на дату и место последнего входа. В /etc/sysctl.conf добваляем следующие строчки: security.bsd.see_other_uids=0 net.inet.tcp.blackhole=2 net.inet.udp.blackhole=1 В /etc/rc.conf kern_securelevel_enable="YES" kern_securelevel=2 # В случае, если сетевая часть уже сконфигурирована и правила ipfw и dummynet НЕ БУДУТ меняться, выставляется уровень 3. Установка программы tripwire, очень полезная вещь. Если не будут использоваться бинарники (что на сервере вряд ли) от linux то из /boot/loader.conf уберитие строчку linux_load="YES" если она там есть. Подписаться на freebsd-security и читать что там пишут :) Обеспечить физическую безопасность сервера. Переодически просканивать сервер nmap-ом извне и смотреть на результаты. (можно запросто автоматизировать) cron-ом раз в неделю пытаться подобрать пароли пользователей с помощью программы типа crack или JTR. 6. Общие положения: Если используете Samba то man tuning категорически рекомендуем (с) www.opennet.ru . Кстати, там же, откуда эта цитата есть хорошие статьи по Samba и FreeBSD. Не ленитесь делать бэкапы. :) | Всего записей: 6 | Зарегистр. 02-07-2004 | Отправлено: 22:19 08-11-2004 | Исправлено: knick, 22:20 08-11-2004 |
|