KZoli: Új oldal, tartalma: „Ez a fejezet egy Debian Jessie szervergép nyilvános elérésűvé tételéhez minimálisan szükséges beállításokkal foglalkozik. Feltételezzük, hogy a szerver…”

2018-05-29T20:53:14Z

Új oldal, tartalma: „Ez a fejezet egy Debian Jessie szervergép nyilvános elérésűvé tételéhez minimálisan szükséges beállításokkal foglalkozik. Feltételezzük, hogy a szerver…”

Új lap

Ez a fejezet egy Debian Jessie szervergép nyilvános elérésűvé tételéhez minimálisan szükséges beállításokkal foglalkozik. Feltételezzük, hogy a szerver saját csomagszűrő tűzfallal már rendelkezik.

'''TODO:''' [https://wiki.debian.org/SELinux SELinux], [https://en.wikipedia.org/wiki/PaX PaX], [https://grsecurity.net/ grsecurity]

==Általános szigorítások, beállítások==
Az alábbi beállítások jó része a [http://www.debian.org/doc/manuals/securing-debian-howto/ Securing Debian Manual] illetve a közismert [http://www.szabilinux.hu/bw/bw00.html Zákány-dolgozat] alapján készült.
===Automatikus FSCK javítás rendszerindításkor===
Esetleges áramszünet utáni újrainduláskor szükséges, hogy a szerver emberkéz érintése nélkül el tudjon indulni. Ehhez egyrészt a BIOS-ban (általában a ''power management''-nél) be kell állítani, hogy ha áramot kap, akkor automatikusan kapcsoljon be (vagy Wake on LAN - '''TODO!'''), valamint hogy POST hibák esetén ne várjon billentyűleütésre; másrészt a Debiannak meg kell mondani, hogy [http://wiki.hup.hu/index.php/Fsck fsck] esetén javítson automatikusan:
<pre>-rw-r--r-- root root /etc/default/rcS

[...]
FSCKFIX=yes
[...]</pre>
Megjegyzés: ez a beállítás nagy (TB nagyságrendű) diszkek esetén drasztikusan (több, mint egy órára) megnyújthatja a rendszerindulást, ha a Debian úgy ítéli, hogy ''fsck'' szükséges!
===Kernel paraméterek===
Célszerű lehet a ''syn flood'' elleni védelem beállítása, esetleges kernel pánik esetén az automatikus reboot kérése, illetve hasznos lehet az alapértelmezésben 5 napos ''established connection tracking time'' lecsökkentése 0,5 napra (paranoid beállítás esetén 10 percre).

Mindezeket egy, az alapértelmezett kernel paramétereket felülbíráló állományban lehet előírni:
<pre>-rw-r--r-- root root /etc/sysctl.d/local.conf

# Uncomment the next line to enable TCP/IP SYN cookies
# See http://lwn.net/Articles/277146/
# Note: This may impact IPv6 TCP sessions too
net.ipv4.tcp_syncookies=1

###################################################################
# Extra settings

# Reboot after 1 minute on kernel panic
kernel.panic=60

# reduce TCP conntrack time
net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=43200
# paranoid restriction
# net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=600
</pre>
A beállított paraméterek reboot után lépnének érvénybe.
===A su szigorítása===
A ''root'' jogosultság távolról történő megszerzését az ''admin'' group tagjaira érdemes korlátozni. Ehhez először az ''admin'' és a ''root'' felhasználót explicit be kell tenni az ''admin'' group-ba (a default group tagság nem elég!):
<pre>adduser admin admin
adduser root admin</pre>
utána fel kell venni a korlátozó szabályt:
<pre>-rw-r--r-- root root /etc/pam.d/su

[...]
auth required pam_wheel.so group=admin
[...]</pre>
Így az ''admin'' group tagjain (praktikusan az ''admin'' felhasználón) kívül más nem tud ''su''-zni, konzolról azonban közvetlenül megszerezhető a ''root'' jogosultság.

Megjegyzés: a ''root''-ot azért érdemes felvenni az ''admin'' group-ba, mert az olyan scriptek, amelyek ''su''-t tartalmaznak, a korlátozás után ''root''-ként indítva sem futnak le. A konfiguráció megváltoztatása után még azelőtt teszteljünk, mielőtt ''root''-ként kijelentkeznénk, különben marad a konzol...
===Az alapértelmezett umask szigorítása===
A Debian alapértelmezett ''umask''-ja 022 (vagyis az újonnan létrehozott file-ok 644-es [rwxr--r--] jogokkal jönnek létre), ami túl engedékeny (640-et szeretnénk). Az ''umask'' system-wide beállításához
* egyrészt a ''/etc/login.defs''-ben módosítsuk az ''UMASK'' értékét:
<pre>-rw-r--r-- root root /etc/login.defs

[...]
UMASK 027
[...]</pre>
* másrészt a PAM beállítások között vegyük fel a ''pam_umask'' meghívását a ''/etc/pam.d/common-session'' állomány legvégén:
<pre>-rw-r--r-- root root /etc/pam.d/common-session

[...]
# manually defined
session optional pam_umask.so debug umask=027</pre>
Ez a beállítás valamennyi (ezután bejelentkező, shell, system, stb.) felhasználóra érvényes lesz (a ''root''-ra is - korábban kivétel volt), ezért speciálisan a ''root'' login shelljénél hagyjuk meg a megszokott ''022''-t:
<pre>-rw-r----- root root /root/.profile

[...]
umask 022
[...]</pre>
Így ha a virtuális ''root'' konzolt a ''su -'' paranccsal indítjuk vagy valódi konzolon ''root''-ként jelentkezünk be (de csak ekkor!) az ''umask'' értéke ''022'' lesz. A beállítások a következő újraindításkor lépnek életbe.

'''Figyelem: ezt ne toljuk el!''' - ''root''-ként a 027-es ''umask'' pl. azt eredményezheti, hogy szerencsétlen esetben egy ''apt-get install'' után a ''/var''-ra nem lesz semmilyen ''other's'' jog. Ezért most, egy reboot után gondosan ellenőrizzük a ''su -'' előtti (0027) és utáni (0022) ''umask'' értéket és a továbbiakban sose hagyjuk el a ''-'' jelet ennél a parancsnál!
==File jogosultságok szigorítása==
Az alábbi script lefuttatásával megszüntetjük a ''worldwide'' olvasható ''home'' könyvtárakat, másolatot készítünk a ''master boot record''-ról, és megszigorítjuk néhány fontos könyvtár és file elérhetőségét. Célszerű ezt a scriptet futtatási jog nélkül (pl. chmod 600) a ''/root/install/security.sh'' állományba tenni, és indirekt lefuttatni:
<pre>mkdir /root/install/
touch /root/install/security.sh
chmod 600 /root/install/security.sh
mcedit /root/install/security.sh
[...]
/bin/bash /root/install/security.sh</pre>
<pre>#!/bin/sh
# Checklist to set up some security settings.
# From Linux Security Quick Reference Guide - http://www.LinuxSecurity.com
# https://github.com/shadowbq/Cheat-Sheets/blob/master/posix/Linux%20Security%20Quick%20Reference%20Guide.pdf

BOOTDEV=/dev/sda # Modify, if you boot from another device

chmod -R o-rwx /root # Hide root's home dir
chmod -R o-rwx /home/* # Hide user's home dirs

# Save MBR to file - keep a backup on floppy disk or CD!
dd if=$BOOTDEV of=/root/mbr.`hostname`.`date +%Y%m%d` bs=512 count=1

# Permissions for critical system files
chmod 751 /var/log # Logfile directory
chmod 750 /etc/syslog-ng # Syslog (ng) daemon config files
chmod 600 /etc/crontab # System-wide crontab
chmod 640 /etc/logrotate.conf # Controls rotating of system log files
chmod 750 /etc/logrotate.d # Controls rotating of system log files
chmod 660 /var/log/wtmp # Who is logged in now. Use who to view
chmod 660 /var/log/lastlog # Who has logged in before. Use last to view
chmod 600 /etc/ftpusers # List of users that cannot(!) FTP
chmod 600 /etc/securetty # TTY interfaces that allow root logins
chmod 700 /etc/security # System access security policy files
chmod 750 /etc/init.d # Program start-up files
chmod 600 /etc/inetd.conf # Internet Superserver config file
chmod 400 /etc/cron.allow # List of users permitted to use cron
chmod 400 /etc/cron.deny # List of users denied access to cron
chmod 750 /etc/ssh # Secure shell config files
chmod 600 /etc/sysctl.conf # Contains kernel tunable options
chmod 700 /etc/sysctl.d # Contains kernel tunable options (includes)
</pre>
Megjegyzés: Nem biztos, hogy minden, a scriptben hivatkozott file létezik, ez indokolja az esetleges hibaüzeneteket.

Megjegyzés: Erre a scriptre ráférne egy frissítés! - '''TODO!'''

==Partíciók csatolásának szigorítása==
A partíciókat úgy csatoljuk fel, hogy csak a ''/'' (esetleg még a ''/srv'' vagy ''/srv/chroot'') partíció legyen írható és futtatható egyszerre. Célszerű a telepítő által létrehozott ''/etc/fstab file''-t két példányban lemásolni:
<pre>cp /etc/fstab /etc/fstab.secure
cp /etc/fstab /etc/fstab.unsecure</pre>
és az alábbi táblázat szerint kitölteni (a táblázat forrása a [http://www.szabilinux.hu/bw/bw00.html Zákány-dolgozatban] található):
{| border="1" cellpadding="5" cellspacing="0" align="left"
|-
! style="background:#efefef;" | partíció
! style="background:#efefef;" | fstab.secure
! style="background:#efefef;" | fstab.unsecure
|-
| root
| acl,defaults,errors=remount-ro
| acl,defaults,errors=remount-ro
|-
| srv/chroot
| acl,defaults
| acl,defaults
|-
| boot
| ro,nosuid,noexec,nodev,acl,defaults
| acl,defaults
|-
| tmp
| nosuid,noexec,nodev,acl,defaults
| acl,defaults
|-
| usr
| ro,nodev,acl,defaults
| acl,defaults
|-
| var
| nosuid,noexec,nodev,user_xattr,acl,defaults
| user_xattr,acl,defaults
|-
| var/www
| nosuid,noexec,nodev,user_xattr,acl,defaults
| user_xattr,acl,defaults
|} 
'''Megjegyzés:''' a táblázat szerinti beállításokkal engedélyezzük a Posix ACL-ek és a ''/var'' jellegű partíciókon a kiterjesztett fájlattribútumok használatát is.

'''Megjegyzés:''' SSD meghajtó esetén célszerű a ''discard'' opcióval engedélyezni a [http://en.wikipedia.org/wiki/Trim_%28computing%29 TRIM] használatát minden partíción (a ''swap'' partíción is!).

Ezt követően, a mindenkori ''fstab'' felülírása után, egy partícióra vonatkozóan a biztonságos és az engedékeny konfiguráció között a
<pre>mount -o remount /XXX</pre>
paranccsal válthatunk.

Ahhoz, hogy biztonságos konfigurációban is lehessen csomagot telepíteni, illetve rendszert frissíteni, hozzunk létre egy bejegyzést az ''apt.conf.d'' könyvtárban (ügyeljünk arra, hogy a shell scripttől eltérően a megjegyzés jele a //):
<pre>mcedit /etc/apt/apt.conf.d/10security</pre>
<pre>-rw-r--r-- root root /etc/apt/apt.conf.d/10security

// Lehetove teszi az apt hasznalatat szigoruan csatolt particiok eseten.
// garancsi.attila@mimoza.hu 2005-04-07

DPkg::Pre-Invoke {
"/bin/mount -o remount,rw /boot";
"/bin/mount -o remount,exec,suid /tmp";
"/bin/mount -o remount,rw /usr";
"/bin/mount -o remount,exec /var";
};

DPkg::Post-Invoke {
"/bin/mount -o remount /boot";
"/bin/mount -o remount /tmp";
"/bin/mount -o remount /usr";
"/bin/mount -o remount /var";
};</pre>
Ezután az ''apt'' használatához már nem kell remountolni (de a szimpla ''dpkg''-hoz - pl. kernel frissítés - vagy ''tarball''-ból telepítéshez igen!)
==Felesleges szolgáltatások leállítása==
A Jessie-ben már a [http://www.freedesktop.org/wiki/Software/systemd/ systemd system and service manager] az alapértelmezett eszköz a szolgáltatások kezelésére, emiatt - a korábbi Debian kiadásokkal ellentétben - a ''/etc/rc${runlevel}.d/'' illetve ''/etc/init.d/'' alatti állományok és linkek szerkesztése, illetve a ''sysv-rc-conf'' használata elavult. Így a
<pre>systemctl list-unit-files --type=service
systemctl enable SERVICE
systemctl disable SERVICE</pre>
parancsok szolgálnak a telepített szolgáltatások listázására, illetve egy-egy szolgáltatás permanens engedélyezésére vagy letiltására (bővebben ld. pl. [https://fedoraproject.org/wiki/SysVinit_to_Systemd_Cheatsheet itt] vagy [http://dynacont.net/documentation/linux/Useful_SystemD_commands/ itt]). Igyekezzünk tehát a fentieket kizárólag a ''systemctl'' használatával megoldani.
===Publikus TCP/IP szolgáltatások feltérképezése===
A nyitott portokról és az azokon figyelő szolgáltatásokról az alábbi parancsok adnak közelítő tájékoztatást:
<pre>netstat -tanu | egrep '(LISTEN)|(ESTAB)' | less
lsof -i | grep 'LISTEN' | less</pre>
Át kell nézni a kapott adatokat, és a szolgáltatásokról egyenként eldönteni, hogy van-e velük teendő. A ''netstat'' szerint, a leírt alaptelepítés után az alábbi, potenciálisan távolról is elérhető szolgáltatások futnak:
{| border="1" cellpadding="5" cellspacing="0" align="left"
|-
! style="background:#efefef;" | Szolgáltatás
! style="background:#efefef;" | Port
! style="background:#efefef;" | Leírás
! style="background:#efefef;" | Teendő
|- ! style="vertical-align: top;"
| exim4
| TCP:25
| SMTP szerver (levélküldés és -fogadás).
| Szükséges. Kihelyezés után a szervernek tudnia kell levelet fogadni, így ellenőrzendő, hogy ezt a forgalmat a tűzfalon beengedjük-e.
|- ! style="vertical-align: top;"
|- ! style="vertical-align: top;"
| sshd
| TCP:22 (vagy ahova konfiguráltuk)
| Biztonságos távoli shell.
| Szükséges, ellenőrizni kell, hogy a tűzfalon beengedjük-e.
|} 
''Megjegyzés: a fenti lista változhat, a netstat eredményét minden esetben egyedileg kell kiértékelni!''

==Egyéb eszközök, scriptek==
Hagyományosan minden rendszergazda ír egy halom ravasz, cron-ból futtatott scriptet a biztonsági problémák felderítésére, monitorozására. Egy ilyen gyűjtemény a
[http://savannah.nongnu.org/projects/tiger TAMU Security Tools: Tiger], amelyet Javier Fernández-Sanguino Pena, a Debian Security Audit Team [http://packages.qa.debian.org/t/tiger.html egyik tagja] (és a [http://www.debian.org/doc/manuals/securing-debian-howto Securing Debian Manual] szerzője) portolt Debianra. Egyetlen hátulütője, hogy ősrégi; 2008-as verzió szerepel a csomagban (sajnos újabb nem létezik).

Érdemes a Tigert a ''rootkit''-ek keresésére szakosodott ''chkrootkit'' csomaggal együtt telepíteni:
<pre>apt-get install --no-install-recommends chkrootkit tiger # mert a Tripwire most nem kell</pre>
A Debian ''tiger'' csomagja ''recommends'' függőségként hozná magával a [http://sourceforge.net/projects/tripwire/ Tripwire IDS] csomagot, amit egyelőre nem használunk ('''TODO!'''), valamint a [http://en.wikipedia.org/wiki/John_the_Ripper John the Ripper] jelszótörőt, amire (nem lévén interaktív felhasználóink) nincs szükségünk, ezért ezeket a telepítésből kihagyjuk.

A Tiger moduláris felépítésű, a futtatandó modulok a ''/etc/tigerrc'' állományban vannak felsorolva. Az alapértelmezések megfelelnek, azonban a kifelé szolgáltatást nyújtó processzek listáját, a kifelé szolgáltatást nyújtó processzek felhasználóinak listáját és kötelezően futtatandó processzek listáját karban kell tartani. Alaptelepítés esetén az alábbiak tűnnek jó beállításnak:
<pre>-rw-r--r-- root root /etc/tiger/tigerrc
[...]
Tiger_Listening_ValidUsers='Debian-exim|root'
[...]
Tiger_Listening_ValidProcs='dhclient|exim4|inetd|ntpd|snmpd|sshd'
[...]
Tiger_Running_Procs='/usr/sbin/acpid /usr/sbin/atd /usr/sbin/cron /usr/sbin/exim4 /usr/sbin/ntpd /usr/sbin/sshd /usr/sbin/snmpd /usr/sbin/syslog-ng'</pre>
A Tiger modulok futtatását nem közvetlenül a ''crontab'' ütemezi, hanem van egy indirekció: a ''/etc/cron.d''-ben elhelyezett bejegyzés minden egész órában végrehajtja a ''/etc/tiger/cronrc''-ben előírt vizsgálatokat (gyakrabbra ütemezni nem lehet). Ezt az állományt szabadon át lehet szerkeszteni, én a következőket állítottam be (nagyjából ezek az alapértelmezések - részletesen ld. a commentekben):
* 4 óránként netstat, futó processzek ellenőrzése;
* 8 óránként behatolás nyomainak kutatása;
* naponta egyszer system check (sokmindent ellenőriz);
* naponta egyszer account-ok ellenőrzése;
* naponta egyszer rendszerfile-ok tulajdonosainak és engedélyeinek ellenőrzése.
A többi ellenőrzés ritkábban fut le.
<pre>mv /etc/tiger/cronrc /etc/tiger/cronrc.bak
mcedit /etc/tiger/cronrc</pre>
<pre>-rw-r--r-- root root /etc/tiger/cronrc

# Tiger's cronrc - hourly scan schedule
# Parsed by tigercron called hourly from cron.d
#
# H D DOW whitespace-separated Tiger's script list (no line wrap!)

# Checking listening processes and "must-be" running processes.
0,4,6,10,14,18,20 * * check_listeningprocs check_runprocs

# Checking for known intrusion signs, rootkits, logfiles persistence and rights,
# /root directory ownership and rights, root user's common access.
0,8,16 * * check_known check_rootkit check_logfiles check_rootdir check_root

# Checks performed once a day

# Checking single user-mode password, boot loader file permissions, vulnerabilities
# in inittab configuration, correct umask settings for init scripts, logins not used
# on the system, network configuration. Verifying system specific password checks.
# Checking OS release, then installed packages vs Debian Security Advisories.
# Checking md5sums of installed files and installed files against packages.
1 * * check_system

# Checking accounts from /etc/passwd, /etc/hosts.equiv and .rhosts files, .netrc files,
# group files, entries from /etc/passwd and the format of passwd and group files.
2 * * check_accounts check_rhosts check_netrc check_group check_passwd check_passwdformat

# Checking system file permissions.
5 * * check_perms

# Checks performed once a week

# Checking inetd entries from /etc/inetd.conf, NFS exports, aliases from /etc/aliases,
# PATH components, crontabs and cron entries, anonymous FTP capabilities, printer configuration
# files, services with tcp wrappers. Analysing inetd entries from /etc/inetd.conf
3 * Mon check_inetd check_exports check_aliases check_path check_crontabs check_anonftp check_printcap check_tcpd

# Checks performed once a month

# Checking filesystem (TODO).
2 1 * find_files

# Checking services from /etc/services, correct umask settings, ftpusers(?),
# embedded pathnames(?), .exrc files.
1 2 * check_services check_umask check_ftpusers check_embedded check_exrc

# Checking device permissions.
2 3 * check_devices</pre>
Telepítés után érdemes lefuttatni egy komplett ellenőrzést:
<pre>tiger</pre>
az eredmény a ''/var/log/tiger'' alatt található (nem kell rotálni, a Tiger megteszi). A jelzett problémákat érdemes kijavítani. Ezután a Tiger cron-ból fut, és ha '''új eltérést''' talál, levelet küld.

==A fail2ban telepítése==
A [http://www.fail2ban.org/wiki/index.php/Main_Page fail2ban] egy ''framework'', amely hálózati szolgáltatások naplóinak figyelésére, és a szolgáltatással visszaélés (''abuse'', pl. SSH ''brute force'' vagy ''dictionary attack'') jeleit mutató távoli kliensek ideiglenes kitiltására szolgál a csomagszűrő tűzfal (''netfilter'') átmeneti átkonfigurálásával.
<pre>apt-get install fail2ban # Függőségként hozza magával a python-t</pre>
Telepítés után a ''fail2ban'' csak az SSH-t védi (ami nekünk egyelőre meg is felel). Ha van megbízható (''trusted'') IP címünk vagy tartományunk, amellyel szemben az SSH védelmet szeretnénk mellőzni (célszerűen megegyezhet a ''/etc/shorewall/hosts'' ''trs'' zónájával), készítsünk egy ''overlay'' állományt ennek megadására:
<pre>touch /etc/fail2ban/jail.d/ssh.conf; chmod 600 /etc/fail2ban/jail.d/ssh.conf
mcedit /etc/fail2ban/jail.d/ssh.conf</pre>
<pre>-rw------- root root /etc/fail2ban/jail.d/ssh.conf

[ssh]
ignoreip = IP.IP.IP.IP IP.IP.IP.IP/MASK</pre>
A beállítást a ''fail2ban'' újraindításával érvényesítsük:
<pre>systemctl restart fail2ban; tail -f /var/log/fail2ban.log # Jail 'ssh' started</pre>
A későbbiekben a védendő, egyéb szolgáltatások helyi beállításait is az ''ssh.conf''-hoz hasonlóan létrehozandó, ''/etc/fail2ban/jail.d/*.conf'' beállító állományokban adhatjuk meg.

''Opcionális'' gyors tesztként egy, a telepítés alatt álló szervert TCP-n keresztül elérő gépről (ne a saját munkaállomásunkról!) próbáljunk SSH-n sikertelenül bejelentkezni, és figyeljük a ''/var/log/fail2ban.log'' állományban az IP kitiltását, illetve 10 perc utáni újraengedélyezését. Ha megadtunk megbízható IP-t vagy tartományt, ellenőrizhetjük, hogy az innen indított sikertelen lekérésekre a kitiltás nem történik meg.

==Jogi csűrcsavar==
Talán nevetségesnek tűnik, de a [http://www.bastille-linux.org/ Bastille Linux] szerzői azt ajánlják, hogy írjunk egy figyelmeztetést, amely minden Linux login esetén megjelenik. Így ha valaki helyi vagy távoli konzolos belépéssel kerül a rendszerbe, akkor találkozik ezzel a figyelmeztetéssel, és utóbb nem mondhatja azt, hogy nem tudta, hogy tilosban jár, valamint nem panaszkodhat, hogy tevékenységét megfigyeltük, és ezzel megsértettük a személyiségi jogait. Tudom, hogy ez nagyon amerikai gondolkodás, de hátha (Al Caponét is adócsalásért sikerült, ugyebár)... A fentiek érdekében:

* Belépés előtt egy rövid, angol nyelvű figyelmeztetést adunk (egy [https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=326027 régi hiba] miatt, SSH belépéskor ékezetes szöveg itt nem használható). Ennek tartalmát konzolos belépéshez a ''/etc/issue'', SSH belépéshez a ''/etc/issue.net'' állományban adhatjuk meg; ebben a leírásban mindkettőnél azonos szöveget használunk:
<pre>-rw-r--r-- root root /etc/issue
-rw-r--r-- root root /etc/issue.net

********************************************************************************
NOTICE TO USERS

This computer system is the property of [OWNER].
It is for authorized use only. Users (authorized or unauthorized) may not have
any expectations - explicit or implicit - of privacy.

********************************************************************************
</pre>
Az ''sshd'' beállításaiban a banner szöveg megjelenítése alapértelmezetten ki van kapcsolva, ezért (a beállító állományban a vonatkozó sor kommentezésének megszüntetésével) ezt kapcsoljuk be:
<pre>-rw-r--r-- root root /etc/ssh/sshd_config

[...]
Banner /etc/issue.net
[...]</pre>
és az ''sshd'' újtaindításával érvényesítsük a beállítást:
<pre>systemctl restart sshd</pre>
* Belépés után egy hosszabb, két nyelvű figyelmeztetést jelenítünk meg (technikailag a ''message of the day'' szolgáltatással):
<pre>-rw-r--r-- root root /etc/motd

********************************************************************************
FIGYELMEZTETÉS A FELHASZNÁLÓKNAK

Ez a számítógépes rendszer a [TULAJDONOS] tulajdonát képezi.
A rendszert csak a megfelelő felhatalmazás birtokában lehet használni.
A rendszer jogosulatlan, illetve nem megfelelő használata munkajogi, polgári
jogi és büntetőjogi felelősségre vonást vonhat maga után.

A rendszerbe való belépést, a rendszer bármilyen módon történő használatát
a tulajdonos megfigyeli, rögzíti, ellenőrzi és erről szükség esetén tájékoztatja
a munkaadót, az intézkedésre jogosult hatóságokat, kormányzati és nyomozati
szerveket, ügyészséget, bíróságot, az illetékes hatóságok hivatalnokait, továbbá
a jogosulatlan használattal érintett magánszemélyeket, társaságokat és egyéb
szervezeteket.

A rendszerbe való belépéssel a Felhasználó hozzájárul az ily módon történő
megfigyeléshez, rögzítéshez, ellenőrzéshez, az adatok – ide értve a felhasználó
által megadott személyes adatokat is – tárolásához, továbbadásához, célhoz
kötött felhasználásához. Az adatok kezelése a mindenkor hatályos adatvédelmi
jogszabályoknak megfelelően történik.

A Felhasználónak sem implicit, sem explicit elvárásai, követelései, kártérítési
igényei nem lehetnek a titoktartással és a fentiekkel összefüggésben.

A Felhasználó a belépéssel a fentieket elfogadja és magára nézve kötelezőnek
ismeri el.

********************************************************************************
NOTICE TO USERS

This computer system is the property of [OWNER].
It is for authorized use only. Unauthorized or inappropriate use of this
system may result in labor law procedures, administrative or disciplinary
action and might induce civil and criminal liability.

Access to this system is monitored, recorded, and checked by the owner of the
system who might disclose it to the employer, law enforcement authorities,
government agencies and investigative, prosecutorial, judicial, officials of
the competent authorities, as well as to private individuals, companies and
other organizations involved.

By access to this system, Users consent to such monitoring, recording, checking
and also to the storing, forwarding and utilizing data – including the Users'
personal data. Data management is performed according to the effective
regulations on the protection of personal data.

Users may not have any expectations (explicit or implicit) of privacy.

By access to this system Users indicate awareness of and consent to these
terms and conditions.

********************************************************************************
</pre>
* Gyorsteszt: a következő belépés során a név és jelszó vagy kulcs megadása előtt a rövidebb, sikeres belépés esetén a hosszabb szövegváltozat is megjelenik.

==Publikus környezetbe kihelyezés==
A biztonsági megerősítést követően a szerver publikus környezetbe (DMZ, ''production'') kihelyezhető. A kihelyezésnél figyeljünk:
* a statikus IP megadására (''/etc/network/interfaces'');
* a ''/etc/resolv.conf''-beli nameserver megadására (127.0.0.1 ha fut rajta cacheing DNS), a belső hálózati nameserver bejegyzés kommentezésére (vigyázat, ha nem védjük meg, a DHCP kliens ezt periodikusan felülírja!);
* a domain név esetleges megváltoztatására (''/etc/hosts'');
* a levelezés átkonfigurálására:
<blockquote>
<pre>mount -o remount,exec /var # Szigorú csatolás esetén
dpkg-reconfigure exim4-config</pre>
átállítása "internetes gép" konfigurációra (minden más maradhat). Ezután ellenőrizzük, hogy a szerver milyen FQHN-vel (''Fully Qualified HostName'') jelentkezik be levélküldéskor:
<pre>echo "Teszt" | mail -s Teszt helocheck@cbl.abuseat.org; tail -f /var/log/exim4/mainlog</pre>
Ez egy azonnal visszapattanó levelet eredményez, amelybe a ''helocheck'' beleírja az általunk ténylegesen használt FQHN-et. Ha ez nem egyezne meg a
<pre>dig -x IP.IP.IP.IP # szerver publikus IP címe</pre>
paranccsal megtudható reverse-zel, akkor manuálisan állítsuk be a helyes (reverse) FQHN-et. Ennek Exim-barát módja az alábbi extra konfigurációs állomány használata:
<pre>-rw-r--r-- root root /etc/exim4/conf.d/main/99_exim4-config_custom_settings
[...]
# Custom settings - nor provided by maintainer,
# nor customizable by Debian automagic

[...]
REMOTE_SMTP_HELO_DATA = "helyes.reverse.FQHN"</pre>
Érvényesítsük a beállításokat:
<pre>/usr/sbin/update-exim4.conf; systemctl reload exim4</pre>
és ismételjük meg a ''helocheck'' tesztet. Siker esetén állítsuk helyre a ''/var'' szigorú csatolását:
<pre>mount -o remount /var</pre>
</blockquote>
* szigorú partíció-csatolásra (''/etc/fstab.secure'').
* Ha a gép előtt valamilyen hálózati forgalomszűrés történik (DMZ) azt is be kell állítani.
* Ügyeljünk arra, hogy nyilvánosan elérhető gépeken mindig erős (lehetőleg generált) jelszavak legyenek!

==Olvasnivaló==
* [http://www.szabilinux.hu/bw/bw00.html Biztonságos Web-szerver kialakítása Debian GNU/Linux 2.2 rendszeren]
* [http://www.debian.org/doc/manuals/securing-debian-howto/ Securing Debian Manual]

Debian szerver általános biztonsági beállításai (Jessie) - Laptörténet

KZoli: Új oldal, tartalma: „Ez a fejezet egy Debian Jessie szervergép nyilvános elérésűvé tételéhez minimálisan szükséges beállításokkal foglalkozik. Feltételezzük, hogy a szerver…”