| | 1 | = Wytyczne bezpieczeństwa = |
| | 2 | |
| | 3 | == 1. Bezpieczeństwo fizyczne == |
| | 4 | * Dostęp do BIOS'u (Basic Input/Output System) serwera powinien być zabezpieczony hasłem. |
| | 5 | * Możliwość uruchamiania systemu z urządzeń innych niż wewnętrzny dysk twardy (np. USB, CD-ROM, floppy drive) powinna być zablokowana. |
| | 6 | * Bootloader systemu powinien być zabezpieczony hasłem (np. GRUB). |
| | 7 | |
| | 8 | == 2. Bezpieczeństwo systemu operacyjnego Linux == |
| | 9 | * W systemie operacyjnym powinno być zainstalowane tylko niezbędne oprogramowanie wymagane do działania systemu. |
| | 10 | * Niepotrzebne usługi powinny być wyłączone, a oprogramowanie odinstalowane (np. xserver, udostępnianie systemów plików NFS/SMB, narzędzia do kompilacji gcc/g++ itp.). |
| | 11 | * Dla punktów montowań takich jak: /, /var, /var/log, /usr, /tmp, /home powinny być stworzone osobne systemy plików. |
| | 12 | [[BR]]Systemy plików powinny być montowane z odpowiednimi opcjami (np. dla /tmp nodev,nosuid,noexec). |
| | 13 | * System operacyjny powinien być na bieżąco aktualizowany (szczególnie dotyczy to aktualizacji bezpieczeństwa). |
| | 14 | * Dostęp do Cron'a dla nieuprzywilejowanych użytkowników powinien być ograniczony (/etc/cron.allow, cron.deny). |
| | 15 | * Wiadomość powitalna wyświetlana przy próbie logowania powinna jednoznacznie informować, że dostęp od serwera jest dozwolony tylko dla autoryzowanych osób. |
| | 16 | |
| | 17 | == 3. Polityka haseł == |
| | 18 | * Hasła użytkowników systemu powinny być silne tzn. nie powinno być krótsze niż 10 znaków, zawierać duże i małe litery oraz cyfry i znaki specjalne. |
| | 19 | [[BR]]Wymagania dotyczące haseł powinny być weryfikowane przez biblioteki takie jak libpam-cracklib i/lub libpam-pwquality. |
| | 20 | * Hasła powinny być regularnie zmieniane (np. co 90 dni). |
| | 21 | |
| | 22 | == 4. Zabezpieczenia sieci == |
| | 23 | === 4.1 Firewall === |
| | 24 | * Dostęp do serwera przez sieć powinien być zabezpieczony firewall'em. |
| | 25 | * Usługa SSH powinna być dostępna tylko dla ograniczonej liczby adresów IP. |
| | 26 | * Dostęp do HTTPS powinien być ograniczony dla wybranych prefiksów adresów IP (geolokalizacja adresów IP). |
| | 27 | * Protokół IPv6 jeśli nie jest używany powinien być wyłączny. |
| | 28 | * Przekazywanie pakietów między interfejsami sieciowymi powinno być wyłączone (IP forwarding). |
| | 29 | === 4.2 Zdalny dostęp przez SSH === |
| | 30 | * Domyślny port 22 powinien być zmieniony na inny np. 2134. |
| | 31 | * Logowanie jako użytkownik root powinno być zablokowane. |
| | 32 | * Autentykacja powinna być dokonywana z użyciem pary kluczy (public/private). |
| | 33 | * Usługa SSH powinna być zabezpieczona przed atakami typu brute-force (np. przez wykorzystanie aplikacji fail2ban). |
| | 34 | |
| | 35 | == 5. Logowanie zdarzeń == |
| | 36 | * Informacje pochodzące ze standardowych źródeł powinny być rejestrowane za pomocą programu syslog. |
| | 37 | [[BR]]Zalecane jest logowanie na zdalny serwer logów. |
| | 38 | * Logi powinny być na bieżącą przeglądane w celu wykrycia potencjalnych problemów (logwatch, swatch). |
| | 39 | * Zegar systemowy powinien być prawidłowo ustawiony (zalecane jest używanie protokołu NTP). |
| | 40 | |
| | 41 | == 6. Kopie bezpieczeństwa == |
| | 42 | * Kopie baz danych powinny być robione za pomocą dedykowanych narzędzi. |
| | 43 | * Kopie system operacyjnego powinny być robione na zdalne host lub zewnętrzne nośniki. |
| | 44 | |
| | 45 | == 7. Dodatkowe zabezpieczenia == |
| | 46 | * System operacyjny powinien być zabezpieczony mechanizmami typu Mandatory Access Control (MAC) (np. AppArmor). |
| | 47 | * Zalecane jest uszczelnienie słabych punktów systemu za pomocą narzędzi z pakietu Bastille Linux. |
| | 48 | * Zaleca się dokonywanie testów integralności plików systemu za pomocą narzędzi takich jak AIDE, Tripwire. |
| | 49 | * Komunikacja sieciowa serwera może być dodatkowo zabezpieczona za pomocą systemów IPS/IDS (np. Snort). |
