ลีนุกซ์ (Linux) : superuser

ปรับปรุง : 2566-02-17 (ปรับรุ่นเป็น 9.0)

0952

9.52 ปรับระบบให้แข็งแรง
: ได้รับคำแนะนำดี ๆ จากผู้รู้ จึงนำมาเขียนไว้ที่นี่

apples@chek.com ซึ่งดูแลระบบของ http://academic.cmri.ac.th แนะนำมาหลายเรื่อง เช่นน่าจะใช้ slackware หรือ Mandrake เพราะระบบแข็งมาก สำหรับการป้องกันในเบื้องต้นมีดังนี้

chmod 700 /usr/lib/gcc-lib <-- ไม่ให้ใช้ library สำหรับ compile *ส่วนนี้สำคัญมาก*
chmod 700 /usr/bin/cc <-- cc compile
chmod 700 /usr/bin/c++ <-- c++ compile
chmod 700 /usr/bin/g++ <-- g++ compile
chmod 700 /usr/bin/make <-- ไม่ให้ make 
chmod 700 /usr/bin/gmake <-- gmake อีกอัน
chmod 700 /etc/rc.d <-- ไม่ให้ไปยุ่งและสังเกตกะระบบ Network & initial
Process lpd rpc.* <-- ถ้าไม่ใช้ไม่ต้องรันครับ :)
- ไปพิมพ์คำว่า exit 0 ที่บรรทัดแรกของแฟ้ม /etc/rc.d/init.d/lpd
ส่วน rpc ผมยังหาวิธีไม่ run เมื่อ boot ไม่ได้ครับ ต้อง kill process โดยดูจาก ps -aux|grep rpc

FTP Server <-- เป็นไปได้เปลี่ยนจาก wu-ftpd เป็น proftpd นะครับ
IMAP <-- ถ้าเป็นไปได้ให้ใช้เฉพาะ Localhost เท่านั้นครับ **ต้องได้สิครับ**
/sbin/ipchains -A input -s 0/0 -i eth0 --proto tcp --destination-port 143 -j REJECT

water_overflow@hackermail.com ซึ่ง hack ระบบของเรา และแนะนำทีมงานมาดังนี้
1. upgrade glibc จาก http://www.redhat.com/support/errata/RHSA-2001-002.html จะได้แฟ้มมาหลายแฟ้ม แล้วใช้ rpm -Fvh [filename]
2. chmod 4700 /bin/mount webmaster@isinthai.com ส่วนนี้ผมไปอ่านมาจาก thailinux.com
4 มิถุนายน 2544 : ตัดสินใจปิด telnet แต่เปิดบริการทั้งหมด โดย upgrade โปรแกรมจาก redhat.com

ftp://updates.redhat.com/6.2/en/os/i386/glibc-2.1.3-22.i386.rpm
ftp://updates.redhat.com/6.2/en/os/i386/inetd-0.16-7.i386.rpm
และอีกมากมาย

ลบทุกโปรแกรมในห้อง /home/ftp/bin และ /home/ftp/lib ซึ่งยังไม่พบปัญหาจากการลบ และ อ.dav แนะนำให้ผมใช้ ssh ติดต่อกับ server แทนการเข้า console ก็ต้องลองดูครับ ส่วน tcpwrapper ตามหัวข้อ 9.54 ได้แก้จากการ deny all:all เป็นการปิดเฉพาะ telnet เพราะถ้าปิดหมด จะไม่สามารถให้บริการ pop ได้ จึงต้องปิดเฉพาะ in.telnetd 8 มิถุนายน 2544 : ล้างระบบแฟ้มน ftp ทั้ง /home/ftp/bin /home/ftp/etc /home/ftp/lib เรียกโปรแกรม ntsysv เพื่อจัดการกับโปรแกรมที่มีปัญหา ลบ apmd atd crond gpm kudzu lpd netfs nfslock pcmcia portmap xfs เหลือ httpd inetd inet linuxconf mysql named network sendmail เท่านั้น แก้ inetd.conf โดยปิด shell login talk ntalk finger แก้ chown ของ /home/httpd/html เป็น root:root แก้ chmod ของ /home/httpd/cgi-bin เป็น 755 แก้ /etc/rc.d/rc.local เพิ่ม /sbin/ipchains -A input -s 0/0 -i eth0 --proto tcp --destination-port 143 -j REJECT 11 มิถุนายน 2544 : ปิด /tmp ด้วย chmod 400 เดิมเป็น 1777 แก้ /etc/inetd.conf ยกเลิก login, shell และ telnet แก้ linuxconfig, control service activity ยกเลิก sendmail Upgrade rpm จาก http://www.redhat.com สำหรับการ ลงโปรแกรม ถ้า upgrade ด้วย rpm -Fvh .. ไม่ได้ ให้ใช้ลงใหม่ด้วย rpm -i .. ต้องจัดลงโปรแกรม db3... ก่อน มิเช่นนั้นโปรแกรมอื่นจะลงไม่ได้

ftp://updates.redhat.com/6.2/en/os/i386/db3-3.1.17-4.6x.i386.rpm
ftp://updates.redhat.com/6.2/en/os/i386/dump-0.4b19-5.6x.i386.rpm
และอีกมากมาย

12 มิถุนายน 2544 : upgrade โปรแกรมอีกเพียบจาก redhat.com

ftp://updates.redhat.com/6.2/en/os/i386/apache-1.3.14-2.6.2.i386.rpm
ftp://updates.redhat.com/6.2/en/os/i386/kernel-doc-2.2.19-6.2.1.i386.rpm
และอีกมากมาย

แล้วเปิดบริการ SSH พร้อม restricted shell ตามข้อ 9.53

---

สารบัญ

"ไม่เริ่มต้นในวันนี้ จะไม่มีทางสำเร็จในวันพรุ่ง" โดย โยฮัน ว็อล์ฟกัง ฟ็อน เกอเทอ

Thaiall.com

Truehits.net