Безопасность и оптимизация Linux.Редакция для Red Hat



         

Организация защиты Squid


Больший контроль над смонтированным кэш-каталогом Squid

Если вы создаете кэш-каталог для Squid в независимом разделе вашей Linux системы (например, /cache), подобно тому как мы делали во время инсталляции, тогда вы можете использовать опции noexec, nodev и nosuid для улучшения и укрепления безопасности кэша. Эти параметры могут быть установлены в файле “/etc/fstab” и дают указания системе не исполнять любые двоичные файлы (noexec), не интерпретировать символьные и блочные специальные устройства (nodev) и не позволять действовать битам set-user-identifier или set-group- identifier (nosuid) на монтированной файловой системе (/cache, например). Примените эту процедуру на раздел, где располагается кэш Squid, чтобы предотвратить возможность DEV, SUID/SGID и выполнения любых двоичных файлов.

Например, предположим на разделе “/dev/sda8” располагается каталог “/cache”. Вы должны редактировать файл fstab (vi /etc/fstab) и изменить строку, связанную с “/dev/sda8”:

/dev/sda8 /cache ext2 defaults 1 2

должна быть:

/dev/sda8 /cache ext2 noexec,nodev,nosuid 1 2

ЗАМЕЧАНИЕ. Вы должны перезагрузить систему, чтобы изменения вступили в силу.

Иммунизация важных конфигурационных файлов

Как мы знаем, бит “постоянства” может быть использован для предотвращения удаления, переписывания или создания символической ссылки к файлу. Так как файл “squid.conf” уже настроен, хорошей идеей будет иммунизировать его:

[root@deep /]# chattr +i /etc/squid/squid.conf




Содержание  Назад  Вперед