סקוניל יתרשל תושקתה תחטבאל םיפיט 25

.הרוצתו תושימג תויורשפא רתוי עיצמ לבא סקוניל תא להנל רתוי השק .רתוי החטבאל תכרעמה תכיפהב רוזעל יושעש ךלש ךרוצה יפל תישיא םיאתהלו ותוא ןווכל ךירצ .לדחמ תרירבכ םוקמב הנבומ החטבא לדומ שי סקונ

.ךלש תכרעמה תחטבא תא ביחרהל ךל ורזעי ןלהל םיקירטו םיפיט ,הווקמ .ךלש סקונילה תכרעמ תחטבאל םיישומיש םיקירטו םיפיט 25 ריבסנ הז טסופב ." סקוניל תבית תחשקה "וא" סקוניל תבית תחטבא ןפוא"ל רושקש ו

תיזיפ תכרעמ תחטבא .1

.ךלש תכרעמל תיזיפה השיגה תא ליבגהל ידכ המסיס תועצמאב GRUB לע םג ןגהו BIOS -ה תמסיס תא לעפה ,ןכמ רחאל .BIOS -ב םינוטילקת ןנוכ ,םיינוציח םינקתה ,DVD/רוטילקתמ לוחתא תיבשהל ידכ BIOS -ה תא רד

    קסיד תוציחמ .2

    .opt/תחת תודרפנ םיצבק תוכרעמב ישילש דצ ימושיי ןיקתהל שי יכ אדוו תואבה תודרפנ תוציחמ לעב תויהל ךילע יכ אדו .ודרש תורחא תוציחמ לע םינותנה דועב ,ועגפיי וז הציחמ לש םינותנ קר ,היופצ יתלב הנו

    /
/boot
/usr
/var
/home
/tmp
/opt

    תועיגפ םומינימל תוליבח םצמצ .3

    .3 הגרד תמרב םילעופה םיתוריש תולגל ידכ 'chkconfig' הדוקפב שמתשה .תועיגפה תא רעזמל ידכ תרשהמ םייוצר אל םיתוריש תבשה וא רסהו אצמ .םירחא םיתורישב העיגפל ליבוהל הלולע דחא תוריש לש הרשפהש ןוכיס

    # /sbin/chkconfig --list |grep '3:on'

    .האבה הדוקפה תועצמאב םתוא תבשה ,לעופ יוצר אל תורישש הלגתש רחאל

    # chkconfig serviceName off

    .האבה הדוקפה תועצמאב ןתוא ריסהלו תכרעמב תונקתומה תוליבחה לכ תא םושרל ידכ "apt-get" וא "yum" םילכ ןוגכ RPM תוליבחה להנמב שמתשה

    # yum -y remove package-name
    # sudo apt-get remove package-name

      הנזאה תשר תואיצי קודב .4

      .תכרעמהמ םייוצר אלה תשרה יתוריש לכ תא תיבשהל ידכ 'chkconfig' הדוקפב שמתשה ליעל יתרמאש יפכ .ןהילא תוכיושמה תוינכותהו תוחותפה תואיציה לכ תא גיצהל ולכות 'netstat' תשר תדוקפ תרזעב

      # netstat -tulpn

        (SSH) תחטבואמ תפטעמב שמתשה .5

        .תרשה םע תרושקת ךלהמב הנפצה תייגולונכטב שמתשמה חטבואמ לוקוטורפ אוה SSH .החטבאה תורפה תא הווהמש ןפצומ טמרופב אלו ,ליגר טסקטב םישמתשמ rlogin -ו Telnet ילוקוטורפ

        .VI ךרועב חתפנש "visudo" תורישה ילכ תועצמאב ךורעל םג ןתינ etc/sudoers/ץבוקב םירדגומ sudo .תודוקפ עוציבל" ודוס"ב שמתשה .ךכב ךרוצ שי ןכ םא אלא שרושכ תורישי סנכית לא םלועל

        .םישמתשמל השיגה תא ליבגהל ידכ םיאבה םירטמרפ המכ עצבו SSH לש ישארה הרוצתה ץבוק תא חתפ .רתוי ההובג המרב רחא האיצי רפסמ םע SSH 22 תאיצי לש לדחמ תרירב רפסמ תונשל םג ץלמומ

        # vi /etc/ssh/sshd_config
        PermitRootLogin no
        AllowUsers username
        Protocol 2

          תכרעמה תא ןכדע .6

          .םינימז םה רשאכ הבילהו החטבאה ינוקית ,םינורחאה תואסרגה ינוקית םע תנכדועמ תכרעמה תא דימת ראשה

          # yum updates
# yum check-update

          םירורחש תליענ .7

          .cron.deny ץבוקל 'ALL' הרושה תא ףסוה ,cron -ב םישמתשמה לכב שומישה תא תיבשהל ךנוצרב םא .cron.allow ץבוקב cron add ץירהל שמתשמל רשפאל ידכו cron.deny -ב םישמתשמ תומש ףסוה טושפ ,cron תועצמאב ש

          # echo ALL >>/etc/cron.deny

            יוהיזל USB לקמ תבשה .8

            .USB ןוסחא הלגת אל הרושל תחתמ הפסוהו 'etc/modprobe.d/no-usb/' ץבוק רוצ .הבינג ינפמ םינותנ חיטבהלו ןגהל ידכ תוכרעמב USB לקמב שמתשהל םישמתשמ ליבגהל םיצור ונחנאש הרוק הז תובר םימעפ

            install usb-storage /bin/true

            SELinux תא לעפה .9

            .רתוי הילע בושח זא ,רוביצל השיגנו טנרטניאל תרבוחמ ךלש תכרעמה םא ,ריסתש ינפל תוריהזב םיימעפ בושח .תכרעמהמ החטבאה ןונגנמ תרסה השוריפ SELinux תתבשה .הבילב קפוסמה השיג תרקבל הבוח החטבא ןונגנמ

            SELinux םהו םייסיסב הלועפ יבצמ השולש קפסמ.

              .'sestatus' וא 'system-config-selinux', 'getenforce' תודוקפ תועצמאב הדוקפה תרושמ SELinux בצמ לש יחכונה בצמה תא גיצהל ךתורשפאב

              # sestatus

              .האבה הדוקפה תועצמאב SELinux לעפה ,תבשומ אוה םא

              # setenforce enforcing

              .ותוא תיבשהל וא ליעפהל ולכות םש ,'etc/selinux/config /' ץבוקמ ותוא להנל םג ןתינ

              KDE/GNOME לש הדובעה תונחלוש תא רסה .10

              .האבה הדוקפב שמתשה תכרעמהמ ןיטולחל ותוא ריסהל ךנוצרב םא .3- ל הצירה תמר תא רדגהו 'etc/inittab /' ץבוקה תא חתפ טושפ תיבשהל ידכ .םיעוציבהו תרשה תחטבא תא ריבגהל ידכ םתוא תיבשהל וא ריסהל ךתו

              # yum groupremove "X Window System"

              IPv6 תא הבכ .11

              .ותוא תיבשהל ידכ תובקוע תורוש ףסוהו תשרה תרוצת ץבוקל רובע .תרשב שרדנ וניא אוה עגרכו IPv6 לוקוטורפל םישרדנ םניא תוינידמה וא םימושייה בורש ןוויכמ ותוא תיבשהל ךילע ,IPv6 לוקוטורפב שמתשמ ךניא

              # vi /etc/sysconfig/network
              NETWORKING_IPV6=no
IPV6INIT=no

              תונשי תואמסיסב שמתשהל םישמתשמה תא לבגה .12

              .PAM לודומ תועצמאב תאז גישהל ןתינ .etc/security/opasswd/תבותכב אצמנ ןשיה המסיסה ץבוק .תונשי תואמסיס ןתואב שמתשהל םישמתשמל רשפאל הצור התא םא ישומיש דואמ הז

              .RHEL/CentOS/Fedora תחת 'etc/pam.d/system-auth/' ץבוקה תא חתפ

              # vi /etc/pam.d/system-auth

              .הטנמ סקוניל/ןאיבד/וטנובוא תחת 'etc/pam.d/common-password/' ץבוקה תא חתפ

              # vi /etc/pam.d/common-password

              .'תומיא' עטקל האבה הרושה תא ףסוה

              auth        sufficient    pam_unix.so likeauth nullok

              .ולש תונורחא תואמסיס שמחב שדחמ שמתשהל שמתשמל רשפאל ידכ 'המסיס' עטקל האבה הרושה תא ףסוה

              password   sufficient    pam_unix.so nullok use_authtok md5 shadow remember=5

              .ומכ האיגש לבקת ,תונורחאה תונשיה תואמסיסה שמחמ תחאב שמתשהל תיסינ םא .תרשל תורוכז תונורחא תואמסיס 5 קר

              Password has been already used. Choose another.

              שמתשמה תמסיס תגופת תא קודבל דציכ .13

              .ולש המסיסה תא תונשל שמתשמה לע יתמ טילחהל תכרעמה תא םישמשמ הלא םיטרפ .ןורחאה המסיסה יוניש ךיראת םע דחי המסיסה תגופת יטרפ לע עדימ גיצמ אוה .'chage' הדוקפב שמתשהל ךילע ,שמתשמה לש המסיסה תגופ

              .האבה הדוקפב שמתשה ,הגופת ךיראתו הגופת ךיראת ןוגכ ,םייק שמתשמ לכ לש תונקדזהה עדימ תא גיצהל ידכ

              #chage -l username

              .האבה הדוקפב שמתשה ,שמתשמ לכ לש המסיסה תונקדזה תא תונשל ידכ

              #chage -M 60 username
#chage -M 60 -m 7 -W 7 userName

                ינדי ןפואב ןובשח תליענו לענ .14

                .האבה הדוקפב שמתשהל לוכי התא ,יפיצפס שמתשמ לוענל ידכ .שדוח וא עובש ךשמל ותוא לוענל לוכי התא ,תכרעמהמ ןובשח ריסהל םוקמב ,תוישומיש דואמ הליענהו הליענה תונוכת

                # passwd -l accountName

                .ןלהל המוד האיגש לבקי אוה ,הז ןובשח תועצמאב תכרעמל תשגל הסנמ והשימ םא .(!) תזורחמב תנפצומ המסיס תפלחה ידי לע תעצבתמ הליענה .דבלב יסיסב שמתשמל ןימז ןיידע לוענה שמתשמה :הרעה

                # su - accountName
This account is currently not available.

                .תנפצומ המסיס םע תזורחמ (!) ריסת וז הלועפ .-כ הדוקפב שמתשה ,לוענ ןובשחל השיג רשפאל וא חותפל ידכ

                # passwd -u accountName

                רתוי תוקזח תואמסיס תפיכא .15

                .ךרוע םע אבה ץבוקה תא חתפ .תוקזח תואמסיס רידגהל שמתשמה תא ץלאתש PAM (Modules Authentication Modules) לודומה תינסחמב ןימז 'pam_cracklib' לודומה .ירזכא חוכ וא ןולימ תוססובמ תופקתה תועצמאב הצ

                :םג ארק

                # vi /etc/pam.d/system-auth

                (תורחאו תורפס ,תולודג תויתוא ,תונטק תויתוא המאתהב ocredit וא/ו lcredit, ucredit, dcredit) כ יארשא ירטמרפ תועצמאב וק ףסוהו

                /lib/security/$ISA/pam_cracklib.so retry=3 minlen=8 lcredit=-1 ucredit=-2 dcredit=-2 ocredit=-1

                (שא תמוח) Iptables לעפה .16

                .יפיצפס udp/tcp תאיצי רפסמב לולשלו רשפאל ידכ דעיה תבותכו רוקמ תא ןייצל םילוכי ונא .תוריבעמו תואצוי ,תוסנכנ תונמ םיננסמ לע iptables -ב םיללכ לחה .ךלש םיתרשל תישרומ אל השיג חטבאל סקוניל לש

                  Inittab -ב קחמ + Ctrl + Alt תבשה .17

                  .תועטב תאז השוע והשימ םא ,רוציי יתרשב תוחפל וז תורשפא ליעפהל ץלמומ אל ,ןכל .שדחמ לוחתא ךילהתל ךלש תכרעמה תא ריבעת 'CTRL-ALT-DELETE' לע הציחל ,סקוניל תוצפה בורב

                  .תכרעמה תא הבכי הז םיוסמ םישקמ ףצר תותיא .ךכ לע ביגהל ונילע .הבוגת ןיא לדחמ תרירבכ .ןלהל המוד הרוש הארת הז ץבוקב בורקמ לכתסת םא ,'etc/inittab /' ץבוקב רדגומ הז

                  # Trap CTRL-ALT-DELETE
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now

                  תוקיר תואמסיס רובע תונובשח תקידב .18

                  .האבה הדוקפב שמתשה ,הקיר המסיס םע תונובשח ויה םא קודבל ידכ .תולקב םתוא ץורפל ןתינו החטבא ינוכיס םה םיקיר המסיס תונובשח .תישרומ השיג ןיא שיאלו תוקזח תואמסיס שי תונובשחה לכלש אדוול םכילע ,ןכ

                  # cat /etc/shadow | awk -F: '($2==""){print $1}'

                  הסינכה ינפל SSH תעדומ תגצה .19

                  .אבה רמאמה תא ארק הלאכ תוזרכ עובקל ידכ .SSH תומיא ינפל החטבא תורהזא םע םיינוחטיב םירנאב וא יקוח רנאב ךל היהיש רתוי בוט ןויער דימת הז

                    םישמתשמה תויוליעפ רחא בוקע .20

                    .שמתשמה תויוליעפ לע עדימ ףוסאלו חקפל םילוכי ונא דציכ ךא .החטבא תויעב ,םיעוציב לש םימיוסמ םיגוס לש הרקמב וא ,רתוי רחואמ דעומב םתוא חתנלו םהידי לע םיכרצנה םיכילהתו שמתשמ תויוליעפ לכ לע עדימה

                    .האבה רתאה תבותכב רקב ,שומישו הרוצת ,הנקתה תודוא ףסונ עדימל .' וכו Apache, MySQL, SSH, FTP ןוגכ םיתוריש ידי לע םיכרצנה םיבאשמו תכרעמב שמתשמ תוליעפ לכ רחא ףיצר ןפואב םיבקועו תכרעמ עקרב םילע

                      עובק ןפואב םינמוי רוקס .21

                      :םשומישו Linux לש לדחמ תרירבכ םירדגומה םושירה ןמוי יצבק םש ןלהל .םיימוקמ םינמוי תולקב תונשל םישלופמ עונמל יושע הז ,ידועיי םינמוי תרשב םינמוי רבעה

                        בושח םיצבק יוביג .22

                        .תונוסאמ תוששואתה ךרוצל רתאל ץוחמ וא קחורמ רתאב ,תוחיטב תפסכב םתוא רומשלו םיבושח םיצבק תובגל ךרוצ שי רוציי תכרעמב

                        NIC בוח תורגא .23

                        .הטילמה קשממב ריכזהל ךירצ ,NIC הטילמב בצמ לש םיגוס ינש םנשי

                          NIC Bonding רושיקב .תחא לשכ תדוקנמ ענמיהל ונל רזוע NIC, תבותכ תוצקהל לכונ וב דחא ילאוטריו קשממ םירצויו רתוי וא תשרב טנרתא יסיטרכ ינש םירשקמ ונא IP סיטרכש הרקמב הנימז היהת ונלש תשרה .םירחא

                          דבלב האירקכ לוחתא/רומש .24

                          ."etc/fstab /" ץבוקה תא חתפ ,ךכ םשל .םייטירק לוחתא יצבק לש השרומ אל יונישל ןוכיסה תא תיחפמ דבלב האירקל ויוניש .read-write -כ לדחמ תרירבכ איהש לוחתאה/תיירפסב םיאצמנ הילא םירושקה םיצבקהו

                          # vi /etc/fstab

                          .התוא רוגסו רומש ,תיתחתב האבה הרושה תא ףסוה

                          LABEL=/boot     /boot     ext2     defaults,ro     1 2

                          .דיתעב הבילה תא גרדשל ךילע היהי םא הביתכ-האירקל יונישה תא ספאל ךילעש בל םיש

                          רדשמ וא ICMP תשקבמ םלעתה .25

                          .רודיש וא גניפ תשקבמ םלעתהל ידכ "etc/sysctl.conf/" ץבוקב האבה הרושה תא ףסוה

                          Ignore ICMP request:
net.ipv4.icmp_echo_ignore_all = 1

Ignore Broadcast request:
net.ipv4.icmp_echo_ignore_broadcasts = 1

                          האבה הדוקפה תלעפה ידי לע םישדח םייוניש וא תורדגה ןעט

                          #sysctl -p

                          .רופישל םינויד ןכו תועצה ,תורעה לבקל ןיינועמ דימת TecMint .ונלש תורעהה תביתב ךיתורעה תא ררחש אנא .המישרב לולכל ךירצש רחא פיט ךל שיש וא ,ליעלש המישרב החשקה וא החטבאל והשלכ בושח פיט תצמחה םא