Гайды АНБ и другие доки по безопасной настройке ОС и сетевого оборудования
https://t.me/w2hackIntro
Когда давно на Хабре я читал новость про утечку секретных данных из АНБ - Агенства Национальной безопасности США. Среди прочих шпионских доков были и те, что привлекли всеобщее внимание технических экспертов по безопасности, а именно гайды и инструкции по настройке защищенного окружения серверов, ОС, ПО, СУБД используемого а Агенства. Учитывая, что там обрабатываются сведения составляющие гос тайну и иные очень секретыне данные, весьма было любопытно было взглянуть на их рекомендации.
Много позже при настройке какого либо сервера или отдельно взятого сервиса я так же часто натыкался на "рекомендации вендора" по безопасной конфигурации его продукта или устройства. А при проведении внутреннего аудита ИБ корпоративной ИТ-инфраструктуры и того брал эти доки в качестве некого формального чек-листа для проверки.
Вот сегодня и хочу с вами поделиться этими залежами. Все доки понятно дело на английском ибо никто на великий и могучий такое практически не переводит. Вообщем, может кому-то да пригодится:)
Доки по настройке безопасности от National Security Agency
Агентство по национальной безопасности США опубликовало версию 200-страничного руководства (PDF) по безопасной конфигурации Red Hat Enterprise Linux 5. Не смотря на то, что это случилось таки давно, этот док все равно хорошо примнем и на все свежие релизы системы. Так что имея прямые руки, светлую голову и этот док ты сможешь отконфигурировать себе не плохо защищенный периметр.
Это весьма подробный мануал, который объясняет принципы защищённой системы и на практике указывает все необходимые настройки и перечень сервисов, которые обязательно нужно отключить (это один из базовых принципов: минимизировать количество софта).
Есть и что-то вроде шпаргалки на листе A4, тоже очень удобно (см. это все в архиве, которой будет выложен после этой статьи)
Аналогичные документы составлены практически для всех операционных систем отличных от Linux:
Безопасная конфигурация Mac OS X 10.6 Snow Leopard
Использование Software Restriction Policies (SRP) в Windows
Основы безопасности в Windows 7 и 8
Плюс документы по Windows Server 2008, Windows Server 2003, Windows XP, Solaris 10, Solaris 9. Подобные справочники они публикуют уже много лет, ещё со времён Windows 2000 и NT.
Руководство по Red Hat Linux 5 занимает всё-таки главное место в списке, потому что именно на этой системе работают многочисленные серверы правительства и спецслужб США.
Если хочешь посмеяться:) уровень паранойи во всех руководствах АНБ зашкаливает, например, они рекомендуют отключать на персональных компьютерах даже звуковые порты и деактивировать камеры.
И у АНБ-шников есть ещё довольно полезное руководство по настройке коммутаторов, ориентированое на Cisco IOS, но общие принципы можно использовать и в другой архитектуре.
Другие Доки на настройке защищенного окружения
Безопасность web сервера:
- Nginx
http://nginx.org/en/docs/ http://www.cyberciti.biz/tips/linux-unix-bsd-nginx-webserver-security.html Apache https://httpd.apache.org/docs/2.4/misc/security_tips.html
2. IIS
https://technet.microsoft.com/en-us/library/dd450371(v=ws.10).aspx http://blogs.msdn.com/b/alikl/archive/2008/02/28/securing-iis7-windows-server-2008-security-guide.aspx
3. Apache
https://tomcat.apache.org/tomcat-7.0-doc/security-howto.html http://tomcat.apache.org/tomcat-7.0-doc/
4. Other
Jetty http://www.eclipse.org/jetty/documentation/current/configuring-security.html
lighttpd http://redmine.lighttpd.net/projects/lighttpd/wiki
Безопасность RDBMS:
Mysql: https://dev.mysql.com/doc/refman/5.0/en/security.html http://www.greensql.com/content/mysql-security-best-practices-hardening-mysql-tips
Postgreesql: http://www.ibm.com/developerworks/library/os-postgresecurity/ https://www.digitalocean.com/community/tutorials/how-to-secure-postgresql-on-an-ubuntu-vps http://www.postgresql.org/docs/9.5/static/index.html
Oracle: http://docs.oracle.com/cd/E28280_01/web.1111/e13707/rdbms.htm#SECMG346
DB2
http://www.ibm.com/developerworks/data/library/techarticle/dm-0607wasserman/
Безопасность операционных систем:
Руководства от GHCQ:
https://www.gov.uk/government/collections/end-user-devices-security-guidance#other-platform-guidance
Руководства от NSA:
https://www.nsa.gov/ia/mitigation_guidance/security_configuration_guides/operating_systems.shtml
Ubuntu: https://help.ubuntu.com/community/Security
Debian: https://www.debian.org/doc/user-manuals#securing
FreeBSD: http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/security.html
SYSE: https://www.suse.com/documentation/sles11/singlehtml/book_security/book_security.html https://www.suse.com/documentation/sles11/singlehtml/book_hardening/book_hardening.html
1C-Bitrix:
https://www.1c-bitrix.ru/products/cms/security/
Php
http://phpsec.org/projects/guide/ http://php.net/manual/ru/security.php
Microsoft DNS Server:
https://technet.microsoft.com/en-us/library/cc772661(v=ws.10).aspx
https://technet.microsoft.com/en-us/library/cc959288.aspx
https://technet.microsoft.com/en-us/library/cc794767(v=ws.10).aspx
https://technet.microsoft.com/en-us/library/cc778439(v=ws.10).aspx
Asterisk:
http://www.asteriskdocs.org/en/3rd_Edition/asterisk-book-html/asterisk-book.html
Архив со всеми документами будет прикреплен отельным постом после этой статьи!