OnWorks Linux ו-Windows Online WorkStations

לוגו

אירוח מקוון בחינם עבור תחנות עבודה

<הקודם | תוכן | הבא>

רוב ההפצות של לינוקס מספקות שירותי רשימת דיוור להודעות על עדכוני אבטחה, וכלים להחלת עדכונים למערכת. בעיות אבטחה כלליות של לינוקס בלבד מדווחות בין היתר ב-Linuxsecurity.com.


עדכון הוא תהליך מתמשך, ולכן זה צריך להיות הרגל כמעט יומיומי.


תמונה

10.5.4. חומות אש ומדיניות גישה


10.5.4.1. מה זה חומת אש?


בסעיף הקודם כבר הזכרנו יכולות חומת אש בלינוקס. בעוד שניהול חומת אש היא אחת המשימות של מנהל הרשת שלך, אתה צריך לדעת כמה דברים על חומות אש.


חומת אש היא מונח מעורפל שיכול להיות כל דבר שפועל כמחסום מגן בינינו לבין העולם החיצון, בדרך כלל האינטרנט. חומת אש יכולה להיות מערכת ייעודית או אפליקציה ספציפית המספקת פונקציונליות זו. או שזה יכול להיות שילוב של רכיבים, כולל שילובים שונים של חומרה ותוכנה. חומות אש בנויות מ"כללים" המשמשים להגדרת מה מותר להיכנס ו/או לצאת ממערכת או רשת נתונה.


לאחר השבתת שירותים מיותרים, אנו רוצים כעת להגביל את השירותים המקובלים כדי לאפשר רק את החיבורים המינימליים הנדרשים. דוגמה יפה היא עבודה מהבית: יש לאפשר רק את החיבור הספציפי בין המשרד לביתך, יש לחסום חיבורים ממכונות אחרות באינטרנט.


תמונה

10.5.4.2. מסנני מנות


קו ההגנה הראשון הוא א מסנן מנות, שיכול להסתכל בתוך חבילות IP ולקבל החלטות על סמך התוכן. הנפוצה ביותר היא חבילת Netfilter, המספקת את iptables command, מסנן מנות מהדור הבא עבור לינוקס.


אחד השיפורים הבולטים ביותר בקרנלים החדשים יותר הוא ה- בדיקה ממלכתית תכונה, אשר לא רק מספרת מה יש בתוך חבילה, אלא גם מזהה אם חבילה שייכת או קשורה לחבילה חדשה או קיימת


חיבור.


תמונה

Shoreline Firewall או Shorewall בקיצור הם קצה קצה לפונקציונליות חומת האש הסטנדרטית בלינוקס. מידע נוסף ניתן למצוא בעמוד הפרויקט Netfilter/iptables.

10.5.4.3. עטיפות TCP


גלישת TCP מספקת הרבה אותן תוצאות כמו מסנני החבילות, אך פועלת אחרת. המעטפת למעשה מקבלת את ניסיון החיבור, ואז בוחנת קבצי תצורה ומחליטה אם לקבל או לדחות את בקשת החיבור. הוא שולט בחיבורים ברמת האפליקציה ולא ברמת הרשת.


עטיפות TCP משמשות בדרך כלל עם xinetd כדי לספק בקרת גישה מבוססת כתובת מארח וכתובת מארח. בנוסף, כלים אלה כוללים יכולות רישום וניהול שימוש שקל להגדיר.


היתרונות של עטיפות TCP הן שהלקוח המחבר לא מודע לכך שמשתמשים במעטפות, ושהן פועלות בנפרד מהיישומים שעליהם הם מגנים.


הגישה מבוססת המארח נשלטת ב- hosts.allow ו hosts.deny קבצים. מידע נוסף ניתן למצוא בקבצי התיעוד של עטיפת TCP ב /usr/share/doc/tcp_wrappers[- /] or /usr/share/doc/tcp ובדפי האיש עבור קבצי בקרת הגישה מבוססי המארח, המכילים דוגמאות.


תמונה

10.5.4.4. פרוקסיות


פרוקסי יכולים לבצע מטלות שונות, שלא לכולן יש הרבה קשר לאבטחה. אבל העובדה שהם מתווכים הופכת את פרוקסי למקום טוב לאכוף מדיניות בקרת גישה, להגביל חיבורים ישירים דרך חומת אש ולשלוט איך הרשת מאחורי ה-proxy נראית לאינטרנט.


בדרך כלל בשילוב עם מסנן מנות, אבל לפעמים לגמרי לבד, פרוקסי מספקים רמה נוספת של שליטה. מידע נוסף ניתן למצוא ב- Firewall HOWTO או באתר Squid.


תמונה

10.5.4.5. גישה ליישומים בודדים


לשרתים מסוימים עשויים להיות תכונות בקרת גישה משלהם. דוגמאות נפוצות כוללות Samba, X Window, Bind, Apache ו-CUPS. עבור כל שירות שאתה רוצה להציע בדוק אילו קבצי תצורה חלים.


תמונה

10.5.4.6. קבצי יומן


  

 

<הקודם | תוכן | הבא>

  

מחשוב ענן מערכת ההפעלה המוביל ב-OnWorks: