<Poprzedni | Spis treści | Następne>
Większość dystrybucji Linuksa udostępnia usługi list dyskusyjnych dla ogłoszeń o aktualizacjach zabezpieczeń oraz narzędzia do instalowania aktualizacji w systemie. Ogólne problemy związane z bezpieczeństwem Linuksa są zgłaszane między innymi na stronie Linuxsecurity.com.
Aktualizacja to ciągły proces, więc powinna być niemal codziennym nawykiem.
10.5.4. Zapory sieciowe i zasady dostępu
10.5.4.1. Co to jest zapora ogniowa?
W poprzedniej sekcji wspomnieliśmy już o możliwościach firewalla w Linuksie. Chociaż administrowanie zaporą jest jednym z zadań administratora sieci, powinieneś wiedzieć kilka rzeczy o zaporach.
Firewall to niejasny termin, który może oznaczać wszystko, co działa jako bariera ochronna między nami a światem zewnętrznym, ogólnie Internetem. Firewall może być dedykowanym systemem lub konkretną aplikacją, która zapewnia tę funkcjonalność. Lub może to być kombinacja komponentów, w tym różne kombinacje sprzętu i oprogramowania. Zapory ogniowe są zbudowane z „reguł”, które służą do określania, co może wchodzić i/lub wychodzić z danego systemu lub sieci.
Po wyłączeniu niepotrzebnych usług chcemy teraz ograniczyć akceptowane usługi, aby zezwolić tylko na minimalne wymagane połączenia. Dobrym przykładem jest praca z domu: dozwolone powinno być tylko określone połączenie między biurem a domem, połączenia z innych komputerów w Internecie powinny być blokowane.
10.5.4.2. Filtry pakietów
Pierwsza linia obrony to A filtr pakietów, który może przeglądać pakiety IP i podejmować decyzje na podstawie ich zawartości. Najpopularniejszym jest pakiet Netfilter, który zapewnia iptables polecenie, filtr pakietów nowej generacji dla systemu Linux.
Jednym z najbardziej godnych uwagi ulepszeń w nowszych jądrach jest tzw stanowa inspekcja funkcja, która nie tylko mówi, co znajduje się w pakiecie, ale także wykrywa, czy pakiet należy lub jest powiązany z nowym lub istniejącym
połączenia.
Shoreline Firewall lub w skrócie Shorewall to front-end dla standardowej funkcjonalności firewalla w Linuksie. Więcej informacji można znaleźć na stronie projektu Netfilter/iptables.
10.5.4.3. opakowania TCP
Zawijanie TCP zapewnia prawie takie same wyniki jak filtry pakietów, ale działa inaczej. Opakowanie faktycznie akceptuje próbę połączenia, następnie sprawdza pliki konfiguracyjne i decyduje, czy zaakceptować, czy odrzucić żądanie połączenia. Kontroluje połączenia na poziomie aplikacji, a nie na poziomie sieci.
Opakowania TCP są zwykle używane z ksinetd zapewnienie kontroli dostępu opartej na nazwie hosta i adresie IP. Ponadto narzędzia te obejmują funkcje rejestrowania i zarządzania wykorzystaniem, które są łatwe do skonfigurowania.
Zaletą opakowań TCP jest to, że łączący się klient nie wie, że opakowania są używane i że działają one niezależnie od aplikacji, które chronią.
Dostęp oparty na hoście jest kontrolowany w hosty.zezwól i hosty.odmowa akta. Więcej informacji można znaleźć w plikach dokumentacji opakowania TCP w /usr/share/doc/tcp_wrappers[- /] or /usr/share/doc/tcp oraz na stronach podręcznika dla plików kontroli dostępu opartych na hoście, które zawierają przykłady.
10.5.4.4. Pełnomocnicy
Pełnomocnicy mogą wykonywać różne obowiązki, z których nie wszystkie mają wiele wspólnego z bezpieczeństwem. Ale fakt, że są pośrednikami, sprawia, że serwery proxy są dobrym miejscem do egzekwowania zasad kontroli dostępu, ograniczania bezpośrednich połączeń przez zaporę ogniową i kontrolowania, jak sieć za serwerem proxy wygląda w Internecie.
Zwykle w połączeniu z filtrem pakietów, ale czasami same w sobie, serwery proxy zapewniają dodatkowy poziom kontroli. Więcej informacji można znaleźć w Firewall HOWTO lub na stronie Squid.
10.5.4.5. Dostęp do poszczególnych aplikacji
Niektóre serwery mogą mieć własne funkcje kontroli dostępu. Typowe przykłady to Samba, X Window, Bind, Apache i CUPS. Dla każdej usługi, którą chcesz oferować, sprawdź, które pliki konfiguracyjne mają zastosowanie.
10.5.4.6. Pliki dziennika