DocumentațieMajoritatea distribuțiilor Linux oferă servicii de liste de corespondență pentru anunțuri de actualizare de securitate și instrumente pentru aplicarea actualizărilor sistemului. Numai problemele generale de securitate Linux sunt raportate, printre altele, la Linuxsecurity.com.
Actualizarea este un proces continuu, așa că ar trebui să fie un obicei aproape zilnic.
10.5.4. Firewall-uri și politici de acces
10.5.4.1. Ce este un firewall?
În secțiunea anterioară am menționat deja capabilitățile firewall în Linux. În timp ce administrarea firewall-urilor este una dintre sarcinile administratorului de rețea, ar trebui să știți câteva lucruri despre firewall.
Firewall este un termen vag care poate însemna orice care acționează ca o barieră de protecție între noi și lumea exterioară, în general internetul. Un firewall poate fi un sistem dedicat sau o aplicație specifică care oferă această funcționalitate. Sau poate fi o combinație de componente, inclusiv diferite combinații de hardware și software. Firewall-urile sunt construite din „reguli” care sunt folosite pentru a defini ceea ce este permis să intre și/sau să iasă dintr-un anumit sistem sau rețea.
După dezactivarea serviciilor inutile, acum dorim să restricționăm serviciile acceptate pentru a permite doar conexiunile minime necesare. Un exemplu bun este lucrul de acasă: ar trebui permisă doar conexiunea specifică dintre birou și casă, conexiunile de la alte mașini de pe Internet ar trebui să fie blocate.
10.5.4.2. Filtre de pachete
Prima linie de apărare este a filtru de pachete, care poate privi în interiorul pachetelor IP și poate lua decizii pe baza conținutului. Cel mai comun este pachetul Netfilter, care oferă iptables comanda, un filtru de pachete de generație următoare pentru Linux.
Una dintre cele mai remarcabile îmbunătățiri ale nucleelor mai noi este inspecție de stat caracteristică, care nu numai că spune ce se află în interiorul unui pachet, dar detectează și dacă un pachet aparține sau are legătură cu un pachet nou sau existent
conexiune.
Shoreline Firewall sau pe scurt Shorewall este un front-end pentru funcționalitatea standard de firewall în Linux. Mai multe informații pot fi găsite pe pagina proiectului Netfilter/iptables.
10.5.4.3. Învelișuri TCP
Împachetarea TCP oferă aproape aceleași rezultate ca și filtrele de pachete, dar funcționează diferit. Wrapper-ul acceptă de fapt încercarea de conectare, apoi examinează fișierele de configurare și decide dacă acceptă sau respinge cererea de conectare. Acesta controlează conexiunile la nivel de aplicație, mai degrabă decât la nivel de rețea.
Wrapper-urile TCP sunt utilizate de obicei cu xinetd pentru a oferi controlul accesului bazat pe numele gazdei și pe adresa IP. În plus, aceste instrumente includ capacități de gestionare a jurnalelor și utilizării care sunt ușor de configurat.
Avantajele wrapper-urilor TCP sunt că clientul care se conectează nu știe că wrapper-urile sunt utilizate și că acestea funcționează separat de aplicațiile pe care le protejează.
Accesul bazat pe gazdă este controlat în gazde.permite și gazde.nega fișiere. Mai multe informații pot fi găsite în fișierele de documentație TCP wrapper în /usr/share/doc/tcp_wrappers[- /] or /usr/share/doc/tcp și în paginile de manual pentru fișierele de control al accesului bazate pe gazdă, care conțin exemple.
10.5.4.4. Procuri
Proxy-ii pot îndeplini diverse sarcini, nu toate au mare legătură cu securitatea. Dar faptul că sunt intermediari face ca proxy-urile să fie un loc bun pentru a aplica politicile de control al accesului, pentru a limita conexiunile directe printr-un firewall și pentru a controla modul în care rețeaua din spatele proxy-ului arată la Internet.
De obicei, în combinație cu un filtru de pachete, dar uneori singure, proxy-urile oferă un nivel suplimentar de control. Mai multe informații pot fi găsite în Firewall HOWTO sau pe site-ul Squid.
10.5.4.5. Acces la aplicații individuale
Unele servere pot avea propriile caracteristici de control al accesului. Exemplele comune includ Samba, X Window, Bind, Apache și CUPS. Pentru fiecare serviciu pe care doriți să-l oferi, verificați ce fișiere de configurare se aplică.
10.5.4.6. Fișiere jurnal