<Предыдущая | Содержание: | Следующая>
Большинство дистрибутивов Linux предоставляют службы списков рассылки для объявлений об обновлениях безопасности и инструменты для применения обновлений в системе. На Linuxsecurity.com, среди прочего, сообщается только об общих проблемах безопасности Linux.
Обновление - это постоянный процесс, поэтому это должно стать почти ежедневной привычкой.
10.5.4. Межсетевые экраны и политики доступа
10.5.4.1. Что такое межсетевой экран?
В предыдущем разделе мы уже упоминали возможности брандмауэра в Linux. Хотя администрирование брандмауэра является одной из задач вашего сетевого администратора, вы должны знать кое-что о брандмауэрах.
Брандмауэр - это расплывчатый термин, который может означать все, что действует как защитный барьер между нами и внешним миром, как правило, Интернетом. Брандмауэр может быть выделенной системой или конкретным приложением, которое предоставляет эту функцию. Или это может быть комбинация компонентов, включая различные комбинации аппаратного и программного обеспечения. Брандмауэры построены на основе «правил», которые используются для определения того, что разрешено входить и / или выходить из данной системы или сети.
После отключения ненужных сервисов мы теперь хотим ограничить принимаемые сервисы, чтобы разрешить только минимально необходимые соединения. Прекрасный пример - работа из дома: должно быть разрешено только конкретное соединение между вашим офисом и вашим домом, соединения с других компьютеров в Интернете должны быть заблокированы.
10.5.4.2. Пакетные фильтры
Первая линия защиты - это пакетный фильтр, который может заглядывать внутрь IP-пакетов и принимать решения на основе содержимого. Наиболее распространенным является пакет Netfilter, обеспечивающий Iptables команда, пакетный фильтр нового поколения для Linux.
Одно из самых заметных улучшений в новых ядрах - это проверка состояния функция, которая не только сообщает, что находится внутри пакета, но также определяет, принадлежит ли пакет к новому или существующему или связан с ним.
подключение.
Shoreline Firewall или сокращенно Shorewall - это интерфейс для стандартных функций межсетевого экрана в Linux. Более подробную информацию можно найти на странице проекта Netfilter / iptables.
10.5.4.3. Обертки TCP
Обертывание TCP дает те же результаты, что и фильтры пакетов, но работает по-другому. Оболочка фактически принимает попытку подключения, затем проверяет файлы конфигурации и решает, принять или отклонить запрос на подключение. Он контролирует соединения на уровне приложения, а не на уровне сети.
Обертки TCP обычно используются с Xinetd для обеспечения управления доступом на основе имени хоста и IP-адреса. Кроме того, эти инструменты включают возможности ведения журналов и управления использованием, которые легко настроить.
Преимущества TCP-оболочек в том, что подключающийся клиент не знает, что обертки используются, и что они работают отдельно от приложений, которые они защищают.
Доступ на основе хоста контролируется в хосты.разрешить и хосты.дени файлы. Дополнительную информацию можно найти в файлах документации оболочки TCP в / usr / share / doc / tcp_wrappers [- /] or / usr / share / doc / tcp и на страницах руководства для файлов управления доступом на основе хоста, которые содержат примеры.
10.5.4.4. Прокси
Прокси-серверы могут выполнять различные обязанности, не все из которых имеют прямое отношение к безопасности. Но тот факт, что они являются посредниками, делает прокси-серверы хорошим местом для обеспечения соблюдения политик контроля доступа, ограничения прямых подключений через брандмауэр и контроля того, как сеть, находящаяся за прокси-сервером, смотрит в Интернет.
Обычно в сочетании с фильтром пакетов, но иногда и сами по себе прокси-серверы обеспечивают дополнительный уровень контроля. Более подробную информацию можно найти в Firewall HOWTO или на сайте Squid.
10.5.4.5. Доступ к отдельным приложениям
Некоторые серверы могут иметь свои собственные функции контроля доступа. Общие примеры включают Samba, X Window, Bind, Apache и CUPS. Для каждой услуги, которую вы хотите предложить, проверьте, какие файлы конфигурации применяются.
10.5.4.6. Лог-файлы