Онлайн-рабочие станции OnWorks Linux и Windows

Логотип

Бесплатный хостинг в Интернете для рабочих станций

<Предыдущая | Содержание: | Следующая>

Большинство дистрибутивов Linux предоставляют службы списков рассылки для объявлений об обновлениях безопасности и инструменты для применения обновлений в системе. На Linuxsecurity.com, среди прочего, сообщается только об общих проблемах безопасности Linux.


Обновление - это постоянный процесс, поэтому это должно стать почти ежедневной привычкой.


изображение

10.5.4. Межсетевые экраны и политики доступа


10.5.4.1. Что такое межсетевой экран?


В предыдущем разделе мы уже упоминали возможности брандмауэра в Linux. Хотя администрирование брандмауэра является одной из задач вашего сетевого администратора, вы должны знать кое-что о брандмауэрах.


Брандмауэр - это расплывчатый термин, который может означать все, что действует как защитный барьер между нами и внешним миром, как правило, Интернетом. Брандмауэр может быть выделенной системой или конкретным приложением, которое предоставляет эту функцию. Или это может быть комбинация компонентов, включая различные комбинации аппаратного и программного обеспечения. Брандмауэры построены на основе «правил», которые используются для определения того, что разрешено входить и / или выходить из данной системы или сети.


После отключения ненужных сервисов мы теперь хотим ограничить принимаемые сервисы, чтобы разрешить только минимально необходимые соединения. Прекрасный пример - работа из дома: должно быть разрешено только конкретное соединение между вашим офисом и вашим домом, соединения с других компьютеров в Интернете должны быть заблокированы.


изображение

10.5.4.2. Пакетные фильтры


Первая линия защиты - это пакетный фильтр, который может заглядывать внутрь IP-пакетов и принимать решения на основе содержимого. Наиболее распространенным является пакет Netfilter, обеспечивающий Iptables команда, пакетный фильтр нового поколения для Linux.


Одно из самых заметных улучшений в новых ядрах - это проверка состояния функция, которая не только сообщает, что находится внутри пакета, но также определяет, принадлежит ли пакет к новому или существующему или связан с ним.


подключение.


изображение

Shoreline Firewall или сокращенно Shorewall - это интерфейс для стандартных функций межсетевого экрана в Linux. Более подробную информацию можно найти на странице проекта Netfilter / iptables.

10.5.4.3. Обертки TCP


Обертывание TCP дает те же результаты, что и фильтры пакетов, но работает по-другому. Оболочка фактически принимает попытку подключения, затем проверяет файлы конфигурации и решает, принять или отклонить запрос на подключение. Он контролирует соединения на уровне приложения, а не на уровне сети.


Обертки TCP обычно используются с Xinetd для обеспечения управления доступом на основе имени хоста и IP-адреса. Кроме того, эти инструменты включают возможности ведения журналов и управления использованием, которые легко настроить.


Преимущества TCP-оболочек в том, что подключающийся клиент не знает, что обертки используются, и что они работают отдельно от приложений, которые они защищают.


Доступ на основе хоста контролируется в хосты.разрешить и хосты.дени файлы. Дополнительную информацию можно найти в файлах документации оболочки TCP в / usr / share / doc / tcp_wrappers [- /] or / usr / share / doc / tcp и на страницах руководства для файлов управления доступом на основе хоста, которые содержат примеры.


изображение

10.5.4.4. Прокси


Прокси-серверы могут выполнять различные обязанности, не все из которых имеют прямое отношение к безопасности. Но тот факт, что они являются посредниками, делает прокси-серверы хорошим местом для обеспечения соблюдения политик контроля доступа, ограничения прямых подключений через брандмауэр и контроля того, как сеть, находящаяся за прокси-сервером, смотрит в Интернет.


Обычно в сочетании с фильтром пакетов, но иногда и сами по себе прокси-серверы обеспечивают дополнительный уровень контроля. Более подробную информацию можно найти в Firewall HOWTO или на сайте Squid.


изображение

10.5.4.5. Доступ к отдельным приложениям


Некоторые серверы могут иметь свои собственные функции контроля доступа. Общие примеры включают Samba, X Window, Bind, Apache и CUPS. Для каждой услуги, которую вы хотите предложить, проверьте, какие файлы конфигурации применяются.


изображение

10.5.4.6. Лог-файлы


Лучшие облачные вычисления для ОС в OnWorks: