เวิร์กสเตชันออนไลน์ของ OnWorks Linux และ Windows

โลโก้

ฟรีโฮสติ้งออนไลน์สำหรับเวิร์กสเตชัน

<ก่อนหน้านี้ | เนื้อหา | ถัดไป>

ลีนุกซ์รุ่นส่วนใหญ่ให้บริการรายชื่อผู้รับจดหมายสำหรับการประกาศอัพเดทความปลอดภัย และเครื่องมือสำหรับนำการอัพเดทไปใช้กับระบบ มีการรายงานปัญหาด้านความปลอดภัยทั่วไปเฉพาะของ Linux ที่ Linuxsecurity.com


การอัปเดตเป็นกระบวนการต่อเนื่อง ดังนั้นควรเป็นนิสัยเกือบทุกวัน


ภาพ

10.5.4. นโยบายไฟร์วอลล์และการเข้าถึง


10.5.4.1. ไฟร์วอลล์คืออะไร?


ในส่วนก่อนหน้านี้ เราได้กล่าวถึงความสามารถของไฟร์วอลล์ใน Linux แล้ว แม้ว่าการดูแลไฟร์วอลล์เป็นหนึ่งในงานของผู้ดูแลระบบเครือข่ายของคุณ คุณควรรู้สองสามสิ่งเกี่ยวกับไฟร์วอลล์


ไฟร์วอลล์เป็นคำที่คลุมเครือซึ่งสามารถหมายถึงอะไรก็ได้ที่ทำหน้าที่เป็นเกราะป้องกันระหว่างเรากับโลกภายนอก โดยทั่วไปคืออินเทอร์เน็ต ไฟร์วอลล์อาจเป็นระบบเฉพาะหรือแอปพลิเคชันเฉพาะที่มีฟังก์ชันนี้ หรืออาจเป็นการผสมผสานระหว่างส่วนประกอบต่างๆ ซึ่งรวมถึงฮาร์ดแวร์และซอฟต์แวร์ต่างๆ ที่ผสมผสานกัน ไฟร์วอลล์สร้างขึ้นจาก "กฎ" ที่ใช้ในการกำหนดสิ่งที่ได้รับอนุญาตให้เข้าและ/หรือออกจากระบบหรือเครือข่ายที่กำหนด


หลังจากปิดใช้งานบริการที่ไม่จำเป็น ตอนนี้เราต้องการจำกัดบริการที่ยอมรับโดยอนุญาตเฉพาะการเชื่อมต่อขั้นต่ำที่จำเป็นเท่านั้น ตัวอย่างที่ดีคือการทำงานจากที่บ้าน: ควรอนุญาตเฉพาะการเชื่อมต่อระหว่างสำนักงานและบ้านของคุณเท่านั้น การเชื่อมต่อจากเครื่องอื่นบนอินเทอร์เน็ตควรถูกบล็อก


ภาพ

10.5.4.2. ตัวกรองแพ็คเก็ต


แนวป้องกันแรกคือ a ตัวกรองแพ็คเก็ตซึ่งสามารถมองเข้าไปในแพ็กเก็ต IP และทำการตัดสินใจตามเนื้อหาได้ โดยทั่วไปคือแพ็คเกจ Netfilter โดยให้ iptables คำสั่ง ตัวกรองแพ็กเก็ตรุ่นต่อไปสำหรับ Linux


หนึ่งในการปรับปรุงที่สำคัญที่สุดในเมล็ดที่ใหม่กว่าคือ การตรวจสอบของรัฐ ซึ่งไม่เพียงแต่บอกสิ่งที่อยู่ภายในแพ็กเก็ตเท่านั้น แต่ยังตรวจพบว่าแพ็กเก็ตเป็นของหรือเกี่ยวข้องกับแพ็กเก็ตใหม่หรือที่มีอยู่


สัมพันธ์


ภาพ

Shoreline Firewall หรือเรียกสั้นๆ ว่า Shorewall เป็นส่วนหน้าสำหรับฟังก์ชันไฟร์วอลล์มาตรฐานใน Linux ดูข้อมูลเพิ่มเติมได้ที่หน้าโครงการ Netfilter/iptables

10.5.4.3. เครื่องห่อ TCP


การห่อ TCP ให้ผลลัพธ์เหมือนกับตัวกรองแพ็กเก็ตมาก แต่ทำงานต่างกัน Wrapper ยอมรับความพยายามในการเชื่อมต่อจริง ๆ แล้วตรวจสอบไฟล์การกำหนดค่าและตัดสินใจว่าจะยอมรับหรือปฏิเสธคำขอเชื่อมต่อ มันควบคุมการเชื่อมต่อที่ระดับแอปพลิเคชันมากกว่าที่ระดับเครือข่าย


โดยทั่วไปจะใช้เครื่องห่อ TCP กับ ซิเน็ท เพื่อให้ชื่อโฮสต์และการควบคุมการเข้าถึงตามที่อยู่ IP นอกจากนี้ เครื่องมือเหล่านี้ยังรวมถึงความสามารถในการจัดการการบันทึกและการใช้งานที่กำหนดค่าได้ง่าย


ข้อดีของ TCP wrappers คือไคลเอ็นต์ที่เชื่อมต่อไม่ทราบว่ามีการใช้ wrappers และทำงานแยกจากแอปพลิเคชันที่ป้องกัน


การเข้าถึงตามโฮสต์ถูกควบคุมใน เจ้าภาพอนุญาต และ เจ้าภาพปฏิเสธ ไฟล์. ดูข้อมูลเพิ่มเติมได้ในไฟล์เอกสารประกอบ TCP wrapper ใน /usr/share/doc/tcp_wrappers[- /] or /usr/share/doc/tcp และในหน้าคู่มือสำหรับไฟล์ควบคุมการเข้าถึงตามโฮสต์ ซึ่งมีตัวอย่าง


ภาพ

10.5.4.4. ผู้รับมอบฉันทะ


ผู้รับมอบฉันทะสามารถทำหน้าที่ต่างๆ ได้ ซึ่งไม่ได้ทั้งหมดเกี่ยวข้องกับการรักษาความปลอดภัยมากนัก แต่ความจริงที่ว่าพวกเขาเป็นตัวกลางทำให้พร็อกซี่เป็นสถานที่ที่ดีในการบังคับใช้นโยบายการควบคุมการเข้าถึง จำกัดการเชื่อมต่อโดยตรงผ่านไฟร์วอลล์ และควบคุมวิธีที่เครือข่ายที่อยู่เบื้องหลังพร็อกซี่จะมองไปยังอินเทอร์เน็ต


โดยปกติเมื่อใช้ร่วมกับตัวกรองแพ็กเก็ต แต่บางครั้งพร็อกซี่ก็ให้การควบคุมในระดับพิเศษด้วยตัวมันเอง ดูข้อมูลเพิ่มเติมได้ใน Firewall HOWTO หรือบนเว็บไซต์ Squid


ภาพ

10.5.4.5. เข้าถึงแอปพลิเคชันส่วนบุคคล


เซิร์ฟเวอร์บางเครื่องอาจมีคุณสมบัติการควบคุมการเข้าถึงของตัวเอง ตัวอย่างทั่วไป ได้แก่ Samba, X Window, Bind, Apache และ CUPS สำหรับทุกบริการที่คุณต้องการเสนอให้ตรวจสอบไฟล์การกำหนดค่าที่ใช้


ภาพ

10.5.4.6. ไฟล์บันทึก


  

 

<ก่อนหน้านี้ | เนื้อหา | ถัดไป>

  

ระบบปฏิบัติการคลาวด์คอมพิวติ้งยอดนิยมที่ OnWorks: