Tường lửa và chính sách truy cập từ Giới thiệu về Linux của OnWorks

Bỏ để qua phần nội dung

Hầu hết các bản phân phối Linux đều cung cấp dịch vụ danh sách gửi thư cho các thông báo cập nhật bảo mật và các công cụ để áp dụng các bản cập nhật cho hệ thống. Các vấn đề bảo mật chung của Linux chỉ được báo cáo trong số những vấn đề khác tại Linuxsecurity.com.

Cập nhật là một quá trình liên tục, vì vậy nó phải là một thói quen gần như hàng ngày.

10.5.4. Tường lửa và chính sách truy cập

10.5.4.1. Tường lửa là gì?

Trong phần trước, chúng tôi đã đề cập đến các khả năng của tường lửa trong Linux. Mặc dù quản trị tường lửa là một trong những nhiệm vụ của quản trị viên mạng của bạn, nhưng bạn nên biết một số điều về tường lửa.

Tường lửa là một thuật ngữ mơ hồ có thể có nghĩa là bất cứ thứ gì đóng vai trò như một hàng rào bảo vệ giữa chúng ta và thế giới bên ngoài, nói chung là Internet. Tường lửa có thể là một hệ thống chuyên dụng hoặc một ứng dụng cụ thể cung cấp chức năng này. Hoặc nó có thể là sự kết hợp của các thành phần, bao gồm nhiều sự kết hợp khác nhau giữa phần cứng và phần mềm. Tường lửa được xây dựng từ các "quy tắc" được sử dụng để xác định những gì được phép vào và / hoặc thoát khỏi một hệ thống hoặc mạng nhất định.

Sau khi tắt các dịch vụ không cần thiết, bây giờ chúng tôi muốn hạn chế các dịch vụ được chấp nhận để chỉ cho phép các kết nối bắt buộc tối thiểu. Một ví dụ điển hình là làm việc tại nhà: chỉ cho phép kết nối cụ thể giữa văn phòng và nhà của bạn, các kết nối từ các máy khác trên Internet sẽ bị chặn.

10.5.4.2. Bộ lọc gói

Tuyến phòng thủ đầu tiên là bộ lọc gói, có thể xem xét bên trong các gói IP và đưa ra quyết định dựa trên nội dung. Phổ biến nhất là gói Netfilter, cung cấp iptables lệnh, một bộ lọc gói thế hệ tiếp theo dành cho Linux.

Một trong những cải tiến đáng chú ý nhất trong các nhân mới hơn là kiểm tra nhà nước tính năng này không chỉ cho biết những gì bên trong một gói mà còn phát hiện xem một gói thuộc về hoặc có liên quan đến một gói mới hoặc hiện có

kết nối.

Shoreline Firewall hay gọi tắt là Tường lửa là một giao diện người dùng cho chức năng tường lửa tiêu chuẩn trong Linux. Thông tin thêm có thể được tìm thấy tại trang dự án Netfilter / iptables.

10.5.4.3. Trình bao bọc TCP

Gói TCP cung cấp nhiều kết quả giống như các bộ lọc gói, nhưng hoạt động khác. Trình bao bọc thực sự chấp nhận nỗ lực kết nối, sau đó kiểm tra các tệp cấu hình và quyết định chấp nhận hay từ chối yêu cầu kết nối. Nó kiểm soát các kết nối ở cấp ứng dụng chứ không phải ở cấp mạng.

Trình bao bọc TCP thường được sử dụng với xinetd để cung cấp tên máy chủ và kiểm soát truy cập dựa trên địa chỉ IP. Ngoài ra, các công cụ này bao gồm khả năng quản lý sử dụng và ghi nhật ký dễ dàng cấu hình.

Ưu điểm của trình bao bọc TCP là máy khách kết nối không biết rằng trình bao bọc được sử dụng và chúng hoạt động riêng biệt với các ứng dụng mà chúng bảo vệ.

Quyền truy cập dựa trên máy chủ được kiểm soát trong máy chủ.allow và máy chủ.deny các tập tin. Có thể tìm thấy thêm thông tin trong tệp tài liệu trình bao bọc TCP trong / usr / share / doc / tcp_wrappers [- /] or / usr / share / doc / tcp và trong trang người dùng cho các tệp kiểm soát truy cập dựa trên máy chủ, chứa các ví dụ.

10.5.4.4. Proxy

Proxy có thể thực hiện nhiều nhiệm vụ khác nhau, không phải tất cả đều liên quan nhiều đến bảo mật. Nhưng thực tế là họ là người trung gian khiến proxy trở thành nơi tốt để thực thi các chính sách kiểm soát truy cập, hạn chế các kết nối trực tiếp thông qua tường lửa và kiểm soát cách mạng đằng sau proxy trông như thế nào với Internet.

Thường được kết hợp với một bộ lọc gói, nhưng đôi khi tất cả tự nó, proxy cung cấp một mức độ kiểm soát bổ sung. Thông tin thêm có thể được tìm thấy trong Firewall HOWTO hoặc trên trang web Squid.

10.5.4.5. Quyền truy cập vào các ứng dụng riêng lẻ

Một số máy chủ có thể có các tính năng kiểm soát truy cập riêng. Các ví dụ phổ biến bao gồm Samba, X Window, Bind, Apache và CUPS. Đối với mọi dịch vụ bạn muốn cung cấp, hãy kiểm tra xem tệp cấu hình nào áp dụng.