LAMER. Linux Administration Made Easy Russian


Глава 12. Стратегия безопасности сервера - часть 3


Есть клиенты ssh и под Windows, что дает пользователям данной системы возможность соединиться по защищенному протоколу с сервером. Клиенты:

“TeraTerm Pro” клиент

http://hp.vector.co.jp/authors/VA002416/teraterm.html

“TTSSH” клиент

http://www.zip.com.au/roca/download.html

“Cryptlib” клиент

http://www.doc.ic.ac.uk/ci2/ssh

“Putty” клиент

http://www.chiark.greenend.org.uk/sgtatham/putty.html

Note

Замечание: Если вы перешли на использование ssh, позаботьтесь о его установке на всех ваших серверах. Наличие пяти защищенных и одного незащищенного сервера ничего хорошего не принесет, особенно если вы используете один и тот же пароль на нескольких серверах.

  • Ограничьте доступ к внешним сервисам:

    Отредактируейте файлы ``/etc/hosts.allow'' и ``/etc/hosts.deny'' и ограничьте доступ с удаленных систем. В приведенном ниже примере ограничивается доступ к telnet и ftp. Сначала правим файл ``/etc/hosts.allow'':

    # hosts.allow in.telnetd: 123.12.41., 126.27.18., .mydomain.name, .another.name in.ftpd: 123.12.41., 126.27.18., .mydomain.name, .another.name

    Теперь доступ по telnet и ftp разрешен для всех машин в подсетях IP класса C 123.12.41.* и 126.27.18.*, и всех машин внутри доменов mydomain.name и another.name.

    Теперь поправим файл ``

    /etc/hosts.deny'':

    # hosts.deny in.telnetd: ALL in.ftpd: ALL

  • Запретите все лишние сервисы:

    Подправьте файл ``/etc/inetd.conf '', и запретите (используйте символ комментария ``#'') все сервисы, в которых нет необходимости (если используете ssh, можно закрыть даже сервис ``telnet''). После правки файла наберите от имени root: ``

    /etc/rc.d/init.d/inet restart'' для перезапуска демона inetd с новыми параметрами сервисов.

  • Поставьте систему проверки безопасности:

    Попробуйте пакет ``Tripwire'' (см. http://www.tripwiresecurity.com) который может обнаруживать попытки атаки, и пакет ``Abacus Sentry'' (см.

    http://www.psionic.com/abacus), который может помочь в их отражении.

  • Будьте внимательны:

    Время от времени перетрясайте систему на предмет всяких несоответствий (записи в файле паролей, странности в системных журналах, подозрительные процессы в системе, странные настройки программ). Не пренебрегайте сообщениями пользователей о странных явлениях в системе (замечание переводчика: известный мне администратор пренебрег моим предупреждением о том, что в сети университета работает какой-то хакер, за что был быстро и строго наказан тем самым хакером...).




  • Начало  Назад  Вперед



    Книжный магазин