|
Безопасность
систем Linux в ЛВС
Новые аспекты безопасности
возникают в момент соединения системы Linux с локальной сетью. Даже если следовать
всем приведенным правилам для автономной системы (которые необходимо соблюдать
и в случае, когда система находится в локалвной сети), для хакера остается возможность
получения доступа к системе Linux благодаря слабости сетевой защиты.
Две простых ограничения
помогут уменьшить существующую опасность.
-
Не следует запускать
ненужные сетевые сервисы. Если нет необходимости в доступе к системе через
telnet, то убедитесь, что демон Telnet (вероятно, /usr/sbin/in. telnetd) не
инсталлирован и в /etc/ inetd. conf нет записи для него. Аналогично, если
компьютер не работает как почтовый сервер, не следует запускать демон sendmail,
который может приоткрыть некоторые нежелательные пути проникновения в систему.
Те же правила действуют и для большинства сетевых серв-исов: FTP, finger,
news, DNS и многих других. Запускайте демонов только тех сетевых сервисов,
которые необходимы для соединения с сетью и выполнения ваших задач.
Совет
Если вы используете файл
/etc/inetd. conf, обычный для других версий Linux (включая Red Hat Linux 6.x),
можете сконвертировать его в формат Red Hat 7.1 xinetd с помощью команды /usr/sbin/inetdconvert.
Если вы пользуетесь другой
версией Linux, в которой нет файла /etc/xinetd.conf, убедитесь, что для демона
нет записи в файле /etc/inetd. conf (запись можно закомментировать символом
[#] в первой позиции соответствующей строки).
-
Убедитесь в эффективном
использовании файлов /etc/hosts. allow и /etc/hosts .deny (см. гл. 28). Необходимо
не только не позволять доступ с любого IP-адреса ко всем сервисам, которые
не выполняются на данной системе, но и проверять, что разрешается лишь входящий
доступ к сервисам, выполняемым на хост-компьютерах, при наличии соответствующего
разрешения. Например, если выполняется сервер FTP для входящего доступа только
двум пользователям, следует позволить доступ к FTP-сервису именно с двух систем,
а не позволять FTP-соединение любому пользователю ЛВС.
xinetd
В Red Hat, начиная с версии
Red Hat Linux 7.0, входит расширенный демон сервиса Internet xinetd, заменяющий
inted. "Суперсервер" inetd управляет Internet-доступом access к Unix/Linux-компьютерам
через порт. Чтобы дать возможность неопытным пользователям быстро запускать
сервисы, подобные Telnet, FTP, POP e-mail и другие, inetd изначально устанавливается
с несколькими открытыми портами. Как описано выше, вы можете использовать файлы
hosts . allow и hosts . deny, чтобы управлять доступом к своему компьютеру.
К сожалению, разрешая стороннему компьютеру доступ только к FTP для выполнения
загрузки, вы тем самым разрешаете доступ ко всем службам на вашем компьютере.
Демон xinetd позволяет
управлять доступом с помощью сервиса. Другими словами, если вы хотите предоставить
кому-либо доступ к вашему FTP-серверу, вы не обязаны предоставлять ему доступ
к другим сервисам, подобным Telnet или NFS. Единственный способ проникновения
в компьютер будет в этом случае лежать через открытый вами FTP-сервис.
Другое достоинство xinetd
состоит в том, что он способен защищать вас от атак типа отказ в обслуживании
(DoS - Denial of Service). DoS представляет собой ситуацию, в которой некто
посылает на ваш сервер поток сообщений (возможно, совсем простых, наподобие
ping), но настолько интенсивный, что другие пользователи не могут получить доступ
к вашему серверу.
Более подробные сведения
о xinetd доступны по адресу http: / /www. xinetd. огд. На этом сайте хранится
документация и примеры необходимых конфигурационных файлов.
|
