Личный блог Suvan`a.

Работая и играя с Linux... И что из этого иногда получается.

Поиск по сайту с помощью Yandex

Яndex
 

Защита FTP: VSFTPD.

Вторник, 17 ноября 2009 г.
Рубрика: Безопасность -> Защита сервисов
Метки:

     VSFTPD (Very Secure FTPD) - в дословном переводе эта программа называется «очень защищенный FTP-демон». Действительно, это очень быстрый и защищенный FTP-сервер. Учитывая его размер, он не такой функциональный, как WU-FTP, поэтому для некоторых сайтов его возможностей будет маловато. Этот сервер используется на следующих узлах: ftp.redhat.com, ftp.suse.com, ftp.freebsd.org, ftp.openbsd.org, ftp.gnu.org и ftp.kernel.org. На серверах этих организаций установлен VSFTPD. Во-первых, это подтверждает его репутацию, а во-вторых, если для Red Hat его возможностей хватило, то для существующих нужд, скорее всего, также хватит. VSFTPD доступен по адресу: http://vsftpd.beasts.org/

Далее...

Защита FTP: WU-FTP.

Пятница, 6 ноября 2009 г.
Рубрика: Безопасность -> Защита сервисов
Метки:

     Поговорим о защите FTP-сервера. Сначала нужно подумать, а нужен ли он вообще на сервере? Может, его лучше вообще отключить? Если FTP-сервер нужен для того, чтобы пользователи просто скачивали файлы, то надо просто выложить их на Web-сервер и настроить базовую или digest-аутентификацию к каталогу с файлами.

     Если же пользователю можно загружать файлы на сервер, также надо придумать альтернативу, например, загрузка их с помощью CGI-сценария, употребление SCP или отправка файлов по e-mail  - будет безопаснее. Чем меньше сервисов запущено на машине, тем меньше потенциальных входов в систему.

Далее...

Защита POP3 с помощью Stunnel.

Среда, 21 октября 2009 г.
Рубрика: Безопасность -> Защита сервисов
Метки: | |

Даже если РОРЗ/IМАР-сервер не поддерживает ни один из вариантов безопасных протоколов (SPOP и IMAPS), можно применить Stunnel, который дает возможность создавать TCP-туннели, по которым данные пересылаются в зашифрованном виде.

     Stunnel предназначен для универсального туннелирования ТСР-соединений. Если Stunnel еще не установлен, можно загрузить его с сайта: http://www.stunnel.org (конечно, понадобится SSL-библиотека, к примеру OpenSSL). Co стороны сервера можно употреблять Stunnel, чтобы предоставлять сервисы SPOP и IMPAS пользователям.

Далее...

Краткий обзор Qmail.

Вторник, 13 октября 2009 г.
Рубрика: Безопасность -> Защита сервисов
Метки: | | | |

     Qmail была разработана как альтернатива Sendmail и представляется, наверное, самым защищенным МТА в мире Unix. Чего только стоит тот факт, что любому, кто найдет уязвимость в системе безопасности Qmail, полагается приз в 500$. Наверно такой уровень безопасности поясняется малым размером Qmail, но в основном это заслуга сокращения степени применения SUID (ведь необоснованное применение SUID - это центровая причина большинства уязвимостей Sendmail).

     Если будет решено применять Qmail и, кроме данного, будет нужен РОРЗ-сервер, лучшим выбором будет qmail-pop3d от разработчиков Qmail - он ставится по умолчанию, но не запускается.

     Установка Qmail - это изрядно сложный процесс, поэтому рекомендуется прочитать руководство «Жизнь с Qmail» («Life with Qmail») по адресу http://www.lifewithqmail.org. Конечно, каждый день изучать новый МТА - занятие не очень перспективное, но Qmail данного стоит. Тем более что Qmail существенно облегчает переход с Sendmail, обеспечивая поддержку forward-файлов, базы данных accesss, псевдонимов и даже TLS.

Далее...

Безопасность транспортного уровня Sendmail.

Вторник, 6 октября 2009 г.
Рубрика: Безопасность -> Защита сервисов
Метки: | | | |

     Transport Layer Security.

     Протокол TLS основан на SSL, который предоставляет кодирование и целостность сообщения с помощью применения РКС. Конкретно к Sendmail (поддержка TLS появилась в версии 8.11), TLS предлагает:

  • Аутентификацию: можно быть точно уверенным в том, что удаленный узел именно тот, кем он и должен быть на самом деле.
  • Секретность: защиту от «подслушивания».
  • Целостность: можно не волноваться: данные не могут быть изменены.

     С помощью следующих опций можно конфигурировать сертификаты, используемые TLS, их можно добавить в файл generic-linux.mc:

Далее...