Личный блог Suvan`a.

Работая и играя с Linux... И что из этого иногда получается.

SSH

Сетевая файловая система NFS.

Рубрики: Безопасность | Защита сервисов
Метки: | | |
Дата: 17/08/2009 09:56:08
Подписаться на комментарии по RSS

NFS позволяет предоставить общий доступ к каталогам Unix-машины. Небезопасность NFS, и в частности NIS, связана с RPC - по количеству всевозможных эксплоитов RPC представляется негласным лидером (если не считать Sendmail). Так как эти протоколы предназначены для внутренних сетей, защищать их придется от «своих» пользователей. Хотя перед их применением нужно решить, действительно ли они нужны.

     В домашней сети они могут быть достаточно полезными, но в корпоративной сети из соображений безопасности лучше найти им более безопасную альтернативу.

     Файловая система NFS.

     Сетевая файловая система (Network File System, NFS) была разработана компанией Sun как средство доступа к файлам, размещенным на прочих Unix-машинах в пределах локальной сети. При разработке NFS безопасность вообще не учитывалась, что с годами стало причиной многих уязвимостей.

     NFS может работать по протоколу TCP или UDP, она использует систему RPC, а это означает, что должны быть запущены следующие часто уязвимые приложения: portmapper, nfs, nlockmgr (lockd), rquotad, statd и mountd.

     Не надо запускать NFS - нужно найти альтернативное решение. Если же NFS все-таки нужна, здесь будет рассказано о том, как нужно минимизировать риск ее использования.

Далее...

Настройка SSH.

Рубрики: Безопасность | Защита сервисов
Метки: | |
Дата: 13/08/2009 09:46:19
Подписаться на комментарии по RSS

     SSH представляется безопасной альтернативой протокола Telnet. Учитывая преимущества SSH, Telnet сейчас практически не применяется - в нем нет больше нужды. Хотя SSH считается значительно безопаснее, чем Telnet, все же есть над чем поработать. В данном пункте будет рассмотренр, как надо сделать применение SSH еще безопаснее.

     Настройка. Опции настройки SSH.

     SSHD определяется и запускается по умолчанию во многих дистрибутивах Linux. Конфигурационный файл SSHD называется /etc/sshd_config или /etc/sshd/sshd_config. Наиболее интересными в нем являются опции:Далее...

Генерирование ACL.

Рубрики: Безопасность | Управление доступом
Метки: |
Дата: 03/07/2009 08:55:17
Подписаться на комментарии по RSS

Создание ACL - достаточно утомительная и рутинная задача, поэтому даже для опытных пользователей Grsecurity, рекомендуется употреблять встроенный режим обучения для создания начального ACL. Процесс авто­матического создания ACL был рассмотрен в предыдущей статье. Сейчас будет рассмотренно создание ACL для демона sshd.

     После долгой деятельности Grsecurity в режиме обучения был получен следующий ACL:

Далее...

X Window.

Рубрики: Безопасность | Безопасность рабочей станции
Метки: | |
Дата: 20/05/2009 11:52:44
Подписаться на комментарии по RSS

Раньше было написано про модель клиент/сервер, которая применяется для системы графического интерфейса Unix - X Window - X11. Система X Window представляется сетевой системой, поэтому можно свободно запустить X11-приложение на удаленной машине и видеть результат его выполнения в X11-сессии своей машины. Можно отметить, что процесс будет выполняться на удаленной машине, а вы будете видеть только результат. На удаленной машине можно:

Далее...

Сервисы общего назначения.

Рубрики: Безопасность | Основные меры защиты Linux
Метки: |
Дата: 06/05/2009 09:21:23
Подписаться на комментарии по RSS

Поговорим о сервисах, которые необ­ходимы, и которые сервисы нужно отключить.

     Рассмотрим отдельные сервисы общего назначения, которые обыкновенно запущены на типичной Linux-системе. В скобках указаны порты, которые используются этими сервисами:

Далее...

Фильтрация локальных пакетов.

Рубрики: Безопасность | Брандмауэр
Метки: | | | |
Дата: 09/04/2009 09:33:05
Подписаться на комментарии по RSS

     До этого IPTables использовался централизованно - только на бранд­мауэре. Но это нельзя рассматривать как полную защиту сети - ведь защищать нужно не только сеть в целом, но и отдельную машину.

     Возьмем, к примеру, ситуацию, в отдельных случаях крекеру удается каким-то образом проникнуть в нейтральную зону - он получил доступ к серверу из нейтральной зоны. В настоящее время он пытается расширить свои «пра­ва», то есть получить доступ к другим машинам, в том числе и брандмауэру. Следовательно, брандмауэр IPTables нужно запускать и на других машинах сети - чтобы защитить эти машины.

Далее...

Создание набора правил брандмауэра(Часть 1).

Рубрики: Безопасность | Брандмауэр
Метки: | | | |
Дата: 02/04/2009 09:18:32
Подписаться на комментарии по RSS

Огненная стенаКак и в сценарии для простой реализации сети с DMZ, первоначально определяются слу­жебные переменные, которые будут использоваться в новом сценарии - firewall.sh. Описание каждой переменной можно найти в этом же разделе. Начало сценария будет таким:

#/bin/sh

IF_LAN="ethl"

IF_DMZ="eth2"

IF_EXT="eth0"

IP_LAN="192.168.1.1"

IP_DMZ="192.168.0.1"

DMZ_HTTP="192.168.0.3"

DMZ_DNS="192.168.О.2"

DMZ_MAIL="192.168.0.4"

## Путь к исполнимому файлу iptables.

## Может отличаться в зависимости

## от дистрибутива Linux

IPT="/usr/sbin/iptables"

Далее...