LINUX-BG Адрес : http://www.linux-bg.org |
Как да защитите вашият Linux (част 1) |
От: X_console Публикувана на: 15-03-2001 Адрес на статията: http://www.linux-bg.org/cgi-bin/y/index.pl?page=article&id=advices&key=328217778 |
Статията е преведена от Славей Караджов Адресът на оригиналната статия е http://xfactor.itec.yorku.ca/~xconsole/tutorials/security.html В последно време Linux се радва на особена популярност и все повече хора го използват. Linux използва цялата сила на UNIX операционната система и е много по-стабилен и по-бърз от операционните системи на Microsoft. Да не забравяме, че Linux е безплатна за сваляне или струва съвсем малко или почти нищо, ако искате да си го купите. Програмистите и хакерите са особено доволни от Linux, защото могат да разгледат изходния му код и да го променят по техен вкус. Изучаването на Linux в подробности отнема време и увеличаването на сигурността на системата изиска нейното познаване в детайли. Нещо, което начинаещите потребители на Linux не са придобили. И затова съществува тази статия - за да направи процеса по увеличаването на сигурноста на системата по-лесен и по-бърз. Какво се дискутира в тази статия?
Може да имате доста подсигурена система, но това ще ви попречи да използвате разни програми и ще ограничи възможностите, който може да ви предостави една Linux система. Трябва да си отговорите на въпроса какво точно искате да защитите. Дали имате важна информация, като номера на кредитни карти например? Дали ви пука, ако някой наистина се вмъкне във вашата система? Задайте си тези въпроси преди да започнете да прилагате мерките за сигурност, които се дискутират по-долу. Подсигуряване на паролите
root# head -c 6 /dev/urandom | uuencode - | cat -n | grep 2 | cut -f2 | cut -c 2,3,4,5,6,7,8,9 Това ще генерира една парола за вас. Все още не сме приключили. Следващото нещо е да добавите вашата парола в shadow файловете. Процесът на замъгляне(shadowing) на вашата парола представлява преместването на криптираната парола от файла /etc/passwd, който може да бъде четен от всеки, който има достъп до системата, във файла /etc/shadow, който може да бъде четен само от root-а. За да проверите дали вашата система изполва "замъгляне" на паролите направете следното: root# cat /etc/passwd | grep root Ако видите нещо от рода на root:x, тогава вашите пароли се записват в shadow файла. В противен случай те не се записват в shadow файла и за да го направите трябва да използвате командата pwconv. Спиране на демоните
finger stream tcp nowait /usr/etc/in.fingerd in.fingerdВ този случай вашият finger демон е стартиран и чакащ. Ако някой се опита на направи finger към root-а на системата ще получи нещо подобно като резултат: xconsole$ finger root@localhost Login: root Name: root Directory: /root Shell: /bin/bash On since Sun Mar 7 00:43 (EST) on ttyp0 from :0.0 Mail last read Sun Feb 28 20:58 1999 (EST) No PlanТова обикновено се третира като риск за сигурността. Няма причина заради която някой да иска да види статуса на root-а. Ето защо е добра идея да спрете finger демона. Това става като добавите символа диез # преди командата. Т.е: #finger stream tcp nowait /usr/etc/in.fingerd in.fingerdЗапишете файла и после изпълнете следната команда killall -HUP inetd за да накарате inetd да зареди новата комфигурация.
Когато дадете finger root ще получите:
xconsole$ finger root@localhost [localhost] finger: connect: Connection refusedУспешно спряхме finger демона. Това обаче не значи, че не може да изполваме finger. Все още може да използвате finger за да гледате инфомацията на други компютри, но те не могат да гледат вашата. Може би ще е добре да спрете и още някои други демони. Кандидати за спиране са следните:
finger stream tcp nowait /usr/sbin/tcpd in.fingerdЗабележете, че сега finger демона се контролира от tcpd. Ако някой се опита да се свърже с finger демона неговият опит ще бъде записан във файл по ваш избор. Проверете /etc/syslog.conf как се контролира логването на информацията и напишете man syslog.conf за да разберете как да промените /etc/syslog.conf. Предполагам, че tcp_wrapper следи всички демони независимо дали те са пуснати или не. Повечето дистрибуции използват tcp_wrapper при стартиране на демоните така, че не е нужно да се притеснявате как да го инсталирате. За да разберете, как да конфигурирате tcp_wrapper-a пишете man tcpd. Край на първа част. << Как да защитите вашият Linux (част 2) | Как да си направим собствен gateway под FreeBSD >> |
Авторите на сайта, както и техните сътрудници запазват авторските права върху собствените си материали публикувани тук,
но те са copyleft т.е. могат свободно да бъдат копирани и разпространявани с изискването изрично да се упоменава името на автора,
както и да се публикува на видно място, че те са взети от оригиналния им URL-адрес на този сървър (http://www.linux-bg.org). Авторските права на преводните материали принадлежат на техните автори. Ако с публикуването тук на някакъв материал неволно са нарушени нечии права - след констатирането на този факт материалът ще бъде свален.
All trademarks, logos and copyrights mentioned on this site are the property of their respective owners.
|