Til þess væri vélin læst inn í skáp og ekki tengd við neitt net,
hvorki innranetið né internetið, en hverjum langar til að gera það ?
Hinsvegar, með réttu tólunum getur maður komist ansi nálægt hinu
fullkomna öryggi.
Sett upp réttu þjónana, sett inn öryggisviðbætur í linux kjarnann
og nota rétt leyfi (permissions) á skrár og möppur.
-
Hin helstu öryggistól linux heimsins.
IPTables:
Eldveggs forriti Linux 2.4 kjarnans.
Þetta hefur þegar verið kynnt mjög vel af JReykdal, Teqnique og mér
í grein JReykdal hér á undan, óþarfti að mér fynnst að fara meira í
það mál.
Tripwire:
- er forrit sem tekur md5 summur af skjölum, t.d. config skjölunum
í /etc/ möppunni.
Þannig ef að hefur verið brotist inn í kerfi þitt, og einhver
reynir að breyta skjölunum ert þú látinn vita.
Shadow Utils:
Þetta er pakki sem er innbyggt í ALLAR nýjar og nýlegar Linux
dreyfingar, shadow utils gera það að verkum að ekki er lengur hægt
að lesa /etc/passwd skránna, til að cracka lykilorðin út henni.
Shadow utils pakkinn tekur /etc/passwd og breytir dulkóðuðu
lykilorðunum í stjörnur, en setur þau í /etc/shadow skránna sem er
aðeins lesanleg af root (uid 0)
ÞETTA EIGA ALLIR AÐ VERA MEÐ!
LIDS (Linux Intrusion detection system):
Þetta er sykurinn á toppinn á hinu fullkomna öryggi.
Ég mæli ekki með þessu fyrir t.d desktop tölvur sem keyra bara
vefþjón etc.
Þetta er skíturinn sem gerir professional servera örugga fyrir ÖLLU! :)
Setur password á þetta og þá getur ekki einu sinni root breytt
ákveðnum skrám.
Þetta er s.s samblanda af kernel plástrum og userland forritum, og
þar sem þetta er innbyggt í kjarnann getur ekki einu sinni root
tekið þessa viðbót úr sambandi nema að eiga lykilorðið :)
Snilldin hin mesta, nema eins og ég segi, fyrir minni tölvur, mér
t.d fynnst þetta helst til þreytandi á köflum þar sem ég er bara að
keyra http server og router fyrir localnetið, en massa-sniðugt
fyrir stærri servera.
-
Listin að velja réttu þjónana:
HTTP:
Hér er ekki einu sinni spurning hvert valið er:
Apache 1.3.x
Einn af fáum þjónum sem aldrei hefur fundist Buffer overflow sem
leiðir að root aðgangi.
Mjög flexible og hægt að bæta öllum fjandanum við hann :)
Perl, PHP & SSL svo fátt sé nefnt.
/
FTP:
Hér myndi ég velja ProFTPd
Mjög fáir gallar fundist hér á bæ, andstætt WuFTPd, sem maður
bókstaflega sér nýjan remote root galla í hverjum mánuði.
Annars er sftp mjög sniðugt líka, byggt ofaná ssh.
/
SSH:
Hérna er í raun sama hvort þú velur frekar OpenSSH eða SSH
mjög svipað í öryggi, ég nota persónulega OpenSSH.
/
Proxy:
Well ekki mikið af valmöguleikum hér á bæ :)
Ég nota squid og rétt stilltur er hann mjög öruggur og góður.
Bara muna: “Ekki nota allow all” !! :)
/
Nameserver:
Hér mun BIND 8.x ráða ríkjum, hinsvegar er hann dálítið hættulegur,
þar sem ef það fynnst galli er það í öllum tilfellum remote root
galli, og hefur BIND 4.x og 8.x haft sinn skerf af þeim.
Útgáfa 9.x kom nú út fyrir dálitlu síðan og lítur hún vel út, manni
er bara ekkert alltof vel við það að nota developmental útgáfu af
hugbúnaði sem svo oft koma upp remote root gallar :)
Annars góður kostur að velja djbdns, nafnþjónn BSD kerfanna.
Kemur meira að segja með mjög áhugaverðu ábyrgðarskýrteini:
http://cr.yp.to/djbdns/guarantee.html
-
I offer $500 to the first person to publicly report a verifiable
security hole in the latest version of djbdns.
-
/
Vona að þetta hafi hjálpað eitthvað.
Addi