A kezdetek

Már az operációs rendszer telepítése előtt érdemes megterveznünk a védekezés leendő formáját, hiszen a menet közbeni toldozás-foldozás nem sosem vezet jóra. Az iskolák nagy részében "mindent-bele" típusú szerver működik, azaz egyetlen géppel próbáljuk ellátni azokat a feladatokat, amelyeket megfelelő körülmények között egyedi eszközökkel kellene megoldanunk. Ha lehetőségünk engedi, tegyük külön gépekre az egyes szolgáltatásokat (pl. tűzfal, e-mail, web, ftp), hiszen ezzel nem csak a biztonságot növeljük, hanem a rendszerünk teljesítményét is megtöbbszörözhetjük.

Operációs rendszertől függetlenül célszerű a telepítést aktív külső hálózati kapcsolat nélkül végezni, hiszen sajnos láttunk már arra példát, hogy mire a rendszer feltelepült, már idegen behatoló vagy vírus vendégeskedett a gépen. Már az installálás közben válogassuk össze a szükséges szolgáltatásokat, felesleges komponenseket ne telepítsünk.

A telepítés után azonnal töltsük le a frissítéseket, patch-eket. Szinte mindegyik disztribúciónál lehetőség van központi szerverekről történő frissítésre, így nem kell azok összevadászásával bajlódnunk. (Ebből a szempontból talán a Debian a legrugalmasabb: a beépített csomagkezelő frontend segítségével egy apt-get update; apt-get upgrade parancspáros kiadásával up-to-date rendszert kapunk.) Javasolt egy friss, megfelelően konfigurált kernel fordítása is, erről egy későbbi cikkünkben részletesen írunk.

A felhasználók

Ha kész az installálás, elkezdhetjük létrehozni a felhasználókat - már ha egyáltalán szükség van rá. Lehetőség van ugyanis arra, hogy virtuális usereket készítsünk akár SQL-adatbázisban, akár LDAP-szerverben. Ennek a megoldásnak nagy előnye, hogy gyorsabban, egyszerűbben menedzselhetjük felhasználóinkat akár központilag is, sőt, a biztonság növekedése sem elhanyagolható, hiszen ha nincs igazi felhasználó, nincs közvetlen hozzáférés a rendszerünkhöz, ergo egy problémát megoldottunk.

Fontos kiemelnünk, hogy rendkívül csínján kell bánnunk azokkal a felhasználókkal, akik valódi (shell) hozzáférést kapnak a rendszerhez: a jó rendszergazda senkiben ne bízzon meg. Inkább legyen sértődés, de illetéktelen, gyakorló diák, külső barát, stb. soha ne rendelkezzen közvetlen hozzáféréssel.

A szolgáltatások

A tervezési szakaszban összeszedtük, milyen szolgáltatásokat fogunk nyújtani a belső, illetve a külső hálózat felé. Linux alatt egy feladatra sokféle megoldás létezik, kedvünk, illetve tapasztalatunk szerint válasszunk olyan szoftvert, amelyet biztonságosan tudunk üzemeltetni. Mielőtt egy számunkra ismeretlen programot telepítenénk, érdemes utánanézni, nincs-e valamilyen ismert biztonsági rés, tervezési hiba benne. Ha a legapróbb lyukat is megtalálja egy gonosz cracker, már biztosítva van néhány álmatlan éjszakánk.

Természetesen korlátozhatjuk az egyes szolgáltatásokhoz történő hozzáférést akár felhasználók szerint, akár különböző hálózati irányokból is (pl. POP3 levélletöltés csak bentről, FTP bárhonnan, stb.). Ha egy szolgáltatásnak létezik titkosított csatornán használható változata, habozás nélkül használjuk azt, hiszen egy jelszó elfogása szinte gyerekjáték egy titkosítatlan csatornán.

Tűzfal

Előbb-utóbb mindenki belebotlik a tűzfal-problémába: milyet, honnan, hogyan?

Egy egyszerű rendszer esetén is érdemes legalább egy alapszintű csomagszűrő tűzfalat beüzemelnünk. A csomagszűrők (pl. iptables) IP-szinten elemzik az átmenő forgalmat, képesek eldobni, illetve visszaküldeni a nem megengedett csomagokat, sőt, képesek akár a csomagokat átirányítani is. Egy alap Linux rendszert iptables-szel már egy PI-200 MHz-es, 32 MB-os gépre is felhúzhatunk tűzfal gyanánt, de léteznek egyfloppis megoldások is (pl. floppyfw, Coyote Linux).

Professzionális felhasználás esetén vethetjük be a proxy tűzfalakat (pl. Zorp), melyek képesek az alkalmazási szinten vizsgálni a forgalmat, így kiszűrhetőek pl. más protokollba bújtatott adatfolyamok. Hátrányuk a relatív nagy hardverigény, melyet oktatási intézmények nehezebben tudnak biztosítani. Bármelyik megoldást választjuk, körültekintően kell eljárni a tűzfalszabályok megalkotásakor, hiszen egy rossz mozdulattal elzárhatjuk magunkat a külvilágtól, illetve a használhatatlanságig korlátozhatjuk a hálózatunk működését.

Későbbi cikkeinkben részletesen bemutatjuk az iptables működését és konfigurálását.

Egyéb ötletek

A Linux rendszerek egyik legnagyszerűbb szolgáltatása a távoli shell hozzáférés biztosítása, melynek segítségével otthonról akár egy 33.6 kb-s modemmel is kényelmesen tudjuk adminisztrálni szerverünket. A Unixok hőskorában a telnet szolgált ennek a szolgáltatásnak az igénybevételére, de manapság a titkosított csatornán keresztül kommunikáló ssh-t részesítjük előnyben. Az ssh-t használatát is korlátozhatjuk IP-cím, felhasználó, de akár kulcs alapú azonosítás alapján.

Használjunk behatolás-detektáló (intrusion detection) alkalmazásokat (Snort, Tiger, idsa). Ezek figyelik a rendszer mindekori folyamatait, némelyik naplófile-analizálásra is alkalmas, és megfelelő infrastruktúrával megoldhatjuk, hogy nem kívánt behatolás vagy működés esetén e-mailben vagy SMS-ben értesítsen bennünket, hogy mielőbb védekezhessünk.

Legvégül, de nem utolsósorban említenénk meg a jelszavak problémáját. Sok felhasználó (de rendszergazda is!) egyszerű, könnyen megjegyezhető jelszavakat használ. Ne engedjük! Készítsünk jelszószabályt (pl. minimális hossz, nem tartalmazhatja a felhasználónevet, stb), melynek maradéktalan betartatásától még különleges esetekben se térjünk el.

Rendszergazdai jelszavunkat rendszeres időközönként változtassuk meg, és semmilyen kérésre ne adjuk át azt harmadik személynek. (Ez utóbbival kapcsolatos kalandjait e cikk szerzője egy későbbi irásában fogja a Tisztelt Olvasókkal megosztani)