Fő a biztonság! II.
2004/06/28 13:23
1450 megtekintés
A cikk már legalább egy éve nem frissült, az akkor még aktuális információk lehet, hogy mára elavultak.
Cikkünkben megnézzük, mire kell figyelnünk egy igazán biztonságos Linux disztribúció telepítésekor.

Miután túl vagyunk rendszerünk megtervezésén, választanunk kell a rengeteg disztribúció között. Érdemes minél inkább az adott feladatra optimalizált változatot választani, hiszen nem feltétlenül van szükségünk pl. grafikus felületre, milliónyi alkalmazásra. Válasszunk a feladatnak megfelelő hardverrel épített gépet, és informálódjunk a gépben lévő eszközök Linuxos támogatása felől. Minden esetben szerezzük be választottunk legfrissebb változatát, ne évekkel-hónapokkal ezelőtt letöltött/vásárolt telepítőkészletet használjunk.
Már a telepítés során tartsuk be a KISS ("Keep it simple and stupid") alapelvet, magyarul: rendszerünk minél kisebb, kompaktabb és egyszerűbb felépítésű legyen. Ne telepítsünk felesleges alkalmazásokat, szolgáltatásokat, először csak a legszükségesebbeket válasszuk ki. Ha alaprendszerünk működőképes és hibátlanul fut, akkor kezdjünk neki a további alkalmazások installálásához.

Ha tehetjük, telepítsük operációs rendszerünket egy publikus hálózatról leválasztott gépre. Sajnos Linux rendszereken is előfordult már, hogy a telepítés befejeztére hívatlan vendég lakott a gépen. Első indításkor átmenetileg leállíthatjuk a szolgáltatásokat, így frissítsük az adott alkalmazásainkat. Véletlenül se kövessük el azt a hibát, hogy (akár átmenetileg is) üres vagy könnyen megjegyezhető rendszergazdai jelszót választunk. Néhány Linux disztribúció már a telepítésnél figyelmeztet bennünket nem megfelelő jelszóválasztásnál, de ne bízzuk a véletlenre. Semmilyen körülmények között ne adjuk azt ki, még rövid időre sem. Más operációs rendszerekben járatos szakembereknek kissé új dolog lehet a Unix rendszerekben alkalmazott particionálási és mountolási (felcsatolás) technika. Még telepítés előtt tervezzük meg a lemezek kiosztását, ezzel sok bosszúságtól kímélhetjük meg magunkat.

A particionálás főbb szabályai a következők

  • ne egy nagy partíciót használjunk!
  • különítsük el a rendszer és a felhasználók partícióit!
  • lehetőség szerint készítsünk külön partíciót a naplófile-ok számára!


Álljon itt példaképpen egy viszonylag nagy terhelésű szerver lemezkiosztása:
Jól látszik, hogy külön területre került az alaprendszer, az e-mailek tárolására szolgáló mappa, a felhasználók home könyvtárai, a naplófile-ok, a webtárhely, valamint készült egy nagyméretű tmp partíció is. (A filesystem oszlopban látható, igen sajátos eszközelnevezések a rendszeren használt LVM - Logical Volume Manager - miatt kerültek oda. Ezt az igen hasznos szolgáltatást egy későbbi cikkben mutatjuk be részletesen). Ezeknek köszönhetően egy váratlan támadás következtében keletkezett nagyméretű naplófile-növekedés vagy e-mail bombázás sem bénítja meg a rendszer működését.

A telepítés befejeztével kezdődnek az igazi kihívások. Hiába teszünk meg mindent elméletben egy biztonságos rendszer kialakításáért, ha a gyakorlatban az egyes alkalmazások konfigurálásánál komoly hibákat vétünk. Legyünk mindig óvatosak.

Bármilyen disztribúciót is választunk, szinte bizonyosan valamilyen régebbi kernelt találunk benne. Mindenképpen érdemes letölteni és rendszerünkre optimalizálni a legfrissebb elérhető kernelt, amennyiben az legalább néhány napos vagy hetes, hiszen elképzelhető, hogy egy éppen kiadott kernel is tartalmaz hibákat.

A biztonsági kernelpatch-ek olyan védelmi funkciókat biztosítanak számunkra, melyek segítségével szigorú biztonsági rendszert építhetünk ki. Ismerkedjünk meg néhánnyal:

  • grsecurity: Az egyik legismertebb és legjobb kiegészítés. Segítségével elrejthetünk processzeket a felhasználók elől, korlátozhatunk erőforrásokat, RBAC (Role-Based Access Control) hozzáférést biztosíthatunk, de kár is folytatni, hiszen a honlapon (http://www.grsecurity.org/) bővebben olvashatunk a szolgáltatásokról
  • RSBAC: Szintén gyakran használt védelmi rendszer, elsősorban hozzáférés-szabályozásra használhatjuk (http://www.rsbac.org)
  • LIDS: A LIDS (Linux Intrusion Detection System) nem csak védelmi, hanem behatolás-érzékelés funkciókkal is rendelkezik. Segítségével - többek között - akár az is megvalósítható, hogy ha rosszindulatú látogatónk root hozzáférést szerez, akkor sem fog tudni semmilyen kárt tenni rendszerünkben. Emellett bőséges naplózási kiegészítést és riasztási lehetőséget is tartalmaz. Bővebben a http://www.lids.org/ címen olvashatunk róla.
  • OpenWall: A méltán híressé vált Solar Designer fejlesztése. Segítségével alapszintű biztonsági védelmet képezhetünk rosszindulatú felhasználóinkkal szemben, sok local root exploit (helyi gépen kihasználható sebezhetőség) ellen nyújt védelmet. A http://www.openwall.com/linux/ címről tölthejük le.

A felsorolt patch-ek telepítése egyszerű, konfigurálásuk azonban időigényes. Ne sajnáljuk hát energiánkat, próbáljuk ki (de lehetőleg ne keverjük) őket. Későbbi cikkünkben megpróbálunk betekintést nyújtani egy RBAC rendszer installálásába.

Csatlakozz hozzánk!

Ajánljuk

European Schoolnet Academy Ingyenes online tanfolyamok tanároknak
School Education Gateway Ingyenes tanfolyamok és sok más tanárok számára
ENABLE program Program iskoláknak a bullying ellen
Jövő osztályterme Modern tanulási környezetekről a Sulineten