Miután túl vagyunk rendszerünk megtervezésén, választanunk kell a rengeteg disztribúció között. Érdemes minél inkább az adott feladatra optimalizált változatot választani, hiszen nem feltétlenül van szükségünk pl. grafikus felületre, milliónyi alkalmazásra. Válasszunk a feladatnak megfelelő hardverrel épített gépet, és informálódjunk a gépben lévő eszközök Linuxos támogatása felől. Minden esetben szerezzük be választottunk legfrissebb változatát, ne évekkel-hónapokkal ezelőtt letöltött/vásárolt telepítőkészletet használjunk.
Már a telepítés során tartsuk be a KISS ("Keep it simple and stupid") alapelvet, magyarul: rendszerünk minél kisebb, kompaktabb és egyszerűbb felépítésű legyen. Ne telepítsünk felesleges alkalmazásokat, szolgáltatásokat, először csak a legszükségesebbeket válasszuk ki. Ha alaprendszerünk működőképes és hibátlanul fut, akkor kezdjünk neki a további alkalmazások installálásához.
Ha tehetjük, telepítsük operációs rendszerünket egy publikus hálózatról leválasztott gépre. Sajnos Linux rendszereken is előfordult már, hogy a telepítés befejeztére hívatlan vendég lakott a gépen. Első indításkor átmenetileg leállíthatjuk a szolgáltatásokat, így frissítsük az adott alkalmazásainkat. Véletlenül se kövessük el azt a hibát, hogy (akár átmenetileg is) üres vagy könnyen megjegyezhető rendszergazdai jelszót választunk. Néhány Linux disztribúció már a telepítésnél figyelmeztet bennünket nem megfelelő jelszóválasztásnál, de ne bízzuk a véletlenre. Semmilyen körülmények között ne adjuk azt ki, még rövid időre sem. Más operációs rendszerekben járatos szakembereknek kissé új dolog lehet a Unix rendszerekben alkalmazott particionálási és mountolási (felcsatolás) technika. Még telepítés előtt tervezzük meg a lemezek kiosztását, ezzel sok bosszúságtól kímélhetjük meg magunkat.
A particionálás főbb szabályai a következők
- ne egy nagy partíciót használjunk!
- különítsük el a rendszer és a felhasználók partícióit!
- lehetőség szerint készítsünk külön partíciót a naplófile-ok számára!
Álljon itt példaképpen egy viszonylag nagy terhelésű szerver lemezkiosztása:
Jól látszik, hogy külön területre került az alaprendszer, az e-mailek tárolására szolgáló mappa, a felhasználók home könyvtárai, a naplófile-ok, a webtárhely, valamint készült egy nagyméretű tmp partíció is. (A filesystem oszlopban látható, igen sajátos eszközelnevezések a rendszeren használt LVM - Logical Volume Manager - miatt kerültek oda. Ezt az igen hasznos szolgáltatást egy későbbi cikkben mutatjuk be részletesen). Ezeknek köszönhetően egy váratlan támadás következtében keletkezett nagyméretű naplófile-növekedés vagy e-mail bombázás sem bénítja meg a rendszer működését.
A telepítés befejeztével kezdődnek az igazi kihívások. Hiába teszünk meg mindent elméletben egy biztonságos rendszer kialakításáért, ha a gyakorlatban az egyes alkalmazások konfigurálásánál komoly hibákat vétünk. Legyünk mindig óvatosak.
Bármilyen disztribúciót is választunk, szinte bizonyosan valamilyen régebbi kernelt találunk benne. Mindenképpen érdemes letölteni és rendszerünkre optimalizálni a legfrissebb elérhető kernelt, amennyiben az legalább néhány napos vagy hetes, hiszen elképzelhető, hogy egy éppen kiadott kernel is tartalmaz hibákat.
A biztonsági kernelpatch-ek olyan védelmi funkciókat biztosítanak számunkra, melyek segítségével szigorú biztonsági rendszert építhetünk ki. Ismerkedjünk meg néhánnyal:
- grsecurity: Az egyik legismertebb és legjobb kiegészítés. Segítségével elrejthetünk processzeket a felhasználók elől, korlátozhatunk erőforrásokat, RBAC (Role-Based Access Control) hozzáférést biztosíthatunk, de kár is folytatni, hiszen a honlapon (http://www.grsecurity.org/) bővebben olvashatunk a szolgáltatásokról
- RSBAC: Szintén gyakran használt védelmi rendszer, elsősorban hozzáférés-szabályozásra használhatjuk (http://www.rsbac.org)
- LIDS: A LIDS (Linux Intrusion Detection System) nem csak védelmi, hanem behatolás-érzékelés funkciókkal is rendelkezik. Segítségével - többek között - akár az is megvalósítható, hogy ha rosszindulatú látogatónk root hozzáférést szerez, akkor sem fog tudni semmilyen kárt tenni rendszerünkben. Emellett bőséges naplózási kiegészítést és riasztási lehetőséget is tartalmaz. Bővebben a http://www.lids.org/ címen olvashatunk róla.
- OpenWall: A méltán híressé vált Solar Designer fejlesztése. Segítségével alapszintű biztonsági védelmet képezhetünk rosszindulatú felhasználóinkkal szemben, sok local root exploit (helyi gépen kihasználható sebezhetőség) ellen nyújt védelmet. A http://www.openwall.com/linux/ címről tölthejük le.
A felsorolt patch-ek telepítése egyszerű, konfigurálásuk azonban időigényes. Ne sajnáljuk hát energiánkat, próbáljuk ki (de lehetőleg ne keverjük) őket. Későbbi cikkünkben megpróbálunk betekintést nyújtani egy RBAC rendszer installálásába.