Fő a biztonság! III.
2004/07/07 20:18
1701 megtekintés
A cikk már legalább egy éve nem frissült, az akkor még aktuális információk lehet, hogy mára elavultak.
Miután megvagyunk a telepítéssel, nem árt, ha odafigyelünk a szolgáltatások telepítésekor.

Ha rendszerünk megfelelően működik, a telepítést az egyes szolgáltatások installálásával folytathatjuk. Alapszabály, hogy csak azt telepítsünk egy szerverre, amire igazán szükség van! Ne kísérletezzünk nem ismert szolgáltatásokkal egy olyan szerveren, amely nem megfelelő működés esetén több száz felhasználó napi munkáját akadályozhatja.
Ha megtehetjük, a szolgáltatásokat több gépre osszuk szét. Ennek a megoldásnak több előnye is van: egyrészt csökkenthetjük az egy gépre jutó terhelést, másrészt biztonságosabb lesz rendszerünk, hiszen ha egyik szerverünk "elesik a harctéren", a rendszer többi része még működőképes marad.

Legtöbbször külön gépre szoktuk telepíteni az alábbi szolgáltatásokat:

  • tűzfal
  • levelezés
  • proxy
  • web-, ftp-szolgáltatás
  • fileszerver szolgáltatás

Ha lehetőségeink nem engedik meg, természetesen mindezt egyetlen gépre is telepíthetjük, de érdemes legalább egy tűzfalra való különgépet összegründolnunk, hiszen ennek a legkisebb az erőforrásigénye, mégis egy jól felépített tűzfal életet menthet.A tűzfal telepítésével külön cikkben foglalkozunk, most lássuk, mit tegyünk a levelezéssel! Ha nincs különösebb indokunk, nem feltétlenül szükséges valódi felhasználók létrehozása levelezőszerverünkön. Többféle megoldás is létezik virtuális felhasználók kreálására, akár Exim, akár Postfix segítségével; a userek azonosítása és tárolása megvalósítható adatbázis alapon is. Ez egyrész biztonság szempontjából sem elhanyagolható előny - hiszen a rendszerfeltörések egyik első lépése, hogy érvényes valódi felhasználói jogokhoz jussunk a kompromittálandó gépen -, másrész egy logikusan felépített SQL adatbázisban a felhasználók nyilvántartása pofonegyszerű lehet.

Ha konzervatív megoldást használunk, "igazi" accountokkal, akkor ügyeljünk arra, hogy felhasználóink semmiféle közvetlen hozzáféréssel ne rendelkezzenek. Ez megoldható egyrészt a felhasználók shell-jének megvonásával (pl. chsh -s /bin/false user), másrészt a távoli hozzáférés teljes korlátozásával is. Divatos és hasznos megoldás a levelezőszolgáltatás chroot-olása vagy jail-be helyezése. A módszer lényege, hogy az alkalmazás számára mikrokörnyezetet teremtünk, melybe hiába jut ki rosszindulatú betörőnk, onnan kijjebb lépni már nem tud, így a teljes rendszer biztonságát nem veszélyezteti. Miután levelezőszerverünk SMTP és POP3 vagy IMAP szolgáltatásokat is fog nyújtani, elegendő csak az ezekhez való hozzáférést engedélyezni, akár a tűzfalon, akár lokálisan. Nem árt, ha felhasználóinkat a biztonságosabb átvitelt nyújtó POP3S vagy IMAPS felé tereljük.Nagyon sok problémát okozhat számunkra, ha levelezőrendszerünk open relay módban üzemel, tehát bárki számára lehetővé teszi a levelek továbbítását. Ezt többféle módon is megakadályozhatjuk.

Exim esetén az alábbiakat ellenőrizzük az exim.conf file-ban:

host_accept_relay = 127.0.0.1 : ::::1 : 192.168.1.1/24 - itt értelemszerűen az a címtartomány vagy az(ok) a cím(ek) szerepel(nek), melyek számára engedélyezzük a levélküldést

Postfix-nál az alábbiakra van szükség:

mynetworks = 127.0.0.0/8 192.168.0.0/24

Csatlakozz hozzánk!

Ajánljuk

European Schoolnet Academy Ingyenes online tanfolyamok tanároknak
School Education Gateway Ingyenes tanfolyamok és sok más tanárok számára
ENABLE program Program iskoláknak a bullying ellen
Jövő osztályterme Modern tanulási környezetekről a Sulineten