Instalowanie i modyfikowanie usług

Część usług, które zechcesz udostępniać, może nie wchodzić w skład systemu operacyjnego (dotyczy to na przykład serwerów WWW). Inne mogą być dostarczane w wersjach nie nadających się do bezpiecznego środowiska albo nie mieć potrzebnych funkcji (na przykład standardowe serwery fingerd iftpd). Nawet nieliczne pozostałe usługi, które wchodzą w skład systemu oraz są bezpieczne i aktualne, należy zabezpieczyć za pomocą pakietu TCP Wrapper lub programu netacl z TIS FWTK, co zapewni również rejestrowanie zdarzeń (choć TCP Wrapper i netacl ulepszają zabezpieczenia, nie są doskonałe identyfikują hosty na podstawie źródłowego adresu IP, który można fałszować).

Bliższe informacje o poszczególnych usługach, w tym rady dotyczące wyboru serwerów HTTP, NNTP i FTP, znajdziesz w części III, „Usługi internetowe”. Usługi, które pozostawisz włączone, powinny być zabezpieczone za pomocą pakietu TCP Wrapper lub programu netacl na tyle, na ile to możliwe, jak opisujemy w następnych podrozdziałach. Możesz na przykład skonfigurować swój host bastionowy tak, aby akceptował połączenia Telnetu tylko od konkretnego komputera, na przykład stacji roboczej, której zwykle używasz.

Zabezpieczanie usług za pomocą pakietu TCP Wrapper. Pakiet TCP Wrapper, napisany przez Wietsego Venemę, monitoruje przychodzący ruch sieciowy i kontroluje aktywność w sieci. To prosty, ale bardzo efektywny program, który uruchamia się zawsze wtedy, gdy połączone zostaną konkretne porty (odpowiadające pewnym usługom). TCP Wrapper zapewnia usługom uruchamianym przez inetd ochronę za pomocą list kontroli dostępu, a także ulepszone rejestrowanie zdarzeń.

Korzystanie z pakietu TCP Wrapper jest łatwe. Oto, co należy zrobić: 1. Zainstaluj pakiet i opracuj parę prostych plików kontroli dostępu, definiujących, które hosty i sieci mają dostęp do których usług.

-2. Zrekonfiguruj inetd tak, aby uruchamiał główny program TCP Wrapper (o nazwie tcpd) zamiast „prawdziwego” serwera. 3. Kiedy nadejdzie żądanie dostępu do usługi, inetd uruchomi tcpd, który porówna żądanie z informacjami w pliku konfiguracyjnym TCP Wrapper. Program decyduje, czy należy zarejestrować żądanie i czy zostanie ono spełnione.

-4. Jeśli tcpd ustali, że żądanie jest akceptowalne, uruchamia „prawdziwy” serwer, który je przetwarza.

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>