Usługi startowe

Twój host bastionowy zapewne nie powinien świadczyć usług startowych żaden komputer nie powinien ufać hostowi bastionowemu na tyle, aby pobierać z niego dane startowe. Oznacza to, że w większości przypadków powinieneś wyłączyć następujące usługi:

tftpd bootd bootpd dhcpd. Usługi związane z poleceniami „r” z BSD Wszystkie te usługi powinny być wyłączone. Serwery tych usług zwykle noszą nazwy rshd, rlogind oraz rexecd i są uruchamiane przez inetd. Pozostałe usługi „r” korzystają z tych serwerów i nie będą bez nich działać.

routed. Kolejny serwer, którego zapewne nie potrzebuje twój host bastionowy, to routed. Jest uruchamiany podczas startu systemu z plików /etc/rc, odbiera rozgłoszenia z informacjami o trasowaniu i uaktualnia na ich podstawie tablicę tras w jądrze.

Prawdopodobnie nie potrzebujesz serwera routed w hoście bastionowym, ponieważ host ten jest zwykle umieszczony na peryferiach twojej sieci, gdzie trasowanie powinno być dość proste. Bezpieczniej będzie utworzyć trasy statyczne do twoich sieci wewnętrznych oraz trasę domyślną do twojego internetowego rutera. Odbywa się to w czasie startu systemu, dzięki odpowiednim poleceniem „route add” w plikach /etc/rc.

Jeśli musisz uaktywnić dynamiczne trasowanie w hoście bastionowym, użyj demona trasującego, który umożliwia uwierzytelnianie źródła informacji o trasowaniu. Powinien on albo filtrować trasy na podstawie ich adresu źródłowego, albo obsługiwać protokół trasowania z uwierzytelnianiem, taki jak RIP v2. Jeśli chcesz używać protokołu z uwierzytelnianiem, sprawdź, czy obsługują go twoje rutery jeśli chcesz filtrować trasy według adresu źródłowego, pamiętaj o właściwym skonfigurowaniu demona. Najpopularniejszym demonem tego typu był GateD, ale obecnie dostępne są także inne, na przykład Zebra. W dodatku B, „Narzędzia” znajdziesz informacje o pozyskiwaniu tych demonów.

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>