tylko-tutaj-linux-serwery-bezpieczenstwo_lisebe.pdf

IDZ DO

PRZYK£ADOW Y ROZDZIA£

Linux. Serwery.

SPIS TREŒCI

Bezpieczeñstwo

Autor: Michael D. Bauer

T³umaczenie: Marek Pêtlicki (rozdz. 6–11), Grzegorz

Werner (przedmowa, rozdz. 3, 5, 12, 13, dod. A),

S³awomir WoŸniak (rozdz. 1, 2, 4)

ISBN: 83-7361-988-7

Tytu³ orygina³ u: Linux Server Security

Format: B5, stron: 520

KATALOG KSI¥¯EK

KATALOG ONLINE

ZAMÓW DRUKOWANY KATALOG

TWÓJ KOSZYK

DODAJ DO KOSZYKA

Kompendium wiedzy o ochronie serwerów linuksowych przed atakami z sieci

Projektowanie sieci granicznej

Korzystanie z mechanizmów szyfrowania transmisji

Zabezpieczanie us³ug udostêpnianych przez serwer

Pod kontrol¹ systemów operacyjnych z rodziny Linux dzia³aj¹ setki serwerów

internetowych. Mo¿liwoœci Linuksa pozwalaj¹ na uruchomienie serwera WWW, FTP,

poczty elektronicznej, DNS i baz danych. Aby jednak funkcje serwerowe dzia³a³y

bez zak³óceñ, udostêpniony w sieci serwer nale¿y odpowiednio zabezpieczyæ.

Bezpieczeñstwo serwerów, szczególnie w œwietle rosn¹cej iloœci w³amañ i kradzie¿y

danych, jest niezwykle istotnym zagadnieniem. Linux wyposa¿ony jest w narzêdzia

umo¿liwiaj¹ce zabezpieczenie uruchomionych w nim us³ug i danych przechowywanych

w sieci. Trzeba jednak wiedzieæ, których narzêdzi u¿yæ i jak je skonfigurowaæ.

Ksi¹¿ka „Linux. Serwery. Bezpieczeñstwo” to podrêcznik dla administratorów serwerów,

którzy chc¹ podnieœæ poziom bezpieczeñstwa swoich sieci. Zawiera dok³adne opisy

narzêdzi niezbêdnych do zabezpieczenia serwerów oraz praktyczne rady dotycz¹ce

ich stosowania. Przedstawia ogólne œrodki bezpieczeñstwa: wykrywanie w³amañ

i filtrowanie pakietów, oraz rozwi¹zania pozwalaj¹ce na ochronê konkretnych us³ug.

Czytaj¹c j¹, dowiesz siê, jak projektowaæ strefy DMZ, korzystaæ z narzêdzia iptables

i szyfrowaæ dane przesy³ane do serwera. Nauczysz siê tak¿e zabezpieczaæ serwery

DNS, WWW i bazy danych oraz analizowaæ dzienniki systemowe.

Motywy i cele ataków

Tworzenie sieci granicznych

Konfiguracja narzêdzia iptables

Administrowanie zdalne za pomoc¹ SSH

Zabezpieczanie us³ugi DNS

Wykorzystywanie LDAP do uwierzytelniania u¿ytkowników

Zabezpieczanie bazy danych MySQL oraz poczty elektronicznej

Bezpieczeñstwo serwerów WWW oraz treœci witryn internetowych

Zabezpieczanie serwerów plików

Monitorowanie dzienników systemowych

Wykrywanie w³amañ

Jeœli chcesz, aby administrowany przez Ciebie serwer sta³ siê twierdz¹, przeczytaj tê

ksi¹¿kê.

CENNIK I INFORMACJE

ZAMÓW INFORMACJE

ONOWOŒCIACH

ZAMÓW CENNIK

CZYTELNIA

FRAGMENTY KSI¥¯EK ONLINE

Wydawnictwo Helion

ul. Chopina 6

44-100 Gliwice

tel. (32)230-98-63

e-mail: helion@helion.pl

Spis treści

Przedmowa .................................................................................................................... 9

1. Modelowanie zagrożeń i zarządzanie ryzykiem ........................................................ 17

Składniki ryzyka

Podstawowe narzędzia analizy ryzyka: ALE

Alternatywa: drzewo ataków

Możliwości obrony

Wnioski

Zasoby

2. Projektowanie sieci granicznej ................................................................................... 37

Trochę terminologii

Rodzaje zapór sieciowych i architektur stref DMZ

Co powinno znaleźć się w strefie zdemilitaryzowanej?

Alokowanie zasobów w strefie DMZ

Zapora sieciowa

3. Wzmacnianie Linuksa i korzystanie z iptables ...........................................................61

Zasady wzmacniania systemu operacyjnego

Automatyczne wzmacnianie systemu za pomocą skryptów Bastille Linux

123

4. Bezpieczna administracja zdalna ..............................................................................129

Powody, dla których narzędzia opierające się na otwartym tekście powinny

odejść w zapomnienie

129

Podstawowe informacje dotyczące Secure Shell

130

SSH na zaawansowanym i średnio zaawansowanym poziomie

140

5. OpenSSL i Stunnel ...................................................................................................... 157

Stunnel i OpenSSL: pojęcia

157

6. Zabezpieczanie usługi DNS ........................................................................................ 179

Podstawy mechanizmów DNS

179

Podstawy bezpieczeństwa DNS

181

Wybór pakietu oprogramowania DNS

183

Zabezpieczanie serwera BIND

184

djbdns

203

Zasoby

221

7. Zastosowanie LDAP do uwierzytelniania ................................................................ 225

Podstawy systemu LDAP

225

Konfiguracja serwera

229

Zarządzanie bazą LDAP

238

Wnioski

243

Zasoby

244

8. Bezpieczeństwo baz danych ..................................................................................... 245

Rodzaje problemów bezpieczeństwa

246

Lokalizacja serwera

246

Instalacja serwera

249

Użytkowanie bazy danych

254

Zasoby

258

9. Zabezpieczanie poczty e-mail .................................................................................. 259

Podstawy: bezpieczeństwo serwerów SMTP

260

Wykorzystanie poleceń SMTP do diagnostyki serwera

263

Zabezpieczenie serwera MTA

265

Sendmail

265

Postfix

292

Serwery MDA

300

Krótkie wprowadzenie do szyfrowania poczty elektronicznej

314

Zasoby

317

10. Zabezpieczanie serwerów WWW .............................................................................319

Bezpieczeństwo sieci WWW

319

Serwer WWW

321

Treść serwisu WWW

332

Aplikacje WWW

342

Warstwy ochrony

364

Zasoby

365

11. Zabezpieczanie usług plikowych .............................................................................. 367

Bezpieczeństwo usługi FTP

367

Inne metody współdzielenia plików

396

Zasoby

408

6 | Spis treści

12. Zarządzanie dziennikami systemowymi i monitorowanie ich ............................... 409

syslog

409

Syslog-ng

419

Testowanie rejestrowania systemowego za pomocą programu logger

435

Zarządzanie plikami dziennika za pomocą programu logrotate

437

Zautomatyzowane monitorowanie dzienników za pomocą programu Swatch

440

Kilka prostych narzędzi raportujących

448

Zasoby

448

13. Proste techniki wykrywania włamań ....................................................................... 449

Zasady systemów wykrywania włamań

450

Tripwire

453

Inne programy do kontroli integralności

467

Snort

469

Zasoby

481

A Dwa kompletne skrypty startowe iptables .............................................................. 483

Skorowidz .................................................................................................................. 493

Spis treści | 7

ROZDZIAŁ 5.

OpenSSL i Stunnel

Ten rozdział mieści się — zarówno w sensie technologicznym, jak i dosłownym — między

częścią opisującą zakulisowe mechanizmy a poświęconą usługom; traktuje o pakiecie OpenSSL,

który zapewnia usługi szyfrowania i uwierzytelniania wielu narzędziom omówionym w ni-

niejszej książce. OpenSSH, Apache, OpenLDAP, BIND, Postfix i Cyrus IMAP to tylko niektó-

re spośród aplikacji wykorzystujących OpenSSL.

OpenSSL jest jednak niezwykle skomplikowaną technologią, a jej pełny opis wymagałby od-

dzielnego tomu (takiego jak Network Security with OpenSSL wydawnictwa O’Reilly). Dlatego

w tym rozdziale pokażemy tylko, jak używać OpenSSL w konkretnej sytuacji: do osadzania

niezaszyfrowanych usług TCP w zaszyfrowanych „tunelach” SSL przy użyciu popularnego na-

rzędzia Stunnel.

Tak się składa, że konfigurowanie programu Stunnel wymaga, abyśmy użyli pakietu OpenSSL

do kilku zadań wspólnych dla wszystkich aplikacji zależnych od OpenSSL, które często wy-

korzystuje się w serwerach bastionowych. Zatem, nawet jeśli samo narzędzie Stunnel okaże

się niepotrzebne, warto przeczytać ten rozdział, aby dowiedzieć się, jak generować certyfi-

katy serwera, zarządzać własnym urzędem certyfikacji itd.

Stunnel i OpenSSL: pojęcia

Mówiąc najprościej, tunelowanie polega na osadzaniu pakietów jednego protokołu w pakie-

tach drugiego. W kontekście bezpieczeństwa termin ten zwykle określa osadzanie pakietów

niezabezpieczonego protokołu w pakietach zaszyfrowanych 1 . W tym rozdziale pokażemy, jak

używać programu Stunnel — „nakładki” na protokół SSL — do przekazywania różnych trans-

akcji sieciowych przez tunele SSL.

Wiele aplikacji sieciowych cechuje się prostotą (pod względem sposobu korzystania z zaso-

bów sieciowych) i użytecznością, ale nie ma mechanizmów bezpieczeństwa takich jak szy-

frowanie albo silne (czy choćby odpowiednio realizowane) uwierzytelnianie. Do tej kategorii

należały usługi WWW, dopóki firma Netscape Communications nie wynalazła w 1994 roku

protokołu Secure Sockets Layer (SSL).

157

Znawcy sieci mogliby uznać takie użycie terminu tunelowanie za nieco naciągane. Zaszyfrowany strumień

danych różni się od protokołu sieciowego, a niektórzy twierdzą, że tunelowanie dotyczy protokołów, a nie

rozróżnienia między tekstem jawnym a zaszyfrowanym. Uważam jednak, że termin można stosować w tym

znaczeniu ze względu na ostateczny rezultat, czyli to, że jeden typ transakcji zostaje osadzony w drugim.

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: