Linux_Bezpieczenstwo_Receptury_libezp.pdf

(873 KB) Pobierz
C:\Andrzej\PDF\ABC nagrywania p³yt CD\1 strona.cdr
IDZ DO
PRZYK£ADOW Y ROZDZIA£
Linux. Bezpieczeñstwo.
SPIS TRECI
Receptury
KATALOG KSI¥¯EK
Autorzy: Daniel J. Barrett,
Richard E. Silverman, Robert G. Byrnes
T³umaczenie: Adam Podstawczyñski
ISBN: 83-7361-249-1
Tytu³ orygina³ u: Linux Security Cookbook
Format: B5, stron: 346
KATALOG ONLINE
ZAMÓW DRUKOWANY KATALOG
TWÓJ KOSZYK
Zabezpieczanie systemu komputerowego to proces z³o¿ony. Nie trzeba jednak od razu
wprowadzaæ z³o¿onych mechanizmów ochrony systemu. Znajomoæ podstawowych
procedur pomaga dostatecznie zwiêkszyæ poziom bezpieczeñstwa. Czy chcesz szybko
dowiedzieæ siê, jak wysy³aæ zaszyfrowane listy elektroniczne z programu Emacs?
Jak ograniczyæ dostêp do us³ug sieciowych w okrelonych porach dnia?
Jak zabezpieczyæ serwer WWW zapor¹ sieciow¹? Skonfigurowaæ uwierzytelnianie
z u¿yciem klucza publicznego przez SSH?
Ksi¹¿ka „Linux. Bezpieczeñstwo. Przewodnik encyklopedyczny” nauczy Ciê, jakie
polecenia nale¿y wykonaæ i co wpisaæ w plikach konfiguracyjnych, by poprawiæ
bezpieczeñstwo Twojego systemu. Nie jest to klasyczny podrêcznik; nie znajdziesz
tu teorii, lecz rozwi¹zania konkretnych problemów i sposoby ³atania typowych luk
w zabezpieczeniach. Dziêki ksi¹¿ce nie bêdziesz traciæ cennego czasu, poszukuj¹c
w³aciwej sk³adni poleceñ. Przeznaczona jest dla rednio zaawansowanych
u¿ytkowników i administratorów systemów Linux.
• Kontrola dostêpu do systemu na ró¿nych poziomach - od zapory sieciowej a¿
po poszczególne us³ugi; programy: iptables, ipchains, xinetd, inted i wiele innych.
• Monitorowanie sieci programami: ethereal, dsniff, netstat i innymi.
• Ochrona po³¹czeñ sieciowych technologiami SSH i SSL.
• Wykrywanie w³amañ programami: tripwire, snort, tcpdump, logwatch i innymi.
• Zabezpieczanie uwierzytelniania za pomoc¹ kluczy kryptograficznych, technologii
Kerberos, oprogramowania PAM; autoryzacja przywilejów administratora
programem sudo.
• Szyfrowanie plików i wiadomoci e-mail oprogramowaniem GnuPG.
• Sondowanie zabezpieczeñ w³asnego systemu programami do ³amania hase³,
narzêdziem nmap i skryptami pomocniczymi.
Jeli administrujesz systemami linuksowymi, receptury przedstawione w niniejszej
ksi¹¿ce pozwol¹ zwiêkszyæ wydajnoæ Twojej pracy: osi¹gniesz wiêcej powiêcaj¹c
mniej czasu. Zdobêdziesz pewnoæ, ¿e zastosujesz w³aciwe rozwi¹zania gdy pojawiaj¹
siê konkretne zagro¿enia.
DODAJ DO KOSZYKA
CENNIK I INFORMACJE
ZAMÓW INFORMACJE
O NOWOCIACH
ZAMÓW CENNIK
CZYTELNIA
FRAGMENTY KSI¥¯EK ONLINE
Wydawnictwo Helion
ul. Chopina 6
44-100 Gliwice
tel. (32)230-98-63
e-mail: helion@helion.pl
430740983.001.png 430740983.002.png 430740983.003.png
 
Spis treci
Przedmowa........................................................................................................................9
Rozdział 1. Tripwire i migawki systemu ..................................................................17
1.0. Wprowadzenie................................................................................................................................17
1.1. Konfiguracja Tripwire....................................................................................................................20
1.2. Wywietlanie załoe i konfiguracji............................................................................................22
1.3. Modyfikacja załoe i konfiguracji..............................................................................................22
1.4. Podstawowe sprawdzanie spójnoci...........................................................................................24
1.5. Sprawdzanie spójnoci w trybie tylko do odczytu...................................................................25
1.6. Zdalne sprawdzanie spójnoci .....................................................................................................26
1.7. Superskrupulatne sprawdzanie spójnoci..................................................................................28
1.8. Drogie i superskrupulatne sprawdzanie spójnoci...................................................................30
1.9. Automatyczne sprawdzanie spójnoci........................................................................................30
1.10. Odczytywanie najnowszego raportu Tripwire........................................................................31
1.11. Uaktualnianie bazy danych ........................................................................................................32
1.12. Dodawanie plików do bazy danych..........................................................................................33
1.13. Usuwanie plików z bazy danych...............................................................................................35
1.14. Sprawdzanie systemów plików Windows VFAT ...................................................................35
1.15. Sprawdzanie plików zainstalowanych za pomoc6 menedera pakietów RPM.................36
1.16. Sprawdzanie spójnoci za pomoc6 programu rsync ..............................................................37
1.17. R8czne sprawdzanie spójnoci...................................................................................................38
Rozdział 2. Zapory sieciowe: oprogramowanie iptables i ipchains ....................41
2.0. Wprowadzenie................................................................................................................................41
2.1. Weryfikacja adresu 9ródłowego...................................................................................................43
2.2. Blokowanie sfałszowanych adresów...........................................................................................45
2.3. Blokowanie całego ruchu sieciowego..........................................................................................47
2.4. Blokowanie ruchu przychodz6cego.............................................................................................48
2.5. Blokowanie ruchu wychodz6cego...............................................................................................49
 
4
Spis treci
2.6. Blokowanie przychodz6cych 6da usług .................................................................................50
2.7. Blokowanie dost8pu z okrelonego hosta zdalnego.................................................................51
2.8. Blokowanie dost8pu do okrelonego hosta zdalnego ..............................................................52
2.9. Blokowanie dost8pu do wszystkich serwerów WWW okrelonej zdalnej sieci...................53
2.10. Blokowanie poł6cze z komputerów zdalnych, zezwalanie na lokalne .............................54
2.11. Kontrola dost8pu na podstawie adresów MAC......................................................................55
2.12. Zezwalanie wył6cznie na dost8p SSH.......................................................................................56
2.13. Blokowanie wychodz6cych poł6cze Telnet............................................................................57
2.14. Zabezpieczanie wydzielonego serwera ....................................................................................58
2.15. Blokowanie pingów......................................................................................................................59
2.16. Wywietlanie reguł zapory sieciowej........................................................................................60
2.17. Usuwanie reguł zapory sieciowej..............................................................................................61
2.18. Wstawianie reguł zapory sieciowej...........................................................................................62
2.19. Zapisywanie konfiguracji zapory sieciowej.............................................................................63
2.20. Ładowanie konfiguracji zapory sieciowej ................................................................................64
2.21. Testowanie konfiguracji zapory sieciowej................................................................................66
2.22. Budowanie złoonych drzew reguł...........................................................................................67
2.23. Uproszczone rejestrowanie.........................................................................................................69
Rozdział 3. Kontrola dost%pu do sieci.......................................................................71
3.0. Wprowadzenie................................................................................................................................71
3.1. Wywietlanie interfejsów sieciowych..........................................................................................74
3.2. Wł6czanie i wył6czanie interfejsu sieciowego ...........................................................................75
3.3. Wł6czanie i wył6czanie usługi (xinetd) ......................................................................................76
3.4. Wł6czanie i wył6czanie usługi (inetd).........................................................................................77
3.5. Dodawanie nowej usługi (xinetd)................................................................................................78
3.6. Dodawanie nowej usługi (inetd)..................................................................................................79
3.7. Ograniczanie dost8pu zdalnym uytkownikom.......................................................................80
3.8. Ograniczanie dost8pu zdalnym hostom (xinetd)......................................................................82
3.9. Ograniczanie dost8pu zdalnym hostom (xinetd z bibliotek6 libwrap) .................................83
3.10. Ograniczanie dost8pu zdalnym hostom (xinetd w poł6czeniu z tcpd)...............................84
3.11. Ograniczanie dost8pu zdalnym hostom (inetd)......................................................................85
3.12. Ograniczanie dost8pu o okrelonych porach dnia..................................................................86
3.13. Ograniczanie okrelonym hostom dost8pu do serwera SSH................................................88
3.14. Ograniczanie dost8pu do serwera SSH w zalenoci od konta systemowego...................89
3.15. Ograniczanie zasobów usług do okrelonych katalogów systemu plików........................90
3.16. Zapobieganie atakom powoduj6cym odmow8 obsługi .........................................................92
3.17. Przekierowanie do innego gniazda ...........................................................................................93
3.18. Rejestrowanie przypadków korzystania z usług ....................................................................94
3.19. Uniemoliwianie logowania si8 przez terminal jako root .....................................................96
Spis treci
5
Rozdział 4. Techniki i infrastruktury uwierzytelniania.........................................97
4.0. Wprowadzenie................................................................................................................................97
4.1. Tworzenie aplikacji obsługuj6cej infrastruktur8 PAM...........................................................100
4.2. Wymuszanie stosowania silnych haseł za pomoc6 oprogramowania PAM ......................101
4.3. Tworzenie list kontroli dost8pu za pomoc6 oprogramowania PAM...................................102
4.4. Sprawdzanie poprawnoci certyfikatu SSL..............................................................................104
4.5. Odkodowywanie certyfikatu SSL..............................................................................................105
4.6. Instalowanie nowego certyfikatu SSL.......................................................................................106
4.7. Generowanie 6dania podpisania certyfikatu SSL (CSR)......................................................107
4.8. Tworzenie samopodpisanego certyfikatu SSL.........................................................................109
4.9. Tworzenie organu certyfikuj6cego ............................................................................................110
4.10. Konwertowanie certyfikatów SSL z formatu DER do formatu PEM.................................113
4.11. Rozpocz8cie pracy z oprogramowaniem Kerberos...............................................................114
4.12. Dodawanie uytkowników do domeny Kerberos................................................................119
4.13. Dodawanie hostów do domeny Kerberos..............................................................................120
4.14. Korzystanie z uwierzytelniania Kerberos w usłudze SSH ..................................................121
4.15. Korzystanie z uwierzytelniania Kerberos w usłudze Telnet...............................................124
4.16. Zabezpieczanie usługi IMAP technologi6 Kerberos.............................................................126
4.17. Uwierzytelnianie uytkowników w systemie z uyciem technologii Kerberos i PAM..127
Rozdział 5. Mechanizmy autoryzacji ......................................................................131
5.0. Wprowadzenie..............................................................................................................................131
5.1. Logowanie do powłoki z przywilejami roota..........................................................................133
5.2. Uruchamianie programów X z przywilejami roota................................................................134
5.3. Uruchamianie polece jako inny uytkownik przez program sudo....................................135
5.4. Jak obejH uwierzytelnianie hasłem w programie sudo.........................................................136
5.5. Wymuszanie uwierzytelniania hasłem w sudo.......................................................................138
5.6. Autoryzacja w sudo z uwzgl8dnieniem nazwy hosta............................................................138
5.7. Przydzielanie przywilejów grupie przez program sudo .......................................................140
5.8. Uruchamianie przez sudo dowolnego programu w katalogu..............................................140
5.9. Blokowanie argumentów polece w sudo ...............................................................................141
5.10. Współuytkowanie plików z uyciem grup..........................................................................142
5.11. Zezwalanie przez sudo na dost8p do współuytkowanego pliku
w trybie tylko do odczytu.........................................................................................................143
5.12. Autoryzacja zmian haseł przez sudo.......................................................................................144
5.13. Uruchamianie-zatrzymywanie demonów przez sudo.........................................................145
5.14. Ograniczenie przywilejów roota za pomoc6 sudo................................................................145
5.15. Zabijanie procesów przez sudo................................................................................................146
5.16. Wywietlanie prób wywołania programu sudo....................................................................148
5.17. Zdalny dziennik sudo................................................................................................................148
6
Spis treci
5.18. Udost8pnianie przywilejów roota przez SSH........................................................................149
5.19. Uruchamianie polece roota przez SSH.................................................................................151
5.20. Udost8pnianie przywilejów roota przez Kerberos su..........................................................152
Rozdział 6. Ochrona wychodz,cych poł,cze- sieciowych ..................................155
6.0 Wprowadzenie...............................................................................................................................155
6.1. Logowanie do zdalnego hosta....................................................................................................156
6.2. Uruchamianie zdalnych programów ........................................................................................157
6.3. Zdalne kopiowanie plików.........................................................................................................158
6.4. Uwierzytelnianie za pomoc6 klucza publicznego (OpenSSH)..............................................161
6.5. Uwierzytelnianie z uyciem klucza publicznego
(Klient OpenSSH, serwer SSH2, klucz OpenSSH) ..................................................................163
6.6. Uwierzytelnianie z uyciem klucza publicznego
(Klient OpenSSH, serwer SSH2, klucz SSH2)..........................................................................165
6.7. Uwierzytelnianie z uyciem klucza publicznego (Klient SSH2, serwer OpenSSH)..........166
6.8. Uwierzytelnianie przez mechanizm wiarygodnego hosta ....................................................167
6.9. Uwierzytelnianie bez hasła (interaktywne)..............................................................................171
6.10. Uwierzytelnianie w zadaniach cron........................................................................................173
6.11. Wył6czanie agenta SSH po wylogowaniu..............................................................................175
6.12. Dostosowanie działania klienta SSH do poszczególnych hostów......................................175
6.13. Zmiana domylnych ustawie klienta SSH ...........................................................................176
6.14. Tunelowanie innej sesji TCP przez SSH .................................................................................178
6.15. Panowanie nad hasłami.............................................................................................................179
Rozdział 7. Ochrona plików......................................................................................181
7.0. Wprowadzenie..............................................................................................................................181
7.1. Stosowanie prawa dost8pu do plików......................................................................................182
7.2. Zabezpieczanie współuytkowanego katalogu.......................................................................183
7.3. Blokowanie wywietlania zawartoci katalogu.......................................................................184
7.4. Szyfrowanie plików z uyciem hasła........................................................................................185
7.5. Rozszyfrowywanie plików .........................................................................................................186
7.6. Przygotowanie oprogramowania GnuPG do szyfrowania
z uyciem klucza publicznego ...................................................................................................187
7.7. Wywietlanie zawartoci zbioru kluczy ...................................................................................189
7.8. Ustawianie klucza domylnego..................................................................................................190
7.9. Udost8pnianie kluczy publicznych ...........................................................................................191
7.10. Dodawanie kluczy do zbioru ...................................................................................................192
7.11. Szyfrowanie plików w celu wysłania innym.........................................................................193
7.12. Podpisywanie pliku tekstowego..............................................................................................194
7.13. Podpisywanie i szyfrowanie plików.......................................................................................195
7.14. Składanie podpisu w oddzielnym pliku.................................................................................195

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika:

Zgłoś jeśli naruszono regulamin