[ Pobierz całość w formacie PDF ]
.O pew nych16 Roz dzia³ 1: Wpro wad zenie do sie cikon kret nych pro ble mach po wie my przy oma wia niu kon tek stu, w któ rym mog¹ onewyst¹piæ, i po ka ¿emy spo so by obro ny.Ten podrozdzia³ oma wia kil ka przyk³adów i pod sta wo wych tech nik zwi¹za nychz bezpieczeñstwem systemu.OczywiS
cie nie przedstawia wszystkich zagadnieñbez pie cze ñstwa, ja kie mo¿esz na po tkaæ.Chce my je dy nie za sy gna li zo waæ pro ble my,któ re mog¹ wyst¹piæ.Dla te go prze czy ta nie do brej ksi¹¿ki na te mat bez pie cze ñstwajest ab so lut nie niezbêdne, szczególnie w przy pad ku sys te mu sie cio we go.Pod staw¹ bez pie cze ñstwa sys te mu jest do bra ad mi ni stra cja.Ozna cza to spraw dza-nie w³asno S
ci wszyst kich istot nych plików i katal ogów oraz pra wa do stê pu do nich,a ta k¿e mo ni to ro wa nie wy ko rzy sta nia uprzy wi le jo wa nych kont.Na przyk³ad pro-gram COPS prze szu ku je twój sys tem pli ków i pod sta wo we pli ki kon fi gu ra cyj ne podk¹tem nie ty po wych praw do stê pu lub in nych ano ma lii.M¹drze jest ta k¿e u¿y waæta kie go sys te mu ha se³, kt óry wy ma ga od u¿ytkowników sto so wa nia siê do pew nychre gu³, przez co has³a jest trud no od gadn¹æ.Na przyk³ad pa kiet ha se³ sha dow wy ma-ga, by has³o mia³o co naj mniej 5 zna ków i za wie ra³o licz by oraz zna ki nie al fa nu me-ryczne.Gdy udo stêp niasz jak¹S
us³ugê w sie ci, pa miê taj, ¿e by daæ jej  jak naj mniej prz y-wilejów.Po zwa laj na ro bie nie tyl ko tych rze czy, któ re s¹ wy ma ga ne, by dzia³a³atak, jak zo sta³a za pro jek to wa na.Na przyk³ad po wi nie neS
na daæ pro gra mom pra wose tu id roota lub in ne go uprzy wi le jo wa ne go kon ta, tyl ko wte dy gdy jest to nie zbêd-ne.Ta k¿e, je ¿eli chcesz u¿y waæ us³ugi tyl ko w bar dzo ogra ni czo nym zakresie, niewa haj siê jej skon fi gu ro waæ od po wied nio do two ich szc zególnych zastosowañ.Naprzyk³ad gdy byS
chcia³ po zwo liæ, aby sta cje bez dy sko we uru cha mia³y siê z two jejmaszyny, musisz udo stêp niæ uproszczony protokó³ przesy³ania plików (Trivial FileTrans fer Pro to col  TFTP), tak by mog³y sko pio waæ pod sta wo we pli ki kon fi gu ra cyj nez ka ta lo gu /boot twojej maszyny.Jednak w przypadku nieograniczonego u¿yciaTFTP po zwa la u¿yt kow ni kom z ca³ego S
wia ta ko pio waæ te pli ki z two je go sys te mu,do których wszyscy maj¹ prawo odczytu.Je¿eli sobie tego nie ¿yczysz, ograniczus³ugê TFTP je dy nie do ka ta lo gu /boot*.Mo¿esz równie¿ ogra ni czyæ us³ugi przy zna wa ne u¿yt kow ni kom okre S
lo nych host ów,powiedz my z two jej sie ci lo kal nej.W roz dzia le 12 przed sta wia my de mon tcpd, którywy ko nu je to za da nie dla wie lu apli ka cji sie cio wych.Bar dziej wy ra fi no wa ne me to dyogra ni cza nia do stê pu do poszczególnych hostów lub us³ug omówimy w roz dzia le 9.Ko lejn¹ wa ¿n¹ rzecz¹ jest uni ka nie  nie bez piecz ne go opro gra mo wa nia.W pew-nym sen sie ka ¿ de opro gra mo wa nie mo¿e byæ nie bez piecz ne, po nie wa¿ mo¿e za wie-raæ b³êdy, które sprytni lu dzie mog¹ wy ko rzy staæ, by uzy skaæ do stêp do two je gosys te mu.Ta kie rze czy siê zda rzaj¹ i nie da siê przed tym za bez pie czyæ.Pro blem tendo ty czy za ró wno opro gra mo wa nia dar mo we go, jak i produktów ko mer cyj nych**.Jed nak pro gra my wy ma gaj¹ce spe cjal nych prz ywil ejów s¹ z na tu ry bar dziej na ra-* Do tego te matu po wró cimy w roz dziale 12, Wa ¿ne funk cje sie ciowe.** Zdarza³y siê ko mer cyj ne wer sje Unik sa (za które p³aci³o siê mnós two pie niê dzy), któ rych skryp-ty pow³oki mia³y tak usta wio ne pra wo se tu id root, ¿e u¿yt kow nik móg³ bez tru du uzy skaæ przy wi le jeroota za po moc¹ stan dar do wej sztucz ki.Utrzy my wa nie sys te mu 17¿one na nie bez pie cze ñstwo ni¿ po zo sta³e, po nie wa¿ wszel kie lu ki mog¹ pro wa dziædo po wa ¿nych kon se kwen cji*.Je ¿eli in sta lu jesz pro gram z pra wem se tu id, kt óry mapra co waæ z sie ci¹, b¹dx
dwa ra zy bar dziej ostro ¿ny i prze czy taj do ku men ta cjê, abyS
przez przy pa dek nie stwo rzy³ dziu ry w bez pie cze ñstwie.Uwa gê po wi nie neS
zwr óciæ ta k¿e na pro gra my, któ re po zwa laj¹ na lo go wa nie lubwy ko ny wa nie po le ceñ z nie pe³nym uwie rzy tel nia niem.Po le ce nia, ta kie jak rlogin,rsh i rexec, s¹ bar dzo przy dat ne, ale od oso by uru cha miaj¹cej wy ma gaj¹ je dy nie ogra-ni czo ne go uwie rzy tel nie nia, które opie ra siê na za ufa niu do na zwy wy wo³uj¹ce goho sta, usta lo nej na pod sta wie ser we ra nazw (bêdzie my mówili o tym póx
niej), któr¹³atwo mo¿na sfa³szowaæ.Obecnie standardow¹ praktyk¹ powinno byæ zupe³newy³¹czanie po le ceñ r i za stê po wa nie ich na rzê dzia mi z pa kie tu ssh.Na rzê dzia sshwykorzystuj¹ bardziej niezawodne metody uwierzytelniania i oferuj¹ tak¿e inneus³ugi, ta kie jak szy fro wa nie i kom pre sja.Nig dy nie mo¿esz wy klu czyæ mo ¿li wo S
ci, ¿e two je za bez pie cze nia kie dyS
za wiod¹,bez wzglêdu na to, jak by³eS
ostro ¿ny.Dla te go po wi nie neS
upew niæ siê, ¿e do sta-tecznie wczeS
nie wy kry wasz in tru zów.Sprawdzanie logów sys te mu jest do brympunk tem pocz¹tko wym, ale in truz jest praw do po dob nie wy star czaj¹co m¹dry, byprzewidzieæ, ¿e tak post¹pisz, i usunie wszelkie oczywiste S
lady pozostawioneprzez sie bie.Jed nak ist niej¹ na rzê dzia ta kie jak tripwire, na pi sa ne przez Ge ne Ki mai Ge ne Spaffor da, które po zwa laj¹ spraw dzaæ istot ne pli ki sys te mu, by zo ba czyæ, czyich za war toS
æ lub pra wa do stê pu nie zo sta³y zmie nio ne; tripwire liczy ró ¿ne su mykon tro l ne tych plików i umiesz cza je w ba zie da nych.W cza sie ko lej nych prze biegówsu my s¹ li czo ne po now nie i po rów nywane z wcze S
niej za pi sa ny mi, by w ten sposóbwy kryæ mo dy fi ka cje.* W 1988 roku z po wo du b³êdu RTM nie omal dosz³o do za blo ko wa nia In ter ne tu, czê S
cio wo przez wy ko-rzy sta nie dziu ry w pew nych pro gra mach, miê dzy in ny mi w sendmailu.Dziu ra ta ist nia³a przez doS
æd³ugi czas, za nim zo sta³a za³ata na.2Wybrane problemysieci TCP/IPRoz dzia³ 2: Wy bra ne pro ble my sie ci TCP/IPW tym roz dzia le po wie my, ja kie de cy zje kon fi gu ra cyj ne mu sisz podj¹æ, je S
li chceszpod³¹czyæ swo je go Linuk sa do sie ci TCP/IP.Zaj mie my siê ad re sa mi IP, na zwa miho stów i ru tin giem.Roz dzia³ ten da je ci pod sta wow¹ wie dzê, nie zbêdn¹ do zro zu-mie nia, cze go wy ma ga two ja kon fi gu ra cja, na to miast w na stêp nych roz dzia³ach po-znasz na rzê dzia, kt óry ch bê dziesz u¿y wa³.Aby do wie dzieæ siê wiê cej o TCP/IP i je go bu do wie, zaj rzyj do trzy to mo wej ksi¹¿kiInternetworking with TCP/IP Douglasa R.Comera (Pren tice Hall).Bardziej szc -zegó³owym prze wod ni kiem po zarz¹dza niu sie ci¹ TCP/IP jest ksi¹¿ka TCP/IP Ne -twork Ad mi ni stra tion Cra iga Hun ta (O'R eilly).Interfejsy siecioweAby ukryæ ró¿n orodnoS
æ sprzê tu obec ne go w S
ro do wi sku sie cio wym, TCP/IP od-wo³uje siê do interfejsu, przez który na stê pu je do stêp do sprzê tu.In ter fejs ofe ru je ze-staw ope ra cji iden tycz ny dla wszyst kich rodzaj ów urz¹dzeñ; za je go po moc¹ obs³u-gu je siê wy sy³anie i od bie ra nie pa kie tów.Ka ¿ de sie cio we urz¹dze nie pe ry fe ryj ne mu si mieæ w j¹drze od po wied ni in ter fejs.Na przyk³ad in ter fej sy Et her net w Linuksie nosz¹ na zwy eth0 i eth1, in terfej sy PPP(omówione w roz dzia le 8, Pro tokó³ punkt-punkt) s¹ na zy wa ne ppp0 i ppp1, a in ter fej syFD DI  fddi0 i fddi1 [ Pobierz caÅ‚ość w formacie PDF ]