Исследование уровня безопасности операционной системы Linux
экран.
Программный пакет AIDE может служить хорошим дополнением к базовой
защите в качестве средства профилактики, однако использование этого
продукта в качестве основной системы защиты нежелательно. Помимо того, что
взломщик может изменить саму базу данных AIDE, если сможет получить к ней
доступ, он так же может произвести изменение файла с сохранением основных
его атрибутов. Естественно, подделать контрольную сумму файла после его
изменения – нелегкая задача, но все же осуществимая.
Вывод.
Данная глава посвящена дополнительному программному обеспечению,
расширяющему стандартные возможности систем Linux в плане безопасности. В
первой части главы рассматривается программный пакет Linux ACLs, листы
доступа на основе расширенных атрибутов, программы getfacl и setfacl для
работы с расширенными правами доступа. Вторая часть посвящена системе
обнаружения и защиты от вторжения LIDS, описываются возможности ядер 2.4 и
принципы работы LIDS на основе этих атрибутов. Также приводится формат
конфигурационных файлов этой системы. Заключительный раздел посвящен
расширенному окружению обнаружения вторжений AIDE, описывается назначение,
принцип работы и основы конфигурирования.
4. Техника безопасности
Этот раздел является дополнением к основной дипломной работе. В этом
разделе рассматриваются некоторые аспекты безопасной работы на компьютере.
Среди различных физических факторов окружающей среды, которые могут
оказывать неблагоприятное воздействие на человека и биологические объекты,
большую сложность представляют электромагнитные поля неионизирующей
природы, особенно относящиеся к радиочастотному излучению. Здесь неприемлем
замкнутый цикл производства без выброса загрязняющего фактора в окружающую
среду, поскольку используется уникальная способность радиоволн
распространяться на далекие расстояния. По этой же причине неприемлемо и
экранирование излучения и замена токсического фактора на другой, менее
токсический фактор. Неизбежность воздействия электромагнитного излучения на
население и окружающую живую природу стало данью современному техническому
прогрессу и все более широкому применению телевидения и радиовещания,
радиосвязи и радиолокации, использования СВЧ-излучающих приборов и так
далее. И хотя возможна определенная канализация излучения, уменьшающая
нежелательное облучение населения, и регламентация во время работ
излучающих устройств, дальнейший технический прогресс все же повышает
вероятность воздействия электромагнитного излучения на человека.
На возможность неблагоприятного влияния на организм человека
электромагнитных полей было обращено внимание еще в конце 40-х годов. В
результате обследования людей, работающих в условиях воздействия
электромагнитных полей значительной интенсивности, было показано, что
наиболее чувствительными к данному воздействию является нервная и сердечно-
сосудистая система. Описаны изменения кроветворения, нарушения со стороны
эндокринной системы, метаболических процессов, заболевания органов зрения.
Было установлено, что клинические проявления воздействия радиоволн наиболее
часто характеризуются астеническими и вегетативными реакциями.
В условиях длительного профессионального облучения с периодическим
повышением предельно допустимых уровней у части людей отмечали
функциональные перемены в органах пищеварения, выражающиеся в изменении
секреции и кислотности желудочного сока, а также в явлениях дискинезии
кишечника.
При длительном профессиональном облучении выявлены также функциональные
сдвиги со стороны эндокринной системы: повышение функциональной активности
щитовидной железы, изменение характера сахарной кривой и так далее.
В последние годы появляются сообщения о возможности индукции
электромагнитного излучения злокачественных заболеваний. Еще
немногочисленные данные все же говорят, что наибольшее число случаев
приходится на опухоли кроветворных тканей и в частности на лейкоз. Это
становится общей закономерностью канцерогенного эффекта при воздействии на
организм человека и животных физических факторов различной природы и в ряде
других случаев.
Мониторы персональных компьютеров используют в процессе повседневной
деятельности миллионы служащих во всем мире. Компьютеризация в нашей стране
принимает широкий размах, и многие сотни тысяч людей проводят большую часть
рабочего дня перед экраном дисплея. Наряду с признанием несомненной пользы
применение компьютерной техники вызывает у пользователей персональных
компьютеров беспокойство за свое здоровье.
Имеются статистические данные, согласно которым лица, работающие с
персональным компьютером, более беспокойны, подозрительны, чаще избегают
общения, а также недоверчивы, раздражительны, склонны к повышенной
самооценке, высокомерны, фиксируют внимание на неудачах.
Крупнейшими источниками электромагнитных излучений являются радио- и
телевизионные средства связи и обработки информации, радиолокационные и
навигационные средства, лазерные системы, воздушные линии электропередач.
Серьезного внимания заслуживают вопросы гигиенической оценки уровней
электромагнитного излучения, которым подвергаются лица, работающие в зоне
действия излучений, но не связанные с обслуживанием радиотехнических
устройств. По данным американского Агентства по охране окружающей среды
около 1% человеческой популяции подвергаются воздействию электромагнитного
излучения интенсивностью более 1мкВт/см2. При этом наибольшие значения
интенсивности были зафиксированы в высотных зданиях, особенно на уровнях,
соответствующих уровням размещения антенных систем.
К сожалению, вредное воздействие электромагнитного излучения связано не
только с источниками широкомасштабного излучения. Известно, что магнитное
поле возникает вокруг любого предмета, работающего на электрическом поле. А
это практически любой прибор, сопровождающий нас в быту (даже электрические
часы).
Дисплеи персональных компьютеров, выполненные на электронно-лучевых
трубках, являются потенциальными источниками мягкого рентгеновского,
ультрафиолетового, инфракрасного, видимого, радиочастотного, сверх- и
низкочастотного электромагнитного излучения.
Последствия регулярной работы с компьютером без применения защитных
средств:
. заболевания органов зрения (60% пользователей);
. болезни сердечно-сосудистой системы (60%);
. заболевания желудочно-кишечного тракта (40%);
. кожные заболевания (10%);
. различные опухоли.
Особенно опасно электромагнитное излучение компьютера для детей и
беременных женщин. Установлено, что у беременных женщин, работающих на
компьютерах с дисплеями на электронно-лучевых трубках, с 90-процентной
вероятностью в 1,5 раза чаще случаются выкидыши и в 2,5 раза чаще
появляются на свет дети с врожденными пороками.
Некоторые допустимые уровни электромагнитных полей приведены в таблице
4.1.
Таблица 4.1. Предельно допустимые уровни электромагнитных полей при
круглосуточном непрерывном излучении
|Метрическое | |Длины |Предельно |
|подразделение диапазона|Частоты |волн |Допустимый |
| | | |Уровень |
|Километровые волны, |30-330 кГц |10-1 км |25 В/м |
|низкие частоты | | | |
|Гектометровые волны, |0,3-3 МГц |1-0,1 км |15 В/м |
|средние частоты | | | |
|Декаметровые волны, |3-30 МГц |100-10 м |10 В/м |
|высокие частоты | | | |
|Метровые волны, |30-300 МГц |10-1 м |3 В/м |
|Очень высокие частоты | | | |
|Дециметровые волны, |300-3000 МГц |1-0,1 м |10 мквт/см2 |
|Ультравысокие волны | | | |
|Сантиметровые волны, |3-30 ГГц |10-1 см |10 мквт/см2 |
|Сверхвысокие частоты | | | |
Персональные компьютеры заняли прочное место в деятельности многих
людей. Сейчас уже невозможно представить полноценную трудовую деятельность
на предприятиях, в частном бизнесе, да и в процессе обучения без
персонального компьютера. Но все это не может не вызывать обеспокоенности в
отношении их вредного влияния на состояние здоровья пользователей.
Недооценка особенностей работы с дисплеями, помимо снижения надежности и
эффективности работы с ними, приводит к существенным проблемам со
здоровьем.
Рекомендуется, например, чтобы экран дисплея находился от глаз
пользователя на расстоянии не ближе, чем 50-70 см.
Режимы труда и отдыха при работе с персональным компьютером зависят от
категории трудовой деятельности.
Все работы с персональным компьютером делятся на три категории:
. Эпизодическое считывание и ввод информации не более 2 часов за 8-часовую
рабочую смену.
. Считывание информации или творческая работа не более 4 часов за 8-часовую
смену.
. Считывание информации или творческая работа более 4 часов за 8-часовую
смену.
Продолжительность непрерывной работы с персональным компьютером не
должна превышать 2 часов.
Если в помещении эксплуатируется более одного компьютера, то следует
учесть, что на пользователя одного компьютера могут воздействовать
излучения от других персональных компьютеров, в первую очередь со стороны
боковых, а также и задней стенки монитора. Учитывая, что от излучения со
стороны экрана монитора можно защитить применением специальных фильтров,
необходимо, чтобы пользователь размещался от боковых и задних стенок других
дисплеев на расстоянии не менее одного метра.
На мониторы рекомендуется устанавливать защитные фильтры класса полной
защиты (Total Shield), которые обеспечивают практически полную защиту от
вредных воздействий монитора в электромагнитном спектре и позволяют
уменьшить блик от электронно-лучевой трубки, а также повысить читаемость
символов.
Вывод.
В этой главе работы рассматриваются аспекты безопасной работы за
компьютером, большей частью глава посвящена электромагнитному излучению
электронно-лучевых трубок, используемых в мониторах. В главе приводится
описание видов излучений, нормативные значения этого излучения при
различных режимах работы за компьютером, а также методы и средства,
позволяющие свести к минимуму риск облучения при работе за компьютером.
Заключение
В данной работе был выполнен обзор средств безопасности, которыми
располагает операционная система Linux для безопасного функционирования как
в качестве пользовательской системы, так и в качестве сервера.
В работе были рассмотрены следующие темы:
. Обзор основных терминов компьютерной безопасности, угроза безопасности,
уязвимость системы, атака на систему, рассмотрены основные виды атак;
. Пользовательские записи в Linux, добавление и удаление пользователей,
изменение регистрационных записей, структура файла пользовательских
регистрационных записей passwd, структура файла паролей shadow, программы
управления пользовательскими записями useradd, usermod и userdel,
программа установки пароля пользователя passwd, пример безопасной
настройки системы путем удаления ненужных регистрационных записей;
. Возможности файловой системы ext2, права доступа, программы изменения
прав доступа и владельца файла chmod и chown, атрибуты файлов, программы
работы с атрибутами chattr и lsattr, пакет lcap, пользовательские
дисковые квоты, пакет для работы с дисковыми квотами quota, пример
безопасной настройки системы с помощью прав доступа, расширенных
атрибутов и дисковых квот;
. Библиотека PAM, ее возможности, методы ограничения ресурсов с помощью
PAM, перечень модулей PAM и их описание, формат конфигурационных файлов
PAM, пример безопасной настройки системы с использованием ограничения
ресурсов;
. Безопасность на уровне ядра, межсетевой экран netfilter, обзор
возможностей брандмауэра netfilter, программный пакет iptables,
использование iptables для настройки брандмауэра Linux, пример безопасной
настройки межсетевого экрана для работы в небезопасной сети;
. Удаленное управление, протоколы Telnet, rsh, SNMP, описание протокола
SSH, программный продукт OpenSSH, описание конфигурационного файла демона
sshd, пример настройки безопасного сервера SSH;
. Программный пакет Linux ACLs, листы доступа на основе расширенных
атрибутов, программы getfacl и setfacl;
. Система обнаружения и защиты от вторжения LIDS, возможности ядер 2.4,
формат конфигурационных файлов LIDS;
. Расширенное окружение обнаружения вторжений AIDE, назначение, принцип
работы.
. Излучение монитора, нормативные значения электромагнитных полей для
нормальной работы пользователей за компьютером, а также средства и методы
уменьшения отрицательного воздействия электромагнитного излучения на
организм человека.
Помимо теоретической части к каждому разделу в приложении приводится
пример практического применения рассмотренного материала. Все примеры,
приведенные в работе, были опробованы в реальных условиях и успешно
реализованы на серверах Узбекского внешнеэкономического информационно-
коммерческого центра «Узинкомцентр» при Агентстве внешних экономических
связей Республики Узбекистан. На момент защиты работы мной были
проинсталлированы и настроены семь серверов на базе ОС Linux, четверо из
них являются серверами общего назначения, остальные трое –
специализированные сервера с ограниченным набором функций. Пять серверов
успешно функционируют по сей день. Двое упразднены за ненадобностью.
Список литературы
1. Linux. Алексей Стахнов, издательство «БХВ-Петербург», Санкт-Петербург,
2002.
2. Техническая электронная документация по операционной системе Linux.
Приложение
ПРИМЕР 1.
Исходные данные: ОС Linux RedHat 7.3 без графической оболочки.
Назначение – маршрутизатор.
Задача: удалить неиспользуемые регистрационные записи и добавить три
записи. Необходимо добавить пользователей anna и pavel, а также одного
пользователя с именем systemuser для системных нужд.
Реализация.
Изначально файл пользовательских регистрационных записей может иметь
следующий вид:
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
news:x:9:13:news:/etc/news:
uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
rpm:x:37:37::/var/lib/rpm:/bin/bash
В зависимости от установленных программ, содержание этого файла может
отличаться от приведенного.
Из соображений безопасности следует удалить следующие неиспользуемые в
данной конфигурации сервера системные записи: adm, lp, shutdown, halt,
news, operator, games, gopher, ftp. Системная запись lp используется только
в том случае, если к компьютеру подключен принтер. Настраиваемый компьютер
выполняет функции маршрутизатора, следовательно эта регистрационная запись
является лишней. Записи shutdown и halt позволяют обычным программам
выключать компьютер, что для сервера является только дополнительной брешью
в безопасности. Записи news, gopher и ftp используется в том случае, если
сервер выполняет функции службы новостей, сервера GOPHER или FTP-сервера.
Учетная запись games используется программами графического интерфейса, а
поскольку последний отсутствует на маршрутизаторе, эта учетная запись тоже
является лишней.
Для удаления пользователей необходимо для каждой учетной записи
выполнить команду
userdel
В реализации это будет выглядеть так:
[root@gw /]# userdel adm
[root@gw /]# userdel lp
[root@gw /]# userdel shutdown
[root@gw /]# userdel halt
[root@gw /]# userdel news
[root@gw /]# userdel operator
[root@gw /]# userdel games
[root@gw /]# userdel gopher
[root@gw /]# userdel ftp
Первая часть поставленной задачи выполнена. Далее необходимо добавить
указанных пользователей.
[root@gw /]# useradd –m –s /bin/bash –c ‘Normal User’ –d /home/pavel –g
users pavel
[root@gw /]# useradd –m –s /bin/bash –c ‘Normal User’ –d /home/pavel –g
users anna
[root@gw /]# useradd –r –s /sbin/nologin –c ‘System User’ –d /var/empty
systemuser
Приведенные команды создают в системе указанных пользователей, однако,
для входа в систему обычным пользователям дополнительно ко всему следует
задать еще и пароль. Это выполняют приведенные ниже команды.
[root@gw /]# passwd anna
Changing password for user anna.
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
[root@gw /]# passwd pavel
Changing password for user pavel.
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
В результате произведенных действий система будет содержать все
необходимые для нормального функционирования системные регистрационные
записи, а также двух пользователей anna и pavel, которые смогут заходить и
работать в системе.
ПРИМЕР 2.
Исходные данные: ОС Linux RedHat 7.3 без графической оболочки.
Назначение – сервер приложений. Программное обеспечение – web-сервер
Apache, FTP-сервер Proftpd. Web-сервер выполняется от имени системного
пользователя nobody, FTP-сервер – от имени системного пользователя ftpuser.
Оба пользователя входят в группу nogroup. На сервере работает web-портал,
имеющий распределенную структуру. Весь портал делится на 2 части:
администрируемую часть – динамические данные и неадминистрируемую часть –
статические данные или оболочка. Администрирование динамической части может
осуществляться как с помощью протокола FTP, так и с помощью специально
разработанного web-интерфейса. Статические данные может изменять только
привилегированный пользователь и только с помощью терминального доступа.
Задача: настройка защищенной конфигурации web-портала с использованием
средств разграничения прав доступа.
Реализация.
Допустим, что все файлы объекта защиты, то есть web-портала, находятся
в директории /www. В свою очередь, директория /www содержит каталоги ftp и
html: первый – для хранения и доступа к файлам по FTP протоколу, второй –
для доступа к файлам по протоколу HTTP. Для обеспечения эффективной защиты
файлы, находящиеся в каталоге /www, должны иметь доступ только на чтение
для пользователей nobody и ftpuser. Файлы, находящиеся в каталоге /www/ftp,
должны быть доступны на чтение и на запись как пользователю ftpuser, так и
пользователю nobody. В свою очередь, файлы каталога /www/html должны быть
доступны только пользователю nobody и с правами только на чтение.
Привилегированный пользователь всегда имеет право на чтение и на запись,
независимо от прав доступа, установленных для файла.
Учитывая, что оба пользователя nobody и ftpuser принадлежат одной
группе nogroup, права на каталог /www могут быть установлены следующим
образом:
[root@app /]# chmod 050 /www
[root@app /]# chown root:nogroup /www
[root@app /]# ls –l
…
d---r-x--- 1 root nogroup 4096 Фев 7 19:48 www
…
Первая команда устанавливает права только на чтение и вход в каталог
для пользователей группы-владельца каталога. Вторая команда меняет группу-
владельца каталога на группу nogroup. Третья команда позволяет просмотреть
сделанные изменения. Как видно из результата выполнения третьей команды,
каталог www теперь имеет права доступа для группы только на чтение и вход,
для пользователя-владельца и всех остальных какие-либо права отсутствуют
вообще.
Теперь, когда доступ в каталог www имеют оба системных пользователя,
необходимо разграничить права на внутренние каталоги www.
[root@app www]# chown –R ftpuser:nogroup /www/ftp
[root@app www]# chmod –R o-rwx /www/ftp
[root@app www]# chmod –R ug+rw /www/ftp
[root@app www]# chown –R nobody:root /www/html
[root@app www]# chmod –R go-rwx /www/html
[root@app www]# chmod –R u+r /www/html
[root@app www]# ls –l /www
drwxrwx--- 1 ftpuser nogroup 4096 Фев 7 19:55 ftp
dr-x------ 1 nobody root 4096 Фев 7 20:01 html
Первая команда меняет группу-владельца и пользователя-владельца для
каталога ftp, вторая – отменяет все права на операции с файлами для всех
остальных, третья – добавляет права на чтение и запись для пользователя-
владельца и группы-владельца. Ключ –R позволяет рекурсивно изменить
параметры у текущего каталога и всех подкаталогов и файлов, хранящихся в
нем. Следующая команда “chown –R nobody:root /www/html” позволяет изменить
пользователя-владельца для каталога html и всех его подкаталогов и файлов
на пользователя nobody. Команда “chmod –R go-rwx /www/html” отменяет все
права для группы-владельца и всех остальных. Далее команда “chmod –R u+r
/www/html” устанавливает права только на чтение для пользователя-владельца.
Последняя команда выводит результат выполненных операций на экран. Задача
выполнена!
Следует сделать маленькое замечание: все вышеприведенное верно только в
том случае, если маска создания файла по умолчанию при создании каталогов и
файлов была определена как 022 (umask 022). В противном случае действия,
которые необходимо предпринять для установки необходимых прав доступа,
зависят от конкретных настроек системы.
ПРИМЕР 3.
Исходные данные: ОС Linux RedHat 7.3 без графической оболочки.
Программное обеспечение – пакет lcap. В данном случае функциональное
назначение сервера существенной роли не играет.
Задача: произвести настройку комплексной защиты сервера с
использованием расширенных атрибутов (в частности, с помощью атрибута
immutable).
Реализация.
Для реализации поставленной задачи необходимо изначально определить,
какие файлы в процессе работы могут быть изменены, а какие могут быть
изменены только в специальном режиме, например, только в режиме
профилактики или обновлении программного обеспечения. В данном случае
специальный режим предполагает перевод системы в однопользовательский режим
работы.
В общем случае, в обычных условиях содержимое следующих каталогов
изменяться не должно, или может изменяться, но достаточно редко:
/boot /etc – в окончательно настроенной системе содержимое этих
каталогов изменяться не должно. За редким исключением содержимое каталога
/etc может меняться при перенастройке каких-либо программ или сервисов.
/bin – каталог содержит исполняемые файлы, которые могут быть изменены,
удалены или добавлены только при обновлении программного обеспечения.
/sbin – в каталоге хранятся исполняемые файлы системных программ,
большинство из которых доступно на выполнение только привилегированному
пользователю и также не должно изменяться во время работы системы.
/lib – каталог системных библиотек, которые также могут быть изменены
только при обновлении программных продуктов.
Следующие команды позволяют установить атрибут immutable для
вышеперечисленных директорий и для всех файлов, находящихся в них.
[root@app /]# chattr –R +i /boot /etc /bin /sbin /lib
[root@app /]# lsattr
---i---------- ./boot
…
---i---------- ./etc
-------------- ./root
---i---------- ./bin
-------------- ./initrd
---i---------- ./lib
…
---i---------- ./sbin
Параметр –R как и в предыдущих примерах используется для рекурсивной
установки атрибута для всех файлов и каталогов, расположенных ниже в
иерархии.
Каталог /usr имеет свою собственную иерархию. В этой иерархии следующие
каталоги должны иметь установленный флаг immutable:
/usr/bin /usr/sbin /usr/lib /usr/local/bin /usr/local/sbin
/usr/local/lib – перечисленные каталоги имеют то же значение, что и
одноименные каталоги корневой иерархии.
/usr/include /usr/local/include – оба каталога содержит заголовочные
файлы для компилируемых программ. Заголовочные файлы не должны изменяться
ни при каких условиях, ну разве только тогда, когда компьютер используется
для разработки программного обеспечения и в заголовочные файлы вносятся
изменения.
[root@app /]# chattr –R +i /usr/bin /usr/sbin /usr/lib /usr/include
[root@app /]# lsattr /usr
-------------- /usr/lost+found
---i---------- /usr/bin
---i---------- /usr/lib
-------------- /usr/libexec
---i---------- /usr/sbin
…
---i---------- /usr/include
-------------- /usr/local
---i---------- /usr/src
…
В завершение всех операций можно выполнить программу lcap с параметрами
CAP_LINUX_IMMUTABLE и CAP_SYS_RAWIO:
[root@app /]# lcap CAP_LINUX_IMMUTABLE
[root@app /]# lcap CAP_SYS_RAWIO
Также необходимо установить запуск этой команды в стартовые сценарии,
чтобы они выполнялись при каждой загрузке системы.
Приведенный пример, опять же, является не всегда применимым, все
зависит от конкретной конфигурации системы и конкретных условий ее
эксплуатации.
ПРИМЕР 4.
Исходные данные: ОС Linux RedHat 7.3 без графической оболочки.
Назначение - сервер приложений. Программное обеспечение – ядро версии
2.4.20, собранное с поддержкой пользовательских квот, пакет quota-3.11. Для
пользовательских каталогов выделен отдельный раздел /dev/hda3 объемом 25
Гбайт, смонтированный в директории /home.
Задача: организовать разделение дискового пространства между
пользователями с использованием механизма квот. Каждому пользователю
необходимо выделить по 10 Мбайт дискового пространства с максимальным
количеством возможных файлов – 1000.
Реализация.
Пользовательские квоты распространяются на отдельный раздел жесткого
диска и активизируются при загрузке системы. Для включения поддержки квот
необходимо в файле /etc/fstab для раздела /home добавить параметр usrquota
или grpquota, или оба этих параметра, если нужна поддержка квоты для
пользователей и групп одновременно. В данном случае для реализации
поставленной задачи необходим только параметр usrquota.
Строка файла /etc/fstab, относящаяся к разделу /home, после изменения
может иметь следующий вид:
/dev/hda3 /home ext2 default,usrquota 1 2
Поскольку версии ядер начиная с ветки 2.4 поддерживают новый формат
пользовательских квот, который обладает некоторыми преимуществами перед
старой версией, использование новой версии будет намного целесообразнее.
Вся последующая настройка производится с этим учетом.
Для активации пользовательских квот необходимо перезагрузить систему.
При загрузке необходимо выполнить проверку квотируемого раздела, что можно
сделать запуском программы quotacheck, а также включить механизм квот
выполнением программы quotaon. Эти обе программы имеют множество параметров
командной строки, о которых можно узнать из man-руководств, входящих в
пакет quota. Стандартная строка запуска этих программ, которая подходит для
большинства систем, может иметь вид:
quotacheck –aug
quotaon –aug
Параметр командной строки –a сообщает программе, что необходимо
выполнить проверку всех файловых систем, перечисленных в файле fstab, на
которых включена поддержка квот, и которые не являются файловыми системами
NFS. Параметр –u указывает выполнить проверку квот для пользователей на
разделах, перечисленных в файле /etc/mtab. Файл /etc/mtab модифицируется
при монтировании и размонтировании любой файловой системы и содержит все
файловые системы, смонтированные на текущий момент. Параметр –g выполняет
ту же функцию, что и параметр –u, но только для групп. Последний параметр
не имеет значения, если квота включена только для пользователей, но, чтобы
в дальнейшем при изменении конфигурации не возникало проблем, рекомендую
добавлять этот параметр.
Желательно сделать так, чтобы механизм квот активировался сразу после
монтирования файловых систем. Монтирование файловых систем при запуске
Linux RedHat выполняется в файле /etc/rc.d/init.d/rc.sysinit. В том же
файле сразу после монтирования следует код, который запускает программы
quotacheck и quoaton с указанными параметрами, если они присутствуют в
системе. Следовательно, для Linux RedHat добавлять код запуска программ не
нужно, поскольку он уже присутствует по умолчанию. Для других версий ОС
Linux этот код, возможно, придется добавлять вручную.
Во время загрузки системы программа quotacheck выполнит проверку
файловых систем с включенными квотами на наличие файлов квот и, если файлы
отсутствуют, quotacheck создаст их в корневом каталоге этой файловой
системы. В данном случае в каталоге /home появится файл aquota.user, в
котором будет храниться информация о пользовательских квотах.
Далее, используя программу setquota, необходимо выполнить настройку
квот для каждого пользователя, имеющего домашний каталог в разделе /home.
Это можно сделать командой:
[root@app /]# setquota –u 10240 0 1000 0 /dev/hda3
Приведенная команда установит ограничение дискового пространства в 10
Мбайт с максимальным количеством возможных файлов – 1000 для указанного
пользователя. Для пользователя anna эта команда будет иметь вид:
[root@app /]# setquota –u anna 10240 0 1000 0 /dev/hda3
Если квота остальных пользователей должна быть идентична приведенной,
что как раз и требуется для реализации, квоту пользователя anna можно
использовать как шаблон. Далее при создании квоты для пользователя igor
параметры квотирования пользователя anna просто копируются:
[root@app /]# setquota –u –p anna igor /dev/hda3
В результате выполнения команды пользователь igor получает те же
настройки квоты, что и пользователь anna, в данном случае ему выделяется 10
Мбайт на хранение 1000 файлов. Вышеприведенную команду необходимо выполнить
для всех пользователей системы.
Просмотр сделанных настроек позволяет выполнить программа repquota.
Вызов этой программы с параметрами –a выводит достаточно удобочитаемый
подробный отчет по всем файловым системам с включенной поддержкой квот.
[root@app /]# repquota -a
*** Report for user quotas on device /dev/hda3
Block grace time: 00:00; Inode grace time: 00:00
Block limits File limits
User used soft hard grace used soft hard grace
----------------------------------------------------------------
...
anna -- 4 2097152 0 1 0 0
igor -- 4 2097152 0 1 0 0
...
Для обеспечения надежности работы механизма квот, необходимо время от
времени производить проверку целостности файла aquota.user на предмет
наличия ошибок. Для этой цели можно использовать программу-планировщик
cron, которая является стандартной практически для всех версий ОС Linux.
На момент проверки файловой системы рекомендуется отключить поддержку
механизма квот для этой файловой системы во избежание повреждений. Для
этого перед запуском quotacheck необходимо выполнить программу quotaoff.
Выполнение указанной последовательности можно реализовать, создав отдельный
исполняемый файл, например /usr/sbin/chkquota, который может иметь
следующее содержание:
#!/bin/bash
# Turn off quotas
quotaoff –aug
# Check quotas
quotacheck –aug
# Turn on quotas
quotaon –aug
Тогда строка запуска проверки квот в конфигурационном файле
/etc/crontab программы cron может выглядеть следующим образом:
0 3 * * 0 root /usr/sbin/chkquota
Эта конфигурация позволяет выполнять проверку квот каждое воскресенье в
три часа ночи. Для более детального ознакомления с форматом файла
/etc/crontab существуют man-руководства, включенные в пакет cron.
ПРИМЕР 5.
Исходные данные: ОС Linux RedHat 7.3 без графической оболочки.
Назначение - сервер приложений. Программное обеспечение – библиотека pam-
0.75-32.
Задача: настроить ограничения ресурсов, используемых в процессе работы,
для пользователей группы users. Необходимо ограничить количество
одновременно запущенных процессов до 20, количество одновременно открытых
файлов до 30 и запретить создание каких-либо файлов ядра.
Реализация.
Ограничением ресурсов занимается модуль pam_limits. Этот модуль
использует файл конфигурации /etc/security/limits.conf, в котором и
задаются необходимые параметры ограничения. Файл состоит из строк, каждая
из которых определяет ограничение на определенный вид ресурса. Формат
строки следующий:
Субъектом ограничения может быть либо одиночный пользователь, либо
группа, которая определяется добавлением знака @ перед ее именем, либо
значок *, означающий, что ограничение должно распространяться на всех без
исключения. Для реализации задачи субъектом ограничения будет служить слово
@users.
Тип ресурса может быть либо soft, либо hard. Значение soft задает
мягкое ограничение на использование указанного ресурса, а значение hard
определяет жесткое или абсолютное предельное значение использования
ресурса. Для реализации задачи лучше всего будет указать жесткое
ограничение на все виды ресурсов.
Объект ограничения указывает, на какой вид ресурса распространяется это
ограничение. Для реализации задачи в качестве ограничиваемых объектов
необходимо указать следующие параметры:
nproc – количество одновременно запущенных процессов. Должно иметь
значение 20.
nofile – количество одновременно открытых файлов. Должно быть
установлено в 30.
core – размер файла ядра. Для запрета на создание файлов ядра значение
этого параметра должно быть установлено в 0.
В результате файл /etc/security/limits.conf будет иметь вид:
@users hard nproc 20
@users hard nofile 30
@users hard core 0
Для того, чтобы активизировать ограничение ресурсов для конкретного
приложения, вызов модуля pam_limits необходимо добавить в соответствующий
файл сценария библиотеки PAM. Для локального входа пользователей этим
приложением является программа login, которая имеет одноименный файл
сценария в каталоге /etc/pam.d. После модификации файл /etc/pam.d/login
может выглядеть следующим образом:
#%PAM-1.0
auth required pam_securetty.so
auth required pam_stack.so service=system-auth
auth required pam_nologin.so
account required pam_stack.so service=system-auth
password required pam_stack.so service=system-auth
session required pam_stack.so service=system-auth
session optional pam_console.so
session required pam_limits.so
Последняя строка предписывает библиотеке PAM использовать модуль
pam_limits, причем успешное прохождение через этот модуля является
необходимым для успешного завершения процесса аутентификации в целом.
Для терминального доступа по протоколу ssh вызов модуля pam_limits
необходимо также добавить в файл /etc/pam.d/sshd. В итоге этот файл может
быть таким:
#%PAM-1.0
auth required pam_stack.so service=system-auth
auth required pam_nologin.so
account required pam_stack.so service=system-auth
password required pam_stack.so service=system-auth
session required pam_stack.so service=system-auth
session optional pam_console.so
session required pam_limits.so
При такой конфигурации как локальный, так и удаленный доступ для
пользователей группы users будет иметь ограничения на указанные ресурсы.
ПРИМЕР 6.
Исходные данные: ОС Linux RedHat 7.3 без графической оболочки.
Назначение - маршрутизатор. Программное обеспечение – iptables-1.2.5,
ядро версии 2.4.22, собранное с поддержкой netfilter и iptables. На сервере
установлены три сетевые карты. С помощью двух сетевых карт под
символическими именами eth0 и eth1 сервер связывает две локальные TCP/IP
сети с различными диапазонами IP адресов. Первая сеть имеет адрес
192.168.0.0, вторая – 192.168.1.0, обе сети имеют маску 255.255.255.0.
Сетевая карта eth0 имеет IP адрес 192.168.0.1, а eth1 – 192.168.1.1. Третья
сетевая карта с символическим именем eth2 имеет реальный сетевой адрес
144.333.333.333 обеспечивает выход в Интернет.
Задача: настроить межсетевой экран с повышенными требованиями к
безопасности. Из сети Интернет необходимо открыть доступ к HTTP-серверу,
почтовой службе, функционирующей по протоколу SMTP, серверу имен DNS, а
также терминальный доступ по протоколу SSH. Компьютеры обеих локальных
сетей помимо перечисленных сервисов должны иметь возможность получать почту
с локального сервера посредством протокола POP3. Также необходимо
обеспечить обмен информацией между компьютерами двух локальных сетей,
обеспечить выход компьютеров сети 192.168.0.0 в Интернет, а из сети
192.168.1.0 – только компьютерам с IP адресами 192.168.1.30 и 192.168.1.45.
Реализация.
Чтобы маршрутизатор функционировал в качестве шлюза, в ядре необходимо
поменять значение переменной ip_forward. Это можно сделать командой
приведенной далее, а чтобы эта переменная устанавливалась в 1 при загрузке,
необходимо в файле /etc/sysctl.conf найти и раскомментировать, если она
закомментирована, строку вида “net.ipv4.ip_forward = 0” и изменить значение
0 в этой строке на 1. Если же такой строки нет, ее необходимо добавить.
Таким образом, маршрутизатор получает указание работать в качестве шлюза,
то есть обрабатывать пакеты, пришедшие из сети и не адресованные локальным
процессам, в соответствии с заранее заданной таблицей маршрутизации.
Включение этой функции необходимо для обеспечения доступа в сеть Интернет
из двух локальных сетей.
[root@app /]# echo 1 > /proc/sys/net/ipv4/ip_forward
Далее приводится последовательность действий, которые необходимо
выполнить, чтобы построить требуемую конфигурацию брандмауэра.
[root@app /]# /sbin/iptables –t filter -P INPUT DROP
[root@app /]# /sbin/iptables –t filter -P OUTPUT DROP
[root@app /]# /sbin/iptables –t filter -P FORWARD DROP
Параметр командной строки –Р позволяет установить политику действия по
умолчанию для всех пакетов, которые не попали ни под один критерий в
правилах INPUT, OUTPUT и FORWARD. Действие DROP означает, что пакет должен
быть уничтожен, если ни одно правило цепочки ему не соответствует. Параметр
–t указывает, над какой таблицей производится действие. Если этот параметр
не указан, используется таблица filter, поэтому использование этого
параметра в данном случае не обязательно.
Для распределения нагрузки и простоты в управлении можно создать в
таблице filter дополнительные цепочки с разным функциональным назначением.
[root@app /]# /sbin/iptables -N bad_tcp_packets
[root@app /]# /sbin/iptables -N allowed
[root@app /]# /sbin/iptables -N tcp_packets
[root@app /]# /sbin/iptables -N udp_packets
[root@app /]# /sbin/iptables -N icmp_packets
Цепочка bad_tcp_packets предназначена для отфильтровывания пакетов с
"неправильными" заголовками. Здесь отфильтровываются все пакеты, которые
распознаются как NEW, то есть пакеты, открывающие новое соединение, но не
являются SYN пакетами, то есть часть пакета, ответственная за
синхронизацию, отсутствует, а так же обрабатываются SYN/ACK-пакеты, имеющие
статус NEW. Эта цепочка может быть использована для защиты от вторжения и
сканирования портов.
[root@app /]# /sbin/iptables -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK
SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
[root@app /]# /sbin/iptables -A bad_tcp_packets -p tcp ! --syn -m state --
state NEW -j LOG --log-prefix "New not syn:"
[root@app /]# /sbin/iptables -A bad_tcp_packets -p tcp ! --syn -m state --
state NEW -j DROP
Цепочка tcp_packets является фильтром сетевых сервисов. Именно в этой
цепочке будет осуществляться фильтрация tcp-соединений по критерию
запрашиваемого сервиса. В качестве такого критерия используется порт, на
который приходят запросы на обслуживание. Для того, чтобы только
пользователи локальной сети смогли получать почту, в последних двух
правилах в качестве дополнительного критерия фильтрации используются
символические имена сетевых интерфейсов локальных сетей. В качестве
действия пакет посылается в цепочку allowed для последующей проверки более
низкого уровня.
[root@app /]# /sbin/iptables -A tcp_packets -p TCP --dport 22 -j allowed
[root@app /]# /sbin/iptables -A tcp_packets -p TCP --dport 25 -j allowed
[root@app /]# /sbin/iptables -A tcp_packets -p TCP --dport 80 -j allowed
[root@app /]# /sbin/iptables -A tcp_packets -p TCP –i eth0 --dport 110 -j
allowed
[root@app /]# /sbin/iptables -A tcp_packets -p TCP –i eth1--dport 110 -j
allowed
Цепочка allowed используется для дополнительной фильтрации tcp пакетов,
прошедших цепочку tcp_packets и разрешенных в ней. Первое правило
проверяет, установлен ли в заголовке пакета бит SYN, то есть, является ли
пакет первым пакетом установления соединения. Такие пакеты считаются
разрешенными и пропускаются. Второе правило проверяет состояние пакета, и
если оно либо ESTABLISHED, либо RELATED, то пакет разрешается. Эти
состояния присваиваются пакетам, когда соединение уже установлено и ведется
обмен данными. Последнее правило просто сбрасывает все остальные пакеты, не
попавшие под первые два правила.
[root@app /]# /sbin/iptables -A allowed -p TCP --syn -j ACCEPT
[root@app /]# /sbin/iptables -A allowed -p TCP -m state --state
ESTABLISHED,RELATED -j ACCEPT
[root@app /]# /sbin/iptables -A allowed -p TCP -j DROP
Цепочка udp_packets имеет ту же функцию, что и цепочка tcp_packets, с
единственным отличием – в этой цепочке производится фильтрация udp-
соединений. Сервис DNS использует как раз протокол UDP для обмена
информацией, поэтому правило, которое будет разрешать пакеты DNS,
необходимо добавить именно в эту цепочку.
[root@app /]# /sbin/iptables -A udp_packets -p UDP --dport 53 -j ACCEPT
Цепочка icmp_packets предназначена для фильтрации icmp-пакетов. Для
нормального функционирования сервера Linux в сети достаточно разрешение
только двух типов сообщений: ICMP Echo Request и Time Exceeded.
[root@app /]# /sbin/iptables -A icmp_packets -p ICMP --icmp-type 8 -j
ACCEPT
[root@app /]# /sbin/iptables -A icmp_packets -p ICMP --icmp-type 11 -j
ACCEPT
Еще раз хочу заметить, что по умолчанию без использования параметра –t
все действия производятся в таблице filter.
Теперь перейдем к заполнению основных системных таблиц. Начнем с
входящей цепочки INPUT таблицы filter.
[root@app /]# /sbin/iptables -A INPUT -p tcp -j bad_tcp_packets
[root@app /]# /sbin/iptables -A INPUT -i lo –s 127.0.0.0/8 -j ACCEPT
[root@app /]# /sbin/iptables -A INPUT -i lo -s 192.168.0.1 -j ACCEPT
[root@app /]# /sbin/iptables -A INPUT -i lo -s 192.168.1.1 -j ACCEPT
[root@app /]# /sbin/iptables -A INPUT -i lo -s 144.333.333.333 -j ACCEPT
[root@app /]# /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED
-j ACCEPT
[root@app /]# /sbin/iptables -A INPUT –p TCP -j tcp_packets
[root@app /]# /sbin/iptables -A INPUT -p UDP -j udp_packets
[root@app /]# /sbin/iptables -A INPUT -p ICMP -j icmp_packets
[root@app /]# /sbin/iptables -A INPUT -m limit --limit 3/minute --limit-
burst 3 -j LOG --log-level DEBUG --log-prefix "IPT INPUT packet died: "
Сначала все пакеты должны пройти через цепочку bad_tcp_packets на
предмет неправильного заголовка. Далее необходимо принять все пакеты,
пришедшие со всех адресов сетевых карт через локальный интерфейс. Такие
пакеты могут посылать только локальные приложения, поэтому для их
нормального функционирования необходимо пропускать эти пакеты
беспрепятственно. Затем следует правило определяющее состояние пакета. Если
пакет находится в одном из двух состояний (RELATED или ESTABLISHED), то он
тоже беспрепятственно разрешается. Дело в том, что настройка брандмауэра
подразумевает 99-процентную достоверность фильтрации приходящих запросов,
поэтому, если соединение было разрешено на этапе установления, то при
последующем обмене информацией критерии сервиса не проверяются, что
позволяет немного увеличить скорость обработки и уменьшить нагрузку на
сервер.
Если пакет не удовлетворяет ни одному из перечисленных условий, далее
следуют правила, в которых пакет классифицируется по типу используемого
протокола. Пакеты протоколов TCP, UDP и ICMP попадают в одноименные цепочки
для их фильтрации по типу запрашиваемого сервиса. Если пакет проходит одну
из этих цепочек, и к нему не было применено действие ACCEPT, то есть пакет
не является запросом к разрешенному сервису, сначала происходит запись
параметров запроса в журнальный файл (действие LOG), а затем применяется
политика по умолчанию цепочки INPUT, то есть пакет просто уничтожается.
[root@app /]# /sbin/iptables -A FORWARD -p tcp -j bad_tcp_packets
[root@app /]# /sbin/iptables -A FORWARD -m state --state
ESTABLISHED,RELATED -j ACCEPT
[root@app /]# /sbin/iptables -A FORWARD -i eth0 –s 192.168.0.0/24 -j ACCEPT
[root@app /]# /sbin/iptables -A FORWARD -i eth1 –s 192.168.1.30 -j ACCEPT
[root@app /]# /sbin/iptables -A FORWARD -i eth1 –s 192.168.1.45 -j ACCEPT
[root@app /]# /sbin/iptables -A FORWARD -m limit --limit 3/minute --limit-
burst 3 -j LOG --log-level DEBUG --log-prefix "IPT FORWARD packet died: "
Аналогично цепочке INPUT, пакеты, проходящие транзитом, сначала
фильтруются на предмет неправильного заголовка с помощью таблицы
bad_tcp_packets. Пакеты уже установленного соединения разрешаются без
дополнительных проверок. Далее все пакеты, пришедшие с интерфейса eth0,
через который к серверу подключена сеть 192.168.0.0, разрешаются, что
позволяет всем пользователям сети 192.168.0.0 работать в Интернет. Однако,
перед этим необходимо настроить NAT, что и будет сделано дальше.
[root@app /]# /sbin/iptables -t nat -A POSTROUTING -o eth2 -j SNAT --to-
source 144.333.333.333
Приведенная команда добавляет в цепочку POSTROUTING таблицы nat
правило, которое меняет адрес-источник у пакета, покидающего сервер через
интерфейс eth2, то есть пакета, который должен быть отправлен в сеть
Интернет, на адрес интерфейса сервера. В результате компьютер, у которого
нет реального адреса в сети Интернет, получает возможность посредством
локального сервера обмениваться информацией с любым сервером в Интернете.
[root@app /]# /sbin/iptables -A OUTPUT -p tcp -j bad_tcp_packets
[root@app /]# /sbin/iptables -A OUTPUT -s 127.0.0.0/8 -j ACCEPT
[root@app /]# /sbin/iptables -A OUTPUT -s 192.168.0.1 -j ACCEPT
[root@app /]# /sbin/iptables -A OUTPUT -s 192.168.1.1 -j ACCEPT
[root@app /]# /sbin/iptables -A OUTPUT -s 144.333.333.333 -j ACCEPT
[root@app /]# /sbin/iptables -A OUTPUT -m limit --limit 3/minute --limit-
burst 3 -j LOG --log-level DEBUG --log-prefix "IPT OUTPUT packet died: "
Для цепочки OUTPUT необходимо указать, с каких IP адресов разрешать
пакеты. Здесь должны быть перечислены все адреса, которые присвоены сетевым
картам сервера.
В конце созданные правила необходимо сохранить командой
[root@app /]# /sbin/iptables-save > /etc/sysconfig/iptables
В дальнейшем при загрузке сервера эти правила автоматически будут
загружены в ядро.
На этом настройку брандмауэра можно считать оконченной.
ПРИМЕР 7.
Исходные данные: ОС Linux RedHat 7.3 без графической оболочки.
Назначение – маршрутизатор. Программное обеспечение – пакет OpenSSH-
3.6.1p2.
Задача: выполнить безопасную настройку сервиса SSH с учетом уязвимостей
в версии SSH 1.0.
Реализация.
Версия 1.0 протокола SSH имеет уязвимость, которая позволяет при
определенных условиях получить доступ с правами привилегированного
пользователя. Версия 2.0 от этой недоработки в системе безопасности
избавлена, поэтому ее использование будет самым оптимальным решением.
Настройка сервиса SSH по молчанию позволяет использовать обе версии
протокола, выбор осуществляется в зависимости от того, какой протокол
поддерживает клиентская программа. Чтобы явно запретить использование
протокола версии 1.0, необходимо в файл конфигурации sshd_config внести
следующую строку
Protocol 2
Эта строка указывает демону sshd использовать только протокол версии
2.0. В противном случае, если клиент запросит разрешение на открытие сеанса
с использованием протокола 1.0, запрос будет отвергнут.
OpenSSH версии 3.6 и некоторых более ранних версий имеет специальный
параметр UsePrivilegeSeparation, который позволяет запускать процесс sshd
от имени аутентифицированного пользователя. После того, как пользователь
успешно прошел аутентификацию, основной процесс sshd, запущенный от имени
привилегированного пользователя, передает управление дополнительному
процессу sshd, который выполняется уже от имени аутентифицированного
пользователя. Такая технология позволяет добиться более высокого уровня
безопасности по сравнению с предыдущими версиями пакета OpenSSH, в которых
доступ пользователей контролировался процессом, запущенным с правами
пользователя root. Конфигурация демона по умолчанию уже использует этот
параметр, однако в некоторых более ранних версиях этот параметр выключен.
Для активации разделения пользовательских привилегий в файл sshd_config
необходимо добавить строку
UsePrivilegeSeparation yes
Если сборка пакет производилась из исходных файлов, для настройки
разделения привилегий необходимо совершить несколько дополнительных
операций. Эти операции хорошо документированы и последовательность их
выполнения в документации по установке пакета OpenSSH расписана практически
по шагам.
Чтобы ограничить доступ привилегированному пользователю, можно
использовать параметр PermitRootLogin. Установка этого параметра в значение
PermitRootLogin no
не позволит пользователю root получить доступ к удаленному терминалу.
Получение привилегий пользователя root в таком случае можно будет
осуществить только запуском команды su.
Для настройки ограничения доступа существуют также параметры
AllowGroups, DenyGroups и AllowUsers, DenyUsers для разрешения и запрета на
доступ определенным группам и пользователям соответственно. Например, для
запрета доступа всем группам пользователей кроме пользователей группы
wheel, конфигурационный файл должен содержать такие строки
DenyGroups *
AllowGroups wheel
Для усиления уровня безопасности можно поменять еще два параметра.
Значения этих параметров по умолчанию являются приемлемыми для большинства
систем и их изменение в данном случае большой роли не играет. Параметр
MaxStartups позволяет задать максимальное количество одновременно
запущенных процессов демона sshd, другими словами, этот параметр определяет
максимальное количество одновременно подключенных пользователей. По
умолчанию ограничение на количество пользователей равно 10. Если в систему
должен иметь доступ только администратор и еще пара человек обслуживающего
персонала, этот параметр можно выставить в значение 5. Параметр
LoginGraceTime определяет период времени, в течение которого, начиная с
момента установления соединения, должна быть осуществлена аутентификация
пользователя. По умолчанию это значение равно 2 минутам. Если в течение
этого времени пользователь не пройдет аутентификацию, серверная сторона
просто закроет соединение. Если администрирование производится из локальной
сети, для аутентификации может быть достаточно 30 секунд, если же
существует хотя бы вероятность, что доступ будет осуществляться через
низкоскоростное соединение, например, посредством телефонного соединения,
имеет смысл выставить это значение в 60 секунд минимум.
Далее приводится часть конфигурационного файла, сформированная с учетом
всего вышеуказанного
…
Protocol 2
UsePrivilegeSeparation yes
PermitRootLogin no
MaxStartups 5
LoginGraceTime 30
…
Сервис SSH изначально настроен с максимальными требованиями к
безопасности, поэтому изменение каких-либо дополнительных настроек для
стандартной конфигурации не требуется. Изменения могут потребоваться лишь в
том случае, если к работе сервиса предъявляются особые требования.
Страницы: 1, 2, 3, 4
|