Cyfroteka.pl

klikaj i czytaj online

Cyfro
Czytomierz
00230 007796 10476844 na godz. na dobę w sumie
Serwery internetowe Red Hat Linux - książka
Serwery internetowe Red Hat Linux - książka
Autor: , Liczba stron: 536
Wydawca: Helion Język publikacji: polski
ISBN: 83-7361-415-X Data wydania:
Lektor:
Kategoria: ebooki >> komputery i informatyka >> serwery internetowe >> inne
Porównaj ceny (książka, ebook, audiobook).

Oficjalny przewodnik po serwerach internetowych
bazujących na systemie Red Hat Linux

Niniejsza książka została zrecenzowana oraz zaakceptowana przez zespół ekspertów z firmy Red Hat. Zawiera ona informacje niezbędne do poprawnej konfiguracji serwerów internetowych działających pod kontrolą Linuksa, jak również zarządzania nimi.

Eksperci od systemu Red Hat Linux: Paul Sery oraz Jay Beale rozpoczynają od podstaw -- istotnych informacji na temat zagadnień sieciowych, połączeń z siecią Internet, zapór sieciowych. Następnie w sposób bardziej szczegółowy przedstawiają sposób konfigurowania usług sieciowych oraz internetowych, począwszy od połączenia z bazą danych, tworzenia połączeń bezpiecznych i udostępniania mediów strumieniowych. W dalszej kolejności zajmują się konfiguracją serwerów nazwy domenowej, usług poczty elektronicznej, serwerów FTP oraz Samba. W kolejnych rozdziałach autorzy poświęcają wiele miejsca zarządzaniu serwerami, jak również umieszczają porady dotyczące utrzymywania zabezpieczeń sieci.

Ten autoryzowany przewodnik okaże się nieocenioną pomocą podczas tworzenia bezpiecznego, wydajnego serwera internetowego opartego na systemie Red Hat.

Autorzy podają sprawdzone sposoby implementacji serwerów internetowych opartych na systemie Red Hat Linux.

'Nareszcie jest coś, na co czekali użytkownicy systemu Red Hat! Książka zawiera wyczerpujący przegląd najważniejszych zagadnień dotyczących serwerów internetowych bazujących na systemie Red Hat Linux wraz z mnóstwem praktycznych przykładów pozwalających użytkownikowi zaoszczędzić czas.'

Mark J.Cox.
Starszy menedżer ds. rozwoju w firmie Red Hat.

Znajdź podobne książki Ostatnio czytane w tej kategorii

Darmowy fragment publikacji:

IDZ DO IDZ DO PRZYK£ADOWY ROZDZIA£ PRZYK£ADOWY ROZDZIA£ SPIS TREĎCI SPIS TREĎCI KATALOG KSI¥¯EK KATALOG KSI¥¯EK KATALOG ONLINE KATALOG ONLINE ZAMÓW DRUKOWANY KATALOG ZAMÓW DRUKOWANY KATALOG TWÓJ KOSZYK TWÓJ KOSZYK DODAJ DO KOSZYKA DODAJ DO KOSZYKA CENNIK I INFORMACJE CENNIK I INFORMACJE ZAMÓW INFORMACJE ZAMÓW INFORMACJE O NOWOĎCIACH O NOWOĎCIACH ZAMÓW CENNIK ZAMÓW CENNIK CZYTELNIA CZYTELNIA FRAGMENTY KSI¥¯EK ONLINE FRAGMENTY KSI¥¯EK ONLINE Wydawnictwo Helion ul. Chopina 6 44-100 Gliwice tel. (32)230-98-63 e-mail: helion@helion.pl Serwery internetowe Red Hat Linux Autorzy: Paul G. Sery, Jay Beale T³umaczenie: Rafa³ Szpoton (rozdz. 1 - 9, 19, dod. A - C), Marek Pêtlicki (rozdz. 10 - 18) ISBN: 83-7361-415-X Tytu³ orygina³u: Red Hat Linux Internet Server Format: B5, stron: 536 Niniejsza ksi¹¿ka zosta³a zrecenzowana oraz zaakceptowana przez zespó³ ekspertów z firmy Red Hat. Zawiera ona informacje niezbêdne do poprawnej konfiguracji serwerów internetowych dzia³aj¹cych pod kontrol¹ Linuksa, jak równie¿ zarz¹dzania nimi. Eksperci od systemu Red Hat Linux: Paul Sery oraz Jay Beale rozpoczynaj¹ od podstaw — istotnych informacji na temat zagadnieñ sieciowych, po³¹czeñ z sieci¹ Internet, zapór sieciowych. Nastêpnie w sposób bardziej szczegó³owy przedstawiaj¹ sposób konfigurowania us³ug sieciowych oraz internetowych, pocz¹wszy od po³¹czenia z baz¹ danych, tworzenia po³¹czeñ bezpiecznych i udostêpniania mediów strumieniowych. W dalszej kolejnoġci zajmuj¹ siê konfiguracj¹ serwerów nazwy domenowej, us³ug poczty elektronicznej, serwerów FTP oraz Samba. W kolejnych rozdzia³ach autorzy poġwiêcaj¹ wiele miejsca zarz¹dzaniu serwerami, jak równie¿ umieszczaj¹ porady dotycz¹ce utrzymywania zabezpieczeñ sieci. Ten autoryzowany przewodnik oka¿e siê nieocenion¹ pomoc¹ podczas tworzenia bezpiecznego, wydajnego serwera internetowego opartego na systemie Red Hat. Autorzy podaj¹ sprawdzone sposoby implementacji serwerów internetowych opartych na systemie Red Hat Linux. • Konfiguracja sieci komputerowej w jednej z dwóch przedstawionych topologii • Ustanowienie po³¹czenia z sieci¹ Internet za pomoc¹ modemu kablowego lub DSL • Tworzenie zapory sieciowej dokonuj¹cej filtrowania pakietów IP z uwzglêdnieniem ich stanu • Konfiguracja serwera WWW Apache 2 oraz serwera strumieniowych danych audio • Po³¹czenie z baz¹ danych SQL z poziomu serwera WWW oraz tworzenie bezpiecznych po³¹czeñ SSL • Tworzenie serwerów DNS, SMTP, FTP oraz Samba • Automatyzacja tworzenia kopii bezpieczeñstwa poprzez sieæ komputerow¹ • Zabezpieczanie serwerów i wykrywanie w³amañ O autorach: Paul G. Sery pracuje dla Narodowego laboratorium Sandia w Albuquerque, w stanie Nowy Meksyk, w którym zajmuje siê projektowaniem sieci oraz zarz¹dzaniem nimi. Jay Beale jest za³o¿ycielem oraz przewodnicz¹cym firmy konsultingowej JJB Security Consulting, jak równie¿ g³ównym programist¹ projektu Bastille Linux, który ma byæ u¿ywany do lepszego zabezpieczania systemów Linux oraz HP-UX. Czêsto wyk³ada na konferencjach poġwiêconych bezpieczeñstwu systemów. Spis treści O Autorach ...................................................h................................... 13 Przedmowa...................................................h................................... 15 Część I Tworzenie sieci komputerowej w oparciu o system Linux.... 19 Rozdział 1. Przykłady sieci komputerowych ...................................................h..... 21 Przykłady sieci komputerowych ...................................................s....................................22 Bezpośrednie połączenie z siecią internetową (DCI) .................................................22 Połączenie z siecią internetową za pośrednictwem strefy zdemilitaryzowanej (DMZI)....23 Opis funkcji serwera...................................................s...................................................s....25 Podstawy konfiguracji sieci DCI ...................................................s.............................26 Podstawy konfiguracji DMZI ...................................................s..................................28 Dodawanie podsieci do obu przykładowych sieci komputerowych .................................29 Podsumowanie ...................................................s...................................................s............30 Rozdział 2. Konfiguracja usług sieciowych w systemie Red Hat .......................... 33 Podstawy protokołu internetowego IP ...................................................s...........................34 Usługi sieciowe a model OSI...................................................s...................................34 Podstawy protokołów warstwy transportowej ...................................................s.........35 Podstawy protokołów warstwy sieci (przekazywanie pakietów IP) .................................36 Działanie protokołów warstwy łącza (ramki w sieci Ethernet).........................................37 Wygląd sieci opartej na systemie Red Hat Linux ...................................................s..........38 Ważne pliki konfiguracyjne sieci...................................................s.............................38 Ważne aplikacje oraz skrypty ...................................................s..................................42 arp/rarp...................................................s...................................................s..................42 ifconfig...................................................s...................................................s..................43 netstat ...................................................s...................................................s....................44 nmap...................................................s...................................................s......................44 ping ...................................................s...................................................s.......................44 redhat-config-network-druid/ redhat-config-network-cmd ........................................45 route ...................................................s...................................................s......................45 sysctl ...................................................s...................................................s.....................46 tcpdump...................................................s...................................................s.................47 modprobe ...................................................s...................................................s..............47 4 Serwery internetowe Red Hat Linux Konfiguracja jednej lub większej liczby kart sieciowych.................................................48 Przykład 1: Konfiguracja pojedynczego interfejsu sieciowego..................................48 Przykład 2: Konfiguracja dwóch interfejsów sieciowych (dwie podsieci).................52 Przykład 3: Konfiguracja routera w oparciu o system Red Hat Linux .......................55 Podsumowanie ...................................................s...................................................s............59 Rozdział 3. Nawiązywanie połączenia z siecią Internet przy użyciu łącza DSL ....... 61 Podstawy technologii DSL...................................................s.............................................62 Terminologia stosowana w technologii DSL ...................................................s.................66 Ogólne definicje...................................................s...................................................s....66 Rodzaje usług DSL ...................................................s..................................................70 Tworzenie połączenia z siecią Internet przy użyciu łącza DSL........................................71 Uzyskiwanie połączenia internetowego DSL ...................................................s..........71 Fizyczne podłączanie modemu DSL ...................................................s.......................71 Konfiguracja wyposażenia udostępnianego przez dostawcę usługi DSL...................73 Podstawowe wskazówki przydatne podczas rozwiązywania problemów.........................79 Podsumowanie ...................................................s...................................................s............83 Rozdział 4. Tworzenie systemu zapory sieciowej................................................. 85 Podstawy systemów zapór sieciowych ...................................................s..........................85 Zapory sieciowe filtrujące pakiety...................................................s...........................86 Zapory pośredniczące ...................................................s..............................................87 Zapory hybrydowe ...................................................s...................................................s88 Podstawy translacji adresów (NAT) ...................................................s........................88 Wyjaśnienie przepływu pakietów w sieci Internet ...................................................s..89 Podstawy stanowych filtrów pakietów (Netfilter/iptables).........................................91 Tworzenie systemu zapory sieciowej...................................................s.............................97 Ochrona sieci za pomocą prostego zestawu reguł ...................................................s...97 Zacieśnianie zapory sieciowej przy użyciu łańcuchów desfiniowanych przez użytkownika...................................................s...............................................104 Wpuszczanie z zewnątrz połączeń SSH...................................................s.......................109 Konfiguracja serwera SSH...................................................s.....................................112 Modyfikacja serwera zapory sieciowej (atlas) w celu umożliwienia korzystania z usługi SSH ...................................................s..114 Zarządzanie systemem zapory sieciowej ...................................................s.....................116 Podsumowanie ...................................................s...................................................s..........117 Rozdział 5. Rozwiązywanie prostych problemów ............................................... 119 Rozwiązywanie problemów przy użyciu drzewa decyzyjnego.......................................120 Rozwiązywanie problemów sieciowych w systemie Red Hat Linux .............................121 Czy zostało włączone zasilanie?...................................................s............................121 Czy nie została uszkodzona fizyczna instalacja sieci komputerowej? .....................122 Czy przełącznik sieciowy lub koncentrator jest skonfigsurowany w sposób poprawny? ...................................................s...........................................122 Czy interfejs sieciowy został skonfigurowany w sposób prawidłowy?....................122 Rozwiązywanie problemów z połączeniem DSL...................................................s.........129 Sprawdzanie konfiguracji modemu DSL (routera) po stronie użytkownika ............130 Sprawdzanie konfiguracji dostawcy usługi DSL...................................................s...131 Sprawdzanie konfiguracji ISP...................................................s................................132 Rozwiązywanie problemów z bramką i zaporą sieciową................................................132 Sprawdzanie konfiguracji sieciowej w systemie Red Hat Linux..............................133 Sprawdzanie tras bramki oraz przekazywania pakietów IP......................................134 Sprawdzanie skryptów zapory sieciowej ...................................................s...............136 Spis treści 5 Sprawdzanie modułów jądra oraz znaczników...................................................s......137 Wykorzystywanie narzędzi podsłuchujących ruch w sieci.......................................137 Dodatkowe informacje ...................................................s.................................................139 Podsumowanie ...................................................s...................................................s..........139 Część II Tworzenie serwera WWW .............................................141 Rozdział 6. Prosta konfiguracja serwera Apache............................................... 143 Podstawy języka HTML oraz protokołu HTTP ...................................................s...........143 Protokół HTTP...................................................s...................................................s....143 Język HTML (HTML nie jest protokołem) ...................................................s...........144 Serwer WWW Apache ...................................................s.................................................148 Dyrektywy konfiguracyjne serwera Apache...................................................s..........149 Plik konfiguracyjny serwera Apache ...................................................s.....................149 Tworzenie prostej witryny WWW ...................................................s...............................158 Instalacja serwera Apache...................................................s......................................158 Konfiguracja serwera Apache...................................................s................................159 Kontrolowanie działania serwera Apache ...................................................s.............162 Używanie serwera Apache...................................................s.....................................163 Kontrola dostępu do serwera WWW za pomocą plików .htaccess oraz .htpasswd .....163 Uruchamianie wirtualnego serwera WWW ...................................................s.................164 Stosowanie protokołu SSL z serwerem Apache ...................................................s..........167 Instalacja pakietu mod_ssl ...................................................s.....................................168 Negocjacja SSL oraz certyfikaty ...................................................s...........................168 Centra autoryzacji ...................................................s..................................................169 Konfiguracja serwera Apache w celu wykorzystywania protokołu HTTP z SSL....169 Tworzenie certyfikatów podpisanych przez CA ...................................................s..........170 Rozwiązywanie problemów ...................................................s.........................................171 Sprawdzanie systemowych plików dziennika systemu Linux..................................172 Sprawdzanie plików dziennika serwera Apache...................................................s....172 Połączenie lokalne ...................................................s.................................................173 Sprawdzanie konfiguracji serwera Apache...................................................s............173 Jeśli mamy taką możliwość, należy użyć uproszczonego pliku httpd.conf..............173 Stopniowe dodawanie nowych dyrektyw ...................................................s..............174 Podsumowanie ...................................................s...................................................s..........174 Rozdział 7. Tworzenie połączenia z bazą danych ............................................... 175 Podstawy języka SQL ...................................................s..................................................175 Instalacja oraz konfiguracja bazy MySQL...................................................s...................177 Dostęp do serwera SQL...................................................s................................................178 Tworzenie bazy danych ...................................................s.........................................179 Wykorzystywanie bazy danych MySQL ...................................................s...............181 Wymiana danych z serwerem SQL przy użyciu skryptów .............................................182 Wyświetlanie danych z bazy danych MySQL ...................................................s.......183 Wstawianie danych do bazy danych MySQL...................................................s........186 Modyfikacja danych w bazie danych MySQL...................................................s.......187 Wykorzystywanie skryptu CGI w celu dostępu do bazy dansych SQL za pomocą przeglądarki...................................................s.......................................190 Zabezpieczanie bazy danych MySQL...................................................s..........................195 Podsumowanie ...................................................s...................................................s..........196 Rozdział 8. Tworzenie prostego serwera multimedialnego ................................. 197 Wprowadzenie do technologii strumieniowej...................................................s..............197 Fundacja Xiph.org...................................................s...................................................s.....198 6 Serwery internetowe Red Hat Linux Udostępnianie strumieni danych dźwiękowych przy użyciu serwera Icecast.................200 Instalacja oraz konfiguracja serwera Icecast...................................................s..........200 Instalacja oraz konfiguracja źródła Ices...................................................s.................202 Udostępnianie strumieni MP3...................................................s................................203 Udostępniane strumieni Ogg Vorbis...................................................s......................205 Rozwiązywanie problemów ...................................................s.........................................218 Podsumowanie ...................................................s...................................................s..........220 Część III Udostępnianie prostych usług internetowych.................221 Rozdział 9. Tworzenie serwera DNS...................................................h............... 223 Podstawy systemu DNS ...................................................s...............................................223 Domeny...................................................s...................................................s...............224 Strefy...................................................s...................................................s...................224 Autorytatywne serwery nazw ...................................................s................................225 Podstawy procesu tłumaczenia nazwy przez klienta ................................................226 Analiza prostego żądania przetłumaczenia nazwy ...................................................s227 Rekordy zasobów ...................................................s...................................................s......230 Stosowanie rekordu SOA...................................................s.......................................230 Definiowanie rekordów zasobów strefy ...................................................s................232 Instrukcje konfiguracyjne oraz parametry demona bind ..........................................232 Pliki konfiguracyjne /var/named/...................................................s...........................234 Konfiguracja prostego serwera DNS...................................................s............................235 Konfiguracja nadrzędnego serwera nazw ...................................................s..............236 Konfiguracja pomocniczego serwera nazw ...................................................s...........240 Dodawanie środków bezpieczeństwa...................................................s...........................241 Stosowanie list ACL ...................................................s..............................................241 Stosowanie podpisów cyfrowych podczas wymiany stref........................................243 Uruchamianie demona named w środowisku chroot ................................................244 Uruchamianie oraz zatrzymywanie działania serwera nazw ....................................245 Tworzenie wielu plików stref...................................................s.......................................246 Konfiguracja serwera rozdzielonej domeny...................................................s.................248 Konfiguracja serwera nazw dla sieci prywatnej w konfiguracji rozdzielonej domeny...................................................s...................249 Konfiguracja serwera nazw dla sieci DMZ w konfiguracji domeny podzielonej ....251 Rozwiązywanie problemów ...................................................s.........................................252 named-checkzone...................................................s...................................................s252 named-checkconf ...................................................s...................................................s252 dig ...................................................s...................................................s.......................253 host...................................................s...................................................s......................253 tcpdump...................................................s...................................................s...............254 Podsumowanie ...................................................s...................................................s..........254 Rozdział 10. Konfiguracja serwera pocztowego SMTP......................................... 255 Trochę teorii na temat poczty elektronicznej ...................................................s...............255 Kompatybilność ...................................................s...................................................s..256 Wydajność...................................................s...................................................s...........257 Wykorzystanie ...................................................s...................................................s....257 Kolejki...................................................s...................................................s.......................257 Parametry konfiguracyjne ...................................................s............................................257 Składnia parametrów ...................................................s.............................................258 Wartości bezpośrednie ...................................................s...........................................258 Pliki ...................................................s...................................................s.....................258 Bazy danych i tablice ...................................................s.............................................258 Spis treści 7 Obsługa niechcianej poczty...................................................s..........................................259 Najważniejsze parametry z pliku main.cf ...................................................s....................259 queue_directory...................................................s...................................................s...259 command_directory ...................................................s...............................................259 daemon_directory ...................................................s..................................................260 mail_owner ...................................................s...................................................s.........260 default_privs ...................................................s...................................................s.......260 myhostname ...................................................s...................................................s........261 mydomain ...................................................s...................................................s...........261 myorigin...................................................s...................................................s..............261 inet_interfaces ...................................................s...................................................s.....261 mydestination...................................................s...................................................s......262 local_recipient_maps ...................................................s.............................................262 masquerade_domains...................................................s.............................................262 masquerade_exceptions ...................................................s.........................................262 local_transport...................................................s...................................................s.....263 alias_maps...................................................s...................................................s...........263 alias_database ...................................................s...................................................s.....263 home_mailbox...................................................s...................................................s.....263 mail_spool_directory ...................................................s.............................................263 mailbox_command...................................................s.................................................264 mailbox_transport ...................................................s..................................................264 fallback_transport ...................................................s..................................................264 luser_relay...................................................s...................................................s...........264 smtpd_recipient_limit ...................................................s............................................265 smtpd_timeout...................................................s...................................................s.....265 mynetworks_style ...................................................s..................................................265 mynetworks...................................................s...................................................s.........266 allow_untrusted_routing ...................................................s........................................266 maps_rbl_domains ...................................................s.................................................266 smtpd_client_restrictions ...................................................s.......................................266 smtpd_sender_restrictions...................................................s......................................267 smtpd_recipient_restrictions ...................................................s..................................267 smtpd_helo_required...................................................s..............................................267 smtpd_helo_restrictions ...................................................s.........................................267 smtpd_delay_reject ...................................................s................................................268 strict_rfc821 _envelopes ...................................................s........................................268 header_checks ...................................................s...................................................s.....268 body_checks...................................................s...................................................s........268 message_size_limit ...................................................s................................................269 relay_domains ...................................................s...................................................s.....269 mynetworks...................................................s...................................................s.........269 smtpd_banner...................................................s...................................................s......269 local_destination_concurrency_limit...................................................s.....................270 default_destination_concurrency_limit...................................................s..................270 debug_peer_list ...................................................s...................................................s...270 debug_peer_level ...................................................s...................................................s270 debugger_command...................................................s...............................................270 disable_vrfy_command...................................................s..........................................271 Konfiguracja podstawowych plików...................................................s............................271 Konfiguracja pliku master.cf ...................................................s.................................271 Konfiguracja pliku aliases...................................................s......................................271 Konfiguracja pliku virtual...................................................s......................................272 Konfiguracja pliku canonical...................................................s.................................272 Konfiguracja pliku access ...................................................s......................................272 8 Serwery internetowe Red Hat Linux Wykorzystanie poleceń administracyjnych...................................................s..................273 Terminologia serwerów poczty elektronicznej ...................................................s............273 Programy typu Mail User Agent...................................................s............................274 Skład poczty...................................................s...................................................s........274 Programy typu Mail Transport Agent...................................................s....................274 Nagłówki poczty ...................................................s...................................................s.275 Koperta...................................................s...................................................s................275 Przykładowe konfiguracje...................................................s............................................276 Przykład 1: Wysyłanie poczty ...................................................s...............................276 Przykład 2: Przyjmowanie poczty dla różnych domen.............................................276 Przykład 3: Wirtualne domeny w stylu systemu Postfix ..........................................277 Przekazywanie poczty między adresami wirtualnymi..............................................278 Przykład 4: Weryfikacja ustawień DNS dla serwera poczty ....................................280 Przykład 5: Przekazywanie całej poczty przez serwer centralny..............................287 Przykład 6: Konfiguracja serwera centralnego ...................................................s......288 Przykład 7: Minimalizacja ilości niechcianej poczty................................................288 Podstawy systemu spamassassin...................................................s............................290 Podsumowanie ...................................................s...................................................s..........291 Rozdział 11. FTP ...................................................h............................................ 293 Podstawy protokołu FTP...................................................s..............................................293 Washington University FTP (WU-FTPD) ...................................................s...................294 Instalacja WU-FTPD ...................................................s.............................................295 Plik konfiguracyjny /etc/xinetd.d/wu-ftpd ...................................................s.............296 Plik ftpaccess ...................................................s...................................................s......298 Plik ftpconversions...................................................s.................................................302 Konfiguracja serwera FTP trybu rzeczywistego ...................................................s..........303 Konfigurowanie kont gościnnych ...................................................s................................303 Konfiguracja kont anonimowych ...................................................s.................................305 Konfiguracja kont anonimowych...................................................s...........................305 Konfiguracja możliwości anonimowego przesyłania plików na serwer...................306 Rozwiązywanie problemów z serwerem WU-FTPD ...................................................s...308 Kontrola na poziomie ogólnym ...................................................s.............................309 Problemy z trybem gościnnym ...................................................s..............................311 Problemy z trybem anonimowym...................................................s..........................313 Podsumowanie ...................................................s...................................................s..........314 Rozdział 12. Konfiguracja Samby ...................................................h.................... 315 Wprowadzenie do Samby...................................................s.............................................315 Składnia pliku smb.conf...................................................s.........................................317 Parametry pliku smb.conf ...................................................s......................................317 Struktura pliku smb.conf...................................................s........................................318 Przykłady konfiguracji Samby ...................................................s.....................................319 Konfiguracja Samby w celu wykorzystania szyfrowanych haseł.............................319 Tworzenie zasobów Samby ...................................................s...................................323 Dostęp do macierzystych katalogów użytkowników................................................323 Uprawnienia Linuksa i Samby...................................................s...............................324 Wykorzystanie makr Samby ...................................................s..................................330 Udostępnianie drukarek sieciowych za pomocą Linuksa i Samby...........................331 Narzędzie SWAT ...................................................s...................................................s......335 Rozwiązywanie problemów ...................................................s.........................................335 Podsumowanie ...................................................s...................................................s..........336 Spis treści 9 Część IV Zarządzanie serwerami linuksowymi..............................339 Rozdział 13. Automatyzacja sieciowych kopii zapasowych................................. 341 Wprowadzenie do systemu AMANDA...................................................s........................342 Szczegóły systemu AMANDA ...................................................s....................................343 Części serwerowa i kliencka systemu AMANDA...................................................s.343 Serwisy sieciowe...................................................s...................................................s.344 Pliki konfiguracyjne...................................................s...............................................345 Narzędzia systemu AMANDA ...................................................s..............................347 Wykorzystanie systemu AMANDA...................................................s.............................348 Konfiguracja minimalistycznego systemu kopii zapasowych ..................................349 Konfiguracja prostego systemu kopii zapasowych...................................................s352 Automatyzacja procesu wykonywania kopii zapasowych........................................357 Rozwiązywanie problemów ...................................................s.........................................357 Podsumowanie ...................................................s...................................................s..........358 Rozdział 14. Zwiększanie niezawodności serwera............................................... 361 Lokalizacja słabych punktów ...................................................s.......................................361 Wykorzystanie systemu plików ext3...................................................s............................363 Wykorzystanie macierzy RAID ...................................................s...................................365 RAID programowy ...................................................s................................................365 Implementacja programowej macierzy RAID ...................................................s.......368 Tworzenie klastra o wysokiej dostępności...................................................s...................370 Mechanizm działania HA ...................................................s......................................371 Tryby przejęcia obsługi...................................................s..........................................371 Tworzenie prostego klastra wysokiej dostępności na Linuksie................................372 Testowanie systemu Heartbeat ...................................................s..............................374 Podsumowanie ...................................................s...................................................s..........375 Część V Zwiększanie bezpieczeństwa ........................................379 Rozdział 15. Podstawy bezpieczeństwa serwerów ............................................... 381 Zrozumienie zagrożeń ...................................................s..................................................381 Znaczenie poprawek systemowych...................................................s..............................382 Identyfikacja napastników...................................................s............................................384 Kategorie napastników...................................................s...........................................384 Przewidywanie ataków...................................................s.................................................386 Sposoby obrony...................................................s...................................................s.........389 Podsumowanie ...................................................s...................................................s..........396 Rozdział 16. Podstawy bezpiecznej administracji systemów................................ 397 Administrator systemu a administrator bezpieczeństwa .................................................397 Automatyczna aktualizacja, łaty i zagrożenia ...................................................s..............398 Środowisko produkcyjne i rozwojowe...................................................s.........................400 Automatyczne instalowanie poprawek...................................................s.........................402 Minimalizacja, standaryzacja i upraszczanie ...................................................s...............404 Zrozumieć minimalizację...................................................s.......................................404 Trzy cnoty główne ...................................................s.................................................407 Monitorowanie i bezpieczna zdalna administracja ...................................................s......407 Centralny system zarządzania ...................................................s......................................409 Monitorowanie stanu...................................................s...................................................s.410 Podsumowanie ...................................................s...................................................s..........411 10 Serwery internetowe Red Hat Linux Rozdział 17. Wzmacnianie systemu...................................................h................. 413 Zrozumieć proces wzmacniania systemu...................................................s.....................413 Ręczne wzmacnianie systemu...................................................s................................415 Blokowanie lub usuwanie niepotrzebnych programów............................................415 Powtórka z procesu uruchamiania Linuksa ...................................................s...........417 Kontynuacja audytu demona sieciowego...................................................s...............422 Automatyczne wzmacnianie systemu za pomocą Bastille Linux .............................435 Moduł zabezpieczeń kont użytkowników...................................................s..............435 Moduł bezpieczeństwa procesu uruchamiania systemu ...........................................436 Konfiguracja ustawień mechanizmu PAM ...................................................s............436 Moduł deaktywacji demonów...................................................s................................436 Moduł blokujący dostęp do narzędzi ...................................................s.....................437 Moduł uprawnień do plików...................................................s..................................437 Moduł dzienników ...................................................s.................................................437 Moduł wydruku...................................................s...................................................s...438 Moduł zabezpieczania inetd lub xinetd...................................................s..................438 Moduł zabezpieczenia katalogu tymczasowego ...................................................s....438 Moduł Apache...................................................s...................................................s.....439 Moduł BIND (DNS) ...................................................s..............................................439 Moduł FTP ...................................................s...................................................s..........439 Moduł sendmail ...................................................s...................................................s..440 Moduł zapory sieciowej...................................................s.........................................440 Moduł detekcji skanowania portów ...................................................s.......................440 Podsumowanie ...................................................s...................................................s..........440 Rozdział 18. Proste systemy wykrywania włamań............................................... 443 Sieciowe i systemowe wykrywanie włamań...................................................s................443 Określenie zakresu odpowiedzialności ...................................................s........................444 Odpowiedzialność administratora...................................................s..........................444 Odpowiedzialność oznacza władzę...................................................s........................446 Mechanizmy sieciowe ...................................................s..................................................447 Pakiety...................................................s...................................................s.................447 Adresy IP ...................................................s...................................................s............449 Porty...................................................s...................................................s....................451 ICMP...................................................s...................................................s...................454 UDP...................................................s...................................................s.....................454 TCP ...................................................s...................................................s.....................454 Rozpoznania i zagrożenia ...................................................s......................................456 Projektowanie defensywnej konfiguracji sieci...................................................s.............459 Filtrowanie na routerach oraz zapory sieciowe ...................................................s.....459 Filtrowanie ingress i egress...................................................s....................................460 DMZ...................................................s...................................................s....................460 Hosty bastionowe...................................................s...................................................s460 Dedykowane serwery...................................................s.............................................461 Projektowanie strategii wykrywania włamań ...................................................s..............461 Ustalanie reguł...................................................s...................................................s...........462 Detektory włamań nie wykrywają włamań...................................................s............463 Pozytywne specyfikacje są złe...................................................s...............................463 Negatywne specyfikacje nie są lepsze ...................................................s...................463 Heurystyczne wykrywanie anomalii — Święty Graal..............................................464 Przykładowy system NIDS — Snort...................................................s............................464 Opis i historia...................................................s...................................................s......464 Przegląd funkcji systemu Snort (wybrane opcje wiersza poleceń)...........................465 Podsumowanie ...................................................s...................................................s..........467 Spis treści 11 Rozdział 19. Monitorowanie plików dziennika oraz reagowanie na zdarzenia ......... 469 Odczytywanie systemowych plików dziennika ...................................................s...........469 Rejestrowanie danych w plikach dziennika ...................................................s.................470 Rejestrowanie danych w plikach dziennika aplikacji ...............................................471 Rejestrowanie danych w plikach dziennika systemu................................................472 Rejestrowanie danych w hybrydowych plikach dziennika.......................................473 Syslog...................................................s...................................................s..................474 Wykonywanie akcji wybranych przez selektor...................................................s............475 Pola selektorów, jednostki oraz priorytety...................................................s.............475 Miejsca docelowe...................................................s...................................................s477 Wykorzystywanie plików dziennika ...................................................s............................478 Analiza bezpośrednia ...................................................s.............................................479 Narzędzia przetwarzające pliki dziennika ...................................................s.............479 egrep...................................................s...................................................s....................480 Tworzenie raportów ...................................................s...............................................482 Narzędzie monitorujące pliki dziennika ...................................................s................485 Zarządzanie odpowiedziami na zdarzenia...................................................s....................486 Najgorsza jest panika ...................................................s.............................................486 Przewidywanie oznacza politykę bezpieczeństwa...................................................s.487 Podsumowanie ...................................................s...................................................s..........487 Dodatki ...................................................o....................................489 Dodatek A Konfiguracja komutowanego połączenia typu dial-up z siecią Internet ...491 Lokalizacja modemu ...................................................s...................................................s.491 Nawiązywanie połączenia z siecią Internet ...................................................s...........493 Dodatek B Automatyzacja konfiguracji serwera ............................................... 499 Instalacja systemu przy użyciu programu Kickstart ...................................................s....500 Tworzenie pliku konfiguracyjnego programu Kickstart .................................................500 Tworzenie dyskietki startowej programu Kickstart ...................................................s.....501 Instalacja przy użyciu programu Kickstart...................................................s...................503 Tworzenie własnych pakietów RPM...................................................s............................503 Wygląd pakietu RPM...................................................s.............................................504 Przykładowy pakiet RPM ...................................................s......................................504 Dodatek C Stosowanie usługi DHCP ...................................................h............. 507 Instalacja dhcpd...................................................s...................................................s.........507 Konfiguracja stacji roboczej działającej pod kontrolą systsemu Red Hat Linux w celu korzystania z usługi DHCP ...................................................s............................508 Konfiguracja komputera działającego pod kontrolą systemsu Windows w charakterze klienta DHCP ...................................................s.....................................509 Skorowidz...................................................h................................... 511 Rozdział 18. Proste systemy wykrywania włamań W niniejszym rozdziale zajmiemy się systemami wykrywania włamań (Intrusion Detection System — IDS). System IDS nie wie, kim jest intruz. Taki system śledzi zdarzenia i warunki związane z wrogą aktywnością w komputerze lub sieci. Ktoś — a konkretnie administrator — musi określić, które sytuacje oznaczają włamanie i upew- nić się, że IDS będzie na nie odpowiednio reagować. W rzeczywistości większość systemów IDS ma określony zestaw domyślnych warunków wskazujących, że w systemie dzieje się coś niedobrego, lecz każdego dnia pojawiają się nowe sytuacje tego typu, więc ktoś musi uzupełniać ustawienia IDS, tak aby reago- wał na takie „niestandardowe” przypadki. Jak się wkrótce przekonamy, administrator znajduje sytuacje specyficzne dla konkretnej konfiguracji, które chciałby uwzględnić w reakcjach systemu wykrywania, a które nie były przewidziane w standardowej kon- figuracji udostępnionej przez dostawcę systemu IDS. Sieciowe i systemowe wykrywanie włamań Wielu obcych i złych ludzi przygląda się ciągle naszym komputerom. Być może spo- tkałeś się już z ich śladami wyzierającymi z katalogów, w których wprowadzili własne poprawki i podmienili narzędzia systemowe na własne, które bardziej im się podobały. Biznes alarmów antywłamaniowych kwitnie najbardziej w okresach, kiedy włamywacze są bardziej aktywni. Z tego samego powodu wysoką popularnością cieszą się „alarmy antywłamaniowe” sieci komputerowych, czyli systemy IDS. Wielu sprzedawców wmu- sza je tak samo, jak robią to z zaporami sieciowymi — sugerują jakoby były cudownym środkiem rozwiązującym wszelkie problemy z intruzami. Jeśli wierzysz fachowcom od marketingu, powtórzymy to, co mówiliśmy już kilkakrotnie: nie ma cudownych środ- ków. Naprawdę. Zaufaj nam. 444 Część V ♦ Zwiększanie bezpieczeństwa Nie chcemy jednak deprecjonować znaczenia zapór sieciowych czy systemów IDS. Zarówno zapory sieciowe jak, i IDS są potrzebne pod warunkiem, że zostały właściwie zaprojektowane. Nie uzyskamy większych korzyści z ich stosowania, jeśli ich imple- mentacja nie będzie poprzedzona dokładną analizą konkretnej sieci i systemów. W tym rozdziale omówimy ogólne koncepcje związane z systemami IDS, a następnie przed- stawimy bardzo ciekawy i darmowy system sieciowego wykrywania włamań (NIDS) o nazwie Snort. Nawiasem mówiąc, skrót NIDS oznacza Network Intrusion Detection System, czyli system sieciowego wykrywania włamań, natomiast HIDS jest skrótem od Host Intrusion Detection System, czyli systemu wykrywania włamań na poziomie systemu (systemowy). Sieciowe systemy IDS śledzą zdarzenia w sieci w oczekiwaniu na ataki. Systemowe IDS działają w monitorowanym systemie w oczekiwaniu na nieautoryzowany dostęp, a nawet na nietypowe zachowanie systemu i użytkowników. Zaletą podejścia siecio- wego jest lepsza skalowalność i o wiele większa prostota rozwiązania. W rezultacie w większości przypadków pojęcie IDS jest utożsamiane z podejściem sieciowym do tego zagadnienia, czyli z NIDS. Teoretycznie podejście systemowe cechuje się większą dokładnością, z mniejszym prawdopodobieństwem fałszywych alarmów, lecz dość trudno o dobrą implementację systemu HIDS opartego o analizę nietypowych zachowań. Najpopularniejsza imple- mentacja systemu HIDS polega na sprawdzaniu integralności plików systemowych. Program tego typu monitoruje najważniejsze pliki w systemie pod kątem wprowadza- nych zmian. Podejście to opiera się o stwierdzenie, że włamywacz w celu zwiększe- nia swoich uprawnień lub zachowania dostępu do systemu na stałe z reguły stara się zmodyfikować ważne konfiguracje w systemie. W kolejnym podrozdziale zapoznamy się z koncepcją NIDS jako częścią planowania systemu bezpieczeństwa. Rozpoczniemy od problemu określenia roli, jaką chcemy powierzyć podsystemowi NIDS w całym systemie. Określenie zakresu odpowiedzialności Zdecydowaliśmy się zatem zaimplementować NIDS w naszej sieci. Jak wspomnieli- śmy, wiąże się to z koniecznością przeprowadzenia wstępnej analizy i planowania. Zanim zajmiemy się więc tą najbardziej ekscytującą częścią zadania, jaką niewątpli- wie są ataki sieciowe, musimy odpowiedzieć sobie na kilka ważnych pytań tak oczy- wistych, że często zapominamy sobie na nie odpowiedzieć. Bez odpowiedzi na nie nie ma sensu dalsze działanie w tym kierunku. Pytania te przeanalizujemy w kolejnych podrozdziałach. Odpowiedzialność administratora Ten rozdział książki zajmuje się bezpieczeństwem, rozpatrzymy zatem odpowiedzialność administratora w dziedzinie bezpieczeństwa. Rozdział 18. ♦ Proste systemy wykrywania włamań 445 Im więcej zastanawiamy się nad komputerem — indywidualnie lub jako częścią sieci — tym bardziej dochodzimy do przekonania, że trzeba go chronić lub pilnować, a raczej jedno i drugie! Podczas pierwszej sesji kontroli ruchu w sieci administratorzy niezmiennie dają się zaskoczyć ilością odbywających się transakcji. Takie samo odczucie towarzy- szy im podczas pierwszej kontroli dzienników na scentralizowanym serwerze dzienni- ków systemu sieciowego. Uświadomienie sobie implikacji każdego bitu ruchu siecio- wego i każdego wpisu w dziennikach stanowi tę łatwiejszą części większego zadania. Prawdziwa praca zaczyna się, gdy musimy każdą z tych części przeanalizować w powią- zaniu z innymi zdarzeniami, szczególnie wtedy gdy wciąż napływają nowe informa- cje i pojawiają się nowe potencjalne zagrożenia systemu.m Jeśli chcemy utrzymać kontrolę, od samego początku musimy narzucić sobie ograni- czenia. Musimy określić ramy odpowiedzialności i możliwości projektowanego systemu bezpieczeństwa, zanim zaczniemy zastanawiać się, w jaki sposób ustawić poszczególne jego elementy. We wszystkich tych przypadkach musimy zastanowić się, co musimy chronić, i nakreślić zakres naszych wymagań dotyczących bezpiemczeństwa.   Zarządzanie systemem dla pracodawcy. Jeśli dla kogoś pracujesz, musisz wiedzieć, czego się od Ciebie oczekuje. Odpowiedź na tę kmwestię musi być ujęta na piśmie, jak w umowie. Co mam chronić? Te zagadnimenia formułują zakres odpowiedzialności. Każda strategia NIDS (lub pokrewna) musi zawierać wszystkie elementy bezpieczeństwa w określonym zakresie odpowiedzialności. Jeśli określona strategia przynosi korzyść innym, to dosmkonale, lecz przede wszystkim należy skupić się na realizacji własnych zadamń, jeśli chcemy osiągnąć jakiekolwiek rezultaty. Zarządzanie systemem we własnej firmie. Jeśli system, którym zarządzasz, służy Twoim własnym interesom, musisz określić swoje moczekiwania w stosunku do niego. Jeśli Twoja firma prowadzi serwismy WWW, nie ma potrzeby udostępniania serwera IRC (w każdym razie nie mna tej samej maszynie!). Po określeniu wymagań biznesowych wiemy już, mco musimy chronić. Po prostu chronimy możliwości spokojnego prowadzenima interesów. Ta zasada przekłada się bezpośrednio na ochronę określonmych systemów, a nawet określonych funkcji systemów.  Zarządzanie systemem na użytek prywatny. Można również zarządzać systemem na własny użytek lub też w celu udostępnieniam go grupce przyjaciół. Dla zabawy. Wtedy chcesz chronić ten system dlma siebie i swoich przyjaciół, aby kontynuować zabawę. Oczywiście chcemy śledzić wszystkie zagadnienia dotyczące serwerów (lub przynajm- niej dotyczące świadczonych przez nie usług). Chcemy również śledzić inne zagad- nienia, na przykład tylko ruch sieciowy skierowany do serwerów w naszej sieci. Jeśli jednak przytrafią się podejrzane pakiety skierowane do serwera lub kilku z nich, nie mamy pewności, czy to były skany w poszukiwaniu słabych punktów systemu, czy też śmieci w wyniku jakiegoś błędu sprzętowego urządzeń sieciowych w drugim końcu świata. Jeśli jednak monitorujemy cały ruch sieciowy i widzimy, że takie same pakiety trafiły do większej liczby maszyn w sieci w kolejności zgodnej z numeracją adresów, wiemy już, że mamy do czynienia ze skanem. Błędy sprzętowe nie charakteryzują się takim uporządkowaniem. 446 Część V ♦ Zwiększanie bezpieczeństwa Gdy określimy zakres ochrony, musimy ustalić zakres nadzoru, aby uzyskać informacje wystarczające do zapewnienia tej ochrony. Należy określić zakres monitoringu sieciowego. Zakres monitoringu mógłby z powodzeniem obejmować cały Internet i każdy komputer w Internecie, jak również podsystemy energetyczne, do których podłączony jest nasz system. Oczywiście nie mamy dostępu do tych informacji, dlatego musimy skoncen- trować się na kontroli tych obszarów, które możemy kontrolować. Do tej grupy należy cały ruch przechodzący przez monitorowany system (niezależnie od tego, czy ruch jest skierowany do tego systemu). Mamy dostęp do wszystkich dzienników systemowych, które może wygenerować system (niestety nie wszystkie procesy, które są w stanie wyge- nerować informacje do dziennika, mają domyślnie aktywną tę funkcję). Czy posiada- ne informacje są wartościowe? Prawdopodobnie. Czy są wystarczające? Na pewno nie. Informacji nigdy nie jest wystarczająco dużo. Czy posiadana ilość informacji jest roz- sądna z punktu widzenia potrzeb związanych z wykonywanymi przez nas zadaniami? To zależy od własnej oceny. Nie możemy na nikim wymusić zakresu prowadzonego monitoringu, każdy musi sam to określić. My możemy jedynie powiedzieć, że zakres monitoringu powinien odpowiadać zakresowi wymagań. Odpowiedzialność oznacza władzę W poprzednim podrozdziale milcząco założyliśmy, że administrator (czytelnik) jest w stanie podjąć odpowiednie środki bezpieczeństwa na wszystkich serwerach, którymi zarządza. Innymi słowy, nikt nie będzie pociągał go do odpowiedzialności za zagad- nienia wybiegające poza zakres jego kontroli. W idealnym świecie nie byłoby w ogóle potrzeby podkreślania tego oczywistego faktu. W rzeczywistym jednak uważamy, że jest to zagadnienie, które warto wyraźnie podkreślić. Jeśli administrator uważa, że pewne zagadnienia są kluczowe w celu realizacji funkcji bezpieczeństwa, lecz nie ma nad nimi kontroli, powinien natychmiast podjąć ten temat na piśmiem. Notatka służbowa stanowi doskonałe narzędzie formalne, zwykle wykorzystywane w celu wyjaśnienia zagadnień. W naszym przypadku może być z powodzeniem użyta jako uprzejme zwrócenie uwagi na to, że ktoś podjął błędne decyzje. Oto przykład takiej notatki: Od: Ktoś Do: Szef i Szef Szefa Data: 1 marca 2003r. Temat: Hasło konta root na serwerze baz danych No to co Ty właściwie robisz? Jeśli z umowy lub zakresu obowiązków nie można jasno wywnioskować zakresu odpowiedzialno- ści, należy wyegzekwować taki dokument na piśmie. Istnieje tendencja do obwiniania administra- torów systemów za wszelkiego rodzaju problemy. Tym bardziej dotyczy to osób odpowiedzialnych za bezpieczeństwo systemów! Należy zatem jasno zdefiniować odpowiedzialność i wszystkie strony muszą potwierdzić tę umowę na piśmie. Rozdział 18. ♦ Proste systemy wykrywania włamań 447 Niniejsza notatka ma za zadanie udokumentować wynikie spotkania z 28 lutego 2003r. dotyczącego zagadnień bezpieczeństwa głównego serwerae bazy danych. Po przeanalizowaniu zaleceń szefa systemu bezpiecezeństwa (zob. poprzednia notatka z dnia 30 listopada 2002r.) dotyeczącego wymogu wykorzystania haseł na koncie root służby wykorzystującee ten serwer uznały, iż spowoduje to nadmierne komplikacje procesu uwierzytelniania użytkowników przewyższające zalety uzyskane z podniesienia poziomu beezpieczeństwa. Jak widać, notatka ta odwołuje się do poprzedniej notatki. Gdy administrator jest osobą zatrudnioną w firmie, pozostawianie śladu na papierze na temat wszelkich zdarzeń jest kluczowe dla bezpieczeństwa własnej pracy. Jeśli administrator pracuje na własną rękę, również powinien to robić, choćby po to, by później prześledzić zdarzenia i upewnić się, że właściciel pamięta o wszystkim, co powiedział. Przed dalszą analizą przygotowującą do wdrożenia mechanizmu NIDS prześledźmy mechanizmy sieciowe w Internecie. Czytelnicy dobrze zaznajomieniu z terminologią sieci TCP/IP mogą pominąć te rozważania. Mechanizmy sieciowe Niniejszy podrozdział omawia zagadnienia związane z systemami wykrywania włamań, szczególnie sieciowymi; skupia się na konkretnym rozwiązaniu o nazwie Snort. Uzgod- niliśmy, że do obowiązków administratora należy określenie zakresu kontroli zdarzeń w sieci w odniesieniu do specyfiki danej instalacji. Czytelnicy, którzy posiadają dobrą orientację w zakresie zagadnień TCP/IP oraz rodzajów ataków i skanowania sieci, mogą potraktować ten podrozdział jak podsumowanie. Pozostali znajdą w nim skromne wpro- wadzenie do grubych książek traktujących o tych tematach, których poznanie jest klu- czowe w celu dalszej i skutecznej pracy z mechanizmami tmypu NIDS. TCP/IP jest rodziną standardowych protoko
Pobierz darmowy fragment (pdf)

Gdzie kupić całą publikację:

Serwery internetowe Red Hat Linux
Autor:
,

Opinie na temat publikacji:


Inne popularne pozycje z tej kategorii:


Czytaj również:


Prowadzisz stronę lub blog? Wstaw link do fragmentu tej książki i współpracuj z Cyfroteką: