Linux_Serwery_Bezpieczenstwo_lisebe.pdf

(419 KB) Pobierz

IDZ DO

PRZYK£ADOWY ROZDZIA£

SPIS TREŒCI

Linux. Serwery.

Bezpieczeñstwo

Autor: Michael D. Bauer

T³umaczenie: Marek Pêtlicki (rozdz. 6–11), Grzegorz

Werner (przedmowa, rozdz. 3, 5, 12, 13, dod. A),

S³awomir WoŸniak (rozdz. 1, 2, 4)

ISBN: 83-7361-988-7

Tytu³ orygina³u:

Linux Server Security

Format: B5, stron: 520

Kompendium wiedzy o ochronie serwerów linuksowych przed atakami z sieci

• Projektowanie sieci granicznej

• Korzystanie z mechanizmów szyfrowania transmisji

• Zabezpieczanie us³ug udostêpnianych przez serwer

Pod kontrol¹ systemów operacyjnych z rodziny Linux dzia³aj¹ setki serwerów

internetowych. Mo¿liwoœci Linuksa pozwalaj¹ na uruchomienie serwera WWW, FTP,

poczty elektronicznej, DNS i baz danych. Aby jednak funkcje serwerowe dzia³a³y

bez zak³óceñ, udostêpniony w sieci serwer nale¿y odpowiednio zabezpieczyæ.

Bezpieczeñstwo serwerów, szczególnie w œwietle rosn¹cej iloœci w³amañ i kradzie¿y

danych, jest niezwykle istotnym zagadnieniem. Linux wyposa¿ony jest w narzêdzia

umo¿liwiaj¹ce zabezpieczenie uruchomionych w nim us³ug i danych przechowywanych

w sieci. Trzeba jednak wiedzieæ, których narzêdzi u¿yæ i jak je skonfigurowaæ.

Ksi¹¿ka „Linux. Serwery. Bezpieczeñstwo” to podrêcznik dla administratorów serwerów,

którzy chc¹ podnieœæ poziom bezpieczeñstwa swoich sieci. Zawiera dok³adne opisy

narzêdzi niezbêdnych do zabezpieczenia serwerów oraz praktyczne rady dotycz¹ce

ich stosowania. Przedstawia ogólne œrodki bezpieczeñstwa: wykrywanie w³amañ

i filtrowanie pakietów, oraz rozwi¹zania pozwalaj¹ce na ochronê konkretnych us³ug.

Czytaj¹c j¹, dowiesz siê, jak projektowaæ strefy DMZ, korzystaæ z narzêdzia iptables

i szyfrowaæ dane przesy³ane do serwera. Nauczysz siê tak¿e zabezpieczaæ serwery

DNS, WWW i bazy danych oraz analizowaæ dzienniki systemowe.

• Motywy i cele ataków

• Tworzenie sieci granicznych

• Konfiguracja narzêdzia iptables

• Administrowanie zdalne za pomoc¹ SSH

• Zabezpieczanie us³ugi DNS

• Wykorzystywanie LDAP do uwierzytelniania u¿ytkowników

• Zabezpieczanie bazy danych MySQL oraz poczty elektronicznej

• Bezpieczeñstwo serwerów WWW oraz treœci witryn internetowych

• Zabezpieczanie serwerów plików

• Monitorowanie dzienników systemowych

• Wykrywanie w³amañ

Jeœli chcesz, aby administrowany przez Ciebie serwer sta³ siê twierdz¹, przeczytaj tê

ksi¹¿kê.

KATALOG KSI¥¯EK

KATALOG ONLINE

ZAMÓW DRUKOWANY KATALOG

TWÓJ KOSZYK

DODAJ DO KOSZYKA

CENNIK I INFORMACJE

ZAMÓW INFORMACJE

O NOWOŒCIACH

ZAMÓW CENNIK

CZYTELNIA

FRAGMENTY KSI¥¯EK ONLINE

Wydawnictwo Helion

ul. Chopina 6

44-100 Gliwice

tel. (32)230-98-63

e-mail: helion@helion.pl

Spis treści

Przedmowa .................................................................................................................... 9

1. Modelowanie zagrożeń i zarządzanie ryzykiem ........................................................17

Składniki ryzyka

Podstawowe narzędzia analizy ryzyka: ALE

Alternatywa: drzewo ataków

Możliwości obrony

Wnioski

Zasoby

2. Projektowanie sieci granicznej ................................................................................... 37

Trochę terminologii

Rodzaje zapór sieciowych i architektur stref DMZ

Co powinno znaleźć się w strefie zdemilitaryzowanej?

Alokowanie zasobów w strefie DMZ

Zapora sieciowa

3. Wzmacnianie Linuksa i korzystanie z iptables ...........................................................61

Zasady wzmacniania systemu operacyjnego

Automatyczne wzmacnianie systemu za pomocą skryptów Bastille Linux

123

4. Bezpieczna administracja zdalna ..............................................................................129

Powody, dla których narzędzia opierające się na otwartym tekście powinny

odejść w zapomnienie

Podstawowe informacje dotyczące Secure Shell

SSH na zaawansowanym i

średnio

zaawansowanym poziomie

129

130

140

5. OpenSSL i Stunnel ......................................................................................................157

Stunnel i OpenSSL: pojęcia

157

6. Zabezpieczanie usługi DNS ........................................................................................179

Podstawy mechanizmów DNS

179

Podstawy bezpieczeństwa DNS

Wybór pakietu oprogramowania DNS

Zabezpieczanie serwera BIND

djbdns

Zasoby

181

183

184

203

221

7. Zastosowanie LDAP do uwierzytelniania ................................................................ 225

Podstawy systemu LDAP

Konfiguracja serwera

Zarządzanie bazą LDAP

Wnioski

Zasoby

225

229

238

243

244

8. Bezpieczeństwo baz danych ..................................................................................... 245

Rodzaje problemów bezpieczeństwa

Lokalizacja serwera

Instalacja serwera

Użytkowanie bazy danych

Zasoby

246

249

254

258

9. Zabezpieczanie poczty e-mail .................................................................................. 259

Podstawy: bezpieczeństwo serwerów SMTP

Wykorzystanie poleceń SMTP do diagnostyki serwera

Zabezpieczenie serwera MTA

Sendmail

Postfix

Serwery MDA

Krótkie wprowadzenie do szyfrowania poczty elektronicznej

Zasoby

260

263

265

292

300

314

317

10. Zabezpieczanie serwerów WWW .............................................................................319

Bezpieczeństwo sieci WWW

Serwer WWW

Treść serwisu WWW

Aplikacje WWW

Warstwy ochrony

Zasoby

319

321

332

342

364

365

11. Zabezpieczanie usług plikowych .............................................................................. 367

Bezpieczeństwo usługi FTP

Inne metody współdzielenia plików

Zasoby

367

396

408

Spis treści

12. Zarządzanie dziennikami systemowymi i monitorowanie ich ...............................409

syslog

Syslog-ng

Testowanie rejestrowania systemowego za pomocą programu logger

Zarządzanie plikami dziennika za pomocą programu logrotate

Zautomatyzowane monitorowanie dzienników za pomocą programu Swatch

Kilka prostych narzędzi raportujących

Zasoby

409

419

435

437

440

448

13. Proste techniki wykrywania włamań .......................................................................449

Zasady systemów wykrywania włamań

Tripwire

Inne programy do kontroli integralności

Snort

Zasoby

450

453

467

469

481

A Dwa kompletne skrypty startowe iptables ..............................................................483

Skorowidz .................................................................................................................. 493

Spis treści

ROZDZIAŁ 5.

OpenSSL i Stunnel

Ten rozdział mieści się — zarówno w sensie technologicznym, jak i dosłownym — między

częścią opisującą zakulisowe mechanizmy a poświęconą usługom; traktuje o pakiecie OpenSSL,

który zapewnia usługi szyfrowania i uwierzytelniania wielu narzędziom omówionym w ni-

niejszej książce. OpenSSH, Apache, OpenLDAP, BIND, Postfix i Cyrus IMAP to tylko niektó-

re spośród aplikacji wykorzystujących OpenSSL.

OpenSSL jest jednak niezwykle skomplikowaną technologią, a jej pełny opis wymagałby od-

dzielnego tomu (takiego jak

Network Security with OpenSSL

wydawnictwa O’Reilly). Dlatego

w tym rozdziale pokażemy tylko, jak używać OpenSSL w konkretnej sytuacji: do osadzania

niezaszyfrowanych usług TCP w zaszyfrowanych „tunelach” SSL przy użyciu popularnego na-

rzędzia Stunnel.

Tak się składa,

że

konfigurowanie programu Stunnel wymaga, abyśmy użyli pakietu OpenSSL

do kilku zadań wspólnych dla wszystkich aplikacji zależnych od OpenSSL, które często wy-

korzystuje się w serwerach bastionowych. Zatem, nawet jeśli samo narzędzie Stunnel okaże

się niepotrzebne, warto przeczytać ten rozdział, aby dowiedzieć się, jak generować certyfi-

katy serwera, zarządzać własnym urzędem certyfikacji itd.

Stunnel i OpenSSL: pojęcia

Mówiąc najprościej,

tunelowanie

polega na osadzaniu pakietów jednego protokołu w pakie-

tach drugiego. W kontekście bezpieczeństwa termin ten zwykle określa osadzanie pakietów

niezabezpieczonego protokołu w pakietach zaszyfrowanych

. W tym rozdziale pokażemy, jak

używać programu Stunnel — „nakładki” na protokół SSL — do przekazywania różnych trans-

akcji sieciowych przez tunele SSL.

Wiele aplikacji sieciowych cechuje się prostotą (pod względem sposobu korzystania z zaso-

bów sieciowych) i użytecznością, ale nie ma mechanizmów bezpieczeństwa takich jak szy-

frowanie albo silne (czy choćby odpowiednio realizowane) uwierzytelnianie. Do tej kategorii

należały usługi WWW, dopóki firma Netscape Communications nie wynalazła w 1994 roku

protokołu Secure Sockets Layer (SSL).

Znawcy sieci mogliby uznać takie użycie terminu

tunelowanie

za nieco naciągane. Zaszyfrowany strumień

danych różni się od protokołu sieciowego, a niektórzy twierdzą,

że

tunelowanie dotyczy protokołów, a nie

rozróżnienia między tekstem jawnym a zaszyfrowanym. Uważam jednak,

że

termin można stosować w tym

znaczeniu ze względu na ostateczny rezultat, czyli to,

że

jeden typ transakcji zostaje osadzony w drugim.

157

Plik z chomika:

Ksiazki_20

Inne pliki z tego folderu:

ABC_Linux_abclin.pdf (1176 KB)
ABC_Linux_Wydanie_II_abcli2.pdf (1122 KB)
100_sposobow_na_Linux_100lin.pdf (655 KB)
100_sposobow_na_Linux_Server_Wskazowki_i_narzedzia_dotyczace_integracji_monitorowania_i_rozwiazywania_problemow_100lis.pdf (500 KB)
Ansible_w_praktyce_Automatyzacja_konfiguracji_i_proste_instalowanie_systemow_Wydanie_II_ansipr.pdf (777 KB)

Linux_Serwery_Bezpieczenstwo_lisebe.pdf

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: