Безопасность систем Linux в ЛВС

Новые аспекты безопасности возникают в момент соединения системы Linux с локальной сетью. Даже если следовать всем приведенным правилам для автономной системы (которые необходимо соблюдать и в случае, когда система находится в локалвной сети), для хакера остается возможность получения доступа к системе Linux благодаря слабости сетевой защиты.

Две простых ограничения помогут уменьшить существующую опасность.

Совет

Если вы используете файл /etc/inetd. conf, обычный для других версий Linux (включая Red Hat Linux 6.x), можете сконвертировать его в формат Red Hat 7.1 xinetd с помощью команды /usr/sbin/inetdconvert.

Если вы пользуетесь другой версией Linux, в которой нет файла /etc/xinetd.conf, убедитесь, что для демона нет записи в файле /etc/inetd. conf (запись можно закомментировать символом [#] в первой позиции соответствующей строки).

xinetd

В Red Hat, начиная с версии Red Hat Linux 7.0, входит расширенный демон сервиса Internet xinetd, заменяющий inted. "Суперсервер" inetd управляет Internet-доступом access к Unix/Linux-компьютерам через порт. Чтобы дать возможность неопытным пользователям быстро запускать сервисы, подобные Telnet, FTP, POP e-mail и другие, inetd изначально устанавливается с несколькими открытыми портами. Как описано выше, вы можете использовать файлы hosts . allow и hosts . deny, чтобы управлять доступом к своему компьютеру. К сожалению, разрешая стороннему компьютеру доступ только к FTP для выполнения загрузки, вы тем самым разрешаете доступ ко всем службам на вашем компьютере.

Демон xinetd позволяет управлять доступом с помощью сервиса. Другими словами, если вы хотите предоставить кому-либо доступ к вашему FTP-серверу, вы не обязаны предоставлять ему доступ к другим сервисам, подобным Telnet или NFS. Единственный способ проникновения в компьютер будет в этом случае лежать через открытый вами FTP-сервис.

Другое достоинство xinetd состоит в том, что он способен защищать вас от атак типа отказ в обслуживании (DoS - Denial of Service). DoS представляет собой ситуацию, в которой некто посылает на ваш сервер поток сообщений (возможно, совсем простых, наподобие ping), но настолько интенсивный, что другие пользователи не могут получить доступ к вашему серверу.

Более подробные сведения о xinetd доступны по адресу http://www.xinetd.org. На этом сайте хранится документация и примеры необходимых конфигурационных файлов.