linux szerverek
DESCRIPTION
Linux Szerverek. Buzas Hunor. Milyen hardvert vásároljunk? - PowerPoint PPT PresentationTRANSCRIPT
Linux Szerverek 1
LINUX SZERVEREK
Buzas Hunor
Linux Szerverek 2
Milyen hardvert vásároljunk?
Ha komoly szolgáltatást szeretnénk nyújtani, és
fontos a folyamatos működés, akkor már a hardver
vásárlásánál gondolnunk kell a minőségre. Vegyünk
ipari házat, amely alkalmas több hónapon (esetleg
éven) keresztül megszakítás nélküli üzemelésre és
esetleg fizikai védelmet nyújt a betörés ellen. Ezek a
házak általában speciális tápegységet tartalmaznak,
szétszerelésükhöz vagy kezelőfelületükhöz kulcsal
vagy mágneskártyával lehet hozzáférni
Linux Szerverek 3
A folyamatos üzemhez elkerülhetetlen egy
szünetmentes tápegység beszerzése. Ebből érdemes
a legolcsóbbak helyett valami komolyabbat
beszerezni. Figyeljünk arra, hogy a szünetmentesnek
akkor van értelme, ha az áramkimaradásról a Linux
(ált. oprendszer :) is értesül. Létezik olyan megoldás,
ahol az UPS és a PC a soros porton kommunikál. Ez
az olcsóbb és butább megoldás. (Ha szükség van a
soros portokra, ez nem használható.) A
legintelligensebb megoldás, amikor az UPS-hez egy
bővítőkártyát adnak, amin keresztül az
áramszolgáltatás leállását, újraindulását, illetve sok
egyéb mást is közölni tud a rendszerrel.
Linux Szerverek 4
PARTÍCIONÁLÁS
A filerendszer több részre darabolása (ésszerű határok között)
megkönnyíti az egyes partíciók mount opcióinak finomhangolását, illetve
egy partíció sérülése esetén a hiba elhárítása általában nem követeli
meg a rendszer leállítását.
Elsőnek a felhasználók home könyvtárait, illetve az általuk írható
könyvtárakat érdemes különválasztani. Ilyenek a /tmp és a többi world-
writable könyvtár (ha van). Ez megnehezíti néhány program hibáinak
kihasználását, például állományok jogosulatlan átírása az adott file-ra
mutató link segítségével, hiszen partíciók között nem lehet linkeket
létrehozni.
Linux Szerverek 5
A /var (esetleg a /var/spool, /var/log) könyvtár külön
partícióra tétele lehetővé teszi a disk quota hatékonyabb
beállítását illetve megakadályozza, hogy a syslogd üzenetei
megtöltsék a root vagy a /var partíciót, leállítva ezzel
a /var/spool-t használó processzeket. Másrészt ha
a /var/spool vagy a /var/log valamilyen ok miatt megtelik,
a /var nem fog.
A /var/tmp csak egy symlink legyen a /tmp-re. Külön szokás
még választani a /usr és a /opt könyvtárat (ha van).
A /usr mountolható read-only-ra is, amennyiben a szerverre
nem kerülnek állandóan új programok. A /tmp-t és a /home-ot
érdemes nosuid paraméterrel mountolni.
Linux Szerverek 6
Számolni kell a swap partíció méretével is. Ezt ajánlott
úgy meghatározni, hogy az alkalmazások maximális
memóriaigényéből kivonjuk a rendelkezésre álló memória
méretét. A fennmaradó rész (plusz néhány mega) a swap.
Összefoglalva tehát a /etc/fstab valahogy így nézzen ki:
/dev/hda1 swap swap defaults 0 0
/dev/hda2 /tmp ext2 defaults,nosuid 1 2
/dev/hda3 /usr ext2 defaults,ro 1 2
/dev/hda4 /home ext2 defaults,nosuid 1 2
/dev/hda5 /var ext2 defaults 1 2
Linux Szerverek 7
A felhasználók által foglalható maximális
merevlemez területet is érdemes korlátozni, így azok
nem tudnak buta dolgokat (pl. cat /dev/zero >
nagyfile) művelni. Ennek beállításához ajánlott
olvasmány a quota howto. Quota kell a /tmp-re a
nagy tmp file-ok létrehozásának megakadályozására
illetve, hogy az elvetemültebb felhasználók ne itt
tárolják a dolgaikat, a /var-ra a mail és printer spool
méretének limitálása miatt, és a /home-ra a home
könyvtárak méretének korlátozása érdekében.
Linux Szerverek 8
Install
Csak a rendeltetésszerű működéshez szükséges csomagokat
telepítsük. Ne installáljunk általunk ismeretlen vagy nem használt
programokat, ezek csak növelik a programozási hibákból eredő
kockázatot, de egy ismeretlen program tartalmazhat akár kártékony
kódrészeket is.
Telepítés után ellenőrizzük, nincsenek-e már ismert biztonsági hibák
rendszerünkben. Az ellenőrzést kezdjük az adott disztribúció
hibalistájával (errata). Érdemes körülnézni a disztribúció homepage-én
is, általában találunk egy ,,updates'' vagy ,,security'' linket. Nézzük át
a biztonsággal foglalkozó site-okat (pl. Rootshell), listák archívumait
(pl. BUGTRAQ, vagy linux-security). Az említett levelezési listákra
feliratkozni is érdemes, így előbb juthatunk az információkhoz.
Linux Szerverek 9
Upgrade
Ha valamiben már találtak biztonsági hibát, azonnal cseréljük le. A
legtöbb helyen a javított csomagok elérhetőségét is megadják. Ha
még nincs javított verzió, próbálkozhatunk a közreadott patch-ekkel
is. Ha az sincsen, az adott szolgáltatást célszerű ideiglenesen
leállítani. Javítás után teszteljük le a rendszert, valóban kijavítottuk-e
a hibát.
Jól működő, hibátlan programot nem mindig érdemes lecserélünk,
ha megjelent egy új verziója. Az új verzió új hibákat is
eredményezhet - és a régiek nem biztos, hogy ki lettek javítva -, ezért
upgrade előtt mindig olvassuk el a README, CHANGES, FEATURES,
Changelog, stb. dokumentumokat. A programban történt változások
ismeretében már el tudjuk dönteni, szükségünk van-e az upgrade-re.
Linux Szerverek 10
Egyéb fontos dolgok
A legjobb védekezési technikák sem érnek sokat, ha nem vagyunk elég
körültekintőek napi munkánk során. Hogy csak néhány rossz példát említsek: root-
ként vagy privilégizált felhasználó nevében futtatott X, netscape, lynx, irc, mc, stb,
de még a levél vagy man olvasás sem ajánlott.
Érdemes megfogadni a alábbi tanácsokat:
csakis a legszükségesebb munkákat végezzük root-ként, a napi munkára hozzunk
létre egy privilégiumokkal nem rendelkező accountot;
ha lehetőségünk van rá, a szervert egyáltalán ne használjuk munkaállomásnak;
ismeretlen programokat soha ne installáljunk vagy futtassunk root-ként, amíg nem
győződtünk meg arról, hogy nem tartalmaz kártékony részeket;
a root jelszót soha ne adjuk meg senkinek, ne írjuk fel;
jelszavakat és egyéb fontos információt soha ne küldjünk kódolatlan levélben,
használjunk PGP-t (Pretty Good Privacy) vagy GPG-t (GNU Privacy Guard) a
titkosításhoz;
Linux Szerverek 11
root konzolt ne hagyjunk ott, jelentkezzünk ki vagy lock-oljuk (pl. vlock -a).
Vigyázat, a kernelbe fordított ,,Magic Sysrq Keys'' segítségével a lock
programok kiiktathatók!;
több gépen ne használjuk ugyanazokat a jelszavakat, a root jelszó legyen
egyedi mindenhol;
mindig olvassuk a log file-okat! Ha valaki próbálkozik, annak általában
nyoma marad. Persze ezeket fel is kell ismerni. Nyom lehet pl. a többszöri
belépési kísérlet adott hostról vagy accounton, daemonok szokatlan
hibaüzenetei, kapcsolódási kísérletek gyanús címekről, stb. Ugyancsak
szokatlan, ha a log-ban hiányos részek vannak (pl. látjuk, hogy kilépett egy
felhasználó, de a login-nak nyoma sincs).Gyanús eseményeknél, - miután
megbizonyosodtunk arról, hogy támadási kísérletről van szó - a próbálkozó
hostot azonnal tiltsuk ki minden szolgáltatásból! A legjobb megoldás, ha a
firewall-on tiltjuk ki, ha ez nem lehetséges, akkor tegyük a hosts.deny-be a
címet, majd tájékoztassuk a kitiltott gép adminisztrátorát.
Linux Szerverek 12
Ha nem vagyunk biztosak magunkban, kérdezzünk
meg a hozzáértőbbet! Léteznek erre külön listák is,
ahol felvethetők az ilyen jellegű problémák is.
Tovabbi reszletes informaciokert latogassuk a
http://www.bences.hu/tech/security/bizt/bizt.html-t.