Bezpieczeństwo

Także systemy linuksowe są narażone na ataki hakerów, a awaria sprzętu może oznaczać utratę danych. Użytkownik musi więc zadbać o jak najlepszą ochronę komputera przed tymi zagrożeniami. Podobnie jak w systemach Windows, obejmuje to między innymi regularną aktualizację systemu operacyjnego i składników oprogramowania. Dzięki funkcji YaST Online Update jest to w tej chwili równie łatwe, jak w Windows.

Także systemy linuksowe są narażone na ataki hakerów, a awaria sprzętu może oznaczać utratę danych. Użytkownik musi więc zadbać o jak najlepszą ochronę komputera przed tymi zagrożeniami. Podobnie jak w systemach Windows, obejmuje to między innymi regularną aktualizację systemu operacyjnego i składników oprogramowania. Dzięki funkcji YaST Online Update jest to w tej chwili równie łatwe, jak w Windows.

Warto śledzić też na bieżąco pojawiające się w Sieci informacje. Zdarza się, że zostaje odkryta poważna luka, do której nie ma jeszcze stosownej poprawki w dystrybucji Linuksa, ale istnieje łatwy sposób obejścia problemu. Jednak nawet starannie łatany system nie musi być stuprocentowo bezpieczny. Jeżeli komputer ma łączność z Internetem, nie obejdzie się bez dobrze skonfigurowanej zapory. Ponadto, zawsze trzeba być przygotowanym na najgorsze. Nie można wykluczyć włamania i złośliwego usunięcia danych, a uszkodzenie głowicy dysku może spowodować, że na zawsze przyjdzie się pożegnać z danymi. Tu rozwiązaniem jest tylko kopia zapasowa. Na szczęście Linux oferuje wiele potrzebnych rozwiązań.

Zapora ogniowa SUSE

Do ochrony przed złośliwymi atakami konieczna jest zapora. Ta zasada obowiązuje nawet wówczas, gdy właściwe łącze internetowe jest chronione zaporą sprzętową. W końcu nigdy nie wiadomo, jaką cyfrową dżumę jest w stanie wpuścić do sieci firmowej czy domowej kolega z pracy albo nieletni potomek. Różne obszary zastosowań wymagają w każdym przypadku innej konfiguracji - zależnie od tego przed kim albo przed czym i kogo chcesz chronić. W przypadku prywatnych komputerów warto oczywiście wprowadzić takie modyfikacje zapory, aby móc w pełni korzystać z takich usług, jak komunikatory czy telefonia internetowa.

Zapora dla klientów sieciowych

Po pierwszej instalacji SUSE LINUX 9.2 na kliencie sieciowym wbudowana zapora działa jako tak zwana zapora osobista. Oznacza to, że zezwala ona na cały wychodzący ruch danych, jednak blokuje wszelkie dane przychodzące, o ile wcześniej ich nie zażądano. Ponadto, specjalne ustawienia dbają o to, by ważne przekazy były opatrzone specjalnymi rodzajami flag w nagłówku TCP. Jeżeli dana sieć obsługuje informacje Type of Service (rodzaj usługi), wówczas połączenia FTP i HTTP są optymalizowane pod kątem przepustowości, zaś inne protokoły, jak SNMP, pod kątem bezpieczeństwa danych. W przypadku zapytań DNS ustawienia domyślne starają się maksymalnie skrócić czas odpowiedzi.

Nie można jednak pominąć faktu, że prawdziwa zapora osobista potrafi znacznie więcej, niż SuSEfirewall2. Na przykład zapora SUSE może kontrolować czysty przepływ danych, ale nie jest już w stanie kontrolować aplikacji, które są przyczyną określonych przekazów. Jeżeli więc nastąpiłby najbardziej nieprawdopodobny przypadek zainstalowania się trojana na komputerze linuksowym, wówczas mógłby on bez żadnych przeszkód ze strony zapory wymieniać dane z komputerami w sieci lokalnej lub w Internecie, ponieważ nawiązanie połączenia odbyło się z komputera.

1. Domyślne bezpieczeństwo - ustawienia domyślne zapory SUSE LINUX 9.2 zezwalają praktycznie na tyle co nic, dlatego stanowią dobre zabezpieczenie przed atakami z zewnątrz.

1. Domyślne bezpieczeństwo - ustawienia domyślne zapory SUSE LINUX 9.2 zezwalają praktycznie na tyle co nic, dlatego stanowią dobre zabezpieczenie przed atakami z zewnątrz.

Domyślna konfiguracja zapory SUSE, nastawiona na totalną ochronę przed atakami inicjowanymi z zewnątrz, ma także pewne wady. Standardowe ustawienia nie tylko uniemożliwiają ataki, ale także korzystanie z napędów sieciowych za pomocą Samby - odpowiednika udostępnionych zasobów Windows. Przyczyną tego jest fakt, że Samba aktywnie propaguje swoje usługi w sieci, ale zapora odbiera je jako niezamówione połączenie z zewnątrz i w efekcie konsekwentnie je odrzuca. To samo dotyczy zainstalowanego na komputerze serwera webowego czy pocztowego. W tym przypadku udostępnienie tych usług dla innych użytkowników można szybko załatwić za pomocą YaST. Wystarczy aktywować w konfiguracji zapory odpowiednie punkty, nakazując jej w ten sposób przepuszczanie pakietów do określonych portów TCP/IP.

Co jednak zrobić, gdy na komputerze działa usługa, dla której nie ma jeszcze gotowej definicji? Przykładem może być FTP, usługa prostego transferu plików. Potrzebuje ona portu 21, którego nie można otworzyć za pomocą funkcji oferowanych przez YaST. Aby udostępnić ten port innym komputerom - a co za tym idzie, również lokalny serwer FTP - musisz wstawić go na listę usług dodatkowych. Opcja jest dostępna po kliknięciu przycisku Ekspert w oknie konfiguracji zapory.

Otworzy się okno dialogowe, w którym możesz wybrać usługi, które będą akceptowane przez zaporę, podając ich numery portów lub nazwy zapisane w pliku /etc/services. Numery portów TCP i UDP wybiera się oddzielnie.

Tu oczywiście nasuwa się pytanie, skąd użytkownik może się dowiedzieć, czy dana usługa korzysta z protokołu TCP, czy UDP. Najprostsze wyjście to podgląd w pliku /etc/services. Tu znajdziesz większość znanych usług, wraz z używanymi przez nie portami i protokołami, posortowanych rosnąco według numerów portów.

Zapora dla routera internetowego

2. Udostępnianie - zapora SUSE LINUX udostępnia cały szereg wstępnie skonfigurowanych usług, które można aktywować prostym kliknięciem myszką.

2. Udostępnianie - zapora SUSE LINUX udostępnia cały szereg wstępnie skonfigurowanych usług, które można aktywować prostym kliknięciem myszką.

Jeżeli komputer jest połączony z Internetem bezpośrednio, na przykład przez modem DSL, a nie za pośrednictwem sieci lokalnej lub routera, należy dokonać kilku dodatkowych modyfikacji. W tym przypadku ochrona interfejsu internetowego eth0 nie ma sensu. W przypadku DSL potencjalnym źródłem zagrożeń jest połączenie PPP z Internetem ppp0, a w przypadku ISDN - odpowiednio ippp0. Jeżeli korzystasz z analogowego modemu, właściwy wybór to modem0.

Zależnie od typu połączenia, musisz wybrać interfejs z listy rozwijanej dostępnych interfejsów lub dodać odpowiedni wpis ręcznie.

Dodatkowo, musisz także określić interfejs wewnętrzny. Może to być bez żadnych problemów eth0, czyli interfejs ethernetowy.

W końcu przecież Linux umożliwia konfigurację wielu wirtualnych urządzeń sieciowych na jednym złączu fizycznym. Lepszym rozwiązaniem jest jednak zastosowanie dodatkowej karty sieciowej, która jako eth1 nawiązuje połączenie z wewnętrzną siecią.

Szczególnej ochrony wymaga komputer działający w roli routera. Chodzi tu między innymi o to, aby działające na nim usługi były chronione przed jakimkolwiek dostępem, także z sieci wewnętrznej.

W idealnym przypadku komputer działający jako router nie powinien w ogóle świadczyć żadnych innych usług, poza przesyłaniem pakietów miedzy Internetem a siecią lokalną. Jeżeli jednak zachodzi potrzeba, aby świadczył jeszcze takie usługi, jak serwer DHCP czy DNS, musisz je najpierw wyraźnie udostępnić za pomocą znanego już okna dialogowego konfiguracji.

3. Pozostałe - w pliku /etc/services znajdziesz przegląd większości znanych usług wraz z używanymi przez nie protokołami i portami.

3. Pozostałe - w pliku /etc/services znajdziesz przegląd większości znanych usług wraz z używanymi przez nie protokołami i portami.

Musisz jeszcze zadbać o to, by pakiety były rzeczywiście przesyłane między siecią lokalną a Internetem. Rzecz w tym, że domyślnie ta funkcja jest w Linuksie wyłączona. Aby ją włączyć, musisz zaznaczyć pole wyboru w oknie dialogowym Przesyłanie danych i maskarada.

W tej samej chwili aktywujesz jednocześnie Network Address Translation (NAT, tłumaczenie adresów sieciowych). Funkcja ta odpowiada za to, by pakiety danych wysyłane z komputera w sieci lokalnej wyglądały dla komputera zdalnego w Internecie tak, jak gdyby pochodziły z adresu IP. Dostawca usługi dostarczania Internetu przydzielił ci go w trakcie nawiązywania połączenia.

Dodatkowo powinieneś włączyć opcję Blokuj wszystkie działające usługi. Początkowo może być to nieco mylące, szczególnie wówczas, gdy router ma świadczyć takie usługi, jak DHCP i DNS.

Chodzi jednak o to, że opcja ta dotyczy tylko tych usług, które nie zostały wyraźnie udostępnione we wcześniejszym oknie konfiguracji; użytkownicy w lokalnej sieci LAN będą więc nadal mogli korzystać z udostępnionych usług, nawet po włączeniu tej opcji.

Niestety, na tym kończy się lista opcji konfigurowania zapory, które dostępne są za pośrednictwem YaST. Jeżeli zależy ci na bardziej zaawansowanych funkcjach, jak na przykład kierowanie przychodzących pakietów do specjalnych usług na serwerze w lokalnej sieci, nie obędzie się bez ręcznego dłubania w plikach.

Korzystanie z funkcji zaawansowanych

Należy zauważyć, że dzięki pracy programistów SUSE, konfiguracja zapory nie wymaga już wcześniejszego studiowania dokumentacji Iptables, systemu zapory Linuksa. Wszystkie ustawienia są stosunkowo łatwo dostępne w pliku /etc/sysconfig/SuSEfirewall2. Zanim jednak przystąpisz do edycji tego pliku, zrób na wszelki wypadek jego kopię zapasową. Jeżeli nie chcesz korzystać z jakiejś funkcji, nie usuwaj jej z pliku konfiguracyjnego, lecz wyłącz ją za pomocą komentarza znakiem #.


Zobacz również