Bezpieczeństwo SuSE Linux Office Server

Ze względu na swój rodowód open source i architekturę system operacyjny Linux jest z reguły dużo bardziej bezpieczny, niż niektóre inne systemy operacyjne. Jednak nawet SuSE Linux Office Server wymaga przestrzegania pewnych reguł bezpieczeństwa.

Ze względu na swój rodowód open source i architekturę system operacyjny Linux jest z reguły dużo bardziej bezpieczny, niż niektóre inne systemy operacyjne. Jednak nawet SuSE Linux Office Server wymaga przestrzegania pewnych reguł bezpieczeństwa.

W tym rozdziale omówimy podstawowe zagadnienia z dziedziny bezpieczeństwa danych i pokażemy, jak za pomocą firewalla zabezpieczyć serwer przed atakami z Internetu.

Bezpieczeństwo lokalne i sieciowe

Jedną z fundamentalnych cech wszystkich uniksowych platform systemowych - zalicza się do nich również Linux - jest możliwość jednoczesnego wykonywania zadań przez wielu użytkowników (multi-user) na tym samym komputerze (multi-tasking).

Ponadto należałoby oczekiwać od systemu operacyjnego "przezroczystości" - użytkownik nie powinien wiedzieć, czy dane lub aplikacje, z którymi właśnie pracuje, znajdują się na lokalnej maszynie, czy też gdzieś w sieci.

Personal Firewall - szczegóły

Personal Firewall - szczegóły

Ta specjalna właściwość, umożliwiająca pracę wielu użytkowników w jednym systemie, wymaga oddzielenia od siebie użytkowników i ich danych. To zadanie dla użytkownika root. Natomiast system powinien być zabezpieczony przed atakami z sieci lokalnej i z sieci rozległych. Chociaż w przypadku klasycznego uwierzytelniania trzeba podać nazwę użytkownika i hasło, tego rodzaju logowanie jest raczej kwestią bezpieczeństwa lokalnego.

Szczególnie w przypadku logowania za pośrednictwem sieci problem bezpieczeństwa ma dwa aspekty: to, co dzieje się do chwili uwierzytelnienia, czyli kwestię bezpieczeństwa sieci, oraz to, co następuje potem, czyli kwestię bezpieczeństwa lokalnego.

W tym rozdziale ograniczymy się do kwestii bezpieczeństwa sieciowego. Cały system powinien być chroniony przed atakami z sieci LAN oraz z Internetu. Bezpieczeństwem lokalnym nie będziemy się zajmować szczegółowo.

Mamy nadzieję, że jest już oczywiste, iż użytkownicy nie powinni stosować w sieci haseł, które można łatwo odgadnąć lub pozyskać za pomocą prostych zabiegów inżynierii społecznej, np. użytkownik Jan Kowalski, rok urodzenia 1980, nie powinien stosować jako hasła "janko80". Użytkownik root powinien z zasady stosować hasła o dużo bardziej skomplikowanej strukturze.

Ataki z Internetu

Bezwzględnie uruchomić. Jeżeli serwer ma dostępdo Internetu, bezwzględnie uruchom Personal Firewall.

Bezwzględnie uruchomić. Jeżeli serwer ma dostępdo Internetu, bezwzględnie uruchom Personal Firewall.

Często SuSE Linux Office Server odgrywa rolę routera między siecią lokalną a Internetem. Określenie router oznacza w tym przypadku komputer, który ma więcej niż jeden interfejs sieciowy i wymienia pakiety danych między różnymi sieciami.

Właściwość ta niesie ze sobą wielkie zagrożenie dla serwera - każde nawiązanie połączenia z Internetem wystawia go na potencjalne niebezpieczeństwo. W najgorszym przypadku haker może uzyskać dostęp do serwera, a tym samym do przechowywanych na nim poufnych danych.

Wielkim zagrożeniem są też ataki typu Denial of Service, w skrócie DoS. Ich celem jest uniemożliwienie serwerowi lub całemu systemowi świadczenia usług.

Metody prowadzenia takich ataków mogą być różne - od przeciążenia systemu do "zatkania" serwera miliardami bezsensownych pakietów danych. Jedyną obronę daje prawidłowo skonfigurowany firewall. Tym zagadnieniem zajmiemy się na kolejnych stronach.

Konfiguracja Personal Firewall

Niewiele potrzeba. Personal Firewall wymaga podania właściwietylko jednego parametru konfiguracyjnego - nazwy interfejsu sieciowego, który ma chronić.

Niewiele potrzeba. Personal Firewall wymaga podania właściwietylko jednego parametru konfiguracyjnego - nazwy interfejsu sieciowego, który ma chronić.

SuSE Linux Office Server wyposażono w dwojaki firewall: prosty Personal Firewall i bardziej rozbudowany SuSEfirewall. Zadaniem Personal Firewall jest szybka ochrona SuSE Linux Office Server przed atakami z Internetu, bez złożonej i czasochłonnej konfiguracji.

Jednocześnie należy, oczywiście, zezwolić własnym klientom na łączenie się z Internetem. Personal Firewall dobrze spełnia swoje podstawowe zadania i oferuje wystarczającą ochronę.

W trakcie konfiguracji wspólnego dostępu do Internetu YaST2, narzędzie konfiguracyjne SuSE Linux Office Server, uruchamia jako firewall właśnie Personal Firewall. Odfiltrowuje on na odpowiednim interfejsie sieciowym następujące dane:

  • wszystkie żądania utworzenia połączenia TCP. Personal Firewall odrzuca pierwszy nadchodzący pakiet TCP, uniemożliwiając tym samym poprawne nawiązanie połączenia. Te pakiety TCP, które nie są częścią danego połączenia lub nie mogą się zidentyfikować jako konkretne żądania nawiązania połączenia, są odrzucane niezależnie od pozostałych reguł filtrowania.

  • wszystkie pakiety UDP, z wyjątkiem pochodzących z portu 53 prekonfigurowanego serwera nazw. Z reguły jest to serwer nazw dostawcy usług internetowych, automatycznie konfigurowany podczas nawiązywania połączenia z Internetem.

  • niektóre rzadkie pakiety ICMP.
Stosowanie tego firewalla może powodować kłopotliwe interakcje z niektórymi usługami. Nie działają na przykład: aktywny FTP, ICQ, Real Audio i niektóre inne usługi. Jeżeli chciałbyś udostępnić je w sieci lokalnej, zastosuj zamiast Personal Firewall bardziej rozbudowany SuSEfirewall, który ma znacznie większe możliwości konfiguracji. Konfigurację SuSEfirewall opiszemy w dalszej części.

W Personal Firewall można jedynie skonfigurować nazwę tego interfejsu sieciowego, który ma odrzucać żądania nawiązania połączenia. Zajmie się tym narzędzie konfiguracyjne YaST2, jeżeli aktywujesz firewall w trakcie konfiguracji połączenia internetowego.

Jeżeli chcesz przeprowadzić konfigurację ręcznie, musisz poddać edycji plik /etc/rc.config.d/security.rc.config. W sekcji REJECT_ALL_INCOMING_ CONNECTIONS wpisz interfejsy sieciowe, których ruch przychodzący ma być filtrowany. Oprócz nazw interfejsów sieciowych w rodzaju ippp0 lub eth0 dozwolone są również słowa kluczowe, opisane w tabeli "Personal Firewall - szczegóły".

Konfiguracja SuSEfirewall

SuSEfirewall - szczegóły

SuSEfirewall - szczegóły

Alternatywnie dostępny SuSEfirewall oferuje znacznie więcej możliwości konfiguracji niż prosty Personal Firewall. Jednakże konfiguracja jest bardziej skomplikowana i wymaga znacznie więcej wiedzy i doświadczenia w dziedzinie firewalli.

W zamian za to SuSEfirewall można znacznie lepiej dostosować do indywidualnych potrzeb i warunków. Liczne opcje precyzyjnie kontrolują ruch internetowy. SuSEfirewall oferuje szczególnie dużo opcji maskowania.

SuSE Linux Office Server zawiera w pliku /usr/share/doc/packages/SuSEfirewall/ obszerną dokumentację, odpowiadającą na wiele pytań pojawiających się w trakcie konfiguracji.

Główny plik konfiguracyjny SuSEfirewall to etc/rc.config.d/firewall.rc.config. Poszczególne opcje opatrzone są mniej lub bardziej wyczerpującymi komentarzami, dzięki czemu większość ustawień jest oczywista. W niektórych przypadkach niełatwo znaleźć właściwe ustawienie, dlatego przedstawimy poniżej opis konfiguracji krok po kroku. W każdym z punktów zaznaczymy, czy dotyczy on maskowania, firewalla, czy też obu tych elementów.

Aby SuSEfirewall wystartował w trakcie uruchamiania serwera, wartość zmiennej START_FW w pliku /etc/rc.config musi wynosić yes. Alternatywnie można posłużyć się edytorem RC-Config Editor narzędzia YaST2. Odpowiednie ustawienie znajduje się w sekcji start-Variables, Start-Firewall.

W tabeli obok zebraliśmy najważniejsze opcje SuSEfirewall wraz z ich opisem.

Więcej informacji na temat budowy i sposobu działania protokołów internetowych TCP i UDP znajdziesz w rozdziale "Podstawy sieci".

Kilka porad na temat bezpieczeństwa serwera

Bezpieczne (czytaj: skomplikowane) hasła i dobrze skonfigurowany firewall to podstawa bezpieczeństwa serwera. SuSE Linux Office Server możesz jednak chronić również na inne sposoby.

  • Unikaj pracy jako użytkownik root. Do wykonania zadania korzystaj z najniższych akceptowalnych uprawnień. W większości przypadków wystarczą uprawnienia administratora.

  • Wyłącz wszystkie usługi sieciowe, które nie są potrzebne. Dzięki temu system będzie bardziej bezpieczny. Otwarte porty znajdziesz za pomocą programu netstat. Opcjonalnie możesz użyć netstat -ap lub netstat -anp.

  • Sprawdzając regularnie pliki dzienników programów współpracujących z siecią, zauważysz na pierwszy rzut oka zjawiska wykraczające poza normę.


Zobacz również