Linux Szerverek 1

LINUX SZERVEREK

Buzas Hunor

Linux Szerverek 2

Milyen hardvert vásároljunk?

Ha komoly szolgáltatást szeretnénk nyújtani, és

fontos a folyamatos működés, akkor már a hardver

vásárlásánál gondolnunk kell a minőségre. Vegyünk

ipari házat, amely alkalmas több hónapon (esetleg

éven) keresztül megszakítás nélküli üzemelésre és

esetleg fizikai védelmet nyújt a betörés ellen. Ezek a

házak általában speciális tápegységet tartalmaznak,

szétszerelésükhöz vagy kezelőfelületükhöz kulcsal

vagy mágneskártyával lehet hozzáférni

Linux Szerverek 3

A folyamatos üzemhez elkerülhetetlen egy

szünetmentes tápegység beszerzése. Ebből érdemes

a legolcsóbbak helyett valami komolyabbat

beszerezni. Figyeljünk arra, hogy a szünetmentesnek

akkor van értelme, ha az áramkimaradásról a Linux

(ált. oprendszer :) is értesül. Létezik olyan megoldás,

ahol az UPS és a PC a soros porton kommunikál. Ez

az olcsóbb és butább megoldás. (Ha szükség van a

soros portokra, ez nem használható.) A

legintelligensebb megoldás, amikor az UPS-hez egy

bővítőkártyát adnak, amin keresztül az

áramszolgáltatás leállását, újraindulását, illetve sok

egyéb mást is közölni tud a rendszerrel.

Linux Szerverek 4

PARTÍCIONÁLÁS

A filerendszer több részre darabolása (ésszerű határok között)

megkönnyíti az egyes partíciók mount opcióinak finomhangolását, illetve

egy partíció sérülése esetén a hiba elhárítása általában nem követeli

meg a rendszer leállítását.

Elsőnek a felhasználók home könyvtárait, illetve az általuk írható

könyvtárakat érdemes különválasztani. Ilyenek a /tmp és a többi world-

writable könyvtár (ha van). Ez megnehezíti néhány program hibáinak

kihasználását, például állományok jogosulatlan átírása az adott file-ra

mutató link segítségével, hiszen partíciók között nem lehet linkeket

létrehozni.

Linux Szerverek 5

A /var (esetleg a /var/spool, /var/log) könyvtár külön

partícióra tétele lehetővé teszi a disk quota hatékonyabb

beállítását illetve megakadályozza, hogy a syslogd üzenetei

megtöltsék a root vagy a /var partíciót, leállítva ezzel

a /var/spool-t használó processzeket. Másrészt ha

a /var/spool vagy a /var/log valamilyen ok miatt megtelik,

a /var nem fog.

A /var/tmp csak egy symlink legyen a /tmp-re. Külön szokás

még választani a /usr és a /opt könyvtárat (ha van).

A /usr mountolható read-only-ra is, amennyiben a szerverre

nem kerülnek állandóan új programok. A /tmp-t és a /home-ot

érdemes nosuid paraméterrel mountolni.

Linux Szerverek 6

Számolni kell a swap partíció méretével is. Ezt ajánlott

úgy meghatározni, hogy az alkalmazások maximális

memóriaigényéből kivonjuk a rendelkezésre álló memória

méretét. A fennmaradó rész (plusz néhány mega) a swap.

Összefoglalva tehát a /etc/fstab valahogy így nézzen ki:

/dev/hda1 swap swap defaults 0 0

/dev/hda2 /tmp ext2 defaults,nosuid 1 2

/dev/hda3 /usr ext2 defaults,ro 1 2

/dev/hda4 /home ext2 defaults,nosuid 1 2

/dev/hda5 /var ext2 defaults 1 2

Linux Szerverek 7

A felhasználók által foglalható maximális

merevlemez területet is érdemes korlátozni, így azok

nem tudnak buta dolgokat (pl. cat /dev/zero >

nagyfile) művelni. Ennek beállításához ajánlott

olvasmány a quota howto. Quota kell a /tmp-re a

nagy tmp file-ok létrehozásának megakadályozására

illetve, hogy az elvetemültebb felhasználók ne itt

tárolják a dolgaikat, a /var-ra a mail és printer spool

méretének limitálása miatt, és a /home-ra a home

könyvtárak méretének korlátozása érdekében.

Linux Szerverek 8

Install

Csak a rendeltetésszerű működéshez szükséges csomagokat

telepítsük. Ne installáljunk általunk ismeretlen vagy nem használt

programokat, ezek csak növelik a programozási hibákból eredő

kockázatot, de egy ismeretlen program tartalmazhat akár kártékony

kódrészeket is.

Telepítés után ellenőrizzük, nincsenek-e már ismert biztonsági hibák

rendszerünkben. Az ellenőrzést kezdjük az adott disztribúció

hibalistájával (errata). Érdemes körülnézni a disztribúció homepage-én

is, általában találunk egy ,,updates'' vagy ,,security'' linket. Nézzük át

a biztonsággal foglalkozó site-okat (pl. Rootshell), listák archívumait

(pl. BUGTRAQ, vagy linux-security). Az említett levelezési listákra

feliratkozni is érdemes, így előbb juthatunk az információkhoz.

Linux Szerverek 9

Upgrade

Ha valamiben már találtak biztonsági hibát, azonnal cseréljük le. A

legtöbb helyen a javított csomagok elérhetőségét is megadják. Ha

még nincs javított verzió, próbálkozhatunk a közreadott patch-ekkel

is. Ha az sincsen, az adott szolgáltatást célszerű ideiglenesen

leállítani. Javítás után teszteljük le a rendszert, valóban kijavítottuk-e

a hibát.

Jól működő, hibátlan programot nem mindig érdemes lecserélünk,

ha megjelent egy új verziója. Az új verzió új hibákat is

eredményezhet - és a régiek nem biztos, hogy ki lettek javítva -, ezért

upgrade előtt mindig olvassuk el a README, CHANGES, FEATURES,

Changelog, stb. dokumentumokat. A programban történt változások

ismeretében már el tudjuk dönteni, szükségünk van-e az upgrade-re.

Linux Szerverek 10

Egyéb fontos dolgok

A legjobb védekezési technikák sem érnek sokat, ha nem vagyunk elég

körültekintőek napi munkánk során. Hogy csak néhány rossz példát említsek: root-

ként vagy privilégizált felhasználó nevében futtatott X, netscape, lynx, irc, mc, stb,

de még a levél vagy man olvasás sem ajánlott.

Érdemes megfogadni a alábbi tanácsokat:

csakis a legszükségesebb munkákat végezzük root-ként, a napi munkára hozzunk

létre egy privilégiumokkal nem rendelkező accountot;

ha lehetőségünk van rá, a szervert egyáltalán ne használjuk munkaállomásnak;

ismeretlen programokat soha ne installáljunk vagy futtassunk root-ként, amíg nem

győződtünk meg arról, hogy nem tartalmaz kártékony részeket;

a root jelszót soha ne adjuk meg senkinek, ne írjuk fel;

jelszavakat és egyéb fontos információt soha ne küldjünk kódolatlan levélben,

használjunk PGP-t (Pretty Good Privacy) vagy GPG-t (GNU Privacy Guard) a

titkosításhoz;

Linux Szerverek 11

root konzolt ne hagyjunk ott, jelentkezzünk ki vagy lock-oljuk (pl. vlock -a).

Vigyázat, a kernelbe fordított ,,Magic Sysrq Keys'' segítségével a lock

programok kiiktathatók!;

több gépen ne használjuk ugyanazokat a jelszavakat, a root jelszó legyen

egyedi mindenhol;

mindig olvassuk a log file-okat! Ha valaki próbálkozik, annak általában

nyoma marad. Persze ezeket fel is kell ismerni. Nyom lehet pl. a többszöri

belépési kísérlet adott hostról vagy accounton, daemonok szokatlan

hibaüzenetei, kapcsolódási kísérletek gyanús címekről, stb. Ugyancsak

szokatlan, ha a log-ban hiányos részek vannak (pl. látjuk, hogy kilépett egy

felhasználó, de a login-nak nyoma sincs).Gyanús eseményeknél, - miután

megbizonyosodtunk arról, hogy támadási kísérletről van szó - a próbálkozó

hostot azonnal tiltsuk ki minden szolgáltatásból! A legjobb megoldás, ha a

firewall-on tiltjuk ki, ha ez nem lehetséges, akkor tegyük a hosts.deny-be a

címet, majd tájékoztassuk a kitiltott gép adminisztrátorát.

Linux Szerverek 12

Ha nem vagyunk biztosak magunkban, kérdezzünk

meg a hozzáértőbbet! Léteznek erre külön listák is,

ahol felvethetők az ilyen jellegű problémák is.

Tovabbi reszletes informaciokert latogassuk a

http://www.bences.hu/tech/security/bizt/bizt.html-t.