Безопасность и оптимизация Linux.Редакция для Red Hat

Безопасность и оптимизация Linux.Редакция для Red Hat

Введение.

Кому предназначена эта книга
На чем основываются все инструкции по инсталляции
О программах представленных в книге
Получение книги и файлов конфигурации.
Замечание об авторском праве
Уведомление
GPG Public Key for Gerhard Mourani



Безопасность и оптимизация Linux.Редакция для Red Hat

Часть I Рекомендации связанные с инсталляция
Что такое Linux?
Несколько причин использовать Linux.

Позвольте рассеять несколько опасений и сомнений относительно Linux.

Безопасность и оптимизация Linux.Редакция для Red Hat


Глава 2 Инсталляция вашего Linux сервера (Часть1)
Глава 2 Инсталляция вашего Linux сервера (Часть 2)

Безопасность и оптимизация Linux.Редакция для Red Hat

Часть II Безопасность и оптимизация
Обзор

Безопасность BIOS, установка пароля на загрузку.
Политика безопасности.
Выбор правильного пароля.
Длина пароля.
Бюджет пользователя root.
Установка таймаута подключения для root
Файл “/etc/exports”.
Отключение доступа к консольным программам.
Отключение всего консольного доступа.
Файл “/etc/inetd.conf”.

TCP_WRAPPERS.
Не позволяйте системе выводить файл issue.
Файл “/etc/host.conf”.
Файл “/etc/securetty”.
Специальные пользователи.
Блокирование выполнения команды su root от других пользователей.
Ограничение ресурсов.
Больший контроль над монтируемыми файловыми системами.
Перемещение программы RPM и изменение прав доступа к ней.

Настройка shell.
Файл “/etc/lilo.conf”.
Запрещение перезагрузки системы по комбинации клавиш Control-Alt- Delete.
Физические твердые копии всех важных файлов регистрации
Файл “/etc/rc.d/rc.local”.
Биты программ подчиненных пользователю root.
Параметры настраиваемые в ядре.
Предохранение вашей системы от ответов на ping запросы.
Предохранение вашей системы от ответов на широковещательные запросы.

Протоколы маршрутизации.
Включение защиты от TCP SYN Cookie.
Запрещение приема ICMP redirect пакетов
Включение always-defragging защиты
Включение защиты от неправильных сообщениях об ошибках.
Включение защиты от IP spoofing.
Фиксирование пакетов с поддельными
Странные или скрытые файлы.
Поиск всех файлов с включенными битами SUID/SGID.
Поиск программ и каталогов, в которые разрешена запись для группы и всех остальных пользователей.

Файлы не имеющие владельцев.
Поиск “.rhosts” файлов.
Система была взломана.

Безопасность и оптимизация Linux.Редакция для Red Hat

Краткий обзор
Файл “/etc/profile”.
Параметр “bdflush”.
Параметр “buffermem”.
Параметр “ip_local_port_range”.
Файл “/etc/nsswitch.conf”.

Параметр “file-max”.
Параметр “inode-max”.
Параметр “ulimit’.
Увеличьте системные ограничения на открытые файлы.
Атрибут “noatime”.
Swap раздел.
Настройка производительности IDE дисков.
Обработка большего числа TCP/IP соединений за определенное время.

Безопасность и оптимизация Linux.Редакция для Red Hat

Общий обзор.
Все шаги описанные ниже подразумевают
Пакеты.

Создание аварийной загрузочной дискеты.
Деинсталляция и оптимизация.
Безопасность ядра.
Компиляция.
Инсталляция нового ядра.
Удаление программ, файлов и строк связанных с модулями.
Создание новой аварийной дискеты
Создание аварийного загрузочного флоппи-диска.
Обновление “/dev” входов

Безопасность и оптимизация Linux.Редакция для Red Hat

Часть III Рекомендации связанные с сетью
Краткий обзор

Инсталляция более одной Ethernet карты на одной машине
Файлы связанные с функционированием сети.
Настройка TCP/IP сети вручную из командной строки.

Безопасность и оптимизация Linux.Редакция для Red Hat

Linux IPCHAINS

Создание ядра с поддержкой брандмауэра Ipchains.
Некоторые пояснения к правилам, используемым в скриптах настройки брандмауэра.
Разрешение локального трафика.
Фильтрация адреса источника.
Остальная часть правил.
Скрипт для настройки брандмауэра.
Конфигурация скрипта “/etc/rc.d/init.d/firewall” для Веб сервера.
Конфигурация “/etc/rc.d/init.d/firewall” скрипта для почтового сервера.

Безопасность и оптимизация Linux.Редакция для Red Hat

Маскарадинг и форвардинг в Linux
Создание ядра с поддержкой маскарада и форвардинга.

Конфигурация скрипта “/etc/rc.d/init.d/firewall” для Шлюза.
Запрещение доступа с некоторых адресов.
Дополнительная документация.
Административная утилита Ipchains.

Безопасность и оптимизация Linux.Редакция для Red Hat

Часть IV Рекомендации связанные с программным обеспечением
Глава 9 Функциональные возможности компилятора
Необходимые пакеты.
Почему мы выбираем использование тарболов?
Компиляция программного обеспечения на вашей системе
Создание и инсталляция программ на вашей системе

Редактирование файлов с vi
Некоторые последние комментарии

Безопасность и оптимизация Linux.Редакция для Red Hat

Linux sXid
Конфигурации.
Административная утилита sXid.
Linux Logcheck
Конфигурация.
Компиляция и оптимизация.
Очистка после работы

Конфигурации.
Запуск PortSentry.

Безопасность и оптимизация Linux.Редакция для Red Hat

Краткий обзор.
Конфигурации.

Настройка OpenSSH для использования с TCP-Wrappers inetd супер сервером.
Дополнительная документация.
Конфигурирование OpenSSH для каждого пользователя
Изменение вашей pass-phrase.
Утилиты пользователя OpenSSH
Некоторые возможности использования OpenSSH
Инсталлируемые файлы
Бесплатные SSH клиенты для Windows
Linux SSH2 Клиент/Сервер
Компиляция и оптимизация.

Настройка файла “/etc/ssh2/ssh2_config”.
Настройка файла “/etc/ssh2/sshd2_config”.
Настройка SSH2 для использования с TCP-Wrappers inetd супер сервером.
Конфигурация файла “/etc/pam.d/ssh”.
Конфигурирование SSH2 для каждого пользователя

Утилиты пользователя SSH2
Инсталлированные файлы

Безопасность и оптимизация Linux.Редакция для Red Hat

Linux Tripwire 2.2.1
Конфигурирование файла “/var/tmp/install.cfg”.
Конфигурации.
Настройка файла “/usr/TSS/policy/twpol.txt”.
Организация защиты Tripwire для Linux
Дополнительная документация.
Команды.

Linux Tripwire ASR 1.3.1
Компиляция и оптимизация.
Настройка файла “/etc/tw.config”
Конфигурирование скрипта “/etc/cron.daily/tripwire.verify”.
Организация защиты Tripwire.
Дополнительная документация.
Некоторые возможные места использования Tripwire

Инсталлированные файлы.
Альтернативы Tripwire

Безопасность и оптимизация Linux.Редакция для Red Hat

Linux GnuPG
Компиляция и оптимизация.
Команды.
Некоторые области применения GnuPG
Инсталлированные файлы
Установка поддержки квот на вашей Linux системе.

Создание ядра с поддержкой квот
Модификация файла “/etc/fstab”
Создание файлов "quota.user" и "quota.group"
Назначение квот для Пользователей и групп
Дополнительная документация.

Безопасность и оптимизация Linux.Редакция для Red Hat

Linux DNS и BIND сервер
Конфигурирование и оптимизация.
Компиляция и оптимизация.

Конфигурации.
Кэширующий сервер имен
Конфигурация файла “/var/named/db.127.0.0” для простого кэширующего сервера имен.
Конфигурация файла “/var/named/db.cache” для простого кэширующего сервера имен.
Основной сервер имен.
Конфигурация файла “/etc/named.conf” для первичного мастер сервера
Конфигурация файла “/var/named/db.127.0.0” для основного и вспомогательного серверов имен.
Конфигурация файла “/var/named/db.208.164.186” для основного сервера имен.
Конфигурация файла “/var/named/db.openna” для основного сервера имен
Вторичный сервер имен.

Конфигурация файла “/etc/named.conf” для вторичного сервера имен
Копируйте файл “db.127.0.0” с основного сервера на подчиненный.
Конфигурация скрипта “/etc/rc.d/init.d/named” для всех типов серверов имен
Запуск ISC BIND/DNS в chroot окружении.
Административные средства DNS

Утилиты пользователя DNS
Инсталлированные файлы.

Безопасность и оптимизация Linux.Редакция для Red Hat

Linux Sendmail сервер
Конфигурации.
Файл “/etc/sendmail.mc” для центрального почтового концентратора

Файлы “/etc/mail/access” и “access.db” для центрального почтового концентратора.
Файлы “/etc/mail/aliases и aliases.db” для Центрального Почтового Концентратора
Файлы “/etc/mail/virtusertable
Файл “/etc/mail/local-host-names” для всех типов конфигураций
Конфигурация файла “/etc/sysconfig/sendmail” для всех типов конфигураций

Конфигурация скрипта “/etc/rc.d/init.d/sendmail” для всех типов конфигураций.
Очистка после работы
Организация защиты Sendmail
Дополнительная документация.
Утилиты администратора Sendmail
Утилиты пользователя Sendmail

Файлы инсталлированные для Sendmail на Центральном Почтовом Концентраторе
Файлы инсталлированные для Sendmail на локальном сервере или клиенте
Linux Imap и Pop сервер
Компиляция и оптимизация.
Конфигурация файла “/etc/pam.d/imap”
Конфигурация файла “/etc/pam.d/pop”.
Настройка Imap и POP для использования с TCP-Wrappers inetd супер сервером.

Организация защиты IMAP/POP
Инсталлированные файлы

Безопасность и оптимизация Linux.Редакция для Red Hat

Linux OPENSSL сервер
Linux OPENSSL сервер - 2
Компиляция и оптимизация.
Очистка после работы
Конфигурации.
Конфигурация файла “/etc/ssl/openssl.cnf”
Создание программы “/usr/bin/sign.sh”

Команды.
Организация защиты OpenSSL
Некоторые варианты использования OpenSSL
Инсталлированные файлы
Linux FreeS/WAN VPN
Предварительные требования.
Компиляция и добавление FreeS/WAN в ядро

Переконфигурирование и инсталляция ядра с поддержкой FreeS/WAN VPN
Очистка после работы
Конфигурации.
Настройка файла “/etc/ipsec.conf”
Настройка файла “/etc/ipsec.secrets”

Настройка тайного секретного ключа RSA

Безопасность и оптимизация Linux.Редакция для Red Hat

Linux OpenLDAP сервер
Компиляция и оптимизация.
Конфигурации.
Конфигурация файла “/etc/ldap/slapd.conf”

Конфигурация скрипта “/etc/rc.d/init.d/ldap”
Организация защиты OpenLDAP
Дополнительная документация
Утилиты создания и поддержки OpenLDAP
Утилиты пользователя OpenLDAP
Некоторые возможны варианты использования OpenLDAP
Клиент Netscape Address Book для LDAP
Инсталлированные файлы
Linux сервер баз данных PostgreSQL.

Предварительные требования.
Компиляция и оптимизация.
Создание базы данных инсталлированной из под бюджета суперпользователя Postgres
Очистка после работы
Конфигурация скрипта “/etc/rc.d/init.d/postgresql”

Безопасность и оптимизация Linux.Редакция для Red Hat

Прокси сервер Squid
Настройка и оптимизация.

Использование библиотеки GNU malloc для улучшения производительности Squid
Компиляция и оптимизация
Конфигурации.
Конфигурация файла “/etc/squid/squid.conf” для режима httpd-акселератора
Многоуровневое Веб кэширование

Настройка скрипта “/etc/rc.d/init.d/squid” для всех типов конфигураций
Конфигурация файла “/etc/logrotate.d/squid”
Организация защиты Squid
Оптимизация Squid
Утилита cachemgr.cgi
Конфигурация Netscape для работы с прокси сервером Squid
Инсталлированные файлы

Безопасность и оптимизация Linux.Редакция для Red Hat

Linux MM – библиотека совместно используемой памяти
Веб-сервер Apache

Компиляция и оптимизация
Конфигурации.
Конфигурация файла “/etc/httpd/conf/httpd.conf”

Конфигурация файла “/etc/logrotate.d/apache”
Конфигурация скрипта “/etc/rc.d/init.d/httpd”.
PHP4
Perl модуль Devel::Symdump
Perl библиотека CGI.pm
Организация защиты Apache
Запуск Apache в chroot окружении
Конфигурация файла “/etc/logrotate.d/apache”
Оптимизация Apache
Инсталлированные файлы для веб сервера Apache

Безопасность и оптимизация Linux.Редакция для Red Hat

Глава 20 Опциональные компоненты устанавливаемые с веб-сервером Apache - Webalizer
Webalizer

Компиляция
Конфигурации.
Конфигурация файла “/etc/webalizer.conf”
Информирование Apache о выходном каталоге Webalizer
Запус Webalizer вручную в первый раз
Запуск Webalizer автоматически при помощи cron
Инсталлированные файлы
Linux FAQ-O-Matic

Информирование Apache о месторасположении файлов Faq-O-Matic
Конфигурирование FAQ-O-Matic
Linux Webmail IMP
Установка PHPLib, которая требуется программе Horde из Webmail IMP
Компиляция
Настройка и создание SQL базы данных Webmail IMP
Настройка конфигурационного файла “php.ini” для PHP4
Настройка Apache на работу с Webmail IMP

Настройка Webmail IMP через ваш веб броузер

Безопасность и оптимизация Linux.Редакция для Red Hat


Linux Samba сервер
Конфигурирование
Компиляция и оптимизация
Конфигурации.
Конфигурационный файл “/etc/smb.conf”
Конфигурация файла “/etc/lmhosts”

Конфигурация файла “/etc/pam.d/samba”
Конфигурация файла “/etc/logrotate.d/samba”
Создание файла с шифрованными паролями Samba
Конфигурация скрипта “/etc/rc.d/init.d/smb”
Организация защиты Samba
Оптимизация Samba
Дополнительная документация
Административные утилиты Samba
Утилиты пользователя Samba

Инсталлированные файлы
Linux FTP сервер
Компиляция и оптмизация.
Настройка бюджета пользователя FTP без командного процессора (shell)
Установка пользовательского окружения chroot
Конфигурации.
Конфигурация файла “/etc/ftpaccess”

Конфигурация файла “/etc/ftphosts”
Конфигурация файла “/etc/ftpusers”
Конфигурация файла “/etc/ftpconversions”
Конфигурация файла “/etc/logrotate.d/ftpd”
Настройка ftpd на использование tcp-wrappers из супер сервера inetd
Административные утилиты FTP
Организация защиты FTP

Безопасность и оптимизация Linux.Редакция для Red Hat


Резервное копирование и восстановление в Linux
Программа резервного копирования tar
Создание резервных копий с tar
Автоматизация задачи резервного копирования при помощи tar
Восстановление файлов с tar
Тестирование возможности восстановления из резервных копий
Дополнительная документация

Программа резервного копирования dump
Создание резервных копий с dump
Восстановление файлов с dump
Создание резервных копий и восстановление через сеть
Альтернативы tar и dump
Приложение A Советы, рекомендации и задачи администрирования

Содержание раздела