Linux-сервер своими руками
Шрифт:
Нужно отметить еще один немаловажный факт: если вы думаете, что безопасность вашей сети заключается только в безопасности вашего сервера, вы ошибаетесь. В случае, если ваша сеть не является подсетью Интернет (всем компьютерам сети назначены настоящие IP-адреса), ваша задача упрощается: вам всего лишь нужно установить антивирусы на компьютерах пользователей и регулярно обновлять антивирусные базы, желательно также установить антивирус на почтовом сервере. Если рабочие станции вашей локальной сети используют операционную систему Windows (а в большинстве случаев это так), отключите на шлюзе порты 135…139 и порт 129. Более подробно об этом написано в гл. 17. Также нужно обращать внимание на заплатки к Internet Explorer (только не те, которые будут периодически рассылаться по электронной почте пользователям вашей сети любителями троянских коней). Загружать обновления для IE нужно только с сайта Microsoft. А если вы убедите ваших пользователей использовать Netscape Communicator вместо IE, TheBat! вместо Outlook, вы таким образом избавите себя от периодического посещения сайта Microsoft.
Предположим, что вы являетесь администратором Web или FTP-сервера. В этом случае как можно чаще делайте резервные копии данных пользователей. Если систему в случае сбоя можно будет восстановить в течение 40-60 минут, то с данными пользователей будет сложнее. При этом нужно правильно организовать процесс резервного копирования, чтобы не запутаться в созданных копиях. Чтобы избежать этого, правильно выберите стратегию резервного копирования. Одна из таких стратегий обсуждалась в гл. 4. По возможности используйте массивы RAID — они обеспечивают более высокий уровень надежности. Однако использование RAID не освобождает вас от резервного копирования.
Не спешите обновлять программное обеспечение сервера. Если у вас все прекрасно работает, совсем не обязательно устанавливать
Еще раз отмечу, что системному администратору нужно постоянно повышать свой уровень квалификации. Благо, сейчас проблемам безопасности посвящено много русскоязычных ресурсов. Если у вас что-то не получается настроить или что-то работает не так как вам бы хотелось, обратитесь к документации, документам HOWTO, различным конференциям. На компакт-диске собраны основные документы HOWTO на русском и английском языках.
Успехов!
Приложения
Приложение А.
Конфигурационные файлы Linux
Практически все конфигурационные файлы ОС Linux находятся в каталоге /etc. У вас могут быть далеко не все файлы и каталоги, представленные в табл. А.1. Наличие тех или иных файлов определяется дистрибутивом и наличием определенных пакетов.
Конфигурационные файлы Таблица А.1
| Имя | Тип | Описание |
|---|---|---|
| codepages | Каталог | Содержит различные кодировки |
| CORBA/servers | Каталог | Здесь расположены серверы CORBA. Обычно эти серверы используются оконной средой Gnome |
| crond* | Каталог | Содержит сценарии, которые будут выполняться демоном crond по определенному расписанию. Описание определяется в файле /etc/crontab |
| cups | Каталог | Конфигурационные файлы системы печати CUPS |
| default/useradd | Файл | Информация по умолчанию для программы useradd |
| DrakConf | Каталог | Содержит файлы настройки конфигуратора DrakConf |
| emacs | Каталог | Конфигурационные файлы редактора emacs (настройки по умолчанию) |
| gnome | Каталог | Конфигурационные файлы приложения оконной среды Gnome |
| gtk | Каталог | Настройки программ, использующих библиотеку Gtk. Все файлы имеют суффикс, который соответствует коду языка. В зависимости от выбранного языка будет использован один из файлов. В этих файлах, как правило, можно определить кодировку и шрифт для приложения |
| htdig | Каталог | Конфигурационные файлы системы индексирования (поисковой системы) ht:/Dig |
| httpd | Каталог | Конфигурационные файлы сервера Apache |
| Каталог | Конфигурационные файлы программы sendmail | |
| openldap | Каталог | Конфигурационные файлы LDAP |
| pam.d | Каталог | Параметры модуля аутентификации РАМ |
| postfix | Каталог | Конфигурационные файлы программы postfix |
| PPP | Каталог | Конфигурационные файлы демона pppd |
| profile.d | Каталог | Различные сценарии инициализации |
| rc.d | Каталог | Сценарии инициализации системы. Данные сценарии выполняются при запуске системы. Уровень выполнения сценариев указывается в файле /etc/inittab |
| skel | Каталог | Настройки пользователя по умолчанию. При создании нового каталога пользователя содержимое данного каталога будет скопировано в новый каталог |
| ssh | Каталог | Конфигурационные файлы программы ssh |
| urpmi | Каталог | Конфигурационные файлы программы urpmi. Эта программа позволяет устанавливать пакеты RPM обыкновенным пользователям. Устанавливаться могут только авторизованные пакеты |
| Х11 | Каталог | Конфигурационные файлы X Window |
| xinet.d | Каталог | Дополнительные конфигурационные файлы суперсервера xinetd |
| aliaces | Файл | Файл псевдонимов системы электронной почты |
| anacrontab | Файл | Расписание планировщика Anacron |
| at.deny | Файл | Расписание планировщика at |
| auto.* | Файл | Файлы конфигурации программы automount (сервис autofs) |
| bashrc | Файл | Установки интерпретатора bash |
| conf.linuxconf | Файл | Файл конфигурации конфигуратора linuxconf. В нем определяются модули программы linuxconf |
| crontab | Файл | Расписание планировщика crond |
| csh.cshrc | Файл | Конфигурационный файл интерпретатора С Shell |
| csh.login | Файл | Команды, которые будут выполнены при регистрации в системе пользователя, использующего С Shell |
| exports | Файл | Экспортируемые файловые системы. Используется сервисом NFS |
| fax.config | Файл | Установки системы приема и передачи факсов |
| fb.modes | Файл | Примеры видеорежимов |
| fdprm | Файл | Параметры дисковода на гибких дисках |
| filesystem | Файл | Поддерживаемые файловые системы |
| fstab | Файл | Содержит статическую информацию о файловых системах. Указанные в этом файле файловые системы будут смонтированы при загрузке системы |
| ftpusers | Файл | Содержит список пользователей, которым запрещена регистрация на сервере FTP |
| gettydefs | Файл | Настройки терминалов по умолчанию (используются программой getty) |
| gpm-root.conf | Файл | Файл
|
| group | Файл | Информация о группах |
| gshadow | Файл | Информация о группах при использовании Shadow Passwords |
| host.conf | Файл | Содержит конфигурационную информацию библиотеки разрешения имени узла сети. В этом файле определяется порядок поиска имен узлов сети |
| hosts | Файл | Содержит статическую информацию о соответствии имени определенному IP-адресу. Этот файл участвует в процессе разрешения имен |
| hosts.allow | Файл | Содержит список узлов, которым разрешен доступ к этой машине |
| hosts.deny | Файл | Содержит список узлов, которым запрещен доступ к этой машине |
| identd.conf | Файл | Параметры идентификации |
| inetd.conf | Файл | Файл конфигурации суперсервера inetd |
| inittab | Файл | Таблица инициализации системы. Используется программой init |
| isapnp.gone | Файл | Некоторые параметры PnP для устройств ISA |
| issue, issue.net | Файл | Определяют приветствие при попытке регистрации в системе. Файл issue выводится на консоль при локальной регистрации, а issue.net — при регистрации по сети, например, по протоколу telnet |
| lilo.conf | Файл | Конфигурационный файл LILO |
| lmhosts | Файл | Часть пакета Samba. Его назначение аналогично назначению одноименного файла в Windows NT. Другими словами, этот файл предназначен для преобразования имен NetBIOS в IP-адреса |
| login.defs | Файл | Некоторые дополнительные параметры для программ useradd и groupadd |
| lynx.cfg | Файл | Настройки по умолчанию браузера lynx |
| mime-magic | Файл | «Магический» файл MIME-типов |
| mime-types | Файл | Здесь задаются MIME-типы. Этот файл может использоваться сервером Apache вместо файла apache-mime.types, но его нужно прописать в файле httpd.conf |
| modules.conf | Файл | Содержит список загружаемых модулей и определяет их параметры |
| motd | Файл | Сообщение дня (Message of The Day) |
| mtab | Файл | Содержит информацию о смонтированных в данный момент файловых системах |
| networks | Файл | Содержит информацию о других сетях |
| passwd | Файл | Информация об учетных записях пользователей |
| printcap | Файл | Информация об установленных в системе принтерах |
| proftpd.conf | Файл | Конфигурационный файл сервера ProFTPD |
| protocols | Файл | Список поддерживаемых протоколов, согласно стандарта RFC 1340 |
| pwdb | Файл | Установки библиотеки pwdb |
| quota.conf | Файл | Информация о квотах |
| sendmail.cf | Файл | Основной файл конфигурации программы sendmail |
| services | Файл | Содержит разрешенные Интернет-сервисы. Этот файл отвечает требованиям стандарта RFC 1700 |
| passwd | Файл | Информация об учетных записях пользователей при включенных теневых паролях (Shadow Passwords) |
| shells | Файл | Содержит список зарегистрированных в системе интерпретаторов командной строки |
| shutmsg | Файл | Содержащееся в этом файле сообщение обычно выводится клиентам сервера wu-ftpd при завершении работы сервера |
| smb.conf | Файл | Основной файл конфигурации пакета Samba |
| termcap | Файл | Настройки терминалов |
| xinetd.conf | Файл | Файл конфигурации суперсервера xinetd |
Чтобы уменьшить объем основного файла конфигурации xinetd.conf, суперсервер xinetd использует каталог /etc/xinetd.d. В нем расположены файлы описания сервисов, которые не включены в состав основного файла конфигурации. Желательно, чтобы имя файла совпадало с именем сервиса, но это не является обязательным условием. Суперсервер просто использует содержимое этих файлов параллельно с файлом конфигурации. В этих файлах содержатся директивы, подобно основному файлу xinetd.conf. Если в файле xinetd.conf содержатся описания практически всех сервисов, то в этих содержится, как правило, установки для одного определенного сервиса. Однако никто не мешает вам описать несколько сервисов в одном файле.
При использовании этого каталога файл xinetd.conf будет выглядеть как в листинге А.1.
В секции defaults определяются настройки по умолчанию для всех сервисов. Затем директива includedir включает содержимое всех файлов из указанного каталога в файл конфигурации. Файлы описания сервисов выглядят примерно так (листинг А.2):
Программа urpmi позволяет обыкновенным пользователям устанавливать RPM-пакеты. Обычно устанавливать новые пакеты имеет право только пользователь root. В файле urpmi.cfg содержится список носителей, из которых пользователь может установить пакет.
Определяет псевдонимы пользователей при работе с системой электронной почты (см. листинг А.3). Формат данного файла следующий:
После изменения этого файла нужно перестроить базу псевдонимов. Для этого введите команду newaliases.