Linux

Стахнов Алексей Александрович

Ниже приведен небольшой (далеко не полный) список пакетов, которые на серверах общего назначения не нужны:

• ВООТР (Boot Protocol) – используется для загрузки бездисковых рабочих станций. Если сервер не является сервером удаленной загрузки, нет необходимости оставлять этот пакет;

• DHCP (Dynamic Host Configuration Protocol) – протокол, который позволяет отдельным устройствам в IP-сетях получать от сервера конфигурационную информацию (IP-адрес, сетевую маску, широковещательный адрес и т. д.). Если сервер не является

сервером DHCP – удалите и этот пакет;

• mt-st – включает программное обеспечение для управления устройствами чтения с магнитных лент: mt (для устройств magnetic tape devices) и st (для SCSI tape devices). Если на сервере не установлен стример – эти пакеты лишние;

• eject – позволяет пользователям извлекать диски (обычно это CD-ROM, Iomega Jazz и Zip) используя программные средства. Эта программа тоже не понадобится;

• apmd – демон расширенного управления питанием и сопутствующие ему утилиты. Такое программное обеспечение должно использоваться на ноутбуках, на сервере ему делать нечего;

• linuxconf – удобная утилита для настройки системы. По умолчанию установка ее не производится. Если она все же установлена, следует знать: помимо того, что эта программа занимает достаточно много места, она так же содержит и ошибки;

• isapnptools – включает утилиты для настройки карт ISA Plug and Play (PnP) и плат, которые совместимы со спецификацией ISA Plug and Play. Поскольку в современном компьютере вот уже на протяжении трех лет не устанавливаются ISA-устройства, наличие этого пакета нецелесообразно;

• setserial – системная утилита для просмотра и установки информации о последовательных портах. Используется на сервере модемного доступа и сервере управления кассовыми аппаратами с последовательным интерфейсом. Может быть необходима для маршрутизаторов, имеющих модемные соединения. Эту утилиту можно использовать при отладке соединения и управления источником бесперебойного питания (UPS). Для всех остальных типов серверов наличие ее нецелесообразно;

• kudzu – утилита для автоматического определения аппаратного обеспечения. Во время загрузки она может определить, какие устройства были добавлены или удалены из системы. Однозначного мнения, нужен или нет данный пакет на сервере, не существует;

• raidtools – включает утилиты, которые нужны для установки и управления программными RAID-массивами. Если программные RAID-массивы не используются – не устанавливайте;

• redhat-logos – файлы логотипов. Трата дискового пространства;

• redhat-release – на сервере не нужен;

• rmt – предоставляет удаленный доступ для резервного копирования. Как и все r-команды – потенциальная брешь в безопасности операционной системы;

• tyx – встроенный в ядро HTTP-сервер. Позволяет ускорить обработку HTTP-запросов. Ни для каких серверов, кроме Web-cepвepa, не нужен. К тому же, на Web-cepвepe традиционно устанавливается сервер Apache.

После

инсталляции и компиляции всего необходимого программного обеспечения рекомендуется удалить с сервера все компиляторы и подобные им программы. Это делается для того, чтобы злоумышленник, проникший на сервер, не смог скомпилировать или модифицировать необходимые ему утилиты. Как известно, знаменитый "червь Морриса" пересылал свой исходный код на компьютер жертвы, там себя компилировал и запускал на выполнение.

Создание разных серверов для разных задач упрощает процесс администрирования и управления ими и увеличивает контроль и настраиваемость для каждого из них.

Дальнейшие действия большей частью административные.

1. Создайте список файлов с их правами и владельцами. Регулярно проверяйте, не изменились ли атрибуты, права и владельцы файлов. Изменение этих параметров – один из признаков взлома или некорректной работы пользователей.

2. Заведите на сервере пользователя, которому делегируйте некоторые права – выключение сервера, монтирование дисковых разделов, административные задачи.

3. Проверьте, чтобы пользователь root не мог зайти через сеть или способом, отличным от входа с консоли.

4. Организуйте перенаправление почты пользователя root на обычного пользователя, отвечающего за администрирование. По умолчанию многие сервисы отсылают электронной почтой сообщения о проблемах, возникающих во время их работы.

5. Не работайте пользователем root – этот пользователь случайно может уничтожить операционную систему.

6. Настройте службу logrotate: на серьезных серверах log-файлы в 100–200 Мбайт – в порядке вещей.

7. Разработайте стратегию резервного копирования сервера.

8. Проводите учебное восстановление сервера из резервных копий раз в квартал. Это позволит и хорошо отработать процедуру восстановления, и проверять целостность резервных копий.

9. Обязательно приобретите источник бесперебойного питания с управлением по последовательному порту и установите соответствующее программное обеспечение.

10. Разработайте и утвердите у руководства правила, в которых четко и кратко описано, что может делать пользователь, а что ему запрещено. Ознакомьте с ними всех сотрудников.

11. Периодически производите инспекцию компьютеров на наличие постороннего программного обеспечения и правильное функционирование штатного программного и аппаратного обеспечения.

Более подробные рекомендации можно прочитать в книгах "UNIX: руководство системного администратора" и "Системное администрирование Linux" (см. приложение 5).

Ссылки

• www.linuxdocs.org – Network Administrator\'s Guide.

• www.linuxdocs.org – по этому же адресу расположены и соответствующие HOWTO (см. гл. 13):