Аппаратные средства и архитектура



Скачать 10.18 Mb.
Pdf просмотр
страница37/68
Дата22.11.2016
Размер10.18 Mb.
Просмотров7299
Скачиваний0
1   ...   33   34   35   36   37   38   39   40   ...   68
Тема
экзамена
LPI 202
Учебные пособие
developerWorks
Краткое содержание
Тема 205
LPI exam 202 prep
(topic 205):
Конфигурация сети
Узнайте, как настроить базовую сеть TCP/IP, от аппаратного уровня (как правило, это Ethernet, или,
ISDN, или 802.11) до маршрутизации сетевых адресов.
Тема 206
LPI exam 202 prep
(topic 206):
Почта и новости
Узнайте, как использовать Linux в качестве почтового сервера и новостного сервера. Узнайте о почтовом транспорте, фильтре локальной почты, фильтре локальной почты, программах по управлению списком рассылки и серверных приложениях для протокола NNTP.

Тема 207
Подготовка к LPI экзамену 202 (тема
207):
DNS
Узнайте, как использовать Linux в качестве
DNS-сервера, главным образом, с использованием
BIND. Узнайте, как осуществить базовую настройку
BIND, управлять зонами DNS, и обеспечивать безопасность DNS-сервера.
Тема 208
Подготовка к LPI экзамену 202 (тема
208):
Web-сервисы
Узнайте, как установить и настроить web-сервер
Apache, и как использовать прокси-сервер Squid.
Тема 210
Подготовка к LPI экзамену 202 (тема
201):
Управление клиентом сети
Узнайте, как настроить сервер DHCP, клиента NIS и
NISD сервер, сервер LDAP, и поддержку идентификации PAM. За подробностями смотрите цели ниже.
Тема 212
Подготовка к LPI экзамену 202 (тема
212):
Системная безопасность
(Это пособие) Узнайте, как настроить маршрутизатор, безопасные FTP-серверы, сконфигурировать SSH, и производить различные другие задачи администрирования безопасности. За подробностями смотрите цели ниже.
Тема 214
Подготовка к LPI экзамену 202 (тема
214):
Устранение неполадок работы сети
Скоро будет
Чтобы начать готовиться к certification уровня 1, посмотрите учебные пособия developerWorks для экзамена LPI 101
. Для подготовки к другим экзаменам certification уровня
2, посмотрите учебные пособия developerWorks для экзамена LPI 201
. Read больше о полном курсе LPI учебных пособий от developerWorks
Профессиональный институт Linux не поддерживает никаких материалов по подготовке к экзаменам, разработанных третьими лицами. За подробностями обращайтесь на info@lpi.org
Об этом пособии
Добро пожаловать в "Системную безопасность", шестое пособие из серии, состоящей из семи пособий, охватывающих сетевое администрирование под Linux. В этом пособии вы познакомитесь с широким кругом вопросов, связанных с Linux с точки зрения безопасности сервера сети. Охвачены такие вопросы, как маршрутизация, межсетевые экраны, преобразования NAT (и утилиты, управляющие этим), равно как и задание политики безопасности для FTP и SSH. Также научитесь задавать общий контроль доступа с помощью tcpd, hosts.allow, и их товарищей (возвращаясь к вопросам, которые мы рассматривали в пособии
Подготовка к экзамену LPI 202 (тема 209): Совместное использование файлов и служб.
). Наконец, здесь затронуты некоторые основные утилиты отслеживания безопасности, рассказано, где найти ресурсы по безопасности.
Наряду с другими учебными пособиями из developerWorks курсов 201 и 202, представленный материал предназначен скорее служить руководством к изучению и стартовой точкой при подготовке к экзаменам, и не является полной документацией по данному предмету.
Поощряется, если читатель обращается к подробному списку целей и задач
LPI и, по необходимости, дополняет информацию, представленную здесь, другими материалами.

Это учебное пособие организованно согласно LPI задачам для этой темы. Грубо говоря, ожидайте на экзамене задач с большим весом.
Таблица 2. Системная безопасность: Экзаменационные темы, рассматриваемые в этом
учебнике
Тема LPI
экзамена
Вес
Краткое содержание
2.212.2
Настройка маршрутизатора
2
Настройка системы, осуществляющей трансляцию сетевого адреса (NAT, IP маскарадинг), и обоснование важности этого для защиты сети. Сюда включается настройка переназначения портов, управление правилами фильтров, и отвод атак.
2.212.3
Обеспечение безопасности
FTP-серверов
2
Настройка FTP-сервера на возможность анонимного скачивания и загрузку. Эта тема содержит предосторожности, о которых следует позаботиться, если разрешена анонимная загрузка файлов, а также настройка прав пользователей.
2.212.4
Безопасная оболочка (SSH)
2
Настройка демона SSH. Эта цель включает управление ключами, настройку SSH для пользователей, пересылка протокола приложения через SSH, и управление входом в
SSH.
2.212.5
TCP-wrappers
1
Настроить TCP-wrappers, чтобы разрешить соединения только к определенным серверам только из определенных хостов или подсетей.
2.212.6
Задачи по безопасности
3
Установить и настроить систему безопасной идентификации; произвести базовый аудит безопасности исходного кода; получить сигналы тревоги от нескольких источников; провести аудит серверов на предмет открытых e-mail реле и анонимных FTP-серверов; установить, настроить, и запустить систему опознавания вторжений; применить патчи безопасности и исправления ошибок.
Предпосылки
Для полной отдачи от этого пособия, вы должны уже иметь основные знания о Linux и рабочую систему Linux, где вы можете опробовать команды, описанные в этом пособии.
Другие источники
Как и другие приложения Linux, всегда полезно обращаться к man-страницам любых рассматриваемых здесь утилит. За большей информацией, Linux Documentation Project имеет большое количество различных полезных документов, в особенности HOWTO. Также опубликовано множество книг по сетям Linux; я считаю, что книга O'Reilly's TCP/IP Network
Administration, Крейга Ханта, вполне может помочь. (Ссылки
Источники располагаются ниже.)

Подготовка к экзамену LPI: Системная
безопасность
Средний уровень администрирования (LPIC-2) тема 212
Девид (David) Мертц (Mertz)
, Developer, Gnosis Software, Inc.
Описание: В этом учебном пособии, шестом из серии, состоящей из семи пособий covering intermediate network administration on Linux®, Дейвид Мертц продолжает готовить вас к сдаче экзамена 202 Администрирования Среднего Уровня (LPIC-2) Профессионального Института
Linux. По необходимости, это пособие кратко затрадингивает широкий круг вопросов, связанных с Linux с точки зрения безопасности сервера сети, включая общие вопросы маршрутизации, межсетевых экранов, преобразования NAT и соответствующие утилиты.
Здесь нашлось место для задания политики безопасности для FTP и SSH; также рассматривается общий контроль доступа с помощью tcpd, hosts.allow, и их товарищей; представлены некоторые основные утилиты отслеживания безопасности, рассказано, где найти ресурсы по безопасности.
Дата: 13.06.2006
Уровень сложности: средний
Настройка маршрутизатора
О фильтре пакетов
Ядро Linux содержит инфраструктуру "netfilter", которая позволяет вам отфильтровывать сетевые пакеты. Обычно эта возможность компилируется как неотъемлимая часть ядра, но можно собрать в виде модуля. В любом случае, загрузка модуля дожна быть прозрачной
(например, запуск iptables приведет к загрузке iptables_filter.o, если это потребуется).
В более новых системах Linux фильтрация пакетов управляется утилитой iptables; более старые системы использовали ipchains. А до этого применялась ipfwadm. Хотя, если требуется обратная совместимость, вы все еще можете использовать ipchains вместе с недавними версиями ядра, вы все равно предпочтете более широкие возможности и улцчшенный синтаксис в iptables. То есть, большая часть понятий и опций в iptables являются совместимыми улучшениями ipchains.
В зависимости от точного сценария фильтра (firewall, NAT, и тд), фильтрация и перевод адреса может произойти либо до, либо после маршрутизации как таковой. В обоих случаях используется одна и та же программа ipchains, но используют различные правила
("цепочки") -- в основе,
INPUT и OUTPUT. Однако, фильтрация также может повлиять на решение маршрутизации, из-за филтрации
FORWARD цепочки; этот способ может привести к исчезновлению пакетов, вместо их маршрутизирования.
Маршрутизация
Наряду с фильтрацией при помощи iptables (или более ранней ipchains), ядро Linux производит маршрутизацию IP-пакетов, которых получает. Маршрутизация -- более простой процесс, нежели фильтрация, хотя они умозрительно являются связанными.
Во время маршрутизации, хост просто смотрит на IP-адрес назначения и решает, знает ли он, как доставить пакет непосредственно на этот адрес, или же ему доступен шлюз, который знает, как доставить на этот адрес. Если хост не может ни доставить пакет сам, ни знает шлюза, которому можно поручить доставку, пакет теряется. Однако типичная конфигурация содержит "шлюз по умолчанию", который обрабатывает любой адрес, не определенный
каким-нибудь способом.
Настройка и отображение информации по маршрутизации производится утилитой route.
Однако маршрутизация может быть либо статической, либо динамической.
При статической маршрутизации, доставка определяется таблицей маршрутизации, которая явно настраивается вызовом команды route и ее командами add или del. Более полезной, однако, может оказаться настройка динамической маршрутизации с использованием демонов routed или gated, которые рассылают информацию о маршрутизации соседним демонам-маршрутизаторам.
Демон routed поддерживает Routing Information Protocol (RIP); демон gated вдобавок имеет поддержку других протоколов -- и может пользоваться многими протоколами одновременно -- таких как:

Routing Information Protocol Next Generation (RIPng)

Exterior Gateway Protocol (EGP)

Border Gateway Protocol (BGP) и BGP4+

Defense Communications Network Local-Network Protocol (HELLO)

Open Shortest Path First (OSPF)

Intermediate System to Intermediate System (IS-IS)

Internet Control Message Protocol (ICMP и ICMPv6)/Router Discovery
Давайте взглянем на довольно типичную статическую таблицу маршрутизации:
Listing 1. Типичная статическая таблица маршрутизации
% /sbin/route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
66.98.217.0 * 255.255.255.0 U 0 0 0 eth0 10.10.12.0 * 255.255.254.0 U 0 0 0 eth1 66.98.216.0 * 255.255.254.0 U 0 0 0 eth0 169.254.0.0 * 255.255.0.0 U 0 0 0 eth1
default ev1s-66-98-216- 0.0.0.0 UG 0 0 0 eth0
Это означает, что адресы в диапазонах 66.98.217/24 и 66.98.216/23 напрямую доставляются через eth0. Диапазоны адресов 10.10.12/23 и 169.254/16 доставляются на eth1. Все, что осталось, посылается на шлюз ev1s-66-98-216-1.ev1servers.net (имя обрезано в выводе route; также можно использовать route -n, чтобы убедиться, что это имя имеет
IP-адрес 66.98.216.1). Если вы хотите добавить другой шлюз для некоторых диапазонов адресов, вам следует выполнить следующее:
Listing 2. Добавление нового шлюза для других диапазонов адресов
% route add -net 192.168.2.0 netmask 255.255.255.0 gw 192.168.2.1 dev eth0
Для машины, которая сама по себе является шлюзом, вообще говоря, используется динамическая маршрутизация, при помощи демонов routed или gated, которые могут давать меньшее число статических маршрутов. Демон routed настраивается содержимым
/etc/gateways. Демон gated является более современным, и, как уже говорилось, имеет больше возможностей; он настраивается файлом /etc/gated.conf. Вообще говоря, при
использовании какого-нибудь из этих демонов, вы можете запускать через сценарии запуска.
Но нельзя запускать демонов routed и gated на одной машине, поскольку результаты станут непредсказуемыми и, конечно же, нежелательными.
Фильтрация с помощью iptables
Ядро Linux хранит таблицу правил фильтрации IP-пакетов, которая образует некоторую разновидность машины состояний. Наборы правил объединяются в последовательности, известные как "цепочки". Если одна цепочка встречает условие, одним из возможных действий является передача управление на обработку другой цепочки, как делается в машине состояний. Перед добавлением правил или состояний, автоматически присутствуют три цепочки:
INPUT, OUTPUT, и FORWARD. Цепочка INPUT работает когда пакет, адресованный машине-хосту, передаётся процессу локального приложения. Цепочка
FORWARD используется, когда приходит пакет, адресованный другой машине, полагая, что здесь активирована переадресация, и система маршрутизации знает, как переслать пакет дальше.
Пакет, порожденный на локальном хосте, посылается для фильтрации в цепочку
OUTPUT -- если он проходит фильтры в цепочке
OUTPUT (или любых связанных цепочек), он маршрутизуется за пределы сетевого интерфейса.
Одно действие, которое может предпринять правило, есть
DROP (уничтожение) пакета; в этом случае для этого пакета больше никаких дальнейших обработок правил или переходов между состояниями не предпринимается. Но если пакет не уничтожается, то проверяется, соответствует ли пакету следующее правило в цепочке. В некоторых случаях соответствие правилу перенесёт процесс обработки на другую цепочку со своим набором правил.
Создание, удаление или изменение правил и цепочек, где содержатся эти правила, производится утилитой iptables. В старых системах Linux, эти же функции выполняла утилита ipchains. Идеи, реализованные в этих утилитах, и даже в более древней ipfwadm похожи, но здесь мы обсудим синтакс iptables.
Правило определяет набор условий, которым пакет может соответствовать, и то, какое действие следует произвести, если пакет не соответствует условию. Как упоминалось, одно общее действие состоит в
DROP (уничтожении) пакетов. Например, предположим, что вам нужно (по каким-то причинам) отключить ping в петлевом интерфейсе (интерфейсе ICMP).
Это можно осуществить с помощью:
Listing 3. Отключение петлевого интерфейса
% iptables -A INPUT -s 127.0.0.1 -p icmp -j DROP
Конечно, это правило глупое, и его, скорее всего, следует убрать после тестирования, примерно вот так:
Listing 4. Как убрать это глупое правило
% iptables -D INPUT -s 127.0.0.1 -p icmp -j DROP
Удаление правила с опцией
-D требует либо в точности те же параметры, что были указаны при добавлении правила, либо описания с помощью номера правила (который нужно определять на первом месте) вот так:
Listing 5. Указание номера правила, так чтобы удаление сработало

% iptables -D INPUT 1
Более интересное правило может глядеть на адрес источника и назначения в пакетах.
Например, представьте, что подозрительная удаленная сеть пытается использовать службы на определенной подсети вашей сети. Это можно заблокировать на машине вашего шлюза/межсетевого экрана таким образом:
Listing 6. Блокировка машины шлюза/межсетевого экрана
% iptables -A INPUT -s 66.98.216/24 -d 64.41.64/24 -j DROP
Это остановит все, что исходит из
66.98.216.* IP-диапазона на локальную подсеть
64.41.64.*. Конечно, использование этого метода занесения определенного IP-диапазона в черный список в качестве защиты довольно ограничено. Более вероятным сценарием будет
разрешение доступа к локальной подсети только от определенного диапазона IP:
Listing 7. Разрешение указанному диапазону IPиметь доступ к локальной подсети
% iptables -A INPUT -s ! 66.98.216/24 -d 64.41.64/24 -j DROP
В этом случае только адреса из IP диапазона
66.98.216.* могут иметь доступ к указанной подсети. Более того, для адреса можно использовать символическое имя, и можно указывать определенный протокол для фильтрации. Также можно выбрать для фильтрации определенный сетевой интерфейс (например, eth0), но это используется не так широко.
Например, чтобы разрешить только отдельной удаленной сети обращаться к локальному web-серверу, следует использовать:
Listing 8. Разрешение отдельной удаленной сети обращаться к локальному Веб-серверу
% iptables -A INPUT -s ! example.com -d 64.41.64.124 -p TCP -sport 80 -j DROP
Можно указать еще и некоторые другие опции для iptables, например, включая ограничения на число допустимых пакетов или фильтрацию по флагам TCP. За подробностями обращайтесь к man-страницам iptables.
Цепочки, определенные пользователем
Мы видели основы добавления правил в автоматическае цепочки. Но гибкая настраиваемость iptables возможна при добавлении цепочек, определенных пользователем и переход к ним при совпадении с шаблоном. Новые цепочки определяются с использованием опции
-N; мы уже осуществляли переход с помощью специальной цели
DROP. ACCEPT (разрешить) -- это тоже специальная цель с очевидным значением. Также доступны специальные цели
RETURN
(вернуть) и
QUEUE (поставить в очередь). Первая означает остановку обработки данной цепочки и возврат к вызывавшему/породителю ее. Обработчик
QUEUE позволяет передавать пакеты к процессам пользователя для дальнейшей обработки ( это может быть журналирование, изменение пакета, или более сложная фильтрация, нежели та, что
поддерживается iptables). Простой пример из книга Русти Рассела "Linux 2.4 Packet
Filtering HOWTO" -- хорошая иллюстрация добавления пользовательских цепочек:
Listing 9. Добавление пользовательской цепочки
# Создание цепочки для блокировки всех соединенений за исключением локальных или уже существующих
% iptables -N block
% iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
% iptables -A block -m state --state NEW -i ! ppp0 -j ACCEPT
% iptables -A block -j DROP # Уничтожаем всё, что не было разрешено (ACCEPT)
# Переключение на эту цепочку с цепочек INPUT и FORWARD
% iptables -A INPUT -j block
% iptables -A FORWARD -j block
Обратите внимание, что цепочка block принимает (ACCEPT) в ограниченном числе случаев, тогда как последнее правило пропускает (
DROP) все, что не было принято ранее.
По мере того, как были созданы новые цепочки, либо путем добавления правил к автоматическим, либо при помощи новых пользовательских цепочек, можно использовать опцию
-L для просмотра текущих правил.
Преобразование сетевых адресов в сравнении с межсетевыми экранами
Примеры, которые мы видели, в основном касались правил для межсетевых экранов. Но преобразование сетевых адресов (NAT) так же настраивается с помощью iptables.
Как правило, NAT -- это способ использования отслеживания соединений для маскаранинга пакетов, исходящих из адреса локальной подсети в качестве внешнего адреса WAN, перед тем, как отправлятьиз дальше "по проводам" (на цепочке
OUTPUT). Шлюз/маршутизатор, выполняющий NAT, должен запоминать, какой локальный хост соединен с каким удаленным хостом, и обращать преобразование адреса, если вдруг пакеты приходят обратно с удаленной машины.
с точки зрения системы фильтрации просто делается вид, что NAT не существует. Правила, определяемые нами, просто используют "настоящие" локальные адресы, безотносительно тому, как NAT замаскирует их для внешнего мира. Включение маскарадинга, такого как базовый NAT, просто использует описанную ниже команду iptables. Для этого следует сначала убедиться, что модуль ядра iptables_nat загружен, а затем включить IP-пересылку:
Listing 10. Включение маскарадинга
% modprobe iptables_nat # Загрузка модуля ядра
% iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
% echo 1 > /proc/sys/net/piv4/ip_forward # Включение марштуризации
Эта способность называется NAT источника -- адрес исходящего пакета изменен. Также существует NAT назначения (DNAT), позволяя осуществлять пересылку порта, разделение загрузки, и прозрачное проксирова. В этих случаях, входящие пакеты изменяются так, чтобы достигнуть требуемого хоста или подсети.
Но в большинстве случаев, когда пользователи или администраторы говорят о NAT, они имеют ввиду NAT источника. Если хотите настроить NAT назначения, следует указать
PREROUTING, а не POSTROUTING. При DNAT, пакеты преобразовываются перед
маршрутизацией.
Обеспечение безопасности FTP-серверов
FTP-сервера
Для Linux существует множество различных FTP-серверов, и разные дистрибутивы предлагают разные сервера. Естественно, настройки различных серверов различаются, хотя большинство склоняется использовать похожие конфигурационные директивы.
Популярным FTP-сервером является vsftpd (Very Secure FTP daemon). ProFTP также широко используется, равно как wu-ftpd и ncftpd.
Для многих целей FTP, в сущности, и не нужен. Например, безопасную передачу файлов для пользователей, имеющих учетные записи на машине сервера, можно часто совершать при помощи scp (secure copy), которая основывается на SSH, но в использовании очень похожа на знакомую команду cp.
Файл конфигурации для vsftpd -- это /etc/vsftpd.conf. Другие FTP-сервера используют похожие файлы.
Конфигурационные опции FTP
Существует несколько опций для /etc/vsftpd.conf (и, возможно, вашего сервера, если у вас другой), которые следует помнить:

anonymous_enabled: Позволяет анонимным пользователям входить, используя имена пользователей "anonymous" или "ftp".

anon_mkdir_write_enable: Позволяет анонимным пользователям создавать каталоги (внутри открытых всем для записи родительских каталогов).

anon_upload_enable: Позволяет анонимным пользователям закачивать файлы.

anon_world_readable_only: По умолчанию "YES"; вряд ли менять его -- хорошая идея. Позволяет анонимному пользователю FTP считывать только к файлы, помеченные как общедоступные для чтения.

chroot_list_enable: Помещает пользователей (перечисленных в
/etc/vsftpd.chroot-list) в "тюрьму chroot" в их домашнем каталоге (они не смогу просмотреть файлы и каталоги выше в иерархии файловой системы, даже если имеют на них права доступа).

ssl_enable: Поддерживает SSL-шифрованные соединения.
Ознакомьтесь с man-страницами для вашего FTP-сервера за более сложными опциями.
Вообще говоря, запуск FTP-сервера настолько прост, насколько таковым является выбор конфигурационного файла и запуск сервера из сценариев инициализации системы.
Безопасная оболочка (SSH)
Клиент и сервер
Почти каждая Linux-машина (да и большинство других опреационных систем) должны иметь клиента безопасной оболочки (SSH). Часто используется версия OpenSSH, но также иногда применяют и других совместимых SSH клиентов. SSH клиент является необходимым для соединения, большие проблемы с безопасностью возникают при неправильной настройке
SSH-сервера.
Поскольку клиент запускает соединение с сервером, ему часто приходится доверять серверу.
Просто наличие SSH-клиента не дает никакого доступа внутрь машины; следовательно, это не может представлять опасности.
Настройка сервера тоже не особенно сложная; демон сервера был разработан содержащим и реализующим хорошую схему безопасности. Но, очевидно, именно сервер разделяет ресурсы
с клиентами, основываясь на запросах от клиентов, которым сервер решает доверять.
Протокол SSH имеет две версии, версию 1 и версию 2. В современных системах всегда предпочтительным является использования протокола версии 2, но, вообще говоря, как клиент, так и сервер поддерживают обратную совместимость с версией 1 (если только если это не отключено конфигурационными опциями). Это позволяет соединяться с все реже и реже встречающимся системами версии 1.
Протоколам версий 1 и 2 соответствуют несколько различные конфигурационные файлы. В протоколе версии 1 клиент сначала создает с помощью ssh-keygen пару ключей RSA, и хранит закрытый ключ в $HOME/.ssh/identity, а открытый ключ -- в $HOME/.ssh/identity.pub.
Точно такой же identity.pub должен быть добавлен к удаленным файлам
$HOME/.ssh/authorized_keys.
Очевидно, здесь присутствует проблема яйца и курицы: как можно скопировать файл на удаленную систему, до получения доступа к ней? К счастью, SSH также поддерживает метод аварийной идентификации, состоящий в отправке зашифрованных на лету паролей, которые вычисляются посредством обычного контроля входа на удаленную систему (таких как существует ли учетная запись пользователя, и введен ли правильный пароль).
Протокол 2 поддерживает как ключи RSA, так и DSA, но RSA-идентификация немного улучшена по сравнению с протоколом 1. В протолоке 2, закрытые ключи хранятся в
$HOME/.ssh/id_rsa и $HOME/.ssh/id_dsa. Протокол 2 также поддерживает некоторое количество алгоритмов экстра конфиденциальности и целостности: AES, 3DES, Blowfish,
CAST128, HMAC-MD5, HMAC-SHA1, и так далее. Сервер можно настроить как на предпочтительные алгоритмы, так и задать проядок использования аварийных режимов.
Общие конфигурационные опции, в отличие от ключа, содержатся у клиента в
/etc/ssh/ssh_config (или, если это доступно, в /$HOME/.ssh/config). Параметры клиента можно также настроить с помощью опции
-o; часто используемой опцией является -X или -x, для включения или выключения переадресации X11. Если она активирована, порт X11 тунеллируется через SSH, чтобы осуществлять шифрованные X11 соединения.
Утилиты, подобные scp также используют похожий порт для переадреации через по SSH.
Пусть, например, я работаю за локальной машиной, и я могу запустить увидеть на дисплее
X11 приложение, которое работает только удаленно (в этом случае -- на сервере в локальной подсети):
Listing 11. запуск удаленного приложения X11
$ which gedit # на локальной системе отсутствует
$ ssh -X dqm@192.168.2.2
Password:
Linux averatec 2.6.10-5-386 #1 Mon Oct 10 11:15:41 UTC 2005 i686 GNU/Linux
No mail.
Last login: Thu Feb 23 03:51:15 2006 from 192.168.2.101
dqm@averatec:
$ gedit &
Настройка сервера
Демон sshd, что особенно характерно для версии OpenSSH, включает безопасные шифрованные соединения между двумя ненадежными хостами по небезопасной сети.
Основной sshd сервер обычно запускается во время инициализации системы и ждет сигнала от подключений пользователей, запуская новый экземпляр демона для каждого пользовательского соединения. Отделенные демоны осуществляют обмен ключами, шифрование, идентификацию, выполнение команд и обмен данными.

Сервер sshd поддерживает большое разнообразие опций командной строки, но обычно настраивается файлом /etc/ssh/sshd_config. Также используется некоторое число других конфигурационных файлов. Например, файлы контроля доступом /etc/hosts.allow и
/etc/hosts.deny являются предпочтительными. Ключи хранятся похожим образом на стороне клиента, в /etc/ssh/ssh_host_key (протокол 1), /etc/ssh/ssh_host_dsa_key,
/etc/ssh/ssh_host_rsa_key, а открытые ключи -- в /etc/ssh/ssh_host_dsa_key.pub и подобных.
Также, на клиенте, для генерации ключей используется ssh-keygen. Обратитесь к man-страницам для sshd и ssh-keygen за деталями конфигурационных файлов и копирования сгенерированных ключей в соответствующие файлы.
Множество конфигурационных опций имеется в /etc/ssh/sshd_config, а значения по умолчанию, вообще говоря, чувствительны (и ощутимо безопаснее). Стоит упомянуть несколько опций:

AllowTcpForwarding включает или выключает переадресацию портов, и по умолчанию выставлено "YES".

Ciphers управляет списком и порядком шифровательных алгоритмов, которые будут использовться.

AllowUsers и AllowGroups принимают шаблоны ввода и позволяет контролировать, какие пользователи могут сделать попытку в дальнейшей идентификации.

DenyGroups и DenyUsers действуют. как и следовало ожидать, симметрично.

PermitRootLogin позволяет пользователю root подключаться через SSH.

Protocol позволяет указать, принимаются ли оба типа протоколов (и, если нет,
(какой из них).

TCPKeepAlive хороша, если у вас иногда обрываются SSH-соединения. Сообщение "keepalive" рассылается, чтобы проверить соединения, если опция включена. Но это может вызвать рассоединение, если при маршрутизации происходят редкие ошибки.
SSH тунеллирование
OpenSSH позволяет создать туннель для инкапсулирования других протоколов в шифрованном SSH-канале. Эта возможность включается на сервере sshd по умолчанию, но может быть отключена опциями командной строки или конфигурационными файлами.
Полагая, что эта возможность включена, клиенты могут легко эмулировать любой порт/протокол, который пожелают, и использовать его для соединения. Например, для создания туннеля для telnet:
Listing 12. Прокладка туннеля для telnet
% ssh -2 -N -f -L 5023:localhost:23 user@foo.example.com
% telnet localhost 5023
Конечно же, этот пример бессмысленный, поскольку командная оболочка SSH делает то же в качестве оболочки shell. Однако можно создавать соединения POP3, HTTP, SMTP, FTP, X11, и по любому другому протоколу аналогичным образом. Основная идея состоит в том, что определенные порты локального хоста ведут себя так будто это есть удаленная служба с реальными коммуникационными пакетами, гуляющими в SSH соединении в зашифрованном виде.
Опции, которые мы использовали в примере, таковы:

-2 (использовать протокол 2),


-N (нет команды/только туннель),

-f (SSH фоновым), и

-L, (описать туннель как "localport:remotehost:remoteport").
Также указывается сервер и имя пользователя.
TCP-wrappers
Что такое "TCP-wrappers"?
Первое, что следует уяснить про TCP-wrappers -- это то, что их не надо использовать, и они не являются активно развивающимися. Однако вы можете обнаружить, что демон tcpd из
TCP-wrappers все еще выполняется в вашей системе. В свое время это было хорошим приложением, но теперь его функциональность сильно упала по сравнению с iptables и другими приложениями. Главной целью TCP-wrappers осталось отслеживание и фильтрация входящих запросов от SYSTAT, FINGER, FTP, TELNET, RLOGIN, RSH, EXEC, TFTP, TALK, и других сетевых служб.
TCP-wrappers можно настроить двумя путями. Один состоит в замене других служб на tcpd, обеспечивая аргументы, для передачи контроля определённому приложению после того, как tcpd выполнил свое журналирование и фильтрацию. Другой метод оставляет сетевых демонов в покое, но изменяет конфигурационный файл inetd. Например, такая строка:
tftp dgram udp wait root /usr/etc/tcpd in.tftpd -s /tftpboot приведет к тому, что входящий запрос tftp запустится через оберточную программу (tcpd) под именем процесса in.tftpd.
Задачи по безопасности
Чтобы выполнить поставленную цель - изучить методы обеспечения безопасности - надо изучить огромное количество вопросов (и каждый из них может оказаться принципиально важным). Поэтому я не надеюсь полностью раскрыть эту тему на страницах небольшого учебника. Всвязи с этим я рекомендую уделить время знакомству с ресурсами и утилитами, перечисленными в этом разделе.
web-сайты, на которые стоит заглянуть за статьями по безопасности и патчами:

Security focus news
: The Security Focus web-сайт -- один из лучших сайтов по докладам и обсуждению проблем безопасности и конкретных уязвимостей. Сайт содержит несколько новостных групп и объявлений, на которые можно подписаться, равно как и статьи общего характера и сообщения об ошибках, по которым можно выполнять поиск.

The Bugtraq mailing list
: Обширный модерируемый список рассылки для подробных обсуждений и объявлений уязвимостей в системах компьютерной безопасности: кто они, как с ними бороться, как их обнаружить.

CERT Coordination Center
: размещенный на сервере Carnegie Mellon University, CERT имеет совещательный коллектив, схожий с Security Focus site, но имеет больший уклон в сторону пособий и руководств. Обозревать несколько таких сайтов -- хороший способ убедиться, что вы в курсе всех проишествий, влияющих на вашу ОС, дистрибутив или определенные программы или серверы.

Computer Incident Advisory Capability
: Информационные бюллетени CIAC распространяются сообществом Department of Energy для извещения сайтов об уязвимостях в компьютерной безопасности и рекомендуемых действиях. Пободно тому, консультативные записки CIAC служат для предупреждения сайтов об опасной, уязвимости, требующей срочного решения, и разрешения этих проблем. Технические бюллетени CIAC охватывают вопросы технической безопасности и анализы, не столь чувствительные ко времени.

Утилиты для слежения за безопасностью, которые стоит запускать, таковы:

Open Source Tripwire
: Утилита. касающаяся безопасности и целостности данных, отслеживающая определенные изменения в файлах.

scanlogd
: Утилита, обнаруживающая сканирование TCP портов.

Snort
: Обнаружение и предотвращение вторжения в сеть, с помощью языка правил; использует методы, основанные на подписях, протоколах и аномалиях.
Перейти к тексту

Войти (или Регистрация)

Русский



Технические материалы

Пробное ПО

Сообщество
Object 1

developerWorks Россия

Linux

Статьи
Подготовка к экзамену LPI: Системная
безопасность
Средний уровень администрирования (LPIC-2) тема 212
Девид (David) Мертц (Mertz)
, Developer, Gnosis Software, Inc.
Описание: В этом учебном пособии, шестом из серии, состоящей из семи пособий covering intermediate network administration on Linux®, Дейвид Мертц продолжает готовить вас к сдаче экзамена 202 Администрирования Среднего Уровня (LPIC-2) Профессионального Института
Linux. По необходимости, это пособие кратко затрадингивает широкий круг вопросов, связанных с Linux с точки зрения безопасности сервера сети, включая общие вопросы маршрутизации, межсетевых экранов, преобразования NAT и соответствующие утилиты.
Здесь нашлось место для задания политики безопасности для FTP и SSH; также рассматривается общий контроль доступа с помощью tcpd, hosts.allow, и их товарищей; представлены некоторые основные утилиты отслеживания безопасности, рассказано, где найти ресурсы по безопасности.
Ресурсы
Научиться

Ознакомьтесь с полным учебным курсом подготовки к экзамену LPI
на developerWorks, чтобы изучить основы Linux и подготовиться и аттестации
системного администратора.

TCP/IP Network Administration, Третье издание


by Craig Hunt (O'Reilly, April 2002),
Крейг Хант (O'Reilly, April 2002) является отличным ресурсом по сетям Linux.

Для углубленного изучения,
Linux Documentation Project располагает множеством различных полезных документов, в особенности HOWTO.

На developerWorks Linux zone
, найдите больше resources для разработчиков Linux.

Оставайтесь в курсе технических событий developerWorks и Webcasts
Получить продукты и технологии

Вместе с тестовое ПО IBM
, доступном для скачивания непосредственно с developerWorks, постройте ваш следующий проект на Linux.

Учебник для экзамена LPI 202: Устранение
проблем в сети
Администрирование для специалистов (LPIC-2) тема 214
Дэвид (David) Мертз (Mertz)
, Developer, Gnosis Software, Inc.
Описание: В этом учебнике, последнем в серии семи учебников посвященных администрированию сетей в Linux® для специалистов, Дэвид Мертз (David Mertz) заканчивает вашу подготовку к экзамену LPI 202 Профессионального Института Linux (Linux
Professional Institute) Администрирование для специалистов (LPIC-2). Этот учебник вновь обращается к ранним учебникам серии LPI 202, концентрируясь на том как использовать уже известные вам основные инструменты для устранения проблем в сети. Рассматриваемые инструменты поделены на две категории: средства настройки и диагностические средства.
Больше статей из этой серии
Дата: 28.06.2006
Уровень сложности: средний
Файлы настройки сети
/etc/network/ и /etc/sysconfig/network-scripts/
Каталог /etc/network/ во многих дистрибутивах Linux содержит различные данные для текущей сети, особенно в файле /etc/network/interfaces. Различные утилиты, особенно ifup и ifdown (или iwup и iwdown для беспроводных интерфейсов) в некоторых дистрибутивах находятся в /etc/sysconfig/network-scripts/ (но те же скрипты в вашем дистрибутиве могут находиться где-то в другом месте).
/var/log/syslog и /var/log/messages
Сообщения от ядра или средства syslogd записываются в файлы журналов /var/log/syslog и /var/log/messages.
Учебник для экзамена LPI 201 (тема 211): Обслуживание системы детально рассматривает журналирование системы. Обычно для проверки журналов
(log-файлов) используется утилита dmesg.
/etc/resolv.conf
Учебник для экзамена LPI 202 (тема 207): Служба имен доменов (Domain Name System)
детально рассматривает /etc/resolv.conf. Вообще говоря, этот файл просто содержит необходимую для нахождения доменных имен серверов. Он может быть настроен вручную или посредством динамического метода типа RIP, DHCP или NIS.
/etc/hosts
Файл /etc/hosts обычно является тем, что система Linux просматривает в первую очередь при попытке распознать символьное имя хоста. Вы можете добавить в него записи или для пропуска поиска DNS (или иногда средств YP или NIS), или для задания имени хоста, которые не доступны через DNS, часто вследствии того, что они имеют прямые имена в локальной сети. Смотри пример в Листинге 4
Листинг 4. /etc/hosts, место для разрешения символьных имен хостов
$ cat /etc/hosts
# Set some local addresses

127.0.0.1 localhost
255.255.255.255 broadcasthost
192.168.2.1 artemis.gnosis.lan
192.168.2.2 bacchus.gnosis.lan
# Set undesirable site patterns to loopback
127.0.0.1 *.doubleclick.com
127.0.0.1 *.advertising.com
127.0.0.1 *.valueclick.com
/etc/hostname и /etc/HOSTNAME
Файл /etc/HOSTNAME (на некоторых системах не заглавными буквами) иногда используется для символьного имени локального хоста, известного в сети. Однако, использование этого файла в различных дистрибутивах различается; вообще говоря, /etc/hosts используется только в новых дистрибутивах.
/etc/hosts.allow и /etc/hosts.deny
Учебник для экзамена LPI 201 (тема 209): Совместное использование файлов и сервисов и учебник для экзамена LPI 202 (тема 212): Безопасность системы рассматривают файлы
/etc/hosts.allow и /etc/hosts.deny детально. Эти конфигурационные файлы используются для позитивных и негативных списков контроля доступа различными сетевыми инструментами.
Читайте man-страницы этих конфигурационных файлов, чтобы получить больше информации о спецификациях шаблонов, диапазонов и специальных запретов.
Если после начальной настройки безопасности системы соединения нет, хотя кажется, что оно должно работать, стоит начать анализ с проверки содержимого этих файлов. Вообще, проверка элементов управления доступом при анализе причин проблем следует сразу за проверкой основных интерфейсов и информации о маршрутизации. То есть, если вы вообще не можете "достучаться" до некоторого хоста (или он не может обратиться к вам), то не имеет значения, имеет ли хост запрет на использование предоставляемого вами сервиса. Но причиной отдельных сбоев соединения и сервисов обслуживания часто могут быть элементы управления доступом.
Инструменты конфигурирования сети
Об исправлении проблем в сети
Для исправления проблем настройки сети, вы должны знать как использовать различные инструменты, описываемые в учебниках данной серии; вы также должны быть знакомы с конфигурационными файлами, определяющими состояние и поведение сети. В этом учебнике приводится краткая сводка основных инструментов и конфигурационных файлов, с которыми вы должны быть знакомы, для эфеективных действий по исправлению проблем с сетью.
Для простоты в учебнике инструменты сгруппированы в соответсвии с тем используются ли они больше для настройки сети или для диагностики проблем с сетью. Конечно же на практике эти элементы редко отделены друг от друга.
ifconfig
В
Учебнике для экзамена LPI 202 (тема 205): Настройка сети ifconfig рассматривается во всех деталях. Эта утилита может и сообщать о статусе сетевых интерфейсов, и позволяет вам изменять настройки этих интерфейсов. В большинстве случаев, когда сеть ведет себя как-то не так -- например, некоторая машина вообще не видна в сети -- первое что следует обычно предпринять это запустить ifconfig без параметров. Если она не сможет вывести отчет об
активных интерфейсах, то вы можете быть совершенно уверены, что эта локальная машина имеет проблемы в настройке. "Аткивные" в данном случае означает, что утилита показывает назначеный IP адрес; в большинстве случаев следует ожидать вывода числа пакетов в RX и
TX строках:
Листинг 1. Использование ifconfig
eth0 Link encap:Ethernet HWaddr 00:C0:9F:21:2F:25
inet addr:192.168.216.90 Bcast:66.98.217.255 Mask:255.255.254.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:6193735 errors:0 dropped:0 overruns:0 frame:0
TX packets:6982479 errors:0 dropped:0 overruns:0 carrier:0
Попытка активировать интерфейс чем-то вроде ifconfig eth0 up ...
это хороший перый шаг для определения, что интерфейс может быть активирован (во многих случаях используются дополнительные опции командной строки).
route
Учебник для экзамена LPI 202 (тема 205): Настройка сети подробно описывает route. Эта утилита позволяет легко просматривать и измененять таблицы маршрутизации для локальной машины и локальной сети. Используя route
, вы можете добавлять и удалять маршруты, определять сетевые маски и шлюзы, а также выполнять множество других задач тонкой настройки.
Для большинства случаев, вызов route следует произодить из инициализационных сценариев, но в процессе работы по диагностике и исправлению проблем может помочь экспериментирование с настройками маршрутизации (затем вы сможете скопировать удачный вариант в соответствующий стартовый сценарий для последующего использования).
hostname
Эта утилита имеет также псевдонимы для использования а различных аспектах:

domainname

nodename

dnsdomainname

nisdomainname

ypdomainname
Используются эти возможности при помощи ключей для самой hostname hostname используется для установки или отображения текущего хоста, домена или имени узла системы. Эти имена используются многими сетевыми программами для идентификации машины. Имя домена используется также и NIS/YP.
dmesg
Утилита dmesg позволяет обрабатывать журнал сообщений ядра; она работает совместо с syslogd
. Доступ к любому процессу ядра, включая те, что связаны с сетью, лучше всего осуществляется при помощи утилиты dmesg
, часто с наложением фильтрации при помощи другого инструмента вроде grep
, в качестве ключей dmesg
Ручная установка ARP
Необходимость разбираться с автоматически определенной таблицей ARP записей практически никогда не возникает. Однако, вам может потребоваться вручную изменить кэш

ARP, чтобы проверить какие-то предположения об ошибках в сети. Утилита arp позволяет сделать вам это. Ключевыми опциями флагами для утилиты arp являются -d для удаления,
-s для установки, и -f для установки из файла (стандартным файлом является /etc/ethers).
Например, предположим, что связь с некоторым IP адресом в локальной сети неустойчива или ненадежна. Одной из возможных причин такой ситуации являются несколько машин, настроенных некорректно и использующих один и тот же IP адрес. Когда ARP запрос отправляется по сети Ethernet, то нет определенности, какая машина первой отзовется ARP ответом. Конечным результатом может быть то, что пакеты данных могут доставляться то к одной, то к другой машине.
Первым шагом является использование arp -n для проверки имеющихся назначений IP.
Если вы обнаружите, что рассматриваемый IP адрес не соответствует корректному Ethernet устройству, то это будет четким сигналом о том, что происходит.
Чтобы преодолеть это возникающий в таком случае разнобой в соответствии IP и сетевого адреса, вы можете насильно указать для проблемного IP его ARP адрес, используя опции arp
-s (или -f). Ручная настройка присвоения адресов будет действовать постоянно, если только специально не использован флаг temp. Если ручное ARP присвоение адреса устраняет проблему потери данных, то это четко показывает, что проблема в назначении IP адресов.
Инструменты диагностики сети
netstat
Учебник для экзамена LPI 202 (тема 205): Настройка сети рассматривает netstat детально.
Эта утилита отображает различную информацию о сетевых соединениях, таблицах маршрутизации, статистику интерфейсов, иммитационные соединения и участие в группах.
Кроме этого, netstat предоставляет весьма детализированную статистику о пакетах, обработанных различными способами.
Man-страница netstat предоставляет информацию о большом количестве доступных ключей и опций. Эта утилита является хорошим инструментом общего назначения для углубления в детали состояния сети на конкретной машине.
ping
Хорошей стартовой точкой для проверки возможности подключения к некоторому узлу с данной машины (по IP адресу или символьному имени) является утилита ping
. Наряду с определением существует ли маршрут как таковой -- включая разрешение имён через DNS или другим способом при использовании символьного имени
-- ping предоставляет вам информацию о времени отклика, что может служить индикатором перегрузки сети или задержек маршрутизации. Иногда ping может отображать процент потерянных пакетов, но при практическом применении вы почти всегда будете видеть или 100, или 0 процентов потерянных пакетов для запросов ping.
traceroute
Утилита traceroute немного напоминает ping на стероидах. Вместо того, чтобы просто сообщать о факте наличия маршрута к указанному хосту, traceroute сообщает полную информацию о всех переходах, выполненных при прохождении пути, включая время для каждого маршрутизатора. Маршруты с течением времени могут меняться или вследствие динамических изменений в сети Интернет, или вследствии изменений маршрутизации сделанных вами локально. Тем не менее в данный момент времени traceroute показывает вам действительный путь следования.

Листинг 2. traceroute показывает действительный путь следования
$ traceroute google.com traceroute: Warning: google.com has multiple addresses; using 64.233.187.99
traceroute to google.com (64.233.187.99), 30 hops max, 38 byte packets
1 ev1s-66-98-216-1.ev1servers.net (66.98.216.1) 0.466 ms 0.424 ms 0.323 ms
2 ivhou-207-218-245-3.ev1.net (207.218.245.3) 0.650 ms 0.452 ms 0.491 ms
3 ivhou-207-218-223-9.ev1.net (207.218.223.9) 0.497 ms 0.467 ms 0.490 ms
4 gateway.mfn.com (216.200.251.25) 36.487 ms 1.277 ms 1.156 ms
5 so-5-0-0.mpr1.atl6.us.above.net (64.125.29.65) 13.824 ms 14.073 ms 13.826 ms
6 64.124.229.173.google.com (64.124.229.173) 13.786 ms 13.940 ms 14.019 ms
7 72.14.236.175 (72.14.236.175) 14.783 ms 14.749 ms 14.476 ms
8 216.239.49.226 (216.239.49.226) 16.651 ms 16.421 ms 17.648 ms
9 64.233.187.99 (64.233.187.99) 14.816 ms 14.913 ms 14.775 ms
host, nslookup и dig
Все три утилиты
-- host, nslookup и dig -- используются для опроса записей DNS; большинство их функций перекрываются. Вообще говоря, nslookup является улучшенной версией host
, а dig в свою очередь улучшенным nslookup
(хотя ни одна из трех не имеет полной совместимости сверху или снизу с другими). Все эти инструменты зависят от одних и тех же средств ядра, так что выдаваемые результаты должны быть всегда сходны (исключая случай различия детализации). Например, каждая из трех использовалась для опроса google.com:
Листинг 3. Использование host, nslookup и dig для опроса Google
$ host google.com google.com has address 64.233.187.99
google.com has address 64.233.167.99
google.com has address 72.14.207.99
$ nslookup google.com
Server: 207.218.192.39
Address: 207.218.192.39#53
Non-authoritative answer:
Name: google.com
Address: 64.233.167.99
Name: google.com
Address: 72.14.207.99
Name: google.com
Address: 64.233.187.99
$ dig google.com
; <<>> DiG 9.2.4 <<>> google.com
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 46137
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;google.com. IN A
;; ANSWER SECTION:
google.com. 295 IN A 64.233.167.99
google.com. 295 IN A 72.14.207.99
google.com. 295 IN A 64.233.187.99

;; Query time: 16 msec
;; SERVER: 207.218.192.39#53(207.218.192.39)
;; WHEN: Mon Apr 17 01:08:42 2006
;; MSG SIZE rcvd: 76
Файлы настройки сети
/etc/network/ и /etc/sysconfig/network-scripts/
Каталог /etc/network/ во многих дистрибутивах Linux содержит различные данные для текущей сети, особенно в файле /etc/network/interfaces. Различные утилиты, особенно ifup и ifdown
(или iwup и iwdown для беспроводных интерфейсов) в некоторых дистрибутивах находятся в /etc/sysconfig/network-scripts/ (но те же скрипты в вашем дистрибутиве могут находиться где-то в другом месте).
/var/log/syslog и /var/log/messages
Сообщения от ядра или средства syslogd записываются в файлы журналов /var/log/syslog и /var/log/messages.
Учебник для экзамена LPI 201 (тема 211): Обслуживание системы детально рассматривает журналирование системы. Обычно для проверки журналов
(log-файлов) используется утилита dmesg
/etc/resolv.conf
Учебник для экзамена LPI 202 (тема 207): Служба имен доменов (Domain Name System)
детально рассматривает /etc/resolv.conf. Вообще говоря, этот файл просто содержит необходимую для нахождения доменных имен серверов. Он может быть настроен вручную или посредством динамического метода типа RIP, DHCP или NIS.
/etc/hosts
Файл /etc/hosts обычно является тем, что система Linux просматривает в первую очередь при попытке распознать символьное имя хоста. Вы можете добавить в него записи или для пропуска поиска DNS (или иногда средств YP или NIS), или для задания имени хоста, которые не доступны через DNS, часто вследствии того, что они имеют прямые имена в локальной сети. Смотри пример в Листинге 4
Листинг 4. /etc/hosts, место для разрешения символьных имен хостов
$ cat /etc/hosts
# Set some local addresses
127.0.0.1 localhost
255.255.255.255 broadcasthost
192.168.2.1 artemis.gnosis.lan
192.168.2.2 bacchus.gnosis.lan
# Set undesirable site patterns to loopback
127.0.0.1 *.doubleclick.com
127.0.0.1 *.advertising.com
127.0.0.1 *.valueclick.com
/etc/hostname и /etc/HOSTNAME
Файл /etc/HOSTNAME (на некоторых системах не заглавными буквами) иногда используется для символьного имени локального хоста, известного в сети. Однако, использование этого файла в различных дистрибутивах различается; вообще говоря, /etc/hosts используется только
в новых дистрибутивах.
/etc/hosts.allow и /etc/hosts.deny
Учебник для экзамена LPI 201 (тема 209): Совместное использование файлов и сервисов и учебник для экзамена LPI 202 (тема 212): Безопасность системы рассматривают файлы
/etc/hosts.allow и /etc/hosts.deny детально. Эти конфигурационные файлы используются для позитивных и негативных списков контроля доступа различными сетевыми инструментами.
Читайте man-страницы этих конфигурационных файлов, чтобы получить больше информации о спецификациях шаблонов, диапазонов и специальных запретов.
Если после начальной настройки безопасности системы соединения нет, хотя кажется, что оно должно работать, стоит начать анализ с проверки содержимого этих файлов. Вообще, проверка элементов управления доступом при анализе причин проблем следует сразу за проверкой основных интерфейсов и информации о маршрутизации. То есть, если вы вообще не можете "достучаться" до некоторого хоста (или он не может обратиться к вам), то не имеет значения, имеет ли хост запрет на использование предоставляемого вами сервиса. Но причиной отдельных сбоев соединения и сервисов обслуживания часто могут быть элементы управления доступом.
Заключение
Используйте преимущества каждого ресурса
Вероятно лучшим ресурсом дополнительной информации по темам рассмотренным в данном учебнике является вся эта серия уроков. Практически все затронутые здесь темы были детально описаны в предыдущих учебниках.
Очень мало тех, кто создает руководства пошагового исправления не работающей сети в
Linux. Одним из них, и весьма приличным, является "
Simple Network Troubleshooting
[Простое исправление проблем в сети]
." Подобное быстрое руководство от Debian "
How To
Set Up A Linux Network [Как настроить сеть в Linux]
." Поскольку учебники появляются, исчезают и обновляются по различным схемам, по мере изменения дистрибутивов и команд, вы всегда можете использовать поиск в Интернет, чтобы найти ресурс доступный в настоящее время.
Ресурсы
Научиться

Оригинал статьи
LPI exam 202 prep, Topic 214: Network troubleshooting

Просмотрите все серии учебников к экзаменам LPI
на developerWorks для изучения основ Linux и подготовки к сертификации на системного администратора.

В программе LPIC
, вы можете найти списки заданий, примеры вопросов и детальные описания тем трех уровней сертификации системных администраторов Linux от
Профессионального Института Linux (Linux Professional Institute).

TCP/IP Network Administration, Third Edition [Администрирование сетей TCP/IP,


третье издание]
Крейга Ханта (Craig Hunt) (O'Reilly, Апрель 2002) является превосходным ресурсом по сетям в Linux.

Более специфичная информация содержится в разнообразных полезных документах проекта
Linux Documentation Project
, особенно в файлах HOWTO.

В
Linux-разделе developerWorks
, вы можете найти еще больше ресурсов для

Linux-разработчиков.

Будьте в курсе технических событий и Web-трансляций developerWorks
Получить продукты и технологии

Создайте свой следующий программный проект для Linux при помощи trial-программного обеспечения от IBM
, доступного для скачивания прямо с developerWorks.

Подготовка к экзамену LPI 301: Тема 302.
Установка и разработка
Профессионал Linux высокого уровня (LPIC-3)
Шон Волберг
, старший сетевой инженер, P.Eng
Описание: В этом руководстве Шон Уолберг поможет вам подготовиться к экзамену института Linux Professional Institute® на квалификацию профессионала Linux высокого уровня (LPIC-3). В этом руководстве, втором из серии из шести руководств, Шон расскажет об установке и настройке сервера LDAP (Lightweight Directory Access Protocol), а также о написании сценариев Perl для доступа к данным каталога. Прочитав руководство, вы узнаете о программировании, установке и настройке сервера LDAP.
Дата: 11.03.2008
Уровень сложности: средний
Предисловие
Узнайте, чему могут научить вас эти руководства и как получить от них больше пользы.
Об этой серии руководств
Институт
Linux Professional Institute
(LPI) сертифицирует системных администраторов Linux по трём уровням: младший уровень (также называемый "уровень сертификации 1"),
углубленный уровень (также называемый "уровень сертификации 2") и высший уровень (также называемый "уровень сертификации 3"). Для того чтобы получить сертификацию на уровне
1, нужно сдать экзамены 101 и 102. Для того чтобы получить сертификацию на уровне 2, нужно сдать экзамены 201 и 202. Для того чтобы получить сертификацию на уровне 3, у вас должна быть действующая сертификация на углубленном уровне и сдан экзамен 301
("основной"). Кроме того, на высоком уровне вы можете сдать дополнительные специализированные экзамены.
developerWorks предлагает руководства, которые помогут вам подготовиться к пяти экзаменам для младшего, углубленного и высокого уровня. В каждом экзамене охватывается несколько тем, и для каждой темы на developerWorks есть соответствующий учебник для самостоятельного изучения. В таблице 1 перечислены шесть тем и соответствующие им руководства developerWorks для экзамена LPI 301.
Таблица 1. Экзамен LPI 301: руководства и темы



Поделитесь с Вашими друзьями:
1   ...   33   34   35   36   37   38   39   40   ...   68


База данных защищена авторским правом ©nethash.ru 2019
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал