Linux mini-HOWTO

       

Безопасность


Одним из самых больших недостатков постоянного соединения с Интернетом при помощи ADSL или кабеля является то, что ваш компьютер открыт для потенциальных атак на систему защиты 24 часа в день, 7 дней в неделю. Использование Linux в качестве шлюза снижает этот риск, потому что он скрывает все ваши компьютеры - по мнению всех внешних компьютеров все соединения устанавливает ваш Linux. Это означает что ваша сеть защищена ровно настолько, насколько защищен ваш Linux, поэтому здесь я дам немного советов о том, как защитить Linux.

Во-первых, надо отключить доступ всем нехорошим парням. Чтобы сделать это, откройте файл /etc/hosts.deny и убедитесь что он выглядит примерно так:

# # hosts.deny Этот файл описывает имена хостов, которым # *запрещено* использовать локальные сервисы INET, вызываемые # при помощи '/usr/sbin/tcpd'. # # Строка portmap в настройке устарела, но она напоминает вам, # что новая защищенная версия portmap использует hosts.deny и hosts.allow. В частности, # вы должны знать, что NFS использует portmap! ALL: ALL

Здесь указано, чтобы "TCP-wrapper", контролирующий примерно 95% входящих соединений, отказывал во входе всем соединениям со всех машин. Достаточно полезное правило! Но в результате этого правила ваша внутренняя сеть также не сможет соединиться с Linux, что неправильно - поэтому мы внесем пару исключений. Откройте файл /etc/hosts.allow и напишите в нем следующее:

# # hosts.allow Этот файл описывает имена хостов, которым # *разрешено* использовать локальные сервисы INET, вызываемые # при помощи '/usr/sbin/tcpd'. # ALL: 127.0.0.1 ALL: 192.168.1.

Здесь указано, чтобы "TCP-wrapper" разрешал все виды соединений с локальной машины (127.0.0.1) и с внутренней сети (192.168.1.).

Теперь вы отгородились от внешних чудищ достаточно прочным заграждением с хорошим замком. Если вам еще нужна сигнализация, ров и вал, то все намного усложняется. Читайте "HOWTO: Защита" - это хороший первый шаг к большей защищенности вашего Linux-а.



Содержание раздела