Click here to load reader

Linux. Serwery. Bezpieczeństwo

  • View
    1.206

  • Download
    6

Embed Size (px)

DESCRIPTION

Kompendium wiedzy o ochronie serwerów linuksowych przed atakami z sieci * Projektowanie sieci granicznej* Korzystanie z mechanizmów szyfrowania transmisji* Zabezpieczanie usług udostępnianych przez serwer Pod kontrolą systemów operacyjnych z rodziny Linux działają setki serwerów internetowych. Możliwości Linuksa pozwalają na uruchomienie serwera WWW, FTP, poczty elektronicznej, DNS i baz danych. Aby jednak funkcje serwerowe działały bez zakłóceń, udostępniony w sieci serwer należy odpowiednio zabezpieczyć. Bezpieczeństwo serwerów, szczególnie w świetle rosnącej ilości włamań i kradzieży danych, jest niezwykle istotnym zagadnieniem. Linux wyposażony jest w narzędzia umożliwiające zabezpieczenie uruchomionych w nim usług i danych przechowywanych w sieci. Trzeba jednak wiedzieć, których narzędzi użyć i jak je skonfigurować. Książka "Linux. Serwery. Bezpieczeństwo" to podręcznik dla administratorów serwerów, którzy chcą podnieść poziom bezpieczeństwa swoich sieci. Zawiera dokładne opisy narzędzi niezbędnych do zabezpieczenia serwerów oraz praktyczne rady dotyczące ich stosowania. Przedstawia ogólne środki bezpieczeństwa: wykrywanie włamań i filtrowanie pakietów, oraz rozwiązania pozwalające na ochronę konkretnych usług. Czytając ją, dowiesz się, jak projektować strefy DMZ, korzystać z narzędzia iptables i szyfrować dane przesyłane do serwera. Nauczysz się także zabezpieczać serwery DNS, WWW i bazy danych oraz analizować dzienniki systemowe. * Motywy i cele ataków* Tworzenie sieci granicznych* Konfiguracja narzędzia iptables* Administrowanie zdalne za pomocą SSH* Zabezpieczanie usługi DNS* Wykorzystywanie LDAP do uwierzytelniania użytkowników* Zabezpieczanie bazy danych MySQL oraz poczty elektronicznej* Bezpieczeństwo serwerów WWW oraz treści witryn internetowych* Zabezpieczanie serwerów plików* Monitorowanie dzienników systemowych* Wykrywanie włamań Jeśli chcesz, aby administrowany przez Ciebie serwer stał się twierdzą, przeczytaj tę książkę.

Text of Linux. Serwery. Bezpieczeństwo

  • 1. IDZ DOPRZYKADOWY ROZDZIA SPIS TRECILinux. Serwery.BezpieczestwoKATALOG KSIEK Autor: Michael D. BauerTumaczenie: Marek Ptlicki (rozdz. 611), Grzegorz KATALOG ONLINE Werner (przedmowa, rozdz. 3, 5, 12, 13, dod. A),Sawomir Woniak (rozdz. 1, 2, 4)ZAMW DRUKOWANY KATALOG ISBN: 83-7361-988-7Tytu oryginau: Linux Server SecurityFormat: B5, stron: 520 TWJ KOSZYK Kompendium wiedzy o ochronie serwerw linuksowych przed atakami z sieci DODAJ DO KOSZYKA Projektowanie sieci granicznej Korzystanie z mechanizmw szyfrowania transmisji Zabezpieczanie usug udostpnianych przez serwerCENNIK I INFORMACJE Pod kontrol systemw operacyjnych z rodziny Linux dziaaj setki serwerwinternetowych. Moliwoci Linuksa pozwalaj na uruchomienie serwera WWW, FTP,ZAMW INFORMACJEO NOWOCIACHpoczty elektronicznej, DNS i baz danych. Aby jednak funkcje serwerowe dziaaybez zakce, udostpniony w sieci serwer naley odpowiednio zabezpieczy.Bezpieczestwo serwerw, szczeglnie w wietle rosncej iloci wama i kradzieyZAMW CENNIKdanych, jest niezwykle istotnym zagadnieniem. Linux wyposaony jest w narzdziaumoliwiajce zabezpieczenie uruchomionych w nim usug i danych przechowywanychCZYTELNIA w sieci. Trzeba jednak wiedzie, ktrych narzdzi uy i jak je skonfigurowa.Ksika Linux. Serwery. Bezpieczestwo to podrcznik dla administratorw serwerw, FRAGMENTY KSIEK ONLINE ktrzy chc podnie poziom bezpieczestwa swoich sieci. Zawiera dokadne opisynarzdzi niezbdnych do zabezpieczenia serwerw oraz praktyczne rady dotyczceich stosowania. Przedstawia oglne rodki bezpieczestwa: wykrywanie wamai filtrowanie pakietw, oraz rozwizania pozwalajce na ochron konkretnych usug.Czytajc j, dowiesz si, jak projektowa strefy DMZ, korzysta z narzdzia iptablesi szyfrowa dane przesyane do serwera. Nauczysz si take zabezpiecza serweryDNS, WWW i bazy danych oraz analizowa dzienniki systemowe. Motywy i cele atakw Tworzenie sieci granicznych Konfiguracja narzdzia iptables Administrowanie zdalne za pomoc SSH Zabezpieczanie usugi DNS Wydawnictwo Helion ul. Chopina 6 Wykorzystywanie LDAP do uwierzytelniania uytkownikw 44-100 Gliwice Zabezpieczanie bazy danych MySQL oraz poczty elektronicznej tel. (32)230-98-63 Bezpieczestwo serwerw WWW oraz treci witryn internetowych e-mail: [email protected] Zabezpieczanie serwerw plikw Monitorowanie dziennikw systemowych Wykrywanie wamaJeli chcesz, aby administrowany przez Ciebie serwer sta si twierdz, przeczytaj tksik.

2. Spis treci Przedmowa .................................................................................................................... 91. Modelowanie zagroe i zarzdzanie ryzykiem ........................................................17Skadniki ryzyka18Podstawowe narzdzia analizy ryzyka: ALE28Alternatywa: drzewo atakw32Moliwoci obrony 35Wnioski 36Zasoby362. Projektowanie sieci granicznej ................................................................................... 37Troch terminologii 38Rodzaje zapr sieciowych i architektur stref DMZ40Co powinno znale si w strefie zdemilitaryzowanej?45Alokowanie zasobw w strefie DMZ46Zapora sieciowa 473. Wzmacnianie Linuksa i korzystanie z iptables ...........................................................61Zasady wzmacniania systemu operacyjnego62Automatyczne wzmacnianie systemu za pomoc skryptw Bastille Linux1234. Bezpieczna administracja zdalna ..............................................................................129Powody, dla ktrych narzdzia opierajce si na otwartym tekcie powinnyodej w zapomnienie129Podstawowe informacje dotyczce Secure Shell130SSH na zaawansowanym i rednio zaawansowanym poziomie 1405. OpenSSL i Stunnel ......................................................................................................157Stunnel i OpenSSL: pojcia1576. Zabezpieczanie usugi DNS ........................................................................................179Podstawy mechanizmw DNS179 5 3. Podstawy bezpieczestwa DNS181Wybr pakietu oprogramowania DNS 183Zabezpieczanie serwera BIND184djbdns 203Zasoby 221 7. Zastosowanie LDAP do uwierzytelniania ................................................................ 225Podstawy systemu LDAP225Konfiguracja serwera 229Zarzdzanie baz LDAP238Wnioski243Zasoby 244 8. Bezpieczestwo baz danych ..................................................................................... 245Rodzaje problemw bezpieczestwa 246Lokalizacja serwera246Instalacja serwera 249Uytkowanie bazy danych254Zasoby 258 9. Zabezpieczanie poczty e-mail .................................................................................. 259Podstawy: bezpieczestwo serwerw SMTP 260Wykorzystanie polece SMTP do diagnostyki serwera263Zabezpieczenie serwera MTA 265Sendmail 265Postfix292Serwery MDA300Krtkie wprowadzenie do szyfrowania poczty elektronicznej314Zasoby 31710. Zabezpieczanie serwerw WWW .............................................................................319Bezpieczestwo sieci WWW 319Serwer WWW 321Tre serwisu WWW332Aplikacje WWW342Warstwy ochrony364Zasoby 36511. Zabezpieczanie usug plikowych .............................................................................. 367Bezpieczestwo usugi FTP367Inne metody wspdzielenia plikw396Zasoby 408 6|Spis treci 4. 12. Zarzdzanie dziennikami systemowymi i monitorowanie ich ...............................409syslog409Syslog-ng 419Testowanie rejestrowania systemowego za pomoc programu logger435Zarzdzanie plikami dziennika za pomoc programu logrotate437Zautomatyzowane monitorowanie dziennikw za pomoc programu Swatch440Kilka prostych narzdzi raportujcych 448Zasoby44813. Proste techniki wykrywania wama .......................................................................449Zasady systemw wykrywania wama 450Tripwire453Inne programy do kontroli integralnoci 467Snort 469Zasoby481 A Dwa kompletne skrypty startowe iptables ..............................................................483 Skorowidz .................................................................................................................. 493 Spis treci| 7 5. ROZDZIA 5.OpenSSL i StunnelTen rozdzia mieci si zarwno w sensie technologicznym, jak i dosownym midzy czci opisujc zakulisowe mechanizmy a powicon usugom; traktuje o pakiecie OpenSSL, ktry zapewnia usugi szyfrowania i uwierzytelniania wielu narzdziom omwionym w ni- niejszej ksice. OpenSSH, Apache, OpenLDAP, BIND, Postfix i Cyrus IMAP to tylko niekt- re spord aplikacji wykorzystujcych OpenSSL. OpenSSL jest jednak niezwykle skomplikowan technologi, a jej peny opis wymagaby od- dzielnego tomu (takiego jak Network Security with OpenSSL wydawnictwa OReilly). Dlatego w tym rozdziale pokaemy tylko, jak uywa OpenSSL w konkretnej sytuacji: do osadzania niezaszyfrowanych usug TCP w zaszyfrowanych tunelach SSL przy uyciu popularnego na- rzdzia Stunnel. Tak si skada, e konfigurowanie programu Stunnel wymaga, abymy uyli pakietu OpenSSL do kilku zada wsplnych dla wszystkich aplikacji zalenych od OpenSSL, ktre czsto wy- korzystuje si w serwerach bastionowych. Zatem, nawet jeli samo narzdzie Stunnel okae si niepotrzebne, warto przeczyta ten rozdzia, aby dowiedzie si, jak generowa certyfi- katy serwera, zarzdza wasnym urzdem certyfikacji itd. Stunnel i OpenSSL: pojcia Mwic najprociej, tunelowanie polega na osadzaniu pakietw jednego protokou w pakie- tach drugiego. W kontekcie bezpieczestwa termin ten zwykle okrela osadzanie pakietw niezabezpieczonego protokou w pakietach zaszyfrowanych1. W tym rozdziale pokaemy, jak uywa programu Stunnel nakadki na protok SSL do przekazywania rnych trans- akcji sieciowych przez tunele SSL. Wiele aplikacji sieciowych cechuje si prostot (pod wzgldem sposobu korzystania z zaso- bw sieciowych) i uytecznoci, ale nie ma mechanizmw bezpieczestwa takich jak szy- frowanie albo silne (czy choby odpowiednio realizowane) uwierzytelnianie. Do tej kategorii naleay usugi WWW, dopki firma Netscape Communications nie wynalaza w 1994 roku protokou Secure Sockets Layer (SSL).1 Znawcy sieci mogliby uzna takie uycie terminu tunelowanie za nieco nacigane. Zaszyfrowany strumie danych rni si od protokou sieciowego, a niektrzy twierdz, e tunelowanie dotyczy protokow, a nie rozrnienia midzy tekstem jawnym a zaszyfrowanym. Uwaam jednak, e termin mona stosowa w tym znaczeniu ze wzgldu na ostateczny rezultat, czyli to, e jeden typ transakcji zostaje osadzony w drugim. 157 6. SSL z powodzeniem doda przezroczyste, ale dobrze zaimplementowane funkcje bezpiecze- stwa, do protokou HTTP, nie utrudniajc pracy zwykym uytkownikom. Umoliwi te uwie- rzytelnianie klientw i serwerw za pomoc cyfrowych certyfikatw X.509 (cho funkcj uwie- rzytelniania klientw wykorzystuje si obecnie w niewielkim stopniu). Firma Netscape chciaa, eby SSL sta si standardem internetowym, wic opublikowaa wszystkie informacje niezbdne do napisania bezpatnych bibliotek SSL. Jedn z najpopularniejszych bya SSLeay Erica A. Yo- unga, ktrej bezporedni potomek OpenSSL jest nadal uywany i rozwijany. Naley zauway, e protok SSL cho wci powszechny jest w rzeczywistoci prze- starzay. Jego nastpc jest protok Transport Layer Security (TLS), ktry m.in. umoliwia ini- cjowanie zabezpieczonych (uwierzytelnionych i/lub zaszyfrowanych) pocze w ramach ist- niejcej sesji. Inaczej odbywa si to w protokole SSL, w ktrym uwierzytelnianie i szyfrowanie musz by inicjowane na pocztku sesji (wanie dlatego usugi SSL, takie jak HTTPS, zwy- czajowo uywaj innego portu ni ich odpowiedniki przesyane tekstem jawnym na przy- kad TCP 443 w przypadku HTTPS i TCP 80 w przypadku HTTP a aplikacje TLS mog uywa tego samego portu do wszystkich transakcji, bez wzgldu na to, czy ruch jest szy- frowany, czy nie). Protok SSL nie tylko mia oczywisty wpyw na bezpieczestwo sieci WWW, ale doprowa- dzi take do powstania programu Stunnel, jednego z najbardziej elastycznych i przydatnych narzdzi open source. Stunnel umoliwia szyfrowanie praktycznie wszystkich jednoporto- wych usug TCP przy uyciu SSL, bez adnych modyfikacji w samej usudze. Przez jedno- portow usug TCP r