В этой главе содержится перечень программного обеспечения необходимого для инсталляции серверов различного назначения и инструкции по использованию этой книги.

Пример использования Linux-серверов для организации корпоративной сети

У читателя может возникнуть вполне естественный вопрос о том, где конкретно могут использовать-
ся сервера с операционной системой Linux, и как они должны быть интегрированы с локальной сетью пред-
приятия и Интернет.
В рассматриваемом примере корпоративная сеть содержит:
• шлюз, предназначенный для организации доступа пользователей локальной сети к различным ре-
сурсам в Интернет и защиты локальной сети от несанкционированного доступа из вне;
• первичный и вторичный, имеющий независимое подключение к Интернет, DNS-сервера;
• два VPN-сервера, предназначенные для объединения в единую сеть локальных сетей удаленных
офисов с использованием сетей общего пользования (Интернет);
• сервер, предназначенный для организации службы электронной почты;
• сервер баз данных;
• FTP-сервер;
• Web-сервер;
• расположенный внутри локальной сети Samba-сервер, предназначенный для организации доступа к
общим сетевым ресурсам файлам и принтерам.
Внутри локальной сети также могут находиться дополнительные сервера, используемые для органи-
зации служб, функционирующих в пределах локальной сети.
Многие могут заметить, что использование десяти серверов для организации корпоративной сети яв-
ляется очень расточительным и практически не реализуемым по экономическим соображениям для боль-
шинства организаций. Скорее всего, это действительно так. Для небольшой компании, имеющей всего лишь
один офис, отпадает необходимость в использовании двух VPN-серверов, двух DNS-серверов (поддержка
DNS может быть предоставлена поставщиком услуги доступа в Интернет), четырех серверов, предназначен-
ных для организации службы электронной почты, сервера баз данных, FTP и Web-сервера. Для организации
интернет-представительства компании в этом случае могут использоваться услуги хостинговых компаний.
При этом затраты на оплату услуг хостинга, в зависимости от объема и качества предоставляемых услуг, со-
ставят от нескольких сотен до нескольких тысяч рублей в месяц, а в корпоративной сети будет только два
сервера – шлюз и Samba-сервер. Дальнейшее сокращение числа используемых серверов – за счет установки
программного обеспечения для шлюза и Samba на одном сервере – вряд ли целесообразно, т. к., в случае по-
лучения злоумышленником доступа к единственному серверу с соответствующими полномочиями, он полу-
чит доступ к информации, находящейся в домашних каталогах пользователей локальной сети и обслужи-
ваемых сервером Samba.
Совместная установка других служб на одном сервере также возможна и позволит существенно со-
кратить затраты на организацию корпоративной сети. Решение о совместной установке служб на одном сер-
вере должно приниматься путем установления разумного компромисса между требованиями по обеспече-
нию безопасности и затратами на приобретение и обслуживание оборудования, необходимого для организа-
ции корпоративной сети.
Хотелось бы отметить, что рассматриваемый пример носит иллюстративный характер, необходимый
для понимания дальнейшего материала. Более подробно с вопросами, касающимися организации корпора-
тивной сети, вы можете ознакомиться на соответствующих Web-ресурсах и в специальной литературе.

Какое программное обеспечение должно быть установлено на сервере

Любой из рассматриваемых в приведенном примере серверов может быть реализован с использова-
нием операционной системы Linux и соответствующего программного обеспечения. Примерный перечень
программного обеспечения, для каждого из рассматриваемых типов серверов, представлен в таблице 1.1. В
таблице обозначено:
Да – установка программного обеспечения обязательна.
Опц.- установка программного обеспечения возможна для реализации дополнительных возможно-
стей.
Да1 – на всех серверах, кроме серверов, предназначенных для организации службы DNS и шлюза, ре-
комендуется установка «облегченного варианта» демона named–lwresd, также входящего в комплект по-
ставки ISC BIND.
Да2 – установка почтового транспортного агента необходима на всех серверах. На серверах, не пред-
назначенных для приема входящих сообщений, возможно использование Sendmail, настроенного только для
отправки почтовых сообщений на центральный почтовый концентратор.
Да3 – необходимо установить только один из рассматриваемых в книге FTP-серверов.
Да4 – установка FTP-сервера необходима только, если протокол FTP используется при администриро-
вании сервера.

Куда обращаться за помощью и технической поддержкой

Вполне возможно, что при установке программного обеспечения вы не сможете в точности реализо-
вать инструкции, описанные в этой книге из-за ошибок, которые могут возникнуть на любой стадии инстал-
ляции и настройки программного обеспечения. Это может быть обусловлено тем, что приведенные инст-
рукции протестированы только для рассматриваемой в книге версии дистрибутива ядра, соответствующего
ему патча Grsecurity и программного обеспечения. В случае возникновения подобной ситуации авторы на-
стоятельно рекомендуют изучить документацию на компоненты инсталлируемого программного обеспече-
ния, отличные от рассматриваемых в книге, особенности используемого дистрибутива (версию ядра, компи-
лятора библиотек, структуры каталогов и т. п.) и разработать собственные инструкции по инсталляции, на-
стройке и тестированию программного обеспечения. Большую помощь для не владеющих английским
языком читателей в этом случае могут оказать русскоязычные ресурсы, например,
http://www.opennet.ru, http://www.linuxdoc.ru, http://www.linux.org.ru,
http://www.linux.ru, http://www.linuxportal.ru и другие ресурсы, которые могут быть най-
дены с помощью поисковых систем.
В случае неудачного применения на практике самостоятельно разработанной инструкции после под-
робного изучения документации можно обратиться за получением помощи разработчиков устанавливаемого
программного обеспечения через соответствующие списки рассылки. Обращению к разработчикам должно
предшествовать подробное изучение правил, установленных для списков рассылки.
В некоторых случаях очень полезные советы можно получить на различных форумах, посвященных
обсуждению Linux и соответствующего программного обеспечения. Перед составлением сообщения нужно
ознакомится с правилами, регламентирующими общение пользователей данного форума, и общими реко-
мендациями по получению консультаций по технической поддержке, содержащихся в документе, разрабо-
танном Эриком Раймондом (Eric Raymond) и Риком Мойном (Rick Moen) «Как правильно задавать вопросы»
(http://ln.com.ua/~openxs/articles/smart-questions-ru.html).

В этой главе рассматривается первоначальная инсталляция операционной системы ASPLinux-7.3 на
серверной системе, т. е. создание «сервера-заготовки”, который путем установки и настройки соответст-
вующих параметров и служб может быть трансформирован в безопасный и оптимизированный сервер про-
извольного назначения.

Что нужно знать об аппаратных средствах вашего сервера

Залогом успешной установки операционной системы ASPLinux является хорошее знание аппаратных
средств компьютера, на котором осуществляется установка. В процессе установки потребуется следующая
информация:
• тип процессора;
• количество жестких дисков;
• объем жестких дисков;
• тип жестких дисков (например, IDE ATA/133 или SCSI);
• объем оперативной памяти (например, 256 МБ);
• имеется ли SCSI адаптер? Если да, то - производитель и модель;
• имеется ли RAID массив? Если да, то - производитель и модель;
• тип мыши (например, PS/2 Microsoft, Logitech), количество кнопок;
• параметры настройки сети (IP-адрес, маска сети, IP-адрес шлюза, IP-адреса серверов DNS, имя до-
мена, имя компьютера);
• типы сетевых карт (производитель, модель и название чипсета).

Взаимодействие с другими операционными системами

ASPLinux может мирно сосуществовать на одном компьютере (и даже на одном физическом диске) с
другими ОС — Windows 9х/МЕ, Windows NT/2000/ХР, Linux других дистрибутивов, FreeBSD, OpenBSD,
QNX - и использоваться совместно с ними. Это достигается с помощью мультисистемных загрузчиков
(LILO, GRUB, ASPLoader, Acronis OS Selector), обеспечивающих загрузку требуемой ОС. Подробное описа-
ние их можно встретить в документации на эти программные продукты и ASPLinux. Вариант установки не-
скольких операционных систем на одном компьютере является очень удобным и привлекательным для ра-
бочей станции разработчика-исследователя, но не для серверных систем, к которым предъявляются жесткие
требования по уровню безопасности. Если на компьютере совместно с ASPLinux установлена популярная
операционная система MS Windows-98/МЕ, доступ к которой с помощью кнопки <Отмена> на форме ввода
логина и пароля может получить кто угодно, общедоступными становятся и критические, с точки зрения
обеспечения безопасности системы, файлы ASPLinux, например, с помощью программы ext2viewer. По-
этому в дальнейшем будем предполагать, что ОС ASPLinux-7.3 является единственной ОС, установленной
на сервере.

Первичная установка ASPLinux

Наиболее простым способом установки ASPLinux является установка с дистрибутивных компакт-
дисков. При этом первоначальная загрузка операционной системы осуществляется с первого из них.
Шаг 1
Итак, вставьте первый инсталляционный диск в привод CD-ROM, перегрузите компьютер, установите
в BIOS загрузку с CD-ROM и дождитесь появления формы, предлагающей выбрать язык установки. Выбе-
рите язык “Russian”, форма отобразится на русском языке, после чего нажмите кнопку <Далее>. Если форма
не появилась, перегрузите систему и во время запуска программы инсталляции нажмите клавишу . На
экране появится форма выбора видеорежима установки, с помощью которой выберите видеорежим, под-
держиваемый вашей графической подсистемой.
Шаг 2
После нажатия кнопки <Далее>на экране отобразится форма выбора мыши. Выберете тип мыши и
нажмите кнопку <Далее>. На экране появится форма выбора типа установки.
Шаг 3
Выберите выборочную установку и нажмите кнопку <Далее>. На экране отобразится форма выбора
типа носителя, с которого будет осуществляться установка. Вы можете выбрать установку с “CDROM/
образ CD-ROM на жестком диске” или “Установку сетевого ресурса (для опытных пользователей)”.
Проигнорировав устрашающее предупреждение – “только для опытных пользователей” можно выбрать ус-
тановку с сетевого ресурса. Это имеет смысл при инсталляции ASPLinux на большом числе компьютеров. В
этом случае следует разместить rpm-пакеты, входящие в состав дистрибутива, в некотором каталоге на Web-
или FTP-сервере локальной сети и указать его программе инсталляции. Вариант установки с сетевого ресур-
са может быть использован для установки на компьютерах без привода CD-ROM. В этом случае первона-
чальная загрузка осуществляется с загрузочной дискеты, процесс создания которой описан в документации
по ASPLinux. Выбрав тип носителя, нажмите кнопку <Далее>. На экране отобразится форма выбора метода
назначения дискового пространства.
Шаг 4
Выберите “Дополнительно». После этого на экране отобразится форма интерфейса
“ASPDiskmanager”, с помощью которого можно осуществить разбиение жесткого диска. Данная процедура
позволяет создавать на жестком диске изолированные логические разделы, которые ведут себя как отдель-
ные диски. Создание дисковых разделов, пожалуй, наиболее критичный момент инсталляции любой Linux-
системы.
Создание нескольких логических разделов дает следующие преимущества:
• защита против атак отказа в обслуживании (DОS);
• защита против программ SUID;
• ускоренная загрузка;
• простота в процессе резервирования и обновлений;
• возможность установки индивидуальных опций монтирования каждой файловой системы;
• возможность избежать неограниченного роста каждой из файловых систем;
• увеличение производительности некоторых программ.
В качестве примера рассмотрим разбиение жесткого диска объемом 20 ГБайт на компьютере с памя-
тью 256 MБайт.
/boot 10 MБайт Здесь хранятся образы ядер и другие файлы, необходимые для загрузки систе-
мы.
512 MБайт Раздел виртуальной памяти для увеличения скорости обмена между виртуаль-
ной и оперативной памятью. Рекомендуется размещать непосредственно за раз-
делом /boot в начальной области диска.
/ 512 МБайт Корневой раздел.
/usr 1024 МБайт В этом разделе устанавливаются пользовательские программы.
/home 12800 МБайт В этом разделе находятся пользовательские каталоги.
/var 512 МБайт В этом разделе находятся файлы регистрации (системных журналов).
/tmp 329 МБайт В этом разделе находятся временные файлы.
/chroot 512 МБайт В этом разделе устанавливаются программы, работающие в окружении chroot-jail.
(Web-сервер, DNS-сервер и т. п.)
/var/lib 2000 МБайт В этом разделе размещаются базы данных.
Предложенный вариант разбиения жесткого диска не является обязательным и единственно возмож-
ным, а служит только примером. Вам самостоятельно следует определить размеры каждого из разделов дис-
ка, исходя из прогнозируемого объема соответствующих файлов. При этом следует учесть, что:
• в разделе /var/lib находятся файлы баз данных. Если вы предполагаете использовать этот раздел
для базы данных прокси-сервера Squid, то предлагаемый размер раздела 2000 Мбайт является достаточным.
Если на сервере предполагается установка других баз данных, то размер раздела может быть, соответствен-
но, увеличен или уменьшен;
• раздел /chroot может использоваться для инсталляции DNS-сервера, Web-сервера Apache и других
программ, выполнение которых желательно в защищенной среде chroot;
• размещение /tmp и /home на отдельных разделах может быть полезно, если пользователи имеют
доступ к командному интерпретатору (защита против программ SUID). Это разбиение также препятствует
пользователям переполнять другие файловые системы;
• раздел отводится под виртуальную память системы, используемую для размещения команд
и данных, если запущенные приложения, например, в период пиковых нагрузок требуют больше оператив-
ной памяти, чем доступно на компьютере. Для несильно загруженных серверов с небольшим объемом опе-
ративной памяти рекомендуется устанавливать размер раздела в два раза больше объема оператив-
ной памяти.
Взгляните на пример разбиения диска файл-сервера на «старом добром 486-м компьютере» с диском
640 МБайт и оперативной памятью 32 МБайт:
/boot – 10 MБайт
– 64 MБайт
/ – 40 МБайт
/usr – 200 МБайт
/home – 266 МБайт
/var – 35 МБайт
/tmp – 35 МБайт
Компиляция программ при таком объеме жесткого диска невозможна, поэтому следует устанавливать
rpm-пакеты или компилировать программы на другой системе.
RAID-массивы, то есть средства объединения нескольких физических или логических дисков, служат,
с одной стороны, для ускорения дисковых операций, с другой – для повышения сохранности данных. В Linux
поддерживаются программные RAID-массивы трех уровней:
• 0 – объединение двух (и более) разделов в один, что дает повышение производительности при дис-
ковых операциях за счет распараллеливания чтения/записи;
• 1 – дублирование содержания одного раздела другим (т.н. зеркалирование – mirroring), обеспечи-
вающее повышение надежности хранения данных за счет 100-процентной избыточности;
• 5 – независимое использование нескольких разделов, по которым распределяются данные и их кон-
трольные суммы. При этом в случае отказа какого-либо из разделов его содержание можно восстановить.
Одновременно, за счет распараллеливания операций чтения/записи на разные разделы, достигается некото-
рый выигрыш в производительности.
Обычно это осуществляется с помощью аппаратных RAID-контроллеров. Однако Linux, и ASPLinux-7.3 в
частности, поддерживают программные средства создания RAID-массивов, а “ASPDiskmanager” предостав-
ляет простой способ их организации.
Разделы для организации программных RAID-массивов имеют собственный тип файловой системы
(autodetect raid). Очевидно, что для массивов уровней 0 и 1 их число должно быть четным (не менее двух), и
объем массива в первом случае будет равен их сумме, во втором – объему меньшего из них. Для массива
уровня 5 требуется не менее трех разделов, его объем равен произведению минимального раздела на их чис-
ло минус объем минимального раздела.
Теоретически разделы для RAID-массива могут создаваться как на разных физических дисках, так и
на одном. Однако ясно, что в последнем случае надежность хранения резко снижается (по сравнению с пер-
вым случаем), а производительность уменьшается, вне зависимости от уровня массива.
Установка на RAID-массив в ASPLinux возможна только при выборочном способе установки и мето-
де назначения дискового пространства “Дополнительно”. В этом случае загружается панель ASPDiskManager,
имеющая, как уже говорилось, кнопку . Кнопка эта не активизирована: Для ее активации сле-
дует создать минимум два раздела с файловой системой raid autodetect.
Следует отметить, что понятие файловой системы raid autodetect имеет несколько другой смысл, чем
понятие обычных файловых систем. Последние могут быть созданы в дальнейшем внутри нее. Не рекомен-
дуется размещать на RAID-массиве корневую файловую систему и раздел /boot. И потому перед создани-
ем разделов для RAID следует предварительно создать минимум два раздела необходимого объема с файло-
вой системой с точкой монтирования / и /boot.
Конфигурирование RAID-массива осуществляется нажатием кнопки , активизируемой после
создания второго из RAID-разделов. Нажатие ее приводит к появлению формы “RAID”. В верхнем правом
ее углу расположены небольшие кнопки для создания RAID-устройства (слева) и его удаления (справа). На-
жатие первой позволяет выбрать имя RAID-устройства (имеющего вид md0, md1 и т. д.) из появившегося
списка. После создания устройства в списке разделов ниже следует пометить те из них, которые будут
включены в его состав (например, hda5 и hda6). Далее в выпадающих списках назначаются:
• уровень RAID (0, 1 или 5);
• тип раздела (Ext2, Reiser или Swap);
• точка его монтирования (/usr, /home и т. д.).
Если в состав устройства включено менее двух разделов (вида hda#), попытка продолжения приведет
к выдаче сообщения об ошибке и возврату в панель “RAID”. То же произойдет и при включении двух разде-
лов, и выборе RAID уровня 5.
Можно создать (при достаточном количестве разделов) несколько устройств RAID разных уровней, с
разными файловыми системами и точками монтирования. Например, при наличии двух физических дисков
целесообразно создать устройство md0 уровня 0 для подкачки (Swap), что повысит эффективность свопинга,
и устройство md1 уровня 1 с файловой системой Ext2fs и точкой монтирования /home для повышения со-
хранности пользовательских данных. Кроме того, можно дополнительно создавать RAID-устройства для от-
дельных разделов /usr или /usr/local.
По завершении конфигурирования RAID-массива установка ASPLinux продолжается обычным обра-
зом. И после ее окончания пользователь видит единый раздел, соответствующий каждому из созданных
RAID-устройств, которые присутствуют в каталоге /dev в виде /dev/md0, /dev/md1 и т. д.
После окончания разбиения диска нажмите кнопку <Далее> на форме ASPDiskManager. На экране
отобразится форма для выбора устанавливаемых пакетов.
Шаг 5
Выбору пакетов, то есть базовых компонентов, утилит и приложений, следует уделить особое внима-
ние. Linux – мощная операционная система, которая устанавливает много служб по умолчанию. Многие из
них не нужны и содержат потенциальный риск для безопасности. Минимально необходимый набор пакетов
авторы предлагают выбрать следующим образом.
Выберите установку “Сервер”, включите флажок “Выборочно”, нажмите кнопку <Далее> и дождитесь
появления формы выбора отдельных пакетов. Удалите все наборы пакетов, кроме базового, и нажмите
кнопку <Далее>. Альтернативным вариантом выбора пакетов может быть нажатие кнопки <Загрузить спи-
сок> на форме выбора пакетов для установки, при этом список пакетов должен находиться на дискете,
вставленной в дисковод. В результате выполнения этих операций будут выбраны следующие пакеты:
anacron-2.3-17 MAKEDEV-3.3-4.1asp
apmd-3.0.2-10 man-1.5j-6.asp
aspldr-2.0-4 man-pages-1.50-1.asp
asplinux-logos-1.1.3-4asp man-pages-ru-asp-1.2-2asp
asplinux-release-7.3-1.asp mingetty-1.00-1
at-3.1.8-23 mkbootdisk-1.4.3-1.asp
authconfig-4.2.8-4.asp mkinitrd-3.3.10-5.asp
basesystem-7.0-2.asp mktemp-1.5-14
bash-2.05a-13.asp modutils-2.4.16-1.asp
bclsecurity-0.4-1.asp mount-2.11n-12.7.3asp
bdflush-1.5-17 mouseconfig-4.25-1
bzip2-1.0.2-2 mt-st-0.7-3
bzip2-libs-1.0.2-2 ncurses-5.2-26
chkconfig-1.3.5-3 netconfig-0.8.11-7.0.asp
console-tools-19990829-40.2asp net-tools-1.60-4
cpio-2.4.2-26, newt-0.50.35-1
cracklib-2.7-15 ntsysv-1.3.5-3
cracklib-dicts-2.7-15 openldap-2.0.23-4
crontabs-1.10-1 openssl-0.9.6b-24asp
cyrus-sasl-1.5.24-25 pam_passwdqc-0.5-1.asp
cyrus-sasl-md5-1.5.24-25 pam-0.75-32.2asp
cyrus-sasl-plain-1.5.24-25 passwd-0.67-1
db1-1.85-8 pchains-1.3.10-13
db2-2.4.14-10 pciutils-2.1.9-2
db3-3.3.11-6 pcre-3.9-2
dev-3.3-4.1asp popt-1.6.4-7x.18.2asp
dhcpcd-1.3.22pl1-7 procmail-3.22-5
diffutils-2.7.2-5 procps-2.0.7-12
dosfstools-2.8-1 psmisc-20.2-3.73
e2fsprogs-1.27-3 pump-0.8.11-7.0.asp
eject-2.0.12-4 pwdb-0.61.2-2
ed-0.2-25 pyiconv-0.1.2-1.asp
file-3.37-5 python-1.5.2-38.3asp
filesystem-2.1.6-2 quota-3.03-1
fileutils-4.1-10.asp raidtools-1.00.2-1.3
findutils-4.1.7-4.asp readline-4.2a-4
gawk-3.1.0-4.1.asp reiserfs-utils-3.x.0j-3
gdbm-1.8.0-14 rootfiles-7.2-1
glib-1.2.10-5 rpm-4.0.4-7x.18.2asp
glib2-2.0.1-2 rpm-python-4.0.4-7x.18.2asp
glibc-2.2.5-37asp sed-3.02-11.asp
glibc-common-2.2.5-37asp sendmail-8.11.6-15.asp
gmp-4.0.1-3 setserial-2.17-5
gpm-1.19.6-2.asp setup-2.5.12-1
grep-2.5.1-1 setuptool-1.8-2
groff-1.17.2-12 sh-0.3.7-2
grub-0.91-4.1.asp shadow-utils-20000902-7.asp
gzip-1.3.3-1.asp sh-utils-2.0.11-14.asp
hdparm-5.1-1.asp slang-1.4.5-2
hesiod-3.0.2-18 slocate-2.6-1
hotplug-2002_04_01-3 specspo-7.3-1asp
hwdata-0.14-1.asp sxid-4.0.1-1.asp
indexhtml-7.2-1.asp sysklogd-1.4.1-8
info-4.1-1 syslinux-1.52-2
initscripts-6.67-3asp SysVinit-2.84-2
iproute-2.4.7-3.asp tar-1.13.25-4
iptables-1.2.6a-1.asp tcsh-6.10-6
iputils-20020529-1.asp termcap-11.0.1-10
kbdconfig-1.9.15-2 textutils-2.0.21-1
kernel-2.4.18-5asp time-1.7-16
krb5-libs-1.2.4-1.asp timeconfig-3.2.7-1.asp
ksymoops-2.4.4-1 tmpwatch-2.8.3-1
kudzu-0.99.52-1.4asp usbutils-0.9-5
less-358-24 usermode-1.53-2.asp
libacl-2.0.9-1.asp utempter-0.5.2-6
libattr-2.0.7-1.asp util-linux-2.11n-12.7.3asp
libstdc++-2.96-112asp vconfig-1.5-2.asp
libtermcap-2.0.8-28 vim-common-6.1-2.asp
libuser-0.50.2-1 vim-minimal-6.1-2.asp
lilo-21.7.3-2.asp, vixie-cron-3.0.1-64
logcheck-1.1.1-7.asp which-2.13-3
logrotate-3.6.4-1 words-2-18
lokkit-0.50-8 xfsprogs-2.0.3-1.asp
losetup-2.11n-12.7.3asp yum-0.9.1a-1.7.3asp
mailcap-2.1.9-2 yum-headers-7.3-1asp
mailx-8.1.1-22 zlib-1.1.3-25.7
После выбора (тем или иным способом) перечня устанавливаемых пакетов нажмите кнопку <Далее>.
Если установка пакетов осуществлялся путем выбора базового набора и удаления всех остальных пакетов –
на экране отобразится форма, предлагающая установить ряд пакетов для удовлетворения зависимостей. Раз-
решите установить все пакеты.
Шаг 6
На экране появится форма, где указаны: количество выбранных для установки пакетов, их суммарный
объем, группа приложений, опции разбиения диска, источник установки пакетов, метод установки, тип мы-
ши - то есть все параметры, определенные на предшествующих этапах. Если выбранные параметры соответ-
ствуют приведенным выше рекомендациям, нажмите кнопку <Установить>. В противном случае вы можете
вернуться назад (кнопка <Назад>) и изменить параметры установки. По окончании установки появится
форма с сообщением, что все пакеты нормально установлены. Если появятся сообщения, что некоторые па-
кеты установлены с ошибками, следует выяснить причину неправильной установки (плохой инсталляцион-
ный компакт диск, привод CD-ROM, неразрешенные зависимости и т. п.) и провести установку заново.
ЗАМЕЧАНИЕ В программе установки ASPLinux доступна вторая – текстовая – виртуальная консоль.
Переключиться в нее можно нажатием комбинации Alt+Ctrl+F2. В ней загружена командная оболочка bash
(правда, с несколько ограниченными возможностями). Наличие этой консоли может оказаться полезным при
восстановлении системы, когда загрузочная дискета отсутствует, и единственной возможностью загрузить
систему является загрузка с первого инсталляционного диска. Можно выполнять разнообразные действия в
командной строке (например, для восстановления системы при сбоях). Обратное переключение в графиче-
скую консоль программы установки осуществляется комбинацией клавиш Alt+F7.
Шаг 7
По завершении копирования пакетов наступает следующий этап - выбор начального загрузчика, то
есть программы, управляющей запуском операционных систем. Инсталляционная программа предлагает че-
тыре варианта:
• ASPLoader (по умолчанию);
• LILO;
• GRUB;
• не устанавливать загрузчик.
Вам следует выбрать установку загрузчика GRUB или LILO в MBR (главную загрузочную запись) и
нажать кнопку <Далее>.
Шаг 8
Настройка сети осуществляется в два этапа. На первом выбираются сетевые карты. Широко распро-
страненные модели сетевых карт будут, с большой степенью вероятности, определены автоматически. Если
имеющиеся у вас карты не определены программой установки, выберите драйвер сетевой карты из раскры-
вающегося списка, и укажите необходимые параметры (IO порт и IRQ) и нажмите кнопку <Добавить>. Эти
операции должны быть выполнены для всех сетевых карт. По окончании выбора сетевых карт нажмите
кнопку <Далее>.
На втором этапе осуществляется, собственно, настройка сети. Для каждой из сетевых карт, выбран-
ных на предыдущем этапе, включите опцию «Активизировать при загрузке» и заполните следующие поля:
“IP-адрес”, “Маска сети”, “Адрес подсети”, “ШВ адрес”, “Имя хоста”, “Шлюз”, “Первичный DNS”, “Вторич-
ный DNS”. Эти сведения можно получить у администратора вашей локальной сети (если вы таковым не яв-
ляетесь). По окончании установки параметров нажмите кнопку <Далее>.
Шаг 9
Локализация системы осуществляется путем:
• выбора модели клавиатуры (например, PC 105-key для стандартных ныне клавиатур с Windows-
клавишами);
• определения языка, страны и набора символов (K0I8-R);
• указания необходимых раскладок клавиатуры (English и Russian, например);
• назначения переключателя с латиницы на кириллицу (+).
• По окончании выбора параметров локализации нажмите кнопку <Далее>.
Шаг 10
Установите (проверьте) дату и время. Эти параметры, как правило, определяются автоматически на
основании показаний системных часов. Если последние установлены на время по Гринвичу (GMT), выклю-
чите опцию “Часы CMOS установлены в местное время”. По окончании установки нажмите кнопку <Да-
лее>.
Шаг 11
Установите пароль суперпользователя root и нажмите кнопку <Далее>. После этого должно появиться со-
общение об успешном завершении установки системы ASPLinux и предложение перезагрузить компьютер.
Если в процессе инсталляции создавалась загрузочная дискета, ее следует удалить из дисковода. Инсталля-
ционный компакт диск извлекается из привода автоматически. На этом первичную установку ASPLinux
можно считать законченной.

Как использовать команды rpm

Этот раздел содержит краткий обзор использования команды rpm для установки, удаления, обновле-
ния и получения информации о rpm-пакетах, установленных в вашей системе. Вы должны ознакомиться с
основными приемами использования команды rpm, потому что в дальнейшем она будет часто использо-
ваться. Например, в этой главе – при удалении лишних и инсталляции дополнительных пакетов.
ЗАМЕЧАНИЕ Информация об особенностях использования любой команды в Linux может быть полу-
чена с помощью соответствующей страницы руководства (man-страницы). Например, для команды rpm -
man rpm. В ASPLinux многие man-страницы переведены на русский язык.
Установка пакета rpm:
Для установки rpm-пакета, используйте команду:
[root@drwalbr tmp]# rpm -ihv mc-4.5.55-5.1asp.i386.rpm
Подготовка… #######################################
[100%]
1:mc #######################################
[100%]
Обратите внимание, что в команде используется имя файла, в котором находится пакет с именем mc-
4.5.55-5.1asp.i386.rpm. Опция i предписывает установить пакет, опция h- отображать в текстовом
режиме с помощью последовательности символов. “#” - степень завершения установки пакета.
Для удаления rpm-пакета, используйте команду:
[root@drwalbr tmp]# rpm -e mc
Обратите внимание, что в команде используется только название пакета mc. Опция e предписывает
удалить пакет.
Для обновления rpm-пакета (удаления старой версии и установки новой), используйте команду:
[root@drwalbr tmp]# rpm -Uhv mc-4.5.55-5.1asp.i386.rpm
Подготовка… #######################################
[100%]
1:mc #######################################
[100%]
При установке rpm-пакета с помощью команды rpm пред началом установки проверяется, не будет ли
устанавливаемый пакет конфликтовать с другими пакетами и настройками системы. Использование опции
force позволяет обойти это ограничение.
[root@drwalbr tmp]# rpm -Uhv –force mc-4.5.55-5.1asp.i386.rpm
Подготовка… #######################################
[100%]
1:mc #######################################
[100%]
По умолчанию, команда rpm проверяет, установлены ли rpm-пакеты, необходимые для установки
данного пакета. Если некоторые из них отсутствуют, rpm сообщит об этом. Это сделано специально, чтобы
избежать проблем и убедиться, что устанавливаемое программное обеспечение будет правильно работать. В
некоторых случаях бывает необходимо преодолеть это ограничение, что достигается применением опции
nodeps. Можно не заботиться о зависимости и использовать опцию для пропуска ее проверки при установ-
ке программ:
[root@drwalbr tmp]# rpm -Uhv –nodeps mc-4.5.55-5.1asp.i386.rpm
Подготовка… #######################################
[100%]
1:mc #######################################
[100%]
Для определения версии пакета используйте опцию q:
[root@drwalbr tmp]# rpm -q mc
mc-4.5.55-5.1asp
Для отображения подробной информации об установленном rpm-пакете (названия, версии и краткого
описания установленной программы) используйте опции i и q:
[root@drwalbr tmp]# rpm -qi mc
Name : mc Relocations: (not relocateable)
Version : 4.5.55 Vendor: ASPLinux
Release : 5.1asp Build Date: Срд 17 Июл 2002
19:37:19
Install date: Чтв 26 Дек 2002 16:19:10 Build Host: arena.asplinux.ru
Group : Системное окружение/Оболочки Source RPM: mc-4.5.55-
5.1asp.src.rpm
Size : 3822241 License: GPL
Packager : ASPLinux Team URL : http://www.gnome.org/mc/
Summary : Файловый менеджер и визуальная оболочка с дружественным ин-
терфейсом.
Description :
Midnight Commander - это визуальная оболочка и файловый менеджер
со многими дополнительными возможностями. Это приложение
для текстового режима с поддержкой мыши (при запущенном GPM).
Основные возможности Midnight Commander - это поддержка FTP,
просмотр файлов формата TAR, архивов файлов, файлов RPM
Для получения списка файлов, входящих в rpm-пакет, наберите:
[root@drwalbr tmp]# rpm -ql mc
/etc/profile.d/mc.csh
/etc/profile.d/mc.sh
/usr/bin/mc
…
/usr/share/man/man1/mc.1.gz
/usr/share/man/man1/mcedit.1.gz
Для определения принадлежности некоторого файла к пакету используйте опции q и f:
[root@drwalbr tmp]# rpm -qf /usr/bin/mc
mc-4.5.55-5.1asp
Для проверки подлинности и целостности пакета перед его установкой используйте команды:
[root@drwalbr tmp]# rpm –checksig mc-4.5.55-5.1asp.i386.rpm
и
[root@drwalbr /]# rpm –checksig –nogpg mc-4.5.55-5.1asp.i386.rpm

Запуск и установка служб

Вам придется неоднократно запускать и останавливать различные службы в процессе настройки и ус-
тановки сервера. Программа init отвечает за запуск служб, которые должны работать после загрузки сис-
темы. Каждая из служб имеет собственный файл сценария, находящийся в каталоге /etc/init.d, автома-
тически запускающий, останавливающий, перезапускающий службу при передаче ему таких параметров,
как start, stop и restart. Следующие команды иллюстрируют процесс управления службой на при-
мере Web-сервера.
Для остановки службы httpd наберите:
[root@drwalbr /]# /etc/init.d/httpd stop
Останавливается httpd: [OK]
Для запуска службы httpd:
[root@drwalbr /]# /etc/init.d/httpd start
Запускается httpd: [OK]
Для перезапуска службы httpd:
[root@drwalbr /]# /etc/init.d/httpd restart
Останавливается httpd: [OK]
Запускается httpd: [OK]

Программы, файлы и каталоги, которые должны быть удалены после первичной установки

Некоторые программы после окончания первичной установки, в целях улучшения безопасности,
должны быть удалены вручную. Ниже описан процесс удаления и приведены краткие пояснения необходи-
мости выполнения этих шагов.
Пакет anacron
Пакет anacron является аналогом планировщика команд cron, который адаптирован для работы на
непрерывно функционирующих системах. В серверной системе, которая должна работать 24 часа в сутки,
нет необходимости в его присутствии. Для удаления пакета выполните:
[root@drwalbr /]# /etc/init.d/anacron stop
[root@drwalbr /]# rpm -e anacron
[root@drwalbr /]# rm -rf /var/spool/anacron/
Пакет apmd
Пакет apmd, содержащий утилиты Advanced Power Management Daemon, используется на портатив-
ных компьютерах для отслеживания состояния батарей. Для удаления пакета выполните:
[root@drwalbr /]# /etc/init.d/apmd stop
[root@drwalbr /]# rpm -e apmd
Пакет at
Пакет at содержит утилиты, позволяющие исключать службы из автозапуска. Работает не очень на-
дежно. Для удаления пакета выполните:
[root@drwalbr /]# /etc/init.d/atd stop
[root@drwalbr /]# rpm -e at
Пакет dhcpcd
Пакет dhcpcd содержит протокол, который позволяет системе получать информацию о собственной
сетевой конфигурации от DHCP-сервера. Если вы собираетесь использовать DHCP в вашей сети, рекомен-
дуем установить DHCP-клиента, включенного в пакет pump. Для удаления пакета выполните:
[root@drwalbr /]# rpm -e dhcpcd
Пакет eject
Пакет eject содержит программу, которая позволяет пользователю извлекать сменные носители
(такие, как CD-ROM, гибкие диски, lomega Jaz или Zip-диски). Как правило, эта программа нужна только
при осуществлении копирования файлов на ленту. Для удаления пакета наберите:
[root@drwalbr /]# rpm -e eject
Пакет hotplug
Пакет hotplug содержит приложение для загрузки модулей USB-устройств. Такие устройства на
сервере не используются. Для удаления пакета выполните:
[root@drwalbr /]# rpm -e hotplug
Пакет lokkit
Пакет lokkit содержит приложение для конфигурации системы сетевой защиты, ориентированной
на рабочую станцию для среднего пользователя (удаленный доступа к сети и модемное соединение), и не
предназначен для конфигурирования системы сетевой защиты сервера. Для настройки сетевой защиты авто-
ры рекомендуют использовать GIPTables. Для удаления пакета выполните:
[root@drwalbr /]# rpm -e lokkit
Пакет ipchains
Пакет ipchains содержит утилиту, используемую с ядром Linux версии 2.2 для управления воз-
можностями фильтрации пакетов. Существует новый и более мощный инструмент, известный как IPTables.
Именно его мы будем использовать позже для установки системы сетевой защиты на сервере. Для
удаления пакета выполните:
[root@drwalbr /]# rpm -e ipchains
Пакет ksymoops
Пакет ksymoops содержит приложения, сообщающие об ошибках ядра. Этот пакет полезен для раз-
работчиков, которые занимаются отладкой ядра, или для пользователей, которые хотят использовать сооб-
щения об ошибках ядра. Тот же самый результат может быть достигнут с помощью команды dmesg. Для
удаления пакета выполните:
[root@drwalbr /]# rpm -e ksymoops
Пакет kudzu
Пакет kudzu содержит средства автоматической диагностики и конфигурирования устройств при за-
грузке системы. На сервере, где конфигурация устройств практически постоянна, в наличии данного пакета
нет никакой необходимости. Удалите его:
[root@drwalbr /]# rpm -e kudzu
Пакет mailcap
Пакет mailcap используется программой Metamail для определения того, как должны быть вос-
произведены мультимедийные файлы. Для удаления пакета выполните:
[root@drwalbr /]# rpm -e mailcap
Пакет pciutils
Пакет pciutils содержит различные утилиты для того, чтобы сканировать и устанавливать PCI-
устройства. Удалите пакет:
[root@drwalbr /]# rpm -e pciutils
Пакет raidtools
Пакет raidtools включает средства, которые необходимы для установки и поддержки программ-
ного обеспечения RAID-устройств. Этот пакет следует оставить только в случае, если предполагается ис-
пользовать RAID. Для удаления пакета выполните:
[root@drwalbr /]# rpm -e raidtools
Пакет asplinux-logos
Пакет asplinux-logos содержит графические файлы (иконки, рисунки, эмблемы) ASPLinux. Для
удаления пакета выполните:
[root@drwalbr /]# rpm -e asplinux-logos
Пакет asplinux-release
Пакет asplinux-release содержит файлы c версией дистрибутива ASPLinux. При удалении паке-
та необходимо создать файлы /etc/asplinux-release и /etc/redhat-release, куда следует запи-
сать произвольную строку, которая будет впоследствии отображаться при загрузке системы:
[root@drwalbr /]# rpm -e –nodeps asplinux-release
[root@drwalbr /]# echo You string > /etc/asplinux-release
[root@drwalbr /]# cp /etc/asplinux-release /etc/redhat-release
Пакет setserial
Пакет setserial содержит системные утилиты для отображения и управления последовательным
портом. Для удаления пакета выполните:
[root@drwalbr /]# rpm -e setserial
Пакет hdparm
Пакет hdparm содержит утилиту для оптимизации настроек жестких дисков c IDE-контроллерами.
Если у вас SCSI жесткие диски, этот пакет следует удалить. Выполните:
[root@drwalbr /]# rpm -e hdparm
Пакет mkinitrd
Пакет mkinitrd необходим на системах с жесткими дисками SCSI или RAID. Если у вас установле-
ны жесткие диски с IDE-контроллером, этот пакет следует удалить. Для удаления пакета выполните:
[root@drwalbr /]# rpm -e –nodeps mkinitrd
Пакеты kbdconfig, mouseconfig, timeconfig, netconfig, authconfig, ntsysv и
setuptool
Данные пакеты предназначены для установки языка и типа клавиатуры, типа мыши, заданного по
умолчанию часового пояса, устройств Ethernet, NIS и паролей, многочисленные символьные ссылки в ката-
логе /etc/rс.d и утилиту, которая позволяет в режиме текстового меню изменять эти настройки. Если ко-
гда-нибудь потребуется изменить данные настройки, достаточно будет просто установить эти пакеты. Для
удаления пакетов выполните:
[root@drwalbr /]# rpm -e kbdconfig mouseconfig timeconfig netconfig authconfig
ntsysv setuptool
Пакет newt
Пакет newt содержит библиотеку для текстовых интерфейсов, в том числе и для только что удален-
ных конфигурационных утилит. Для удаления пакета выполните:
[root@drwalbr /]# rpm -e newt
Пакет lilo
Пакет lilo содержит загрузчик системы – LILO. Если вы собираетесь его использовать, то не нужно уда-
лять этот пакет. Авторы рекомендуют использовать GRUB. В этом случае можно удалить данный пакет:
[root@drwalbr /]# rpm -e lilo
Пакет asplrd
Пакет asplrd содержит загрузчик системы ASPLoader. Если вы собираетесь использовать именно
его, то не удаляйте этот пакет. В противном случае удалите данный пакет:
[root@drwalbr /]# rpm -e aspldr
[root@drwalbr /]# rm -f /etc/aspldr.conf
Пакет reiserfs-utils
Пакет reiserfs-utils содержит множество утилит для администрирования (создания, проверки,
изменения и восстановления) файловой системы Reiserfs. В нашем варианте установки используются фай-
ловые системы Ext2 или Ext3, поэтому можно удалить пакет:
[root@drwalbr /]# rpm -e reiserfs-utils
Пакет quota
Пакет quota содержит средства для контроля и ограничения использования файловой системы дис-
ка различными пользователями и группами. Эта программа должна быть установлена только на серверах,
где в этом есть необходимость. В остальных случаях можно удалить пакет:
[root@drwalbr /]# rpm -e quota
Пакет indexhtml
Пакет indexhtml содержит HTML-код и графику для начальной страницы, показываемую браузе-
ром при использовании графического интерфейса инсталляции. Эти HTML-страницы содержат информа-
цию о программном обеспечении ASPLinux. На самом деле, нет никакой надобности в этом пакете при ин-
сталляции сервера и особенно в случае, когда графический интерфейс пользователя не доступен. Поэтому
можно спокойно удалить этот пакет из системы. Для удаления пакета выполните:
[root@drwalbr /]# rpm -e indexhtml
Пакет usbutils
Пакет usbutils содержит средства взаимодействия ОС с USB-устройствами, которые на сервере не
используются. Для удаления пакета выполните:
[root@drwalbr /]# rpm -e usbutils
Пакет hwdata
Пакет hwdata содержит данные о конфигурации USB-устройств, используемые, в основном,
XFree86. Для удаления пакета выполните:
[root@drwalbr /]# rpm -e hwdata
Пакет hesiod
Пакет hesiod – еще один пакет, который можно удалить после завершения конфигурации сервера.
Программа использует существующие функциональные возможности DNS для обеспечения доступа к базам
данных с редко изменяемой информацией. Для удаления пакета выполните:
[root@drwalbr /]# rpm -e hesiod
Пакет mt-st
Пакет mt-st содержит средства управления накопителями на магнитной ленте. Для удаления пакета
выполните:
[root@drwalbr /]# rpm -e mt-st
Пакеты man-pages и man-pages-ru-asp
Данные пакеты содержат страницы руководства (man-страницы). Их место – на рабочей станции ад-
министратора сервера. Для удаления пакетов выполните:
[root@drwalbr /]# rpm -e man-pages
[root@drwalbr /]# rpm -e man-pages-ru-asp
Пакет sendmail
Даже если вы не хотите использовать вашу систему в качестве почтового сервера, почтовый транс-
портный агент (Mail Transport Agent) необходим для доставки сообщений, посылаемых пользователю root
различными службами. Авторы не рекомендуют использовать sendmail из соображений безопасности. Вы
должны удалить данный пакет и обратиться к той части книги, где описана установка и конфигурация аль-
тернативного программного обеспечения – Exim или Qmail. Для удаления пакета выполните:
[root@drwalbr /]# /etc/init.d/sendmail stop
[root@drwalbr /]# rpm -e sendmail
Пакет procmail
Пакет procmail содержит программу обработки почты, используемую sendmail. Для удаления
пакета выполните:
[root@drwalbr /]# rpm -e procmail
Пакет openldap
Пакет openldap предназначен для обращения к базам данных, содержащих информацию об адресах,
телефонах для пользователей сети и сервисов. Эта полезная программа устраивает не всех пользователей.
Для удаления пакета выполните:
[root@drwalbr /]# rpm -e –nodeps openldap
Пакеты cyrus-sasl, cyrus-sasl-md5, cyrus-sasl-plain
Данные пакеты содержат дополнительные средства идентификации для программы Cyrus, которая
является электронной программой передачи сообщений, подобно Sendmail. Cyrus SASL в данном дистрибу-
тиве используется совместно с Sendmail. Для удаления пакета выполните:
[root@drwalbr /]# rpm -e –nodeps cyrus-sasl
Пакет openssl
Пакет openssl содержит средства шифрования, которые, как предполагают его разработчики, га-
рантируют и обеспечивают сохранность и конфиденциальность информации, передаваемой по сетям общего
пользования. Эта часть программного обеспечения - одна из самых важных, с точки зрения обеспечения
безопасности системы, и обязательно должна быть установлена. К сожалению, тот пакет, который идет в
дистрибутиве ASPLinux – устаревшей версии. Поэтому сейчас его следует удалить. К нему мы обратимся в
главах, связанных с установкой программ безопасности. Для удаления пакета выполните:
[root@drwalbr /]# rpm -e –nodeps openssl
[root@drwalbr /]# rm -rf /usr/share/ssl/
Пакеты ash, tcsh
Пакеты ash, tcsh содержат командные интерпретаторы, не используемые нами. Для удаления па-
кета выполните:
[root@drwalbr /]# rpm -e ash
[root@drwalbr /]# rpm -e tcsh
Пакет specspo
Пакет specspo содержит объектные каталоги для интернационализации ASPLinux. Не думаем, что
этот пакет действительно необходим. Для удаления пакета выполните:
[root@drwalbr /]# rpm -e specspo
Пакет krb5-lib
Пакет krb5-lib содержит динамические библиотеки, необходимые программе Kerberos 5. Посколь-
ку данная программа у нас не используется, можно удалить этот пакет. Для удаления пакета выполните:
[root@drwalbr /]# rpm -e krb5-libs
[root@drwalbr /]# rm -rf /usr/kerberos/
Удаление ненужных файлов документации.
По умолчанию большинство пакетов rpm, устанавливаемых под Linux, идет с документацией по соот-
ветствующим программам. Эта документация содержит первоначальные файлы из архива программ tar, по-
добно readme, faq, bug, install, news, projects и другим. Многие из них могут быть легко най-
дены на том Web-узле, откуда программа была загружена. Нет особого смысла сохранять их на системе. Ко-
нечно, емкости жестких дисков значительно возросли, но зачем оставлять документацию на сервере с
высоким уровнем безопасности, к которой почти не будут обращаться? Тем не менее, взгляните на эти фай-
лы еще раз и решите, оставить их или удалить. Для удаления файлов документации выполните:
[root@drwalbr /]# cd /usr/share/doc/
[root@drwalbr doc]# rm -rf *
Удаление ненужных (пустых) файлов и каталогов.
Существуют некоторые файлы и каталоги, которые можно безболезненно удалить. Некоторые их них
– ошибки сценария инсталляции ASPLinux, другие созданы по умолчанию. Для их удаления выполните:
[root@drwalbr /]# rm -f /etc/exports
[root@drwalbr /]# rm -f /etc/printcap
[root@drwalbr /]# rm -f /etc/hosts.allow
[root@drwalbr /]# rm -f /etc/hosts.deny
[root@drwalbr /]# rm -f /etc/csh.login
[root@drwalbr /]# rm -f /etc/csh.cshrc
[root@drwalbr /]# rm -f /etc/fstab.REVOKE
[root@drwalbr /]# rm -f /etc/pam_smbd.conf
[root@drwalbr /]# rm -rf /etc/xinetd.d/
[root@drwalbr /]# rm -rf /etc/opt/
[root@drwalbr /]# rm -rf /var/nis/
[root@drwalbr /]# rm -rf /var/yp/
[root@drwalbr /]# rm -rf /var/lib/games/
[root@drwalbr /]# rm -rf /var/spool/lpd/
[root@drwalbr /]# rm -rf /usr/lib/games/
[root@drwalbr /]# rm -rf /usr/local/
[root@drwalbr /]# rm -rf /usr/dict/
[root@drwalbr /]# rm -rf /usr/X11R6/
[root@drwalbr /]# rm -f /usr/lib/X11
ЗАМЕЧАНИЕ Если в будущем возникнет необходимость в установке программы, которой потребуются
некоторые из удаленных файлов или каталогов, то программа сама их создаст в процессе инсталляции.
Указанные выше операции могут быть легко осуществлены с помощью скрипта deinstall, приве-
денного ниже:
#!/bin/sh
########################################################
#######Скрипт для деинсталляции ненужных пакетов и######
####### и удаления файлов и каталогов ######
########################################################
#Удаляем anacron
#/etc/init.d/anacron stop
#rpm -e anacron
#rm -rf /var/spool/anacron/
#Удаляем apmd
#/etc/init.d/apmd stop
#rpm -e apmd
#Удаляем at
#/etc/init.d/atd stop
#rpm -e at
#Удаляем gpm
#/etc/init.d/gpm stop
#rpm -e gpm
#Удаляем другие пакеты
#rpm -e dhcpcd eject hotplug lokkit ipchains ksymoops kudzu mailcap \
#pciutils raidtools asplinux-logos
#rpm -e –-nodeps asplinux-release
#echo You string /etc/asplinux-release
#cp /etc/asplinux-release /etc/redhat-release
#Удаление hdparm только для SCSI систем
#rpm -e hdparm
#Удаление
#rpm -e mkinitrd
#Удаляем пакеты конфигурирования X-сервера
#rpm -e kbdconfig mouseconfig timeconfig netconfig \
#authconfig ntsysv setuptool
#Удаляем newt
#rpm -e newt
#Удаляем LILO если используем GRUB
#rpm -e lilo
#Удаляем asplrd
#rpm -e aspldr
#rm –f /etc/asplrd.conf
#Удаляем reiserfs-utils
#rpm -e reiserfs-utils
#Удаляем quota#
#rpm -e quota
#Удаляем
#rpm -e indexhtml usbutils hwdata hesiod
#Удаляем man-страницы
#rpm -e man-pages
#rpm -e man-pages-ru-asp
#Удаляем sendmail
#/etc/init.d/sendmail stop
#rpm -e sendmail
#Удаляем procmail
#rpm -e procmail
#Удаляем openldap
#rpm -e –nodeps openldap
#Удаляем cyrus-sasl
#rpm -e –nodeps cyrus-sasl cyrus-sasl-md5 cyrus-sasl-plain
#Удаляем openssl
#rpm -e –nodeps openssl
#rm -rf /usr/share/ssl/
#Удаляем ash и tcsh
#rpm -e ash tcsh
#Удаляем specspo
#rpm -e specspo
#Удаляем krb5-libs
#rpm -e krb5-libs
#rm -rf /usr/kerberos/
#Удаляем yum
#rpm -e yum
#Удаляем ненужные файлы и каталоги
#rm -f /etc/exports
#rm -f /etc/printcap
#rm -f /etc/hosts.allow
#rm -f /etc/hosts.deny
#rm -f /etc/csh.login
#rm -f /etc/csh.cshrc
#rm -f /etc/fstab.REVOKE
#rm -f /etc/pam_smbd.conf
#rm -rf /etc/xinetd.d/
#rm -rf /etc/opt/
#rm -rf /var/nis/
#rm -rf /var/yp/
#rm -rf /var/lib/games/
#rm -rf /var/spool/lpd/
#rm -rf /usr/lib/games/
#rm -rf /usr/local/
#rm -rf /usr/dict/
#rm -rf /usr/X11R6/
#rm -f /usr/lib/X11
Удалите комментарии из строк, ответственных за удаление пакетов, каталогов, файлов, ненужных в
требуемой конфигурации, и запустите скрипт.

Дополнительно устанавливаемые пакеты

Если планируется компилировать программное обеспечение на сервере, необходимо установить ряд
дополнительных пакетов – пакеты, содержащие языки программирования, используемые ими библиотеки,
пакеты, разрешающие зависимости, и файловый менеджер mc (аналог популярного файлового менеджера
для DOS Norton Commander). В противном случае – т. е. если вы не собираетесь заниматься компиляцией
программ на сервере, устанавливаете и обновляете программное обеспечение, используя только rpm-пакеты,
например, используя рабочую станцию для разработки, компиляции и создания собственных rpm-пакетов c
последующей их установкой на сервере – не следует выполнять приведенные ниже рекомендации по уста-
новке дополнительных пакетов.
Установка дополнительных пакетов осуществляется следующим образом.
Шаг 1
Скопируйте первый, второй и третий диски в некоторый каталог, например, /home/distrib/. Для
этого сначала создайте его:
[root@drwalbr /]# mkdir /home/distrib
Вставьте первый инсталляционный диск в привод CD-ROM. Выполните команды:
[root@drwalbr /]# mount /mnt/cdrom
[root@drwalbr /]# cp /mnt/cdrom/ASPLinux/RPMS/* /home/distrib
[root@drwalbr /]# umount /mnt/cdrom
Вставьте второй инсталляционный диск в привод CD-ROM. Выполните команды:
[root@drwalbr /]# mount /mnt/cdrom
[root@drwalbr /]# cp /mnt/cdrom/ASPLinux/RPMS/* /home/distrib
[root@drwalbr /]# umount /mnt/cdrom
Вставьте третий инсталляционный диск в привод CD-ROM. Выполните команды:
[root@drwalbr /]# mount /mnt/cdrom
[root@drwalbr /]# cp /mnt/cdrom/ASPLinux/RPMS/* /home/distrib
[root@drwalbr /]# umount /mnt/cdrom
Шаг 2
Установите необходимые пакеты:
[root@drwalbr /]# cd /home/distrib
[root@drwalbr distrib]# rpm -ihv binutils-2.11.93.0.2-11.i386.rpm
[root@drwalbr distrib]# rpm -ihv cpp-2.96-112asp.i386.rpm
[root@drwalbr distrib]# rpm -ihv freetype-2.0.9-2.i386.rpm
[root@drwalbr distrib]# rpm -ihv m4-1.4.1-7.i386.rpm
[root@drwalbr distrib]# rpm -ihv make-3.79.1-8.i386.rpm
[root@drwalbr distrib]# rpm -ihv patch-2.5.4-12.i386.rpm
[root@drwalbr distrib]# rpm -ihv perl-5.6.1-34.99.6.i386.rpm
[root@drwalbr distrib]# rpm -ihv libjpeg-6b-19.i386.rpm
[root@drwalbr distrib]# rpm -ihv libpng-1.0.12-2.i386.rpm
[root@drwalbr distrib]# rpm -ihv gd-1.8.4-4.asp.i386.rpm
[root@drwalbr distrib]# rpm -ihv libtool-libs-1.4.2-7.i386.rpm
[root@drwalbr distrib]# rpm -ihv pspell-0.12.2-8asp.i386.rpm
[root@drwalbr distrib]# rpm -ihv mc-4.5.55-5.1asp.i386.rpm
[root@drwalbr distrib]# rpm -ihv bison-1.35-1.i386.rpm
[root@drwalbr distrib]# rpm -ihv byacc-1.9-19.i386.rpm
[root@drwalbr distrib]# rpm -ihv cproto-4.6-9.i386.rpm
[root@drwalbr distrib]# rpm -ihv cdecl-2.5-22.i386.rpm
[root@drwalbr distrib]# rpm -ihv ctags-5.2.2-2.i386.rpm
[root@drwalbr distrib]# rpm -ihv flex-2.5.4a-23.i386.rpm
[root@drwalbr distrib]# rpm -ihv glibc-kernheaders-2.4-7.14.asp.i386.rpm
[root@drwalbr distrib]# rpm -ihv glibc-devel-2.2.5-37asp.i386.rpm
[root@drwalbr distrib]# rpm -ihv gcc-2.96-112asp.i386.rpm
[root@drwalbr distrib]# rpm -ihv libstdc++-devel-2.96-112asp.i386.rpm
[root@drwalbr distrib]# rpm -ihv gcc-c++-2.96-112asp.i386.rpm
[root@drwalbr distrib]# rpm -ihv db3-devel-3.3.11-6.i386.rpm
[root@drwalbr distrib]# rpm -ihv freetype-devel-2.0.9-2.i386.rpm
[root@drwalbr distrib]# rpm -ihv gdbm-devel-1.8.0-14.i386.rpm
[root@drwalbr distrib]# rpm -ihv gd-devel-1.8.4-4.asp.i386.rpm
[root@drwalbr distrib]# rpm -ihv libjpeg-devel-6b-19.i386.rpm
[root@drwalbr distrib]# rpm -ihv zlib-devel-1.1.3-25.7.i386.rpm
[root@drwalbr distrib]# rpm -ihv libpng-devel-1.0.12-2.i386.rpm
[root@drwalbr distrib]# rpm -ihv ncurses-devel-5.2-26.i386.rpm
[root@drwalbr distrib]# rpm -ihv pam-devel-0.75-32.2asp.i386.rpm
[root@drwalbr distrib]# rpm -ihv pspell-devel-0.12.2-8asp.i386.rpm
Указанные выше операции могут быть легко осуществлены с помощью сценария:
#!/bin/sh
########################################################
#######Скрипт для установки дополнительных пакетов ######
########################################################
rpm -ihv binutils-2.11.93.0.2-11.i386.rpm\
cpp-2.96-112asp.i386.rpm \
freetype-2.0.9-2.i386.rpm \
m4-1.4.1-7.i386.rpm \
make-3.79.1-8.i386.rpm \
patch-2.5.4-12.i386.rpm \
perl-5.6.1-34.99.6.i386.rpm \
libjpeg-6b-19.i386.rpm \
libpng-1.0.12-2.i386.rpm \
gd-1.8.4-4.asp.i386.rpm \
libtool-libs-1.4.2-7.i386.rpm \
pspell-0.12.2-8asp.i386.rpm \
mc-4.5.55-5.1asp.i386.rpm \
bison-1.35-1.i386.rpm \
byacc-1.9-19.i386.rpm \
cproto-4.6-9.i386.rpm \
cdecl-2.5-22.i386.rpm \
ctags-5.2.2-2.i386.rpm \
flex-2.5.4a-23.i386.rpm \
glibc-kernheaders-2.4-7.14.asp.i386.rpm \
glibc-devel-2.2.5-37asp.i386.rpm \
gcc-2.96-112asp.i386.rpm \
libstdc++-devel-2.96-112asp.i386.rpm \
gcc-c++-2.96-112asp.i386.rpm \
db3-devel-3.3.11-6.i386.rpm \
freetype-devel-2.0.9-2.i386.rpm \
gdbm-devel-1.8.0-14.i386.rpm \
gd-devel-1.8.4-4.asp.i386.rpm \
libjpeg-devel-6b-19.i386.rpm \
zlib-devel-1.1.3-25.7.i386.rpm \
libpng-devel-1.0.12-2.i386.rpm \
ncurses-devel-5.2-26.i386.rpm \
pam-devel-0.75-32.2asp.i386.rpm \
pspell-devel-0.12.2-8asp.i386.rpm \
Если размеры жесткого диска не позволяют скопировать три первых диска дистрибутива, можно ог-
раничиться только копированием требуемых пакетов.
На первом диске находятся:
cpp-2.96-112asp.i386.rpm
freetype-2.0.9-2.i386.rpm
gd-1.8.4-4.asp.i386.rpm
libjpeg-6b-19.i386.rpm
libpng-1.0.12-2.i386.rpm
libtool-libs-1.4.2-7.i386.rpm
m4-1.4.1-7.i386.rpm
make-3.79.1-8.i386.rpm
mc-4.5.55-5.1asp.i386.rpm
patch-2.5.4-12.i386.rpm
perl-5.6.1-34.99.6.i386.rpm
pspell-0.12.2-8asp.i386.rpm
На втором диске находятся:
bison-1.35-1.i386.rpm
byacc-1.9-19.i386.rpm
cproto-4.6-9.i386.rpm
cdecl-2.5-22.i386.rpm
ctags-5.2.2-2.i386.rpm
flex-2.5.4a-23.i386.rpm
gcc-2.96-112asp.i386.rpm
gcc-c++-2.96-112asp.i386.rpm
glibc-devel-2.2.5-37asp.i386.rpm
glibc-kernheaders-2.4-7.14.asp.i386.rpm
На третьем диске находятся:
db3-devel-3.3.11-6.i386.rpm
freetype-devel-2.0.9-2.i386.rpm
gdbm-devel-1.8.0-14.i386.rpm
gd-devel-1.8.4-4.asp.i386.rpm
gd-devel-1.8.4-4.asp.i386.rpm
libjpeg-devel-6b-19.i386.rpm
libpng-devel-1.0.12-2.i386.rpm
libstdc++-devel-2.96-112asp.i386.rpm
ncurses-devel-5.2-26.i386.rpm
pam-devel-0.75-32.2asp.i386.rpm
pspell-devel-0.12.2-8asp.i386.rpm
zlib-devel-1.1.3-25.7.i386.rpm
Для копирования дополнительных пакетов в раздел /home/distrib/ вставьте первый инсталля-
ционный диск в привод CD-ROM. Выполните команды:
[root@drwalbr /]# mount /mnt/cdrom
[root@drwalbr /]# сd /mnt/cdrom/ASPLinux/RPMS
[root@drwalbr RPMS]# cp cpp-2.96-112asp.i386.rpm /home/distrib/
[root@drwalbr RPMS]# cp freetype-2.0.9-2.i386.rpm /home/distrib/
[root@drwalbr RPMS]# cp m4-1.4.1-7.i386.rpm /home/distrib/
[root@drwalbr RPMS]# cp make-3.79.1-8.i386.rpm /home/distrib/
[root@drwalbr RPMS]# cp patch-2.5.4-12.i386.rpm /home/distrib/
[root@drwalbr RPMS]# cp perl-5.6.1-34.99.6.i386.rpm /home/distrib/
[root@drwalbr RPMS]# cp gd-1.8.4-4.asp.i386.rpm /home/distrib/
[root@drwalbr RPMS]# cp libjpeg-6b-19.i386.rpm /home/distrib/
[root@drwalbr RPMS]# cp libpng-1.0.12-2.i386.rpm /home/distrib/
[root@drwalbr RPMS]# cp libtool-libs-1.4.2-7.i386.rpm /home/distrib/
[root@drwalbr RPMS]# cp pspell-0.12.2-8asp.i386.rpm /home/distrib/
[root@drwalbr RPMS]# cp mc-4.5.55-5.1asp.i386.rpm /home/distrib/
[root@drwalbr RPMS]# cd /
[root@drwalbr /]# umount /mnt/cdrom/
Вставьте второй инсталляционный диск в привод CD-ROM. Выполните команды:
[root@drwalbr /]# mount /mnt/cdrom/
[root@drwalbr /]# сd /mnt/cdrom/ASPLinux/RPMS
[root@drwalbr RPMS]# cp bison-1.35-1.i386.rpm /home/distrib/
[root@drwalbr RPMS]# cp byacc-1.9-19.i386.rpm /home/distrib/
[root@drwalbr RPMS]# cp cproto-4.6-9.i386.rpm /home/distrib/
[root@drwalbr RPMS]# cp cdecl-2.5-22.i386.rpm /home/distrib/
[root@drwalbr RPMS]# cp ctags-5.2.2-2.i386.rpm /home/distrib/
[root@drwalbr RPMS]# cp flex-2.5.4a-23.i386.rpm /home/distrib/
[root@drwalbr RPMS]# cp gcc-2.96-112asp.i386.rpm /home/distrib/
[root@drwalbr RPMS]# cp gcc-c++-2.96-112asp.i386.rpm /home/distrib/
[root@drwalbr RPMS]# cp glibc-kernheaders-2.4-7.14.asp.i386.rpm
/home/distrib/
[root@drwalbr RPMS]# cp glibc-devel-2.2.5-37asp.i386.rpm /home/distrib/
[root@drwalbr RPMS]# cd /
[root@drwalbr /]# umount /mnt/cdrom
Вставьте третий инсталляционный диск в привод CD-ROM. Выполните команды:
[root@drwalbr /]# mount /mnt/cdrom
[root@drwalbr /]# cd /mnt/cdrom/ASPLinux/RPMS
[root@drwalbr RPMS]# cp db3-devel-3.3.11-6.i386.rpm /home/distrib/
[root@drwalbr RPMS]# cp freetype-devel-2.0.9-2.i386.rpm /home/distrib/
[root@drwalbr RPMS]# cp gdbm-devel-1.8.0-14.i386.rpm /home/distrib/
[root@drwalbr RPMS]# cp gd-devel-1.8.4-4.asp.i386.rpm /home/distrib/
[root@drwalbr RPMS]# cp libjpeg-devel-6b-19.i386.rpm /home/distrib/
[root@drwalbr RPMS]# cp libpng-devel-1.0.12-2.i386.rpm /home/distrib/
[root@drwalbr RPMS]# cp libstdc++-devel-2.96-112asp.i386.rpm
/home/distrib/
[root@drwalbr RPMS]# cp ncurses-devel-5.2-26.i386.rpm /home/distrib/
[root@drwalbr RPMS]# cp pam-devel-0.75-32.2asp.i386.rpm /home/distrib/
[root@drwalbr RPMS]# cp pspell-devel-0.12.2-8asp.i386.rpm /home/distrib/
[root@drwalbr RPMS]# cp zlib-devel-1.1.3-25.7.i386.rpm /home/distrib/
[root@drwalbr RPMS]# cp gd-devel-1.8.4-4.asp.i386.rpm /home/distrib/
[root@drwalbr RPMS]# cd /
[root@drwalbr /]# umount /mnt/cdrom
Для установки пакетов выполните команды:
[root@drwalbr /]# cd /home/distrib/
[root@drwalbr distrib]# rpm –ihv *.rpm
ЗАМЕЧАНИЕ Выше описан процесс установки только самых необходимых пакетов для компиляции
программ. Некоторое программное обеспечение может потребовать установить дополнительные пакеты как
для компиляции, так и для своей работы. Обычно это отражено в документации.
Шаг 3
После окончания инсталляции, компиляции и настройки всех программ на сервере необходимо уда-
лить все дополнительно установленные пакеты, т. к. они занимают место на диске и негативно влияют на
безопасность системы. Например, если взломщик программной защиты получит доступ к вашему серверу,
он не сможет компилировать, не установив соответствующие пакеты, и, следовательно, установить свои ва-
рианты исполняемых файлов.

Дополнительные модули аутентификации (РАМ – Pluggable Authentication Modules) включают дина-
мические библиотеки, которые дают администраторам возможность выбора методов подтверждения под-
линности пользователей.
PАМ разрешает применение различных опознавательных схем. Это достигается использованием биб-
лиотеки функций, которую используют приложения для идентификации пользователей. SSH, POP, IMAP и
т. д. – приложения, использующие спецификацию PAM. Для них может быть изменен метод ввода пароля,
например, не с консоли, а с голоса или по отпечаткам пальцев, путем изменения РАМ-модулей без необхо-
димости перезаписи самих кодов приложений.
Конфигурационные файлы модулей PAM расположены в каталоге /etc/pam.d, а сами модули (ди-
намические библиотеки) расположены в каталоге /lib/security. Каталог /etc/pam.d содержит фай-
лы, названные в соответствии с использующими их приложениями, например, SSH, POP, IMAP и т. д., ука-
зывающие на заданный по умолчанию конфигурационный файл other.
В этой главе будут рассмотрены некоторые настройки PAM, улучшающие безопасность системы.

Допустимая минимальная длина пароля

Длина пароля при использовании настройки PAM управляется пятью параметрами: minlen,
dcredit, ucredit, lcredit и ocredit.
Параметр minlen=N определяет допустимое минимальное количество символов в новом пароле.
Допустимое минимальное количество символов в пароле уменьшается на величину, равную значению
параметров:
• dcredit - используемой в пароле цифры;
• ucredit - для каждого используемого в пароле символа в верхнем регистре;
• lcredit - для каждого используемого в пароле символа в нижнем регистре;
• ocredit - для каждого используемого в пароле специального символа.
Значения параметров dcredit, ucredit, lcredit и ocredit равны единице.
Для задания приемлемого минимального количества символов длины пароля, например, равного 12, в
файле /etc/pam.d/system-auth раскомментируйте строку:
#password required /lib/security/pam_cracklib.so retry=3
и добавьте параметр minlen=12:
password required /lib/security/pam_cracklib.so retry=3 minlen=12
Теперь попробуем установить пароль из девяти символов – Wsvhl_Faz. Пароль благополучно уста-
новится. Что и следовало ожидать. Максимально допустимая длина пароля (12 символов) уменьшилась на 3
из-за одного специального символа “_” и двух букв в верхнем регистре “W” и “F”.

Таблица управления доступом входа в систему

В каталоге /etc/security находится файл access.conf, с помощью которого можно ограни-
чить доступ для различных пользователей и IP-адресов к вашей системе. Предположим, что у нас имеется
Linux-сервер, к администрированию которого допущены только два пользователя – drwalbr и karlnext.
Шаг 1
Одним из вариантов ограничения доступа к серверу является добавление в файл
/etc/security/access.conf строки:
-:ALL EXCEPT root drwalbr karlnext:ALL
При этом доступ к консоли сервера будет запрещен с любой другой системы для всех пользователей,
кроме root, drwalbr и karlnext. А для последних пользователей доступ будет разрешен откуда угодно.
Для разрешения только удаленного доступа к серверу пользователям root, drwalbr и karlnext с
рабочей станции 192.168.2.99 в файл /etc/security/access.conf нужно добавить (подредактировать
предыдущую строку):
-:ALL EXCEPT root drwalbr karlnext: 192.168.2.99
и добавить еще одну:
-:ALL: LOCAL
Последняя строка запрещает локальный доступ всех пользователей, в том числе и root.
Шаг 2
Для того, чтобы настройки, внесенные в файл /etc/security/access.conf, в последующем
(когда вы установите OpenSSH) могли использоваться средствами удаленного администрирования SSH, в
файлы /etc/pam.d/system-auth и /etc/pam.d/sshd необходимо добавить (проверить наличие)
строки:
ассоunt required /lib/security/раm_access.so

Удаление из системы ненужных привилегированных пользователей

Файл безопасности /etc/security/console.perms, используемый модулем
pam_console.so, предназначен для выделения привилегированным пользователям физической возмож-
ности использования консоли (виртуальных консолей и локальных xdm-управляемых X-сеансов).
ЗАМЕЧАНИЕ Обратите внимание, что привилегированные пользователи не имеют ничего общего с
обычными пользователями. Это пользователи, соответствующие устройствам, подобно дисководу, CD-ROM,
сканеру, и т. п., которые в среде сетевой операционной системы также считаются пользователями.
Файл /etc/security/console.perms устанавливаемый по умолчанию:
#
# This file determines the permissions that will be given to priviledged
# users of the console at login time, and the permissions to which to
# revert when the users log out.
# format is:
# =list of regexps specifying consoles or globs specifying files
# file-glob| perm dev-regex| \
# revert-mode revert-owner[.revert-group]
# the revert-mode, revert-owner, and revert-group are optional, and default
# to 0600, root, and root, respectively.
#
# For more information:
# man 5 console.perms
# file classes — these are regular expressions
=tty[0-9][0-9]* vc/[0-9][0-9]* :[0-9]\.[0-9] :[0-9]
=:[0-9]\.[0-9] :[0-9]
# device classes — these are shell-style globs
=/dev/fd[0-1]* \
/dev/floppy/* /mnt/floppy*
=/dev/dsp* /dev/audio* /dev/midi* \
/dev/mixer* /dev/sequencer \
/dev/sound/* /dev/beep
=/dev/cdrom* /dev/cdroms/* /dev/cdwriter* /mnt/cdrom*

Если вы следовали нашим рекомендациям, то на сервере установлены пакеты программ для его
функционирования, обеспечения безопасности и компиляции программ. Перед тем как начать установку не-
обходимых служб, необходимо выполнить ряд операций, повышающих быстродействие сервера.

Статические и динамические библиотеки

Во время компиляции исходных кодов большинства программ на последней стадии осуществляется
связь кода программы с кодами Linux-библиотек. Эти библиотеки поставляются в динамическом и статиче-
ском формате и содержат общий системный код, который хранится в одном месте и совместно использует-
ся различными программами. Обычно на Linux-системах файлы библиотек находятся в каталогах /lib,
/usr/lib и /usr/share. По умолчанию Linux использует динамические библиотеки, а если он не может
найти их, то статические.
При использовании статической библиотеки, компилятор находит фрагменты кода, которые требуют-
ся для модулей программы, и копирует их непосредственно в исполняемый файл. При использовании дина-
мических библиотек компилятор вставляет ссылку, в которой указывает на необходимость загрузки опреде-
ленной библиотеки перед началом выполнения программы.
С одной стороны, при статической компоновке программ в случае выявления ошибки в одной из биб-
лиотек, влияющей на безопасность системы, система будет потенциально уязвимой до тех пор, пока не бу-
дут перекомпилированы все программы, содержащие код соответствующей библиотеки. С другой стороны,
при динамической компоновке программ система потенциально уязвима к атакам, направленным на моди-
фикацию библиотечных файлов, а уязвимость системы, вызванная ошибкой в библиотеке, может быть уст-
ранена путем ее замены.
Другим достоинством статической компоновки является то, что процесс инсталляции программного
обеспечения упрощается и может быть осуществлен при отсутствии доступа к библиотечным файлам. На
сильно загруженных системах использование статических библиотек негативно влияет на производитель-
ность системы, поэтому в этом случае использование динамических библиотек более предпочтительно.
Таким образом:
• если вы хотите компилировать программу, используя динамические библиотеки, необходимо ис-
пользовать следующие флаги компилятора:
CFLAGS = “-О2-march=i686 -funroll-loops”; export CFLAGS
./Configure \
• если хотите компилировать, используя статические библиотеки, необходимо использовать следую-
щие флаги компилятора:
CFLAGS=”-О2 -static -march=i686 -funroll-loops”; export CFLAGS
./Configure \
–disabled-shared\
ЗАМЕЧАНИЕ В Linux статические библиотеки имеют имена вида libc.a, а динамические библиотеки –
.libc.so.x.y.z, где x.y.z - номер версии.

Библиотеки Linux Glibc 2.2

Библиотека Glibc 2.2 пришла на смену libc4 и libc5 и является последней версией GNU биб-
лиотеки языка C для Linux. Она содержит стандартные библиотеки, используемые различными программа-
ми. Этот специфический пакет содержит самые важные наборы динамических и статических библиотек, ко-
торый обеспечивает основные функциональные возможности ядра для запуска программ C. Без них Linux-
система не смогла бы функционировать.
По умолчанию в ASPLinux и во многих других дистрибутивах этот пакет для повышения совмести-
мости устанавливается сконфигурированным для работы c процессором i386. Поэтому для того, чтобы наши
рекомендации по повышению производительности сервера за счет использования программ, откомпилиро-
ванных для конкретной версии процессора, оказались наиболее действенными, необходимо установить вер-
сию пакета Glibc 2.2 для соответствующего процессора. Если использовать файл, устанавливаемый по
умолчанию, часть кода программы, использующая код библиотек, не будет оптимизирована для работы с
версией процессора, отличной от i386.

Почему Linux-программы распространяются в исходных кодах

Первоначально Linux был разработан как операционная система, предназначенная для работы на раз-
личных платформах. Поэтому наиболее простым способом распространения программного обеспечения яв-
ляется распространение исходного кода программы и последующая ее компиляция. Создатели программно-
го обеспечения не всегда могут знать, на какой версии процессора (i386,i486, Pentium и т. д.) будут выпол-
няться их коды. Поэтому для обеспечения межплатформенной совместимости предварительно откомпили-
рованное программное обеспечение поставляется в версии для процессора i386 и, естественно, не учитыва-
ются дополнительные особенности более современных процессоров, например, набор команд MMX или 3D
Now! Естественно, при использовании предварительно откомпилированного программного обеспечения не
может быть достигнута максимальная производительность системы, если вы, конечно, не используете про-
цессор i386.
Опции компилятора, грамотное использование которых позволяет получить исполняемые файлы, оп-
тимизированы для заданной архитектуры центрального процессора. Описание опций, используемых при
компиляции исходных кодов программ применительно к различным процессорам, приведено ниже. Первый
параметр, который необходимо установить – это тип центрального процессора. Это делается с помощью
флага “-march=cpu_type” (архитектура процессора). Например, “-march=i686″ или “-march=k6″ по-
зволяет компилятору выбирать соответствующий вариант оптимизации для конкретного процессора.
Вы можете установить значение флага “-O” от 1 до 3, указав компилятору степень оптимизации. Зна-
чение “-O3″ позволяет создавать исполняемые файлы, имеющие максимальное быстродействие.
Следующим этапом является установка флага “-f” , который может принимать значение “-
funroll-loops” и “-fomit-frame-pointer”.
ЗАМЕЧАНИЕ Компиляция с опцией выключателя “-fomit-frame-pointer” будет использовать стек для об-
ращения к переменным. К сожалению, отладка программ при установке этой опции, как правило, невозможна.
Также, обратите внимание, что во флаге “O3″ первым символом является заглавная буква “O”.
Учитывая вышеизложенное, мы предлагаем компилировать программное обеспечение со следующи-
ми флагами:
CFLAGS = “-O2-march=i686 -funroll-loops”
Мы не используем флаги “-O3″ и “-fomit-frame-pointer”, так как они не всегда хорошо рабо-
тают при компиляции некоторого программного обеспечения.

Файл gcc specs

Файл /usr/lib/gcc-lib/i386-asplinux-linux/2.96/specs содержит набор установок
для компилятора gcc и будет использован нами для задания параметров компиляции.
Шаг 1
Проверьте версию компилятора, установленную на вашей системе:
[root@drwalbr /]# gcc -v
Reading specs from /usr/lib/gcc-lib/i386-asplinux/2.96/specs
gcc version 2.96 20000731 (ASPLinux 7.3 2.96-112)
Шаг 2
Для процессоров i686 или PentiumPro, Pentium II, Pentium III и Athlon откройте файл
/usr/lib/gcc-lib/i386-redhat-linux/2.96/specs.В ниже приведенном фрагменте:
*cpp_cpu_default:
-D__tune_i386__
*cpp_cpu:
-Acpu(i386) -Amachine(i386) %{!ansi:-Di386} -D__i386 -D__i386__
%{march=i386:%{!mcpu*:-D__tune_i386__ }}%{march=i486:-D__i486 -D__i486__
%{!mcpu*:-D__tune_i486__ }}%{march=pentium|march=i586:-D__pentium -
D__pentium__ %{!mcpu*:-D__tune_pentium__
}}%{march=pentiumpro|march=i686:-D__pentiumpro -D__pentiumpro__
%{!mcpu*:-D__tune_pentiumpro__ }}%{march=k6:-D__k6 -D__k6__ %{!mcpu*:-
D__tune_k6__ }}%{march=athlon:-D__athlon -D__athlon__ %{!mcpu*:-
D__tune_athlon__ }}%{m386|mcpu=i386:-D__tune_i386__ }%{m486|mcpu=i486:-
D__tune_i486__ }%{mpentium|mcpu=pentium|mcpu=i586:-D__tune_pentium__
}%{mpentiumpro|mcpu=pentiumpro|mcpu=i686:-D__tune_pentiumpro__
}%{mcpu=k6:-D__tune_k6__ }%{mcpu=athlon:-D__tune_athlon__
}%{!march*:%{!mcpu*:%{!m386:%{!m486:%{!mpentium*:%(cpp_cpu_default)}}}}}
*cc1_cpu:
%{!mcpu*: %{m386:-mcpu=i386} %{m486:-mcpu=i486} %{mpentium:-mcpu=pentium}
%{mpentiumpro:-mcpu=pentiumpro}}
сделайте следующие исправления:
*cpp_cpu_default:
-D__tune_i686__
*cpp_cpu:
-Acpu(i386) -Amachine(i386) %{!ansi:-Di386} -D__i386 -D__i386__
%{march=i386:%{!mcpu*:-D__tune_i386__ }}%{march=i486:-D__i486 -D__i486__
%{!mcpu*:-D__tune_i486__ }}%{march=pentium|march=i586:-D__pentium -
D__pentium__ %{!mcpu*:-D__tune_pentium__
}}%{march=pentiumpro|march=i686:-D__pentiumpro -D__pentiumpro__
%{!mcpu*:-D__tune_pentiumpro__ }}%{march=k6:-D__k6 -D__k6__ %{!mcpu*:-
D__tune_k6__ }}%{march=athlon:-D__athlon -D__athlon__ %{!mcpu*:-
D__tune_athlon__ }}%{m386|mcpu=i386:-D__tune_i386__ }%{m486|mcpu=i486:-
D__tune_i486__ }%{mpentium|mcpu=pentium|mcpu=i586:-D__tune_pentium__
}%{mpentiumpro|mcpu=pentiumpro|mcpu=i686:-D__tune_pentiumpro__
}%{mcpu=k6:-D__tune_k6__ }%{mcpu=athlon:-D__tune_athlon__
}%{!march*:%{!mcpu*:%{!m386:%{!m486:%{!mpentium*:%(cpp_cpu_default)}}}}}
*cc1_cpu:
%{!mcpu*: -O2 –march=i686 –funroll-loops %{m386:-mcpu=i386} %{m486:-
mcpu=i486} %{mpentium:-mcpu=pentium} %{mpentiumpro:-mcpu=pentiumpro}}
ЗАМЕЧАНИЕ Мы используем флаг “-O2″ (большая буква “O” два), а не “-02″ (ноль два).
Для процессоров i586 и Pentium откройте файл /usr/lib/gcc-lib/i386-redhatlinux/
2.96/specs. В ниже приведенном фрагменте:
*cpp_cpu_default:
-D__tune_i386__
*cpp_cpu:
-Acpu(i386) -Amachine(i386) %{!ansi:-Di386} -D__i386 -D__i386__
%{march=i386:%{!mcpu*:-D__tune_i386__ }}%{march=i486:-D__i486 -D__i486__
%{!mcpu*:-D__tune_i486__ }}%{march=pentium|march=i586:-D__pentium -
D__pentium__ %{!mcpu*:-D__tune_pentium__
}}%{march=pentiumpro|march=i686:-D__pentiumpro -D__pentiumpro__
%{!mcpu*:-D__tune_pentiumpro__ }}%{march=k6:-D__k6 -D__k6__ %{!mcpu*:-
D__tune_k6__ }}%{march=athlon:-D__athlon -D__athlon__ %{!mcpu*:-
D__tune_athlon__ }}%{m386|mcpu=i386:-D__tune_i386__ }%{m486|mcpu=i486:-
D__tune_i486__ }%{mpentium|mcpu=pentium|mcpu=i586:-D__tune_pentium__
}%{mpentiumpro|mcpu=pentiumpro|mcpu=i686:-D__tune_pentiumpro__
}%{mcpu=k6:-D__tune_k6__ }%{mcpu=athlon:-D__tune_athlon__
}%{!march*:%{!mcpu*:%{!m386:%{!m486:%{!mpentium*:%(cpp_cpu_default)}}}}}
*cc1_cpu:
%{!mcpu*: %{m386:-mcpu=i386} %{m486:-mcpu=i486} %{mpentium:-mcpu=pentium}
%{mpentiumpro:-mcpu=pentiumpro}}
сделайте следующие исправления:
*cpp_cpu_default:
-D__tune_i586__
*cpp_cpu:
-Acpu(i386) -Amachine(i386) %{!ansi:-Di386} -D__i386 -D__i386__
%{march=i386:%{!mcpu*:-D__tune_i386__ }}%{march=i486:-D__i486 -D__i486__
%{!mcpu*:-D__tune_i486__ }}%{march=pentium|march=i586:-D__pentium -
D__pentium__ %{!mcpu*:-D__tune_pentium__
}}%{march=pentiumpro|march=i686:-D__pentiumpro -D__pentiumpro__
%{!mcpu*:-D__tune_pentiumpro__ }}%{march=k6:-D__k6 -D__k6__ %{!mcpu*:-
D__tune_k6__ }}%{march=athlon:-D__athlon -D__athlon__ %{!mcpu*:-
D__tune_athlon__ }}%{m386|mcpu=i386:-D__tune_i386__ }%{m486|mcpu=i486:-
D__tune_i486__ }%{mpentium|mcpu=pentium|mcpu=i586:-D__tune_pentium__
}%{mpentiumpro|mcpu=pentiumpro|mcpu=i686:-D__tune_pentiumpro__
}%{mcpu=k6:-D__tune_k6__ }%{mcpu=athlon:-D__tune_athlon__
}%{!march*:%{!mcpu*:%{!m386:%{!m486:%{!mpentium*:%(cpp_cpu_default)}}}}}
*cc1_cpu:
%{!mcpu*: -O2 –march=i586 –funroll-loops %{m386:-mcpu=i386} %{m486:-
mcpu=i486} %{mpentium:-mcpu=pentium} %{mpentiumpro:-mcpu=pentiumpro}}
ЗАМЕЧАНИЕ Мы используем флаг “-O2″ (большая буква “O” два), а не “-02″ (ноль два).
Для процессоров i486 откройте файл /usr/lib/gcc-lib/i386-redhat-linux/2.96/specs.
В ниже приведенном фрагменте:
*cpp_cpu_default:
-D__tune_i386__
*cpp_cpu:
-Acpu(i386) -Amachine(i386) %{!ansi:-Di386} -D__i386 -D__i386__
%{march=i386:%{!mcpu*:-D__tune_i386__ }}%{march=i486:-D__i486 -D__i486__
%{!mcpu*:-D__tune_i486__ }}%{march=pentium|march=i586:-D__pentium -
D__pentium__ %{!mcpu*:-D__tune_pentium__
}}%{march=pentiumpro|march=i686:-D__pentiumpro -D__pentiumpro__
%{!mcpu*:-D__tune_pentiumpro__ }}%{march=k6:-D__k6 -D__k6__ %{!mcpu*:-
D__tune_k6__ }}%{march=athlon:-D__athlon -D__athlon__ %{!mcpu*:-
D__tune_athlon__ }}%{m386|mcpu=i386:-D__tune_i386__ }%{m486|mcpu=i486:-
D__tune_i486__ }%{mpentium|mcpu=pentium|mcpu=i586:-D__tune_pentium__
}%{mpentiumpro|mcpu=pentiumpro|mcpu=i686:-D__tune_pentiumpro__
}%{mcpu=k6:-D__tune_k6__ }%{mcpu=athlon:-D__tune_athlon__
}%{!march*:%{!mcpu*:%{!m386:%{!m486:%{!mpentium*:%(cpp_cpu_default)}}}}}
*cc1_cpu:
%{!mcpu*: %{m386:-mcpu=i386} %{m486:-mcpu=i486} %{mpentium:-mcpu=pentium}
%{mpentiumpro:-mcpu=pentiumpro}}
сделайте следующие исправления:
*cpp_cpu_default:
-D__tune_i486__
*cpp_cpu:
-Acpu(i386) -Amachine(i386) %{!ansi:-Di386} -D__i386 -D__i386__
%{march=i386:%{!mcpu*:-D__tune_i386__ }}%{march=i486:-D__i486 -D__i486__
%{!mcpu*:-D__tune_i486__ }}%{march=pentium|march=i586:-D__pentium -
D__pentium__ %{!mcpu*:-D__tune_pentium__
}}%{march=pentiumpro|march=i686:-D__pentiumpro -D__pentiumpro__
%{!mcpu*:-D__tune_pentiumpro__ }}%{march=k6:-D__k6 -D__k6__ %{!mcpu*:-
D__tune_k6__ }}%{march=athlon:-D__athlon -D__athlon__ %{!mcpu*:-
D__tune_athlon__ }}%{m386|mcpu=i386:-D__tune_i386__ }%{m486|mcpu=i486:-
D__tune_i486__ }%{mpentium|mcpu=pentium|mcpu=i586:-D__tune_pentium__
}%{mpentiumpro|mcpu=pentiumpro|mcpu=i686:-D__tune_pentiumpro__
}%{mcpu=k6:-D__tune_k6__ }%{mcpu=athlon:-D__tune_athlon__
}%{!march*:%{!mcpu*:%{!m386:%{!m486:%{!mpentium*:%(cpp_cpu_default)}}}}}
*cc1_cpu:
%{!mcpu*: -O2 –march=i486 –funroll-loops %{m386:-mcpu=i386} %{m486:-
mcpu=i486} %{mpentium:-mcpu=pentium} %{mpentiumpro:-mcpu=pentiumpro}}
ЗАМЕЧАНИЕ Мы используем флаг “-O2″ (большая буква “O” два), а не “-02″ (ноль два).
Для процессоров AMD K6 или K6-2 откройте файл /usr/lib/gcc-lib/i386-redhatlinux/
2.96/specs. В ниже приведенном фрагменте:
*cpp_cpu_default:
-D__tune_i386__
*cpp_cpu:
-Acpu(i386) -Amachine(i386) %{!ansi:-Di386} -D__i386 -D__i386__
%{march=i386:%{!mcpu*:-D__tune_i386__ }}%{march=i486:-D__i486 -D__i486__
%{!mcpu*:-D__tune_i486__ }}%{march=pentium|march=i586:-D__pentium -
D__pentium__ %{!mcpu*:-D__tune_pentium__
}}%{march=pentiumpro|march=i686:-D__pentiumpro -D__pentiumpro__
%{!mcpu*:-D__tune_pentiumpro__ }}%{march=k6:-D__k6 -D__k6__ %{!mcpu*:-
D__tune_k6__ }}%{march=athlon:-D__athlon -D__athlon__ %{!mcpu*:-
D__tune_athlon__ }}%{m386|mcpu=i386:-D__tune_i386__ }%{m486|mcpu=i486:-
D__tune_i486__ }%{mpentium|mcpu=pentium|mcpu=i586:-D__tune_pentium__
}%{mpentiumpro|mcpu=pentiumpro|mcpu=i686:-D__tune_pentiumpro__
}%{mcpu=k6:-D__tune_k6__ }%{mcpu=athlon:-D__tune_athlon__
}%{!march*:%{!mcpu*:%{!m386:%{!m486:%{!mpentium*:%(cpp_cpu_default)}}}}}
*cc1_cpu:
%{!mcpu*: %{m386:-mcpu=i386} %{m486:-mcpu=i486} %{mpentium:-mcpu=pentium}
%{mpentiumpro:-mcpu=pentiumpro}}
сделайте следующие исправления:
*cpp_cpu_default:
-D__tune_k6__
*cpp_cpu:
-Acpu(i386) -Amachine(i386) %{!ansi:-Di386} -D__i386 -D__i386__
%{march=i386:%{!mcpu*:-D__tune_i386__ }}%{march=i486:-D__i486 -D__i486__
%{!mcpu*:-D__tune_i486__ }}%{march=pentium|march=i586:-D__pentium -
D__pentium__ %{!mcpu*:-D__tune_pentium__
}}%{march=pentiumpro|march=i686:-D__pentiumpro -D__pentiumpro__
%{!mcpu*:-D__tune_pentiumpro__ }}%{march=k6:-D__k6 -D__k6__ %{!mcpu*:-
D__tune_k6__ }}%{march=athlon:-D__athlon -D__athlon__ %{!mcpu*:-
D__tune_athlon__ }}%{m386|mcpu=i386:-D__tune_i386__ }%{m486|mcpu=i486:-
D__tune_i486__ }%{mpentium|mcpu=pentium|mcpu=i586:-D__tune_pentium__
}%{mpentiumpro|mcpu=pentiumpro|mcpu=i686:-D__tune_pentiumpro__
}%{mcpu=k6:-D__tune_k6__ }%{mcpu=athlon:-D__tune_athlon__
}%{!march*:%{!mcpu*:%{!m386:%{!m486:%{!mpentium*:%(cpp_cpu_default)}}}}}
*cc1_cpu:
%{!mcpu*: -O2 –march=k6 –funroll-loops %{m386:-mcpu=i386} %{m486:-
mcpu=i486} %{mpentium:-mcpu=pentium} %{mpentiumpro:-mcpu=pentiumpro}}
ЗАМЕЧАНИЕ Мы используем флаг “-O2″ (большая буква “O” два), а не “-02″ (ноль два).
Шаг 3
Для проверки работоспособности внесенных изменений выполните следующие команды:
[root@drwalbr /]# touch cpu.c
[root@drwalbr /]# gcc cpu.c –S –fverbose-sam
[root@drwalbr /]# less cpu.c
Если на экран будет выведено нечто подобное:
.file “cc9xBgp3.i”
.version “01.01″
# GNU C version 2.96 20000731 (ASPLinux 7.3 2.96-112) (i386-asplinuxlinux)
compiled by GNU C version 2.96 20000731 (ASPLinux 7.3 2.96-112).
# options passed: -O2 -march=i686 -funroll-loops -fverbose-asm
# options enabled: -fdefer-pop -foptimize-sibling-calls -fcse-followjumps
# -fcse-skip-blocks -fexpensive-optimizations -fthread-jumps
# -fstrength-reduce -funroll-loops -fpeephole -fforce-mem -ffunction-cse
# -finline -fkeep-static-consts -fcaller-saves -fpcc-struct-return -fgcse
# -frerun-cse-after-loop -frerun-loop-opt -fdelete-null-pointer-checks
# -fschedule-insns2 -fsched-interblock -fsched-spec -fbranch-count-reg
# -fnew-exceptions -fcommon -fverbose-asm -fgnu-linker -fregmove
# -foptimize-register-move -fargument-alias -fstrict-aliasing
# -fmerge-constants -fident -fpeephole2 -fmath-errno -m80387 -mhard-float
# -mno-soft-float -mieee-fp -mfp-ret-in-387 -march=i686
gcc2_compiled.:
.ident “GCC: (GNU) 2.96 20000731 (ASPLinux 7.3 2.96-112)”
то внесенные вами изменения работают.

Удаление комментариев из исполняемых файлов и библиотек

На этапе компиляции программы в нее добавляется много различных комментариев. Это делается для
удобства отладки программного обеспечения. Для повышения быстродействия системы и сокращения раз-
мера исполняемых и библиотечных файлов эти комментарии необходимо удалить. Что может быть выпол-
нено при помощи команды strip Linux. При использовании команды необходимо соблюдать некоторые
меры предосторожности, о которых мы расскажем ниже. Неаккуратное использование команды strip мо-
жет привести к непредсказуемым последствиям. Важно помнить, что не все бинарные файлы, особенно
файлы библиотек, должны быть отредактированы с использованием этой команды, а только часть из них.
Этот метод повышения производительности системы может быть применен на серверах, на которых не
осуществляется компиляция программного обеспечения, либо на сервере, на котором откомпилировано и
установлено все необходимое для его работы программное обеспечение.
Шаг 1
Прежде всего, необходимо убедиться, что команда strip доступна на вашем сервере. Если она не
установлена, то необходимо установить пакет binutils, входящий в дистрибутив ASPLinux, используя
рекомендации раздела «Как использовать команды rpm» главы 2.
Шаг 2
Для очистки исполняемых файлов в директориях /bin, /sbin, /usr/bin и /usr/sbin необхо-
димо выполнить следующие команды:
[root@drwalbr /]# strip /bin/*
[root@drwalbr /]# strip /sbin/*
[root@drwalbr /]# strip /usr/bin/*
[root@drwalbr /]# strip /usr/sbin/*
ЗАМЕЧАНИЕ При выполнении этих команд вы увидите несколько сообщений об ошибках:
“File format not recognized”.
Это обусловлено тем, что в директориях /bin, /sbin, /usr/bin и /usr/sbin содержатся не только исполняе-
мые файлы, но и символьные ссылки на них, а программа strip не умеет их обрабатывать.
Шаг 3
Для очистки файлов библиотек необходимо выполнить следующие команды:
[root@drwalbr /]# strip –R .comment /usr/lib/*.so.*
[root@drwalbr /]# strip –R .comment /lib/*.so.*
ЗАМЕЧАНИЕ Опция “-R” в команде strip позволяет нам задавать названия фрагментов, удаляемых из
библиотек. С помощью “.comment” мы сообщаем команде, что необходимо удалять любые строки, содержа-
щие “.comment”

Оптимизация настроек жесткого диска с IDE-интерфейсом

Доступ к информации на жестком диске осуществляется в 50…100 раз медленнее, чем к данным в
оперативной памяти. Именно поэтому настройка быстродействия жесткого диска является критичной, с
точки зрения обеспечения максимальной производительности сервера
Настройки ASPLinux по умолчанию позволяют обеспечить максимум совместимости. Вы же, хорошо
зная особенности диска и материнской платы, можете изменить настройки, обеспечив максимум производи-
тельности. Для оптимизации настроек жесткого диска с интерфейсом IDE используется команда hdparm.
Ускорение в работе на операции ввода-вывода достигается путем специализированных IDE драйверов, ис-
пользования прямого доступа к памяти, 32-разрядного обмена и блочных режимов передачи данных.
Следует отметить, что диски IDE/ATA разных производителей по-разному подвержены ускорению с
помощью рассматриваемой утилиты. Так, лучше всего ускоряются диски Quantum (ныне Maxtor), чуть хуже
– Western Digital, и совсем плохо – Fujitsu.
Перед началом оптимизации диска проверьте, установлен ли пакет hdpram:
[root@drwalbr /]# rpm -q hdparm
package hdparm is not installed
Для установки пакета необходимо вставить первый компакт-диск дистрибутива ASPLinux в дисковод
и выполнить следующие команды:
[root@drwalbr /]# mount /mnt/cdrom
[root@drwalbr /]# cd /mnt/cdrom/ASPLinux/RPMS
[root@drwalbr RPMS]# rpm –Uhv hdparm-5.1-1.asp.i386.rpm
hdparm ################################################## 100%
После установки пакета необходимо размонтировать компакт диск:
[root@drwalbr /]# cd
[root@drwalbr /]# umount /mnt/cdrom
В зависимости от моделей производителей диска и системной платы будут устанавливаться различ-
ные параметры оптимизации. Неправильный выбор этих параметров может привести к полному выходу
диска из строя. Поэтому перед началом оптимизации необходимо изучить параметры системы.
Необходимо так же проверить параметры настройки BIOS, выяснить, поддерживает ли ваша система
режим DMA и включены ли параметры, обеспечивающие поддержку этого режима.
Шаг 1
Этот шаг применим к большинству дисков – включает 32-разрядный ввод-вывод по PCI-шинам. Эта
опция – одна из самых важных и может удвоить скорость вашего диска:
[root@drwalbr /]# /sbin/hdparm -c3 /dev/hda
Здесь и далее предполагается, что мы оптимизируем диск /dev/hda. Опция “-c3″ работает почти со
всеми 32-разрядными наборами микросхем IDE. Более подробно использование этой опции описано на man-
странице hdparm:
[root@drwalbr /]# /sbin/man 8 hdparm -c3 /dev/hda
Шаг 2
Второй параметр применяется только для дисков стандарта DMA и активизирует обычный режим
DMA. Такой режим поддерживается старыми DMA дисками. Для включения режима DMA выполните:
[root@drwalbr /]# /sbin/hdparm –d1 /dev/hda
Эта команда не только включает поддержку DMA (только для интерфейсов, поддерживающих этот
режим), но и в зависимости от набора микросхем, поддерживаемых ядром системы, вдвое сокращает время
считывания информации с диска.
Шаг 3
Протокол Multiword DMA mode 2 (максимальная скорость передачи данных - 16,6 МБ/с), также
известный как ATA-2 интерфейс – более скоростной преемник DMA. Если у вас жесткий диск, поддержи-
вающий этот режим, для включения режима DMA-2 выполните команду:
[root@drwalbr /]# /sbin/hdparm –d1 –X34 /dev/hda
Шаг 4
Протокол multiword DMA mode 3, названный UltraDMA, также известный как ATA/ATAPI-4 –
это дальнейшее развитие технологии DMA (максимальная скорость пакетной передачи данных - 33 МБ/с).
Если у вас такой диск, то выбирайте этот режим:
[root@drwalbr /]# /sbin/hdparm –d1 –X66 /dev/hda
Шаг 5
Протокол UltraDMA с пропускной способностью 66 МБ/с, также известный как ATA/ATAPI-5. Жест-
кие диски, поддерживающие такой интерфейс, появились начиная с 1999 года. Включение поддержки про-
токола осуществляется командой:
[root@drwalbr /]# /sbin/hdparm –d1 –X12 –X68 /dev/hda
Шаг 6
Протокол UltraDMA с пропускной способностью 100 МБ/с – один из распространенных сейчас ин-
терфейсов, также известен как ATA/ATAPI-6. Производители представили такие жесткие диски уже в сере-
дине 2000 года, т. е. еще до официального утверждения ATA/ATAPI-5. Фактически, их объявление было
приурочено к объявлению 5 июня первого чипсета, поддерживающего протокол UltraATA/100 – i820E. Мы
думаем, что у большинства из вас именно такие жесткие диски. Включение поддержки протокола осуществ-
ляется командой:
[root@drwalbr /]# /sbin/hdparm –d1 –X12 –X70 /dev/hda
Шаг 7
Режим Multiple sector mode (IDE Block Mode) поддерживается большинством современных
жестких дисков с IDE-интерфейсом. Этот режим позволяет сокращать количество обращений к жесткому
диску на 30…50 % , увеличивая скорость передачи данных на 5…50%. Для включения режима выполните
команду:
[root@drwalbr /]# /sbin/hdparm –mXX /dev/hda
Параметр “ХХ” представляет максимальное значение, поддерживаемое IDE/ATA диском. Для опреде-
ления величины этого параметра используется опция “-i”. Посмотрите вывод значения MaxMultSect в
тексте:
[root@drwalbr /]# /sbin/hdparm –i /dev/hda
/dev/hda:
Model=QUANTUM FIREBALLP LM15, FwRev=A35.0700, SerialNo=737909725840
Config={ HardSect NotMFM HdSw>15uSec Fixed DTR>IOMbs }
RawCHS=16383/16/63, TrkSize=32256, SectSize=21298, ECCbytes=4
BuffType=3(DualPortCache), BuffSize=1900kB, MaxMultSect=16, MultSect=16
DblWordIO=no, OldPIO=2, DMA=yes, OldDMA=2
CurCHS=16383/16/63, CurSects=-66060037, LBA=yes, LBAsects=29336832
tDMA={min:120,rec:120}, DMA modes: mword0 mword1 mword2
IORDY=on/off, tPIO={min:120,w/IORDY:120}, PIO modes: mode3 mode4
UDMA modes: mode0 mode1 mode2 mode3 *mode4
Шаг 8
Число секторов get/set влияет на быстродействие многократного обращения к большим файлам.
Значение этого параметра по умолчанию – 8 секторов (4 кБайт). Мы советуем увеличить его вдвое, для этого
выполните команду:
[root@drwalbr /]# /sbin/hdparm -a16 /dev/hda .
Шаг 9
Флаг get/set interrupt-unmask несколько увеличивает скорость обмена с жестким диском и
устраняет ошибки переполнения последовательного порта. Для установки флага выполните команду:
[root@drwalbr /]# /sbin/hdparm -u1 /dev/hda
Шаг 10
Кэширование записи также несколько увеличивает скорость обмена с жестким диском. Для включе-
ния кэширования выполните команду:
[root@drwalbr /]# /sbin/hdparm –W1 /dev/hda
Шаг 11
Эти опции позволяют сохранять параметры настройки диска при перезагрузке системы. К сожале-
нию, не все диски их поддерживают. Для включения опций выполните команду:
[root@drwalbr /]# /sbin/hdparm -K1 -k1 /dev/hda
Шаг 12
Протестировать настройки можно с помощью команды:
[root@drwalbr /]# /sbin/hdparm -vtT /dev/hda
/dev/hda:
multcount = 16 (on)
I/O support = 3 (32-bit w/sync)
unmaskirq = 1 (on)
using_dma = 1 (on)
keepsettings = 1 (on)
nowerr = 0 (off)
readonly = 0 (off)
readahead = 16 (on)
geometry - 1826/255/63, sectors = 29336832, start = 0
Timing buffer-cache reads: 128 MB in 0.85 seconds = 150.59 MB/sec
Timing buffered disk reads: 64 MB in 2.54 seconds = 25.20 MB/sec
ЗАМЕЧАНИЕ Использование всех перечисленных выше опций должно осуществляться с максималь-
ной осторожностью, т. к. может привести к повреждению жесткого диска.
После того, как выполнена установка и проверка опции hdparm в конец файла /etc/rc.local ло-
гично добавить строку, запускающую hdparm с выбранными опциями, например:
/sbin/hdparm -c3 -d1 -X12 -X68 -m16 -a16 -u1 -W1 -k1 -K1 /dev/hda
Это позволит устанавливать требуемые опции при каждой перезагрузке системы.

Псевдофайловая система /proc используется как интерфейс для доступа к структурам данных ядра.
Большинство каталогов в каталоге /proc имеют названия в виде десятичных чисел, совпадающих с иден-
тификатором соответствующего процесса, выполняемого в системе. Файловая система /proc отображает
информацию о центральном процессоре, IDE и SCSI-устройствах, прерываниях, портах ввода-вывода, памя-
ти, модулях, разделах, PCI-платах и др. При этом следует учитывать, что, на самом деле, не существует ни
подкаталогов /proc, ни файлов в них. В этом легко убедится, посмотрев каталог /proc на машине, в кото-
рой установлены две операционные системы Linux и Windows с помощью программы для просмотра файло-
вых систем Еxt2 и Еxt3, например, ext2viewer из Windows. Каталог /proc будет пустым. Содержимое
этого каталога можно рассматривать как некоторые временные файлы, существующие только во время ра-
боты системы. Большинство из этих файлов доступны только для чтения и, следовательно, не могут быть
изменены. Изменение параметров ядра осуществляется путем редактирования конфигурационного файла
/etc/sysctl.conf, используемого утилитой sysctl, либо непосредственным вызовом утилиты. В этой
главе рассматриваются некоторые параметры, конфигурирующие виртуальную память и TCP/IP.

Утилита sysctl

Утилита sysctl – интерфейс, который позволяет изменять некоторые параметры ядра без его пере-
компиляции. Более подробная информация об этой утилите может быть получена с помощью команды:
[root@karlnext /]# man 8 sysctl
Эта утилита позволяет считывать и изменять параметры настройки ядра.
Для просмотра всех переменных выполните:
[root@karlnext /]# sysctl –a
Для просмотра некоторой переменной, например, fs.file-max, выполните:
[root@karlnext /]# sysctl fs.file-max
fs.file-max = 8192
Для установки значения некоторой переменной, например, fs.file-max, выполните:
[root@karlnext /]# sysctl -w fs.file-max=16384
fs.file-max = 16384
Изменения, внесенные с помощью команды sysctl, действуют только до перезагрузки системы.
Для того, чтобы внесенные изменения сохранились после перезагрузки, необходимо изменить соответст-
вующие параметры в конфигурационном файле /etc/sysctl.conf.

Настройка параметров подсистемы виртуальной памяти

В каталоге /proc/sys/vm находятся файлы, используемые для настройки и отображения подсисте-
мы виртуальной памяти ядра. Будьте очень осторожны и внимательны при выполнении приведенных ниже
рекомендаций.
Приведенных здесь примеры протестированы и прекрасно работают на серверах с объемом оператив-
ной памяти 256, 384 и 512 МБайт. При меньшем объеме памяти мы не гарантируем работоспособности при-
веденных ниже настроек и рекомендуем использовать настройки по умолчанию.
Для просмотра файлов в каталоге /proc/sys/vm выполните:
[root@karlnext /]# ls –l /proc/sys/vm
-rw-r–r– 1 root root 0 Янв 12 10:38 bdflush
-rw-r–r– 1 root root 0 Янв 12 10:38 kswapd
-rw-r–r– 1 root root 0 Янв 12 10:38 max_map_count
-rw-r–r– 1 root root 0 Янв 12 10:38 max-readahead
-rw-r–r– 1 root root 0 Янв 12 10:38 min-readahead
-rw-r–r– 1 root root 0 Янв 12 10:38 overcommit_memory
-rw-r–r– 1 root root 0 Янв 12 10:38 page-cluster
-rw-r–r– 1 root root 0 Янв 12 10:38 pagetable_cache
Файл /proc/sys/vm/bdflush содержит настройки демона ядра bdflush и может быть исполь-
зован для повышения производительности файловой системы. Файл /proc/sys/vm/bdflush содержит
значения (приведены значения по умолчанию) следующих 9 параметров:
[root@karlnext /]# cat /proc/sys/vm/bdflush
30 500 0 0 500 3000 60 20 0
Первый параметр – nfract – в конечном итоге определяет процент заполнения буфера, при дости-
жении которого осуществляется запись на диск. Значение по умолчанию – 30 %, минимальное – 0 % и мак-
симальное – 100 %. Установка высокого значения параметра приводит к тому, что задержка записи на диск
осуществляется в течение более длительного времени, но при этом увеличивается загрузка памяти из-за
операций ввода - вывода фрагментами большего размера. Рекомендуем установить значение параметра,
равное 40.
Второй параметр – dummy1 пока не используется, сохраните значение по умолчанию.
Третий параметр – dummy2 тоже пока не используется, сохраните значение по умолчанию.
О четвертом параметре – dummy3 – можно сказать то же самое.
Параметр interval определяет минимальный интервал, в течение которого осуществляется очистка
буфера. Значение по умолчанию – 5 секунд, минимальное – 0 секунд и максимальное – 600 секунд. Мы со-
храняем здесь значение по умолчанию.
Шестой параметр – age_buffer определяет максимальный интервал времени, по истечении которо-
го информация из буфера записывается на диск. Значение по умолчанию – 30 секунд, минимальное – 1 се-
кунда и максимальное – 6 000 секунд. Рекомендуем оставить значение по умолчанию.
Седьмой параметр – nfract_sync управляет размером буферного кэша, выраженным в процентах,
который заполняется до начала активизации bdflush. Его можно рассматривать как жесткое ограничение
буфера прежде, чем bdflush начнет запись на диск. Значение по умолчанию – 60 %, минимальное – 0 % и
максимальное – 100 %. Рекомендуем оставить значение по умолчанию.
Восьмой и девятые параметры – dummy4 и dummy5 - пока не используется, сохраните значения по
умолчанию.
Установка рекомендуемых нами или любых других значений параметров осуществляется следую-
щим образом.
Шаг 1
Добавьте или откорректируйте в файле /etc/sysctl.conf строку:
#Увеличение производительности файловой системы
vm.bdflush = 40 500 0 0 500 3000 60 20 0
Шаг 2
Для того, чтобы внесенные нами изменения вступили в силу, перезагрузите сеть:
[root@karlnext /]# /etc/init.d/network restart
Деактивируется интерфейс eth0: [ОК]
Деактивируется интерфейс-петля: [ОК]
Устанавливаются параметры сети: [ОК]
Активируется интерфейс loopback: [ОК]
Активируется интерфейс eth0: [ОК]
Тот же самый эффект может быть достигнут и без перезагрузки сети:
[root@karlnext /]# sysctl -w vm.bdflush=”40 500 0 0 500 3000 60 20 0″
Файл /proc/sys/vm/kswapd содержит параметры настройки операций с виртуальной памятью
системы (очистка, дефрагментирование). Очистка производится, когда виртуальная память сильно дефраг-
ментированна или заполнена. Файл /proc/sys/vm/kswapd содержит значения (приведены значения по
умолчанию) следующих 3 параметров:
[root@karlnext /]# /proc/sys/vm/kswapd
512 32 8
Первый параметр – tries_base определяет максимальное количество страниц kswapd, которые
должны очищаться за один цикл. Увеличив это число, можно заставить виртуальную память работать быст-
рее. Сохраните значение по умолчанию.
Второй параметр – tries_min определяет минимальное количество страниц, которые kswapd дол-
жен очищать каждый раз при вызове. В основном этот параметр служит для того, чтобы удостовериться, что
kswapd очищает страницы, даже когда программа работает с минимальным приоритетом. Значение по
умолчанию – 32 страницы. Сохраните значение по умолчанию.
Третий параметр – swap_cluster определяет количество страниц, которые kswapd записывает за
одну итерацию. Естественно стремление повысить производительность за счет проведения операций ввода -
вывода большими фрагментами и уменьшения времени поиска нужного сектора диска. Однако фрагменты
не должны быть слишком большими, иначе может произойти переполнение очереди запроса. Значение по
умолчанию – 8 страниц. Установите значение этого параметра, равное 32.
Установка значений параметров осуществляется следующим образом.
Шаг 1
Добавьте или откорректируйте в файле /etc/sysctl.conf строки:
#Увеличение производительности swap
vm.kswapd = 512 32 32
Шаг 2
Для того, чтобы внесенные изменения вступили в силу, перезагрузите сеть:
[root@karlnext /]# /etc/init.d/network restart
Деактивируется интерфейс eth0: [ОК]
Деактивируется интерфейс-петля: [ОК]
Устанавливаются параметры сети: [ОК]
Активируется интерфейс loopback: [ОК]
Активируется интерфейс eth0: [ОК]
Тот же самый эффект может быть достигнут и без перезагрузки сети:
[root@karlnext /]# sysctl -w vm.kswapd = “512 32 32″

Настройка параметров подсистемы IPv4

Файлы, соответствующие всем описываемым ниже параметрам, находятся в каталоге
/proc/sys/net/ipv4 и используются для настройки подсистемы ядра IPv4. Для просмотра файлов в ка-
талоге /proc/sys/net/ipv4 наберите команду:
[root@karlnext /]# ls –l /proc/sys/net/ipv4
dr-xr-xr-x 6 root root 0 Янв 25 13:18 conf
-rw-r–r– 1 root root 0 Янв 25 13:18
icmp_echo_ignore_all
-rw-r–r– 1 root root 0 Янв 25 13:18
icmp_echo_ignore_broadcasts
-rw-r–r– 1 root root 0 Янв 25 13:18
icmp_ignore_bogus_error_responses
-rw-r–r– 1 root root 0 Янв 25 13:18 icmp_ratelimit
-rw-r–r– 1 root root 0 Янв 25 13:18 icmp_ratemask
-rw-r–r– 1 root root 0 Янв 25 13:18
inet_peer_gc_maxtime
-rw-r–r– 1 root root 0 Янв 25 13:18
inet_peer_gc_mintime
-rw-r–r– 1 root root 0 Янв 25 13:18 inet_peer_maxttl
-rw-r–r– 1 root root 0 Янв 25 13:18 inet_peer_minttl
-rw-r–r– 1 root root 0 Янв 25 13:18
inet_peer_threshold
-rw-r–r– 1 root root 0 Янв 25 13:18 ip_autoconfig
-rw-r–r– 1 root root 0 Янв 25 13:18 ip_conntrack_max
-rw-r–r– 1 root root 0 Янв 25 13:18 ip_default_ttl
-rw-r–r– 1 root root 0 Янв 25 13:18 ip_dynaddr
-rw-r–r– 1 root root 0 Янв 25 13:18 ip_forward
-rw-r–r– 1 root root 0 Янв 25 13:18 ipfrag_
high_thresh
-rw-r–r– 1 root root 0 Янв 25 13:18 ipfrag_low_thresh
-rw-r–r– 1 root root 0 Янв 25 13:18 ipfrag_time
-rw-r–r– 1 root root 0 Янв 25 13:18
ip_local_port_range
-rw-r–r– 1 root root 0 Янв 25 13:18 ip_nonlocal_bind
-rw-r–r– 1 root root 0 Янв 25 13:18 ip_no_pmtu_disc
dr-xr-xr-x 5 root root 0 Янв 25 13:18 neigh
dr-xr-xr-x 2 root root 0 Янв 25 13:18 route
-rw-r–r– 1 root root 0 Янв 25 13:18
tcp_abort_on_overflow
-rw-r–r– 1 root root 0 Янв 25 13:18 tcp_adv_win_scale
-rw-r–r– 1 root root 0 Янв 25 13:18 tcp_app_win
-rw-r–r– 1 root root 0 Янв 25 13:18 tcp_dsack
-rw-r–r– 1 root root 0 Янв 25 13:18 tcp_ecn
-rw-r–r– 1 root root 0 Янв 25 13:18 tcp_fack
-rw-r–r– 1 root root 0 Янв 25 13:18 tcp_fin_timeout
-rw-r–r– 1 root root 0 Янв 25 13:18
tcp_keepalive_intvl
-rw-r–r– 1 root root 0 Янв 25 13:18
tcp_keepalive_probes
-rw-r–r– 1 root root 0 Янв 25 13:18
tcp_keepalive_time
-rw-r–r– 1 root root 0 Янв 25 13:18 tcp_max_orphans
-rw-r–r– 1 root root 0 Янв 25 13:18
tcp_max_syn_backlog
-rw-r–r– 1 root root 0 Янв 25 13:18
tcp_max_tw_buckets
-rw-r–r– 1 root root 0 Янв 25 13:18 tcp_mem
-rw-r–r– 1 root root 0 Янв 25 13:18
tcp_orphan_retries
-rw-r–r– 1 root root 0 Янв 25 13:18 tcp_reordering
-rw-r–r– 1 root root 0 Янв 25 13:18
tcp_retrans_collapse
-rw-r–r– 1 root root 0 Янв 25 13:18 tcp_retries1
-rw-r–r– 1 root root 0 Янв 25 13:18 tcp_retries2
-rw-r–r– 1 root root 0 Янв 25 13:18 tcp_rfc1337
-rw-r–r– 1 root root 0 Янв 25 13:18 tcp_rmem
-rw-r–r– 1 root root 0 Янв 25 13:18 tcp_sack
-rw-r–r– 1 root root 0 Янв 25 13:18 tcp_stdurg
-rw-r–r– 1 root root 0 Янв 25 13:18
tcp_synack_retries
-rw-r–r– 1 root root 0 Янв 25 13:18 tcp_syncookies
-rw-r–r– 1 root root 0 Янв 25 13:18 tcp_syn_retries
-rw-r–r– 1 root root 0 Янв 25 13:18 tcp_timestamps
-rw-r–r– 1 root root 0 Янв 25 13:18 tcp_tw_recycle
-rw-r–r– 1 root root 0 Янв 25 13:18 tcp_tw_reuse
-rw-r–r– 1 root root 0 Янв 25 13:18
tcp_window_scaling
-rw-r–r– 1 root root 0 Янв 25 13:18 tcp_wmem
Приведенный вывод с экрана получен для версии ядра 2.4.19, в другой системе он может выглядеть не-
сколько по-другому.

Установка запрета ответа на ping-запросы

Предотвращение возможности ответов вашей системы на запросы утилиты ping может значительно
улучшить сетевую безопасность, так как никто не сможет «пропинговать» ваш сервер. Установка запрета
осуществляется следующим образом.
Шаг 1
Добавьте или откорректируйте в файле /etc/sysctl.conf следующие строки:
# Игнорирование ответов на ping
net.ipv4.icmp_echo_ignore_all=1
ЗАМЕЧАНИЕ Установку значения параметра net.ipv4.icmp_echo_ignore_all=1 рекомендуется
устанавливать только в случае осуществления атак, основанных на использовании ICMP-пакетов. В других
случаях этого делать не рекомендуется, т. к. это существенно ограничивает функциональные возможности
системы, которая использует ICMP-пакеты для установки такого важного параметра, как MTU. Многие вла-
дельцы Web-серверов используют эту опцию, забывая при этом, что MS Windows-98/Ме имеет в установках
по умолчанию автоматический выбор значения MTU. В этом случае Web-сервера становятся недоступными
для большинства пользователей.
Шаг 2
Для того, чтобы внесенные изменения вступили в силу, перезагрузите сеть:
[root@karlnext /]# /etc/init.d/network restart
Деактивируется интерфейс eth0: [ОК]
Деактивируется интерфейс-петля: [ОК]
Устанавливаются параметры сети: [ОК]
Активируется интерфейс loopback: [ОК]
Активируется интерфейс eth0: [ОК]
Тот же самый эффект может быть достигнут и без перезагрузки сети:
[root@karlnext /]# sysctl –w net.ipv4.icmp_echo_ignore_all=1

Установка запрета ответа на широковещательные ping-запросы

Когда запрос утилиты ping посылается на широковещательный адрес (например, 172.16.255.255 или
192.168.1.255), то соответствующие пакеты доставляются всем машинам этой сети. После этого все машины
в сети отвечают на посланный широковещательный запрос. В результате может возникнуть перегрузка сети,
и ваша система может оказаться невольным участником DoS-атаки. Более подробную информацию по этому
вопросу можно получить в RFC 2644. Установка запрета осуществляется следующим образом.
Шаг 1
Добавьте или откорректируйте в файле /etc/sysctl.conf следующие строки:
#Игнорирование широковещательных запросов
net.ipv4.icmp_e_cho_ignore_broadcasts = 1
Шаг 2
Для того, чтобы внесенные изменения вступили в силу, перезагрузите сеть:
[root@karlnext /]# /etc/init.d/network restart
Деактивируется интерфейс eth0: [ОК]
Деактивируется интерфейс-петля: [ОК]
Устанавливаются параметры сети: [ОК]
Активируется интерфейс loopback: [ОК]
Активируется интерфейс eth0: [ОК]
Тот же самый эффект может быть достигнут и без перезагрузки сети:
[root@karlnext /]# sysctl –w net.ipv4.icmp_echo_ignore_broadcasts =1

Запрет на использование сервером информации об источнике пакета

Маршрутизация и протоколы маршрутизации также содержат источник потенциальной опасности для
системы. Заголовки IP-пакетов содержат полный путь между источником и получателем пакета. В соответ-
ствии с RFC 1122 получатель пакета должен ответить по адресу источника, содержащегося в пакете. Таким
образом, злоумышленник может получить возможность перехватить ответ вашей системы и представиться
доверенной системой. Авторы настоятельно рекомендуют отключить возможность использования сервером
информации об источнике пакета. Установка запрета осуществляется следующим образом.
Шаг 1
Добавьте или откорректируйте в файле /etc/sysctl.conf следующие строки:
# Установка запрета на использование информации об источнике пакета
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
Шаг 2
Для того, чтобы внесенные нами изменения вступили в силу, перезагрузите сеть:
[root@karlnext /]# /etc/init.d/network restart
Деактивируется интерфейс eth0: [ОК]
Деактивируется интерфейс-петля: [ОК]
Устанавливаются параметры сети: [ОК]
Активируется интерфейс loopback: [ОК]
Активируется интерфейс eth0: [ОК]
Тот же самый эффект может быть достигнут и без перезагрузки сети:
[root@karlnext /]# sysctl –w net.ipv4.conf.all.accept_source_route = 0
[root@karlnext /]# sysctl –w net.ipv4.conf.default.accept_source_route = 0

Включение защиты от SYN-атак

SYN-атаки используют следующие особенности TCP/IP соединений. Обычно при установке соедине-
ния клиент посылает серверу пакет с SYN-битом (первого типа), в ответ на который сервер посылает клиен-
ту пакет-подтверждение (второго типа). После получения подтверждения клиент отправляет серверу пакет,
который завершает установку соединения (третьего типа). При этом сервер сохраняет в очереди данные
первого пакета и использует их для идентификации клиента. Посылая серверу пакеты, содержащие SYN-бит
и случайные IP-адреса источников и не высылая соответствующие им завершающие пакеты (третьего типа),
злоумышленник может реализовать DoS-атаку, исчерпав ресурсы для хранения информации, содержащейся
в пакетах первого типа. Для исключения такой возможности на сервере устанавливается такой алгоритм
функционирования, при котором пакеты, содержащие SYN-бит не сохраняются вообще, а сервер идентифи-
цирует клиента, выполняя соответствующие операции над информацией, содержащейся в пакетах третьего
типа. Включение защиты осуществляется следующим образом.
Шаг 1
Добавьте или откорректируйте в файле /etc/sysctl.conf следующие строки:
#Включение защиты от TCP SYN атак
net.ipv4.tcp_syncookies = 1
Шаг 2
Для того, чтобы внесенные изменения вступили в силу, перезагрузите сеть:
[root@karlnext /]# /etc/init.d/network restart
Деактивируется интерфейс eth0: [ОК]
Деактивируется интерфейс-петля: [ОК]
Устанавливаются параметры сети: [ОК]
Активируется интерфейс loopback: [ОК]
Активируется интерфейс eth0: [ОК]
Тот же самый эффект может быть достигнут и без перезагрузки сети:
[root@karlnext /]# sysctl –w net.ipv4.tcp_syncookies = 1

ICMP-переадресация

Когда компьютеры, находящиеся в сети, используют для пересылки пакетов неоптимальный или не-
существующий маршрут, ICMP-переадресация используется маршрутизаторами для того, чтобы сообщить
компьютерам правильный маршрут. В сетях со сложной топологией рекомендуется разрешение ICMP-
переадресации. В небольших сетях ее следует отключить. При этом исключается возможность изменения
злоумышленником таблиц маршрутизации на компьютерах сети путем отправки им поддельных ICMP-
сообщений. Установка запрета на ICMP-переадресацию осуществляется следующим образом.
Шаг 1
Добавьте или откорректируйте в файле /etc/sysctl.conf следующие строки:
# Установка запрета на ICMP переадресацию
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
Шаг 2
Для того, чтобы внесенные изменения вступили в силу, перезагрузите сеть:
[root@karlnext /]# /etc/init.d/network restart
Деактивируется интерфейс eth0: [ОК]
Деактивируется интерфейс-петля: [ОК]
Устанавливаются параметры сети: [ОК]
Активируется интерфейс loopback: [ОК]
Активируется интерфейс eth0: [ОК]
Тот же самый эффект может быть достигнут и без перезагрузки сети:
[root@karlnext /]# sysctl –w net.ipv4.conf.all.accept_redirects = 0
[root@karlnext /]# sysctl –w net.ipv4.conf.default.accept_redirects = 0

Сообщения об ошибках сети

Шаг 1
Для получения информации об ошибках сети добавьте или откорректируйте в файле
/etc/sysctl.conf следующие строки:
# Включение сообщений об ошибках сети
net.ipv4.icmp_ignore_bogus_error_responses = 1
Шаг 2
Для того, чтобы внесенные изменения вступили в силу, перезагрузите сеть:
[root@karlnext /]# /etc/init.d/network restart
Деактивируется интерфейс eth0: [ОК]
Деактивируется интерфейс-петля: [ОК]
Устанавливаются параметры сети: [ОК]
Активируется интерфейс loopback: [ОК]
Активируется интерфейс eth0: [ОК]
Тот же самый эффект может быть достигнут и без перезагрузки сети:
[root@karlnext /]# sysctl –w net.ipv4.icmp_ignore_bogus_error_responses = 1

Включение защиты от атак, основанных на фальсификации IP-адреса

При реализации атак, основанных на фальсификации IP-адреса (IP spoofing), злоумышленник отправ-
ляет в сеть пакеты с ложным обратным адресом, пытаясь переключить на свой компьютер соединения, ус-
тановленные между другими компьютерами. При этом он может получить удаленный доступ к системе с
правами доступа, равным правам доступа того пользователя, чье соединение с сервером было переключено
на компьютер злоумышленника. Включение защиты осуществляется следующим образом.
Шаг 1
Добавьте или откорректируйте в файле /etc/sysctl.conf следующие строки:
# Включение защиты от IP-spoofing
# Усиленная проверка
ipv4.conf.all.rp_filter = 2
net.ipv4.conf.default.rp_f liter = 2
# Простая проверка
#ipv4.conf.all.rp_filter = 1
#net.ipv4.conf.default.rp_f liter = 2
Шаг 2
Для того, чтобы внесенные изменения вступили в силу, перезагрузите сеть:
[root@karlnext /]# /etc/init.d/network restart
Деактивируется интерфейс eth0: [ОК]
Деактивируется интерфейс-петля: [ОК]
Устанавливаются параметры сети: [ОК]
Активируется интерфейс loopback: [ОК]
Активируется интерфейс eth0: [ОК]
Тот же самый эффект может быть достигнут и без перезагрузки сети:
[root@karlnext /]# sysctl –w ipv4.conf.all.rp_filter = 2
[root@karlnext /]# sysctl –w net.ipv4.conf.default.rp_f liter = 2

Включение регистрации Spoofed, Source Routed и Redirect пакетов

Для получения информации о Spoofed, Source Routed и Redirect пакетах, которая может
быть использована для анализа выявления попыток и механизмов взлома системы, необходимо установить
следующие параметры.
Шаг 1
Добавьте или откорректируйте в файле /etc/sysctl.conf следующие строки:
# Включение регистрации Spoofed, Source Routed и Redirect пакетов
net.ipv4.conf.all.log_martians = 1
net.ipv4.сonf.default.log_martians = 1
Шаг 2
Для того чтобы внесенные изменения вступили в силу, перезагрузите сеть:
[root@karlnext /]# /etc/init.d/network restart
Деактивируется интерфейс eth0: [ОК]
Деактивируется интерфейс-петля: [ОК]
Устанавливаются параметры сети: [ОК]
Активируется интерфейс loopback: [ОК]
Активируется интерфейс eth0: [ОК]
Тот же самый эффект может быть достигнут и без ее перезагрузки:
[root@karlnext /]# sysctl –w net.ipv4.conf.all.log_martians = 1
[root@karlnext /]# sysctl –w net.ipv4.conf.all.log_martians = 1

Включение пересылки пакетов

Если система используется в качестве шлюза, прокси-сервера, VPN-сервера и т. п., необходимо вклю-
чить пересылку пакетов с одной сети в другую. Это осуществляется следующим образом.
Шаг 1
Добавьте или откорректируйте в файле /etc/sysctl.conf следующие строки:
# Разрешаем пересылку пакетов
net.IPv4.IP_forward = 1
Шаг 2
Для того, чтобы внесенные изменения вступили в силу, перезагрузите сеть:
[root@karlnext /]# /etc/init.d/network restart
Деактивируется интерфейс eth0: [ОК]
Деактивируется интерфейс-петля: [ОК]
Устанавливаются параметры сети: [ОК]
Активируется интерфейс loopback: [ОК]
Активируется интерфейс eth0: [ОК]
Тот же самый эффект может быть достигнут и без перезагрузки сети:
[root@karlnext /]# sysctl –w IP_forward =1
ЗАМЕЧАНИЕ К включению этой опции нужно относиться с определенной степенью осторожности и ис-
пользовать ее только в случае крайней необходимости, т. е. только если предполагается использование сис-
темы в качестве сервера, обеспечивающего пересылку пакетов. Подключать систему с включенной опцией
IP_forward к сетям общего пользования можно только после настройки и тщательной проверки правильно-
сти настроек системы сетевой защиты и серверов, ограничивающих пересылку пакетов, например SQUID,
FreeS/WAN VPN и т. п.
Авторы столкнулись с анекдотичной ситуацией, в которой некоторая московская фирма жаловалась
на завышение объема трафика провайдером. Можно понять возмущение ее владельцев, когда в период с
02.00 до 07.00 1января провайдер выставил счет на несколько сотен мегабайт трафика. В это время все ком-
пьютеры (кроме шлюза, Web-сервера и почтового сервера), естественно, были выключены, а у единственно-
го сотрудника службы безопасности, который в это время находился в офисе, было, на наш взгляд, железное
алиби: «Я не умею включать компьютеры, и денег у вашего Интернета я не брал!..».
Детальный анализ ситуации (проверка настроек и включение дополнительных опций служб регистра-
ции) показал, что сервера этой компании используются в качестве анонимного прокси-сервера для просмот-
ра ресурсов эротического содержания пользователями из страны, в которой это делать, по-видимому, за-
прещено. В итоге деньги за трафик получали два провайдера – из далекой страны и московский. Последне-
му, естественно, платила московская фирма.

В этой главе рассматриваются вопросы, связанные с конфигурационными файлами сетевых устройств
и основными командами, используемыми для настройки сети. Перед продолжением работ по созданию оп-
тимизированной и безопасной системы необходимо проверить все конфигурационные файлы, связанные с
настройкой сети и убедиться, что все сконфигурировано правильно. И если в дальнейшем что-то не будет
получаться, то будет твердая уверенность, что это уж точно не связано с настройками сети.

Конфигурационные файлы /etc/sysconfig/network-scripts/ifcfg-ethN

Файлы /etc/sysconfig/network-scripts/ifcfg-ethN используются системой для инициа-
лизации и настройки сетевых карт. Содержимое файла /etc/sysconfig/network-scripts/ifcfgeth0,
установленного по умолчанию можно посмотреть с помощью команды:
[root@dymatel /]#cat /etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0
ONBOOT=yes
IPADDR=172.16.181.100
NETMASK=255.255.255.0
NETWORK=172.16.181.0
BROADCAST=172.16.181.255
BOOTPROTO=static
DSERCTL=no
Вы можете изменить параметры сети для данного сетевого интерфейса, добавив или изменив в файле
/etc/sysconfig/network-scripts/ifcfg-eth0 соответствующие строки. Наиболее часто для
конфигурации сетевых устройств используются следующие параметры.
Параметр DEVICE=devicename
определяет название физического сетевого устройства, в данном примере – eth0.
Параметр ONBOOT=yes/no о
определяет, активизируется ли сетевое устройство при загрузке или нет (yes-активизируется, no -нет).
Параметр BOOTPROTO=proto
определяет способ установки IP-адреса при загрузке системы. Например:
• static – при загрузке системы устанавливается статический IP-адрес (значение по умолчанию);
• none – при загрузке не используется никакой протокол;
• bootp – при загрузке системы используется протокол bootp;
• dhcp – при загрузке используется протокол dhcp.
Параметр IPADDR=Ipaddr
определяет IP-адрес, в данном примере 172.16.181.100.
Параметр NETMASK=netmask
определяет маску сети, в данном примере 255.255.255.0.
Параметр NETWORK=network
определяет адрес сети, в данном примере 172.16.181.0.
Параметр BROADCAST=broadcast
определяет широковещательный адрес, в данном примере 172.16.181.255.
Параметр DSERCTL=yes/no
определяет, разрешено ли обычным пользователям управлять сетевым интерфейсом (yes-разрешено, no -
запрещено).
Предположим, что нам необходимо присвоить сетевому интерфейсу дополнительный IP-адрес –
172.16.181.101. Это можно реализовать следующим образом.
Шаг 1
Создайте копию файла /etc/sysconfig/network-scripts/ifcfg-eth0:
[root@dymatel /]# cp /etc/sysconfig/network-scripts/ifcfg-eth0
/etc/sysconfig/network-scripts/ifcfg-eth0:0
Шаг 2
Измените строку:
IPADDR=172.16.181.100
на:
IPADDR=172.16.181.101
Шаг 3
Перезагрузите сеть:
[root@dymatel /]# /etc/init.d/network restart
Деактивируется интерфейс eth0: [ОК]
Деактивируется интерфейс-петля: [ОК]
Устанавливаются параметры сети: [ОК]
Активируется интерфейс loopback: [ОК]
Активируется интерфейс eth0: [ОК]

Конфигурационный файл /etc/resolv.conf

Конфигурационный файл /etc/resolv.conf содержит IP-адреса DNS-серверов, используемых
вашей системой для выполнения преобразований имени хостов в IP-адрес и обратно:
[root@dymatel /]# cat /etc/resolv.conf
search und
nameserver 172.16.181.200
nameserver 212.111.78.3
nameserver 212.111.80.3
Запросы к серверам имен делаются в том порядке, в котором они указаны в файле
/etc/resolv.conf. То есть в рассматриваемом примере сначала осуществляется обращение к DNS-
серверу 172.16.181.200, который находится внутри локальной сети, и только в случае, если он не дает ответа
на запрос, обращение осуществляется к первичному и вторичному DNS-серверам провайдера. Наличие
внутреннего DNS-сервера упрощает администрирование локальной сети, повышает быстродействие и не-
сколько сокращает затраты на трафик.

Конфигурационный файл /еtc/hosts

Конфигурационный файл /еtc/hosts предназначен для установления взаимно однозначного соот-
ветствия между именами хостов и их IP-адресами без использования обращения к DNS-серверам. Этот файл
имеет очень простую структуру:
[root@dymatel /]# cat /etc/hosts/
#IP- Адрес Полное имя хоста Псевдоним
127.0.0.1 localhost.localdomain localhost
…
172.16.181.100 www.dymatel.und dymatel
172.16.181.103 drwalbr.und walbr
172.16.181.105 karlnext.und karlnext
…
213.180.194.129 www.yandex.ru y
…
Этот файл пришел к нам в качестве наследства из тех времен, когда сетевых ресурсов было очень ма-
ло, и на каждом компьютере содержалась информация о всех хостах. В настоящее время этот файл может
использоваться для организации преобразования имен в IP-адреса в небольших сетях, не имеющих DNS-
серверов (при этом копия файла должна быть установлена на каждом из компьютеров сети), для снижения
загрузки DNS-серверов при обращении к часто запрашиваемым ресурсам и для организации возможности
обращении к ресурсам по псевдонимам. Например, при предложенной конфигурации файла /etc/hosts
обращение к ресурсам www.dymatel.und и www.yandex.ru возможно по их псевдонимам, соответст-
венно – dymatel и y.

Конфигурационный файл /еtc/host.conf

Конфигурационный файл /еtc/host.conf используется для установки порядка, в котором осуще-
ствляются обращения к различным типам ресурсов, используемых для установки соответствия между име-
нами хостов и их IP-адресами. Пример файла /еtc/host.conf:
[root@dymatel /]# cat /etc/hosts.conf
#сначала осуществляется обращение к файлу
#/еtc/hosts а затем к DNS-серверам
order hosts,bind
#Разрешена поддержка хостов c несколькими IP-адресами
multi on

Конфигурационный файл /etc/sysconfig/network

В файле /etc/sysconfig/network содержатся основные параметры настройки сети:
[root@dymatel /]# cat /etc/sysconfig/network
NETWORKING=yes
HOSTNAME=www.dymatel.und
GATEWAY=172.16.181.200
GATEWAYDEV=eth0
DNS1=212.111.78.3
DNS2=212.111.80.3
Вы можете изменять настройки сети, варьируя следующие параметры:
• NETWORKING=yes/no – включает/выключает поддержку сетевых функций системы;
• HOSTNAME=hostname – устанавливает сетевое имя системы, в данном примере
www.dymatel.und;
• GATEWAY=IP_gw – устанавливает IP-адрес шлюза;
• GATEWAYDEV=dev_gv - определяет физическое устройство, через которое осуществляется доступ
к шлюзу, в данном примере – eth0.

Проверка работоспособности сетевых настроек

Шаг 1
Проверьте в соответствии с рекомендациями этой и предыдущей главы правильность установки па-
раметров в следующих файлах:
• /etc/sysctl.conf;
• /etc/sysconfig/network-scripts/ifcfg-ethN;
• /etc/resolv.conf;
• /еtc/hosts и /etc/sysconfig/network.
Шаг 2
Проверьте состояние сетевых интерфейсов:
[root@dymatel /]# ifconfig
eth0 Link encap:Ethernet HWaddr 00:C0:26:AA:35:0C
inet addr:172.16.181.100 Bcast:172.16.181.255
Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:13152266 errors:0 dropped:0 overruns:0 frame:0
TX packets:13130468 errors:0 dropped:0 overruns:0 carrier:0
collisions:56228 txqueuelen:100
RX bytes:4209088620 (4014.0 Mb) TX bytes:2575418894 (2456.1
Mb)
Interrupt:11 Base address:0xd000
eth0:0 Link encap:Ethernet HWaddr 00:C0:26:AA:35:0C
inet addr:172.16.181.102 Bcast:172.16.181.255
Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Interrupt:11 Base address:0xd000
eth1 Link encap:Ethernet HWaddr 00:C0:26:AA:47:38
inet addr:192.168.14.85 Bcast:192.168.255.255
Mask:255.255.0.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:21285840 errors:0 dropped:0 overruns:0 frame:0
TX packets:10510 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:1755892233 (1674.5 Mb) TX bytes:2386737 (2.2 Mb)
Interrupt:10 Base address:0xf000
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:39809472 errors:0 dropped:0 overruns:0 frame:0
TX packets:39809472 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:3988297410 (3803.5 Mb) TX bytes:3988297410 (3803.5
Mb)
В рассматриваемом примере на системе установлены две сетевых карты eth0 и eth1, причем eth0 име-
ет два IP-адреса – 172.16.181.100 и 172.16.181.102, а eth1 один – 192.168.14.85. Все сетевые интерфейсы ак-
тивны.
Шаг 3
Проверьте связь с другими системами.
C системой в сети 172.16.181.103:
[root@www root]# ping -c 3 172.16.181.103
PING 172.16.181.103 (172.16.181.103) from 172.16.181.100 : 56(84) bytes
of data.
64 bytes from 172.16.181.103: icmp_seq=1 ttl=64 time=280 usec
64 bytes from 172.16.181.103: icmp_seq=2 ttl=64 time=287 usec
64 bytes from 172.16.181.103: icmp_seq=3 ttl=64 time=295 usec
— 172.16.181.103 ping statistics —
3 packets transmitted, 3 received, 0% loss, time 1998ms
rtt min/avg/max/mdev = 0.280/0.287/0.295/0.015 ms
C системой в сети 192.168.10.5:
[root@www root]# ping -c 3 192.168.10.5
PING 192.168.10.5 (192.168.10.5) from 192.168.14.85 : 56(84) bytes of
data.
64 bytes from 192.168.10.5: icmp_seq=1 ttl=64 time=1.625 msec
64 bytes from 192.168.10.5: icmp_seq=2 ttl=64 time=742 usec
64 bytes from 192.168.10.5: icmp_seq=3 ttl=64 time=671 usec
— 192.168.10.5 ping statistics —
3 packets transmitted, 3 received, 0% loss, time 2004ms
rtt min/avg/max/mdev = 0.671/1.012/1.625/0.435 ms
C системой в Интернете:
[root@www root]# ping -c 3 213.180.194.129
PING 213.180.194.129 (213.180.194.129) from 172.16.181.100 : 56(84) bytes
of data.
64 bytes from 213.180.194.129: icmp_seq=1 ttl=56 time=15.627 msec
64 bytes from 213.180.194.129: icmp_seq=2 ttl=56 time=12.886 msec
64 bytes from 213.180.194.129: icmp_seq=3 ttl=56 time=12.207 msec
— 213.180.194.129 ping statistics —
3 packets transmitted, 3 received, 0% loss, time 2023ms
rtt min/avg/max/mdev = 12.207/13.573/15.627/1.481 ms
Если вы получили отклики от других систем, аналогичные приведенным выше, то связь работает. В
противном случае, т. е. при появлении вывода аналогичного этому:
[root@www root]# ping -c 3 192.168.10.5
PING 192.168.10.5 (192.168.10.5) from 192.168.14.85 : 56(84) bytes of
data.
From 192.168.14.85: icmp_seq=3 Destination Host Unreachable
From 192.168.14.85: icmp_seq=3 Destination Host Unreachable
From 192.168.14.85: icmp_seq=2 Destination Host Unreachable
From 192.168.14.85: icmp_seq=1 Destination Host Unreachable
— 192.168.10.5 ping statistics —
3 packets transmitted, 0 received, +4 errors, 100% loss, time 2018ms
, pipe 3
убедитесь, что выбранные для тестирования системы включены и в них не установлен запрет на ответ на
ping-запросы. Если системы, используемые для тестирования, включены и способны отвечать на ping-
запросы, проверьте еще раз сетевые настройки (шаг 1), правильность подключения концентраторов и мар-
шрутизаторов, кабели т. д.
Шаг 4
Проверьте правильность настроек DNS.
Работоспособность настроек в файле /etc/hosts:
[root@www root]# ping -c 3 drwalbr.und
PING drwalbr.und (172.16.181.103) from 172.16.181.100 : 56(84) bytes of
data.
64 bytes from drwalbr.und (172.16.181.103): icmp_seq=1 ttl=64 time=395
usec
64 bytes from drwalbr.und (172.16.181.103): icmp_seq=2 ttl=64 time=344
usec
64 bytes from drwalbr.und (172.16.181.103): icmp_seq=3 ttl=64 time=296
usec
— drwalbr.und ping statistics —
3 packets transmitted, 3 received, 0% loss, time 1998ms
rtt min/avg/max/mdev = 0.296/0.345/0.395/0.040 ms
[root@www root]# ping -c 3 walbr
PING drwalbr.und (172.16.181.103) from 172.16.181.100 : 56(84) bytes of
data.
64 bytes from drwalbr.und (172.16.181.103): icmp_seq=1 ttl=64 time=392
usec
64 bytes from drwalbr.und (172.16.181.103): icmp_seq=2 ttl=64 time=293
usec
64 bytes from drwalbr.und (172.16.181.103): icmp_seq=3 ttl=64 time=292
usec
— drwalbr.und ping statistics —
3 packets transmitted, 3 received, 0% loss, time 1999ms
rtt min/avg/max/mdev = 0.292/0.325/0.392/0.051 ms
Работоспособность настроек в файле /etc/resolv.conf:
[root@www root]# ping -c 3 www.yandex.ru
PING www.yandex.ru (213.180.194.129) from 172.16.181.100 : 56(84) bytes
of data.
64 bytes from yandex.ru (213.180.194.129): icmp_seq=1 ttl=56 time=16.812
msec
64 bytes from yandex.ru (213.180.194.129): icmp_seq=2 ttl=56 time=91.939
msec
64 bytes from yandex.ru (213.180.194.129): icmp_seq=3 ttl=56 time=17.107
msec
— www.yandex.ru ping statistics —
3 packets transmitted, 3 received, 0% loss, time 2019ms
rtt min/avg/max/mdev = 16.812/41.952/91.939/35.346 ms
Если вы получили отклики от удаленных систем в Интернет и локальных сетях, аналогичные приве-
денным выше, то настройки DNS – правильные. В противном случае, т. е. при появлении вывода аналогич-
ного этому:
[root@www root]# ping –с 3 www.yandex.ru
ping: unknown host www.yandex.ru
проверьте содержимое файлов /etc/hosts и /etc/resolv.conf.
Шаг 5
Проверьте таблицу маршрутизации:
[root@www root]# route -n
Destination Gateway Genmask Flags Metric Ref Use Iface
172.16.181.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth1
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 172.16.181.1 0.0.0.0 UG 0 0 0 eth0
Шаг 6
Проверьте статистику TCP/IP соединений:
[root@dymatel /]# netstat –vat
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 *:http *:* LISTEN
tcp 0 0 *:https *:* LISTEN
Шаг 7
Проверьте правильность установки сетевого имени системы:
[root@dymatel /]# hostname
www.dymatel.und

В этой главе рассматриваются основные принципы и понятия, связанные с системой сетевой защиты
(Firewall). К настоящему времени разработаны и активно развиваются системы сетевой защиты, основанные
на следующих технологиях.
Первый тип – фильтрация пакетов (packet filtering) – тип встроенной в ядро сетевой защиты, рабо-
тающей на сетевом уровне. Пакеты фильтруются в соответствии с их типом, исходным адресом, адресом на-
значения и информацией о порте, содержащейся в заголовке пакета. Такой тип сетевой защиты основан на
анализе небольшого объема информации, поэтому мало влияет на загрузку центрального процессора и не
создает заметных задержек в работе сети.
Первое поколение данного типа фильтрации, известное в Linux как IPCHAINS, реализовывало стати-
ческую схему сетевой защиты, при которой соединения между внутренними и внешними сетями всегда ос-
тавались открытыми для портов, используемых работающими на системе службами. Такая система сетевой
защиты реализована в ядрах версий 2.2.х. Основной недостаток этого типа защиты состоит в том, что для
нормального функционирования системы необходимо все время держать открытыми ряд портов.
Второе поколение – так называемые динамические пакетные фильтры (Dynamic Packet Filters), из-
вестные в Linux, как программа сетевой защиты IPTables, используемая в версиях ядра 2.4.x. При такой сис-
теме фильтрации соответствующий порт открывается только на время прохождения легитимного исходяще-
го пакета, либо для приема ожидаемого системой пакета. Ядра Linux версии 2.4.х поддерживают новый ме-
ханизм для формирования системы сетевой защиты, называемый сетевой пакетной фильтрацией (netfilter).
Он более сложен, чем предыдущий механизм (IPCHAINS), но более безопасен. Блокирует большинство
DoS-атак. В случае, если инородный пакет пытается проникнуть в защищаемую систему или сеть под видом
пакета, принадлежащего существующему соединению, IPTables может свериться со своим хранящимся в
памяти списком открытых соединений, обнаружить, что пакет не соответствует ни одному из них, и запре-
тить его пропуск.
Общими недостатками систем сетевой защиты, основанных на фильтрации пакетов, являются:
• возможность подключения систем, находящихся за пределами локальной сети, к системам внутри
неё;
• отсутствие возможности селекции пакетов по пользователям с реализацией соответствующей иден-
тификации.
Второй тип систем сетевой защиты, так называемые прокси-программы (application gateway), извест-
ные в Linux как Squid. Это программное обеспечения детально анализирует информацию, заключенную в
теле пакетов, перед тем, как разрешить доступ в сеть пользователю из внешней сети. Запрещает прямые со-
единения между внутренними и внешними системами, поддерживает идентификацию пользователей.
Концепция безопасности системы сетевой защиты
Существует два подхода к концепции безопасности.
«Все, что не разрешено – то запрещено». При таком подходе блокируется весь трафик между внеш-
ней и внутренней сетями, за исключением трафика, генерируемого разрешенными службами и приложения-
ми. Такая концепция безопасности наиболее эффективна, однако создает определенные неудобства для
пользователей и требует больших трудозатрат на администрирование сети для реализации конкретных тре-
бований пользователей (у меня не работает «мирка», «аська», не могу скачать последнюю версию програм-
мы с неправильно настроенного FTP-сервера, не слышу Web-радио и т. п. ).
«Все, что не запрещено – то разрешено». При таком подходе разрешается весь трафик между двумя
сетями, за исключением некоторого перечня служб и приложений. Это очень удобно для пользователей, но с
точки зрения авторов, не обеспечивает приемлемый уровень безопасности.
Поэтому авторы настоятельно рекомендуют использовать именно первый вариант концепции систе-
мы сетевой защиты.

Порты

IANA (Internet Assigned Numbers Authority) образован международными организациями ISOC (Internet
Society) и FNC (Federal Network Council) как центр обмена информацией для определения и координирова-
ния использования параметров протоколов Интернет. Одним из таких параметров являются номера портов,
закрепленные за определенной службой. Например, если вы разработали новый (ранее не существующий)
тип службы, например, службу управления специфичными бытовыми устройствами в вашем доме, IANA
должна будет зарегистрировать и обслуживать уникальный номер порта, выделенный для этой программы.
Понятие «порт» было введено для организации одновременного соединения с многочисленными
службами Интернет. Каждый компьютер имеет 65535 доступных портов. Так называемые «хорошо извест-
ные» (well known) порты имеют номера в диапазоне от 0 до 1023. Эти порты, в большинстве случаев, ис-
пользуются системными процессами или программами, выполняемыми привилегированными пользовате-
лями в фоновом режиме (службами). Зарегистрированные (registered) порты имеют номера в диапазоне от
1024 до 49151, но на большинстве систем могут использоваться любыми приложениями. Динамические
порты (dynamic или private) имеют номера в диапазоне 49152…65535.
Все открытые порты должны иметь службу (демон), которая на нем выполняется, т. е. обслуживает
обращающихся к этому порту пользователей. Если служба на некотором порту не выполняется, то он дол-
жен быть закрыт.

Ограничения и допущения

Все операции выполняются пользователем с учетной записью root.
Используется ядро версии 2.4.х.
Используется дистрибутив ASPLinux 7.3 (Vostok). На других дистрибутивах возможно успешное вы-
полнение подобной процедуры, но авторы этого не проверяли.

Пакеты

В дистрибутив ASPLinux 7.3 (Vostok) входит пакет iptables-1.2.6a-1.asp, используемый для
установки системы сетевой защиты. Ее поддержка также включена в ядро, устанавливаемое по умолчанию.
Если вы следовали рекомендациям по инсталляции нового ядра, то пакет, поставляемый с дистрибутивом,
сохраняет свою работоспособность и не требует перекомпиляции ядра. Однако, используя новое ядро с пер-
сональной конфигурацией, из-за наличия неудовлетворенных зависимостей, вы не сможете установить па-
кет iptables-1.2.6a-1.asp, входящий в состав дистрибутива, или обновленный пакет, который может
быть выпущен поставщиком дистрибутива. В этом случае придется устанавливать IPTables из исходных ко-
дов.
Последующие рекомендации основаны на информации с домашней страницы проекта NetFilter/
IPTables, полученной 01.02.2003. Пожалуйста, регулярно посещайте домашнюю страницу проекта
http://www.iptables.org/ или http://www.iptables.org/ для отслеживания обновлений. Ос-
новная часть кода, используемая для системы сетевой защиты, включается в состав ядра. Разработчики IPTables
не могут гарантировать, что последние изменения внесены в официальный релиз ядра, размещаемый
на http://www.kernel.org. Поэтому все необходимые для нормальной работы системы сетевой защи-
ты изменения в код ядра содержатся в пакете patch-o-matic-YYYYMMDD.tar.bz2 (последний, доступ-
ный на момент написания книги, - patch-o-matic-20030107.tar.bz2). Часть кода, не входящяя в яд-
ро, содержится в пакете iptables-version.tar.bz2 (последний, доступный на момент написания кни-
ги, - iptables-1.2.7a.tar.bz2).
Необходимые пакеты доступны с домашней страницы разработчиков http://www.iptables.org
или http://www.iptables.org, а также FTP-сервера ftp://ftp.netfilter.org.

Компиляция оптимизация и инсталляция IPTables из rpm-пакетов

Если вы используете пакет iptables-1.2.6a-1.asp, входящий в состав дистрибутива ASPLInux
7.3 (Vostok), то вам необходимо сделать следующее.
Шаг 1
Если вы предпочитаете использование системы со стандартным ядром и программным обеспечением,
установленным из rpm-пакетов, для установки или обновления пакета необходимо выполнить следующие
операции.
ЗАМЕЧАНИЕ Авторы настоятельно рекомендуют устанавливать программное обеспечение из исход-
ных кодов.
Шаг 1
Проверьте, установлен ли пакет iptables с помощью следующей команды:
[root@bastion /]# rpm –iq iptables
Если вы следовали нашим рекомендациям, то он должен быть уже установлен.
Если пакет не установлен, перейдите в каталог, где находится пакет iptables-1.2.6a-
1.asp.i386.rpm. Если вы в соответствии с рекомендациями главы 2 скопировали все пакеты, входящие в
дистрибутив, в каталог /home/distrib, то выполните команду:
[root@bastion /]# cd /home/distrib
и установите:
[root@bastion distrib]# rpm –ihv iptables-1.2.6a-1.asp.i386.rpm
или обновите пакет:
[root@bastion distrib]# rpm –Uhv iptables-1.2.6a-1.asp.i386.rpm
Шаг 2
Как уже отмечалось, поддержка системы сетевой защиты осуществляется на уровне ядра. Для того,
чтобы она могла функционировать на вашей системе, необходимо при настройке ядра установить или про-
верить правильность установки опций, связанных с функционированием системы сетевой защиты, в соот-
ветствии с рекомендациями, приведенными ниже в главе 6.
Для всех серверов, кроме шлюзов и прокси-серверов:
* Packet socket (CONFIG__PACKET) [Y/n/?]
Эта опция включает/отключает поддержку приложений, которые связываются непосредственно с се-
тевыми устройствами без использования промежуточного сетевого протокола, осуществленного в ядре, по-
добно программе tcpdump.
Packet socket: mmapped IO (CONFIG_PACKET_MMAP) [N/y/?]
Эта опция включает/отключает ускорение работы драйвера пакетов.
Netlink device emulation (CONFIG_NETLINK_DEV) [N/y/?] (NEW)
Эта опция обеспечивает обратную совместимость.
Network packet filtering (replaces ipchains) (CONFIG_NETFILTER) [N/y/?]

Эта опция включает/отключает поддержку Firewall.
Network packet filtering debugging (CONFIG_NETFILTER_DEBUG) [N/y/?] (NEW)

Эта опция включает/отключает поддержку отладки кода netfilter.
Socket Filtering (CONFIG_FILTER) [N/y/?]
Эта опция включает/отключает поддержку фильтра Linux Socket Filter, необходимого для реализации
фильтрации пакетов PPP соединений.
Unix domain sockets (CONFIG_UNIX) [Y/n/?]
Опция включает/отключает поддержку работы с сетями TCP/IP.
TCP/IP networking (CONFIG_INET) [Y/n/?]
Опция включает/отключает поддержку работы с сетями TCP/IP.
IP: multicasting (CONFIG_IP_MULTICAST) [Y/n/?]
Эта опция необходима для реализации сетевых мультимедийных технологий.
IP: advanced router (CONFIG_IP_ADVANCED_ROUTER) [N/y/?]
Эта опция позволяет конфигурировать систему как шлюз. В случае включения этой опции необходимо отве-
тить на ряд дополнительных вопросов.
IP: kernel level autoconfiguration (CONFIG IP_PNP) [N/y/?]
Включение этой опции необходимо только для бездисковых рабочих станций, требующих доступа к сети
для загрузки.
IP: tunneling (CONFIG_NET_IPIP) [N/y/?]
Эта опция включает поддержку туннелирования. Её использование необходимо, например, при подключе-
нии сервера к сети через VPN-подключение.
IP: GRE tunnels over IP (CONFIG_NET_IPGRE) [N/y/?]
Другой вид настройки туннелирования. Её использование необходимо, например, при подключении
сервера к сети через VPN-подключение.
IP: TCP Explicit Congestion Notification support (CONFIG_INET_ECN)
[N/y/?]
Опция включает/отключает поддержку уведомления клиентов о перегрузке системы. К сожалению,
многие сервера отказывают в доступе тем системам, на которых включена эта опция, из соображений безо-
пасности.
IP: TCP syncookie support (disabled per default) (CONFIG_SYN_COOKIES)
[N/y/?] Y
Эта опция включает/отключает поддержку защиты от SYN-атак.
*
*IP: Netfilter Configuration
*
Connection tracking (required for masq/NAT) (CONFIG_IP_NF_CONNTRACK)
[N/y/?] (NEW)
FTP protocol support (CONFIG_IP_NF_FTP) [N/y/?] (NEW)
IRC protocol support (CONFIG_IP_NF_IRC) [N/y/?] (NEW)
IP tables support (required for filtering/masq/NAT)
(CONFIG_IP_NF_IPTABLES) [N/y/?] (NEW)
limit match support (CONFIG_IP_NF_MATCH_LIMIT) [N/y/?] (NEW)
MAC address match support (CONFIG_IP_NF_MATCH_MAC) [N/y/?] (NEW)
netfilter MARK match support (CONFIG_IP_NF_MATCH_MARK) [N/y/?] (NEW)
Multiple port match support (CONFIG_IP_NF_MATCH_MULTIPORT) [N/y/?] (NEW)

TOS match support (CONFIG_IP_NF_MATCH_TOS) [N/y/?] (NEW)
LENGTH match support (CONFIG_IP_NF_MATCH_LENGTH) [N/y/?] (NEW)
TTL match support (CONFIG_IP_NF_MATCH_TTL) [N/y/?] (NEW)
tcpmss match support (CONFIG_IP_NF_MATCH_TCPMSS) [N/y/?] (NEW)
Connection state match support (CONFIG_IP_NF_MATCH_STATE) [N/y/?] (NEW)

Packet filtering (CONFIG_IP_NF_FILTER) [N/y/?] (NEW)
REJECT target support (CONFIG_IP_NF_TARGET_REJECT) [N/y/?] (NEW)
Full NAT (CONFIG_IP_NF_NAT) [N/y/?] (NEW)
Packet mangling (CONFIG_IP_NF_MANGLE) [N/y/?] (NEW)
TOS target support (CONFIG_IP_NF_TARGET_TOS) [N/y/?] (NEW)
MARK target support (CONFIG_IP_NF_TARGET_MARK) [N/y/?] (NEW)
LOG target support (CONFIG_IP_NF_TARGET_LOG) [N/y/?] (NEW)
TCPMSS target support (CONFIG IP NF_TARGET_TCPMSS) [N/y/?] (NEW)
Для шлюзов и прокси-серверов.
* Packet socket (CONFIG__PACKET) [Y/n/?]
Эта опция включает/отключает поддержку приложений, которые связываются непосредственно с сетевыми
устройствами без использования промежуточного сетевого протокола, осуществленного в ядре, подобно
программе tcpdump.
Packet socket: mmapped IO (CONFIG_PACKET_MMAP) [N/y/?]
Эта опция включает/отключает ускорение работы драйвера пакетов.
Netlink device emulation (CONFIG_NETLINK_DEV) [N/y/?] (NEW)
Эта опция обеспечивает обратную совместимость.
Network packet filtering (replaces ipchains) (CONFIG_NETFILTER) [N/y/?]

Эта опция включает/отключает поддержку Firewall.
Network packet filtering debugging (CONFIG_NETFILTER_DEBUG) [N/y/?] (NEW)

Эта опция включает/отключает поддержку отладки кода netfilter.
Socket Filtering (CONFIG_FILTER) [N/y/?]
Эта опция включает/отключает поддержку фильтра Linux Socket Filter, необходимого для реализации
фильтрации пакетов PPP-соединений.
Unix domain sockets (CONFIG_UNIX) [Y/n/?]
Опция включает/отключает поддержку работы с сетями TCP/IP.
TCP/IP networking (CONFIG_INET) [Y/n/?]
Опция включает/отключает поддержку работы с сетями TCP/IP.
IP: multicasting (CONFIG_IP_MULTICAST) [Y/n/?]
Эта опция необходима для реализации сетевых мультимедийных технологий.
IP: advanced router (CONFIG_IP_ADVANCED_ROUTER) [N/y/?]
Эта опция позволяет конфигурировать систему как шлюз. В случае включения этой опции необходимо отве-
тить на ряд дополнительных вопросов.
IP: policy router (CONFIG_IP_MULTIPLE_TABLES) [N/y/?]
IP: use netfilter MARK value as routing key (CONFIG_IP_ROUTE_FWMARK)
[N/y/?]
IP: fast network address translation (CONFIG_IP_ROUTE_NAT) [N/y/?]
IP: equal cost multipath (CONFIG_IP_ROUTE_MULTIPATH) [N/y/?]
IP: use TOS value as routing key(CONFIG_IP_ROUTE_TOS) [N/y/?]
IP: verbose route monitoring (CONFIG_IP_ROUTE_VERBOSE) [N/y/?]
IP: large routing tables (CONFIG_IP_ROUTE_LARGE_TABLES) [N/y/?]
IP: kernel level autoconfiguration (CONFIG_IP_PNP) [N/y/?]
Включение этой опции необходимо только для бездисковых рабочих станций, требующих доступа к сети
для загрузки.
IP: tunneling (CONFIG_NET_IPIP) [N/y/?]
Эта опция включает поддержку туннелирования. Её использование необходимо, например, при подключе-
нии сервера к сети через VPN-подключение.
IP: GRE tunnels over IP (CONFIG_NET_IPGRE) [N/y/?]
Другой вид настройки туннелирования. Её использование необходимо, например, при подключении сервера
к сети через VPN-подключение.
IP: TCP Explicit Congestion Notification support (CONFIG_INET_ECN)
[N/y/?]
Опция включает/отключает поддержку уведомления клиентов о перегрузке системы. К сожалению, многие
сервера отказывают в доступе тем системам, на которых включена эта опция, из соображений безопасности.
IP: TCP syncookie support (disabled per default) (CONFIG_SYN_COOKIES)
[N/y/?] Y
Эта опция включает/отключает поддержку защиты от атак типа “SYN-flood”.
*
*IP: Netfilter Configuration
*
Connection tracking (required for masq/NAT) (CONFIG_IP_NF_CONNTRACK)
[N/y/?] (NEW)
FTP protocol support (CONFIG_IP_NF_FTP) [N/y/?] (NEW)
IRC protocol support (CONFIG_IP_NF_IRC) [N/y/?] (NEW)
IP tables support (required for filtering/masq/NAT)
(CONFIG_IP_NF_IPTABLES) [N/y/?] (NEW)
limit match support (CONFIG_IP_NF_MATCH_LIMIT) [N/y/?] (NEW)
MAC address match support (CONFIG_IP_NF_MATCH_MAC) [N/y/?] (NEW)
netfilter MARK match support (CONFIG_IP_NF_MATCH_MARK) [N/y/?] (NEW)
Multiple port match support (CONFIG_IP_NF_MATCH_MULTIPORT) [N/y/?] (NEW)

TOS match support (CONFIG_IP_NF_MATCH_TOS) [N/y/?] (NEW)
LENGTH match support (CONFIG_IP_NF_MATCH_LENGTH) [N/y/?] (NEW)
TTL match support (CONFIG_IP_NF_MATCH_TTL) [N/y/?] (NEW)
tcpmss match support (CONFIG_IP_NF_MATCH_TCPMSS) [N/y/?] (NEW)
Connection state match support (CONFIG_IP_NF_MATCH_STATE) [N/y/?] (NEW)

Packet filtering (CONFIG_IP_NF_FILTER) [N/y/?] (NEW)
REJECT target support (CONFIG_IP_NF_TARGET_REJECT) [N/y/?] (NEW)
Full NAT (CONFIG_IP_NF_NAT) [N/y/?] (NEW)
MASQURADE target support (CONFIG_IP_NF_TARGET_MARK) [N/y/?] (NEW)
REDIRECT target support (CONFIG_IP_NF_TARGET_REDIRECT) [N/y/?] (NEW)
Packet mangling (CONFIG_IP_NF_MANGLE) [N/y/?] (NEW)
TOS target support (CONFIG_IP_NF_TARGET_TOS) [N/y/?] (NEW)
MARK target support (CONFIG_IP_NF_TARGET_MARK) [N/y/?] (NEW)
LOG target support (CONFIG_IP_NF_TARGET_LOG) [N/y/?] (NEW)
TCPMSS target support (CONFIG_IP_NF_TARGET_TCPMSS) [N/y/?] (NEW)
ipchains (2.2 style) support (CONFIG_IP_NF_COMPAT_IPCHAINS) [N/y/?] (NEW)

ipchains (2.0 style) support (CONFIG_IP_NF_COMPAT_IPWADM) [N/y/?] (NEW)

Шаг 3
Настройте, перекомпилируйте и инсталлируйте ядро в соответствии с одним из приведенных выше
вариантов конфигурации и инструкциями, изложенными в главе 6.
ЗАМЕЧАНИЕ Если вы следовали инструкциям, изложенным в главе 6, то в настройке, перекомпиляции
и инсталляции ядра нет необходимости. В этом случае достаточно лишь проверить правильность установки
опций, связанных с настройкой подсистемы сетевой безопасности ядра.

Компиляция оптимизация и инсталляция IPTables из исходных кодов

Для установки IPTables из исходных кодов необходимо сделать следующее. Авторы протестировали
работоспособность приведенных ниже рекомендаций для ядра версии 2.4.19 с наложенным на исходные ко-
ды патчем grsecurity-1.9.7d-2.4.19.
Шаг 1
Распакуйте архив с патчем patch-o-matic-20030107.tar.bz2 (этот патч применим к ядрам
версии 2.4.18…2.4.20) в каталоге /var/tmp:
[root@bastion tmp]# /usr/bin/bunzip2 patch-o-matic-20030107.tar.bz2
[root@bastion tmp]# tar –xpf patch-o-matic-20030107.tar
Шаг 2
Примените патч к исходным кодам ядра:
[root@bastion tmp]# cd patch-o-matic-20030107
[root@bastion patch-o-matic-20030107]# make
KERNEL_DIR=path_to_kernel_source patching_option
Параметр path_to_kernel_source
задает путь к каталогу, в который распакованы исходные коды ядра, инсталлированного в вашей системе. В
рассматриваемом примере – KERNEL_DIR=/usr/src/linux-2.4.19.
Параметр patching_option
определяет степень модификации исходных кодов ядра.
Параметр pending-patches
означает, что при применении патча будут изменены только те фрагменты кодов ядра, которые содержат
наиболее существенные ошибки и в любом случае будут учтены группой разработчиков кода ядра.
Параметр most-of-pom
внесет все из наиболее существенных, не противоречащих друг другу изменений, предлагаемыx группой
разработчиков IPTables.
Параметр patch-o-matic
предназначен для экспертов в области сетевой безопасности и позволяет самостоятельно добавлять, удалять
и получать информацию о каждом из патчей, применяемом к исходным кодам ядра. Если вы эксперт в об-
ласти сетевой безопасности, то вряд ли вы будете читать этот раздел и книгу в целом. Для остальных чита-
телей, желающих поэкспериментировать с различными вариантами модификации исходных кодов ядра, мо-
жет оказаться полезным ознакомление, по крайней мере, с Netfilter Hacking HOWTO и Netfilter Extensions
HOWTO, которые можно найти по адресу
http://www.netfilter.org/documentation/index.html#HOWTO.
Шаг 3
Распакуйте архив с пакетом iptables-1.2.7a.tar.bz2 в каталоге /var/tmp:
[root@bastion tmp]# /usr/bin/bunzip2 iptables-1.2.7a.tar.bz2
[root@bastion tmp]# tar –xpf iptables-1.2.7a.tar
Шаг 4
Удалите старую версию пакета iptables, если она установлена. Если iptables был установлен
из rpm-пакета, например, при первичной установке с поставляемого дистрибутива, выполните:
[root@bastion tmp]# rpm -e iptables
Если пакет устанавливался из исходных текстов, то наберите:
[root@bastion tmp]# rm –rf list_installed_files
Параметр list_of_installed_files представляет собой список файлов, установленных в сис-
теме при инсталляции iptables из исходных кодов, разделенных пробелами. Описание команд для созда-
ния перечня установленных файлов приведено ниже.
Шаг 5
Перейдите в каталог /var/tmp/iptables-1.2.7a:
[root@bastion tmp]# cd iptables-1.2.7a.tar
Откомпилируйте исходный код iptables-1.2.7a:
[root@bastion iptables-1.2.7a]# make KERNEL_DIR=/usr/src/linux-2.4.19.
BINDIR=/sbin LIBDIR=/lib/iptables MANDIR=/usr/share/man/man8
Установите iptables-1.2.7a:
[root@bastion iptables-1.2.7a]# find /* > /var/tmp/iptables.1.txt
[root@bastion iptables-1.2.7a]# make KERNEL_DIR=/usr/src/linux-2.4.19.
BINDIR=/sbin LIBDIR=/lib/iptables MANDIR=/usr/share/man/man8
Создайте и сохраните в надежном месте список файлов IPTables, установленных на системе:
[root@bastion iptables-1.2.7a]# find /* > /var/tmp/iptables.2.txt
[root@bastion iptables-1.2.7a]# diff /var/tmp/iptables.1.txt
/var/tmp/iptables.2.txt > /var/tmp/iptables.installed.txt
[root@bastion iptables-1.2.7a]# mv iptables.installed.txt
/very_reliable_place/iptables.installed.YYYYMMDD.txt /
Шаг 6
Осуществите в соответствии с назначением системы и рекомендациями, изложенными выше, на-
стройку, компиляцию и инсталляцию нового ядра, к исходным кодам которого был применен патч patcho-
matic-20030107. Инструкции по настройке компиляции и инсталляции ядра содержатся в главе 6.
Шаг 7
Удалите каталоги с исходными кодами ядра, патча patch-o-matic-20030107 и iptables-
1.2.7a и их архивы:
[root@bastion iptables-1.2.7a]# rm –rf /usr/src/linux-2.4.19
[root@bastion iptables-1.2.7a]# rm –rf /var/tmp/patch-o-matic-20030107
[root@bastion iptables-1.2.7a]# rm –rf /var/tmp/iptables-1.2.7a
[root@bastion iptables-1.2.7a]# rm –f /var/tmp/ iptables-1.2.7a.tar
[root@bastion iptables-1.2.7a]# rm –f /var/tmp/ patch-o-matic-
20030107.tar

Настройка системы сетевой защиты IPTables

IPTables используется для отправки, переадресации, организации маскарадинга (masquarade) и фильт-
рации пакетов, входящих в сеть или исходящих из нее. В настоящее время существуют четыре главных под-
системы, но только три действительно важны для работы IPTables:
• подсистема классификации пакетов;
• подсистема мониторинга подключений (connection-tracking system);
• подсистема трансляции адресов (network address translation).
Обычно правила, определяющие, что же должна делать система сетевой защиты, передаются ей в ви-
де команд:
[root@bastion /]# /sbin/iptables RULE
Параметр RULE представляет собой некоторое правило в виде набора опций команды iptables.
Набор правил также может быть оформлен в виде скрипта командного интерпретатора, содержащего коман-
ды, аналогичные приведенной выше. Подробное описание настроек сетевой защиты, применительно даже к
типовым вариантам ее конфигурации, может являться темой для отдельной книги и не может быть рассмот-
рено в пределах одной главы.
Ниже приведены три примера, демонстрирующие возможность управления подсистемами классифи-
кации пакетов, мониторинга подключений и трансляции адресов. Для желающих детально изучить систему
сетевой защиты рекомендуем, по крайней мере, ознакомиться с документом Iptables Tutorial, автором кото-
рого является Оскар Андреассон (Oskar Andreasson). Последнюю версию этого документа можно получить с
http://www.netfilter.org/documentation/tutorials/blueflux/ или воспользоваться одной
из версий перевода на русский язык этого документа, сделанного Андреем Киселевым. Для тех, кто не жела-
ет или не имеет времени на детальное изучение системы сетевой безопасности, настоятельно рекомендуем
изучить материалы следующей главы, где рассматриваются вопросы, связанные с установкой и настройкой
GIPTables Firewall. Этот программный продукт прост в установке и настройке, и позволяет автоматически
генерировать правила IPTables для систем различного целевого назначения с одной или двумя сетевыми
картами.
Правила IPTables используются для определения того, что вы хотите сделать с входящими и исходя-
щими пакетами. По умолчанию существуют три цепочки правил:
• для входящих пакетов используется цепочка правил INPUT;
• для исходящих – OUTPUT;
• для перенаправляемых – FORWARD.
Для изменения концепции безопасности используйте команду:
[root@bastion /]# /sbin/iptables –policy CHAIN TARGET
Параметр CHAIN содержит имя цепочки правил (например, INPUT, OUTPUT или FORWARD), для ко-
торой изменяется концепция безопасности. TARGET – имя концепции (например, ACCESS или DROP).
Для добавления нового правила к цепочке используется опция –A. Для определения протокола, к ко-
торому относится опция, используется опция –p. Для определения IP-адреса отправителя и получателя –
опции –s и –d, соответственно. Для ограничения диапазона портов отправителя и получателя, к которым
применимо правило – опции –sport и –-dport, соответственно. Определение, какие сетевые устройства
используются для входящих и исходящих пакетов, осуществляется с помощью опций –i и –o, соответст-
венно.
Для работы подсистемы классификации соединений создайте правила, запрещающие доступ входя-
щих и исходящих пакетов через внешний интерфейс к Web-серверу. Для этого добавьте к цепочке правил
для входящих пакетов (-A INPUT) новое правило, которое запретит доступ всех пакетов (-J DROP) через
интерфейс eth0 (-i eth0) c использованием протокола TCP (-p tcp) со всех адресов (-s 0.0.0.0) в
диапазоне номеров портов 1024…65535 (–sport 1024:65535) на IP-адрес внешнего интерфейса
212.45.28.122 (-d 212.45.28.122) к порту службы httpd (–dport 80):
[root@bastion /]# /sbin/iptables -A INPUT -i eth0 -p TCP -s 0.0.0.0 –
sport 1024:65535 -d 212.45.28.122 –dport 80 -j DROP
Добавьте к цепочке правил для исходящих пакетов (-A OUTPUT) новое правило, которое запретит
отправку всех пакетов (-J DROP) через интерфейс eth0 (-i eth0) c использованием протокола TCP (-p
tcp), с адреса (-s 212.45.28.122) порта 80 (–sport 80) на любой IP-адрес (-d 0.0.0.0) в диа-
пазоне портов 1024…65535 (–dport 1024:65535):
[root@bastion /]# /sbin/iptables -A OUTPUT -o eth0 -p tcp -s
212.45.28.122 –sport 80 -d 0.0.0.0 –dport 1024:65535 -j DROP
Подсистема мониторинга подключений отслеживает соединения и позволяет селектировать принад-
лежность пакетов к следующим типам соединений:
• вновь устанавливаемым;
• уже установленным;
• создаваемым с уже установленными соединениями;
• не установленной принадлежности.
В правилах IPTables для характеристики каждого из типов пакетов, соответственно, используются
опции NEW, ESTABLISH, RELATED и INVALID.
Для иллюстрации работы подсистемы мониторинга соединений создайте правила:
• разрешающие прием пакетов для устанавливаемых новых соединений;
• разрешающие прием пакетов, принадлежащих уже установленным соединениям;
• разрешающие отправку исходящих пакетов только для уже существующих соединений.
Для этого добавьте к цепочке правил для входящих пакетов (-A INPUT) новое правило, которое
разрешает прием всех пакетов (-J АССЕРТ), которые устанавливают новые соединения, инициализируе-
мые вашей системой, или уже связаны с установленными соединениями (-m state –state NEW,
ESTABLISHED) через интерфейс eth0 (-i eth0) c использованием протокола TCP (-p tcp) со всех адре-
сов (-s 0.0.0.0) в диапазоне номеров портов 1024…65535 (–sport 1024:65535) на IP-адрес
внешнего интерфейса 212.45.28.122 (-d 212.45.28.122) к порту службы httpd (–dport 80):
[root@bastion /]# /sbin/iptables -A INPUT -i eth0 -p TCP -s 0.0.0.0 –
sport 1024:65535 -d 212.45.28.122 –dport 80 -m state –state NEW,
ESTABLISHED -j АССЕРТ
Добавьте к цепочке правил для входящих пакетов (-A OUTPUT) новое правило, которое разрешает
отправление всех пакетов (-J АССЕРТ), которые связаны с существующими соединениями (-m state –
state ESTABLISHED) с интерфейса eth0 (-i eth0) c использованием протокола TCP (-p tcp) с адреса
212.45.28.122 (-s 212.45.28.122) порта 80 (–sport 1024:65535) на любой IP-адрес (-d
0.0.0.0) в диапазоне номеров портов 1024…65535 (–sport 1024:65535):
[root@bastion /]# /sbin/iptables -A OUTPUT -o eth0 -p TCP -s
212.45.28.122 –sport 80 -d 0.0.0.0 –dport 1024:65535 -m state –state
ESTABLISHED -j АССЕРТ
Подсистема трансляции сетевых адресов транслирует IP-адреса локальной сети в адреса внешней се-
ти. Например, она используется для организации шлюзов, в том числе, и поддерживающих, так называемый,
маскарадинг, для более эффективного распределения нагрузки на системы сети и т. п. Подсистема трансля-
ции адресов содержит две цепочки правил PREROUTING и POSTROUTING. Первая из них содержит набор
правил для входящих пакетов, вторая для исходящих.
Для иллюстрации работы подсистемы трансляции адресов создайте правило, которое маскирует все
пакеты, исходящие из вашей внутренней сети под пакеты, якобы отправленные с наружного интерфейса.
Для наружного интерфейса – сетевой карты (eth0) – в таблицу NAT (-t nat) добавьте к цепочке правил
исходящих пакетов (-A POSTROUTING) через сетевой интерфейс eth0 (–o eth0) маскарадинг (–j
MASQUERADE):
[root@bastion /]# /sbin/iptables –t nat –A POSTROUTING –o eth0 –j
MASQUERADE
Для наружного интерфейса – ppp0 (создаваемого при установке VPN-соединения по протоколу PPTP
или модемном соединении со шлюзом провайдера) – в таблицу NAT (-t nat) добавьте к цепочке правил
исходящих пакетов (-A POSTROUTING) через сетевой интерфейс ppp0 (–o ppp0) маскарадинг (–j
MASQUERADE):
[root@bastion /]# /sbin/iptables –t nat –A POSTROUTING –o ppp0 –j
MASQUERADE
Для перенаправления входящих пакетов на компьютер, находящийся во внутренней сети, создайте
правило в таблицу NAT (-t nat), добавьте к цепочке правил входящих пакетов (-A PREROUTING) на IP-
адрес 212.45.28.122 (-d 212.45.28.122) для протокола TCP (-p tcp) порта 80 (–dport 80) перена-
правление (-j DNAT) на IP-адрес 172.16.181.102 порта 8001(–to 172.16.181.102:8001):
Теперь, если вы хотите отправить информацию о порте, например, его значении, с TCP-пакетами,
входящими на внешний интерфейс по IP-адресу 207.35.78.2 на порту 8080 так, чтобы их отображение адре-
сата на локальный интерфейс было по IP-адресу 192.168.1.1 на порту 80, тогда вы могли бы использовать
следующие правила:
[root@bastion /]# /sbin/iptables -t nat -A PREROUTING -d 212.45.28.122 -p
tcp –dport 80 -j DNAT –to 172.16.181.102:8001

Проверка настроек сетевой защиты

Для просмотра всех правил во всех цепочках используйте команду:
[root@bastion /]# iptables -L
Для вывода всех правил в некоторой цепочке используйте, например, команду INPUT:
[root@bastion/ ] # iptables -L INPUT
Если вы предпочитаете числовой формат отображения информации, то используйте опцию –n, на-
пример:
[root@bastion /]# iptables –nL
ЗАМЕЧАНИЕ Команда iptables имеет большое число опций, которые позволяют создавать правила,
удовлетворяющие практически любым требованиям пользователей к системе сетевой защиты, и осуществ-
лять диагностику работы этой системы. Описание всех возможных и даже типовых конфигураций системы се-
тевой защиты выходит за рамки этой главы и книги. Поэтому перед применением на практике рекомендаций,
изложенных в настоящей главе, авторы рекомендуют изучить страницы руководства, связанные с IPTables, и
документ IPTables Tutorial.

GnuPG – утилита для безопасной передачи и хранения данных. Используется для шифрования дан-
ных и создания цифровых подписей, включает управления базой данных ключей и соответствует стандарту
ОpenPGP. GnuPG – свободно распространяемая утилита, не использующая запатентованных алгоритмов,
поэтому она, к сожалению, не совместима с PGP2.
Одной из наиболее важных областей применения утилиты является проверка подлинности получае-
мых программ. GnuPG позволяет с высокой степенью достоверности установить, что коды устанавливаемо-
го программного обеспечения не были модифицированы при транспортировке от разработчика к вам по се-
тям общего пользования.

Ограничения и допущения

Исходные коды находятся в каталоге /var/tmp.
Все операции выполняются пользователем с учетной записью root.
Используется дистрибутив ASPLinux 7.3 (Vostok).
Перекомпиляция ядра не требуется.
Процедуры, описанные в этой главе, могут оказаться применимыми для других версий ядра и дистри-
бутивов Linux, но авторы этого не проверяли.
ЗАМЕЧАНИЕ В некоторых странах ввоз, распространение и использование программного обеспечения
для криптографии запрещено.

Пакеты

Последующие рекомендации основаны на информации, полученной с домашней страницы проекта
GnuPG по состоянию на 19.03.2003. Регулярно посещайте домашнюю страницу проекта
http://www.gnupg.org/ и отслеживайте обновления.
Исходные коды GnuPG содержатся в архиве gnupg-version.tar.gz (последняя доступная на
момент написания главы стабильная версия gnupg-1.2.1.tar.gz).
Для нормальной инсталляции и работы программного обеспечения необходимо, чтобы в системе бы-
ли установлены пакеты gettext-0.11.1-2.i386.rpm, python-1.5.2-38.3asp.i386.rpm,
expat-1.95.2-2.i386.rpm и gmp-4.0.1-3.i386.rpm.

Инсталляция с помощью rpm-пакетов

Если вы предпочитаете использование системы со стандартным ядром и программным обеспечением,
установленным из rpm-пакетов, для установки или обновления пакета необходимо выполнить следующие
операции.
ЗАМЕЧАНИЕ Авторы настоятельно рекомендуют устанавливать программное обеспечение из исход-
ных кодов.
Шаг 1
Проверьте, установлен ли пакет gnupg с помощью следующей команды:
[root@drwalbr /]# rpm –iq gnupg
Если вы следовали нашим рекомендациям, то пакет не установлен.
Шаг 2
Перейдите в каталог, где находится пакет gnupg-1.0.6-5.asp.i386.rpm. Если вы в соответст-
вии с рекомендациями главы 2 скопировали все пакеты, входящие в дистрибутив, в каталог
/home/distrib, то выполните команду:
[root@drwalbr /]# cd /home/distrib
и установите:
[root@drwalbr distrib]# rpm –ihv gnupg-1.0.6-5.asp.i386.rpm
или обновите пакет:
[root@drwalbr distrib]# rpm –Uhv gnupg-1.0.6-5.asp.i386.rpm
После установки пакета перейдите к тестированию утилиты GnuPG, описанной ниже.

Компиляция, оптимизация и инсталляция GnuPG

Для конфигурирования, компилирования и оптимизации GnuPG из исходных кодов выполните сле-
дующие действия.
Шаг 1
Проверьте подлинность полученного архива с исходными кодами GnuPG. Для этого необходимо
сравнить контрольную сумму MD5 пакета:
[root@drwalbr /]# md5sum gnupg-1.2.1.tar.gz
83e02b4905dab34c4dc25652936022f9 gnupg-1.2.1.tar.gz
c контрольной суммой, указанной на сервере разработчика:
[root@drwalbr /]# lynx http://www.gnupg.org/download/index.html
# Download - GnuPG.org (p4 of 9)
We suggest that you download the GNU Privacy Guard from a mirror site
close to you. See our list of mirrors. To locate a source package
…
GnuPG 1.2.1 source compressed using gzip. 2.5MB S FTP HTTP
Signature and MD5 checksum for previous file.
83e02b4905dab34c4dc25652936022f9 gnupg-1.2.1.tar.gz FTP HTTP
…
Шаг 2
Разархивируйте исходные коды в каталоге /var/tmp:
[root@drwalbr /]# cd /var/tmp
[root@drwalbr tmp]# tar xzpf gnupg-1.2.1.tar.gz
Шаг 3
Сконфигурируйте исходные коды программы:
[root@drwalbr tmp]# cd gnupg-1.2.1/
[root@drwalbrgnupg-1.2.1]# CFLAGS=”-O2 -march=i686 -funroll-loops”; export
CFLAGS
./configure \
–prefix=/usr \
–mandir=/usr/share/man \
–infodir=/usr/share/info \
–disable-nls
При таких параметрах конфигурации осуществляется оптимизация применительно к архитектуре
процессора i686, определяются каталоги для размещения соответствующих файлов и отключается поддерж-
ка языков, отличных от английского.
Шаг 4
Откомпилируйте исходные коды, проверьте правильность компиляции и наличие соответствующих
библиотек, проинсталлируйте файлы GnuPG, создайте и сохраните список инсталлированных файлов:
[root@drwalbr gnupg-1.2.1]# make
[root@drwalbr gnupg-1.2.1]# make check
Making check in intl
make[1]: Вход в каталог `/home/gnupg/gnupg-1.2.1/intl`
make[1]: Цель `check` не требует выполнения команд.
make[1]: Выход из каталог `/home/gnupg/gnupg-1.2.1/intl`
…
home: .
Supported algorithms:
Pubkey: RSA, RSA-E, RSA-S, ELG-E, DSA, ELG
Cipher: 3DES, CAST5, BLOWFISH, AES, AES192, AES256, TWOFISH
Hash: MD5, SHA1, RIPEMD160
Compress: Uncompressed, ZIP, ZLIB
PASS: version.test
Hash algorithm TIGER/192 is not installed

ЗАМЕЧАНИЕ TIGER – является экспериментальным алгоритмом, поэтому мы не включили его в число
устанавливаемых компонентов. Для его включения на этапе конфигурирования исходных кодов необходимо
использовать опции –enable-tiger и –enable-new-tiger.
PASS: mds.test
PASS: decrypt.test
PASS: decrypt-dsa.test
PASS: sigs.test
PASS: sigs-dsa.test
PASS: encrypt.test
PASS: encrypt-dsa.test
PASS: seat.test
PASS: clearsig.test
PASS: encryptp.test
PASS: detach.test
PASS: armsigs.test
PASS: armencrypt.test
PASS: armencryptp.test
PASS: signencrypt.test
PASS: signencrypt-dsa.test
PASS: armsignencrypt.test
PASS: armdetach.test
PASS: armdetachm.test
PASS: detachm.test
PASS: genkey1024.test
PASS: conventional.test
PASS: conventional-mdc.test
PASS: multisig.test
===================
All 25 tests passed
===================
make[2]: Выход из каталог `/home/gnupg/gnupg-1.2.1/checks`
make[1]: Выход из каталог `/home/gnupg/gnupg-1.2.1/checks`
make[1]: Вход в каталог `/home/gnupg/gnupg-1.2.1`
make[1]: Цель `check-am` не требует выполнения команд.
make[1]: Выход из каталог `/home/gnupg/gnupg-1.2.1`
[root@drwalbr gnupg-1.2.1]# find /* > /root/gnupg1
[root@drwalbr gnupg-1.2.1]# make install
[root@drwalbr gnupg-1.2.1]# strip /usr/bin/gpg
[root@drwalbr gnupg-1.2.1]# strip /usr/bin/gpgv
[root@drwalbr gnupg-1.2.1]# find /* > /root/gnupg2
[root@drwalbr gnupg-1.2.1]# diff /root/gnupg1 /root/gnupg2 >
/root/gnupg.installed
[root@drwalbr gnupg-1.2.1]# mv /root/gnupg.installed
/very_reliable_place/gnupg.installed.YYYYMMDD
Шаг 5
Удалите архив с исходными кодами и каталог gnupg-1.2.1:
[root@drwalbr gnupg-1.2.1]# cd /var/tmp
[root@drwalbr tmp]# rm -rf gnupg-1.2.1/
[root@drwalbr tmp]# rm -f gnupg-1.2.1.tar.gz

Тестирование GnuPG

Для тестирования GnuPG создайте, как минимум, для двух пользователей вашей системы секретную
пару ключей (открытый и закрытый ключ), проверьте возможность шифрования сообщения одним из поль-
зователей и возможность расшифровки другим.
Шаг 1
Установите права доступа к файлу /usr/bin/gpg:
[root@drwalbr tmp]# chmod 4755 /usr/bin/gpg
Шаг 2
Зарегистрируйтесь в системе в качестве обычного пользователя, например, sergey.
[sergey@drwalbr sergey]$ cd
Шаг 3
Если вы впервые создаете ключи для пользователя sergey, наберите:
[sergey@drwalbr sergey]$ gpg –gen-key
gpg (GnuPG) 1.2.1; Copyright (C) 2002 Free Software Foundation, Inc.
This program comes with ABSOLUTELY NO WARRANTY.
This is free software, and you are welcome to redistribute it
under certain conditions. See the file COPYING for details.
gpg: /home/sergey/.gnupg: directory created
gpg: new configuration file `/home/sergey/.gnupg/gpg.conf’ created
gpg: keyblock resource `/home/sergey/.gnupg/secring.gpg’: file open error
gpg: keyring `/home/sergey/.gnupg/pubring.gpg’ created
Please select what kind of key you want:
(1) DSA and ElGamal (default)
(2) DSA (sign only)
(5) RSA (sign only)
Your selection?
и прервите выполнение программы:
+C
Это необходимо для того, чтобы программа gpg создала необходимые файлы и каталоги в домашнем
каталоге пользователя. Если ключи для пользователя уже создавались ранее, перейдите к следующему шагу.
Шаг 4
Запустите gpg:
[sergey@drwalbr sergey]$ gpg –gen-key
gpg (GnuPG) 1.2.1; Copyright (C) 2002 Free Software Foundation, Inc.
This program comes with ABSOLUTELY NO WARRANTY.
This is free software, and you are welcome to redistribute it
under certain conditions. See the file COPYING for details.
gpg: keyring `/home/sergey/.gnupg/secring.gpg’ created
Please select what kind of key you want:
(1) DSA and ElGamal (default)
(2) DSA (sign only)
(5) RSA (sign only)
Выберите тип ключа, предлагаемый по умолчанию:
Your selection? 1
DSA keypair will have 1024 bits.
About to generate a new ELG-E keypair.
minimum keysize is 768 bits
default keysize is 1024 bits
highest suggested keysize is 2048 bits
Выберите длину ключа, предлагаемую по умолчанию:
What keysize do you want? (1024)
Requested keysize is 1024 bits
Please specify how long the key should be valid.
0 = key does not expire
= key expires in n days
w = key expires in n weeks
m = key expires in n months
y = key expires in n years
Выберите срок действия ключа (1 год):
Key is valid for? (0) 1y
Key expires at Чтв 18 Мар 2004 15:43:18 MSK
Подтвердите правильность введенных данных:
Is this correct (y/n)? y
You need a User-ID to identify your key; the software constructs the user
id
from Real Name, Comment and Email Address in this form:
“Heinrich Heine (Der Dichter) ”
Введите имя пользователя:
Real name: Sergey Karlov
Введите имя e-mail пользователя:
Email address: sergey@drwalbr.und
Введите, если хотите, какие-либо комментарии, касающиеся пользователя, в противном случае:
Comment:
You selected this USER-ID:
“Sergey Karlov ”
Вам предоставляется возможность отредактировать ID пользователя, по которому будет идентифици-
роваться ключи. В рассматриваемом примере – это “Sergey Karlov “. Если
все правильно, то:
Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? O
В противном случае используйте опции N, C и E для изменения имени пользователя, комментария и
адреса электронной почты, соответственно.
You need a Passphrase to protect your secret key.
Введите пароль для защиты секретного ключа.
Passphrase:$ecretnoe_$lovo_Sergeya
Далее система в автоматическом режиме осуществит генерацию ключей. В это время следует подви-
гать мышку, понажимать кнопки на клавиатуре для повышения степени энтропии в вашей системе.
We need to generate a lot of random bytes. It is a good idea to perform
some other action (type on the keyboard, move the mouse, utilize the
disks) during the prime generation; this gives the random number
generator a better chance to gain enough entropy.
.+++++.+++++..++++++++++++++++++++++++++++++…++++++++++.++++++++++.++++
+…+++++++++++++++++++++++++++++++++++++++++++++++++++++++.++++++++++>++
++++++++………+++++
We need to generate a lot of random bytes. It is a good idea to perform
some other action (type on the keyboard, move the mouse, utilize the
disks) during the prime generation; this gives the random number
generator a better chance to gain enough entropy.
+++++.+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
+++++++++++++++++++++++++++++++++++++++++++.+++++..++++++++++>+++++…..+
++++^^^
gpg: /home/sergey/.gnupg/trustdb.gpg: trustdb created
public and secret key created and signed.
key marked as ultimately trusted.
pub 1024D/5BC241B3 2003-03-19 Sergey Karlov
Key fingerprint = D155 D3C4 F19A 5859 3A66 9108 99E5 5EBA 5BC2 41B3
sub 1024g/69CADC7B 2003-03-19 [expires: 2004-03-18]
Шаг 5
Экспортируйте открытый ключ:
[sergey@drwalbr sergey]$ gpg –export -ao sergey.asc
В результате в домашнем каталоге пользователя sergey будет создан файл sergey.asc:
[sergey@drwalbr sergey]$ cat sergey.asc
—–BEGIN PGP PUBLIC KEY BLOCK—–
Version: GnuPG v1.2.1 (GNU/Linux)
mQGiBD54ZjQRBADBezMOEg0kncSEcIV7F47AfAXXz1WtR3y/cY38o2ZeiLTo0POF
qS0aescQaU5/MU0CT7ipcD91rbcKbNLzgz4xf4jMBl3rr/qXn9xAKogPAwTvZYZL
t15ouGuAQTU25E1OAp5C/71Ro9kOK9ZBxkuWz+kfp5Ctc5t0UdMIOewBawCg7Tq7
/z7yrIUj0TpBGOpua8M32QsD/2ZhcUDTTBO6WBYMbTbWOoMrNxYfUqB4f3H24h9h
uw3e+K9wP2HFCq1BxnDO6+IBYQLntscH2kQ4hYuipEFq+iZIDrPvUfDeNs9bR33z
B+cEkGUsbE4auuQ9iD5fu3va4EJolM5EGvwp9LZBpz82i3H/2kgdTrlK3YFT7UQT
IWk4A/4nKzDomsEmm6SAkz6gpxorkTTedHXXv8E7Z+4cwjWH1h/LKKzGG2IwqpyN
liQiUHvLdQJ/fOQMiF907eWk3c/WWiMCQo1sAEJO8Y2yS5+iFzuKFisbIOmAHWMD
dWdkB6+iSz3iZkk7wlfYG2zCLt5ET834u+dAWQwc8VN2VlpE7LQiU2VyZ2V5IEth
cmxvdiA8c2VyZ2V5QGRyd2FsYnIudW5kPohfBBMRAgAfBQI+eGY0BQkB4TOABAsH
AwIDFQIDAxYCAQIeAQIXgAAKCRCZ5V66W8JBsy/jAKCrGteDpQ45JcEzgxACnBAI
vPF/3QCgpgeS3u5BBOAA1ZcsaJ0k8tnuMEG5AQ0EPnhmNRAEAOC+GW3G5FOp1aHJ
cVF+zuRRZ+oeaPRoWJwGfZ+KR5L3YYO8kP/3eeRZ5Gnp0KyJ80VCeilaJpepjot6
lrqwpRbF/oGY4qHn/a6ubPmqza+sq2ttYSDx0QkTLMiI6qbekrUxa2jNgEcXr6gJ
ig92U8cQWO+wXT4xtxMLldnhZAO3AAMFBACaH6pNG7zAT/QIgFgwNTT+roBUJGze
lFb4eUMzSSBtEi3o3NgHt6gHqkglYOZeo8wBR+lzr69Aoq8zLpSSWzY/iHjcc/p7
XflKlaiL6yqZNwSjO6aki/Hqlq9pTrxyuSIhz2jWfuzvEqoJHp1pLXbd0DbZvNs5
Wc93PcctqRx/64hMBBgRAgAMBQI+eGY1BQkB4TOAAAoJEJnlXrpbwkGzRSgAoOLL
N9siEQqzYa1ujl9y/GEQmHwbAJ9smVzY7PaLOGUIWA2Zxe+XXy0cjw==
=o1IS
—–END PGP PUBLIC KEY BLOCK—–
Файл sergey.asc, содержащий открытый ключ пользователя sergey, нужно передать всем поль-
зователям, с которыми он предполагает обмениваться зашифрованными файлами. Файл может быть выло-
жен на Web -сервере пользователя или разослан по электронной почте.
Шаг 6
Зарегистрируйтесь в системе в качестве другого пользователя, например valentine и повторите
шаги 1…5.
Шаг 7
Поместите открытый ключ пользователя sergey в домашний каталог пользователя valentine, а
открытый ключ пользователя valentine в домашний каталог пользователя sergey.
Шаг 8
Подпишите открытые ключи.
Для пользователя sergey:
[sergey@drwalbr sergey]$ gpg –sign valentine.asc
You need a passphrase to unlock the secret key for
user: “Sergey Karlov ”
1024-bit DSA key, ID 5BC241B3, created 2003-03-19
Введите пароль, который использовался для защиты закрытого ключа в шаге 4:
Enter passphrase: $ecretnoe_$lovo_Sergeya
Для пользователя valentine:
[valentine@drwalbr valentine]$ gpg –sign sergey.asc
You need a passphrase to unlock the secret key for
user: “Valentine Bruy ”
1024-bit DSA key, ID F3238EE5, created 2003-03-19
Введите пароль, который использовался для защиты закрытого ключа в шаге 4:
Enter passphrase: $ecretnoe_$lovo_Valentine
Шаг 9
От имени пользователя valentine создайте сообщение для пользователя sergey:
[valentine@drwalbr valentine]$ echo Привет, Сергей ! = Валентин > message_
to_sergey
Шаг 10
Зашифруйте сообщение:
[valentine@drwalbr valentine]$ gpg -sear sergey@drwalbr.und message_
to_sergey
You need a passphrase to unlock the secret key for
user: “Valentine Bruy ”
1024-bit DSA key, ID F3238EE5, created 2003-03-19
Введите пароль для секретного ключа:
Enter passphrase: $ecretnoe_$lovo_Valentine
gpg: checking the trustdb
gpg: checking at depth 0 signed=0 ot(-/q/n/m/f/u)=0/0/0/0/0/1
gpg: next trustdb check due at 2004-03-18
gpg: 69CADC7B: There is no indication that this key really belongs to the
owner
1024g/69CADC7B 2003-03-19 “Sergey Karlov ”
Primary key fingerprint: D155 D3C4 F19A 5859 3A66 9108
99E5 5EBA 5BC2 41B3
Subkey fingerprint: 456F C70F 8F64 38B3 B6F4 E900
70C3 B3B8 69CA DC7B
It is NOT certain that the key belongs to the person named
in the user ID. If you *really* know what you are doing,
you may answer the next question with yes
Подтвердите использования ключа:
Use this key anyway? yes
В результате в домашнем каталоге появился файл message_to_sergey.asc. Следует отметить,
что вместо указания адреса электронной почты, используемого при шифровании сообщения, можно исполь-
зовать имя пользователя (первую часть идентификатора пользователя), т. е. команды:
[valentine@drwalbr valentine]$ gpg -sear sergey@drwalbr.und message_
to_sergey
и
[valentine@drwalbr valentine]$ gpg -sear “Sergey Karlov” message_
to_sergey
приводят к одинаковым результатам. Переместите файл message_to_sergey в домашний каталог поль-
зователя sergey.
Шаг 11
Файл message_to_sergey содержит зашифрованное сообщение. Если бы вы передавали его по се-
тям общего пользования, то в случае перехвата сообщения третьими лицами, они смогли бы ознакомится со
следующим текстом:
[sergey@drwalbr sergey]$ cat message_to_sergey.asc
—–BEGIN PGP MESSAGE—–
Version: GnuPG v1.2.1 (GNU/Linux)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=C5As
—–END PGP MESSAGE—–
Для расшифровки сообщения в файле message_to_sergey:
[sergey@drwalbr sergey]$ gpg -d message_to_sergey.asc > message_to_sergey
You need a passphrase to unlock the secret key for
user: “Sergey Karlov ”
1024-bit ELG-E key, ID 69CADC7B, created 2003-03-19 (main
key ID 5BC241B3)
введите пароль:
Enter passphrase: $ecretnoe_$lovo_Sergeya
gpg: encrypted with 1024-bit ELG-E key, ID 69CADC7B,
created 2003-03-19
“Sergey Karlov ”
gpg: Signature made Срд 19 Мар 2003 16:05:22 MSK using DSA
key ID F3238EE5
gpg: Good signature from “Valentine Bruy
”
gpg: checking the trustdb
gpg: checking at depth 0 signed=0
ot(-/q/n/m/f/u)=0/0/0/0/0/1
gpg: next trustdb check due at 2004-03-18
gpg: WARNING: This key is not certified with a trusted
signature!
gpg: There is no indication that the signature
belongs to the owner.
Primary key fingerprint: BAD5 B986 F5AC 89E7 99A4 92CE
4678 9056 F323 8EE5
В результате в домашнем каталоге пользователя sergey появится файл message_to_sergey, со-
держащий исходное сообщение:
[sergey@drwalbr sergey]$ cat message_to_sergey
Привет, Сергей ! = Валентин

Большинство сетевых протоколов, используемых в Интернете, например, IMAP, POP, SQL, SMTP,
SMB, HTTP, FTP и LDAP, обеспечивают поддержку шифрования информации по протоколу SSL. Обычно
шифрование используется для скрытия от злоумышленников передаваемых по сетям общего пользования
логинов и паролей доступа к различным ресурсам, например, средствам администрирования через Web-
интерфейс акаунтов для предоставления различных услуг (хостинг, электронная почта, управление мобиль-
ным телефоном и т. п.), почтовым ящикам, закрытым каталогам на FTP и Web-серверах для передачи раз-
личных конфиденциальных сообщений (например, ЦРУ имеет на своем сервере http://www.cia.gov
форму, предназначенную для приема информации, которая при передаче будет зашифрована).
При передаче аутентификационной информации в виде обычного текста она может быть перехвачена
третьими лицами с использованием программ-сниферов и использована для получения несанкционирован-
ного доступа к вашим ресурсам. Например, одна неверная супруга, ведущая переписку с любовником через
почтовый ящик на http://www.mail.com, где логин и пароль передаются в виде обычного текста, была
поймана с поличным (в полученном ей письме содержалась информация о месте и времени встречи). Аутен-
тификационные параметры для доступа к почтовому ящику были получены мужем с помощью снифера, ус-
тановленного на системе в локальной сети офиса, где работала беспечная дама.
В настоящее время протокол SSL практически незаметно для пользователя взаимодействует с осталь-
ными протоколами Интернет и обеспечивает передачу конфиденциальной информации по сетям общего
пользования в зашифрованном виде.
Программное обеспечение OpenSSL поддерживает протоколы SSL v2/v3 (Secure Sockets Layer) и TLS
v1 (Transport Layer Security). Большинство программ, описанных в этой книге, требует установки OpenSSL.
Группа разработчиков предупреждает, что использование алгоритмов RC5 и IDEA, также реализованных в
OpenSSL, требует получения соответствующих лицензий, и рекомендует проконсультироваться на эту тему
с вашим юристом. Для исключения из OpenSSL этих алгоритмов при установке на вашем компьютере ис-
ходные коды необходимо сконфигурировать с опциями no-rc5 и no-idea.
В этой главе описаны процедуры установки, настройки и тестирования OpenSSL, включая операции
по генерации и подписи ключей, применяемых для шифрования передаваемой по сетям общего пользования
информации с использованием протоколов Интернет, поддерживающих OpenSSL.

Ограничения и допущения

Исходные коды находятся в каталоге /var/tmp.
Все операции выполняются пользователем с учетной записью root.
Используется дистрибутив ASPLinux 7.3 (Vostok).
Перекомпиляция ядра не требуется.
Процедуры, описанные в этой главе, могут оказаться применимыми для других версий ядра и дистри-
бутивов Linux, но авторы это не проверяли.
ЗАМЕЧАНИЕ В некоторых странах ввоз, распространение и использование программного обеспечения
для криптографии запрещено.

Пакеты

Последующие рекомендации основаны на информации, полученной с домашней страницы проекта
OpenSSL по состоянию на 22.03.2003. Регулярно посещайте домашнюю страницу проекта
http://www.openssl.org/ и отслеживайте обновления.
Исходные коды OpenSSL содержатся в архиве openssl-version.tar.gz (последняя доступная
на момент написания главы стабильная версия openssl-0.9.7a.tar.gz).

Инсталляция с помощью rpm-пакетов

Если вы предпочитаете использование системы со стандартным ядром и программным обеспечением,
установленным из rpm-пакетов, для установки или обновления пакета необходимо выполнить следующие
операции.
ЗАМЕЧАНИЕ Авторы настоятельно рекомендуют устанавливать программное обеспечение из исход-
ных кодов.
Шаг 1
Проверьте, установлен ли пакет openssl с помощью следующей команды:
[root@dymatel /]# rpm –iq openssl
Шаг 2
Если пакет не установлен, перейдите в каталог, где находится пакет openssl-0.9.6b-
24asp.i686.rpm. Если вы в соответствии с рекомендациями главы 2 скопировали все пакеты, входящие в
дистрибутив, в каталог /home/distrib, то выполните команду:
[root@dymatel /]# cd /home/distrib
и установите:
[root@dymatel distrib]# rpm –ihv openssl-0.9.6b-24asp.i686.rpm
или обновите пакет:
[root@dymatel distrib]# rpm –Uhv openssl-0.9.6b-24asp.i686.rpm
После установки пакета перейдите к настройке OpenSSL, описанной ниже.

Компиляция, оптимизация и инсталляция OpenSSL

Шаг 1
Проверьте целостность данных и подлинность архива, содержащего исходные коды OpenSSL.
Одним из способов проверки подлинности и целостности архива является определение его контроль-
ной суммы MD5 и сравнение ее с суммой, опубликованной на сервере разработчика (контрольная сумма
MD5 архива openssl-0.9.7a.tar.gz содержится в файле
ftp://ftp.openssl.org/source/openssl-0.9.7a.tar.gz.md5).
Определите контрольную сумму MD5 пакета:
[root@dymatel /]# cd /var/tmp/
[root@drwalbr tmp]# md5sum openssl-0.9.7a.tar.gz
a0d3203ecf10989fdc61c784ae82e531 openssl-0.9.7a.tar.gz
Скачайте c сервера разработчика файл, содержащий контрольную сумму MD5 архива openssl-
0.9.7a.tar.gz:
[root@drwalbr tmp]# wget ftp://ftp.openssl.org/source/openssl-
0.9.7a.tar.gz.md5
и сравните ее c контрольной суммой, полученной с помощью команды md5sum:
[root@drwalbr tmp]# cat openssl-0.9.7a.tar.gz.md5
a0d3203ecf10989fdc61c784ae82e531
Если полученные значения сумм совпадают, значит, в вашем распоряжении находится подлинный и
сохранивший целостность при передаче по сетям общего пользования архив с исходными кодами OpenSSL.
Подлинность архива также может быть проверена с использованием утилит GnuPG. Для этого вам
необходимо получить с сервера разработчика файлы, содержащие открытый ключ GPG (по непонятным для
авторов причинам он находится не на сервере http://www.openssl.org, а на сервере одного из членов
команды разработчиков http://richard.levitte.org/pubkey2.asc):
[root@drwalbr tmp]# wget http://richard.levitte.org/pubkey2.asc
и сигнатуру архива openssl-0.9.7a.tar.gz:
[root@drwalbr tmp]# wget ftp://ftp.openssl.org/source/openssl-
0.9.7a.tar.gz.asc
После получения необходимых файлов импортируйте открытый ключ pubkey2.asc в базу ваших
GPG ключей:
[root@drwalbr tmp]# gpg –import pubkey2.asc
gpg: key E06D2CB1: public key “levitte@openssl.org” imported
gpg: Total number processed: 1
gpg: imported: 1 (RSA: 1)
Подтвердите подлинность добавленного ключа:
[root@drwalbr tmp]# gpg –sign-key levitte@openssl.org
pub 2048R/E06D2CB1 created: 1998-09-18 expires: never trust: -/-
(1). levitte@openssl.org
(2) Richard Levitte
(3) Richard Levitte
Really sign all user IDs? y
pub 2048R/E06D2CB1 created: 1998-09-18 expires: never trust: -/-
Primary key fingerprint: 35 3E 6C 9E 8C 97 85 24 BD 9F D1 9E 8F 75 23
6B
levitte@openssl.org
Richard Levitte
Richard Levitte
How carefully have you verified the key you are about to sign actually
belongs
to the person named above? If you don’t know what to answer, enter “0″.
(0) I will not answer. (default)
(1) I have not checked at all.
(2) I have done casual checking.
(3) I have done very careful checking.
Your selection? 3
Are you really sure that you want to sign this key
with your key: “root.drwalbr ”
I have checked this key very carefully.
Really sign? y
You need a passphrase to unlock the secret key for
user: “root.drwalbr ”
1024-bit DSA key, ID E3A03FAD, created 2003-05-10
Enter passphrase: $ecretnoe_Slovo_root.drwalbr
и проверьте подлинность архива:
[root@drwalbr tmp]# gpg –verify openssl-0.9.7a.tar.gz.asc openssl-
0.9.7a.tar.gz
Если вы получите вывод вида:
gpg: Signature made Wed Feb 19 16:07:58 2003 MSK using RSA key ID
E06D2CB1
gpg: Good signature from “levitte@openssl.org”
gpg: aka “Richard Levitte ”
gpg: aka “Richard Levitte ”
gpg: checking the trustdb
gpg: checking at depth 0 signed=1 ot(-/q/n/m/f/u)=0/0/0/0/0/1
gpg: checking at depth 1 signed=0 ot(-/q/n/m/f/u)=1/0/0/0/0/0
то значит, в вашем распоряжении находится подлинный и сохранивший целостность при передаче по сетям
общего пользования архив с исходными кодами OpenSSL.
Для демонстрации возможностей предлагаемых средств проверки подлинности архивов авторы вста-
вили лишний байт, соответствующий символу «пробел» в архив openssl-0.9.7a.tar.gz и проверили
его подлинность с помощью утилит md5sum и gpg:
[root@drwalbr tmp]# md5sum openssl-0.9.7a.tar.gz
c0312ab825c0c9465e411b1475ab5d47 openssl-0.9.7a.tar.gz
[root@drwalbr tmp]#
[root@drwalbr tmp]# gpg –verify openssl-0.9.7a.tar.gz.asc openssl-
0.9.7a.tar.gz
gpg: Signature made Wed Feb 19 16:07:58 2003 MSK using RSA key ID
E06D2CB1
gpg: BAD signature from “levitte@openssl.org”
Утилита md5sum выдала контрольную сумму:
c0312ab825c0c9465e411b1475ab5d47
не соответствующую контрольной сумме, указанной на сервере разработчиков программного продукта:
a0d3203ecf10989fdc61c784ae82e531
а утилита gpg сообщила о неправильной сигнатуре архивного файла:
gpg: BAD signature from “levitte@openssl.org”
ЗАМЕЧАНИЕ Проверка подлинности и целостности скачиваемых архивов очень важна, с точки зрения
обеспечения безопасности вашей системы. Если пробел, который мы вставили выше, непреднамеренно или
специально был бы вставлен в строку сценария, удаляющего после инсталляции OpenSSL ненужные вре-
менные файлы, т. е. строка вида:
rm –rf /some_path/*
была бы заменена на:
rm –rf /some_path /*
в результате выполнения сценария были бы удалены все файлы в вашей системе. Модифицирован-
ная команда сначала бы удалила каталог /some_path, а затем все в корневом каталоге системы – /*.
Шаг 2
Распакуйте архив с исходными кодами OpenSSL в каталоге /var/tmp:
[root@dymatel tmp]# tar xzpf openssl-0.9.7a.tar.gz
и перейдите во вновь созданный каталог, содержащий исходные коды OpenSSL:
[root@dymatel tmp]# cd openssl-0.9.7a/
Шаг 3
Для оптимизации откомпилированного кода OpenSSL применительно к процессору, используемому
на вашей системе, в файле /var/tmp/openssl-0.9.7a/Configure замените сроку:
“linux-elf”, “gcc:-DL_ENDIAN -DTERMIO -O3 –m486 -Wall::-D_REENTRANT::-
ldl:BN_LLONG ${x86_gcc_des} ${x86_gcc_opts}:${x86_elf_asm}:dlfcn:linuxshared:-
fPIC::.so.\$(SHLIB_MAJOR).\$(SHLIB_MINOR)”,
на:
“linux-elf”, “gcc:-DL_ENDIAN -DTERMIO -O3 -march=i686 -funroll-loops -
fomit-frame-pointer -Wall::-D_REENTRANT::-ldl:BN_LLONG ${x86_gcc_des}
${x86_gcc_opts}:${x86_elf_asm}:dlfcn:linux-shared:-
fPIC::.so.\$(SHLIB_MAJOR).\$(SHLIB_MINOR)”,
Строку:
“debug-linux-elf”, “gcc:-DBN_DEBUG -DREF_CHECK -DCONF_DEBUG -
DBN_CTX_DEBUG -DCRYPTO_MDEBUG -DL_ENDIAN -DTERMIO –g –m486 -Wall::-
D_REENTRANT::-lefence -ldl:BN_LLONG ${x86_gcc_des}
${x86_gcc_opts}:${x86_elf_asm}:dlfcn:linux-shared:-
fPIC::.so.\$(SHLIB_MAJOR).\$(SHLIB_MINOR)”,
на:
“debug-linux-elf”, “gcc:-DBN_DEBUG -DREF_CHECK -DCONF_DEBUG -
DBN_CTX_DEBUG -DCRYPTO_MDEBUG -DL_ENDIAN -DTERMIO -O3 -march=i686 -
funroll-loops -fomit-frame-pointer -Wall::-D_REENTRANT::-lefence -
ldl:BN_LLONG ${x86_gcc_des} ${x86_gcc_opts}:${x86_elf_asm}:dlfcn:linuxshared:-
fPIC::.so.\$(SHLIB_MAJOR).\$(SHLIB_MINOR)”,
Строку:
“debug-linux-elf-noefence”, “gcc:-DBN_DEBUG -DREF_CHECK -DCONF_DEBUG -
DBN_CTX_DEBUG -DCRYPTO_MDEBUG -DL_ENDIAN -DTERMIO -O3 –g –m486 -Wall::-
D_REENTRANT::-ldl:BN_LLONG ${x86_gcc_des}
${x86_gcc_opts}:${x86_elf_asm}:dlfcn”,
на:
“debug-linux-elf-noefence”, “gcc:-DBN_DEBUG -DREF_CHECK -DCONF_DEBUG -
DBN_CTX_DEBUG -DCRYPTO_MDEBUG -DL_ENDIAN -DTERMIO -O3 -march=i686 -
funroll-loops -fomit-frame-pointer -Wall::-D_REENTRANT::-ldl:BN_LLONG
${x86_gcc_des} ${x86_gcc_opts}:${x86_elf_asm}:dlfcn”,
Шаг 4
В исходных кодах OpenSSL предполагается, что интерпретатор perl находится в каталоге
/usr/local/bin/. Если вы точно следовали нашим рекомендациям по первичной установке системы, то
интерпретатор должен находится в каталоге /usr/bin/perl. Для того, чтобы программа установки
OpenSSL могла воспользоваться интерпретатором perl, выполните команду:
[root@dymatel openssl-0.9.7a]# perl util/perlpath.pl /usr/bin/perl
Шаг 5
Сконфигурируйте исходные коды OpenSSL:
[root@dymatel openssl-0.9.7a]#./configure linux-elf no-asm shared \
–prefix=/usr \
–openssldir=s/usr/share/ss1
Шаг 6
Откомпилируйте исходные коды, проверьте правильность компиляции и наличие соответствующих
библиотек, проинсталлируйте файлы OpenSSL, создайте и сохраните список инсталлированных файлов:
[root@dymatel openssl-0.9.7a]# LD_LIBRARY_PATH=`pwd` make all buildshared
[root@dymatel openssl-0.9.7a]# LD_LIBRARY_PATH=`pwd` make tests apps
tests
[root@dymatel openssl-0.9.7a]# find /* > /root/openssl1
[root@dymatel openssl-0.9.7a]# make install build-shared
[root@dymatel openssl-0.9.7a]# cd /usr/lib
[root@dymatel lib]# mv libcripto.so.0.9.7 ../../lib/
[root@dymatel lib]# mv libssl.so.0.9.7 ../../lib/
[root@dymatel lib]# ln –sf ../../lib/libcripto.so.0.9.7 libcripto.so
[root@dymatel lib]# ln –sf ../../lib/libcripto.so.0.9.7 libcripto.so.0
[root@dymatel lib]# ln –sf ../../lib/libssl.so.0.96 libssl.s0
[root@dymatel lib]# ln –sf ../../lib/libssl.so.0.96 libssl.s0.0
[root@dymatel lib]# mv /usr/share/ssl/man/manl/* /usr/share/man/man1/
[root@dymatel lib]# mv /usr/share/ssl/man/man3/* /usr/share/man/man3/
[root@dymatel lib]# mv /usr/share/ssl/man/man5/* /usr/share/man/man5/
[root@dymatel lib]# mv /usr/share/ssl/man/man7/* /usr/share/man/man7/
[root@dymatel lib]# rm -rf /usr/share/ssl/man/
[root@dymatel lib]# rm -rf /usr/share/ssl/lib/
[root@dymatel lib]# strip /usr/bin/openssl
[root@dymatel lib]# mkdir -p /usr/share/ssl/crl
[root@dymatel lib]# cd /var/tmp/openssl-0.9.7a/
[root@dymatel openssl-0.9.7a]# find /* > /root/openssl2
[root@dymatel openssl-0.9.7a]# diff /root/openssl1 /root/openssl2 >
/root/ openssl.installed
[root@dymatel openssl-0.9.7a]# mv /root/openssl.installed
/very_reliable_place/openssl.installed.YYYYMMDD
Шаг 7
Удалите архив и каталог с исходными кодами OpenSSL:
[root@dymatel /]# cd /var/tmp/
[root@dymatel tmp]# rm -rf openssl-0.9.7a /
[root@dymatel tmp]# rm -f opensal-0.9.7a.tar.gz

Конфигурирование OpenSSL

Конфигурирование OpenSSL осуществляется с использованием следующих файлов:
• главного конфигурационного файла /usr/shared/ssl/openssl.cnf;
• скрипта для самостоятельной подписи (без привлечения сертификационного центра подписи
сертификата) /usr/shared/ssl/misc/sign.
Шаг 1
Отредактируйте в соответствии с приведенными ниже рекомендациями и вашими потребностями
файл/usr/shared/ssl/openssl.cnf:
ЗАМЕЧАНИЕ В файле /usr/shared/ssl/openssl.cnf, созданном при установке OpenSSL, необхо-
димо изменить параметры только в разделах [CA_default]и [req_distinguished_name].
OpenSSL example configuration file.
# This is mostly being used for generation of certificate requests.
#
# This definition stops the following lines choking if HOME isn’t
# defined.
HOME = .
RANDFILE = $ENV::HOME/.rnd
# Extra OBJECT IDENTIFIER info:
#oid_file = $ENV::HOME/.oid
oid_section = new_oids
# To use this configuration file with the “-extfile” option of the
# “openssl x509″ utility, name here the section containing the
# X.509v3 extensions to use:
# extensions =
# (Alternatively, use a configuration file that has only
# X.509v3 extensions in its main [= default] section.)
[ new_oids ]
# We can add new OIDs in here for use by ‘ca’ and ‘req’.
# Add a simple OID like this:
# testoid1=1.2.3.4
# Or use config file substitution like this:
# testoid2=${testoid1}.5.6
####################################################################
[ ca ]
default_ca = CA_default # The default ca section
####################################################################
[ CA_default ]
dir = /usr/share/ssl # Where everything is kept
certs = $dir/certs # Where the issued certs are kept
crl_dir = $dir/crl # Where the issued crl are kept
database = $dir/ca.db.index # database index file.
new_certs_dir = $dir/ca.db.certs # default place for new certs.
certificate = $dir/certs/ca.crt # The CA certificate
serial = $dir/ca.db.serial # The current serial number
crl = $dir/crl.pem # The current CRL
private_key = $dir/private/ca.key # The private key
RANDFILE = $dir/ca.db.rand # private random number file
x509_extensions = usr_cert # The extentions to add to the
cert
# Extensions to add to a CRL. Note: Netscape communicator chokes on V2
CRLs
# so this is commented out by default to leave a V1 CRL.
# crl_extensions = crl_ext
default_days = 365 # how long to certify for
default_crl_days= 30 # how long before next CRL
default_md = md5 # which md to use.
preserve = no # keep passed DN ordering
# A few difference way of specifying how similar the request should look
# For type CA, the listed attributes must be the same, and the optional
# and supplied fields are just that
policy = policy_match
# For the CA policy
[ policy_match ]
countryName = match
stateOrProvinceName = match
organizationName = match
organizationalUnitName = optional
commonName = supplied
emailAddress = optional
# For the ‘anything’ policy
# At this point in time, you must list all acceptable ‘object’
# types.
[ policy_anything ]
countryName = optional
stateOrProvinceName = optional
localityName = optional
organizationName = optional
organizationalUnitName = optional
commonName = supplied
emailAddress = optional
####################################################################
[ req ]
default_bits = 1024
default_keyfile = privkey.pem
distinguished_name = req_distinguished_name
attributes = req_attributes
x509_extensions = v3_ca # The extentions to add to the self signed cert
# Passwords for private keys if not present they will be prompted for
# input_password = secret
# output_password = secret
# This sets a mask for permitted string types. There are several options.
# default: PrintableString, T61String, BMPString.
# pkix : PrintableString, BMPString.
# utf8only: only UTF8Strings.
# nombstr : PrintableString, T61String (no BMPStrings or UTF8Strings).
# MASK:XXXX a literal mask value.
# WARNING: current versions of Netscape crash on BMPStrings or
UTF8Strings
# so use this option with caution!
string_mask = nombstr
# req_extensions = v3_req # The extensions to add to a certificate request
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
countryName_min = 2
countryName_max = 2
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow region
localityName = Locality Name (eg, city)
localityName_default = Ybileynyi
0.organizationName = Organization Name (eg, company)
0.organizationName_default = SIP RIA
# we can do this but it is not needed normally
#1.organizationName = Second Organization Name (eg, company)
#1.organizationName_default = World Wide Web Pty Ltd
organizationalUnitName = Organizational Unit Name (eg, section)
commonName = Common Name (eg, YOUR name)
commonName_default = www.dymatel.und
commonName_max = 64
emailAddress = Email Address
emailAddress_default = root@dymatel.und
emailAddress_max = 40
# SET-ex3 = SET extension number 3
[ req_attributes ]
challengePassword = A challenge password
challengePassword_min = 8
challengePassword_max = 20
unstructuredName = An optional company name
[ usr_cert ]
# These extensions are added when ‘ca’ signs a request.
# This goes against PKIX guidelines but some CAs do it and some software
# requires this to avoid interpreting an end user certificate as a CA.
basicConstraints=CA:FALSE
# Here are some examples of the usage of nsCertType. If it is omitted
# the certificate can be used for anything *except* object signing.
# This is OK for an SSL server.
# nsCertType = server
# For an object signing certificate this would be used.
# nsCertType = objsign
# For normal client use this is typical
# nsCertType = client, email
# and for everything including object signing:
# nsCertType = client, email, objsign
# This is typical in keyUsage for a client certificate.
# keyUsage = nonRepudiation, digitalSignature, keyEncipherment
# This will be displayed in Netscape’s comment listbox.
nsComment = “OpenSSL Generated Certificate”
# PKIX recommendations harmless if included in all certificates.
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid,issuer:always
# This stuff is for subjectAltName and issuerAltname.
# Import the email address.
# subjectAltName=email:copy
# Copy subject details
# issuerAltName=issuer:copy
#nsCaRevocationUrl = http://www.domain.dom/ca-crl.pem
#nsBaseUrl
#nsRevocationUrl
#nsRenewalUrl
#nsCaPolicyUrl
#nsSslServerName
[ v3_req ]
# Extensions to add to a certificate request
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
[ v3_ca ]
# Extensions for a typical CA
# PKIX recommendation.
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid:always,issuer:always
# This is what PKIX recommends but some broken software chokes on critical
# extensions.
#basicConstraints = critical,CA:true
# So we do this instead.
basicConstraints = CA:true
# Key usage: this is typical for a CA certificate. However since it will
# prevent it being used as an test self-signed certificate it is best
# left out by default.
# keyUsage = cRLSign, keyCertSign
# Some might want this also
# nsCertType = sslCA, emailCA
# Include email address in subject alt name: another PKIX recommendation
# subjectAltName=email:copy
# Copy issuer details
# issuerAltName=issuer:copy
# DER hex encoding of an extension: beware experts only!
# obj=DER:02:03
# Where ‘obj’ is a standard or added object
# You can even override a supported extension:
# basicConstraints= critical, DER:30:03:01:01:FF
[ crl_ext ]
# CRL extensions.
# Only issuerAltName and authorityKeyIdentifier make any sense in a CRL.
# issuerAltName=issuer:copy
authorityKeyIdentifier=keyid:always,issuer:always
Шаг 2
Группа разработчиков OpenSSL предъявляет некоторые требования, затрудняющие использование
файлов CA.pl или CA.sh для самостоятельной подписи ключей. Для подписи ключей авторы рекомендуют
самостоятельно воспользоваться скриптом, разработанным Ральфом С. Энгелчолом (Ralf S. Engelschall).
Создайте файл /usr/share/ssl/misc/sign следующего содержания:
#!/bin/sh
##
## sign.sh — Sign a SSL Certificate Request (CSR)
## Copyright (c) 1998-1999 Ralf S. Engelschall, All Rights Reserved.
##
# argument line handling
CSR=$1
if [ $# -ne 1 ]; then
echo “Usage: sign.sign .csr”; exit 1
fi
if [ ! -f $CSR ]; then
echo “CSR not found: $CSR”; exit 1
fi
case $CSR in
*.csr ) CERT=”`echo $CSR | sed -e ’s/\.csr/.crt/’`” ;;
* ) CERT=”$CSR.crt” ;;
esac
# make sure environment exists
if [ ! -d ca.db.certs ]; then
mkdir ca.db.certs
fi
if [ ! -f ca.db.serial ]; then
echo ‘01′ >ca.db.serial
fi
if [ ! -f ca.db.index ]; then
cp /dev/null ca.db.index
fi
# create an own SSLeay config
cat >ca.config < [ ca ]
default_ca = CA_own
[ CA_own ]
dir = /usr/share/ssl
certs = /usr/share/ssl/certs
new_certs_dir = /usr/share/ssl/ca.db.certs
database = /usr/share/ssl/ca.db.index
serial = /usr/share/ssl/ca.db.serial
RANDFILE = /usr/share/ssl/ca.db.rand
certificate = /usr/share/ssl/certs/ca.crt
private_key = /usr/share/ssl/private/ca.key
default_days = 365
default_crl_days = 30
default_md = md5
preserve = no
policy = policy_anything
[ policy_anything ]
countryName = optional
stateOrProvinceName = optional
localityName = optional
organizationName = optional
organizationalUnitName = optional
commonName = supplied
emailAddress = optional
EOT
# sign the certificate
echo "CA signing: $CSR -> $CERT:”
openssl ca -config ca.config -out $CERT -infiles $CSR
echo “CA verifying: $CERT <-> CA cert”
openssl verify -CAfile /usr/share/ssl/certs/ca.crt $CERT
# cleanup after SSLeay
rm -f ca.config
rm -f ca.db.serial.old
rm -f ca.db.index.old
# die gracefully
exit 0
Шаг 3
Измените права доступа к файлу и назначьте владельцем файла суперпользователя root:
[root@dymatel /]# chmod 700 /usr/share/ssl/misc/sign
[root@dymatel /]# chown 0.0 /usr/share/ssl/misc/sign

Тестирование OpenSSL

Для проверки работоспособности OpenSSL создайте на вашей системе SSL-сертификат Web-сервера
Apache. Для создания ключей RSA и запросов на подтверждение подлинности сертификатов (Certificate
Signing Requests, CSR) используется утилита /usr/bin/openssl.
Шаг 1
Выберите пять любых больших файлов со случайным (уникальным) содержанием, скопируйте их в
каталог /usr/share/ssl и переименуйте в random1, random2, random3, random4, random5.
Для выбора пяти случайных файлов и размещения их в /usr/share/ssl используйте команды:
[root@dymatel /]# cp /var/log/messages /usr/share/ssl/random1
[root@dymatel /]# cp /var/log/messages.1 /usr/share/ssl/random2
[root@dymatel /]# cp /var/log/messages.2 /usr/share/ssl/random3
[root@dymatel /]# cp /var/log/messages.3 /usr/share/ssl/random4
[root@dymatel /]# cp /var/log/messages.4 /usr/share/ssl/random5
Шаг 2
Создайте закрытый ключ RSA для Web-сервера, защищенный паролем:
[root@dymatel /]# cd /usr/share/ssl/
[root@dymatel ssl]# openssl genrsa -des3 -rand random1:
random2:random3:random4:random5 -out www.dymatel.und.key 1024
1540748 semi-random bytes loaded
Generating RSA private key, 1024 bit long modulus
……..++++++
………………………………………….++++++
e is 65537 (0×10001)
Введите пароль для защиты вашего RSA-ключа:
Enter pass phrase for www.dymatel.und.key: $ecretn0e_Sl0vo
Подтвердите пароль:
Verifying - Enter pass phrase for www.dymatel.und.key: $ecretn0e_Sl0vo
ЗАМЕЧАНИЕ Обратите внимание, что в качестве имени системы нужно ввести www.dymatel.und, а
не dymatel.und. В противном случае вы не сможете подписать сертификат.
Шаг 3
Сохраните ключ, содержащийся в файле www.dymatel.und.key, и защищающий его пароль в на-
дежном месте, например, на дискете.
Шаг 4
Создайте запрос на подтверждение подлинности сертификата:
[root@dymatel ssl]# openssl req -new -key www.dymatel.und.key -out
www.dymatel.und.csr
Введите пароль, защищающий ключ www.dymatel.und.key:
Enter pass phrase for www.dymatel.und.key: $ecretn0e_Sl0vo
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a
DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
Подтвердите заданные ранее в файле /usr/shared/ssl/openssl.cnf название страны, области,
города, организации, Web-сервера, почтового адреса администратора сервера:
Country Name (2 letter code) [RU]:
State or Province Name (full name) [Moscow Region]:
Locality Name (eg, sity) [Ybileynyi]:
Organization Name (eg, company) [SIP RIA]:
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) [www.dymatel.und]:
Email Address [root@dymatel.und]:
Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Файл www.dymatel.und.csr, содержащий запрос на подтверждение подлинности сертификата,
отправьте в коммерческий сертификационный центр, оплатите его услуги, и через некоторое время вы по-
лучите файл www.dymatel.und.crt, который вы сможете использовать для подтверждения подлинности
сертификата.
Если вы не желаете прибегать к услугам коммерческих сертификационных центров и желаете подпи-
сать его самостоятельно, то выполните операции, описанные в шагах 5, 6,7,8 и 9.
Шаг 5
Создайте закрытый RSA-ключ для своего собственного центра сертификации:
[root@dymatel ssl]# openssl genrsa -des3 -out ca.key 1024
Generating RSA private key, 1024 bit long modulus
…………++++++
……………++++++
e is 65537 (0×10001)
Введите пароль, защищающий ключ:
Enter pass phrase for ca.key: $ecretnoe_Slov0
Подтвердите пароль:
Verifying - Enter pass phrase for ca.key: $ecretnoe_Slov0
Шаг 6
Сохраните ключ и защищающий его пароль в надежном месте, например на дискете.
Шаг 7
Создайте и подпишите для ключа ca.key сертификат:
[root@dymatel ssl]# openssl req -new -x509 -days 365 -key ca.key -out
ca.crt
Enter pass phrase for ca.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a
DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
Введите название страны, области, города, организации, Web-сервера, почтового адреса администра-
тора сервера:
Country Name (2 letter code) [RU]:
State or Province Name (full name) [Moscow Region]:
Locality Name (eg, sity) [Ybileynyi]:
Organization Name (eg, company) [SIP RIA]:
Organizational Unit Name (eg, section) []: Sertification Department
Common Name (eg, YOUR name) [www.dymatel.und]:
Email Address [root@dymatel.und]:
ЗАМЕЧАНИЕ В этом примере были подтверждены все параметры, определенные в файле
/usr/shared/ssl/openssl.cnf и использованные при создании www.dymatel.und.csr (шаг 4), кроме на-
звания подразделения (Organizational Unit Name (eg, section)). Для реализации возможности са-
мостоятельной подписи сертификата исходные данные, вводимые для www.dymatel.und.csr и ca.crt
должны различаться, в противном случае при подписании сертификата произойдет ошибка.
Шаг 8
Поместите все созданные файлы в соответствующие каталоги:
[root@dymatel ssl]# mv www.dymatel.und.key private/
[root@dymatel ssl]# mv ca.key private/
[root@dymatel ssl]# mv ca.crt certs/
Шаг 9
Подпишите созданный ранее запрос на подтверждение подлинности сертификата
www.dymatel.und.csr:
[root@dymatel ssl]# /usr/share/ssl/misc/sign www.dymatel.und.csr
CA signing: www.dymatel.und.csr -> www.dymatel.und.crt:
Using configuration from ca.config
Enter PEM pass phrase:
Check that the request matches the signature
Signature ok
The Subjects Distinguished Name is as follows
countryName :PRINTABLE:’RU’
stateOrProvinceName :PRINTABLE:’Moscow region’
localityName :PRINTABLE:’Ybileyniy’
organizationName :PRINTABLE:’SIP RIA’
organizationalUnitName:PRINTABLE:’Sertification Department’
commonName :PRINTABLE:’www.dymatel.und’
emailAddress :IA5STRING:’root@dymatel.und’
Certificate is to be certified until Mar 19 12:24:10 2004 GMT (365 days)
Подтвердите необходимость подписи сертификата:
Sign the certificate? [y/n]:y
Еще раз подтвердите необходимость подписи сертификата:
1 out of 1 certificate requests certified, commit? [y/n]:y
Write out database with 1 new entries
Data Base Updated
CA verifying: www.dymatel.und.crt <-> CA cert
www.dymatel.und.crt: OK
Шаг 10
Поместите файл www.dymatel.und.crt в /usr/share/ssl/cert:
[root@dymatel ssl]# mv www.dymatel.und.crt certs/
и удалите www.dymatel.und.csr:
[root@dymatel ssl]# rm -f www.dymatel.und.csr
ЗАМЕЧАНИЕ Если во время подписывания сертификата выдается сообщение об ошибках, вероятно,
это является следствием того, что при вводе полного доменного имени системы вы ввели mydomain.ru вме-
сто www.mydomain.ru или информация, введенная при создании ca.crt (шаг 7) и www.mydomain.ru.csr
(шаг 4) идентична.
Шаг 11
Для повышения безопасности измените права доступа к вновь созданным файлам:
[root@dymatel /]# chmod 750 /usr/share/ssl/private/
[root@dymatel /]# chmod 400 /usr/share/ssl/certs/ca.crt
[root@dymatel /]# chmod 400 /usr/share/ssl/certs/www.dymatel.und.crt
[root@dymatel /]# chmod 400 /usr/share/ssl/private/ca.key
[root@dymatel /]# chmod 400 /usr/share/ssl/private/www.dymatel.und.key
Шаг 12
Для того, чтобы созданный и подписанный вами сертификат мог использоваться Web-сервером
Apache, в конфигурационный файл httpd.conf добавьте строки:
SSLCertificateFile /usr/share/ssl/certs/www.dymatel.und.crt
SSLCertificateFile /usr/share/ssl/private/www.dymatel.und.key

Многие сетевые службы, предназначенные для администрирования удаленных систем (например,
telnet, rsh, rlogin и др.) не обеспечивают должный уровень безопасности, т. к. передают аутентифика-
ционную информацию по сети в виде незашифрованного текста. Эта информация может быть перехвачена
третьими лицами и использована для получения несанкционированного доступа к вашим системам. В на-
стоящее время эти программы почти полностью вытеснены программой OpenSSH (Open Secure Shell), кото-
рая шифрует весь трафик, включая аутентификационную информацию, и позволяет:
• регистрироваться на удаленных системах;
• выполнять команды на удаленных системах;
• копировать файлы c одной системы на другую.

Ограничения и допущения

Исходные коды находятся в каталоге /var/tmp.
Все операции выполняются пользователем с учетной записью root.
Используется дистрибутив ASPLinux 7.3 (Vostok).
Перекомпиляция ядра не требуется.
Процедуры, описанные в этой главе, могут оказаться применимыми для других версий ядра и дистри-
бутивов Linux, но авторы этого не проверяли.
ЗАМЕЧАНИЕ В некоторых странах ввоз, распространение и использование программного обеспечения
для криптографии запрещено.

Пакеты

Последующие рекомендации основаны на информации, полученной с домашней страницы проекта
OpenSSH по состоянию на 5.04.2003. Регулярно посещайте домашнюю страницу проекта
http://www.openssh.org/и отслеживайте обновления.
Исходные коды OpenSSH содержатся в архиве openssh-version.tar.gz (последняя доступная
на момент написания главы стабильная версия openssh-3.6.1p1.tar.gz).
ЗАМЕЧАНИЕ Обратите внимание, что вам необходима именно «переносимая» (предназначенная для
Linux и др. операционных систем) версия, название которой содержит индекс “p”, например “3.6.1p1″.
Для работы OpenSSH требуется наличие некоторых библиотек OpenSSL, поэтому перед установкой
OpenSSH требуется установить OpenSSL в соответствии с рекомендациями главы 12 из исходных кодов или
rpm-пакетов. Если вам необходим запуск OpenSSH в окружении chroot-jail, т. е. некоторым пользователям
необходимо предоставить доступ к выполнению команд только в их домашних каталогах, без предоставле-
ния доступа к системе в целом, должны использоваться исходные коды OpenSSH, к которым применен со-
ответствующий патч. Пропатченные исходные коды OpenSSH содержатся в архиве openssh-versionchroot.
tar.gz (последняя доступная на момент написания главы стабильная версия openssh-
3.6.1p1.tar.gz) и могут быть получены с http://chrootssh.sourceforge.net.

Инсталляция с помощью rpm-пакета

Если вы предпочитаете использование системы со стандартным ядром и программным обеспечением,
установленным из rpm-пакетов, для установки или обновления пакета необходимо выполнить простые опе-
рации. Следует заметить, что в этом случае, к сожалению, вам не удастся в дальнейшем настроить работу
программы в среде chroot-jail.
ЗАМЕЧАНИЕ Авторы настоятельно рекомендуют устанавливать программное обеспечение из исход-
ных кодов.
Шаг 1
Проверьте, установлен ли пакет openssh с помощью следующей команды:
[root@drwalbr /]# rpm –iq openssh
Шаг 2
В случае его отсутствия перейдите в каталог, где находится пакет openssh-3.1p1-
6.1asp.i386.rpm. Если вы в соответствии с рекомендациями главы 2 скопировали все пакеты, входящие
в дистрибутив, в каталог /home/distrib, то выполните команду:
[root@drwalbr /]# cd /home/distrib
и установите:
[root@drwalbr distrib]# rpm –ihv openssh-3.1p1-6.1asp.i386.rpm
или обновите пакет:
[root@drwalbr distrib]# rpm –Uhv openssh-3.1p1-6.1asp.i386.rpm
После установки пакета перейдите к настройке программы OpenSSH, процесс которой описан ниже.

Компиляция, оптимизация и инсталляция OpenSSH

Шаг 1
Осуществите проверку подлинности имеющегося в вашем распоряжении архива с исходными кодами
с использованием процедур, описанных в шаге 1 радела «Компиляция, оптимизация и инсталляция
OpenSSL» главы 12.
Шаг 2
Распакуйте архив с исходными кодами в каталог /var/tmp:
[root@drwalbr tmp]# tar xzpf openssh-3.6.1p1.tar.gz
[root@drwalbr tmp]# cd openssh-3.6.1p1
Шаг 3
Создайте специального пользователя, от имени которого будет запускаться служба sshd:
[root@drwalbr openssh-3.6.1p1]# groupadd -g 39 sshd > /dev/null 2>&1 ||:
[root@drwalbr openssh-3.6.1p1]# useradd -u 39 -g 39 -s /bin/false -M -r -
d /var/empty sshd > / dev/null 2>&1 || :
Шаг 4
Добавьте имя несуществующего командного интерпретатора. Для этого в конец файла
/etc/shells добавьте строку:
/bin/sh
/bin/bash
/bin/bash2
/bin/false/
Шаг 5
Сконфигурируйте исходные коды OpenSSH:
[root@drwalbr openssh-3.6.1p1]# CFLAGS=”-O2 -march=i686 -funroll-loops”;
export CFLAGS
./configure \
–prefix=/usr \
–sysconfdir=/etc/ssh \
–libexecdir=/usr/libexec/openssh \
–mandir=/usr/share/man \
–with-pam \
–with-ipaddr-display \
–with-ipv4-default \
–with-md5-passwords \
–with-zlib
При таких параметрах конфигурации осуществляется компиляция исходных кодов с оптимизацией
применительно к архитектуре процессора i686, разрешается поддержка модулей аутентификации PAM и ис-
пользование IP-адресов вместо имени системы, паролей MD5, инсталляция файлов осуществляется в соот-
ветствующие каталоги.
Шаг 6
Откомпилируйте исходные коды, проинсталлируйте файлы OpenSSH, создайте и сохраните список
установленных файлов:
[root@drwalbr openssh-3.6.1p1]# make
[root@drwalbr openssh-3.6.1p1]# cd
[root@drwalbr openssh-3.6.1p1]# find /* > /root/openssh1
[root@drwalbr openssh-3.6.1p1]# make install
[root@drwalbr openssh-3.6.1p1]# mkdir /var/empty
[root@drwalbr openssh-3.6.1p1]# chown root.sys /var/empty
[root@drwalbr openssh-3.6.1p1]# find /* > /root/openssh2
[root@drwalbr openssh-3.6.1p1]# diff /root/openssh1 /root/openssh2 >
/root/openssh.installed
[root@drwalbr openssh-3.6.1p1]# mv /root/openssh.installed
/very_reliable_place/openssh.installed.YYYYMMDD
Шаг 7
Удалите архив и каталог с исходными кодами OpenSSH:
[root@drwalbr openssh-3.6.1p1]# cd /var/tmp/
[root@drwalbr tmp]# rm -rf openssh-3.6.1p1/
[root@drwalbr tmp]# rm -f openssh-3.6.1p1.tar.gz

Конфигурирование OpenSSH

Конфигурирование OpenSSН осуществляется с использованием следующих файлов:
• конфигурационный файл сервера /etc/ssh/sshd_config;
• конфигурационный файл клиента /etc/ssh/ssh_config;
• файл для поддержки модулей PAM /etc/pam.d/sshd;
• файл инициализации /etc/init.d/sshd.
Шаг 1
Для конфигурирования сервера создайте файл /etc/ssh/sshd_config, руководствуясь своими
потребностями и нижеприведенными рекомендациями:
Port 22
Protocol 2,1
ListenAddress 192.168.2.99
HostKey /etc/ssh/ssh_host_key
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
ServerKeyBits 768
LoginGraceTime 60
KeyRegenerationInterval 3600
PermitRootLogin no
IgnoreRhosts yes
IgnoreUserKnownHosts yes
StrictModes yes
X11Forwarding no
X11DisplayOffset 10
PrintMotd yes
KeepAlive yes
SyslogFacility AUTHPRIV
LogLevel INFO
RhostsAuthentication no
RhostsRSAAuthentication no
RSAAuthentication yes
PasswordAuthentication no
PermitEmptyPasswords no
AllowUsers drwalbr karlnext
UsePrivilegeSeparation yes
Subsystem sftp /usr/libexec/openssh/sftp-server
Опция Port 22 определяет номер порта, на котором сервер sshd ожидает запросов клиентов. В
данном примере используется 22 порт, установленный по умолчанию.
Опция Protocol 2,1 определяет порядок версий протоколов, используемых при установке соеди-
нения. В рассматриваемом примере при установлении связи сначала будет предпринята попытка установки
соединения по протоколу версии 2 и если она окажется неудачной, будет предпринята попытка установле-
ния соединения по протоколу версии 1.
Опция ListenAddress 192.168.2.99 определяет IP-адрес сетевого интерфейса, на котором
sshd ожидает запросы на подключение.
Опции HostKey /etc/ssh/ssh_host_key, HostKey /etc/ssh/ssh_host_dsa_key и
HostKey /etc/ssh/ssh_host_rsa__key определяют местоположение файлов с ключами.
Опция ServerKeyBits 768 определяет количество битов, отведенных под ключ сервера, и ис-
пользуется при генерировании ключей.
Опция LoginGraceTime 60 определяет время в секундах, через которое сервер разрывает соеди-
нение в случае неудачной попытки регистрации удаленного пользователя. Эта настройка затрудняет реали-
зацию DoS-атак (Denial of Service), основанных на установлении соединений пользователями, не имеющих
доступа к аутентификационной информации.
Опция KeyRegenerationinterval 3600 определяет продолжительность интервала времени в
секундах, по окончании которого сервер автоматически генерирует новые ключи. Это настройка повышает
безопасность системы за счет затруднения расшифровки третьими лицами трафика, генерируемого соедине-
ниями легитимных пользователей.
Опция PermitRootLogin no запрещает регистрацию пользователя root, используя ssh. В слу-
чае необходимости выполнения команд на удаленной системе от имени пользователя root безопаснее заре-
гистрироваться в системе в качестве обычного пользователя и затем повысить свои права доступа c помо-
щью команд su или sudo.
Опции IgnoreRhosts yes, IgnoreUserKnownHosts yes, StrictModes yes, RhostsAuthentication
no и RhostsRSAAuthentication no повышают безопасность системы за счет
запрета использования файлов rhosts или shosts для аутентификации пользователей.
Опция X11Forwarding no запрещает поддержку X-сервера.
Опция PrintMotd yes разрешает вывод приветственного сообщения из файла /etc/motd после
регистрации пользователя.
Опция SyslogFacility AUTHPRIV определяет вывод сообщений sshd.
Опция LogLevel INFO опрделяет степень подробности вывода информации sshd.
Опция RSAAuthentication yes разрешает использовать RSA аутентификацию. Она использует-
ся только протоколом SSH1. Протокол SSH2 использует DSA аутентификацию.
Опция PasswordAuthentication no повышает безопасность системы за счет запрещения ис-
пользования паролей для аутентификации пользователей, предоставляя возможность для регистрации толь-
ко тем удаленным пользователям, чьи открытые ключи, созданные с помощью утилиты ssh-keygen, раз-
мещены на сервере. Эти ключи так же защищены паролем. Такой предлагаемый вариант значения опции
(no) запрещает регистрацию пользователей, которые узнали или подобрали пароль, но не имеют соответст-
вующего ключа на своей системе.
Опция PermitEmptyPasswords no запрещает регистрацию на системе удаленных пользователей,
для которых не определены значения паролей. В рассматриваемом примере значение этой опции не сущест-
венно, так как выше запрещено использование паролей для аутентификации пользователей. Тем не менее, из
соображений безопасности, рекомендуется запретить использование пустых паролей.
Опция AllowUsers drwalbr karlnext определяет список удаленных пользователей, которым
разрешена регистрация в системе.
Опция UsePrivilegeSeparation yes используется для повышения устойчивости системы к раз-
личного рода сбоям.
Шаг 2
Для конфигурирования клиента создайте и отредактируйте в соответствии с вашими потребностями
файл /etc/ssh/ssh_config:
Host *
ForwardAgent no
ForwardX11 no
RhostsAuthentication no
RhostsRSAAuthentication no
RSAAuthentication yes
PasswordAuthentication no
FallBackToRsh no
UseRsh no
BatchMode no
CheckHostIP yes
StrictHostKeyChecking yes
IdentityFile ~/.ssh/identity
IdentityFile ~/.ssh/id_dsa
IdentityFile ~/.ssh/id_rsa
Port 22
Protocol 2,1
Cipher blowfish
EscapeChar ~
Опция Host * предназначена для наложения ограничений на имена систем, с которыми разрешено
соединение. В рассматриваемом примере образец “*” не устанавливает никаких ограничений. Опция Host в
файле /etc/ssh/ssh_config может использоваться несколько раз, при этом задаваемый ей образец
имен систем, с которыми разрешено соединение, действует до следующего упоминания опции Host или
конца файла. Это позволяет реализовывать разные настройки клиента для соединения с различными систе-
мами.
Опции ForwardAgent no и ForwardX11 no запрещают автоматическое распространение сеансов
на вашу систему.
RhostsAuthentication no и RhostsRSAAuthentication no запрещают устаревшие и
ставшими небезопасными механизмы аутентификации пользователей.
Опция RSAAuthentication yes разрешает использовать RSA аутентификацию. Этот тип аутен-
тификации используется только протоколом SSH1. Протокол SSH2 использует DSA аутентификацию.
Опция PasswordAuthentication no повышает безопасность системы за счет запрещения ис-
пользования паролей для аутентификации пользователей. Более подробно назначение этой опции рассмат-
ривалось выше при конфигурировании сервера.
Опция FallBackToRsh no запрещает в случае неудачной попытки соединения с помощью ssh-
клиента автоматической попытки установки соединения с помощью rsh-клиента.
Опция UseRsh no запрещает использование небезопасных служб.
Опция BatchMode no требует безусловной проверки имени пользователя и пароля при установке
соединения. Значение опции должно быть изменено, если вы разрабатываете скрипты, предназначенные для
автоматической установки соединения, например, при резервном копировании данных.
Опция checkHostIP yes требует обязательной проверки соответствия IP-адреса и имени системы
при установке соединения.
Опция StrictHostKeyChecking yes запрещает автоматическое добавление ключей удаленных
систем в файл known_hosts. В начале, т. е. сразу после установки системы, можно изменить значение оп-
ции на “no”, установить соединения со всеми системами, с которыми имеется необходимость установки ssh-
соединений, при этом ключи автоматически добавятся в файл known_hosts. После чего необходимо уста-
новить значение опции “yes”.
Опции IdentityFile ~/.ssh/identity, IdentityFile ~/.ssh/id_dsa и Identity-
File ~/.ssh/id_rsa позволяют определить местоположение файлов, используемых при аутентифика-
ции.
Опция Protocol 2,1 определяет порядок версий протоколов, используемых при установке соеди-
нения. В рассматриваемом примере сначала будет предпринята попытка установки соединения по протоко-
лу версии 2 и если она окажется неудачной, будет предпринята попытка установления соединения по прото-
колу версии 1.
Опция Cipher blowfish определяет алгоритм шифрования информации. Шифр blowfish пре-
дусматривает использование 64-битных блоков и ключей длиной до 448 битов.
Опция EscapeChar ~ определяет возможность использования символа для приостановки
сеанса.
Шаг 3
Для повышения безопасности компиляция OpenSSH осуществлена с поддержкой аутентификации с
использованием модулей PAM. Для настройки аутентификации создайте файл /etc/pam.d/sshd, содер-
жащий следующие строки:
#%PAM-1.0
auth required /lib/security/pam_stack.so service=system-auth
auth required /lib/security/pam_nologin.so
account required /lib/security/pam_stack.so service=system-auth
account required /lib/security/pam_access.so
account required /lib/security/pam_time.so
password required /lib/security/pam_stack.so service=system-auth
session required /lib/security/pam_stack.so service=system-auth
session required /lib/security/pam_limits.so
Установите права доступа к файлу, назначьте его владельцем пользователя root:
[root@drwalbr /]# chmod 640 /etc/pam.d/sshd
[root@drwalbr /]# chown 0.0 /etc/pam.d/sshd
Шаг 4
Создайте файл /etc/init.d/sshd, содержащий следующие строки:
#!/bin/bash
# This shell script takes care of starting and stopping OpenSSH.
#
# chkconfig: 2345 55 25
# description: OpenSSH is a program thas allows to establish a secure remote
\
# connection to a server.
#
# processname: sshd
# config: /etc/ssh/ssh_host_key
# config: /etc/ssh/ssh_host_key.pub
# config: /etc/ssh/ssh_random_seed
# config: /etc/ssh/sshd_config
# pidfile: /var/run/sshd.pid
# Source function library.
. /etc/init.d/functions
# Source networking configuration.
. /etc/sysconfig/network
# Source OpenSSH configureation.
if [ -f /etc/sysconfig/sshd ] ; then
. /etc/sysconfig/sshd
fi
RETVAL=0
# Some functions to make the below more readable.
KEYGEN=/usr/bin/ssh-keygen
RSA1_KEY=/etc/ssh/ssh_host_key
RSA_KEY=/etc/ssh/ssh_host_rsa_key
DSA_KEY=/etc/ssh/ssh_host_dsa_key
PID_FILE=/var/run/sshd.pid
my_success() {
local msg
if [ $# -gt 1 ]; then
msg=”$2″
else
msg=”done”
fi
case “`type -type success`” in
function)
success “$1″
;;
*)
echo -n “${msg}”
;;
esac
}
my_failure() {
local msg
if [ $# -gt 1 ]; then
msg=”$2″
else
msg=”FAILED”
fi
case “`type -type failure`” in
function)
failure “$1″
;;
*)
echo -n “${msg}”
;;
esac
}
do_rsa1_keygen() {
if ! test -f $RSA1_KEY ; then
echo -n “Generating SSH1 RSA host key: ”
if $KEYGEN -q -t rsa1 -f $RSA1_KEY -C ” -N ”
>&/dev/null; then
my_success “RSA1 key generation”
echo
else
my_failure “RSA1 key generation”
echo
exit 1
fi
fi
}
do_rsa_keygen() {
if ! test -f $RSA_KEY ; then
echo -n “Generating SSH2 RSA host key: ”
if $KEYGEN -q -t rsa -f $RSA_KEY -C ” -N ” >&/dev/null;
then
my_success “RSA key generation”
echo
else
my_failure “RSA key generation”
echo
exit 1
fi
fi
}
do_dsa_keygen() {
if ! test -f $DSA_KEY ; then
echo -n “Generating SSH2 DSA host key: ”
if $KEYGEN -q -t dsa -f $DSA_KEY -C ” -N ” >&/dev/null;
then
my_success “DSA key generation”
echo
else
my_failure “DSA key generation”
echo
exit 1
fi
fi
}
do_restart_sanity_check() {
sshd -t
RETVAL=$?
if [ ! "$RETVAL" = 0 ]; then
my_failure “Configuration file or keys”
echo
exit $RETVAL
fi
}
case “$1″ in
start)
# Create keys if necessary
do_rsa1_keygen;
do_rsa_keygen;
do_dsa_keygen;
echo -n “Starting SSHD: ”
if [ ! -f $PID_FILE ] ; then
sshd $OPTIONS
RETVAL=$?
if [ "$RETVAL" = "0" ] ; then
my_success “sshd startup” “sshd”
touch /var/lock/subsys/sshd
else
my_failure “sshd startup” “”
fi
fi
echo
;;
stop)
echo -n “Shutting down SSHD: ”
if [ -f $PID_FILE ] ; then
killproc sshd
RETVAL=$?
[ $RETVAL -eq 0 ] && rm -f /var/lock/subsys/sshd
fi
echo
;;
restart)
do_restart_sanity_check
$0 stop
$0 start
RETVAL=$?
;;
condrestart)
if [ -f /var/lock/subsys/sshd ] ; then
do_restart_sanity_check
$0 stop
$0 start
RETVAL=$?
fi
;;
status)
status sshd
RETVAL=$?
;;
*)
echo “Usage: sshd
{start|stop|restart|status|condrestart}”
exit 1
;;
esac
exit $RETVAL
Установите права доступа к файлу, назначьте его владельцем пользователя root и создайте соответ-
ствующие ссылки:
[root@drwalbr /]# chmod 700 /etc/init.d/sshd
[root@drwalbr /]# chown 0.0 /etc/init.d/sshd
[root@drwalbr /]# chkconfig –add sshd
[root@drwalbr /]# chkconfig –level 2345 sshd on

Тестирование OpenSSH

Для проверки работоспособности OpenSSH попытайтесь установить удаленное соединение между
двумя системами. Ниже приведены подробные инструкции по установке соединения по протоколу SSH ме-
жду двумя системами drwalbr.und (IP-адрес 192.168.1.105) и karlnext.und (IP-адрес 192.168.1.35).
Для реализации безопасного соединения на каждой из систем пользователь должен создать пару клю-
чей (закрытый и открытый). Открытые ключи переносятся на другую систему (не ту на которой он был соз-
дан) и хранятся в домашнем каталоге пользователя в файле /.ssh/authorized_keys.
Шаг 1
Для создания пары ключей на системе drwalbr.und от имени пользователя drwalbr выполни-
те:
[drwalbr@drwalbr drwalbr]$ ssh-keygen -t rsa
Generating public/private rsa key pair.
Введите имя каталога, в котором будут сохранены ключи. Рекомендуется имя каталога, предлагаемое
по умолчанию - /home/drwalbr/.ssh/id_rsa:
Enter file in which to save the key (/home/drwalbr/.ssh/id_rsa):
Введите пароль:
Enter passphrase (empty for no passphrase): $ecretnoe_Slovo_dr_Walbr
Подтвердите пароль:
Enter same passphrase again: $ecretnoe_Slovo_dr_Walbr
Your identification has been saved in /home/drwalbr/.ssh/id_rsa.
Your public key has been saved in /home/drwalbr/.ssh/id_rsa.pub.
The key fingerprint is:
f0:7f:09:90:5d:71:d4:59:1e:e5:9b:2b:b2:77:a1:ce drwalbr@drwalbr.und
На системе karlnext.und от имени пользователя drwalbr:
[drwalbr@drwalbr drwalbr]$ ssh-keygen -t rsa
Generating public/private rsa key pair.
Введите имя каталога, в котором будут сохранены ключи. Рекомендуется имя каталога, предлагаемое
по умолчанию - /home/drwalbr/.ssh/id_rsa:
Enter file in which to save the key (/home/drwalbr/.ssh/id_rsa):
Ведите пароль:
Enter passphrase (empty for no passphrase): $ecretnoe_Slovo_Karl_Next
Подтвердите пароль:
Enter same passphrase again: $ecretnoe_Slovo_Karl_Next
Your identification has been saved in /home/drwalbr/.ssh/id_rsa.
Your public key has been saved in /home/drwalbr/.ssh/id_rsa.pub.
The key fingerprint is:
f0:7f:09:90:5d:71:d4:59:1e:e5:9b:2b:b2:77:a1:ce drwalbr@karlnext.und
Закрытый ключ будет находиться в файле id_rsa, а открытый в файле id_rsa.pub.
ЗАМЕЧАНИЕ В приведенном выше примере описана генерация ключей для протокола SSH версии 2.
Если вы по каким либо причинам собираетесь использовать ключи для протокола SSH версии 1, следует ис-
пользовать команду:
[drwalbr@drwalbr drwalbr]$ ssh-keygen -t rsa1
В этом случае закрытый ключ будет находиться в файле identity, а открытый в - identity.pub.
Шаг 2
Скопируйте открытый ключ id_rsa.pub, находящийся на системе drwalbr.und в каталоге
/home/drwalbr/.ssh/, в файл /home/drwalbr/.ssh/authorized_keys системы
karlnext.und.
Шаг 3
Скопируйте открытый ключ id_rsa.pub, находящийся на системе karlnext.und в каталоге
/home/drwalbr/.ssh/, в файл /home/drwalbr/.ssh/authorized_keys системы drwalbr.und.
Копирование ключей может быть осуществлено с помощью электронной почты или в случае, если системы
находятся поблизости, с помощью съемных носителей.
Шаг 4
На обеих системах зарегистрируйтесь в качестве суперпользователя root и запустите sshd:
[root@drwalbr /]# /etc/init.d/sshd start
Starting SSHD: [ОК]
[root@karlnext /]# /etc/init.d/sshd start
Starting SSHD: [ОК]
Шаг 5
Регистрация на удаленной системе осуществляется с помощью команды:
[drwalbr@drwalbr drwalbr]$ ssh name_of_user@name_of_remoute_system.domen
где:
name_of_user – имя пользователя;
name_of_remoute_system.domen – имя удаленной системы, на которой осуществляется регист-
рация.
Попробуйте зарегистрироваться в качестве пользователя drwalbr на удаленной системе
karlnext.und с системы drwalbr.und. Для этого от имени пользователя drwalbr на системе
drwalbr.und выполните:
[drwalbr@drwalbr drwalbr]$ ssh drwalbr@karlnext.und
Введите пароль, используемый для защиты закрытого ключа на системе drwalbr.und:
Enter passphrase for key ‘/home/drwalbr/.ssh/id_dsa’: $ecretnoe_
Slovo_dr_Walbr
Last login: Tue Mar 25 11:52:56 2003 from drwalbr.und
[drwalbr@karlnext drwalbr]$
ЗАМЕЧАНИЕ Если вы работаете в локальной сети, в которой нет DNS-сервера, для нормальной рабо-
ты SSH в файлы /etc/hosts на системе drwalbr.und следует добавить строку:
192.168.1.35 karlnext.und karlnext
а на системе karlnext.und - строку:
192.168.1.105 drwalbr.und drwalbr
Не рекомендуется использовать файлы /etc/hosts для преобразования имен систем в IP-адреса в
сетях, содержащих больше 5…10 систем. В этом случае необходимо установить, настроить и запустить DNS-
сервер.

Использование OpenSSH

Часто OpenSSH используется для копирования файлов с одной системы на другую. Для этого исполь-
зуется утилита scp (Secure Copy), синтаксис которой аналогичен синтаксису широко используемой для ко-
пирования файлов на локальной системе утилиты cp.
Для копирования файлов с локальной системы на удаленную наберите:
[drwalbr@drwalbr /]$ scp -p local_dir/local_file
name_of_user@name_of_remoute_system.domen:/dir/file
где:
-p – опция, предписывающая сохранять атрибуты копируемого файла;
local_dir – путь к каталогу, откуда копируется файл на локальной системе;
local_file –.имя копируемого файла на локальной системе;
name_of_user – имя пользователя удаленной системы;
name_of_remoute_system.domen – имя удаленной системы;
dir – путь к каталогу на удаленной системе, в который копируется файл;
file – имя файла на удаленной системе, в который осуществляется копирование.
Например, если вы хотите скопировать файлы test и test1, находящиеся на системе
drwalbr.und в домашнем каталоге пользователя drwalbr, в домашний каталог пользователя drwalbr
на системе karnext.und, то на системе drwalbr.und от имени пользователя drwalbr выполните ко-
манду:
[drwalbr@drwalbr drwalbr]$ scp -p test*
drwalbr@karlnext.und:/home/drwalbr/
Введите пароль, используемый для защиты закрытого ключа на системе drwalbr.und:
Enter passphrase for key ‘/home/drwalbr/.ssh/id_dsa’:
20030325 100% |*********************| 229 KB 00:00
20030326 100% |*********************| 246 KB 00:00
Для копирования файлов с удаленной системы на локальную используйте:
[drwalbr@drwalbr /]$ scp -p
name_of_user@name_of_remoute_system.domen:/dir/file local_dir/local_file
Для копирования файлов с одной удаленной системы на другую удаленную систему выполните:
drwalbr@drwalbr /]$ scp -p
name_of_user@name_of_remoute_system.domen:/dir/file
name_of_user_1@name_of_remoute_system_1.domen_1:/dir_1/file_1
где:
name_of_user_1, name_of_remoute_system_1, domen_1, dir_1, file_1 – соответственно,
значения параметров name_of_user, name_of_remoute_system, domen, dir, file для удаленной
системы, на которую копируется файл.
В некоторых случаях, например, если пользователь забыл пароль или он стал доступен третьим ли-
цам, может потребоваться изменение пароля, используемого для защиты секретного ключа. Для изменения
пароля пользователя drwalbr на системе drwalbr выполните:
[drwalbr@drwalbr drwalbr]$ ssh-keygen –p
Введите имя ключа, для которого должен быть изменен пароль, используемый для защиты:
Enter file in which the key is (/home/drwalbr/.ssh/id_rsa):
Введите старый пароль:
Enter old passphrase: $ecretnoe_Slovo_dr_Walbr
Введите новый пароль:
Enter new passphrase again: New_$ecretnoe_Slovo
Подтвердите новый пароль:
Enter same passphrase again: New_$ecretnoe_Slovo
Your identification has been saved with the new passphrase

OpenSSH в окружении chroot-jail

Для того, что бы программа OpenSSH выполнялась в окружении chroot-jail – т. е. пользователь, заре-
гистрировавшийся с помощью клиента ssh, не имел бы доступа на чтение-запись и исполнение файлов за
пределами своего пользовательского каталога – необходимо создать среду chroot-jail и установить версию
OpenSSH, поддерживающую работу в этой среде. Этот вид установки полезен не только для компаний, пре-
доставляющих услуги хостинга, но и для администраторов, желающих повысить безопасность своей систе-
мы. В этом случае, если злоумышленник получит доступ только к аутентификационной информации поль-
зователя он вря ли сможет получить доступ к системе в целом.

Создание окружения chroot-jail

В конечном счете, вы должны создать подобие корневой файловой системы, содержащей все компо-
ненты, необходимые для работы приложений (исполняемые файлы, файлы настроек, библиотеки и т. п.).
Для повышения безопасности системы окружение chroot-jail лучше всего создавать на отдельном разделе
диска, смонтированном в отдельный каталог, например /chroot. Если вы следовали рекомендациям главы
2, то такой раздел уже существует.
Шаг 1
Создайте нового пользователя:
[root@drwalbr /]# useradd -g users -d /chroot/urbanoff urbanoff
[root@drwalbr /]# passwd urbanoff
Changing password for user urbanoff
New UNIX password: Urbanoff’s_$ecretnoe_$lovo
Retype new UNIX password: Urbanoff’s_$ecretnoe_$lovo
passwd: all authentication tokens updated successfully
Шаг 2
Создайте необходимые каталоги в домашнем каталоге пользователя urbanoff:
[root@drwalbr /]# mkdir /chroot/urbanoff/bin
[root@drwalbr /]# mkdir /chroot/urbanoff/dev
[root@drwalbr /]# mkdir /chroot/urbanoff/etc
[root@drwalbr /]# mkdir /chroot/urbanoff/lib
[root@drwalbr /]# mkdir /chroot/urbanoff/usr
[root@drwalbr /]# mkdir /chroot/urbanoff/usr/bin
[root@drwalbr /]# mkdir /chroot/urbanoff/usr/lib
[root@drwalbr /]# mkdir /chroot/urbanoff/lib/i686
Шаг 3
Установите права доступа к каталогам:
[root@drwalbr /]# chmod -R 0111 /chroot/urbanoff/*
Шаг 4
Скопируйте минимальный набор программ, необходимый для работы пользователя, например, cp,
bash, ls, mkdir, grep, rm, vi, dircolors в соответствующие каталоги:
[root@drwalbr urbanoff]# cp /bin/cp /chroot/urbanoff/bin
[root@drwalbr urbanoff]# cp /bin/bash /chroot/urbanoff/bin
[root@drwalbr urbanoff]# cp /bin/ls /chroot/urbanoff/bin
[root@drwalbr urbanoff]# cp /bin/mkdir /chroot/urbanoff/bin
[root@drwalbr urbanoff]# cp /bin/grep /chroot/urbanoff/bin
[root@drwalbr urbanoff]# cp /bin/rm /chroot/urbanoff/bin
[root@drwalbr urbanoff]# cp /bin/vi /chroot/urbanoff/bin
[root@drwalbr urbanoff]# cp /usr/bin/dircolors /chroot/urbanoff/usr/bin
Шаг 5
Установите права доступа к каталогам:
[root@drwalbr urbanoff]# chmod 0111 /chroot/urbanoff/bin/*
[root@drwalbr urbanoff]# chmod 0111 /chroot/urbanoff/usr/bin/*
Шаг 6
В файле /etc/passwd строку:
urbanoff:x:503:100::/chroot/urbanoff:/bin/bash
замените на:
urbanoff:x:503:100::/chroot/urbanoff/./:/bin/bash
Шаг 7
Исполняемые файлы в домашнем каталоге пользователя urbanoff используют динамические биб-
лиотеки, находящиеся в каталогах /lib и /usr/lib, недоступных пользователю, работающему в окруже-
нии chroot-jail. Поэтому необходимо создать локальные копии для всех библиотек, используемых исполняе-
мыми файлами, расположенные в домашнем каталоге пользователя urbanoff. Для нахождения необходи-
мых динамических библиотек используйте команду ldd:
[root@drwalbr urbanoff]# ldd bash cp ls mkdir grep rm vi
/usr/bin/dircolors
bash:
libtermcap.so.2 => /lib/libtermcap.so.2 (0×4cc1e000)
libdl.so.2 => /lib/libdl.so.2 (0×4cc23000)
libc.so.6 => /lib/i686/libc.so.6 (0×4cc26000)
/lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0×4cc07000)
cp:
libc.so.6 => /lib/i686/libc.so.6 (0×4de49000)
/lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0×4de32000)
ls:
libtermcap.so.2 => /lib/libtermcap.so.2 (0×4db5c000)
libc.so.6 => /lib/i686/libc.so.6 (0×4db61000)
/lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0×4db45000)
mkdir:
libc.so.6 => /lib/i686/libc.so.6 (0×40d9b000)
/lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0×40d84000)
grep:
libc.so.6 => /lib/i686/libc.so.6 (0×44399000)
/lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0×44382000)
rm:
libc.so.6 => /lib/i686/libc.so.6 (0×439ef000)
/lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0×439d8000)
vi:
libtermcap.so.2 => /lib/libtermcap.so.2 (0×4d667000)
libdl.so.2 => /lib/libdl.so.2 (0×4d66c000)
libc.so.6 => /lib/i686/libc.so.6 (0×4d66f000)
/lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0×4d650000)
/usr/bin/dircolors:
libc.so.6 => /lib/i686/libc.so.6 (0×41203000)
/lib/ld-linux.so.2 =>/lib/ld-linux.so.2 (0×411ec000)
Скопируйте библиотеки в соответствующие подкаталоги домашнего каталога пользователя urbanoff
и удалите из них комментарии:
[root@drwalbr /]# cp /lib/libtermcap.so.2 /chroot/urbanoff/lib/
[root@drwalbr /]# cp /lib/libd1.so.2 /chroot/urbanoff/lib/
[root@drwalbr /]# cp /lib/libc.so.6 /chroot/urbanoff/lib/
[root@drwalbr /]# cp /lib/libgcc_s.so.1 /chroot/urbanoff/lib/
[root@drwalbr /]# cp /lib/ld-linux.so.2 /chroot/urbanoff/lib/
[root@drwalbr /]# cp /lib/i686/libc.so.6 /chroot/urbanoff/lib/i686/
[root@drwalbr /]# strip -R .comment /chroot/urbanoff/lib/*
Шаг 8
Скопируйте файлы настроек в соответствующие подкаталоги домашнего каталога пользователя urbanoff:
[root@drwalbr /]# cp /etc/dir_colors /chroot/urbanoff/etc/
[root@drwalbr /]# cp /etc/passwd /chroot/urbanoff/etc/
Шаг 9
Создайте в домашнем каталоге пользователя urbanoff файл устройства
/chroot/urbanoff/dev/null и установите права доступа к нему:
[root@drwalbr /]# mknod /chroot/urbanoff/dev/null c 1 3
[root@dr mknod walbr /]# chmod 666 /chroot/urbanoff/dev/null
ЗАМЕЧАНИЕ Если вы постоянно добавляете новых пользователей в окружение chroot-jail, для упро-
щения данной операции можно написать скрипт, реализующий шаги 1…9.

Компиляция, оптимизация, инсталляция, конфигурирование и тестирование OpenSSH в среде chroot-jail

Компиляция, оптимизация, инсталляция и конфигурирование OpenSSH в среде chroot-jail осуществ-
ляется так же, как и в случае инсталляции в обычной среде, с тем отличием, что используются исходные ко-
ды из архива openssh-version-chroot.tar.gz или исходные коды из архива opensshversion.
tar.gz, модифицированные с помощью патча osshChroot-version.diff.
Если вы используете ядро, собранное из исходных кодов, к которым применен патч Grsecurity, убеди-
тесь, что в настройках ядра опция CONFIG_GRKERNSEC_CHROOT не включена, т. е. при конфигурирова-
нии кодов ядра вы дали отрицательный ответ на вопрос:
Chroot jail restrictions (CONFIG_GRKERNSEC_CHROOT) [N/y/?]
Тестирование OpenSSН в среде chroot-jail можно провести путем проверки возможности регистрации
chroot-пользователя на удаленной системе с помощью ssh-клиента:
[dymatel@urbanoff urbanoff]$ ssh urbanoff@drwalbr.und
Введите пароль, используемый для защиты закрытого ключа пользователя urbanoff на системе dymatel.
und:
Enter passphrase for key ‘/home/urbanoff/.ssh/id_dsa’: Urbanoff’s_$
ecretnoe_$lovo
bash-2.05a$
Если регистрация прошла удачно, попробуйте «вырваться» из окружения chroot-jail, например, с по-
мощью команды:
bash-2.05a$ cd /
Если вы окажетесь в корневом каталоге chroot-пользователя:
bash-2.05a$ ls
bin dev etc lib usr
то все настроено правильно.
Если вы окажетесь в корневом каталоге системы, т. е.:
bash-2.05a$ ls
bin chroot etc initrd lost+found opt root tmp var
boot dev home lib mnt proc sbin usr
то среда chroot-jail не работает. Скорее всего, вы используете OpenSSН из rpm-пакета, входящего в состав
дистрибутива ASPLinux 7.3 (Vostok).

Sudo (superuser do) – программа, предназначенная для предоставления администратору системы воз-
можности делегирования в ограниченном объеме привилегий пользователя root обычным пользователям
системы.
Возможности Sudo аналогичны возможностям команды su. Однако Sudo предоставляет более широ-
кие возможности для частичного делегирования полномочий обычным пользователям системы и протоко-
лирования действий пользователя root. Sudo позволяет:
• ограничивать номенклатуру команд, выполняемых обычным пользователем с правами root;
• регистрировать все команды, выполняемые от имени пользователя root, при этом регистрация мо-
жет осуществляться как на локальной, так и на удаленной системе, например, центральном сервере;
• конфигурационный файл имеет установку, позволяющую использовать утилиту на многих маши-
нах.
Программа Sudo может оказаться просто незаменимой в ситуации, когда нужно разрешить доступ с
правами пользователя root только к некоторым программам.

Ограничения и допущения

Исходные коды находятся в каталоге /var/tmp.
Все операции выполняются пользователем с учетной записью root.
Используется дистрибутив ASPLinux 7.3 (Vostok).
Перекомпиляция ядра не требуется.
Процедуры, описанные в этой главе, могут оказаться применимыми для других версий ядра и дистри-
бутивов Linux, но авторы этого не проверяли.

Пакеты

Последующие рекомендации основаны на информации, полученной с домашней страницы проекта
Sudo по состоянию на 8.04.2003. Регулярно посещайте домашнюю страницу проекта
http://www.sudo.ws/ и отслеживайте обновления.
Исходные коды Sudo содержатся в архиве sudo-version.tar.gz (последняя доступная на момент
написания главы стабильная версия sudo-1.6.7p3.tar.gz).

Инсталляция с помощью rpm-пакета

Если вы предпочитаете использование системы со стандартным ядром и программным обеспечением,
установленным из rpm-пакетов, для установки или обновления пакета необходимо выполнить следующие
операции.
ЗАМЕЧАНИЕ Авторы настоятельно рекомендуют устанавливать программное обеспечение из исход-
ных кодов.
Шаг 1
Проверьте, установлен ли пакет sudo с помощью следующей команды:
[root@drwalbr /]# rpm –iq sudo
Шаг 2
В случае его отсутствия перейдите в каталог, где находится пакет sudo-1.6.5p2-2.i386.rpm.
Если вы в соответствии с рекомендациями главы 2 скопировали все пакеты, входящие в дистрибутив, в ка-
талог /home/distrib, то выполните команду:
[root@drwalbr /]# cd /home/distrib
и установите:
[root@drwalbr distrib]# rpm –ihv sudo-1.6.5p2-2.i386.rpm
или обновите пакет:
[root@drwalbr distrib]# rpm –Uhv sudo-1.6.5p2-2.i386.rpm
После установки пакета перейдите к конфигурированию программы Sudo, описанного ниже в соот-
ветствующем разделе.

Компиляция, оптимизация и инсталляция Sudo

Шаг 1
Осуществите проверку подлинности имеющегося в вашем распоряжении архива с исходными кодами
с использованием процедур, описанных в шаге 1 радела «Компиляция, оптимизация и инсталляция
OpenSSL» главы 12.
Шаг 2
Распакуйте архив с исходными кодами в каталоге /var/tmp:
[root@drwalbr tmp]# tar xzpf sudo-1.6.7p3.tar.gz
Шаг 3
Сконфигурируйте исходные коды Sudo:
[root@drwalbr tmp]# cd sudo-1.6.7p3
[root@drwalbr sudo-1.6.7p3]# CFLAGS=”-O2 -march=i686 -funroll-loops”; export
CFLAGS
./configure \
–prefix=/usr \
–sbindir=/usr/sbin \
–with-logging=syslog \
–with-logfac=authpriv \
–with-pam \
–with-with-env-editor \
–with-ignore-dot \
–with-tty-tickets \
–disable-root-mailer \
–disable-root-sudo \
–disable-path-info \
–with-mail-if-noperms \
–with-mailsubject=”*** Sudo SECURITY information for %h ***”
При таких параметрах конфигурации Sudo:
• регистрация сообщения Sudo будет осуществляться с использованием syslog;
• для аутентификации пользователей будут использоваться модули PAM;
• для редактирования конфигурационного файла будет использоваться программа visudo;
• символы “.” в путях к файлам будут игнорироваться;
• будут использоваться различные контрольные файлы для каждого пользователя и консоли;
• программа электронной почты не будет запускаться с правами пользователя root;
• пользователю root будет запрещено выполнять команду sudo;
• при попытке запуска обычным пользователем запрещенной команды от имени root, будет выво-
диться сообщение “command not allowed”;
• в случае попытки запуска неразрешенных программ обычными пользователями администратору
системы будет отправляться сообщение по электронной почте.
Шаг 4
Откомпилируйте исходные коды, проинсталлируйте файлы Sudo, создайте и сохраните список ин-
сталлированных файлов:
[root@drwalbr sudo-1.6.7p3]# make
[root@drwalbr sudo-1.6.7p3]# find /* > /root/sudo1
[root@drwalbr sudo-1.6.7p3]# make install
[root@drwalbr sudo-1.6.7p3]# strip /usr/bin/sudo
[root@drwalbr sudo-1.6.7p3]# strip /usr/sbin/visudo
[root@drwalbr sudo-1.6.7p3]# mkdir -p -m0700 /var/run/sudo
[root@drwalbr sudo-1.6.7p3]# find /* > /root/sudo2
[root@drwalbr sudo-1.6.7p3]# diff /root/sdudo1 /root/sudo2 >
/root/sudo.installed
[root@drwalbr sudo-1.6.7p3]# mv /root/sudo.installed
/very_reliable_place/sudo.installed.YYYYMMDD
Шаг 5
Удалите архив и каталог с исходными кодами Sudo:
[root@drwalbr sudo-1.6.7p3]# cd /var/tmp/
[root@drwalbr tmp]# rm -rf sudo-1.6.7p3/
[root@drwalbr tmp]# rm -f sudo-1.6.7p3.tar.gz

Конфигурирование Sudo

Конфигурирование Sudo осуществляется с использованием следующих файлов:
• главного конфигурационного файла /etc/sudoers;
• файла для поддержки модулей PAM /etc/pam.d/sudo.
ЗАМЕЧАНИЕ Для редактирования файла /etc/sudoers используйте только visudo. Использование
vi и других редакторов не допускается.
Шаг 1
Отредактируйте с помощью visudo файл /etc/sudoers в соответствии с приведенными рекомен-
дациями:
# This file MUST be edited with the ‘visudo’ command as root.
# Defaults specification
Defaults rootpw
# User privilege specification
# Super-user root can run anything as any user.
root ALL=(ALL) ALL
# Uncomment to allow people in group wheel to run all commands
%wheel ALL=(ALL) ALL
В этой простейшей конфигурации (более сложные варианты рассмотрены ниже) всем пользователям
из группы wheel разрешается получать права пользователя root в полном объеме.
Опция Defaults rootpw
указывает на необходимость при вызове sudo обычным пользователем запроса пароля пользователя root,
а не своего пароля.
Опция root ALL= (ALL) ALL
позволяет пользователю root выполнять все операции на сервере.
Опция %wheel ALL= (ALL) ALL
предоставляет возможность любому пользователю из группы wheel выполнять все команды от имени
пользователя root.
Шаг 2
Добавьте в группу wheel (для группы wheel GID=10) пользователей, которым вы хотите разрешить
использовать sudo для получения прав пользователя root. Например, чтобы добавить пользователя
drwalbr выполните команду:
[root@drwalbr /]# usermod -G10 drwalbr
Шаг 3
Создайте файл /etc/pam.d/sudo, содержащий следующие строки:
#%PAM-1.0
auth required /lib/security/pam_stack.so service=system-auth
account required /lib/security/pam_stack.so service=system-auth
password required /lib/security/pam_stack.so service=system-auth
session required /lib/security/pam_stack.so service=system-auth
Установите права доступа к файлу, назначьте его владельцем пользователя root:
[root@drwalbr /]# chmod 0640 /etc/pam.d/sudo
[root@drwalbr /]# chown 0.0 /etc/pam.d/sudo
Шаг 4
Для исключения возможности получения прав пользователя root обычными пользователями систе-
мы удалите SUID-бит программы su:
[root@drwalbr /]# chmod 0511 /bin/su

Тестирование Sudo

Шаг 1
Зарегистрируйтесь в системе в качестве пользователя из группы wheel. В рассматриваемом примере
членом этой группы является пользователь drwalbr.
Шаг 2
Попытайтесь выполнить какую-нибудь команду от имени пользователя root, например, запустить
сервер sshd:
[drwalbr@drwalbr /]$ sudo /etc/init.d/sshd start
Введите пароль пользователя root:
Password:Root’s_$ecretnoe_Slovo
Starting SSHD: [ОК]
Шаг 3
Зарегистрируйтесь в системе в качестве пользователя, не являющегося членом группы wheel, на-
пример karlnext.
Шаг 4
Попытайтесь выполнить какую-нибудь команду от имени пользователя root, например, остановить
сервер sshd:
[karlnext@drwalbr /]$ sudo /etc/init.d/sshd stop
Пользователь получит предупреждение о возможности возникновения проблем с администратором
системы, необходимости уважительного отношения к правам других пользователей на конфиденциальность
и осмысленном использовании команд:
We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these two things:
#1) Respect the privacy of others.
#2) Think before you type.
Даже если пользователь karlnext введет правильный пароль пользователя root:
Password: Root’s_$ecretnoe_Slovo
команда не будет выполнена, а karlnext получит сообщение о том, что он не в праве использовать sudo.
О попытке неправомерного использования им sudo будет сообщено администратору системы:
karlnext is not in the sudoers file. This incident will be reported.

Более сложная конфигурация Sudo

Отредактируйте с помощью visudo файл /etc/sudoers в соответствии с приведенными рекомен-
дациями:
# This file MUST be edited with the ‘visudo’ command as root.
# User alias specification
User_Alias FULLTIME_USERS = drwalbr, karlnext
User_Alias PARTTIME_USERS = hare, fish, cat
# Cmnd alias specification
Cmnd_Alias HTTP = /etc/init.d/httpd, /bin/vi /etc/httpd/*
Cmnd_Alias MYSQL = /etc/init.d/mysqld, /usr/bin/mysql,
/usr/bin/mysqladmin
# Defaults specification
Defaults:FULLTIME_USERS rootpw
Defaults:FULLTIME_USERS !lecture
# User privilege specification
# Super-user root can run anything as any user.
root ALL=(ALL) ALL
# Every users member of the group wheel will be allowed
# to run all commands as super-user root.
%wheel ALL=(ALL) ALL
# Full time users may run anything but need a password.
FULLTIME_USERS ALL = ALL
# Part time users may administrate httpd and mysqld servers.
PARTTIME_USERS ALL = HTTP, MYSQL
В этом файле строки:
User_Alias FULLTIME_USERS = drwalbr, karlnext
User_Alias PARTTIME_USERS = hare, fish, cat
описывают две группы пользователей FULLTIME_USERS и PARTTIME_USERS. Пользователям из группы
FULLTIME_USERS – drwalbr и karlnext – в дальнейшем будет разрешен доступ к серверу с правами
root в полном объеме. Пользователям из группы PARTTIME_USERS – hare, fish и cat – в дальнейшем
будет предоставлен доступ с правами пользователя root в объеме, достаточном для администрирования
Web-сервера и сервера баз данных MySQL.
ЗАМЕЧАНИЕ Пользователи, описанные в разделе User alias specification, используя sudo,
смогут получать доступ к системе с правами пользователя root даже, если они не являются членами группы
wheel.
Строка:
root ALL= (ALL) ALL
позволяет пользователю root выполнять все операции на сервере.
Строка:
%wheel ALL= (ALL) ALL
предоставляет возможность любому пользователю из группы wheel выполнять все команды от имени
пользователя root.
Строка:
FULLTIME_USERS ALL = ALL
разрешает группе пользователей FULLTIME_USERS(drwalbr, karlnext) доступ к системе с правами
пользователя root в полном объеме.
Строка:
Cmnd_Alias HTTP = /etc/init.d/httpd, /bin/vi /etc/httpd/*
описывает команды, которые в дальнейшем будет разрешено выполнять пользователям из группы
PARTTIME_USERS для администрирования Web-сервера:
• /etc/init.d/httpd – запуск и остановка Web-сервера;
• /bin/vi /etc/httpd/* – редактора vi, необходимого для редактирования файлов
конфигурации Web-сервера в каталоге /etc/httpd/*.
Строка:
Cmnd_Alias MySQL = /etc/init.d/mysqld, /usr/bin/mysql,
/usr/bin/mysqladmin
описывает команды, которые в дальнейшем будет разрешено выполнять пользователям из группы
PARTTIME_USERS для администрирования сервера баз данных MySQL:
• /etc/init.d/mysqld – запуск и остановка сервера баз данных;
• /usr/bin/mysql – запуск клиентской программы mysql;
• /usr/bin/mysqladmin – запуск программы для администрирования сервера баз данных
mysqladmin.
Строка:
Defaults:FULLTIME_USERS rootpw
требует ввода пароля пользователя root при использовании sudo для пользователей из группы
PARTTIME_USERS (по умолчанию sudo требует ввода пароля обычного пользователя).
Строка:
Defaults:FULLTIME_USERS !lecture
отменяет вывод предостерегающих сообщений вида:
We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these two things:
#1) Respect the privacy of others.
#2) Think before you type.
для пользователей из группы FULLTIME_USERS.
Строка:
PARTTIME_USERS ALL = HTTP, MYSQL
разрешает доступ к системе с правами пользователя root пользователям из группы PARTTIME_USERS
(hare, fish и cat) в объеме, достаточном для администрирования Web-сервера и сервера баз данных.

Многим системным программам (которые могут быть запущены любым, в том числе и непривилеги-
рованным пользователем) для правильного функционирования необходимы права пользователя root. Од-
ной из таких программ является программа passwd, предназначенная для самостоятельного изменения
пользователями системы своего пароля. Для нормального функционирования этой программе просто необ-
ходимо обеспечить доступ для чтения данных и внесения изменений в файл /etc/shadow с правами поль-
зователя root. Поэтому программа, осуществляющая смену пароля пользователя, выполняется не от имени
запустившего его пользователя, а от имени суперпользователя (который, естественно, имеет право на запись
в файл /etc/shadow). Для этого у исполняемого файла программы установлен специальный SUID-бит,
позволяющий изменять идентификатор пользователя у запущенного процесса. Эта, безусловно, нарушаю-
щая исходную модель разграничения доступа, особенность Linux используется большим числом приложе-
ний. Поэтому наличие SUID или SGID-битов у исполняемых файлов негативно влияет на безопасность сис-
темы.
Для поиска программ на файлы, у которых установлены SUID или SGID-биты используется програм-
ма sXid. После установки sXid регулярно запускается с помощью cron и сообщает администратору систе-
мы по электронной почте обо всех обнаруженных файлах, на которые установлены SUID или SGID-биты.

Ограничения и допущения

Исходные коды находятся в каталоге /var/tmp.
Все операции выполняются пользователем с учетной записью root.
Используется дистрибутив ASPLinux 7.3 (Vostok).
Перекомпиляция ядра не требуется.
Процедуры, описанные в этой главе, могут оказаться применимыми для других версий ядра и дистри-
бутивов Linux, но авторы этого не проверяли.

Пакеты

Последующие рекомендации основаны на информации, полученной с домашней страницы проекта
sXid по состоянию на 22.04.2003. Регулярно посещайте домашнюю страницу проекта
http://www.phunnypharm.org/pub/ и отслеживайте обновления.
Исходные коды sXid содержатся в архиве sxid_version.tar.gz (последняя доступная на момент
написания главы стабильная версия sxid_4.0.2.tar.gz).

Инсталляция с помощью rpm-пакетов

Если вы предпочитаете использование системы со стандартным ядром и программным обеспечением,
установленным из rpm-пакетов, для установки или обновления пакета необходимо выполнить следующие
операции.
ЗАМЕЧАНИЕ Авторы настоятельно рекомендуют устанавливать программное обеспечение из исход-
ных кодов.
Шаг 1
Проверьте, установлен ли пакет sXid с помощью следующей команды:
[root@drwalbr /]# rpm –iq sXid
Шаг 2
В случае его отсутствия перейдите в каталог, где находится пакет sxid-4.0.1-1.asp.i386.rpm.
Если вы в соответствии с рекомендациями главы 2 скопировали все пакеты, входящие в дистрибутив, в ка-
талог /home/distrib, то выполните команду:
[root@drwalbr /]# cd /home/distrib
и установите:
[root@drwalbr distrib]# rpm –ihv sxid-4.0.1-1.asp.i386.rpm
или обновите пакет:
[root@drwalbr distrib]# rpm –Uhv sxid-4.0.1-1.asp.i386.rpm
После установки пакета перейдите к конфигурированию программы sXid, подробно описанного ниже.

Компиляция, оптимизация и инсталляция sXid

Шаг 1
Осуществите проверку подлинности имеющегося в вашем распоряжении архива с исходными кодами
с использованием процедур, описанных в шаге 1 радела «Компиляция, оптимизация и инсталляция
OpenSSL» главы 12.
Шаг 2
Распакуйте архив с исходными кодами sxid_4.0.2.tar.gz в каталоге /var/tmp, откомпили-
руйте и проинсталлируйте sXid, создайте список установленных файлов и сохраните его в надежном месте:
[root@drwalbr tmp]# tar xzpf sxid_4.0.2.tar.gz
[root@drwalbr tmp]# cd sxid-4.0.2
[root@drwalbr sxid-4.0.2]# CFLAGS=”-O2 -march=i686 -funroll-loops”; export
CFLAGS
./configure \
–prefix=/usr \
–sysconfdir=/etc \
–mandir=/usr/share/man
[root@drwalbr sxid-4.0.2]# find /* > /root/sxid1
[root@drwalbr sxid-4.0.2]# make install
[root@drwalbr sxid-4.0.2]# find /* > /root/sxid2
[root@drwalbr sxid-4.0.2]# diff /root/sxid1 /root/sxid2 >
/root/sxid.installed
[root@drwalbr sxid-4.0.2]# diff sxid1 sxid2 > sxid.installed
[root@drwalbr sxid-4.0.2]# mv sxid.installed /very_reliable_place/
sxid.installed.YYYYMMDD
Шаг 3
Удалите каталоги с исходными кодами sXid и архив:
[root@drwalbr sxid-4.0.2]# cd /var/tmp/
[root@drwalbr tmp]# rm -rf sxid-4.0.2/
[root@drwalbr tmp]# rm -f sxid_4.0.2.tar.gz

Конфигурирование sXid

Конфигурирование sXid осуществляется с помощью двух конфигурационных файлов:
• конфигурационного файла sXid /etc/sxid.conf;
• файла /etc/cron.daily/sxid для автоматического запуска sXid с помощью crond.
Шаг 1
Создайте или отредактируйте файл /etc/sxid.conf в соответствии с приведенными ниже реко-
мендациями:
Configuration file for sXid
# Note that all directories must be absolute with no trailing /’s
# Where to begin our file search
SEARCH = “/”
# Which subdirectories to exclude from searching
EXCLUDE = “/proc /mnt /cdrom /floppy”
# Who to send reports to
EMAIL = “root”
# Always send reports, even when there are no changes?
ALWAYS_NOTIFY = “no”
# Where to keep interim logs. This will rotate ‘x’ number of
# times based on KEEP_LOGS below
LOG_FILE = “/var/log/sxid.log”
# How many logs to keep
KEEP_LOGS = “5″
# Rotate the logs even when there are no changes?
ALWAYS_ROTATE = “no”
# Directories where +s is forbidden (these are searched
# even if not explicitly in SEARCH), EXCLUDE rules apply
FORBIDDEN = “/home /tmp”
# Remove (-s) files found in forbidden directories?
ENFORCE = “yes”
# This implies ALWAYS_NOTIFY. It will send a full list of
# entries along with the changes
LISTALL = “no”
# Ignore entries for directories in these paths
# (this means that only files will be recorded, you
# can effectively ignore all directory entries by
# setting this to “/”). The default is /home since
# some systems have /home g+s.
IGNORE_DIRS = “/home”
# File that contains a list of (each on it’s own line)
# other files that sxid should monitor. This is useful
# for files that aren’t +s, but relate to system
# integrity (tcpd, inetd, apache…).
# EXTRA_LIST = “/etc/sxid.list”
# Mail program. This changes the default compiled in
# mailer for reports. You only need this if you have changed
# it’s location and don’t want to recompile sxid.
MAIL_PROG = “/bin/mail”
Шаг 2
Установите права доступа к файлу /etc/sxid.conf:
[root