Глава 3. Общие мероприятия по обеспечению безопасности сервера
В этой главе:
1. Настройки BIOS
2. Отключение сервера от сети
3. Концепция безопасности
4. Выбор правильного пароля
5. Учетная запись суперпользователя root
6. История оболочки командного интерпретатора
7. Однопользовательский режим входа в систему
8. Отключение возможности выключения системы с помощью комбинации клавиш
9. Ограничение заданного по умолчанию числа запущенных виртуальных консолей ttys
10. LILO и файл /etc/lilo.conf
11. GRUB и файл /boot/grub/grub.conf
12. Файл /etc/services
13. Файл /etc/security
14. Специальные учетные записи
15. Управление монтированием файловых систем
16. Права доступа к файлам сценариев запуска и остановки процессов
17. Специальные символы у программ, владельцем которых является root
18. Запрещение внутренним компьютерам сообщать серверу свой MAC-адрес
19. Необычные или скрытые файлы
20. Обнаружение файлов и каталогов, изменяемых любым пользователем
21. Файлы без владельцев
22. Поиск файлов .rhosts
23. Копии файлов регистрации на жестких носителях и удаленных системах
24. Удаление страниц руководства
Безопасность сервера определяется не только типом и версией установленной операционной системы,
но в основном, грамотной его настройкой. В этой главе рассматриваются некоторые из основных методов,
обеспечивающих безопасность вашей системы, которые можно использовать для предотвращения атак из
внешней или локальной сети.
Настройки BIOS
Отключите в настройках BIOS возможность загрузки системы с дискеты и/или загрузочного компакт-
диска и установите пароль на вход в BIOS. Это предотвратит попытки сторонних лиц загрузить систему, ис-
пользуя специальный загрузочный диск или изменить настройки BIOS (например, разрешить начальную за-
грузку диска или загрузку сервера без ввода пароля). Обратите внимание, что существует принципиальная
возможность обойти эту меру защиты, получив физический доступ к серверу. Поэтому авторы настоятельно
рекомендуют ограничить доступ как в помещение, где расположен сервер, так и внутрь его корпуса.
Отключение сервера от сети
Изменение настроек безопасности сервера не рекомендуется проводить на работающей в сети систе-
ме. Для остановки всех сетевых интерфейсов системы (программного отключения) выполните:
[root@drwalbr /]# /etc/init.d/network stop
Деактивируется интерфейс eth0: [OK]
Деактивируется интерфейс eth1: [OK]
Для запуска всех сетевых интерфейсов системы выполните:
[root@drwalbr /]# /etc/init.d/network start
Устанавливаются параметры сети: [OK]
Активизируется интерфейс lo: [OK]
Активизируется интерфейс eth0: [OK]
Активизируется интерфейс eth1: [OK]
Для остановки и запуска только одного сетевого интерфейса, выполните, соответственно:
[root@drwalbr /]# ifdown eth0
[root@drwalbr /]# ifup eth0
Концепция безопасности
Важно подчеркнуть, что нельзя успешно осуществлять действия, направленные на повышение безо-