Bezpieczny Linux - jak utwardzić system
- Patryk Królikowski,
- 29.03.2011, godz. 08:38
Niepotrzebne usługi systemowe
Na początek dobrze jest też przyjąć zasadę, że wszystkie połączenia do i z serwera powinny być szyfrowane. Należy więc wyeliminować usługi, które z racji swojej konstrukcji przesyłają dane otwartym tekstem, np. FTP, rsh, telnet.
Zobacz również:
Jeżeli sami instalowaliśmy system, to mamy pełnię kontroli nad instalowanymi aplikacjami. Zdarza się jednak, że serwer przygotowuje Helpdesk, instalując go z jakiegoś szablonu. W takim przypadku musimy sami zadbać o wyeliminowanie niepotrzebnych usług.
Zakładając, że nie mamy X-ów, będziemy korzystali z runlevel 3. Trzeba więc sprawdzić, jakie usługi działają na tym poziomie. Najprościej zrobić to z wykorzystaniem narzędzia chkconfig:
# chkconfig -list | grep 3:on
0 - system zatrzymany1 - tryb single user (oznaczany często symbolem "S")
2 - tryb single user (z obsługą sieci)
3 - tryb wielu użytkowników (tryb CLI - brak środowiska graficznego - najczęściej wykorzystywany dla serwerów)
4 - tryb specjalny (niewykorzystywany)
5 - tryb wielu użytkowników (z obsługą środowiska graficznego - typowo stosowany w stacjach roboczych)
6 - ponowne uruchomienie systemuWywołanie określonego trybu: # init [numer poziomu]
Tutaj znowu wykorzystujemy polecenie chkconfig:
# chkconfig [nazwa usługi] off Można też od razu pozbyć się usługi raz na zawsze - wówczas "off" zastępujemy "del".
Możemy również ułatwić sobie życie i zamiast kolejno wyłączać/usuwać każdą kolejną usługę - wykorzystać prostą pętlę for. Wystarczy wcześniej przygotować plik tekstowy z usługami, których nie chcemy (np. lista_uslug.txt):
# for usluga in (<’lista_uslug.txt’); do chkconfig usluga off; done
Oprócz chkconfig jest też prościutkie i bardziej okienkowe narzędzie ntsysv.
A skoro mowa o usługach. Trudno wyobrazić sobie skuteczne zarządzanie Linuksem bez dostępu zdalnego przez SSH. Dlatego na jedną rzecz w konfiguracji tej usługi warto zwrócić uwagę. Grzechem numer jeden (niestety często popełnianym) jest pozostawienie możliwości zalogowania się zdalnego od razu na konto roota. Aby sprawdzić/wyeliminować obecność tej luki, trzeba poszukać parametru PermitRootLogin w pliku /etc/ssh/sshd_config. Powinien mieć wartość "no".
Powyższy materiał to tylko fragment artykułu Linux twardy jak skała. Zapraszamy do lektury pełnej jego wersji.