Notice: Use of undefined constant d - assumed 'd' in /home/admin/domains/katolik.pl/public_html/komputer/showa.php on line 2

Notice: Undefined variable: menu in /home/admin/domains/katolik.pl/public_html/komputer/menu.inc on line 23

Notice: Undefined variable: szczegoly in /home/admin/domains/katolik.pl/public_html/komputer/showa.inc on line 28
 

   Linuxowe
 powrót
Życie jak na polu bitwy

Życie jak na polu bitwy

Niezależnie od tego, czy komputera używamy do odbierania poczty elektronicznej czy też do serwowania stron WWW innym użytkownikom Sieci, powinno nam zależeć na bezpieczeństwie. W "szczelność" OS-u trzeba włożyć trochę pracy - ale spokój sumienia nie ma ceny...

Nie ulega wątpliwości, że bezpieczeństwo systemu operacyjnego wymaga wiedzy i pracy. Między bajki możemy włożyć zapewnienia producentów OS-ów, zapór ogniowych i programów antywirusowych, zgodnie z którymi wszystko "zrobi się samo", a my będziemy mogli - rzecz jasna, po wyłożeniu odpowiedniej ilości gotówki - w ciszy i spokoju oddawać się przyjemnościom korzystania z zasobów globalnej Pajęczyny. Bolesna prawda jest taka, że Internet od ładnych kilku lat jest nieustającym polem bitwy pomiędzy wszelkiego rodzaju włamywaczami, twórcami robaków i "dostawcami" spamu, a administratorami serwerów, sieci i domowych maszyn.

Sytuacja ta nie powinna nas oczywiście zrażać do korzystania z Internetu. Wielu zagrożeń możemy uniknąć, zwyczajnie zdając sobie sprawę z ich istnienia, inne wyeliminujemy, odpowiednio konfigurując nasz system operacyjny i dbając o aktualność jego składników. Ogromne znaczenie ma przy tym dobór używanego oprogramowania, który - niestety - jest zazwyczaj kompromisem pomiędzy użytecznością systemu a jego odpornością na ataki z zewnątrz. Postarajmy się zatem omówić podstawowe zasady wyboru, instalacji i konfiguracji oprogramowania, pozwalające na wygodne i bezpieczne korzystanie z domowego komputera połączonego z Internetem za pośrednictwem sieci lokalnej lub modemu (analogowego, ISDN, DSL czy innego). Systemem operacyjnym, z którego skorzystamy, będzie Mandrake Linux 10 - taki, a nie inny wybór postaram się uzasadnić w dalszej części artykułu.

Z powodu obszerności opisywanego zagadnienia skoncentruję się na podstawowych zasadach zapewnienia bezpieczeństwa naszych danych. Postaram się także zaprezentować najprostsze (niestety, nie zawsze najbardziej dokładne i efektywne) metody konfiguracji odpowiednich elementów OS-u. Wszystkich użytkowników Linuksa zachęcam zatem do zapoznania się z podstawami budowy tego systemu i stopniowego usprawniania mechanizmów chroniących domowy komputer przed elektroniczną inwazją. 


Dlaczego Mandrake?

Wybór systemu operacyjnego do zastosowań domowych ogranicza się dziś w zasadzie przede wszystkim do odpowiedzi na pytanie: "Windows czy Linux?". Namiętnym graczom polecam bez wahania system Microsoftu. Choć twórcy WineX (obecnie Cedega) - emulatora Okien umożliwiającego uruchamianie gier pod Linuksem - starają się nadążyć za zmieniającym się rynkiem rozrywkowym, zawsze pozostaną nieco w tyle (patrz: Pingwin na wakacjach). Tych jednak, którzy używają peceta głównie do zastosowań biurowo-sieciowych, namawiam gorąco na Linuksa. System jest stabilny, wszechstronny, a za cenę nośnika dostajemy OS z ogromnym zestawem darmowych aplikacji i narzędzi. "Pingwin" jest też z natury bezpieczny - głównie ze względu na swoją konstrukcję, związaną od początku istnienia z Internetem, odziedziczoną po "dużych" Uniksach. Przepaść pomiędzy stopniem bezpieczeństwa Okien i Linuksa jest szczególnie widoczna w przypadku zastosowań serwerowych - statystyki włamań i epidemii robaków, atakujacych np. serwery WWW, nie kłamią.

Skoro zdecydowaliśmy się na "Pingwina" (osobom chcącym zainstalować Windows polecam inne, liczne źródła informacji), warto zastanowić się nad wyborem dystrybucji. Choć z każdego systemu z pingwinem w herbie można zrobić zarówno idealny serwer, jak i stację roboczą, warto wybrać taką jego wersję, aby oszczędzić sobie niepotrzebnej pracy. Do "biurkowych" zastosowań polecam systemy takie jak Mandrake czy Red Hat/Fedora. Oba oferują odpowiednio duży zbiór przydatnych aplikacji oraz - co bardzo cenne w przypadku osób interesujących się głównie korzystaniem z systemu, a nie jego budową - spory zestaw graficznych kreatorów ułatwiających konfigurację OS-u. Ze względu na dobrą polonizację i solidne wsparcie ze strony producenta osobiście chętniej używam francuskiej "Mandarynki" - i dlatego ten właśnie system będzie przedmiotem opisanych w tym artykule działań (patrz: Pingwin A.D. 2004).
 

Zacznijmy od początku...

...czyli od zdobycia i zainstalowania systemu. Oba te kroki, choć proste w realizacji, w dużej mierze decydują o powodzeniu dalszych operacji. Przede wszystkim powinniśmy wybrać jak najbardziej aktualną edycję Mandrake'a (w momencie powstawania artykułu była to wersja 10.) - oszczędzimy sobie w ten sposób czasochłonnego pobierania uaktualnień całego OS-u. Z punktu widzenia funkcjonalności i bezpieczeństwa systemu nie ma szczególnego znaczenia, jaką wersję Mandrake'a wybierzemy - możemy np. pobrać z Sieci lub kupić z jakimś czasopismem darmową, trójpłytową edycję Download, a aplikacje, których w niej nie ma, pobrać z Internetu (zapewniam, że będą to naprawdę nieliczne przypadki). Jeśli zależy nam na pełnym zestawie oprogramowania, drukowanym podręczniku obsługi systemu i obsłudze technicznej dystrybutora, warto zaopatrzyć się w jedną z "pudełkowych" wersji systemu (patrz: adresy w ramce "Więcej informacji" na końcu artykułu). 
 

3, 2, 1... instalacja!

Choć sam proces instalacji Linuksa jest dziś zadaniem banalnym, warto zwrócić uwagę na kilka jego istotnych elementów. Pierwszy z nich to wybór jednego z predefiniowanych poziomów zabezpieczeń systemu operacyjnego, decydujących o ustawieniach zapory ogniowej, uprawnieniach poszczególnych użytkowników, uruchamianych demonach (serwisach systemowych) itp. Nie ma większego sensu zaznaczać zbyt wysokiego stopnia zabezpieczeń, bo jedynie utrudni nam to pracę. Dla stacji roboczej odpowiedni powinien być poziom Standardowy, dla serwera w sieci lokalnej - Wysoki lub co najwyżej Wyższy.

Kolejny ważny element procesu instalacji to przemyślany dobór pakietów. Najistotniejszą zasadą jest tu wybór niezbędnego minimum serwerów sieciowych - należy zdawać sobie sprawę z faktu, iż każdy kolejny pracujący w naszym systemie serwer stanowi dodatkowe niebezpieczeństwo dla danych użytkowników naszej sieci lokalnej. W przypadku wyboru przynajmniej jednego serwisu udostępniającego w Internecie jakiekolwiek porty TCP/IP instalator poprosi zresztą o potwierdzenie uruchamiania stosownych usług systemowych.

Nie należy pomijać wspominanego zwykle przy okazji omawiania instalacji i konfiguracji systemu operacyjnego tematu haseł do kont użytkowników. Opinia, zgodnie z którą człowiek stanowi najsłabszy element każdego systemu informatycznego nie jest bowiem bezpodstawna. W Internecie można znaleźć mnóstwo poradników dotyczących konstruowania "dobrych" (czyli trudnych do odgadnięcia dla potencjalnego włamywacza) haseł. Tutaj ograniczymy się jedynie do stwierdzenia, że powinny one mieć przynajmniej 6-8 znaków, w tym zarówno litery, jak i cyfry (patrz: Okna bez rys). Warto również pamiętać o okresowej zmianie haseł. W dalszej części artykułu można znaleźć porady, dotyczące wymuszenia na użytkownikach systemu stosowania haseł gwarantujących przynajmniej przyzwoity poziom zabezpieczenia kont systemowych.

Instalator Mandrake Linuksa oferuje możliwość uaktualnienia pakietów systemowych jeszcze w trakcie trwania setupu systemu. Warto z tej możliwości skorzystać. Jeśli z jakichś powodów podczas instalacji OS-u sieć będzie niedostępna, należy uruchomić narzędzie aktualizacji systemu (K | System | Konfiguracja | Pakiety | Aktualizacja Mandrake) przy najbliższej nadarzającej się okazji.

Podczas instalacji systemu warto zwrócić uwagę na dwa ważne z punktu widzenia bezpieczeństwa czynniki. Pierwszy - istotny szczególnie w przypadku firmowych sieci - to fizyczna ochrona systemu. Skomplikowane zapory ogniowe nie zdadzą się na nic, gdy ktoś będzie mógł swobodnie wyjąć dysk twardy z naszej maszyny. Druga sprawa to ochrona komputera przed uruchomieniem go przez niepowołane osoby. Pomocne (choć zawodne) metody to ustawienie hasła w setupie BIOS-u peceta oraz zabezpieczenie w podobny sposób menedżera uruchamiania (LILO/Gruba), dostarczanego wraz z Linuksem. Ryzykowne jest również automatyczne logowanie użytkownika do środowiska graficznego po starcie systemu. 


Ostrożnie, już działa!

Po pomyślnym uruchomieniu nowo zainstalowanego systemu i uaktualnieniu wybranych podczas setupu pakietów kolej na szczegółową konfigurację zabezpieczeń. Należy to zrobić jak najszybciej, bo zwłoka w postaci kilku dni może się na nas srogo zemścić - zwłaszcza jeśli nasz komputer będzie służył jako serwer usług sieciowych. Mandrake oferuje wygodny panel konfiguracyjny, dzięki któremu szybko i sprawnie ustawimy większość potrzebnych opcji i wystartujemy odpowiednie usługi systemowe. Centrum sterowania Mandrakelinux uruchamiamy poleceniem menu K | System | Konfiguracja | Konfiguracja komputera. Do użycia opisywanego narzędzia konieczna jest znajomość hasła administratora systemu (roota).

W pierwszej kolejności skorzystamy z apletu Bezpieczeństwo. Używając go, możemy szczegółowo ustawić parametry zabezpieczeń OS-u. Najpierw doprecyzujemy nieco ustawienia wynikające z wyboru ogólnego poziomu bezpieczeństwa systemu. Klikamy dwukrotnie ikonę Poziom i sprawdzenia, po czym przechodzimy na zakładkę Opcje systemowe. Znaczenie wartości domyślnych dla danej opcji poznamy czytając tekst w dymku podpowiedzi. W większości przypadków standardowe opcje są zadowalające. Proponuję jednak zmodyfikować np. parametry związane z ustawieniami haseł użytkowników. Zmieniamy zatem wartość opcji Minimalna długość hasła i liczba cyfr oraz wielkich liter np. na 8 2 1 (minimum osiem znaków, w tym dwie cyfry i jedna wielka litera). Ponadto ustawiamy parametr Rozmiar historii hasła na 5 (pamiętanych będzie wtedy ostatnich pięć haseł danego użytkownika, aby nie stosował ich na zmianę). Możemy ponadto zdecydować o okresie ważności hasła, ustawiając opcję Ustaw termin ważności hasła oraz opóźnienie deaktywacji konta na przykład na 60 (zmiana hasła co 60 dni).

Na opisywanej karcie możemy również wybrać opcję Nie z listy rozwijalnej obok parametru Dozwolone zdalne logowanie użytkownika root. Nawet używając SSH, bezpieczniej logować się z uprawnieniami zwykłego użytkownika i używać polecenia su, niż bezpośrednio "wchodzić" na konto root. Przydatnym ustawieniem jest również Opóźnienie powłoki (jako wartość opcji podajemy czas w sekundach), pozwalające na automatyczne wylogowanie użytkownika z omyłkowo pozostawionej przezeń sesji w konsoli tekstowej (shellu).

Na zakładce Okresowe sprawdzanie znajdziemy szereg periodycznie wykonywanych poleceń, sprawdzających najróżniejsze elementy systemu - od zabezpieczeń kont użytkowników, po otwarte porty sieciowe. Procedury kontrolne mają na celu odnalezienie bądź to luk w konfiguracji, pozostawionych przez administratora/użytkowników systemu, lub też oznak działalności włamywacza. Efekty działania takich zautomatyzowanych testów są zazwyczaj zapisywane w dziennikach systemowych (przechowywanych w katalogu /var/log). Należy więc stosować je z rozwagą - nie jest bowiem sztuką wygenerować ogromną ilość komunikatów, które będzie potem trudno przeanalizować. Jeśli więc zdecydujemy się używać zautomatyzowanych narzędzi kontrolujących, powinniśmy przygotować się na przeglądanie tworzonych przez nie raportów przynajmniej raz na kilka dni. Pomoże nam w tym kolejny aplet dostępny w Centrum sterowania - tym razem jest to Dziennik w folderze System. Program pozwala filtrować komunikaty w logach na podstawie terminu ich pojawienia się oraz konkretnych słów kluczowych, co ułatwia wyszukanie "podejrzanych" wpisów. 


Nie taki demon straszny...

Każdy system operacyjny uruchamia pewną liczbę procesów działających w tle i świadczących określone usługi - od utrzymywania systemu operacyjnego w należytym stanie, po udostępnianie w Sieci stron WWW czy katalogów FTP. W uniksach programy takie nazywane są demonami. Pełna kontrola nad ich działaniem jest w Mandrake Linuksie możliwa dzięki apletowi Usługi (w grupie narzędzi System) umieszczonemu w omawianym już wcześniej Centrum sterowania Mandrakelinux.

Podstawową zasadą, rządzącą wykorzystaniem serwisów systemowych, jest reguła niezbędnego minimum. Jej stosowanie wpływa zarówno na wydajność OS-u, jak i na jego bezpieczeństwo. Korzystając z opisywanego narzędzia, należy zatem wyłączyć wszystkie te demony, które nie są nam niezbędne. Robimy to, usuwając zaznaczenia obok opcji Przy uruchamianiu, odpowiadające niepotrzebnym serwisom, i klikając stosowny przycisk Zatrzymaj. Jeśli nie wiemy, do czego służy dana usługa, warto przed jej wyłączeniem przeczytać opis jej działania (przycisk Informacje).
 

Porty pod ochroną

Demony sieciowe (takie jak httpd - czyli serwer WWW) są w systemie uniksowym chronione na kilka sposobów. Pierwszy to użycie tzw. TCP-wrapperów, a właściwie ich następcy, czyli tzw. superserwera inetd/xinetd. Dzięki temu mechanizmowi dostęp do danej usługi kontrolowany jest przez osobny program zabezpieczający. Konfiguracja tego ostatniego następuje za pośrednictwem plików /etc/hosts.allow i /etc/hosts.deny. Ten pierwszy wskazuje wpisy/porty TCP/IP, udostępniane na zewnątrz, drugi - usługi blokowane. Mechanizm ten opisano szczegółowo w dokumentacji systemowej (man hosts.allow). W tym miejscu ograniczymy się jedynie do stwierdzenia, że udostępnienie serwerów sieciowych jedynie do lokalnego użytku nastąpi po wpisaniu do /etc/hosts.deny wiersza ALL: ALL, a do /etc/hosts.allow - ALL: LOCAL. Należy także pamiętać, iż reguły z pliku hosts.allow mają pierwszeństwo przed tymi ze zbioru hosts.deny.

Ponieważ nie wszystkie programy potrafią korzystać z opisanego mechanizmu, a ponadto jest on niezbyt elastyczny, warto skorzystać z zapory ogniowej. W Mandrake Linuksie konfiguruje się ją standardowo za pomocą apletu Zapora sieciowa w grupie Bezpieczeństwo (w Centrum sterowania). Narzędzie to jest proste w obsłudze, ale zbyt mało elastyczne - szczególnie w przypadku konfiguracji serwera sieciowego bądź routera NAT. Systemowy kreator ustawień zapory ogniowej pozwala jedynie na określenie najpopularniejszych usług, które mają być dostępne w systemie (bez możliwości określenia, czy nasz pecet będzie w danym przypadku pełnił funkcję klienta czy serwera). Dlatego też zachęcam do korzystania z jakiegoś dodatkowego narzędzia konfigurującego linuksowy ipfilter oferujący w zakresie filtrowania pakietów naprawdę duże możliwości. Godny polecenia jest np. graficzny interfejs użytkownika o nazwie Firewall Builder (www.fwbuilder.org). Oferuje on m.in. kreator pozwalający szybko i łatwo wygenerować najważniejsze regułki filtru pakietów. Dobrym, lecz raczej czasochłonnym rozwiązaniem jest też nauka konstruowania regułek firewalla wprost w systemowym shellu.

Istnieje jeszcze jedna, pomocnicza metoda zabezpieczania naszej maszyny przed potencjalnym atakiem z Sieci - tym razem przed tzw. skanowaniem, czyli rozpoznaniem otwartych portów TCP/IP. Ta ostatnia czynność jest często stosowana jako działanie bezpośrednio poprzedzające próbę włamania (lub zarażenia jakimś robakiem/trojanem). Istnieją narzędzia ukrywające nasze porty przed takimi automatami skanującymi, a tym samym utrudniające identyfikację zainstalowanych na naszym komputerze usług sieciowych. Najpopularniejsze to portsentry, jednak nie znajdziemy go na płytach z Mandrake Linuksem (prawdopodobnie ze względu na nieco zbyt restrykcyjną licencję). Możemy natomiast zdobyć stosowny pakiet, korzystając z witryny rpmfind.net. Nieco nowsze i lepsze narzędzie podobnego typu to psad (www.cipherdyne.com). Nie będę się w tym miejscu zajmować jego konfiguracją - zainteresowanych Czytelników odsyłam do obszernej dokumentacji programu. 


Z serwerem trudniej

W przypadku instalacji systemu, który ma udostępniać określone usługi w Sieci (serwer WWW, FTP itd.) lub służyć jako pośrednik innym komputerom (np. w małej sieci lokalnej), czeka nas sporo dodatkowych zadań. Przede wszystkim wzrasta nasza odpowiedzialność - w przypadku popełnienia błędu możemy mimowolnie spowodować np. utratę danych przez osoby korzystające z naszego LAN-u albo przyczynić się do ataków na inne serwery internetowe. Dlatego do administracji warto się przygotować teoretycznie - zanim jeszcze przyjdzie nam się zetknąć z twardą rzeczywistością.

Warsztat na kolejnej stronie CHIP-a przedstawia najprostszą metodę udostępnienia łącza sieciowego i katalogów serwera (za pośrednictwem Samby) komputerom w sieci lokalnej. Warto przy tym wspomnieć, że korzystanie z SMB jest wprawdzie wygodne dla każdego użytkownika Windows w naszym LAN-ie (SMB to nic innego, jak protokół odpowiedzialny za działanie usługi udostępniania plików w sieci MS Windows), jednak rodzi samo w sobie sporo problemów związanych z bezpieczeństwem. Lepiej więc nakłonić domowników/znajomych do korzystania z serwera FTP (jego użycie będzie ponadto sporo szybsze niż korzystanie z Samby), który można także zainstalować na naszym serwerze.
 

To dopiero początek

Opisane w tym artykule zagadnienia to jedynie wierzchołek góry lodowej. Z racji ograniczonego miejsca nie wspomnieliśmy ani słowem np. o systemach detekcji włamań (IDS) czy o tzw. polityce bezpieczeństwa sieci lokalnych. O bezpieczeństwie systemów operacyjnych i sieci napisano jednak grube tomy, a wiedza z tej dziedziny bardzo szybko ewoluuje. Najważniejszym zadaniem każdego administratora, zwłaszcza osoby opiekującej się serwerem sieciowym, jest zatem nie tylko utrzymanie aktualności oprogramowania, ale i ciągłe rozwijanie własnej wiedzy.

W tym ostatnim zadaniu pomoże nam ten sam Internet, przed którego ciemnymi stronami chcemy się ochronić. Bez trudu znajdziemy w nim witryny poświęcone bezpieczeństwu sieciowemu (patrz: adresy w ramce poniżej), fachowych porad udzielą nam też z pewnością bywalcy grup dyskusyjnych z całego świata. Warto również pamiętać o tym, że dobry administrator interesuje się zarówno technikami zabezpieczeń, jak i ich łamaniem - trzeba dobrze poznać arsenał przeciwnika, zupełnie jak na prawdziwym polu bitwy. 


Co każdy "root" wiedzieć powinien...

Codzienne zadania uniksowego "admina" mogą być bardzo zróżnicowane w zależności od charakteru systemu, którym się on zajmuje. Mimo to istnieje kilka ogólnych zasad, których należy się zawsze trzymać, chcąc zachować swojego Linuksa w należytym "zdrowiu". Oto najważniejsze:

1. Dbaj o aktualność systemu i jego aplikacji - przemyślne zabezpieczenia nie zdadzą się na wiele, gdy same w sobie będą zawierały błędy; pamiętaj, że większość automatów uaktualniających OS nie aktualizuje pakietów kernela.

2. Ograniczaj do niezbędnego minimum liczbę działających serwisów (demonów) systemowych - każdy z nich to potencjalna furtka, przez którą włamywacz może się wśliznąć do systemu.

3. Wykonuj regularnie kopie bezpieczeństwa ważnych danych - ustrzeże Cię to nie tylko przed przykrymi skutkami włamań, ale i zwykłych awarii sprzętowych Twojej maszyny.

4. Dbaj o świadomość użytkowników swojego systemu - zazwyczaj stanowią oni najsłabszy jego element. Dobrym pomysłem może być wymuszenie na użytkownikach stosowania odpowiednio skomplikowanych haseł dostępu.

5. Przeglądaj dzienniki (logi) systemowe - większość programów zabezpieczających system operacyjny umieszcza w nich swoje komunikaty; zapory ogniowe i narzędzia kontrolujące pliki systemowe nie zdadzą się na wiele, jeśli nie zareagujesz w porę na ich ostrzeżenia. Przeglądaj również okresowo pocztę na koncie roota (lub przekieruj ją do skrzynki, do której często zaglądasz).

6. Jak najrzadziej używaj konta roota i nikomu go nie udostępniaj - często można uniknąć logowania się na konto administratora, odpowiednio ustawiając w systemie uprawnienia do katalogów i programów.

7. Pamiętaj, że żaden automat nie zastąpi w pełni człowieka; dobry administrator przegląda regularnie grupy dyskusyjne poświęcone zabezpieczeniom sieciowym, interesuje się nowymi technikami włamań i zapobiegania im oraz śledzi tzw. biuletyny bezpieczeństwa.


Współdzielenie łącza internetowego i dysków serwera

Bezpieczeństwo bezpieczeństwem, a życie życiem. Systemy komputerowe mają za zadanie ułatwiać nam życie - pozwólmy zatem użytkownikom naszej sieci lokalnej cieszyć się dostępem do globalnej Pajęczyny oraz wymieniać pliki w LAN-ie. Posłużymy się standardowymi narzędziami dostępnymi w Mandrake Linuksie. Pozwoli to na uruchomienie usług NAT, DHCP i Samba kilkunastoma kliknięciami myszy.

1. Pierwszy krok do współdzielenia łącza to, rzecz jasna, skonfigurowanie połączenia na naszym serwerze. Gdy się z tym uporamy, otwieramy Centrum Sterowania Manrakelinux (K | System | Konfiguracja | Konfiguracja komputera) i przechodzimy do grupy Sieć i internet. Teraz klikamy ikonę Współdzielenie połączenia internetowego. 

2. Po kliknięciu przycisku Dalej wybieramy interfejs sieciowy służący do łączenia się z Internetem. Jeśli korzystamy z łącza DSL-owego, wybór będzie zależał od typu interfejsu sieciowego - w przypadku, gdy modem jest przyłączony do peceta za pomocą np. kabla USB, wybieramy ppp0. Jeśli z Siecią łączy nas karta sieciowa, zaznaczamy eth0 lub eth1... 

3. Następny krok wymaga wskazania interfejsu, przez który będziemy udostępniać Internet w sieci lokalnej. W większości przypadków będzie to karta sieciowa (np. eth0). Jeśli po wyborze interfejsu "internetowego" decyzja jest oczywista (bo pozostała już tylko jedna wolna karta), kreator podejmie ją za nas. 

4. Kolejny etap to końcowe ustawienia systemu. Możemy sprawdzić parametry pracy interfejsów sieciowych i zdecydować, czy chcemy samodzielnie określić zasady współdzielenia łącza. Ta ostatnia opcja jest przeznaczona raczej dla bardziej zaawansowanych "adminów" - gdzie zmienimy opcje konfiguracyjne serwera DHCP. 
 
5. Po uruchomieniu automatycznej konfiguracji (bądź ręcznym ustawieniu parametrów systemu) kreator doinstaluje potrzebne serwery, skonfiguruje je i uruchomi. Jeśli podczas tego procesu wystąpią jakiekolwiek błędy, zostaniemy o tym poinformowani stosownym komunikatem. 
 
6. Chcąc skorzystać ze współdzielonego łącza, powinniśmy odpowiednio skonfigurować zaporę ogniową na naszym serwerze. Konieczne jest albo odblokowanie odpowiednich portów za pomocą standardowego narzędzia Mandrake'a, albo użycie jakiejś zewnętrznej aplikacji do konfiguracji firewalla (to drugie rozwiązanie jest znacznie bardziej elastyczne). 
 
7. Gdy uporamy się z udostępnieniem łącza internetowego w sieci lokalnej, warto udostępnić jej użytkownikom przestrzeń dyskową serwera. Jedną z możliwości będzie tu uruchomienie Samby (uniksowej implementacji protokołu SMB). Jeśli się na nią zdecydujemy, uruchamiamy aplet Współdzielenie dysku lokalnego w grupie Punkty montowania Centrum Sterowania Mandrakelinux. 
 
8. Po wyborze typu współdzielenia plików (mniej bezpieczny - Zezwól wszystkim użytkownikom albo bardziej elastyczny - Własne) przechodzimy do kolejnego kroku. Określamy teraz używane protokoły (zaznaczamy smb), a po wyborze opcji Własne wskazujemy również użytkowników, którym zezwalamy na udostępnianie katalogów systemowych. 
 
9. Po kliknięciu przycisku OK możemy już skorzystać z uruchomionego mechanizmu (wcześniej upewniamy się, czy protokół Samby nie jest blokowany przez naszą zaporę ogniową). Najprostszym sposobem udostępnienia katalogu jest kliknięcie go prawym przyciskiem w Konquerorze i wybór opcji Udostępnianie. Zaznaczamy Udostępniany, kilkamy OK - i katalog pojawia się w otoczeniu sieciowym użytkowników Windows w naszej sieci lokalnej. 


Co zrobić w przypadku włamania?

Najlepsze zabezpieczenia mogą czasami zawieść. Co zrobić w sytuacji, gdy pewnego ranka znajdziemy w skrzynce pocztowej list o treści: "Hi, your system has been compromised?"

Przede wszystkim nie należy wpadać w panikę. Pierwsza czynność, jaką trzeba wykonać, to odłączyć fizycznie komputer od Sieci - skutkiem włamania jest często nie tyle zniszczenie naszych danych, co atak na inne serwery sieciowe (np. typu Distributed Denial of Service).

Kolejny krok to zdiagnozowanie, co się właściwie stało. W tym celu przeglądamy szczegółowo logi systemowe, kontrolujemy zawartość pliku /etc/passwd, kontrolujemy rozmiary ważniejszych zbiorów, aby wykluczyć ich podmianę/modyfikację przez włamywacza czy trojana (najczęstszymi ofiarami ataków padają pliki takie jak login, su, telnet, netstat, ifconfig, ls, find, du, df, libc itd.). Sprawdzamy też, jakie programy są wywoływane przez demony cron oraz at, przyglądamy się liście uruchamianych serwisów systemowych, kontrolujemy otwarte porty TCP/IP itd. Szczegółową listę czynności, które powinniśmy wykonać, znajdziemy pod adresem podanym w ramce na końcu artykułu. Jeśli nie jesteśmy do końca pewni swoich poczynań, warto poprosić o pomoc bardziej doświadczonego administratora.

Po rozpoznaniu przyczyny włamania powinniśmy zgłosić ten incydent na stronie CERT-u (Computer Emergency Response Team). Jest to zespół fachowców, współdziałających z podobnymi organizacjami na całym świecie, zajmujący się wykrywaniem i przeciwdziałaniem sieciowemu wandalizmowi. Możemy liczyć na to, że specjaliści z CERT-u pomogą nam zidentyfikować źródło włamania i podpowiedzą zarówno techniczne, jak i prawne metody reagowania na naruszenia prywatności w Sieci.

Ostatni krok to odtworzenie systemu po "awarii". Tutaj niestety czeka nas "praca u podstaw" - w zasadzie nie możemy być pewni bezpieczeństwa raz "złamanego" OS-u bez jego ponownej instalacji. Należy przy tym pamiętać o fakcie, że już ostatnie kopie bezpieczeństwa mogą zawierać np. trojany, i ostrożnie odtwarzać dane użytkowników systemu. Po przeanalizowaniu przyczyn włamania warto również wyciągnąć stosowne wnioski i zabezpieczyć się przed podobnymi sytuacjami na przyszłość.

Grzegorz Dąbrowski

Artykuł pochodzi
z CHIP-a nr 9/2004


 

 

Kontakt i o nas | Wspomóż nas | Reklama | Księga Gości

Copyright (C) Salwatorianie 2000-2011