NFS позволяет предоставить общий доступ к каталогам Unix-машины. Небезопасность NFS, и в частности NIS, связана с RPC - по количеству всевозможных эксплоитов RPC представляется негласным лидером (если не считать Sendmail). Так как эти протоколы предназначены для внутренних сетей, защищать их придется от «своих» пользователей. Хотя перед их применением нужно решить, действительно ли они нужны.

     В домашней сети они могут быть достаточно полезными, но в корпоративной сети из соображений безопасности лучше найти им более безопасную альтернативу.

     Файловая система NFS.

     Сетевая файловая система (Network File System, NFS) была разработана компанией Sun как средство доступа к файлам, размещенным на прочих Unix-машинах в пределах локальной сети. При разработке NFS безопасность вообще не учитывалась, что с годами стало причиной многих уязвимостей.

     NFS может работать по протоколу TCP или UDP, она использует систему RPC, а это означает, что должны быть запущены следующие часто уязвимые приложения: portmapper, nfs, nlockmgr (lockd), rquotad, statd и mountd.

     Не надо запускать NFS - нужно найти альтернативное решение. Если же NFS все-таки нужна, здесь будет рассказано о том, как нужно минимизировать риск ее использования.

Далее...

     SSH представляется безопасной альтернативой протокола Telnet. Учитывая преимущества SSH, Telnet сейчас практически не применяется - в нем нет больше нужды. Хотя SSH считается значительно безопаснее, чем Telnet, все же есть над чем поработать. В данном пункте будет рассмотренр, как надо сделать применение SSH еще безопаснее.

     Настройка. Опции настройки SSH.

     SSHD определяется и запускается по умолчанию во многих дистрибутивах Linux. Конфигурационный файл SSHD называется /etc/sshd_config или /etc/sshd/sshd_config. Наиболее интересными в нем являются опции:Далее...

Создание ACL - достаточно утомительная и рутинная задача, поэтому даже для опытных пользователей Grsecurity, рекомендуется употреблять встроенный режим обучения для создания начального ACL. Процесс авто­матического создания ACL был рассмотрен в предыдущей статье. Сейчас будет рассмотренно создание ACL для демона sshd.

     После долгой деятельности Grsecurity в режиме обучения был получен следующий ACL:

Далее...

Раньше было написано про модель клиент/сервер, которая применяется для системы графического интерфейса Unix - X Window - X11. Система X Window представляется сетевой системой, поэтому можно свободно запустить X11-приложение на удаленной машине и видеть результат его выполнения в X11-сессии своей машины. Можно отметить, что процесс будет выполняться на удаленной машине, а вы будете видеть только результат. На удаленной машине можно:

Далее...

Поговорим о сервисах, которые необ­ходимы, и которые сервисы нужно отключить.

     Рассмотрим отдельные сервисы общего назначения, которые обыкновенно запущены на типичной Linux-системе. В скобках указаны порты, которые используются этими сервисами:

Далее...

     До этого IPTables использовался централизованно - только на бранд­мауэре. Но это нельзя рассматривать как полную защиту сети - ведь защищать нужно не только сеть в целом, но и отдельную машину.

     Возьмем, к примеру, ситуацию, в отдельных случаях крекеру удается каким-то образом проникнуть в нейтральную зону - он получил доступ к серверу из нейтральной зоны. В настоящее время он пытается расширить свои «пра­ва», то есть получить доступ к другим машинам, в том числе и брандмауэру. Следовательно, брандмауэр IPTables нужно запускать и на других машинах сети - чтобы защитить эти машины.

Далее...

Как и в сценарии для простой реализации сети с DMZ, первоначально определяются слу­жебные переменные, которые будут использоваться в новом сценарии - firewall.sh. Описание каждой переменной можно найти в этом же разделе. Начало сценария будет таким: