10 rzeczy jakie powinieneś zrobić przed podłączeniem Linuksa do Internetu
25 lutego 2007, jaroslaff
Nieważne jakiej dystrybucji używasz — jest co najmniej 10 rzeczy do zrobienia, by właściwie przygotować system operacyjny do połączenia z Internetem.
- Twój cel
Linux, tak jak Microsoft Windows, jest zwyczajnie komputerowym systemem operacyjnym. Gdy rozmawiam z przyjaciółmi lub współpracownikami, którzy po raz pierwszy zapoznają się z Linuksem, jest to podstawowy fakt, jaki podkreślam. Linux nie jest magiczną różdżką, za dotknięciem której znikają wszelkie komputerowe problemy. System ten, podobnie jak Windows, ma swój własny zbiór problemów. Nie istnieje coś takiego jak doskonały lub całkowicie bezpieczny system operacyjny. Czy maszyna będzie desktopem, czy serwerem? Przeznaczenie jest kluczem do zrozumienia jak przeprowadzić instalację i konfigurację Linuksa. - Instalacja
W odróżnieniu od Windows, Linux sam w sobie nie istnieje w wersji serwerowej czy desktopowej. Podczas typowej instalacji Linuksa to do ciebie należy wybór, jakie oprogramowanie chcesz zainstalować, a poprzez to - jaki typ systemu konstruujesz. Z tego powodu musisz uważać na pakiety, które instalator instaluje za ciebie. Na przykład niektóre dystrybucje konfigurują i uruchamiają serwer Samby lub poczty jako część instalacji podstawowej. W zależności od przeznaczenia twojego Linuksa i poziomu bezpieczeństwa, jaki jesteś gotowy zaakceptować, te usługi mogą być niepotrzebne lub wręcz niepożądane. Poświęcanie czasu na zaznajomienie się z instalatorem swojego systemu może zapobiec wielu problemom i/lub reinstalacjom w przyszłości. - Zainstaluj i skonfiguruj programowy firewall
Lokalny, programowy firewall może zapewnić doraźny poziom bezpieczeństwa dla każdego typu sieci. Tego typu firewalle pozwalają ci filtrować ruch sieciowy, który przychodzi do twojego komputera, i są dość podobne do Windows Firewall. Pakiet Mandrivy o nazwie Shorewall, oprócz komponentu jądra pod nazwą Netfilter, dostarcza programowego firewalla. Poprzez instalację i konfigurację Shorewalla w trakcie procesu instalacyjnego możesz ograniczyć lub zablokować określony typ ruchu sieciowego, czy to przychodzącego, czy wychodzącego.
Aby dostać się do firewalla w Mandrivie i skonfigurować jego ustawienia użyj polecenia mcc lub wejdź do Centrum Sterowania Mandriva. W opcjach bezpieczeństwa wybierz ikonę firewalla, a zostanie pokazana lista aplikacji, które mogą wymagać dostępu do sieci przez firewall. Na przykład zaznaczenie kratki “Serwer SSH” otworzy port 22 wymagany przez Secure Shell server do bezpiecznego zdalnego dostępu. Istnieje również sekcja zaawansowana, która pozwala na wprowadzenie rzadziej używanych portów. Na przykład wprowadzenie “8000/tcp” otworzy w twoim komputerze port 8000 dla ruchu sieciowego opartego na protokole TCP.
Blokowanie lub dopuszczanie ruchu sieciowego jest jedną z warstw bezpieczeństwa, ale jak zabezpieczyć usługę, która ma zezwolenie na łączenie się z Internetem lub intranetem? Bezpieczeństwo oparte na listach hostów jest kolejną warstwą.
Inne firewalle warte wypróbowania to Guarddog i Firestarter dostępne dla wszystkich istotnych dystrybucji (opisy konfiguracji znajdują się w naszym wortalu). - Konfiguracja plików /etc/hosts.deny i /etc/hosts.allow
- Wyłącz lub usuń zbędne usługi
Podobnie jak w Windows, w tle mogą być uruchomione usługi, których albo nie chcesz, albo nie potrzebujesz używać. Poprzez wydanie linuksowej komendy chkconfig (w Debianie update-rc.d) możesz zobaczyć działające usługi i włączyć lub wyłączyć je w zależności od potrzeb. W usługach, które nie działają, nie można wykorzystać luk bezpieczeństwa i nie zabierają one cennych cykli procesora. - Zabezpiecz potrzebne usługi
Jeśli jakieś z usług twojego nowego Linuksa otrzymują połączenia z Internetu, upewnij się, że znasz ich konfigurację i skonfiguruj je odpowiednio. Na przykład, jeśli twój Linux otrzymuje połączenia SSH upewnij się, że sprawdziłeś plik sshconfig (w Mandrivie to /etc/ssh/sshd_config) i wyłączyłeś opcje takie jak logowanie jako root. Każdy Linux ma użytkownika root, więc powinieneś wyłączyć logowanie jako root przez SSH, aby uniemożliwić próby złamania hasła konta root metodą siłową. - Skonfiguruj opcje bezpieczeństwa sieciowego w kernelu
Jądro Linuksa samo w sobie może zapewnić dodatkowe bezpieczeństwo sieciowe. Zapoznaj się z opcjami w pliku /etc/sysctl.conf i skonfiguruj je odpowiednio. Opcje w tym pliku kontrolują na przykład, jaki typ informacji sieciowej jest zapisany w twoich logach systemowych. - Podłącz komputer do rutera
Ruter sprzętowy jest w dzisiejszych czasach dość popularnym elementem sprzętu komputerowego w gospodarstwach domowych. To pierwsza linia bezpieczeństwa sieciowego każdej sieci domowej czy firmowej i sprawia, że wiele komputerów może dzielić jeden stały lub zewnętrzny adres IP. To jest, ogólnie rzecz biorąc, zła wiadomość dla każdego włamywacza czy szkodliwego oprogramowania, gdyż ruter blokuje cały ruch sieciowy, na który konkretnie nie zezwoliłeś. Domowe rutery sieciowe są po prostu mniejszymi wersjami tego, czego duże firmy używają do odseparowania swojej sieci firmowej od Internetu. - Uaktualniaj
Dbaj, by oprogramowanie na twoim komputerze było zawsze uaktualnione najnowszymi łatkami bezpieczeństwa, nieważne czy używasz Linuksa, Windows, BSD czy BógWieCzego. Twoja dystrybucja regularnie publikuje w Internecie łatki bezpieczeństwa, które powinieneś stosować. Podobnie jak w przypadku Windows, powinien to być twój pierwszy punkt docelowy w Internecie. - Inne oprogramowanie
Twoim drugim internetowym punktem docelowym może być oprogramowanie zabezpieczające lub monitorujące system.
Bastille-Linux jest programem, który może zostać użyty do “wzmocnienia” lub zabezpieczenia pewnych stron twojego nowego Linuksa. Interaktywnie rozwija on politykę bezpieczeństwa, która jest stosowana w systemie i może tworzyć raporty nt. potencjalnych luk bezpieczeństwa. Przede wszystkim jest to wspaniałe narzędzie do nauki szczegółów zabezpieczania twojego Linuksa.
Tripwire jest pakietem programów, które monitorują twoje binaria systemowe pod kątem nieautoryzowanych modyfikacji. Często włamywacz stara się je zmodyfikować, co może być przydatne w poszukiwaniu prób i wykryciu włamania. Zmodyfikowane programy wysyłałyby następnie do ciebie zafałszowane informacje, pozwalając włamywaczowi na przejmowanie kontroli nad twoim systemem.
W poprzednim punkcie przyjrzeliśmy się przykładowi otwarcia ruchu sieciowego dla usługi Secure Shell poprzez odblokowanie portu 22 w naszym firewallu. Dla dalszego zabezpieczenia tej usługi przed niechcianym ruchem, czy potencjalnymi włamywaczami, możemy ograniczyć liczbę hostów lub komputerów, które mają prawo łączyć się z tą aplikacją. Pliki /etc/hosts.deny i /etc/hosts.allow pozwalają nam to właśnie uczynić.
Kiedy komputer usiłuje uzyskać dostęp do usługi takiej, jak SSH na twoim świeżo zainstalowanym Linuksie, pliki /etc/hosts.deny i /etc/hosts.allow zostaną przetworzone i dostęp zostanie przyznany bądź nie na podstawie łatwo konfigurowalnych zasad. Dość często dla komputerów biurkowych bardzo dobrym rozwiązaniem jest umieszczenie następującej linijki w pliku /etc/hosts.deny:
ALL: ALL
Taki zapis zablokuje wszystkim hostom dostęp do wszystkich usług. Na pierwszy rzut oka może się to wydawać dość restrykcyjne, ale potem dodamy hosty do pliku /etc/hosts.allow, co pozwoli nam na dostęp do usług. Następujące linijki są przykładami zezwolenia niektórym hostom na dostęp do SSH:
#allow 192.168.0.1 to access ssh
sshd: 192.168.0.1
#allow somebox.somedomain.com to access ssh
sshd: somebox.somedomain.com Te dwa pliki umożliwiają własne filtrowanie oparte na listach hostów.
Ten tekst jest tłumaczenie artykułu 10 things you should do to a new Linux PC before exposing it to the Internet autorstwa Kirk R. Halyk z serwisu techrepublic.com.com
Tłumaczenie: jaroslaff
Korekta: baxxx
Komentarze (RSS) | Trackback (URI)
Liczba komentarzy: 18
Literówki najlepiej zgłaszać jabberem: michuk@jakilinux.org lub kocio@jabber.org!
W komentarzach możesz używać prostych znaczników HTML. Przykłady:
W komentarzach możesz używać prostych znaczników HTML. Przykłady:
- Link: <a href="jaklinux.org">Linux dla każdego</a>,
- Wytłuszczenie: <strong>tekst pogrubiony</strong>,
- Kursywa: <em>tekst pochylony</em>,
- Przekreślenie: <strike>
tekst przekreślony</strike>, - Kod: <code>
printf("blok kodu");</code>, - Cytat: <blockquote>cytat</blockquote>
Dlaczego link do shorewall prowadzi mnie do miejsca, które z linuksem ma niewiele wspólnego?
@Gunther: poprawione..
może ja odebrałem to dziwnie, ale patrząc na tytuł artykułu wnioskowałem, że jest to poradnik jak w 10-ciu krokach uzyskać dostęp do internetu w Linuksie. Może to troche odstraszać ^^.
Zgadzam się z przedmówcą, spodziewałem się czegoś zupełnie innego, to nazwałbym raczej “10 kroków do bezpiecznego internetu w linuxie”
Nadajecie na innych falach ;]
Tego typu “wypunktowania” które często tu można znaleźć są bardzo potrzebne. Dużo moich znajomych mówi mi że czytają te “przykazania” na jakilinux.org
Powodzenia w kolejnych artykułach.
mnie trochę taki artykuł zniechęciłby do używania linuksa. tak naprawdę przecież dowolny desktopowy linux z live cd (może poza linspire) będzie działał dobrze i bezpiecznie nawet bez instalacji po podłączeniu do internetu. to jest jedna z zalet linuksa: prosty użytkownik nie MUSI robić nic przed podłączeniem linuksa do internetu, w przeciwieństwie do użytkownika systemu windows.
Zmieniłem lekko tytuł na chyba bardziej adekwatny do treści
@ali nie bądź taki pewny to wkońcu tylko system operacyjnyt To że niema na niego groxnych wirusów nie znaczy że nie można się do niego włamac itp
Czy na pewno firewall jest niezbędny? Skąd mam wiedzieć, jakie usługi są niepotrzebne (jest tam wiele tajemniczych nazw które niewiele mi mówią)?
A ja zamierzałem zainstalować Linuxa u siebie ale po tym co tu wyczytałem nic kompletnie nie rozumiem. NIC! I ledwo się zapaliłem do przejścia na linuksa a już niedobrze mi sie robi na samą myśl, że mam to wszystko konfigurować, wpisywać jakieś komendy do jakiś plików (tu tego nie ma albo ja nic nie kapuję) żeby mi się do kompa jakies głupki z LAN-a (w osiedlowym lan-ie mamy ponad 100 osób) nie mówiąc juz o głąbach z zewnątrz sieci. Chyba podziękuję i pomęczę się koleje kilkanascie lat z oknami. Juz sam fakt, że muszę instalować jakiś firewall do systemu zniechęca mnie od Linuxa. Na allegro sprzedaja jakies Linuxy za kilkanaście zeta więc mówię sobie “czemu nie”. Teraz to już na pewno nie.
Pozdrawiam
krzychu napisane jest moze i zawile ale, dla mnie przesiadka na linuxa była cołkowicie bezbolesna, początkowo miałem dwa systemy teraz piszę od brata któremu udostepniam połaczenie, firewall można konfigurowac z konsoli ale po co skoro są graficzne konfiguratory, i wcale nie są trudne, jak dla mnie zatwardziałego fana okienek linux jest świetna alternatywą, aczkolwiek wiele jeszcze jest do zrobienia, a jeszcze więcej zostało w ciągu ostatnich 3-4lat zrobione, polecam dla ciebie Ubuntu 6.12 PL zapoznaj się z systemem i albo go polubisz albo nie xD ja pokochałem ten system… choś jest troszkę zbyd mało awaryjny…
winde srednio robiłem co 2 miesiące a ubuntu siedzi u mnie juz od listopada… i nic a nic nie zapowiada że sie zmieni, więc głowa do góry Krzychu
Krzychu, nie przejmuj się. Firewall prawdopodobnie nie jest potrzebny, tak samo jak antywirus, czy ciągłe robienie defragmentacji itp. Większość dystrybucji ma normalne graficzne konfiguratory do wszystkiego i nie musisz znać żadnych konsolowych komend (choć ich znajomość to z pewnoscią wielkie udogodnienie, bo i szybciej i prościej różne rzeczy zrobić w konsoli). Sofcik instalujesz z repozytoriów, nie musisz niczego szukać, wszystko jest za free, system jest bezpieczny i stabilny. Żyć nie umierać!
krzychu nie bój się! Ściągnij jakąś mandrivę, fedorę, opensuse czy ubuntu, zainstaluj, otwórz jakiś poradnik dla danej dystrybucji (taki nieoficjalnie oficjalny) i bez żadnych problemów będziesz miał system do wszystkiego. Multimedia, www, poczta, java - wszystko działa (nawet windowsowe wmv) bez problemu. Masz legalny soft i nie wiesz już co to bluescreen
Osobiście uważam że używanie graficznych konfiguratorów które same ustanawiają reguły
filtrowania pakietów jest bez sensu.
Dla przykładu podam pełny listing skryptu rc.firewall którego używam na moim linuksiku
który nie świadczy żadnych usług, a reguły te powodują że system jest niewidoczny w internecie dopuki to my nie nawiążemy połączenia .
Wieć niech nikt teraz nie mówi że konfiguracja firewall’a jest piekielnie trudna w linuksie.
#!/bin/bash
#czyścimy reguły filtrowania
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
#dopuszamy tylko pakiety powiązane z połączeniami które to my nawiązaliśmy
iptables -A INPUT -p tcp -m state –state ESTABLISHED -j ACCEPT
#dopuszczamy wszystkie pakiety dla protokoły bezpołączeniowego
iptables -A INPUT -p udp -j ACCEPT
#blokujemy pozostałe pakiety
iptables -A INPUT -j DROP
a tak całkiem na marginesie dyskusji…
znakomity pomysł na artykuł…
Artykul fajny, ale (pozwole sobie wtracic moje 2 gr)…
Po pierwsze: troche trudno komus instalowac firewall’a (tzn. graficzna nakladke, bo rozumiem, ze nie mowimy o tych co sobie wszystko w iptables sami zrobia) bez polaczenia z netem, zwlaszcza, ze cd instalacyjny tego nie zawiera (przyklad -> ubuntu)… Poza tym wiekszosc dystrybucji instalacyjnych dla komputerow na biurko (czyli nie-serwerow) domyslnie nie zawiera uruchomionych niepotrzebnych uslug (ssh, apache, itp.), wiec nie za bardzo jest sens cokolwiek wylaczac. Mysle, ze zamiast robic straszne wywody, warto skorzystac z kilku trafnych rad dla normalnego uzytkownika, ktory nie lubi na ogol bash’a:
1. Nie musisz sie odcinac od netu, przed instalowaniem linuksa. Wystarczy w miare swieza dystrybucja i jestes bezpieczny. Nie popadajmy w paranoje.
2. Podczas instalacji skorzystaj z profilu typu Desktop, brakujace programy zawsze mozna zainstalowac pozniej.
3. Zainstaluj firestarter i skonfiguruj sobie firewall’a.
4. Instaluj aktualizacje.
5. Jesli mozliwe, uzyj rutera domowego.
nie rozumiem, dlaczego mieszacie ludziom w glowach. Wiekszosc osob korzystajacych z kompa naprawde nie znosi plikow konfiguracyjnych, shella i niezrozumialej gadki. A tego typu artykuly dzialaja IMHO odstraszajaco.
pozdrawiam.
“ledwo się zapaliłem do przejścia na linuksa a już niedobrze mi sie robi na samą myśl, że mam to wszystko konfigurować, wpisywać jakieś komendy do jakiś plików (tu tego nie ma albo ja nic nie kapuję) żeby mi się do kompa jakies głupki z LAN-a (w osiedlowym lan-ie mamy ponad 100 osób) nie mówiąc juz o głąbach z zewnątrz sieci.”
wszytko pięknie, tylko że:
* z zewnątrz sieci nikt się nie dostanie - sieci lokalne są na ogól zabezpieczane firewallem, NATem, albo czymś innym co sprawia, że komputery są prawie całkowicie bezpieczne
A co do tych 100 osób, to co z tego, że są? Ile w śród nich jest osób, któ¶e znają się na kompach na tyle, żeby się włamać, albo są takimi debilami, że zrobią to przepadkowo?
* linux to nie wingroza. Nie jest wrażliwy na te same tricki. Jak włąmywacz chce wejść na desktopa, to jest pewien, że to win. Trafia na linuxa i jest bardzo zdziwiony, że nie działą.