LINUX SZERVEREK Buzas Hunor Linux Szerverek 1

 Milyen hardvert vásároljunk?  Ha komoly szolgáltatást szeretnénk nyújtani, és fontos a folyamatos működés, akkor már a hardver vásárlásánál gondolnunk kell a minőségre. Vegyünk ipari házat, amely alkalmas több hónapon (esetleg éven) keresztül megszakítás nélküli üzemelésre és esetleg fizikai védelmet nyújt a betörés ellen. Ezek a házak általában speciális tápegységet tartalmaznak, szétszerelésükhöz vagy kezelőfelületükhöz kulcsal vagy mágneskártyával lehet hozzáférni Linux Szerverek 2

3  A folyamatos üzemhez elkerülhetetlen egy szünetmentes tápegység beszerzése. Ebből érdemes a legolcsóbbak helyett valami komolyabbat beszerezni. Figyeljünk arra, hogy a szünetmentesnek akkor van értelme, ha az áramkimaradásról a Linux (ált. oprendszer :) is értesül. Létezik olyan megoldás, ahol az UPS és a PC a soros porton kommunikál. Ez az olcsóbb és butább megoldás. (Ha szükség van a soros portokra, ez nem használható.) A legintelligensebb megoldás, amikor az UPS-hez egy bővítőkártyát adnak, amin keresztül az áramszolgáltatás leállását, újraindulását, illetve sok egyéb mást is közölni tud a rendszerrel.

PARTÍCIONÁLÁS  A filerendszer több részre darabolása (ésszerű határok között) megkönnyíti az egyes partíciók mount opcióinak finomhangolását, illetve egy partíció sérülése esetén a hiba elhárítása általában nem követeli meg a rendszer leállítását.  Elsőnek a felhasználók home könyvtárait, illetve az általuk írható könyvtárakat érdemes különválasztani. Ilyenek a /tmp és a többi world-writable könyvtár (ha van). Ez megnehezíti néhány program hibáinak kihasználását, például állományok jogosulatlan átírása az adott file-ra mutató link segítségével, hiszen partíciók között nem lehet linkeket létrehozni. Linux Szerverek 4

 A /var (esetleg a /var/spool, /var/log) könyvtár külön partícióra tétele lehetővé teszi a disk quota hatékonyabb beállítását illetve megakadályozza, hogy a syslogd üzenetei megtöltsék a root vagy a /var partíciót, leállítva ezzel a /var/spool-t használó processzeket. Másrészt ha a /var/spool vagy a /var/log valamilyen ok miatt megtelik, a /var nem fog.  A /var/tmp csak egy symlink legyen a /tmp-re. Külön szokás még választani a /usr és a /opt könyvtárat (ha van).  A /usr mountolható read-only-ra is, amennyiben a szerverre nem kerülnek állandóan új programok. A /tmp-t és a /home-ot érdemes nosuid paraméterrel mountolni. Linux Szerverek 5

 Számolni kell a swap partíció méretével is. Ezt ajánlott úgy meghatározni, hogy az alkalmazások maximális memóriaigényéből kivonjuk a rendelkezésre álló memória méretét. A fennmaradó rész (plusz néhány mega) a swap.  Összefoglalva tehát a /etc/fstab valahogy így nézzen ki:  /dev/hda1 swap swap defaults 0 0  /dev/hda2 /tmp ext2 defaults,nosuid 1 2  /dev/hda3 /usr ext2 defaults,ro 1 2  /dev/hda4 /home ext2 defaults,nosuid 1 2  /dev/hda5 /var ext2 defaults 1 2 Linux Szerverek 6

 A felhasználók által foglalható maximális merevlemez területet is érdemes korlátozni, így azok nem tudnak buta dolgokat (pl. cat /dev/zero > nagyfile) művelni. Ennek beállításához ajánlott olvasmány a quota howto. Quota kell a /tmp-re a nagy tmp file-ok létrehozásának megakadályozására illetve, hogy az elvetemültebb felhasználók ne itt tárolják a dolgaikat, a /var-ra a mail és printer spool méretének limitálása miatt, és a /home-ra a home könyvtárak méretének korlátozása érdekében. Linux Szerverek 7

8  Install  Csak a rendeltetésszerű működéshez szükséges csomagokat telepítsük. Ne installáljunk általunk ismeretlen vagy nem használt programokat, ezek csak növelik a programozási hibákból eredő kockázatot, de egy ismeretlen program tartalmazhat akár kártékony kódrészeket is.  Telepítés után ellenőrizzük, nincsenek-e már ismert biztonsági hibák rendszerünkben. Az ellenőrzést kezdjük az adott disztribúció hibalistájával (errata). Érdemes körülnézni a disztribúció homepage-én is, általában találunk egy,,updates'' vagy,,security'' linket. Nézzük át a biztonsággal foglalkozó site-okat (pl. Rootshell), listák archívumait (pl. BUGTRAQ, vagy linux-security). Az említett levelezési listákra feliratkozni is érdemes, így előbb juthatunk az információkhoz.

Linux Szerverek 9  Upgrade  Ha valamiben már találtak biztonsági hibát, azonnal cseréljük le. A legtöbb helyen a javított csomagok elérhetőségét is megadják. Ha még nincs javított verzió, próbálkozhatunk a közreadott patch-ekkel is. Ha az sincsen, az adott szolgáltatást célszerű ideiglenesen leállítani. Javítás után teszteljük le a rendszert, valóban kijavítottuk-e a hibát.  Jól működő, hibátlan programot nem mindig érdemes lecserélünk, ha megjelent egy új verziója. Az új verzió új hibákat is eredményezhet - és a régiek nem biztos, hogy ki lettek javítva -, ezért upgrade előtt mindig olvassuk el a README, CHANGES, FEATURES, Changelog, stb. dokumentumokat. A programban történt változások ismeretében már el tudjuk dönteni, szükségünk van-e az upgrade-re.

Linux Szerverek 10  Egyéb fontos dolgok  A legjobb védekezési technikák sem érnek sokat, ha nem vagyunk elég körültekintőek napi munkánk során. Hogy csak néhány rossz példát említsek: root-ként vagy privilégizált felhasználó nevében futtatott X, netscape, lynx, irc, mc, stb, de még a levél vagy man olvasás sem ajánlott.  Érdemes megfogadni a alábbi tanácsokat:  csakis a legszükségesebb munkákat végezzük root-ként, a napi munkára hozzunk létre egy privilégiumokkal nem rendelkező accountot;  ha lehetőségünk van rá, a szervert egyáltalán ne használjuk munkaállomásnak;  ismeretlen programokat soha ne installáljunk vagy futtassunk root-ként, amíg nem győződtünk meg arról, hogy nem tartalmaz kártékony részeket;  a root jelszót soha ne adjuk meg senkinek, ne írjuk fel;  jelszavakat és egyéb fontos információt soha ne küldjünk kódolatlan levélben, használjunk PGP-t (Pretty Good Privacy) vagy GPG-t (GNU Privacy Guard) a titkosításhoz;

 root konzolt ne hagyjunk ott, jelentkezzünk ki vagy lock-oljuk (pl. vlock -a). Vigyázat, a kernelbe fordított,,Magic Sysrq Keys'' segítségével a lock programok kiiktathatók!;  több gépen ne használjuk ugyanazokat a jelszavakat, a root jelszó legyen egyedi mindenhol;  mindig olvassuk a log file-okat! Ha valaki próbálkozik, annak általában nyoma marad. Persze ezeket fel is kell ismerni. Nyom lehet pl. a többszöri belépési kísérlet adott hostról vagy accounton, daemonok szokatlan hibaüzenetei, kapcsolódási kísérletek gyanús címekről, stb. Ugyancsak szokatlan, ha a log-ban hiányos részek vannak (pl. látjuk, hogy kilépett egy felhasználó, de a login-nak nyoma sincs).Gyanús eseményeknél, - miután megbizonyosodtunk arról, hogy támadási kísérletről van szó - a próbálkozó hostot azonnal tiltsuk ki minden szolgáltatásból! A legjobb megoldás, ha a firewall-on tiltjuk ki, ha ez nem lehetséges, akkor tegyük a hosts.deny-be a címet, majd tájékoztassuk a kitiltott gép adminisztrátorát. Linux Szerverek 11

 Ha nem vagyunk biztosak magunkban, kérdezzünk meg a hozzáértőbbet! Léteznek erre külön listák is, ahol felvethetők az ilyen jellegű problémák is.  Tovabbi reszletes informaciokert latogassuk a  Linux Szerverek 12