Сергей Яремчук
Сегодня, как никогда, особое внимание уделяется защите серверов и
персональных компьютеров от вторжения извне. Описание различных методов атак
можно найти практически везде, у нападающего способов пробраться в чужой компьютер
немало, да и с желающими также проблем обычно не бывает. Но сисадмину или
обычному пользователю от этого не легче, все больше и больше приходится уделять
времени чтению документации, настройке системы, но время, как правило, не на
стороне обороняющегося, да и опыт приходит вместе с ошибками. Ситуация
усугубляется тем, что производители в последнее время выпускают дистрибутивы по
типу «два в одном», которые могут быть с одинаковым успехом установлены как на
сервер, так и на персональный компьютер, причем, по моему мнению, все равно,
для того чтобы привлечь большее количество народа, упор делается все-таки на
последний. А пользователю главное – удобство, естественно, оно достигается и
путем уменьшения требований к защите. Что делать в таком случае? Не ждать же в
самом деле, пока сисадмин будет готов к выходу в Интернет. Можно, конечно,
пойти на курсы, может, и научат, но фактор времени остается. Существует
множество различных утилит, так или иначе предназначенных для улучшения защиты
Linux-системы, в данной статье хочу обратить внимание на проект Bastille Linux,
домашняя страница которого находится по адресу: http://www.bastille-linux.org.
Помимо главной задачи –
укрепление установленной системы – разработчики Bastille Linux преследовали и
другие не менее важные цели:
n всесторонность – все, что описано в
открытых источниках по поводу усиления защиты Linux, нашло свою реализацию Bastille
Linux. В основу легли разработки Джея Била (Jay Beale) по укреплению Solaris и Linux,
нашедших свое отражение в книге института SANS (SysAdmin, Audit, Network, Security)
«Securing Linux Step by Step», руководство Курта Сеифриеда (Kurt Seifried) Linux
Administrator’s Security Guide Linux (http://www.seifried.org/lasg)
и другие источники;
n поучительность – Bastille Linux был
разработан также с целью обучить администратора проблемам в защите, включенным
в каждую из задач сценария. Каждый необязательный шаг содержит описание
включенных проблем безопасности;
n сообщество – после того как были
сделаны начальные разработки, было создано сообщество разработчиков, которое
совместными усилиями вносило изменение в Bastille.
При помощи программы настройки Bastille Linux с
целью улучшения общей безопасности настраиваются демоны, изменяются некоторые
системные параметры и firewall. Дополнительно (при необходимости) отключаются
ненужные сервисы вроде печати, rcp и rlogin. С ее помощью можно создать среду «chroot
jails», при помощи которой можно уменьшить уязвимость некоторых интернет-сервисов
вроде Web и DNS. В настоящее время поддерживаются следующие дистрибутивы и
системы RedHat, Debian, Mandrake, SuSE и TurboLinux, а также HP-UX и Mac OS X
(поддержка последней добавилась совсем недавно).
