Оставаясь на моей текущей теме безопасности, О’Рейли опубликовал второе издание Linux Server Security Майкла Д. Бауэра. Книга, предназначенная для тех, кто управляет подключенными к Интернету системами, также известными как хост-бастион, содержит мощный арсенал схем безопасности, теории и практических схем конфигурации в 500 страниц.
Бауэр получил известность благодаря своим колонкам «Параноидальный пингвин» в журнале Linux Journal, что в конечном итоге вдохновило эту книгу.
Что выделяется, так это время, которое Бауэр потратил на внедрение системы сетевой безопасности и управления рисками, прежде чем приступить к изучению практических задач. Поскольку бизнес-модели меняются для веб-профессионалов, многие разработчики надевают, по крайней мере, часть работы системного администратора. Понимание того, как работают базовые проекты сетей и как конкретные конфигурации могут предотвращать атаки, очень важно, прежде чем переходить в командную оболочку и вносить изменения на производственном сервере.
Бауэр использовал несколько популярных дистрибутивов Linux для своих исследований в области безопасности, в том числе Red Hat, Fedora, SUSE и Debian, хотя большая часть описанного материала должна хорошо работать на большинстве дистрибутивов и BSD. Для тех, кто знаком с первым изданием несколько лет назад, автор провел повторную проверку большей части существующего контента, а также добавил контент для:
- LDAP для служб аутентификации
- Билл Лубанович внес главу о безопасности баз данных
- Использование LDAP и Cyrus-Imapd и шифрование электронной почты как часть безопасности почтового сервера
- Очень нужно охватить FTP-серверы vsftpd и ProFTPD
До того, как другие демоны и сервисы будут рассмотрены, администратор правильно запустит iptables и создаст сильный брандмауэр. Затем Бауэр послойно копается в поисках защиты программного обеспечения сервера имен BIND и djbdns для DNS, захвата почты с помощью Sendmail и Postfix, а также управления Apache.
Хотя многие администраторы Linux могут с этим не согласиться, Бауэр предполагает, что одним из первых шагов по усилению защиты сервера Linux, который будет касаться Интернета, является обеспечение того, чтобы X Windows не была установлена. «Если сервер должен работать« без головы »(без монитора и, следовательно, администрироваться удаленно), ему, безусловно, не требуется полная установка X с GNOME, KDE и т. Д., И, вероятно, даже не требуется минимальная установка», он написал.
В моем случае я использую все, кроме одной локальной системы Linux для разработки без X вообще — и эти системы работают просто отлично. Комбинация администрирования командной строки через SSH в сочетании с приятным интерфейсом GUI корневого уровня, таким как Webmin, должна поддерживать обслуживание безголовых серверов так же просто, как и доступ через Gnome или KDE.
Возможно, одна зияющая дыра в этой книге — отсутствие каких-либо предостережений для QMail. Конечно, популярность QMail растет и, по крайней мере, стоит рядом с Postfix. Я постоянно сталкиваюсь с пользователями Qmail (в том числе и со мной!), И это было бы неплохо в главе об управлении электронной почтой.
Книга завершается важными приемами мониторинга системных журналов, а также использованием одного из моих любимых приложений, Tripwire. Последнее находится в последней главе о методах обнаружения вторжений, а также включает в себя освещение Snort.
В качестве бонуса для читателей в книгу включены два полных сценария запуска iptables, один из которых основан на содержании, описанном в книге, для сервера, сидящего в Интернете, а второй — для многодомных хостов, что удобно для межсетевого экрана в демилитаризованной зоне, где оба существуют внутренние и общедоступные сетевые подключения.
Разделы:
1. Моделирование угроз и управление рисками
* * * Компоненты риска
* * * Простой анализ рисков: ALE
* * * Альтернатива: деревья атаки
* * * Защита
* * *Вывод
* * *Ресурсы
2. Проектирование сетей периметра
* * * Немного терминологии
* * * Типы брандмауэров и архитектуры DMZ
* * * Определение того, что должно находиться в DMZ
* * * Распределение ресурсов в DMZ
* * * Брандмауэр
3. Укрепление Linux и использование iptables
* * * Принципы укрепления ОС
* * * Автоматическая закалка с помощью Bastille Linux
4. Безопасное удаленное администрирование
* * * Почему пришло время уйти в отставку Инструменты администратора Cleartext
* * * Безопасная оболочка для фона и базовое использование
* * * Средний и продвинутый SSH
5. OpenSSL и Stunnel
* * * Stunnel и OpenSSL: концепции
6. Защита сервисов доменных имен (DNS)
* * * Основы DNS
* * * Принципы безопасности DNS
* * * Выбор программного пакета DNS
* * * Защита BIND
* * * djbdns
* * *Ресурсы
7. Использование LDAP для аутентификации
* * * Основы LDAP
* * * Настройка сервера
* * * Управление базой данных LDAP
* * * Выводы
* * *Ресурсы
8. Безопасность базы данных
* * * Типы проблем безопасности
* * * Расположение сервера
* * * Установка сервера
* * * Работа с базой данных
* * *Ресурсы
9. Защита электронной почты в Интернете
* * * Справочная информация: MTA и SMTP Security
* * * Использование SMTP-команд для устранения неполадок и тестирования SMTP-серверов
* * * Защита вашего MTA
* * *Отправить письмо
* * * Постфикс
* * * Агенты доставки почты
* * * Краткое введение в шифрование электронной почты
* * *Ресурсы
10. Защита веб-серверов
* * * Веб-безопасность
* * * Веб-сервер
* * *Веб-контент
* * * Веб-приложения
* * * Слои обороны
* * *Ресурсы
11. Защита файловых сервисов
* * * Безопасность FTP
* * * Другие методы обмена файлами
* * *Ресурсы
12. Системный журнал управления и мониторинга
* * * системный журнал
* * * Syslog-ng
* * * Тестирование системы регистрации с регистратором
* * * Управление системными лог-файлами с помощью logrotate
* * * Использование Swatch для автоматического мониторинга журналов
* * * Некоторые простые инструменты отчетности
* * *Ресурсы
13. Простые методы обнаружения вторжений
* * * Принципы систем обнаружения вторжений
* * * Использование Tripwire
* * * Другие проверки целостности
* * * Snort
* * *Ресурсы
Приложение: два полных сценария запуска iptables