1 / 12

Linux Szerverek

Linux Szerverek. Buzas Hunor. Milyen hardvert vásároljunk?

waldo
Download Presentation

Linux Szerverek

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Linux Szerverek BuzasHunor Linux Szerverek

  2. Milyen hardvert vásároljunk? • Ha komoly szolgáltatást szeretnénk nyújtani, és fontos a folyamatos működés, akkor már a hardver vásárlásánál gondolnunk kell a minőségre. Vegyünk ipari házat, amely alkalmas több hónapon (esetleg éven) keresztül megszakítás nélküli üzemelésre és esetleg fizikai védelmet nyújt a betörés ellen. Ezek a házak általában speciális tápegységet tartalmaznak, szétszerelésükhöz vagy kezelőfelületükhöz kulcsal vagy mágneskártyával lehet hozzáférni Linux Szerverek

  3. A folyamatos üzemhez elkerülhetetlen egy szünetmentes tápegység beszerzése. Ebből érdemes a legolcsóbbak helyett valami komolyabbat beszerezni. Figyeljünk arra, hogy a szünetmentesnek akkor van értelme, ha az áramkimaradásról a Linux (ált. oprendszer :) is értesül. Létezik olyan megoldás, ahol az UPS és a PC a soros porton kommunikál. Ez az olcsóbb és butább megoldás. (Ha szükség van a soros portokra, ez nem használható.) A legintelligensebb megoldás, amikor az UPS-hez egy bővítőkártyát adnak, amin keresztül az áramszolgáltatás leállását, újraindulását, illetve sok egyéb mást is közölni tud a rendszerrel. Linux Szerverek

  4. Partícionálás • A filerendszer több részre darabolása (ésszerű határok között) megkönnyíti az egyes partíciók mount opcióinak finomhangolását, illetve egy partíció sérülése esetén a hiba elhárítása általában nem követeli meg a rendszer leállítását. • Elsőnek a felhasználók home könyvtárait, illetve az általuk írható könyvtárakat érdemes különválasztani. Ilyenek a /tmp és a többi world-writable könyvtár (ha van). Ez megnehezíti néhány program hibáinak kihasználását, például állományok jogosulatlan átírása az adott file-ra mutató link segítségével, hiszen partíciók között nem lehet linkeket létrehozni. Linux Szerverek

  5. A /var (esetleg a /var/spool, /var/log) könyvtár külön partícióra tétele lehetővé teszi a disk quota hatékonyabb beállítását illetve megakadályozza, hogy a syslogd üzenetei megtöltsék a root vagy a /var partíciót, leállítva ezzel a /var/spool-t használó processzeket. Másrészt ha a /var/spool vagy a /var/log valamilyen ok miatt megtelik, a /var nem fog. • A /var/tmp csak egy symlink legyen a /tmp-re. Külön szokás még választani a /usr és a /opt könyvtárat (ha van). • A /usrmountolható read-only-ra is, amennyiben a szerverrenemkerülnekállandóanújprogramok. A /tmp-t és a /home-otérdemesnosuidparaméterrelmountolni. Linux Szerverek

  6. Számolni kell a swap partíció méretével is. Ezt ajánlott úgy meghatározni, hogy az alkalmazások maximális memóriaigényéből kivonjuk a rendelkezésre álló memória méretét. A fennmaradó rész (plusz néhány mega) a swap. • Összefoglalva tehát a /etc/fstab valahogy így nézzen ki: • /dev/hda1 swap swap defaults 0 0 • /dev/hda2 /tmp ext2 defaults,nosuid 1 2 • /dev/hda3 /usr ext2 defaults,ro 1 2 • /dev/hda4 /home ext2 defaults,nosuid 1 2 • /dev/hda5 /var ext2 defaults 1 2 Linux Szerverek

  7. A felhasználók által foglalható maximális merevlemez területet is érdemes korlátozni, így azok nem tudnak buta dolgokat (pl. cat /dev/zero > nagyfile) művelni. Ennek beállításához ajánlott olvasmány a quota howto. Quota kell a /tmp-re a nagy tmp file-ok létrehozásának megakadályozására illetve, hogy az elvetemültebb felhasználók ne itt tárolják a dolgaikat, a /var-ra a mail és printer spool méretének limitálása miatt, és a /home-ra a home könyvtárak méretének korlátozása érdekében. Linux Szerverek

  8. Install • Csak a rendeltetésszerű működéshez szükséges csomagokat telepítsük. Ne installáljunk általunk ismeretlen vagy nem használt programokat, ezek csak növelik a programozási hibákból eredő kockázatot, de egy ismeretlen program tartalmazhat akár kártékony kódrészeket is. • Telepítés után ellenőrizzük, nincsenek-e már ismert biztonsági hibák rendszerünkben. Az ellenőrzést kezdjük az adott disztribúció hibalistájával (errata). Érdemes körülnézni a disztribúció homepage-én is, általában találunk egy ,,updates'' vagy ,,security'' linket. Nézzük át a biztonsággal foglalkozó site-okat (pl. Rootshell), listák archívumait (pl. BUGTRAQ, vagy linux-security). Az említett levelezési listákra feliratkozni is érdemes, így előbb juthatunk az információkhoz. Linux Szerverek

  9. Upgrade • Ha valamiben már találtak biztonsági hibát, azonnal cseréljük le. A legtöbb helyen a javított csomagok elérhetőségét is megadják. Ha még nincs javított verzió, próbálkozhatunk a közreadott patch-ekkel is. Ha az sincsen, az adott szolgáltatást célszerű ideiglenesen leállítani. Javítás után teszteljük le a rendszert, valóban kijavítottuk-e a hibát. • Jól működő, hibátlan programot nem mindig érdemes lecserélünk, ha megjelent egy új verziója. Az új verzió új hibákat is eredményezhet - és a régiek nem biztos, hogy ki lettek javítva -, ezért upgrade előtt mindig olvassuk el a README, CHANGES, FEATURES, Changelog, stb. dokumentumokat. A programban történt változások ismeretében már el tudjuk dönteni, szükségünk van-e az upgrade-re. Linux Szerverek

  10. Egyéb fontos dolgok • A legjobb védekezési technikák sem érnek sokat, ha nem vagyunk elég körültekintőek napi munkánk során. Hogy csak néhány rossz példát említsek: root-ként vagy privilégizált felhasználó nevében futtatott X, netscape, lynx, irc, mc, stb, de még a levél vagy man olvasás sem ajánlott. • Érdemes megfogadni a alábbi tanácsokat: • csakis a legszükségesebb munkákat végezzük root-ként, a napi munkára hozzunk létre egy privilégiumokkal nem rendelkező accountot; • ha lehetőségünk van rá, a szervert egyáltalán ne használjuk munkaállomásnak; • ismeretlen programokat soha ne installáljunk vagy futtassunk root-ként, amíg nem győződtünk meg arról, hogy nem tartalmaz kártékony részeket; • a root jelszót soha ne adjuk meg senkinek, ne írjuk fel; • jelszavakat és egyéb fontos információt soha ne küldjünk kódolatlan levélben, használjunk PGP-t (Pretty Good Privacy) vagy GPG-t (GNU Privacy Guard) a titkosításhoz; Linux Szerverek

  11. root konzolt ne hagyjunk ott, jelentkezzünk ki vagy lock-oljuk (pl. vlock -a). Vigyázat, a kernelbe fordított ,,Magic Sysrq Keys'' segítségével a lock programok kiiktathatók!; • több gépen ne használjuk ugyanazokat a jelszavakat, a root jelszó legyen egyedi mindenhol; • mindig olvassuk a log file-okat! Ha valaki próbálkozik, annak általában nyoma marad. Persze ezeket fel is kell ismerni. Nyom lehet pl. a többszöri belépési kísérlet adott hostról vagy accounton, daemonok szokatlan hibaüzenetei, kapcsolódási kísérletek gyanús címekről, stb. Ugyancsak szokatlan, ha a log-ban hiányos részek vannak (pl. látjuk, hogy kilépett egy felhasználó, de a login-nak nyoma sincs).Gyanús eseményeknél, - miután megbizonyosodtunk arról, hogy támadási kísérletről van szó - a próbálkozó hostot azonnal tiltsuk ki minden szolgáltatásból! A legjobb megoldás, ha a firewall-on tiltjuk ki, ha ez nem lehetséges, akkor tegyük a hosts.deny-be a címet, majd tájékoztassuk a kitiltott gép adminisztrátorát. Linux Szerverek

  12. Ha nem vagyunk biztosak magunkban, kérdezzünk meg a hozzáértőbbet! Léteznek erre külön listák is, ahol felvethetők az ilyen jellegű problémák is. • Tovabbireszletesinformaciokertlatogassuk a • http://www.bences.hu/tech/security/bizt/bizt.html-t. Linux Szerverek

More Related