4.5. Доступные сетевые службы

Тогда как доступ пользователей к средствам администрирования — важный вопрос, волнующий администраторов в организации, чёткое понимание того, какие сетевые службы работают, крайне важно для всех, кто устанавливает систему Linux и работает в ней.

Многие службы, существующие в Red Hat Enterprise Linux, являются сетевыми. Если на компьютере работает сетевая служба, это значит, что серверное приложение, называемое демоном, ожидает подключений к одному или нескольким сетевым портам. Каждую из этих служб следует рассматривать, как возможное направление атаки.

4.5.1. Опасности служб

Сетевые службы в системе Linux могут быть опасны. Ниже приведён список некоторых основных угроз безопасности:

Чтобы снизить вероятность атак на сетевые службы, все ненужные службы должны быть отключены.

4.5.2. Идентификация и настройка служб

В целях усиления безопасности многие сетевые службы, установленные в Red Hat Enterprise Linux, по умолчанию выключены. Однако есть и некоторые исключения:

Определяя, какие службы следует оставить, лучше руководствоваться здравым смыслом и перестраховаться, чем что-то упустить. Например, если у вас нет принтера, отключите службу cupsd. То же самое касается portmap. Если вы не подключаете тома NFS и не используете NIS (служба ypbind), следует отключить portmap.

В Red Hat Enterprise Linux входят три программы, предназначенные для включения и отключения служб. Это Настройка служб (redhat-config-services), ntsysv и chkconfig. Информацию о них вы найдёте в главе Управление доступом к службам Руководства по системному администрированию Red Hat Enterprise Linux.

Рисунок 4-3. Настройка служб

Если вы не знаете, для чего предназначена та или иная служба, прочитайте её описание в утилите Настройка служб, как показано на рисунке 4-3.

Но простого определения служб, запускаемых при загрузке, недостаточно. Хорошие системные администраторы также должны проверять открытые порты. Вы узнаете об этом больше в разделе 5.8 Определение открытых портов.

4.5.3. Небезопасные службы

Все сетевые службы потенциально небезопасны. Вот почему так важно отключать неиспользуемые службы. Уязвимости обнаруживаются и исправляются постоянно, поэтому очень важно своевременно обновлять пакеты, связанные с любыми сетевыми службами. За дополнительной информацией об этом обратитесь к главе 3 Обновления системы безопаснсоти.

Некоторые сетевые протоколы по своей природе менее защищены, чем другие. К ним относятся все службы, которые:

В качестве примеров служб, небезопасных по природе, можно привести следующие:

Следует избегать использования программ удалённого входа и оболочки (rlogin, rsh и telnet), и использовать SSH (в разделе 4.7 Средства связи с повышенной защитой вы найдёте дополнительные сведения о sshd).

Протокол FTP не так опасен, как удалённые оболочки, но, тем не менее, чтобы избежать проблем, FTP-сервер нужно настраивать аккуратно. За дополнительной информацией о защите FTP-серверов обратитесь к разделу 5.6 Защита FTP.

К службам, которые нужно настраивать очень аккуратно и защищать брандмауэром, относятся:

Дополнительные сведения о защите сетевых служб вы найдёте в главе 5 Безопасности сервера.

В следующем разделе рассматриваются средства настройки простого брандмауэра.