Поддержка безопасности вашей системы Red Hat Linux чрезвычайно важна. Одним из способов управления безопасностью системы является аккуратное назначение доступа к системным службам. Иногда необходимо открыть доступ к некоторым службам вашей системы (например, httpd, если у вас работает Web-сервер). Однако, если вам не нужно предоставлять службу, следует её отключить - это уменьшит степень воздействия вредоносных программ, использующих возможные ошибки.
Существует несколько различных способов управления доступом к системным службам. Вы должны выбрать подходящий способ, исходя из службы, конфигурации вашей системы и уровня ваших знаний Linux.
Легче всего запретить доступ к службе, просто отключив её. Службы, управляемые xinetd (который будет рассмотрен позже в этом разделе) и службы в /etc/rc.d могут быть настроены на запуск или отключение в трёх различных приложениях:
serviceconf — графическое приложение, отображающее описание каждой службы, тип запуска при загрузки системы (для уровней выполнения 3, 4, и 5), а также позволяющее остановить или перезапустить любую службу.
ntsysv — текстовое приложение, позволяющее определить службы, запускаемые при загрузке системы для каждого уровня выполнения. Изменения не вступают в силу немедленно. С помощью этой программы службы не могут быть запущены, остановлены или перезапущены.
chkconfig — программа командной строки, позволяющая включать и отключать службы для различных уровней выполнения. Изменения не вступают в силу немедленно. С помощью этой программы службы не могут быть запущены, остановлены или перезапущены.
Использовать эти средства проще, чем альтернативный способ — редактировать множество ссылок, расположенных в каталогах: /etc/rc.d вручную или изменять файл настроек xinetd в /etc/xinetd.d.
Другим способом управлять доступом к системным службам можно, используя iptables для настройки IP брандмауэра. Если вы новичок в Linux, вам следует понять, что iptables может оказаться не лучшим решением для вас. Настройка iptables обычно сложна и лучше, если её выполняет опытный системный администратор UNIX/Linux.
С другой стороны, преимуществом использования iptables является гибкость. Например, если вам нужны особые правила, разрешающие доступ определенных узлов к определённым службам, вы сможете их определить в ipchains. Обратитесь к Официальное справочному руководству по Red Hat Linux за дополнительной информацией об iptables.
Напротив, если вам нужна программа, определяющая общие правила доступа для вашего домашнего компьютера, и/или если вы новичок в Linux, попробуйте программу GNOME Lokkit. GNOME Lokkit - это графическая программа, которая задаст вам вопросы о том, как вы хотите использовать компьютер. Основываясь на ваших ответах, она настроит для вас простой брандмауэр. За дополнительной информацией обратитесь к Главе 7.
Для того чтобы суметь правильно настроить доступ к службам, вы должны понимать уровни выполнения Linux. Уровень выполнения - это состояние или режим, который определяется службами, перечисленными в каталоге /etc/rc.d/rc<x>.d, где <x> - это номер уровня выполнения.
Red Hat Linux использует следующие уровни выполнения:
0 — Останов
1 — Режим одного пользователя
2 — Не используется (определяется пользователем)
3 — Полный многопользовательский режим
4 — Не используется (определяется пользователем)
5 — Полный многопользовательский режим (с экраном входа в системе X)
6 — Перезагрузка
Если вы настраивали систему X Window во время установки Red Hat Linux, вы могли выбрать графический или текстовый экран входа в систему. Если вы выбрали текстовый экран входа, вы работаете в уровне выполнения 3. Если вы выбрали графический экран входа, вы работаете в уровне выполнения 5.
Уровень выполнения по умолчанию может быть изменен в файле /etc/inittab, который содержит в начале строку, подобную следующей:
id:3:initdefault: |
Измените цифру в этой строке на требуемый уровень выполнения. Изменения не вступят в силу до перезапуска системы.
Чтобы изменить уровень выполнения немедленно, выполните команду telinit, добавив номер уровня выполнения. Чтобы использовать эту команду вы должны быть пользователем root.