WWW.REFERATCENTRAL.ORG.UA - Я ТУТ НАВЧАЮСЬ

... відкритий, безкоштовний архів рефератів, курсових, дипломних робіт

ГоловнаІнформатика, Компютерні науки → Використання операційної системи Linux при створенні локальних мереж - Реферат

Використання операційної системи Linux при створенні локальних мереж - Реферат

ваших користувачів. Ми згадаємо деякі специфічні проблеми при обговоренні певних тем де вони будуть зачеплені, та деякі загальні методи захисту.
У цьому розділі ми розглянемо кілька прикладів та базових методів по забезпеченню безпеки вашої системи. Звичайно ми не можемо повністю розглянути всі проблеми безпеки системи, ми тільки коротко розглянемо деякі з тих які можуть виникнути. Тому варто прочитати якусь книгу спеціально призначену проблемам захисту, особливо якщо ваша система працює в мережі. Ми радимо книгу Simon Garfinkel ``Practical UNIX Security'' (див. [ GETST "security" ]).
Безпека системи розпочинається з хорошого адміністрування системи. Це включає в себе перевірку прав володіння і доступу до всіх важливих файлів і каталогів, контроль використання првілегійованих входів, тощо. Програма COPS, для прикладу, буде перевіряти вашу файлову систему та конфігураційні файли на незвичні прва доступу та інші аномалії. Також варто застосовувати деякі прийоми щодо користувачських паролів, для того, щоб їх важче було зламати. Наприклад при використанні shadow password вимагається щоб пароль складався не менше 5 букв, що у ньому були букви верхнього, нижнього регістрів та цифри.
При створенні послуг доступних через мережу, впевніться, що ви встановили найменший необхідний рівень доступу (least privilege) і що ви не дозволили програмі робити речі яких вона не потребує для того щоб працювати як необхідно. Наприклад ви не повинні дозволяти програмі робити setuid на привелигійованих користувачів (якщо це не обговорено явно). Також якщо ви хочете обмежити доступ до якоїсь послуги, Ви повинні чітко це вказати в конфігурації програм які за це відповідатимуть. Наприклад якщо Ви хочете дозволити бездисковій станції завантажуватись з вашого хоста, Ви повинні встановити TFTP (trivial file transfer protocol) так, щоб станція могла зкачати базову конфігурацію з каталогу /boot. І в той же час Ви не повинні дозволяти необмежений доступ, інакше TFTP дозволить будь-якому користувачеві (з будь-якого куточку світу) зкачати будь-який загальнодоступний файл з Вашої системи. Якщо це не те чого Ви хочете, то чому б не обмежити доступ TFTP тільки каталогом /boot?
Продовжуючи цю думку ви можете захотіти обмежити використання певних послуг користувачами з певних хостів. в главі 10 ми розглянемо tcpd, який може це робити для різним мережевих програм-послуг.
Іншим важливим питанням є уникнення використання ``небезпечного'' (dangerous) програмного забезпечення. Звичайно будь-яке програмне забезпечення яке ви використовуєте може бути небезпечним, так як воно може мати якісь помилки чи дефекти, які певні люди можуть використати для доступу до вашої системи. Проти таких випадків захиститись практично неможливо - ця проблема однаково стосується як комерціного так і вільного до розповсюдження програмного забезпечення. Особливу небезпеку становлять програми які потребують привілегійованих прав - будь яка дірка може привести до плачевних наслідків. Якщо ви встновлюєте setuid на будь-яку мережеву програму - будьте вдвічі уважнішими, перечитайте документацію, щоб не створити своїми руками дірку в безпеці системи.
Ви не повинні ніколи забувати що ваші застереження можуть підвести, незалежно від того якими обережними Ви б не були. Ви повинні бути впевненими що зможете виявити зловмисника на ранній стадії. Перевірка файлів статистики системи - непоганий початок, але і зловмисники не настільки дурні, вони будуть знищувати будь які сліди або зтирати такі файли. Однак існують засоби, наприклад tripwire, які дозволяють перевіряти Вам життєво важливі системні файли на зміну вмістимого та на зміну прав доступу на них. tripwire обчислює контрольні суми на такі файли і зберігає в базі данних. Під час наступних запусків він повторно обчислює контрольні суми та порівнює їх з тими що знаходяться в базі щоб виявити будь-які зміни.
3. Введення в організацію TCP/IP мереж
Тепер ми звернемось до проблем які виникнуть при під'єднанні вашої Linux машини до TCP/IP мережі таких як IP адреси, імена хостів, та різних проблем маршрутизації. Ця глава дасть вам підготовку яку Ви потребуєте для того щоб розуміти що ж Вам потріюно встановлювати, в подальших главах буде описано яким чином та які інстструменти потрібні для того щоб зробити це.
3.1 Мережеві інтерфейси
Для того щоб не звертати уваги на різноманітне обладнання яке може використовуватись в мережі, TCP/IP пропонує абстрактний інтерфейс через який і звертається до пристроїв. Цей інтерфейс пропонує спільний для всіх типів апаратних засобів набір функцій і в основному має справу з передачею та отриманням пакетів.
Для кожного перефирійного пристрою який ви хочете використовувати для організації мережі повинен бути присутнім в ядрі відповідний інтерфейс. Наприклад інтерфейси карт Ethernet в Linux називаються eth0, eth1..., SLIP інтерфейси - sl0, sl1, і т.д. Ці імена використовуються для конфігурування, коли Ви хочете вказати специфічний фізичний пристрій ядру. Ніякого значення крім цього вони не мають.
Щоб мати можливість використовувати інтерфейс для побудови TCP/IP мережі, йому повинен бути призначена IP адреса яка використовується як індифікаційний код при зв'язку з зовнішнім світом. Ця адреса відмінна від імені інтерфесу; якщо інтерфейс порівняти з дверми, тоді адреса - прикріплена на них табличка.
Звичайно, існують і інші параметри значення яких може бути встановленим; один з них - максимальний розмір датаграми яка може бути опрацьованою певним пристроєм що називаєьбся MTU (Maximum Transfer Unit). Інші параметри буде описано нижче.
3.2 IP адреси
Як згадувалось у попередній главі, прийнята в IP мережах адреса є 32-бітним числом. Кожна машина в мережі повинна мати унікальну адресу в мережі. Якщо ваша локальна мережа не має TCP/IP з'єднання з іншими мережами, ви можете використовувати будь-які адреси за вашим бажанням. Однак, для сайтів Inernet адреси виділяються NIC (Network Information Center).
Для більш легкого розуміння IP адреса розбита на чотири 8-ми бітних числа, названі октетом. Наприклад : quark.physics.groucho.edu має IP адресу 0x954C0C04, яке може бути описною як 149.76.12.4. Цей формат часто згадуються як dotted quad запис.
Іншою причиною використання dotted quad є те, що IPадреси розбиті на номер мережі, який знаходиться на початку, та номер хоста. При зверненні до NIC ви не отримаєте адреси для кожного окремо взятого хоста які ви плануєте використовувати. Замість цього вам надасться номер мережі, що дозволить призначати IP адреси у межах певного діапазону хостам мережі за вашим бажанням.
В залежності від розмірів мережі кількість адресів може бути більшою або меншою. Для розділу різних потреб існує кілька класів мереж від яких залежить максимальна ктлькість адремів для хостів.
Class A Клас A включає мережі з 1.0.0.0 до 127.0.0.0. Номер мережі знаходиться в першому байті октету. Це забезпечую 24-ох розрядну частину для означення хостів. Дозволяє використання приблизно 1,6 міліони хостів у мережі.
Class B Класс B вміщає мережі з 128.0.0.0 по 191.255.0.0; номер мережі
Loading...

 
 

Цікаве