Witaj Gościu, jeżeli to czytasz to znaczy że nie jesteś zarejestrowany/zalogowany. Kliknij by się zarejestrować. Rejestracja zajmie mniej niż 30 sekund , a dzięki temu zniknie Ci ten dymek oraz będziesz miał pełne możliwośći personalizacji forum do własnych potrzeb.
Dostrajanie Linuksa -poradnik Dla Początkujących
Pokaż wyniki od 1 do 4 z 4

Temat: Dostrajanie Linuksa -poradnik Dla Początkujących

  1. #1
    Avatar numerek
    numerek jest nieaktywny Królik Zabójca
    Mężczyzna
    Dystrybucja: PclinuxOs/win XP
    Dołączył
    Nov 2003
    Skąd
    trójmiasto
    Postów
    2,579
    Wątków
    182
    Downloads
    0
    Uploads
    0
    Siła Reputacji
    0
    Reputacja
    -11
    wklejam ten tekst aby nie zginął
    odpowiada na szereg pytań "jak ustawić linuksa ?"
    w/g mnie dobry poradnik na początek

    niestety bez obrazków i linkow bo mi się nie chciało edytowac htmla
    jak ktos bedzie potrzebowal to sobie skopiuje i wklei


    Linux to OS jak każdy inny - dobre i wydajne zarządzanie nim wymaga zatem nieco wiedzy i sporo wprawy. Na szczęście w każdej dystrybucji tego systemu znajdziemy nadmiar narzędzi, które pomogą nam w tym zadaniu.


    Każdy, kto choć raz zetknął się z Linuksem (czy innym systemem uniksowym, np. BSD), przekonał się o różnicach w administracji pomiędzy tym OS-em a Okienkami Microsoftu. Wynikają one nie tylko z odmiennej filozofii działania wymienionych systemów. Przyczyną różnic jest również to, że efektywne zarządzanie Windows wymaga skompletowania szeregu dodatkowych narzędzi, które w Linuksie dostajemy wraz z używaną dystrybucją.
    Fakt ten nie oznacza bynajmniej, że administracja Linuksem jest zadaniem banalnym. Warto zatem na początek zapoznać się z kilkunastoma najczęściej używanymi narzędziami administracyjnymi. Programy systemowe trzeba bowiem poznać, a to z kolei skutkuje często koniecznością zrozumienia zasad, jakie rządzą działaniem Pingwina.
    Omawiane w artykule programy i polecenia podzielono na trzy grupy: narzędzia stricte systemowe, aplikacje pomocne w konfiguracji sieci oraz programy służące do zapewnienia bezpieczeństwa użytkownikom OS-u. Chwilami zakresy zastosowań poszczególnych narzędzi przenikają się. Nie ma w tym jednak niczego dziwnego, bo na przykład bezpieczeństwo systemu zależy zarówno od uprawnień użytkowników, jak i jakości zapory ogniowej.
    Wspólną cechą wszystkich opisanych w tym artykule aplikacji jest to, że możemy je znaleźć w znakomitej większości dystrybucji Linuksa. Nawet jeśli niektóre nie zainstalują się po wybraniu domyślnej konfiguracji systemu, to z łatwością odnajdziemy je na płytach z pakietami lub na serwerach FTP naszej odmiany Pingwina.
    Celem niniejszego tekstu nie jest opisanie wszystkich narzędzi, które powinien znać dobry administrator Linuksa - wymagałoby to po prostu zapełnienia opisami i przykładami użycia aplikacji sporej grubości książki. Starałem się raczej wybrać programy ważne, niekoniecznie bardzo popularne, ale z jakiegoś powodu warte poznania. Zawsze natomiast można skorzystać ze źródeł podanych w ramce na końcu artykułu, przejrzeć kilka stron WWW poświęconych Linuksowi i - przede wszystkim - stosować się do znanej i często powtarzanej przez bywalców grup dyskusyjnych zasady RTM (Read The Manual). Z oczywistych względów użycie w zasadzie wszystkich opisanych tu narzędzi będzie wymagało uprawnień roota.


    Narzędzia systemowe
    Choć maszyna linuksowa w większości wypadków pracuje w sieci lokalnej lub w Internecie, administrację nią powinniśmy zacząć od uporządkowania "lokalnej" sytuacji. Zawsze bowiem należy się liczyć z niepoprawnym działaniem urządzeń, wyczerpaniem się zasobów maszyny czy niesfornością użytkowników. Dlatego też wycieczkę po meandrach zarządzania OS-em zaczniemy od typowo systemowych narzędzi, umożliwiających kontrolę nad katalogami, uprawnieniami użytkowników oraz działającymi w tle usługami.

    Wyłączamy niepotrzebne usługi
    Konfigurację każdego systemu operacyjnego, szczególnie podłączonego do jakiejkolwiek sieci, należy rozpocząć od wyłączenia niepotrzebnych usług systemowych. Wprawdzie dzisiejsze instalatory zwracają uwagę użytkownika na to, jakie serwisy będą działały w systemie, to v zazwyczaj przydaje się jednak rzut oka na stan OS-u już po jego zainstalowaniu.
    Szukając działających w tle usług, powinniśmy zajrzeć w kilka miejsc. Przede wszystkim używamy popularnego polecenia wyświetlającego działające procesy - ps -ax. Ponadto warto przeanalizować zawartość pliku /etc/inetd.conf, czyli zbioru konfiguracyjnego "superserwera" sieciowego inetd, uruchamiającego większość usług sieciowych.
    Gdy już odnajdziemy zbędne usługi, należy je zatrzymać (poleceniem typu /etc/rc.d/init.d/nfsd stop), a następnie usunąć stosowne wpisy z katalogu /etc/rc.d oraz z pliku /etc/inetd.conf. Zamiennie możemy użyć jednego z tekstowych lub graficznych narzędzi konfiguracyjnych dołączanych do naszej dystrybucji (takich jak YaST w SuSE czy Centrum sterowania w Mandrake'u). Po ponownym uruchomieniu OS-u sprawdzamy, czy nasze działania odniosły pożądany skutek.

    Dodatkowe atrybuty plików
    Większość użytkowników Linuksa zetknęła się z parą narzędzi chmod i chown, pozwalających na szczegółowe przydzielenie uprawnień do plików i katalogów poszczególnym użytkownikom systemu. Wiele osób nie zna natomiast działającego na systemach plików ext2/ext3 narzędzia chattr (e2fsprogs.sourceforge.net) określającego dodatkowe atrybuty zbiorów. Przykładowo: wywołanie programu w postaci:

    chattr +i plik.cfg

    spowoduje, że pliku nie będzie mógł zmienić (a więc również usunąć) żaden użytkownik systemu, nawet root. Z kolei parametr +A zablokuje uaktualnianie daty modyfikacji zbioru. Pełen zestaw opcji programu chattr można znaleźć w pomocy systemowej (man chattr). Do wyświetlania rozszerzonych atrybutów plików służy program lsattr.

    Podaruj innym swoje uprawnienia, czyli używaj sudo
    W normalnie działających systemach (zwłaszcza tych, które są instalowane na komputerach domowych lub biurowych) bardzo często konieczne jest przydzielenie zwykłym użytkownikom niektórych uprawnień roota. Pomaga w tym sudo (www.sudo.ws) - program tak samo często chwalony, jak krytykowany. Trzeba sobie powiedzieć jasno, że - jakkolwiek zdarzały się w tej aplikacji "dziury" - większość problemów z bezpieczeństwem systemu wynika z błędnej konfiguracji sudo, a nie z natury jego działania. Spróbujmy zatem przyjrzeć się tej aplikacji nieco bliżej.
    Sudo to nic innego, jak program uruchamiający określone aplikacje "w imieniu" użytkownika root. To, które są to aplikacje i którym użytkownikom wolno z nich korzystać, określa plik konfiguracyjny sudo. Może go edytować wyłącznie root, i to za pośrednictwem specjalnego narzędzia - visudo. Program ten wykorzystuje edytor vi/vim, zatem przed użyciem sudo konieczne jest przynajmniej pobieżne zapoznanie się ze wspomnianym edytorem. Wpis w visudo ma zawsze postać:

    user1 host=(user2) program

    Należy to rozumieć następująco: użytkownik user1 może wykonać na maszynie host aplikację o nazwie program z uprawnieniami użytkownika user2. Domyślnie w pliku konfiguracyjnym sudo znajduje się zawsze wpis w rodzaju:

    root ALL=(ALL) ALL
    Oznacza on, że użytkownik root może używać dowolnego programu z uprawnieniami każdego użytkownika
    systemu, na którym umieścimy taki wpis konfiguracyjny. Jeśli natomiast dopiszemy w visudo wiersz:

    emil localhost=(root) /sbin/
    ifconfig

    to użytkownik emil, wydając w lokalnym systemie np. polecenie sudo /sbin/ifconfig eth0, będzie mógł obejrzeć parametry interfejsu sieciowego o nazwie eth0.

    Kto zajmuje miejsce na dysku?
    Jednym z podstawowych zadań administratora jest kontrolowanie na bieżąco ilości wolnego miejsca na dyskach. Podstawowym poleceniem, którego używa się do tego celu, jest df, jednak informuje nas ono o wolnym miejscu na poszczególnych partycjach, a nie pozwala zdiagnozować przyczyn braku wolnych megabajtów. Jeśli chcemy się przekonać, który program czy użytkownik zajmuje przestrzeń dyskową, powinniśmy skorzystać z narzędzia du.
    Tej ostatniej aplikacji warto użyć z odpowiednimi opcjami, najlepiej posiłkując się dodatkowo np. programem sort (www.gnu.org/software/coreutils). Jeżeli przykładowo chcemy wyświetlić pięć podkatalogów zajmujących najwięcej miejsca w danym katalogu, możemy użyć polecenia:

    du -cksh * | sort -rn | head -6

    Opis wszystkich parametrów programów du, sort i head znajdziemy w podręczniku systemowym (man du, man sort, man head). Mówiąc w skrócie, wyniki działania polecenia du są sortowane malejąco, a na ekranie wyświetlanych jest sześć pierwszych wierszy (suma miejsca zajmowanego przez wszystkie podkatalogi bieżącego katalogu i pięć podkatalogów zabierających najwięcej miejsca). Warto dopasować podany przykład użycia du do własnych potrzeb i dopisać do pliku .profile alias do takiego polecenia.

    Dostrajanie "twardziela"
    Wydawałoby się, że dysk twardy to na tyle standardowy element peceta, iż jakakolwiek software'owa konfiguracja tego komponentu nie jest potrzebna. Linux pozwala jednak nieco dostroić "twardziela" - jest to szczególnie przydatne w sytuacjach, gdy urządzenia HDD pracują zauważalnie wolniej, niż powinny. Do usprawnienia pracy dysków możemy użyć polecenia hdparm. Uwaga: w skrajnych przypadkach niewłaściwe użycie tego narzędzia może spowodować utratę danych. Warto zatem przed rozpoczęciem eksperymentów wykonać kopię najważniejszych plików i uruchomić Linuksa w trybie jednego użytkownika.
    Hdparm pozwoli nam nie tylko dostroić działanie dysku, ale i sprawdzić wynik naszych działań. Test aktualnej wydajności urządzenia najlepiej przeprowadzić za pomocą polecenia:

    hdparm -Tt /dev/hda

    co spowoduje sprawdzenie czasów odczytu danych znajdujących się w pamięci podręcznej dysku (parametr -T) oraz danych niebuforowanych (opcja -t). Pomiar najlepiej przeprowadzić kilkakrotnie.
    Jeśli się okaże, że wyniki znacznie odbiegają od parametrów nominalnych danego dysku (a dosyć często tak się zdarza z powodu domyślnej, czyli bezpiecznej konfiguracji urządzenia), możemy przyjrzeć się ustawieniom wyświetlanym po wpisaniu polecenia:

    hdparm /dev/hda

    Warto przeanalizować zwłaszcza parametry multcount (liczba sektorów pobieranych w czasie jednego odczytu), IO_support (tryb współpracy dysku z magistralą PCI) oraz using_dma (wykorzystanie mechanizmu DMA). Po przejrzeniu dokumentacji urządzenia i pomocy systemowej do polecenia hdparm (man hdparm) możemy poeksperymentować z ustawieniami - ciągle pamiętając o tym, że nieprawidłowe parametry mogą się skończyć np. zawieszeniami systemu. Na szczęście w przypadku wystąpienia problemów wystarczy zrestartować komputer - aby zmienić parametry dysku na stałe, musimy wpisać odpowiednie wywołanie programu hdparm, np. do któregoś z plików startowych naszego systemu (najlepiej do rc.local lub jego odpowiednika).

    Zarządzanie siecią
    Administracja serwerem linuksowym polega w dużej mierze na zapewnieniu prawidłowego i bezpiecznego działania usług sieciowych. Linux pełni często funkcję routera sieciowego i/lub serwera usług, takich jak poczta elektroniczna, WWW czy news. Ponieważ opisywany system może się poszczycić w pełni sieciowym rodowodem, trudno się dziwić, że udostępnia on użytkownikom całą masę narzędzi służących do konfiguracji wszelkich aspektów sieci.

    Klasyka interfejsów sieciowych
    Dawno już minęły czasy, kiedy prawidłowe skonfigurowanie połączenia sieciowego w Linuksie wymagało nierzadko kompilacji jądra i napisania kilku skryptów systemowych. Dzisiaj większość koniecznych czynności wykonają za nas instalator systemu i graficzne, zautomatyzowane narzędzia konfiguracyjne. Niemniej zdarzają się sytuacje, że diagnoza i naprawa błędnie działającego routingu czy interfejsu sieciowego wymaga skorzystania z konsolowych narzędzi (przy ich użyciu jest też zwyczajnie szybsza i bardziej efektywna). Dlatego warto zapoznać się w wolnej chwili z takimi programami, jak ifconfig i route.
    Pierwsza z wymienionych aplikacji to podstawowe narzędzie konfiguracji interfejsów sieciowych. Użyta bez parametrów wyświetla konfigurację aktywnych interfejsów, opcja -a powoduje pojawienie się na liście również interfejsów nieaktywnych. Możemy także dokładnie określić interfejs oraz operację, którą chcemy wykonać w odniesieniu do niego. Jeśli np. zamierzamy wyłączyć interfejs eth0 (pierwsza karta sieciowa), używamy polecenia:

    ifconfig eth0 down
    Program oferuje znacznie więcej opcji - pozwala m.in. na nadanie interfejsowi określonego adresu IP, maski sieciowej i adresu rozgłoszeniowego (broadcast), jak również na konfigurację karty sieciowej (np. na ustalenie numeru przerwania wykorzystywanego przez urządzenie). Szczegóły - jak zwykle - można znaleźć w podręczniku systemowym (man ifconfig).
    Do ustalania zawartości tzw. tablicy routingu (czyli tablicy, według której są w systemie przekierowywane pakiety sieciowe) służy polecenie route. Wydane bez parametrów powoduje wyświetlenie zawartości tabeli routingu. Podstawowe opcje polecenia to add i del, służące odpowiednio do dodawania i usuwania wpisów we wspomnianej tabeli. W systemie powinna istnieć tzw. trasa domyślna (dodawana poleceniem w postaci route add -net default gw GATEWAY, gdzie GATEWAY to adres bramy sieciowej), wskazująca najczęściej interfejs łączący komputer/sieć lokalną z Internetem. Warto przy okazji wspomnieć o pliku /etc/named.conf, w którym przechowywane są adresy wykorzystywanych przez nasz komputer serwerów nazw (DNS). Jeżeli korzystamy z technologii automatycznego przydziału adresów IP (DHCP), numery IP serwerów nazw zazwyczaj są pobierane automatycznie.

    Co "słychać" w sieci?
    Jednym z bardziej wszechstronnych uniksowych narzędzi sieciowych jest netstat. Wspomnieliśmy o nim przy okazji konfiguracji uruchamianych usług - netstat uruchomiony z opcjami -ln pozwala wyświetlić otwarte porty naszej maszyny wraz z nazwami nasłuchujących na nich serwerów. Składnia nestat -rn zastępuje z kolei polecenie route, czyli podaje zawartość tabeli routingu (zaletą w porównaniu z route jest fakt, iż netstat jest zazwyczaj dostępny dla wszystkich użytkowników OS-u). netstat -i wyświetla listę aktywnych interfejsów sieciowych, a netstat -M - listę połączeń realizowanych za pośrednictwem maskarady (czyli linuksowej wersji usługi NAT). Lista opcji narzędzia jest bardzo długa - warto choć raz dokładnie przejrzeć podręcznik systemowy, aby w razie potrzeby wiedzieć, gdzie szukać pomocy w trudnych sytuacjach.

    Łączenie zdalne
    W czasach gdy Internet był jeszcze wspólnotą zapaleńców eksplorujących możliwości globalnej Sieci, funkcjonowało sporo różnych metod zdalnego logowania się do sieciowego hosta. Najpopularniejszą było skorzystanie z usługi Telnet, która jednak odeszła w niepamięć w momencie nasilenia się sieciowego wandalizmu. Dziś jedyną zalecaną metodą kontaktu z shellem serwera uniksowego jest użycie zapewniającego bezpieczną autoryzację użytkownika i szyfrowanie przesyłanych informacji protokołu SSH.
    W każdej dystrybucji Linuksa znajdziemy zarówno klienta, jak i serwer SSH. Użycie klienta jest bardzo proste - wystarczy wpisać polecenie:

    ssh -l użytkownik adres_hosta

    i po zgłoszeniu się zdalnego hosta wpisać hasło do swojego konta. Co ciekawe, odpowiednia konfiguracja serwera SSH (dokładniej: zezwolenie na tunelowanie pakietów serwera X11 i uruchomienie samego serwera X Window) umożliwia użycie w programie ssh opcji -X. Dzięki temu po zalogowaniu się na serwerze możemy uruchomić na nim dowolny program korzystający z linuksowych okienek (oczywiście w tym wypadku logować się należy z konsoli tekstowej lokalnych X-ów).
    Również użycie serwera SSH nie jest szczególnie skomplikowane - instalacja z pakietu RPM/DEB umożliwi automatyczną konfigurację demona sshd (w tym wygenerowanie kluczy kryptograficznych) i jego uruchomienie. Powinniśmy jedynie dostroić serwer do własnych wymagań (modyfikując plik /etc/ssh/ssh_config) oraz dbać o jego regularne uaktualnianie.

    Przydatne drobiazgi
    Wśród wielu różnych narzędzi sieciowych warto wymienić niewielkie programy pomagające w diagnozowaniu połączenia i sprawdzaniu aktualnego statusu innych komputerów w Sieci. O programie ping słyszeli chyba wszyscy, ale z pewnością niewiele osób zna wszystkie opcje uniksowej wersji tego narzędzia. Pozwala ono m.in. używać do "pingowania" adresu rozgłoszeniowego (dzięki opcji -b ), co może być przydatne, gdy chcemy szybko sprawdzić status wszystkich maszyn w podsieci. Inne ciekawe opcje tej aplikacji to m.in. -p (pozwala na podanie szablonu zawartości pakietu ICMP), -i (podaje odstęp w sekundach pomiędzy kolejnymi pakietami) czy -I (wyświetla adres źródłowy w wysyłanych pakietach). Użycie programu ping jest również najprostszą metodą poznania adresu IP hosta, którego nazwę podamy w wywołaniu polecenia. Jedyna wada narzędzia to fakt, iż wielu administratorów serwerów internetowych blokuje odpowiadanie na pakiety ICMP w obawie przed potencjalnymi próbami ataków sieciowych.
    Jeśli chcemy poznać adres IP hosta, mimo że nie odpowiada on na żądania aplikacji ping, możemy skorzystać z narzędzia dig. Wywołanie w postaci:

    dig www.chip.pl

    zwróci (w sekcji ANSWER SECTION) adres IP serwera o podanej nazwie. Program ma dodatkową zaletę - skorzystanie polecenia:

    dig -x 213.180.130.200

    spowoduje próbę odszukania w DNS-ach nazwy hosta (w tym przypadku jednego z serwerów Onetu). Jeszcze dokładniejsze informacje, włącznie z danymi adresowymi właściciela domeny, zwróci program whois - niestety, czasem musimy go doinstalować samodzielnie. Ponieważ whois korzysta z osobnych baz informacji o domenach, jego działanie jest ograniczone do najpopularniejszych rodzajów domen.

    Bezpieczeństwo
    Dzisiejsza Sieć przypomina dżunglę, w której co słabsze jednostki skazane są na rychłą śmierć. Nie ma w tym stwierdzeniu wielkiej przesady - przy odrobinie pecha źle zabezpieczony serwer może paść łupem włamywacza, automatu spamowego lub samoczynnie instalowanego trojana w ciągu kilku godzin od podłączenia do Internetu. Co gorsza, maszyna taka zazwyczaj służy jako doskonała platforma do ataków na komputery w Sieci - swoim niedbalstwem lub niewiedzą możemy zatem łatwo się przyczynić do zupełnie wymiernych szkód wyrządzonych innym użytkownikom Internetu.
    Spoczywająca na nas wszystkich odpowiedzialność za stan Sieci powinna nas skłonić do rzetelnego zabezpieczenia własnych maszyn przed włamaniami. Co najważniejsze, podstawowe czynności konfiguracyjne należy wykonać przed podłączeniem komputera do Internetu, a jedną z bardziej istotnych operacji jest regularna aktualizacja zainstalowanego oprogramowania. Nic bowiem nie pomoże doskonale skonfigurowana, ale "dziurawa" zapora ogniowa.

    Blokowanie dostępu do usług sieciowych
    Najprostszą metodą wybiórczego zablokowania zdalnego dostępu do usług sieciowych oferowanych przez nasz serwer jest skorzystanie z mechanizmu tcpwrappera, czyli odpowiednie wyedytowanie plików /etc/hosts.allow i /etc/hosts.deny. Ponieważ większość serwerów internetowych jest uruchamianych za pośrednictwem demona inetd, który wykorzystuje właśnie te pliki, taka metoda może być w niektórych przypadkach stosunkowo skuteczna i bezpieczna.
    W zbiorze /etc/hosts.allow umieszczamy definicje dotyczące zaufanych hostów i usług, które mają być udostępniane na zewnątrz naszej sieci. Plik /etc/hosts.deny zawiera z kolei regułki blokujące określone usługi dla wskazanych adresów IP. Same wpisy mają stosunkowo prostą strukturę - jeśli np. w pliku /etc/hosts.deny zawrzemy regułkę ALL : ALL, domyślnie wszystkie usługi zostaną zablokowane. Aby udostępnić usługę WWW (serwowaną przez demona httpd) dla lokalnych użytkowników oraz adresów z sieci 211.120.10.*, wystarczy wpisać teraz w pliku /etc/hosts.allow regułkę:

    httpd : LOCAL, 211.120.10.

    Szczegółowe informacje na temat wymienionych plików można znaleźć w pomocy systemowej (man hosts.allow).

    "Ogniomurki" w akcji
    Linux został standardowo wyposażony w dobrą i stosunkowo elastyczną zaporę ogniową w postaci zaszytego w jądrze systemowym mechanizmu iptables. Pozwala on nie tylko na akceptowanie i odrzucanie określonych pakietów, ale i na przekierowywanie ich pomiędzy portami, implementację mechanizmu translacji adresów NAT (w Linuksie noszącego nazwę maskarady) i sporo innych zabiegów. Nieco więcej informacji można znaleźć w ramce "Netfilter, czyli podstawy bezpieczeństwa sieciowego".

    Nie pozwól się szpiegować!
    Jednym z utrapień administratora współczesnego serwera sieciowego jest nagminne skanowanie otwartych portów przypadkowych maszyn internetowych. Skanowanie, jakkolwiek samo w sobie nieszkodliwe, może stanowić rozpoznanie poprzedzające atak włamywacza lub sieciowego robaka/trojana. Aby zabezpieczyć się przed takimi próbami, można wykorzystać jeden z programów ukrywających otwarte porty przed próbami skanowania. Najpopularniejsze narzędzia linuksowe służące do tego celu to portsentry oraz psad (www.cipherdyne.com/psad). Pierwszy z wymienionych programów zyskał swego czasu ogromną popularność, która nieco zmalała po przejęciu producenta tej aplikacji przez Cisco. Psad to z kolei "dziecko" projektu bezpiecznej dystrybucji Linuksa - Bastille. Ponieważ psad charakteryzuje się nieco lepszymi parametrami niż portsentry, polecam ten pierwszy program, zwłaszcza że konfiguracja obu narzędzi jest równie prosta.

    Przyłapać włamywacza
    Uwieńczeniem procesu zabezpieczania naszego serwera jest instalacja jednego lub kilku narzędzi w automatyczny sposób wykrywających próby włamań. Zasada działania takich programów, określanych terminem IDS (Intrusion Detection System), opiera się na dwóch zasadniczych technikach. Pierwsza, wykorzystywana m.in. przez znane narzędzie tripwire, bazuje na wyliczeniu sum kontrolnych dla plików ważnych z punktu widzenia bezpieczeństwa systemu oraz okresowym porównywaniu aktualnego stanu z zapisanym w specjalnej bazie. Włamywacz, chcąc ukryć swoją obecność i zachować możliwość kontroli nad OS-em, zazwyczaj podmieni ten czy inny program w systemie na jego odpowiednik zawierający świadomie umieszczoną w nim furtkę (backdoor), co powinno zostać wykryte przez automatycznego strażnika.
    Druga klasa narzędzi, których przedstawicielem jest słynny snort, działa w bardziej złożony sposób, opierając się na bazie tzw. sygnatur ataków. Aplikacje tego typu analizują ruch sieciowy w poszukiwaniu sygnałów mogących świadczyć o ataku na nasz system. Spotykane są również narzędzia (takie jak logcheck) analizujące dzienniki systemowe w poszukiwaniu podejrzanych wpisów.
    Wszystkie wymienione programy są stosunkowo proste w użyciu, jednak nie obronią nas automatycznie przed włamaniem. Reakcja na atak polega w ich przypadku zazwyczaj na wysłaniu e-maila do administratora - a do tego ostatniego należy natychmiastowa "akcja ratunkowa". Jeśli zatem nie mamy dostatecznie dużo czasu, aby na bieżąco śledzić zachowanie naszego systemu, nie warto tracić czasu na instalację snorta i usuwanie raz w tygodniu zbędnych listów ze skrzynki pocztowej.


    Z arsenału przeciwnika
    Stara wojenna zasada głosi, że pierwszym krokiem do zwyciężenia wroga jest poznanie jego taktyki. Odnosi się to w stu procentach do ochrony sieci przed włamaniami - dobry administrator bezwzględnie musi znać techniki wykorzystywane przez sieciowych wandali. Co więcej, znajomość narzędzi używanych przez włamywaczy w znacznym stopniu pomoże nam w wykrywaniu potencjalnych luk w zabezpieczeniach własnych serwerów.
    Podstawowe narzędzia z przybornika włamywacza to sniffery, czyli programy śledzące pakiety przesyłane w sieci. Najsłynniejszym linuksowym snifferem jest Ethereal (www.ethereal.com) rozpoznający wiele protokołów sieciowych i pozwalający w dowolny sposób podsłuchiwać sieciowy ruch. Inne programy z tej grupy to Ettercap (ettercap.sourceforge.net), Sniffit (reptile.rug.ac.be/~coder/sniffit) czy Kismet (www.kismetwireless.net- to narzędzie jest o tyle ciekawe, że napisano je z myślą o sieciach Wireless LAN). Nie należy również zapominać o dostępnym w każdym systemie tcpdumpie, który nie jest wprawdzie najwygodniejszy, ale stanowi podstawę działania niektórych zaawansowanych snifferów.
    Linux oferuje również dostęp do rozbudowanych "kombajnów", badających w sposób zautomatyzowany stan zabezpieczeń naszej sieci i pomagających ustrzec się typowych błędów w jej konfiguracji. Pierwsze narzędzie tego typu, noszące nazwę SATAN (skrót od Security Administrator Tool for Analyzing Networks - www.porcupine.org/satan), ma już dziś raczej historyczne znaczenie - zastąpiły je takie programy, jak SAINT (Security Administrator's Integrated Network Tool - www.saintcorporation.com/ saint) czy SARA (Security Auditor's Research Assistant - www-arc.com/sara). Ogromną popularność zyskał również wygodny w użyciu Nessus (www.nessus.org).

    życzymy miłego dostrajania
    Ostatnio edytowane przez suncez ; 29.10.2010 o 19:44

  2. Panna Google
    Panna Google jest aktywna
    Avatar Panny Google

    Dołączył
    01-05-2004
    Skąd
    Internet
    Postów
    999
    Pochwał
    159

    Nie lubisz reklam? Zarejestrowani ich nie widzą! Rejestracja





  3. #2
    Dołączył
    Dec 2008
    Postów
    7
    Wątków
    0
    Downloads
    2
    Uploads
    0
    Siła Reputacji
    0
    Reputacja
    1

    Odp: Dostrajanie Linuksa -poradnik Dla Początkujących

    Witam! Mam nadzieję że to dobre miejsce do skomentowania tego opisu. Mianowicie nie działa mi polecenie
    root ALL=(ALL) NOPASSWD ALL
    dodałem takie coś do visudo i nadal muszę podać hasło. Dodałem też takie uprawnienia do użytkownika i też nic. Dodam że polecenie powinno być wpisane dobrze, gdyż na fedorze też to wpisywałem i było ok. I jeszcze jedno. Mam mandrive 2010 free
    Ostatnio edytowane przez grzegorz2107 ; 11.02.2010 o 10:03

  4. #3
    Avatar redflow
    redflow jest nieaktywny documentation daemon
    Mężczyzna
    • Platforma sprzętowa
      • Płyta Główna:
      • ASUS P5K PRO
      • Procesor:
      • Pentium Dual-Core E5200
      • Karta Graficzna:
      • GeForce 9500GT
      • Karta Dźwiękowa:
      • HiFime 9018
      • Monitor:
      • EIZO FlexScan S2231W
      • Kernel:
      • 3.12.8
    Dystrybucja: Arch Linux x86_64
    Polska
    Dołączył
    Jul 2004
    Wiek
    42
    Postów
    2,271
    Wątków
    36
    Downloads
    2
    Uploads
    0
    Siła Reputacji
    460
    Reputacja
    6435

    Odp: Dostrajanie Linuksa -poradnik Dla Początkujących

    Cytat Napisał grzegorz2107
    Dodam że polecenie powinno być wpisane dobrze, gdyż na fedorze też to wpisywałem i było ok.
    Nie jest wpisane dobrze i na pewno nie działałoby również na fedorze
    Kod:
    root ALL=(ALL) NOPASSWD: ALL
    ... being a Linux user is sort of like living in a house inhabited by a large family of carpenters and architects. Every morning when you wake up, the house is a little different.
    Maybe there is a new turret, or some walls have moved. Or perhaps someone has temporarily removed the floor under your bed.

  5. #4
    Dołączył
    Dec 2008
    Postów
    7
    Wątków
    0
    Downloads
    2
    Uploads
    0
    Siła Reputacji
    0
    Reputacja
    1

    Odp: Dostrajanie Linuksa -poradnik Dla Początkujących

    Jest napisane dobrze. Możesz mi wierzyć. Tylko jest jedno ale... Mianowicie fedora jest używana jako serwer, i tam po wpisaniu tej komendy wszystko jest ok. W mandrivie nie. A polecenie przepisałem w taki sposób że zalogowałem się na serwer przez nx client i sprawdziłem dokładnie komendę jaka tam jest, później zmniejszenie okna i przepisanie dokładnie tak samo. Błąd polega na tym że teraz błędnie napisałem, gdyż do konsoli wpisywałem to z miesiąc temu i nie pamiętam aż takich szczegółów. Dlatego też proszę mi wierzyć polecenie jest ok, a uprawnień nadal nie mam-muszę podawać hasło..

Informacje o wątku

Users Browsing this Thread

Aktualnie 1 użytkownik(ów) przegląda ten wątek. (0 zarejestrowany(ch) oraz 1 gości)

Podobne wątki

  1. zarty i dowcipy
    By Druciak in forum OFF Topic
    Odpowiedzi: 964
    Ostatni post / autor: 19.09.2016, 21:59
  2. Bezpieczeństwo Linuksa
    By Tomasz Bednarski in forum Bezpieczeństwo
    Odpowiedzi: 11
    Ostatni post / autor: 23.01.2011, 12:56
  3. Tutorial Dla Całkiem Zielonych
    By tommmmmm in forum OFF Topic
    Odpowiedzi: 11
    Ostatni post / autor: 06.02.2005, 09:02
  4. Adobe Na Linuksa ?
    By numerek in forum OFF Topic
    Odpowiedzi: 5
    Ostatni post / autor: 06.11.2004, 23:12
  5. SETI pod linuksa
    By khaghar in forum Oprogramowanie
    Odpowiedzi: 5
    Ostatni post / autor: 02.07.2004, 15:40

Uprawnienia

  • Nie możesz zakładać nowych wątków
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •