Проблемы безопасности UNIX-подобных ОС и Web V
 
129. DNS. Его настройка производится автоматически. Именно этот момент может послужить для несанкционированного просмотра информации (этакий нестандартный снифер) – пользователь может даже не знать, что такое DNS, да и администратор тоже может забыть, что его нужно вручную настраивать. Ниже описаны основные конфигурационные файлы. Здесь не говорится прямо, как организовать доступ – прочитав данный пункт Вы сами сделаете выводы. Итак, файл /etc/host.conf. Его содержимое:

order hosts,bind multi on

Эта запись означает, что сначала будет просмотрен файл /etc/hosts (о его предназначении написано в первой части), а лишь затем послан запрос DNS серверу. А к какому DNS? В файле /etc/resolf.conf находятся подобные строки:

nameserver 192.168.233.2 search localdomain

или

nameserver 195.155.2.22 search site.ru

Два примера приведены для локальной NAT-сети с выходом в интернет через шлюз 192.168.233.2 и для компьютера, непосредственно подключеного к сети соответственно. Например, если во втором примере пользователь обратится (введет в браузере) book, то система попробует обратится к компьютеру book.site.ru. В первой строчке файла /etc/resolf.conf – IP-адрес DNS-сервера, к которому обратится машина. Для случая с локальной NAT-сетью это Gateway (шлюз).

130. Почтовая система Postfix. Проста в настройке. Для работы создается группа postfix и postdrop, в первую добавляется пользователь postfix, с правами которого работает сама система Postfix. Конфигурационные файлы расположены в каталоге /etc/postfix. Основные настройки заданы в файле /etc/postfix/main.cf. Он снабжен подробными комментариями, которые начинаются с символа #. Настройки по умолчанию позволяют серверу работать только в пределах самой машины.
Доверенные хосты задаются в вышеназванном файле конфигурации. Например, так:

# если адрес компьютера клиента входит в данный диапазон, он может отправить почту через сервер mynetworks=192.168.12.0/24, 127.0.0.0/8

Все компьютеры из заданных сетей могут посылать почту через сервер с такими настройками. Еще полезно знать следующее (всю информацию можно почерпнуть из комментариев в файле):

# имя хоста
myhostname=book.site.ru

# имя домена
mydomain=site.ru

# ждем SMTP-соединений с данными интерфейсами. all – все интерфейсы
inet_interfaces=192.168.12.2, 194.88.88.88

# домены, обслуживаемые программой. Для удобства подставляются значения из myhostname и mydomain.
mydestination=$myhostname, $mydomain

# можно создавать почтовые псевдонимы, тогда следует прописать путь к файлу с ними
alias_database=dbm:/etc/postfix/aliases


131. FTP. Дополнение к предыдущей части. Если в файле /etc/passw пользователям ftp-сервера в поле, служащее для задания командной оболочки записать вместо стандартного /dev/null командный интерпритатор, то данные пользователи будут иметь доступ к реальному интерпретатору (например, /bin/bash). Также необходимо запретить пользователям некоторые использовать некоторые логины, например,

root    bin    sync    shutdown    operator    uucp
halt    daemon nobody  games       mail        news
adm     lp


И другие. В случае использования в качестве сервера wu-ftp, это можно сделать в файле /etc/ftpusers.

132. NFS. Замена п. 24. Для функционирования NFS необходима служба RPC (portmapper). Хосты, имеющие право доступа к службе RPC перечислены в файле /etc/hosts.allow, а запрещенные – в файле /etc/hosts.deny.
Для хранения перечня экспортируемых файловых систем первоначально использовался файл /etc/exports. Формат этого файла:

<каталог> <параметры>[<дополнительные параметры>]

Например, так

/home/user/documents user2(ro)

То есть компьютер (хост) с именем user2 может читать (ro – read only) файлы из каталога не выше /home/user/documents. Параметры позволяют задать список компьютеров, которым разрешено монтирование файловой системы. Наихудший вариант конфигурации файла /etc/exports выгладит так:

/ rw


Чтобы изменения вступили в дейтсвие вам необходимо выполнить команду

/usr/sbin/exportfs va

То есть корневая файловая система экспортируется всем компьютерам и сетям с правами чтения-записи. Выполнив команду mount на удаленном компьютере, любой пользователь может просматривать и редактировать любой файл.

root# mount <хост>:<файловая система> <локальный каталог>

Например,

mount -o rsize=1024, wsize=1024 user:/home/user/documents /mnt/doc


А для автоматического монтирования можно в файл /etc/fstab добавить следующую строчку

user:/home/user/documents /mnt/doc nfs rsize=1024, wsize=1024, hard, intr 0 0


Здесь rsize – размер блока чтения (байт, по умолчанию 8192), wsize – размер блока записи (аналогично), hard – при разрыве связи с сервером программа клиента приостановит выполнение и процесс не будет "убит", если не будет опции intr.
Чтобы защитить собственные файловые системы от доступа извне, следует заблокировать обращение извне к порту 2049. Лучше вообще службу NFS не запускать. Отключить ее можно с помощью редактирования файла /etc/rc#.d.
 
Автор: Алексеев В. С.
 
Оригинал статьи: http://woweb.ru/publ/52-1-0-497