129. DNS. Его настройка производится автоматически. Именно этот момент может послужить для несанкционированного просмотра информации (этакий нестандартный снифер) – пользователь может даже не знать, что такое DNS, да и администратор тоже может забыть, что его нужно вручную настраивать. Ниже описаны основные конфигурационные файлы. Здесь не говорится прямо, как организовать доступ – прочитав данный пункт Вы сами сделаете выводы. Итак, файл /etc/host.conf. Его содержимое:
order hosts,bind multi on
Эта запись означает, что сначала будет просмотрен файл /etc/hosts (о его предназначении написано в первой части), а лишь затем послан запрос DNS серверу. А к какому DNS? В файле /etc/resolf.conf находятся подобные строки:
nameserver 192.168.233.2 search localdomain
или
nameserver 195.155.2.22 search site.ru
Два примера приведены для локальной NAT-сети с выходом в интернет через шлюз 192.168.233.2 и для компьютера, непосредственно подключеного к сети соответственно. Например, если во втором примере пользователь обратится (введет в браузере) book, то система попробует обратится к компьютеру book.site.ru. В первой строчке файла /etc/resolf.conf – IP-адрес DNS-сервера, к которому обратится машина. Для случая с локальной NAT-сетью это Gateway (шлюз).
130. Почтовая система Postfix. Проста в настройке. Для работы создается группа postfix и postdrop, в первую добавляется пользователь postfix, с правами которого работает сама система Postfix. Конфигурационные файлы расположены в каталоге /etc/postfix. Основные настройки заданы в файле /etc/postfix/main.cf. Он снабжен подробными комментариями, которые начинаются с символа #. Настройки по умолчанию позволяют серверу работать только в пределах самой машины.
Доверенные хосты задаются в вышеназванном файле конфигурации. Например, так:
# если адрес компьютера клиента входит в данный диапазон, он может отправить почту через сервер mynetworks=192.168.12.0/24, 127.0.0.0/8
Все компьютеры из заданных сетей могут посылать почту через сервер с такими настройками. Еще полезно знать следующее (всю информацию можно почерпнуть из комментариев в файле):
# имя хоста
myhostname=book.site.ru
# имя домена
mydomain=site.ru
# ждем SMTP-соединений с данными интерфейсами. all – все интерфейсы
inet_interfaces=192.168.12.2, 194.88.88.88
# домены, обслуживаемые программой. Для удобства подставляются значения из myhostname и mydomain.
mydestination=$myhostname, $mydomain
# можно создавать почтовые псевдонимы, тогда следует прописать путь к файлу с ними
alias_database=dbm:/etc/postfix/aliases
131. FTP. Дополнение к предыдущей части. Если в файле /etc/passw пользователям ftp-сервера в поле, служащее для задания командной оболочки записать вместо стандартного /dev/null командный интерпритатор, то данные пользователи будут иметь доступ к реальному интерпретатору (например, /bin/bash). Также необходимо запретить пользователям некоторые использовать некоторые логины, например,
root bin sync shutdown operator uucp
halt daemon nobody games mail news
adm lp
И другие. В случае использования в качестве сервера wu-ftp, это можно сделать в файле /etc/ftpusers.
132. NFS. Замена п. 24. Для функционирования NFS необходима служба RPC (portmapper). Хосты, имеющие право доступа к службе RPC перечислены в файле /etc/hosts.allow, а запрещенные – в файле /etc/hosts.deny.
Для хранения перечня экспортируемых файловых систем первоначально использовался файл /etc/exports. Формат этого файла:
<каталог> <параметры>[<дополнительные параметры>]
Например, так
/home/user/documents user2(ro)
То есть компьютер (хост) с именем user2 может читать (ro – read only) файлы из каталога не выше /home/user/documents. Параметры позволяют задать список компьютеров, которым разрешено монтирование файловой системы. Наихудший вариант конфигурации файла /etc/exports выгладит так:
/ rw
Чтобы изменения вступили в дейтсвие вам необходимо выполнить команду
/usr/sbin/exportfs va
То есть корневая файловая система экспортируется всем компьютерам и сетям с правами чтения-записи. Выполнив команду mount на удаленном компьютере, любой пользователь может просматривать и редактировать любой файл.
root# mount <хост>:<файловая система> <локальный каталог>
Например,
mount -o rsize=1024, wsize=1024 user:/home/user/documents /mnt/doc
А для автоматического монтирования можно в файл /etc/fstab добавить следующую строчку
user:/home/user/documents /mnt/doc nfs rsize=1024, wsize=1024, hard, intr 0 0
Здесь rsize – размер блока чтения (байт, по умолчанию 8192), wsize – размер блока записи (аналогично), hard – при разрыве связи с сервером программа клиента приостановит выполнение и процесс не будет "убит", если не будет опции intr.
Чтобы защитить собственные файловые системы от доступа извне, следует заблокировать обращение извне к порту 2049. Лучше вообще службу NFS не запускать. Отключить ее можно с помощью редактирования файла /etc/rc#.d. |
