Introducere în Linux Un ghid la îndemână - "Tille" Garrels
Introducere în Linux Un ghid la îndemână - "Tille" Garrels
Introducere în Linux Un ghid la îndemână - "Tille" Garrels
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
● ...<br />
Opriți serviciile prin comanda chkconfig, scripturile de inițializare sau prin editarea fișierelor de<br />
configurare (x)inetd.<br />
10.5.3. Actualizați regu<strong>la</strong>t<br />
Abilitatea de a se adapta rapid <strong>la</strong> un mediu <strong>în</strong> schimbare este ceea ce face ca <strong>Linux</strong>-ul să fie din ce<br />
<strong>în</strong> ce mai atractiv. Dar apare și posibilitatea ca actualizări de securitate să fie disponibile chiar <strong>în</strong> momentul<br />
<strong>în</strong> care insta<strong>la</strong>ți o versiune nou-nouță, așa că primul lucru pe care trebuie să-l faceți (și este va<strong>la</strong>bil pentru<br />
orice fel de sistem de operare) după insta<strong>la</strong>re este căutarea actualizărilor. După aceasta, actualizați toate<br />
pachetele pe care le utilizați (regu<strong>la</strong>t).<br />
Anumite actualizări pot cere fișiere noi de configurare, <strong>în</strong> acest caz fișierele vechi fiind <strong>în</strong>locuite.<br />
Verificați documentația pentru a vă asigura că totul merge bine și după actualizare.<br />
10.5.4. Firewall-uri și politicile de acces<br />
10.5.4.1. Ce este un firewall?<br />
În secțiunea precedentă am adus vorba despre posibilitatea configurării ca firewall a unui sistem<br />
<strong>Linux</strong>. Cu toate că administrarea firewall-ului este o sarcină pentru administratorul de rețea, trebuie să<br />
cunoașteți câteva lucruri despre acesta.<br />
Firewall este un termen vag, care poate desemna orice lucru care se comportă ca o barieră<br />
protectivă <strong>în</strong>tre noi și lumea exterioară, <strong>în</strong> general Internetul. Firewall poate fi atât un sistem dedicat cât și o<br />
aplicație care asigură această funcționalitate. Poate fi o combinație a acestora, incluzând o sumă de<br />
dispozitive și programe. Firewall-urile sunt clădite pe „reguli” care sunt utilizate pentru definirea a ceea ce<br />
este permis a intra și/sau ieși dintr-un sistem dat sau rețea.<br />
După <strong>în</strong>treruperea serviciilor care nu vă sunt necesare, trebuie să restricționați serviciile permise<br />
pentru a reduce <strong>la</strong> minim numărul conexiunilor necesare. <strong>Un</strong> bun exemplu este cazul <strong>în</strong> care lucrați acasă:<br />
doar conexiunea dintre biroul dumneavoastră și calcu<strong>la</strong>torul de acasă trebuie permisă, noi recomandându-vă<br />
interzicerea conexiunile cu cele<strong>la</strong>lte calcu<strong>la</strong>toare de pe Internet.<br />
10.5.4.2. Filtrele de pachete<br />
Prima linie de apărare este constituită din filtrele de pachete, care pot căuta <strong>în</strong> interiorul pachetelor<br />
IP după care iau o decizie <strong>în</strong> funcție de conținutul acestora. Cel mai <strong>în</strong>tâlnit este pachetul Netfilter, care<br />
conține comenzile pentru iptables, filtrul de pachete de nouă generație pentru <strong>Linux</strong>.<br />
<strong>Un</strong>a din cele mai notabile îmbunătățiri din kerenelele noi este capabilitatea stateful inspection care<br />
nu doar că spune ce este <strong>în</strong> interiorul unui pachet, dar poate spune și dacă pachetul aparține sau este <strong>în</strong><br />
legătură cu o conexiune nouă sau existentă. Shoreline Firewall sau, pe scurt, Shorewall, este interfața pentru<br />
firewall-ul <strong>Linux</strong>-ului (<strong>în</strong> ultima vreme se folosește Firestarter ca interfață grafică pentru iptables sau , chiar<br />
mai recent, ufw n.t. ).<br />
Mai multe informații pot fi găsite <strong>la</strong> pagina proiectului Netfilter/iptables.<br />
10.5.4.3. TCP wrappers<br />
TCP wrapping-ul asigură, <strong>în</strong> general, aceleași rezultate ca filtrarea pachetelor, dar lucrează <strong>în</strong> alt<br />
mod. Încercarea de realizare a unei conexiuni este acceptată, apoi sunt examinate fișierele de configurare,<br />
hotărându-se astfel acceptarea sau respingerea cererii de conectare. Controlează conexiunile <strong>la</strong> nivel de<br />
aplicații și nu <strong>la</strong> nivelul rețelei.<br />
Se folosește de regulă cu xinetd pentru a furniza numele gazdei și controlul accesului pe baza<br />
adresei de IP. În plus, aceste unelte dețin posibilități de administrare a autentificărilor ușor de configurat și<br />
sunt accesibile <strong>în</strong> utilizare.<br />
Două din avantaje: calcu<strong>la</strong>torul care se conectează nu are de unde ști că acest wrapper este<br />
utilizat și serviciul operează separat de aplicațiile pe care le protejează.<br />
167