- Krok pierwszy - poznanie uruchomionych usług.
- za pomocą programu nmapfe lub polecenia netstat -a sprawdzamy uruchomione usługi i stwierdzamy, że uruchomionych jest około dziesięciu usług.
- Krok drugi - odbieranie praw do wykonywania w /etc/rc.d.
- odbieramy prawa do wykonywania plikom uruchamiających usługi (jako osobneprocesy), których nie używamy w katalogu /etc/rc.d zgodnie z poniższym zrzutem ekranu. Te pliki są bez gwiazdek na początku.
Wyjaśnienia wymaga skrót do rc.news. Aby odebrać prawa temu plikowi podążamy za linkiem do katalogu /usr/lib/news gdzie możemy plikowi rc.news odebrać te prawa. - Krok trzeci - wyłączanie usług w pliku /etc/inetd.conf.
- W pliku tym komentujemy (#) polecenia uruchamiające niepotrzebne usługi. W moim przypadku są to usługi wg.poniższego schematu.
Usługi te zostały zestawione razem, aby opis był czytelny, a w rzeczywistości są porozrzucane po całym pliku. - Krok czwarty -ponowne sprawdzenie uruchomionych usług
- Po zrestartowaniu komputera wydajemy polecenia nmapfe lub netstat -a i stwierdzamy, że ilość uruchomionych usług zmalała znacząco, co potwierdza poniższy zrzut
Na tych zrzutach widać dużą liczbę nawiązanych połączeń za pomoca programu Gtk-gnutella. Programy p2p obniżają poziom bezpieczeństwa i przy "poważnych zastosowaniach" nie należy ich instalować.
Wykaz otwartych usług z programu nmapfe pokazuje tylko usługi i porty, a nie pokazuje ilości połączeń. Dlatego należy stosować skaner nmapfe oraz polecenie netstat -a łącznie, aby mieć lepszyobraz całości. - Krok piaty - blokowanie i udostępnianie zdalnego dostepu (tgz. tcp_wrapper) dla usług comsat, exec, finger, ftp - serwer, talk, telnet, tftp, rlogin i rsh.
- W pliku /etc/host.deny musimy dopisać lnię o treści: ALL: ALL Spowoduje to całkowitą blokadę wszystkich prób dostępu ze wszystkich komputerów.
- W pliku /etc/host.allow (odczytywany przed host.deny) dopisujemy linie o treści zgodnej z podanym schematem;
Usługa : kto ma dostęp.
- I tak dla pojedyńczego komputera możemy wpisać;
ALL: 127.0.0.1
co pozwala udostępniać wszystkie usługi pętli loopback. - Dla ftp, ssh wpisy będą miały postać;
ALL: 127.0.0.1
ftp: 172.15.1.25, 192.168.36.87
sshd: 172.15.2.69, 192.168.2.77
Druga linia mówi, że z komputerów o numerach 172.15.1.25 oraz 192.168.36.87 można zalogować się na nasz komputer po usłudze ftp. Zamiast adresów IP można stosować nazwy internetowe (np.: aspercz.home.pl).
Po wyłączeniu zbędnych usług bezpieczeństwo systemu wzrosło w sposób znaczący. Dodatkowa zajętość pamięci zmalała i na moim starym sprzęcie (Celeron 333 MHz, 96 MB) środowisko graficzne KDE uruchamia się szybko. Dodatkowo możemy sprawdzać logi o "próbach ataku", które są w pliku /var/log/secure.Można także wyłączyć całkowicie demona inetd i usługi uruchamiać przy starcie systemu. Jest to też dobra(a może lepsza) metoda, lecz należy pamiętać, że wtedy nie jest tworzony plik /var/log/secure i musimyzainstalować w systemie inny program tworzący logi np.: scanlogd. Należy także pamiętać o aktualizowaniupakietów pod względem bezpieczeństwa. Opisane tutaj sposoby zabezpieczania systemu nie blokują możliwościwysyłania danych z naszego komputera przez programy szpiegujące, na nowo pootwieranych portach. Dlatego należydodatkowo zastosować firewalla nawet na pojedyńczym komputerze. W czasie ściągania muzyki pod nazwąutworu może kryć się program szpiegujący. Po uruchomieniu go ukryje sie on w systemie i zacznie wysyłać dane nazewnątrz. W tym celu otworzy sobie "egzotyczny" port. Firewall ma za zadanie kontrolować ruch z sieci do nasi odwrotnie na ustalonych wcześniej portach. Opis sprawdzonego przeze mnie firewalla jest zamieszczony TUTAJ.
