После установки самой свежей версии дистрибутива надо сразу проверить, имеются ли новые исправления или обновления, связанные с системой защиты. Найти эту информацию достаточно просто. В Интернете есть различные ресурсы, где публикуются данные обо всех выявленных в последнее время уязвимых местах и способах их исправления. Обычно производитель системы предоставляет эту информацию на своем веб-сайте. Например, страница Red Hat, посвященная безопасности, находится на http://www.redhat.com/"> http://www.redhat.com/ support /alerts/.
Стоит также обратиться и на некоторые другие сайты, посвященные вопросам безопасности:
♦ Веб-сайт команды оперативного реагирования на компьютерные аварии Computer Emergency Response Team's (CERT) (http://www.cert.org/"> http://www.cert.org/ )
♦ Списки рассылки Security Focus' Bugtraq(http: //http://www.securityfocus.com/"> www.securityfocus.com/ )
♦ Packet Storm (http://packetstorm.decepticons.org/">http://packetstorm.decepticons.org/)
Следующим шагом будет точное определение задач, которые должен выполнять сервер. Должен ли на нем работать почтовый сервер? Действительно ли должна работать система доменных имен Domain Name System (DNS)? Кому необходим "доступ к командной строке? Требуется ли доступ к командной строке из Интернета или достаточно доступа с терминала?
Точно определив, что требуется на сервере, нам гораздо легче обеспечить его защиту. Начнем с процедуры укрепления сервера.
Укрепление сервера
Это совершенно необходимая процедура при создании защищенного сервера. Она подразумевает удаление с сервера всех ненужных служб. Например, если веб-серверу не требуется давать пользователям доступ по FTP, эту службу надо удалить; если не требуется сервер времени, его тоже надо удалить, и т. д.
Удалив одни службы, обратимся к тем, которые нам нужны. Например, наш сервер должен предоставлять веб-страницы клиентам. Кроме того, администратору нужен удаленный доступ к оболочке и удаленный доступ FTP.
Оставим пока в стороне необходимость выдачи веб-страниц и обратимся к удаленному доступу к оболочке и FTP. Небезопасны в применении устанавливаемые по умолчанию демоны telnet и FTP, поскольку они передают имя пользователя и пароль через Интернет в незашифрованном виде. Вместо этого можно воспользоваться защищенной оболочкой. Это позволит нам осуществлять администрирование и передавать файлы на сервер через зашифрованный канал.
