Instalace

Pro instalaci je z hlediska bezpečnosti mnohem důležitější seznam toho, co neinstalovat, než seznam programů které se musejí nainstalovat. Odolejte pokušení instalovat na server programy, které bezprostředně nepotřebujete. Mohly by se brzy stát nástrojem proniknutí do počítače, nebo po úspěšném průniku poskytnout útočníkovi příjemné pracovní prostředí.

Sledujte novinky

Váš nový operační systém Linux byl bezpečný v den a v hodinu, kdy vznikl. Od té doby uplynulo několik dnů nebo týdnů. Možná už není bezpečný, i když ho nikdo nemohl na CD-ROM změnit nebo „zavirovat“.

Jak bezpečnost stárne

Nový operační systém totiž je v okamžiku vydání považován za bezpečný, ale obsahuje v sobě bezpečnostní chyby. Tyto chyby jsou neznámé dnes, zítra, ale jednou se najde útočník, který jednu z těchto chyb objeví. Chybu si v naprosté většině nenechá pro sebe, ale naopak ji zveřejní, a přidá snadno použitelný program pro zneužití chyby, tzv. exploit.

Za několik hodin od zveřejnění chyby se na internet připojí stovky nebo tisíce útočníků, kteří by sami chybu objevit nedokázali, ale díky výše uvedenému exploitu jsou stejně nebezpeční jako původní cracker.

Jak se chránit

Vyrobit operační systém, který by neměl žádné chyby, nelze. Mít dobře nastavený firewall většinou pomůže, ale ne vždy. Existují i takové chyby, které dělají firewall bezcenným. Nezbývá než denně sledovat novinky na diskusních skupinách věnovaných bezpečnostní problematice, nebo zaplatit někomu, kdo to bude dělat za vás. Takový údržbář nebo správce bude vždy seznámen s aktuálními bezpečnostními problémy, a provede na vašem serveru nezbytné akce.

Nejlepší diskusní skupina pro bezpečnost je BugTraq, a velmi kvalitním webem věnovaným bezpečnosti je SecurityFocus. Jednacím jazykem konference BugTraq je angličtina.

Co neinstalovat

Když si přečtete pozorně předchozí odstavec Jak se chránit, je vám jasné, proč je lepší mít na serveru jen málo programů. Méně programů znamená menší počet bezpečnostních chyb a poplachů, které vás v budoucnosti čekají. Méně programů znamená méně starostí, a tím iméně nákladů.

Především neinstalujte grafické prostředí. To znamená X server, KDE, GNOME a jakékoliv grafické programy. Pro administraci serveru jsou zbytečné. Linux se dá výborně spravovat v textovém režimu. Je na to přímo postaven. Kromě toho existuje dostatek způsobů užít si grafickou administraci bezpečnou cestou. Programy jako Webmin umožňuji administrovat systém dálkově přes web – třeba ze stolního počítače s Microsoft Windows 98. Pokud si nainstalujete Linux i na svůj stolní počítač, můžete sledovat vás server graficky i bez webu. Program Ksysguard bude zobrazovat nejrůznější statistické informace ve formě grafů, když na server nainstalujete malý sledovací daemon ksysguardd.

Dále neinstalujte daemon telnet (program telnetd). Komunikujte se serverem jedině zabezpečeným protokolem SSH. Telnet se sice dá zakázat i pomocí konfigurace, ale když nebudete mít program na serveru, nebude vás to lákat použít telnet ani na chvilku. To samé platí i o dalších nezabezpečených službách, za něž už dnes většinou existují bezpečnější náhrady. Vždy hledejte nejbezpečnější variantu.

Před instalaci se snažte číst si popisy softwarových balíků, a instalujte skutečně jen to, co opravdu potřebujete. Příklad: když má váš počítač sloužit jako FTP a WWWserver, tak na něj nepatří Samba, i když by s ní bylo sdílení souborů snadnější než přes FTP.

Zvažte, jestli má na serveru být Midnight Commander. Je to sice příjemný program pro kopírování a mazání souborů, ale případný útočník z něj bude mít taky radost. Midnight Commander si totiž neuchovává historii příkazů (myšleno právě při kopírování, přesouvání či mazání pomocí vestavěných nástrojů). Takže když už je jednou útočník uvnitř a spustí Midnight Commander, nemusí po sobě zanechat žádnou stopu. Pracovat s příkazovou řádkou je sice pro někoho méně komfortní, ale povely na příkazové řádce zůstávají v historii příkazů a dají se dokonce směrovat na tiskárnu – takže máte papírovou kopii jako důkaz, který žádný útočník na dálku nesmaže!