Linux Security HOWTO

Kevin Fenzi, kevin@scrye.com & Dave Wreski, DAVE@nic.com, перевод Konstantin Shepelevich, sh_ki@hotmail.com
v0.9.11, 1 May 1998

---

Этот документ является общим обзором проблем безопасности, которые встают перед администратором Linux систем. Он изображает общую философию безопасности и некоторые специфические примеры лучшей защиты вашей Linux системы от злоумышленников. Также включены касающиеся безопасности материалы и программы. Примечание: Здесь представлена beta версия данного документа. Улучшения, конструктивная критика, добавления и исправления принимаются с радостью. Пожалуйста шлите Ваши пожелания обоим авторам. Чтобы избежать spam фильтров и обратить внимание авторов обязательно включите слова "Linux", "security" или "HOWTO" в subject строку Вашего письма. Прим.перевод.: Как видно из даты документ немного устарел в плане версий тех или иных программ и, соответственно, их возможностей, но приводится в полном согласии с оригиналом, поскольку принципы они всегда принципы.

---

1. Введение

• 1.1 Новые версии этого документа
• 1.2 Обратная связь
• 1.3 Отречение
• 1.4 Авторские права

2. Обзор

• 2.1 Зачем нам нужна безопасность?
• 2.2 Насколько безопасна безопасность?
• 2.3 Что вы пытаетесь защитить?
• 2.4 Разработка политики безопасности
• 2.5 Способ защиты вашего узла (site)
• 2.6 Структура этого документа

3. Физическая безопасность

• 3.1 Запирание компьютера
• 3.2 Безопасность BIOS
• 3.3 Безопасность стартового загрузчика (boot loader)
• 3.4 xlock и vlock
• 3.5 Определение нарушений физической безопасности

4. Локальная безопасность

• 4.1 Создание новых счетов
• 4.2 Безопасность администратора

5. Безопасность файлов и файловой системы

• 5.1 Установки umask
• 5.2 Права доступа файла
• 5.3 Проверка целостности с помощью Tripwire
• 5.4 "Троянские кони"

6. Безопасность паролей & Шифрование

• 6.1 PGP и криптование открытым ключом (Public Key Cryptography)
• 6.2 SSL, S-HTTP, HTTPS и S/MIME
• 6.3 Реализация IPSEC в x-ядре Linux
• 6.4 SSH (Secure Shell), stelnet
• 6.5 PAM - Pluggable Authentication Modules
• 6.6 Криптографическая IP инкапсуляция (CIPE)
• 6.7 Kerberos
• 6.8 Теневые пароли (Shadow passwords)
• 6.9 "Crack" и "John the Ripper"
• 6.10 CFS - криптографическая файловая система и TCFS - прозрачная
• 6.11 X11, SVGA и экранная безопасность

7. Безопасность ядра

• 7.1 Опции компиляции ядра
• 7.2 Устройства ядра

8. Безопасность сети

• 8.1 Пакетные ищейки (Packet Sniffers)
• 8.2 Системные сервисы и tcp_wrappers
• 8.3 Проверьте вашу DNS информацию
• 8.4 identd
• 8.5 SATAN , ISS и другие сетевые сканеры
• 8.6 Sendmail, qmail и MTA
• 8.7 "Отказ в предоставлении сервиса"
• 8.8 Безопасность NFS (сетевой файловой системы)
• 8.9 NIS (сетевой информационный сервис) (бывший YP)
• 8.10 Щит (firewall)

9. Подготовка системы безопасности (до соединения с интернет)

• 9.1 Сделайте резервную копию всей вашей системы
• 9.2 Выбор режима резервирования
• 9.3 Создайте резервную копию вашей RPM базы
• 9.4 Отслеживайте данные регистрации использования системы
• 9.5 Делайте модернизацию системы

10. Что делать во время и после взлома?

• 10.1 Нарушение безопасности в процессе
• 10.2 Нарушение безопасности уже произошло

11. Источники информации по безопасности

• 11.1 FTP узлы
• 11.2 Web узлы
• 11.3 Списки рассылки
• 11.4 Книги - Печатные материалы

12. Глоссарий

13. Часто задаваемые вопросы ЧАВО (FAQ)

14. Заключение

15. Благодарности

---

Вперед Назад Содержание