[ Pobierz całość w formacie PDF ]
.D Montuj partycje nosuid, chyba że absolutnie konieczny jest dostęp SUID.D Montuj partycje nodeu, jeśli to możliwe.D Właścicielem plików i katalogów montowanych zdalnie uczyń użytkownika root.D Nigdy nie eksportuj zamontowanej partycji do niegodnego zaufania komputera, jeśli ma onajakieś katalogi umożliwiające zapis przez cały świat.D Ustaw zmienną jądra portmon na ignorowanie żądań NFS z nieuprzywilejowa-nych portów.D Eksportuj systemy plików do małego zbioru hostów.Można to zrobić pomocą opcji access= lubro=.D Nie eksportuj katalogów domowych użytkownika w trybie umożliwiającym zapis.D Nie eksportuj systemów plików do siebie! D Nie używaj opcji root= podczas eksportu systemów plików, chyba że jest to konieczne.D Używaj programu fsirand na wszystkich eksportowanych partycjach.Uruchamiaj go co jakiśczas.D Jeśli to możliwe, używaj opcji secure dla zamontowanych partycji NFS.D Monitoruj, kto montuje partycje NFS (ale pamiętaj, że obraz używania partycji może nie byćpełny ze względu na bezstanową naturę systemu NFS).D Rozważ ponownie, czy chcesz używać NFS i pomyśl o poradzeniu sobie bez niego.Replikowaniedysku do komputerów lokalnych może być na przykład bezpieczniejsze.Rozdział 21.Zapory siecioweD Pamiętaj, że zapory sieciowe powinny być używane dodatkowo w stosunku do innychzabezpieczeń, a nie zamiast nich.D Rozważ możliwość przyjęcia polityki dla zapory sieciowej, która polegałaby na domyślnymodrzucaniu żądań.D Rozważ możliwość zastosowania wewnętrznych i zewnętrznych zapór sieciowych.D Używaj możliwie najbardziej kompletnej zapory, na jaką możesz sobie pozwolić, oraz takiej,która ma sens w twoim środowisku.Zastosuj przynajmniej ruter monitorujący.D Zamiast tworzyć własną zaporę, rozważ zakup komercyjnego produktu z profesjonalnąinstalacją.D Zaplanuj scentralizowane usługi systemu DNS, poczty i grup dyskusyjnych na dobrzestrzeżonych hostach zapory sieciowej.D Podziel swoją sieć na małe niezależne podsieci.Każda podsieć powinna mieć swój własnyserwer NIS i domenę grup sieciowych.D Nie konfiguruj komputerów tak, aby ufały maszynom spoza podsieci lokalnej.D Zadbaj o to,aby komputery zapory miały najwyższy poziom rejestrowania.D Nie zakładaj kont użytkowników ani pakietów do tworzenia oprogramowania na komputerachzapory, jeśli to możliwe.D Nie montuj katalogów NFS na granicy podsieci.D Zainstaluj centralny komputer pocztowy z aliasami MX i funkcją przeformułowy-wania nazw.D Regularnie monitoruj działanie zapory.D Usuń ze swoich hostów zapory wszystkie zbędne usługi i narzędzia.D Pamiętaj o tym, że zapora sieciowa może czasem przestać działać.Zaplanuj więc okresowetesty zapory i obronę w głąb na tę ewentualność.D Zastanów się poważnie nad tym, czy rzeczywiście chcesz połączyć wszystkie swoje systemy zeświatem zewnętrznym, nawet jeśli jest zainstalowana zapora (por.omówienie wewnątrzrozdziału).Rozdział 22.Wrappery i serwery proxyD Rozważ możliwość używania programu smap zamiast programu sendmail do odbierania pocztyz sieci.D Rozważ możliwość zainstalowania programu tcpwrapper, który służy do ograniczania irejestrowania dostępu do lokalnych usług sieciowych.D Rozważ możliwość zainstalowania w systemie usługi inet/authd, która pomaga w śledzeniudostępu do sieci.Pamiętaj jednak, że wyniki zwrócone przez tę usługę nie są do końcawiarygodne.D Rozważ możliwość zainstalowania własnego programu wprappera zapewniającego dodatkowąkontrolę nad lokalnym systemem.Rozdział 23.Pisanie bezpiecznych programów SUID i programów sieciowychD Przekazuj swoim dostawcom informacje o swoim zainteresowaniu jakością oferowanych przeznich produktów.D Przestrzegaj przedstawionych w rozdziale 24 ogólnych zasad dotyczących pisania programów,zwłaszcza tych, które wymagają dodatkowych przywilejów.D Przestrzegaj przedstawionych w rozdziale 17 ogólnych zasad dotyczących pisania programów-serwerów mających świadczyć usługi w sieci.D Przestrzegaj przedstawionych w rozdziale 14 ogólnych zasad dotyczących pisania programówtypu SUID lub SGID.D Rozważ używanie wydzielonych systemów chroot dla programów uprzywilejowanych.D Unikaj przechowywania w aplikacjach haseł w postaci niezaszyfrowanej.D Zachowaj szczególnąostrożność podczas generowania liczb losowych.Rozdział 24.Wykrycie włamaniaD Przygotuj się na wypadek włamania.Miej gotowe i wypróbowane plany postępowania.D Nie panikuj w przypadku włamania! D Jeśli wykryjesz lub podejrzewasz włamanie, zacznij prowadzić dziennik.Notuj wszystkiezauważane wydarzenia i opatruj je godziną i datą.D Sporządzaj drukowane kopie plików, na których widać zmiany.Opatruj je datamii godzinami.D Regularnie uruchamiaj programy sprawdzające stan komputera i umożliwiające obserwowanienietypowego zachowania poleceń: ps, w, vmstat itp.D W przypadku włamania przed naprawieniem uszkodzeń wykonaj archiwizację całego systemuna osobnym nośniku.D Po włamaniu przebadaj dokładnie cały system.Szczegóły opisano w rozdziale -jest ich za dużo,aby można je było tu przedstawić.Przywróć system do znanej, prawidłowej postaci [ Pobierz całość w formacie PDF ]

  • zanotowane.pl
  • doc.pisz.pl
  • pdf.pisz.pl
  • personata.xlx.pl