Новые аспекты безопасности возникают в момент соединения системы Linux с локальной сетью. Даже если следовать всем приведенным правилам для автономной системы (которые необходимо соблюдать и в случае, когда система находится в локалвной сети), для хакера остается возможность получения доступа к системе Linux благодаря слабости сетевой защиты.
Две простых ограничения помогут уменьшить существующую опасность.
• Не следует запускать ненужные сетевые сервисы. Если нет необходимости в доступе к системе через telnet, то убедитесь, что демон Telnet (вероятно, /usr/sbin/in. telnetd) не инсталлирован и в /etc/ inetd. conf нет записи для него. Аналогично, если компьютер не работает как почтовый сервер, не следует запускать демон sendmail, который может приоткрыть некоторые нежелательные пути проникновения в систему. Те же правила действуют и для большинства сетевых серв-исов: FTP, finger, news, DNS и многих других. Запускайте демонов только тех сетевых сервисов, которые необходимы для соединения с сетью и выполнения ваших задач.
Совет
Если вы используете файл /etc/inetd. conf, обычный для других версий Linux (включая Red Hat Linux 6.x), можете сконвертировать его в формат Red Hat 7.1 xinetd с помощью команды /usr/sbin/inetdconvert.
Если вы пользуетесь другой версией Linux, в которой нет файла /etc/xinetd.conf, убедитесь, что для демона нет записи в файле /etc/inetd. conf (запись можно закомментировать символом [#] в первой позиции соответствующей строки).
• Убедитесь в эффективном использовании файлов /etc/hosts. allow и /etc/hosts .deny (см. гл. 28). Необходимо не только не позволять доступ с любого IP-адреса ко всем сервисам, которые не выполняются на данной системе, но и проверять, что разрешается лишь входящий доступ к сервисам, выполняемым на хост-компьютерах, при наличии соответствующего разрешения. Например, если выполняется сервер FTP для входящего доступа только двум пользователям, следует позволить доступ к FTP-сервису именно с двух систем, а не позволять FTP-соединение любому пользователю ЛВС.