Валентин Бруй, Сергей Карлов
Linux-сервер: пошаговые инструкции инсталляции и настройки
| Главная | Главы из книги | Конфигурационные файлы | Скачать |

Оглавление


Введение

Глава 1. Введение или кому и зачем нужна эта книга ?


Кому и зачем нужна эта книга?
Почему была написана эта книга?
Пример использования Linux-серверов для организации корпоративной сети
Какое программное обеспечение должно быть установлено на сервере
Как пользоваться этой книгой
Куда обращаться за помощью и технической поддержкой
Благодарности

Часть 1. Инсталляция операционной системы Linux на сервере

Глава 2. Установка ASPLinux

Что нужно знать об аппаратных средствах вашего сервера
Взаимодействие с другими операционными системами
Первичная установка ASPLinux
Как использовать команды rpm
Запуск и остановка служб
Программы, файлы и каталоги, которые должны быть удалены после первичной установки
Дополнительно устанавливаемые пакеты

Глава 3. Общие мероприятия по обеспечению безопасности сервера

Настройки BIOS
Отключение сервера от сети
Концепция безопасности
Выбор правильного пароля
Учетная запись суперпользователя root
История оболочки командного интерпретатора
Однопользовательский режим входа в систему
Отключение возможности выключения системы с помощью комбинации клавиш ++
Ограничение заданного по умолчанию числа запущенных виртуальных консолей ttys
LILO и файл /etc/lilo.conf
GRUB и файл /boot/grub/grub.conf
Файл /etc/services
Файл /etc/security
Специальные учетные записи
Управление монтированием файловых систем
Права доступа к файлам сценариев запуска и остановки процессов
Специальные символы у программ, владельцем которых является root
Запрещение внутренним компьютерам сообщать серверу свой MAC-адрес
Необычные или скрытые файлы
Обнаружение файлов и каталогов, изменяемых любым пользователем
Файлы без владельцев
Поиск файлов .rhosts
Копии файлов регистрации на жестких носителях и удаленных системах
Удаление страниц руководства

Глава 4. Дополнительные модули аутентификации

Допустимая минимальная длина пароля
Таблица управления доступом входа в систему
Удаление из системы ненужных привилегированных пользователей
Наложение ограничений на ресурсы, выделяемые пользователям системы
Управление временем доступа к службам
Ограничение использования команды su root
Использование команды sudo вместо su для регистрации в качестве суперпользователя

Глава 5. Оптимизация операционной системы

Статические и динамические библиотеки
Библиотеки Linux Glibc 2.2
Почему Linux-программы распространяются в исходных кодах
Файл gcc specs
Удаление комментариев из исполняемых файлов и библиотек
Оптимизация настроек жесткого диска с IDE-интерфейсом

Глава 6. Безопасность и оптимизация ядра

Различия между ядрами с модульной и монолитной архитектурами
Ограничения и допущения
Пакеты
Дополнительно устанавливаемые пакеты
Создание аварийной загрузочной дискеты для ядра с модульной архитектурой
Подготовка ядра к инсталляции
Применения патча Grsecurity
Настройка ядра
Очистка ядра
Конфигурирование ядра
Конфигурирование ядра с монолитной архитектурой
Конфигурация ядра с модульной архитектурой
Компиляция ядра
Инсталляция ядра
Настройка загрузчика
Файл /etc/modules.conf
Проверка работоспособности нового ядра
Создание аварийной загрузочной дискеты для ядра с монолитной архитектурой

Глава 7. Псевдофайловая система /proc

Утилита sysctl
Настройка параметров подсистемы виртуальной памяти
Настройка параметров подсистемы IPv4
Установка запрета ответа на ping-запросы
Установка запрета ответа на широковещательные ping-запросы
Запрет на использование сервером информации об источнике пакета
Включение защиты от SYN-атак
ICMP-переадресация
Сообщения об ошибках сети
Включение защиты от атак, основанных на фальсификации IP-адреса
Включение регистрации Spoofed, Source Routed и Redirect пакетов
Включение пересылки пакетов

Глава 8. Настройка сети

Конфигурационные файлы /etc/sysconfig/network-scripts/ifcfg-ethN
Конфигурационный файл /etc/resolv.conf
Конфигурационный файл /еtc/hosts
Конфигурационный файл /еtc/host.conf
Конфигурационный файл /etc/sysconfig/network
Проверка работоспособности сетевых настроек

Часть 2. Система сетевой защиты, основные положения системы сетевой защиты (Firewall)

Глава 9. Основные положения системы сетевой защиты (Firewall)

Концепция безопасности системы сетевой защиты
Порты
Ограничения и допущения
Пакеты
Компиляция оптимизация и инсталляция IPTables
Настройка системы сетевой защиты IPTables
Проверка настроек сетевой защиты

Глава 10. GIPTables Firewall - программное обеспечение для настройки IPTables

Ограничения и допущения
Пакеты
Компиляция, оптимизация и инсталляция GIPTables Firewall
Настройка GIPTables
Конфигурационный файл /etc/giptables.conf
Конфигурирование совместной работы GIPTables Firewall с различными службами
Настройка GIPTables Firewall для шлюза (прокси-сервера)

Часть 3. Криптографическое программное обеспечение, используемое для безопасной передачи данных и проверки подлинности и целостности электронных документов

Глава 11. GnuPG - утилита для безопасного хранения и передачи данных

Ограничения и допущения
Пакеты
Инсталляция с помощью rpm-пакетов
Компиляция, оптимизация и инсталляция GnuPG
Тестирование GnuPG

Глава 12. OpenSSL - программное обеспечение для безопасной передачи данных


1. Ограничения и допущения
2. Пакеты
3. Инсталляция с помощью rpm-пакетов
4. Компиляция, оптимизация и инсталляция OpenSSL
5. Конфигурирование OpenSSL
6. Тестирование OpenSSL

Глава 13. OpenSSH - программное обеспечение для безопасного администрирования удаленных систем

Ограничения и допущения
Пакеты
Инсталляция с помощью rpm-пакетов
Компиляция, оптимизация и инсталляция OpenSSH
Конфигурирование OpenSSH
Тестирование OpenSSH
Использование OpenSSH
OpenSSH в окружении chroot-jail
Создание окружения chroot-jail
Компиляция, оптимизация, инсталляция, конфигурирование и тестирование OpenSSH в среде chroot-jail

Часть 4. Программное обеспечение для ограничения доступа к серверу и обнаружения попыток деструктивного воздействия

Глава 14. Sudo - программное обеспечение для делегирования пользователям сервера полномочий пользователя root в ограниченном объеме

Ограничения и допущения
Пакеты
Инсталляция с помощью rpm-пакетов
Компиляция, оптимизация и инсталляция Sudo
Конфигурирование Sudo
Тестирование Sudo
Более сложная конфигурация Sudo

Глава 15. sXid - программное обеспечение для поиска файлов, в правах доступа к которым установлены SUID и SGID-биты

Ограничения и допущения
Пакеты
Инсталляция с помощью rpm-пакетов
Компиляция, оптимизации и инсталляция sXid
Конфигурирование sXid
Тестирование sXid

Глава 16. LogSentry - программное обеспечение для регистрации попыток несанкционированного доступа к системе

Ограничения и допущения
Пакеты
Инсталляция с помощью rpm-пакетов
Компиляция, оптимизация и инсталляция LogSentry
Конфигурирование LogSentry
Тестирование LogSentry

Глава 17. HostSentry - программное обеспечение для обнаружения необычной активности пользователей

Ограничения и допущения
Пакеты
Компиляция, оптимизация и инсталляция HostSentry
Конфигурирование HostSentry
Конфигурационный файл /etc/hostsentry/hostsentry.conf
Конфигурационный файл /etc/hostentry/hostsentry.ignore
Конфигурационный файл /etc/hostentry/hostsentry.modules
Конфигурационный файл /etc/hostsentry/moduleForeignDomain.allow
Конфигурационный файл /etc/hostsentry/moduleMultipleLogins.allow
Файл инициализации /etc/init.d/hostsentry: hostsentry файл инициализации
Тестирование HostSentry

Глава 18. PortSentry - программное обеспечение для автоматического ограничения доступа с систем, используемых для деструктивного воздействия

Ограничения и допущения
Пакеты
Инсталляция с помощью rpm-пакетов
Компиляция, оптимизация и инсталляция Portsentry
Конфигурирование PortSentry
Конфигурационный файл /etc/portsentry/portsentry.conf
Конфигурационный файл /etc/portsentry/portsentry.ignore
Конфигурационный файл /etc/portsentry/portsentry.modes
Файл инициализации /etc/init.d/portsentry
Тестирование PortSentry

Глава 19. Snort - программное обеспечение для обнаружения попыток вторжений

Ограничения и допущения
Пакеты
Компиляция, оптимизация и инсталляция Snort
Конфигурирование Snort
Тестирование Snort
Выполнение Snort в среде chroot-jail

Глава 20. ucspi-tcp - программное обеспечение для запуска обычных программ в режиме сервера


Ограничения и допущения
Пакеты
Компиляция, оптимизация и инсталляция ucspi-tcp
Использование ucspi-tcp

Глава 21. xinetd - программное обеспечение для запуска обычных программ в режиме сервера

Ограничения и допущения
Пакеты
Инсталляция с помощью rpm-пакетов
Компиляция, оптимизация и инсталляция xinetd
Конфигурирование xinetd
Конфигурационный файл /etc/xinetd.conf
Каталог /etc/xinetd.d
Конфигурационный файл /etc/xinetd.d/pop3s
Конфигурационный файл /etc/xinet.d.d/time
Конфигурационный файл /etc/xinetd.d/chargen
Конфигурационный файл /etc/xinetd.d/echo
Конфигурационный файл /etc/xinetd.d/daytime
Конфигурационный файл /etc/xinetd.d/imaps
Файл инициализации /etc/init.d/xinetd

Глава 22. NTP - программное обеспечение для синхронизации времени

Ограничения и допущения
Пакеты
Инсталляция с помощью rpm-пакетов
Компиляция, оптимизация и инсталляция NTP
Конфигурирование NTP
Конфигурационный файл /etc/ntp.conf для сервера
Конфигурационный файл /etc/ntp.conf для клиента
Конфигурационный файл /etc/ntp.drift
Конфигурационный файл /etc/ntp.drift
Файл инициализации /etc/init.d/ntpd
Тестирование NTP
Выполнение NTP в среде chroot-jail

Часть 5. Служба DNS

Глава 23. ISC BIND - программное обеспечение для организации службы DNS

Ограничения и допущения
Пакеты
Инсталляция с помощью rpm-пакетов
Компиляция, оптимизация и инсталляция ISC BIND
Конфигурирование ISC BIND
Конфигурирование ISC BIND в режиме кэширующего DNS-сервера
Конфигурационный файл /etc/named.conf
Конфигурационный файл /var/named/db.cache
Конфигурационный файл зоны localhost /var/named/db.localhost
Конфигурационный файл обратной зоны /var/named/0.0.127.in-addr.arpa
Системный конфигурационный файл /etc/sysconfig/named
Файл инициализации /etc/init.d/named
Конфигурирование ISC BIND в режиме первичного DNS-сервера
Конфигурационные файлы /var/named/db.cache, /var/named/db.localhost, /var/named/0.0.127.in-addr.arpa, /etc/sysconfig/named и /etc/init.d/named
Конфигурационный файл /etc/named.conf
Конфигурационный файл зоны /var/named/db.contora
Конфигурационный файл обратной зоны /var/named/76.24.213.in-addr.arpa
Конфигурирование ISC BIND в режиме вторичного DNS-сервера
Конфигурационные файлы /var/named/db.cache, /var/named/db.localhost, /var/named/0.0.127.in-addr.arpa, /etc/sysconfig/named и /etc/init.d/named
Обеспечение безопасности транзакций для ISC BIND с использованием TSIG
Использование TSIG для безопасного администрирования ISC BIND с использованием утилиты rndc
Тестирование и администрирование ISC BIND
Выполнение ISC BIND в среде chroot-jail
Демон lwresd

Часть 6. Программное обеспечение для организации шлюза

Глава 24. Кэширующий прокси-сервер Squid

Ограничения и допущения
Пакеты
Инсталляция с помощью rpm-пакетов
Компиляция, оптимизация и инсталляция Squid
Конфигурирование Squid
Пример конфигурации Squid для шлюза
Тестирование Squid
Администрирование Squid
Пример конфигурации Squid в качестве Web-ускорителя

Глава 25. SquidGuard - программное обеспечение для фильтрации нежелательного трафика

Ограничения и допущения
Пакеты
Компиляция, оптимизация и инсталляция SquidGuard
Конфигурирование SquidGuard
Запуск и тестирование SquidGuard
Оптимизация SquidGuard

Глава 26. Виртуальные частные сети VPN


1. VPN-cервер FreeS/WAN

2. Ограничения и допущения

3. Пакеты

4. Компиляция, оптимизация и инсталляция FreeS/WAN

5. Конфигурирование FreeS/WAN

6. Тестирование FreeS/WAN

7. Подключение к MS WINDOWS NT VPN-серверу c помощью PPTP-клиента

8. Ограничения и допущения

9. Пакеты

10. Инсталляция MPPE и PPTP-клиента

11. Конфигурирование PPTP-клиента

12. Тестирование подключения к MS WINDOWS NT VPN-серверу c помощью PPTP-клиента.

Часть 7. Программное обеспечение для организации службы электронной почты

Глава 27. Exim - почтовый транспортный агент

Ограничения и допущения
Пакеты
Компиляция, оптимизация и инсталляция Exim
Конфигурирование Exim
Конфигурирование Exim в режиме центрального почтового концентратора
Конфигурационный файл /etc/mail/exim.conf
Конфигурационный файл /etc/mail/localdomains
Конфигурационный файл /etc/mail/relaydomains
Конфигурационный файл /etc/mail/aliases
Конфигурационный файл etc/mail/access
Конфигурационный файл /etc/mail/system-filter
Конфигурационный файл /etc/sysconfig/exim
Файл инициализационный /etc/init.d/exim
Тестирование Exim
Аутентификация пользователей перед отправкой сообщений
Запуск Exim с поддержкой SSL
Конфигурирование Exim в качестве локального почтового сервера

Глава 28. Qpopper - программное обеспечение для организации получения почтовыми клиентскими программами сообщений электронной почты

Ограничения и допущения
Пакеты
Компиляция, оптимизация и инсталляция Qpopper
Конфигурирование Qpopper
Конфигурационный файл /etc/qpopper.conf
Конфигурационный файл /etc/pam.d/pop3
Конфигурационный файл /etc/sysconfig/qpopper
Файл инициализации /etc/init.d/qpopper
Тестирование Qpopper
Запуск Qpopper с поддержкой SSL

Глава 29. SpamAssassin - программное обеспечение для фильтрации сообщений, содержащих спам

Ограничения и допущения
Пакеты
Инсталляция с помощью rpm-пакетов
Компиляция, оптимизация и инсталляция SpamAssassin
Конфигурирование и интеграция SpamAssassin с почтовым транспортным агентом Exim
Тестирование SpamAssassin
Особенности национального спама

Глава 30. Doctor Web - антивирусное программное обеспечение

Ограничения и допущения
Пакеты
Компиляция, оптимизация и инсталляция Doctor Web
Конфигурирование и интеграция Doctor Web с почтовым транспортным агентом Exim
Конфигурационный файл /etc/drweb/drweb32.ini
Конфигурационный файл /etc/mail/exim.conf
Конфигурационный файл /etc/drweb/drweb_exim.conf
Конфигурационный файл /etc/mail/system-filter
Конфигурационный файл /etc/drweb/addresses.conf
Конфигурационный файл /etc/drweb/users.conf
Конфигурационный файл /etc/drweb/viruses.conf
Конфигурационные файлы шаблонов /etc/drweb/templates/en-ru/*.msg
Тестирование Doctor Web
Обновление антивирусных баз

Часть 8. Программное обеспечение для серверов баз данных

Глава 31. MySQL - сервер баз данных

Ограничения и допущения
Пакеты
Инсталляция MySQL из rpm-пакетов
Компиляция, оптимизация и инсталляция MySQL из исходных кодов
Конфигурирование MySQL
Конфигурационный файл /etc/my.cnf
Конфигурационный файл /etc/logrotate.d/mysqld
Файл инициализации /etc/init.d/mysqld
Установка пароля пользователя root и удаление демонстрационной базы данных test
Монтирование раздела баз данных с атрибутом noatime
Пример использования MySQL

Часть 9. Программное обеспечение для организации службы FTP-сервера

Глава 32. ProFTPD - FTP-cервер

Ограничения и допущения
Пакеты
Компиляция, оптимизация и инсталляция ProFTPD
Конфигурирование ProFTPD
Конфигурирование ProFTPD c аутентификацией пользователей
Конфигурационный файл /etc/proftpd.conf
Конфигурационный файл /etc/sysconfig/proftpd
Конфигурационный файл /etc/pam.d/ftp
Конфигурационный файл /etc/ftpusers
Файл инициализации /etc/init.d/proftpd
Создание учетной записи FTP-клиента для соединения с FTP-сервером
Тестирование ProFTPD
Конфигурирование ProFTPD с поддержкой протокола SSL
Конфигурирование ProFTPD в режиме анонимного FTP-сервера

Глава 33. vsftpd - безопасный FTP-сервер

Ограничения и допущения
Пакеты
Установка из rpm-пакетов
Компиляция, оптимизация и инсталляция vsftpd
Конфигурирование vsftpd c аутентификацией пользователей
Конфигурационный файл /etc/vsftpd.conf
Конфигурационный файл /etc/pam.d/ftp
Конфигурационный файл /etc/ftpusers
Конфигурационный файл /etc/logrotate.d/vsftpd
Файл инициализации /etc/init.d/vsftpd
Создание учетной записи FTP-клиента для соединения с FTP-сервером
Конфигурирование vsftpd в режиме анонимного FTP-сервера
Тестирование vsftpd

Часть 10. Программное обеспечение для организации службы HTTP-сервера

Глава 34. Apache HTTP Server

Ограничения и допущения
Пакеты
Установка из rpm-пакетов
Компиляция, оптимизация и инсталляция Apache
Конфигурирование Apache HTTP Server
Конфигурационный файл /etc/httpd/conf/httpd.conf
Конфигурационный файл /etc/sysconfig/httpd
Конфигурационные файлы .htaccess
Конфигурационный файл /etc/logrotate.d/httpd
Файл инициализации /etc/rc.d/init.d/httpd
Конфигурирование Apache HTTP Server с доступом в закрытые каталоги с аутентификацией пользователей (файл /etc/httpd/conf/dbmpasswd)
Конфигурирование поддержки протокола SSL в Apache HTTP Server (файлы /usr/share/ssl/certs/www.crt и /usr/share/ssl/private/www.key)
Тестирование Apache HTTP Server
Выполнение Apache HTTP Server в среде chroot-jail

Глава 35. PHP: Hypertext Preprocessor

Ограничения и допущения
Пакеты
Установка из rpm-пакетов
Компиляция, оптимизация и инсталляция PHP
Конфигурирование PHP
Конфигурационный файл /etc/httpd/ php.ini
Конфигурационный файл /etc/httpd/conf/httpd.conf
Тестирование PHP
Выполнение PHP в окружении chroot-jail

Глава 36. mod_perl - модуль, позволяющий включить интерпретатор языка Perl непосредственно в Apache HTTP Server

Ограничения и допущения
Пакеты
Установка из rpm-пакетов
Компиляция, оптимизация и инсталляция mod_perl
Конфигурирование mod_perl
Тестирование mod_perl
Выполнение mod_perl в окружении chroot-jail

Часть 11. Программное обеспечение для организации совместного использования общих сетевых ресурсов

Глава 37. Сервер Samba

Ограничения и допущения
Пакеты
Инсталляция с помощью rpm-пакетов
Компиляция, оптимизация и инсталляция Samba
Конфигурирование Samba
Конфигурационный файл /etc/samba/smb.conf
Конфигурационный файл /etc/samba/lmhosts
Конфигурационный файл /etc/sysconfig/samba
Конфигурационный файл /etc/pam.d/samba
Конфигурационный файл /etc/logrotate.d/samba
Файл инициализации /etc/lnit.d/smb
Добавление новых пользователей (конфигурационный файл /etc/samba/smbpasswd)
Тестирование Samba

Часть 12. Организация резервного копирования

Глава 38. Резервное копирование

Резервное копирование файлов программного обеспечения с использованием программы tar
Автоматическое резервное копирование периодически изменяемых файлов
Полное резервное копирование
Инкрементное резервное копирование
 
| Главная | Главы из книги | Конфигурационные файлы | Скачать |
(c) В. Бруй, С. Карлов, 2003-2005
-- /Yandex.Metrika counter -->-- Конец копирайта -->