Реклама | |
|
В разделе материалов: 28 Показано материалов: 1-10 |
Страницы: 1 2 3 » |
Итак, пришло время задуматься о безопасности вашей сети. В частности о
назначении прав на каталоги и файлы для пользователей и групп.
Стандартные права в операционных системах Unix не так гибки, как
хотелось бы. К сожалению они годятся для использования в простых схемах
сети. Например, ситуацию когда к одному и тому же каталогу нужно, чтобы
несколько групп пользователей имели разные права доступа, не
реализовать с использованием стандартных прав.
Для реализации сложных структур прав доступа используются расширенные права - ACL (Access control list - cписки контроля доступа).
Списки контроля доступом (ACL) дают большую гибкость, чем стандартный набор полномочий «пользователь/группа/остальные». ACL
доступны в коммерческих Unix-системах, таких как IRIX или Solaris (и в
Windows NT) в течение нескольких лет. В настоящее время, благодаря
проекту TrustedBSD, ACL доступны в FreeBSD 5.0 и выше, а также в Linux. Возможность использования ACL позволяет администратору получить преимущество от использования более интеллектуальной модели безопасности.
|
Настройка Apache-2.2 на FreeBSD 8.0
Семь дней мучился с проблемой запуска и работоспособности Apache22
При запуске выдавалась ошибка: No such file or directory: Failed to enable the 'httpready' Accept Filter
При заходе в логи ошибок апача появлялась надпись:
[warn] Init: Session Cache is not configured [hint: SSLSessionCache]
[alert] (EAI 8)hostname nor servname provided, or not known: mod_unique_id: unable to find IPv4 address of "my.host" |
Заметки об IPFW
Вместо предисловия:
Вопрос- "В FreeBSD есть 3 разных фаервалла, какой использовать?"
Ответ - "Правильно насторенный."
Далее по тексту обсуждается IPFW как наиболее часто используемый во FreeBSD фаервалл.
Как задействовать IPFW?
Как известно существует два способа подключения IPFW:
1. Подключение скомпилированного модуля ядра при загрузке системы.
2. Комплияция IPFW в ядро системы. |
Выделение дискового пространства на удаленно доступном сервере.
О чем пойдет речь?
Хочу поделиться опытом полученным при решении одной, довольно тривиальной, на первый взгляд, задачи.
Условия задачи просты:
Имеем доступный только по сети сервер, т.е. физического доступа, в
случае какой-либо моей ошибки, к нему не предвидится. На этом сервере
есть винчестер разбитый всего на один слайс не занимающий всего
доступного пространства. То есть на диске есть неутилизированное место и
нужно подготовить это место к использованию.
Замечание: здесь нет подробных описаний работы с утилитами, так как это прекрасно описано в других источниках.
|
sshd - авторизация пользователей в AD
Возникла проблема открыть доступ
юзерам к shell’у, но поскольку юзерам тяжело запомнить два имени под
которыми куда заходить (домен win2003 или FreeBSD), пришлось думать как
сделать одно имя для входа на всех компах.
Все настраивалось на FreeBSD 5.5-RELEASE, samba-3.0.23d,1.
Решил сделать авторизацию через winbind.
Настраиваем все по статье.
|
Разбивка HDD корректировка Swap и диагностика дисковой системы.
Дисковая подсистема - узкое место системы и грамотная разбивка HDD + выделение
оптимального Swap во многом определяет производительность.
Интерфейсы
SCSI - Хотелось, конечно, поработать на таких HDD т.к. там довольно мощный планировщик
запросов соответственно в SCSI компиляция шустрее и т.д. не говоря о скорости этих
устройств, но стоит неплохих денег.
SATA - для SATA контроллеры еще сыроваты, содержат некоторые ошибки, которые приводят
иногда к интересным артефактам, например, некоторые контроллеры бывают, теряют пару
последних байт в последнем переданном блоке в результате некорректная
запись и он занимает весь кластер и первое время ошибка незаметна… Это в
основном касается только
производителей дешевых чипсетов с интегрированным SATA контроллером типа VIA, SIS и т.д.
которые предпочитают потом исправлять эти ошибки в своих драйверах которые выпускают
только под Windows :).Бери SATA для *BSD если уверенны в его стабильности
(т.е. дешевые не берите или протестируйте)
IDE - Если вы собираетесь часто и много компилировать лучше брать IDE.
Т.к. тут все стандартизировано и главное проверенно временем и ошибок в
этом стандарте вы вряд ли встретите. Да и мы народ простой и $ мало
значит берем за основу IDE HDD :)
Разметка
В идеале лучше иметь 2 диска подвешенные на различных IDE-каналах на
первый под временные файлы [Swap, /var,etc] второй под файлы системы и
свои домашние. Некоторые материнки держат 3 IDE-канала, что позволяет
выделить под Swap отдельное делопроизводство :) что очень хорошо, но
довольно расточительно:).
|
Настройка 2-х каналов в Интернет.
Друган подключился к Интернету.
Подключение через PPPoE со статическим внешним IP-Адресом. Настроил ему
сервак, Samb’у, apache, ssh и прочие сервисы ему прикрутил. Всё отлично
работало. Но время идёт, мир меняется, и вот подключил он себе ещё один
Интернет канал c безлимитным трафиком и скоростью 300kbit/s. Вот и
попросил меня перенастроить полностью сервак, установить FreeBSD 6
попутно (ранее было ещё 5.3).
Что имеем:
FreeBSD 6.2
Два Интернет канала:
1. Через PPPoE с внешним IP-Адресом. (195.28.84.160) Трафик платный.
2. Через обычный LAN, выдан внутренний адрес 10.17.2.30 (Шлюз 10.17.127.254) Безлимитка.
На безлимитке нет входящих соединений, и какие-либо сервисы предоставлять бессмысленно. Зато ослик рулит в ней с low ID.
Что нужно:
Через PPPoE:
1. Сделать доступ к www страничкам.
2. Сделать удалённое управление сервером через ssh.
3. Сделать проброс порта на домашний компьютер (На домашнем компе стоит Radmin). Соединение входящее, и только через PPPoE.
Остальное по безлимитке.
|
Оптимизация make.conf
Так как мы сидим под фряхой и ставим
все исключительно из портов компилим ядра обновляем World и тд то
неплохо было бы оптимизировать процесс компиляции. Многие часто не
придают этому значение, но ведь при этом это ускорило бы процесс
компилирования исходников а, следовательно, сэкономило наше время :) да и
потом мы оптимизируем под наше железо.
|
Настройка DMZ при помощи if_bridge
Решил сделать Демилитаризованную зону (DMZ) при помощи if_bridge.
Для чего? Есть у меня 2 WEB-Сервера и 1 почтовый сервер. Все они
находятся внутри локальной сети и в случае какого-либо взлома одного из
них, кулхацкер получит доступ к локальному IP-Адресу. А там дело техники, как попасть на File-Server и стащить базу клиентов.
Что такое DMZ? Изолированный диапазон IP-Адресов. В моём случае будем
его изолировать с помощью ipfw. Необходимо предоставить доступ
пользователям к почте, WEB-Серверам, но никак не серверам к нашей сети, да и вообще куда либо соединяться.
|
Ротация логов с помощью newsyslog.
Решил настроить ротацию логов.
Причиной послужило резкое увеличение размеров лог файлов, которые вскоре
могли забить раздел /var:
shield@/root> cd /var/log/ shield@/var/log> ll total 41266 drwxr-xr-x 5 root wheel 2,0K 24 ноя 04:00 . drwxr-xr-x 24 root wheel 512B 24 ноя 18:39 .. -rw------- 1 root wheel 83K 24 ноя 19:20 auth.log -rw------- 1 root wheel 14K 6 авг 02:00 auth.log.0.bz2 -rw------- 1 root wheel 8,9K 27 июл 18:00 auth.log.1.bz2 -rw------- 1 root wheel 15K 22 июл 10:00 auth.log.2.bz2 -rw------- 1 root wheel 10K 22 июл 00:00 auth.log.3.bz2 -rw------- 1 root wheel 14K 20 июл 08:00 auth.log.4.bz2 -rw------- 1 root wheel 13K 2 июл 17:00 auth.log.5.bz2 drwxr-xr-x 2 squid squid 512B 17 окт 15:09 c_icap drwxr-xr-x 2 clamav clamav 512B 17 окт 10:35 clamav -rw------- 1 root wheel 42K 24 ноя 19:20 cron -rw------- 1 root wheel 4,7K 24 ноя 04:00 cron.0.bz2 -rw------- 1 root wheel 4,7K 23 ноя 00:00 cron.1.bz2
|
Ух...
Файлик named-auth.log занимает 29 метров... Нехило. :) Надо с этим
что-то делать. Сначала я хотел написать свой sh срикпт, который будет
запускаться по ночам и все ротировать, но прогуглив этот вопрос, я
понял, что пытаюсь изобрести велосипед, так как ротацией логов
занимается программа newsyslog.
Newsyslog запускается раз в час, читает свой конфигурационный файл и
следую написанным там указаниям, производит определенные действия с
лог-файлами.
|
|
|