Advanced Red Hat System Administration

Introducere

La finele acestui modul, fiecare dintre dumneavoastra ar trebui sa poata configura un server Linux cu un sistem Red Hat (indiverent de versiune) care sa poata oferi retelei din care face parte cele mai comune servicii si care sa fie securizat din toate punctele de vedere J.

Etapele care vor trebui parcurse sunt urmatoarele:

Instalarea sistemului de operare (etapa realizata la finele primului modul)

Stergerea tuturor pachetelor RPM care nu sunt folosite

Instalarea pachetelor RPM necesare pentru compilarea de software (daca este cazul)

Securizarea sistemului

Optimizarea sistemului

Reinstalarea, recompilarea si optimizarea Kernelului pentru sistemul pe care-l administrati

Configurarea unui firewall in conformitate cu serviciile pe care le veti rula pe server

Instalarea OpenSSL pentru a putea folosi avantajele comunicatiilor criptate

Instalarea OpenSSH pentru a va putea conecta securizat la server pentru administrarea lui distanta

Instalare sXid

Instalare Logcheck

Instalare PortSentry

Instalare Tripwire

Instalare ISC BIND & DNS

Instalare Sendmail sau qmail

Instalare software aditional in functie de propriile nevoi

Instalarea sistemului de operare

In acest modul al doilea al cursului de Linux, nu voi mai detaila fiecare aspect legat de partea de instalare ci voi sublinia doar unele aspecte legate de pregatirea serverului pentru aceasta parte a materialului. Si anume dupa ce a fost partitionat hard disk-ul folosind Disk Druid sau fdisk, dupa de a fost ales boot loader-ul si au fost facute configurarile legate de retea (IP, DNS si Gateway) interfata de instalare va trece la configurarea firewall-ului.

Aceasta configurare de firewall poate fi destinata end user-ilor dar in nici un caz unui administrator de sistem care sa se poata baza pe acest firewall. In spatele interfete este de fapt un vechi utilitar folosit de Red Hat in trecut si anume IPCHAINS bazat pe pachetul lokkit. El nu mai este folosit in prezent, fiind inlocuit de IPTABLES, si din aceste motive recomand ca in ecranul de configurare al acestui firewall sa alegeti optiunea "No firewall".

Urmatoarele ecrane sunt destinate configurarii limbi folosite, orei serverului, a parolei de root, precum si a modului de autentificare (se va opta pentru MD5 password si Shadow password), apoi urmeaza partea cea mai importanta si anume selectarea pachetelor care vor fi instalate pe acest server.

Pentru instalarea unui server de Linux, prima conditie pe catre trebuie sa o indeplineasca acesta este sa fie foarte sigur, un sistem cat se poate de securizat. In ecranul in care se cere selectarea pachetelor care se doresc instalate (Selecting Package Groups), in cazul nostru fiind vorba de un server de retea, TREBUIE SA DESELECTAM ABSOLUT TOT din lista disponibila de pachete.

Pasul 1

Inainte de toate, vom verifica pentru a fi siguri ca sunt deselectate toate pachetele din grupurile listate:

Software recomadat pentru fiecare tip de server

Datorita dorintelor de reducere a costurilor de productie, majoritatea companiilor sunt atrase tot mai mult de folosirea se software Open Source, gratuit care poate fi procurat chiar de pe Internet. Din acest motiv, Linux-ul a devenit o alternativa viabila pentru serverele de institutie. Reducand la 0 costurile de licentiere pentru programele software utilizare, deoarece Linux foloseste programe sub licenta GPL (General Public License), administratorii de retea au posibilitatea de a da mai multa atentie si aspectului hardware.

Cu toate ca sistemul Linux este un sistem multitasking si permite rularea simultana a mai multor servicii, este recomandat din punct de vedere al securitatii ca serverele de institutie sa nu furnizare toate serviciile de care au nevoie folosind o singura platforma ci sa se incerce distribuirea lor pe mai multe masini fizice.

Tabelele de mai jos prezinta structurat componentele software care trebuie instalate pe sistemele folosite in functie de rolul pe care-l vor indeplini in reteaua din care fac parte.

In schemele de mai jos am folosit urmatoarele conventii:

Ø      Optional Components: componente care pot fi instalate optional pe serverul administrat, dar care imbunatatesc performantele serverului in acord cu functia sa

Ø      Security Software Required: componentele care sunt necesare pentru a oferi un minim de securitate in conformitate cu tipul de server configurat

Ø      Security Software Recommended: software optional recomandat pentru imbunatirea securitatii serverului.

Software care trebuie dezinstalat dupa instalarea serverului

Red Hat Linux pe langa multiplele avantaje pe care le prezinta are si un mic dejavantaj J, in sensul ca in urma procesului de instalare pe serverul nostru vor fi instalate o seama de programe, pe care nu le vom folosi in viitor si pentru care nu n-i se ofera nici o posibilitate de dezinstalare in faza de setup a sistemului. Din acest motiv acestea vor trebui dezinstalate manual inainte de a incepe configurarea serverului.

In continuare, am listat pachetele de software care ar trebui sterse din sistem odata ce instalarea s-a incheiat.

Folosind comanda RPM si optiunile acesteia, pachetele de mai sus trebuiesc dezinstalate pentru a putea trece la instalarea propriu-zisa a serverului:

• Comanda folosita pentru a sterge un Pachet RPM din sistem este urmatoarea:

unde <softwarenames> este numele intreg al pachetului pe care dorim sa-l dezinstalam.

Pasul 1

Programe ca apmd, Sendmail, at si anacron sunt daemon-i care ruleaza ca procese. Este indicat sa oprim aceste procese inainte de a incepe efectiv dezinstalarea lor.

• Pentru a opri procesele enumerate mai sus vom folosi succesiunea de comenzi:

Pasul 2

Odata ce procesele apmd, Sendmail, at si anacron au fost oprite, putem dezinstala in siguranta, toate pachetele din tabelul de mai sus.

• Pentru dezinstalarea lor impreuna folosim o singura comanda:

Pasul 3

Pachetul hdparm este folosit de catre serverul dumneavoastra in cazul in care el foloseste disk-uri IDE si nu disk-uri SCSI. Daca aveti un hard IDE acest program va trebui sa ramana, dar daca hard disk-ul este IDE, din motive de securitate acest program va trebui dezinstalat. hdparm este folosit pentru optimizarea hard disk-urilor IDE. Cele SCSI nu au nevoie de optimizare deoarece ele sunt capabile sa ruleze la viteza maxima (80 Mps - 160 Mps) fara modificari.

• Pentru dezinstalarea pachetului din sistem folositi comanda:

Pasul 4

Pachetul mkinitrd este folosit de hard disk-urile SCSI sau RAID, dar nu si de cele IDE. Daca serverul care se instaleaza acum are hard disk-uri SCSi sau RAID acest program va ramane, iar daca are disk-uri IDE acesta trebuie dezinstalat.

• Pentru dezinstalarea pachetului din sistem folositi comanda:

Pasul 5

Urmatoarele programe kbdconfig, mouseconfig, timeconfig, authconfig, ntsyssv si setuptool sunt folosite pentru setarea tipului de tastaura, a mouse-ului, a time zone-ului, a tipului de autentificare si pentru creerea link-urilor simbolice in directorul /etc/rc.d. Dupa ce acestea au fost configurate in timpul procesului de instalare, ele nu vor mai fi folosite. Din acest motiv se recomanda ca ele sa fie dezinstalate. Daca in viitor va mai fi nevoie de o noua setare a tastaturii, mouse-ului, etc pachetele RPM se pot reincarca de pe CD-ROM-urile de instalare.

• Pentru dezinstalarea pachetelor din sistem folositi comanda:

Pasul 6

Pachetul quota este un utilitar al sistemului destinat monitorizarii si limitarii spatiului pe disk (sau pe fisiere) pentru user-i/group-uri. Acest program trebuie sa fie instalat doar pe serverele unde se doreste aceasta facilitate de limitare.

• Pentru dezinstalarea pachetului quota din sistem se foloseste comanda:

Pasul 7

Chiar daca nu doriti instalarea unui server de mail pe acest sistem Linux, pachetul sendmail (sau un client echivalent) este necesar in totdeauna pe serverul dumneavoastra pentru potentialele mesaje trimise de catre serviciile instalate catre contul de root. Sendmail este un agent MTA (Mail Transport Agent) si este destinat managementului mesajelor. El poate fi configurat in diverse maniere, dar despre acest server va fi un capitol dedicat. Pentru o configurare exact pentru necesitatile retelei este recomandarea dezinstalarea pachetului care a folosit o instalare implicita si configurarea si instalarea lui ulterioara.

• Pentru dezinstalare se foloseste

Pasul 8

Pachetul procmail este un program destinat procesarii mail-urilor si care este folosit de sendmail pentru procesarea mail-urilor local, pe server. Acest program este necesar pe serverul dumneavoastra doar in cazul el are rolul de server de mail si utilizeaza sendmail. Recomandarea este sa fie dezinstalat daca serverul care se instaleaza nu are rolul de server de mail pentru reteaua din care face parte.

• Pentru dezinstalare se foloseste

Pasul 9

Pachetul OpenLDAP este destinat configurarii sistemului in asa fel incat sa permita accesarea serviciului de directoare intr-un mod similar unei carti de telefon. Aceasta optiune nu este folosita de toate serverele, iar din acest motiv daca nu este folosit se recomanda dezinstalarea sa.

• Pentru dezinstalare se foloseste

Pasul 10

Aplicatia de Cyrus SASL este o implementare pentru Simple Authentication and Security Layer care se utilizeaza in conjunctie cu Cyrus care nu este altceva decat un program de mesagerie electronica, precum Sendmail. Daca acest agent de mail nu este folosit se recomanda dezinstalarea sa.

• Pentru dezinstalare se foloseste

Pasul 11

OpenSSL este un mecanism de criptare SSL care asigura transportul securizat a datelor in interiorul retelei. Acest program este unul dintre cele mai importante utilitare pentru un server Linux si este recomandat ca acest software sa nu lipseasca din serverul dumneavoastra. Partea trista este ca asa cum se instaleaza el implicit in sistem nu este update-atat si customizat pentru serverul nostru. Din aceste motive, il vom dezinstala si il vom instala ulterior. Un capitol ulterior va trata detailat modul de instalare, securizare si configurare.

• Pentru dezinstalare se foloseste

Pasul 12

Pachetul ash este o versiune restransa de shell Bourne (sh). Odata deja folosit acest pachet, el se poate dezinstala din sistem.

• Pentru dezinstalare se foloseste

Pasul 13

Pachetul time este un utilitar folosit de catre dezvoltatorii de software cu ajutorul caruia se poate monitoriza gradul de utilizare al resurselor de sistem de catre programele dezvoltate.

• Pentru dezinstalare se foloseste

Pasul 14

Pachetul krb5-libs contine librariile folosite de catre Kerberos 5. Deoarece nu folosim Kerberos, acest pachet va fi dezinstalat. Kerberos nu este atat de secure pe cat s-ar putea crede si poate fi usor crack-uit cu un volum minim de cunostinte despre acest program. In orice caz este decizia dumneavoastra daca doriti sau nu sa-l pastrati.

• Pentru dezinstalare se foloseste

Descrierea programelor care vor fi deinstalate dupa instalarea serverului

In continuare aveti o scurta descriere a programelor care vor fi dezinstalate odata ce instalarea serverului a fost finalizata:

• pachetul anacron etse un pachet similar pachetului cron dar difera de acesta prin faptul ca acest pachet nu este destinat unor sisteme care functioneaza continuu, 24 de ore pe zi. [Nu este necesar pentru un server]
• pachetul apmd este un program destinat managementului resurselor de curent, urmareste nivelul de incarcare al bateriei in cazul unui laptop si avertizaeaza useri in cazul in care aceasta este slaba. [Nu este necesar pentru un server]
• pachetul at este un utilitar destinat rularii unor comenzi conform unui schedull. Din pacate are o istorie plina de probleme de securitate. Din acest modif recomand dezinstalarea sa. [Risc de securitate ridicat]
• pachetul dhcpcd contine protocolul care permite sistemului sa aloce dinamic adrese de IP in retea. Din moment ce nu vom folosi acest protocol el este complet inutil. [Nu este necesar]
• pachetul dosfstools contine utilitare destinate creari si verificarii partitiilor MS-DOS FAT. Trebuie amintit vom instala serverul Linux pe o masina dedicata si nu pe un PC care sa aiba doua sisteme de operare. [Nu este necesar]
• pachetul eject contine utilitare care permit userilor sa eject-eze diverse medii din sistem (CD-ROM, floppy, Zip). [Nu este necesar]
• pachetul hotplug este utilizat in cazul in care dorim sa conectam la sistem diverse device-uri USB. Intr-un mediu server, acestea nu sunt folosite. [Nu este necesar]
• pachetul ipchains este un utilitar foarte puternic dar destul de vechi, a fost introdus cu versiunea 2.2 a Kernelului, pentru filtrarea pachetelor si configurarea firewall-urilor. In prezent se foloseste iptables, mult mai puternic si documentat putin mai tarziu intr-un capitol din acest material. [Nu este necesar]
• pachetul ksymoops este un mic utilitar care raporteaza mesajele de eroare raportate de kernel. El este folosit de dezvoltatorii de produse software. Functii asematoare pentru server se vor obtine folosind comanda dmesg. [Nu este necesar]
• pachetul kudzu este un utilitar care verifica la boot, eventualele modificari la nivel hardware care au fost facute asupra sistemului. [Nu este necesar]
• pachetul lokkit este destinat configurarii unui firewall de catre end user in cazul utilizarii unei conexiuni dial-up sau prin modem de cablu. Nu se refera la configurarea unui firewall propriu-zis. [Nu este necesar]
• pachetul metamail este un program care foloseste mailcap pentru a determina modul in care trebuie afisate materialele non-text sau multimedia. [Nu este necesar]
• pachetul pciutils contine diverse utilitare pentru detectarea si configurarea diverselor device-uri conectate pe PCI. [Nu este necesar, vom folosi altceva]
• pachetul raistools include utilitare necesare configurarii si intretinerii device-urilor RAID software. [Depinde daca folosim RAID sau nu]
• pachetul redhat-logos contine fisierele "Shadow Man" si logo-ul. [Nu este necesar]
• pachetul redhat-release contine fisierele de release pentru sistemul Red Hat. [Nu este necesar]
• pachetul setserial contine utilitarele destinate configurarii si monitorizarii porturilor seriale. [Nu este necesar]

Stergerea fisierelor de documentatie

Standard, majoritatea pachetelor RPM instalate in sistemul nostru vin impreuna cu fisierele de documentatie care descriu software-ul respectiv. Aceste fisiere de documentatie contin fisierele originale din arhive, de genul README, FAQ, BUG, INSTALL, NEWS, PROJECTS precum si altele.

Multe dintre aceastea se gasesc mult mai usor direct pe site-ul de unde gasim disponibil spre download si programul la care se refera. Din acest motiv nu vad personal motivul pentru care avem nevoie si de o copie locala a acestor documentatii.

Pentru stergerea fisierelor de documentatie din sistem folosim comanda:

Stergerea fisierelor si directoarelor "inutile"

Fisierele si directoarele la care fac referire aici pot fi sterse manual din sistem pentru a avea o instalare cat mai curata. Ele nu sunt folosite, dar exista chiar si dupa instalarea foarte secure. Aceste fisiere si directoare rezida in sistem datorita unor bug-uri sau in cele mai multe cazuri datorita unor scripturi care le creaza automat chiar daca nu vor fi folosite.

Stergerea fisierelor si directoarelor goale/nefolositoare din sistem se face folosind comanda:

Software care trebuie instalat dupa instalarea serverului

Dupa ce am inlaturat toate programele care nu sunt necesare pentru o fuctionare buna si sigura a unui server Linux, acum trebuie sa avem grija sa instalam programele care vor permite compilarea software-ului care va fi instalat pe server. Din acest motiv veti instala urmatoarele pachete RPM. Aceasta parte a instalarii este foarte importanta in care veti instala toate pachetele listate mai jos.

Pe primele doua CD-uri veti gasi in directorul /RedHat/RPMS toate pachetele necesare pentru compilarea si instalarea de programe. In cazul in care doriti ca pe acest server sa nu compilati ulterior software sau daca veti folosi doar pachete RPM pentru update-ul de programe sau veti utiliza un server dedicat pentru dezvoltare (compilare si creere de pachete RPM) atunci nu mai este necesara instalarea acestor pachete.

Pasul 1

Vom monta CD-ROM-ul si ne vom pozitiona in directorul in care gasim pachetele dorite.

Pentru montarea CD-ROM-ului si mutarea in directorul de lucru vom folosi comenzile:

In acest director gasim toate pachetele de care avem nevoie la compilarea si instalarea unui program nou in sistem. Materialul de fata, va prezenta o lista minima de pachete care acopera majoritatea resurselor necesare in cazul tarball-urilor. Pot exista si excepti, de aceea recomand citirea inainte de orice instalare a fisierelor README.

Pachetele de compilatoare

Pachetele cu compilatoare contin programe si limbaje care sunt folosite la construirea software-ului in sistemul nostru. Nu uitati ca dupa instalare sa stergeti aceste pachete.

Pachetele pentru dezoltare

Pachetele destinate dezvoltarii contin header-ele si alte fisiere necesare in timpul procesului de compilare. In general, aceste pachete sunt necesare atunci cand dorim sa adaugam functionalitati suplimentare unui program atunci cand vrem sa-l compilam. Un exempla care imi vine acum in minte, daca dorim sa adaugam suport PAM pentru IMAP, avem nevoie de pachetul pam-devel, care contine fisierele necesare compilarii. Ce trebuie retinut ca aceste pachete nu aduc o imbunatatirea modului de functionare a serverului ci doar sunt necesare la compilarea diverselor programe.

ca si in cazul precedent, dupa ce au fost instalate, se recomanda ca pachetele sa fie sterse din sistem.

Pachetele de dependinte

Pachetele de dependinte sunt tot pachete RPM, pe care alte pachete RPM le cer in procesul de instalare J. Daca mai sunt necesare si alte pachete ele vor fi cerute in clar de sistem la incercarea de instalare a unor programe noi.

Pasul 2

Instalarea pachetelor de mai sus, pentru a nu primi mesaje de eroare legate de dependinte este bine sa se faca impreuna. Pachetele necesare care se gasesc pe cele doua CD-uri vor fi copiate local in directorul /var/tmp de unde se va lansa instalarea lor.

Procedura de instalare va si facuta folosind urmatoarele comenzi:

Verificarea programelor instalate pe server

Daca au fost urmati pasi de instalare descrisi in acest material, lista demai jos va contine programele pe care ar trebui sa le aveti pe serverul dumneavoastra, dupa ce instalarea a fost definitivata.

Pasul 1

Lista cu programele instalate o gasiti in fisierul install.log din directorul /tmp

Pasul 2

Dupa ce au fost dezinstalate toate pachetele inutile si au fost adaugate pachetele necesare procesului de compilare, administratorul de retea trebuie sa verifice lista tuturor pachetelor RPM instalate.

Pentru a verifica lista tuturor pachetelor din sistem se foloseste comanda:

Aducerea la zi a pachetelor RPM instalate

Acum ca avem un server Linux Red Hat instalat si securizat este bine sa actualizam toate pachetele RPM din sistem inainte de a incepe configurarea lui propriuzisa.

RedHat pune la dispozitia utilizatorilor de sisteme RedHat Linux un program numit up2date sau apt care aduce in sistemul dumneavoastra ultimele versiuni ale pachetelor RPM de pe site-ul de web RedHat folosind o conexiune securizate HTTPS/SSL care va rula in background. Aceasta modalitate este descrisa in detaliu in primul modul al acestui curs in capitolul 3.6.1 J.

Securizare si optimizare - Kernel Security

Kernelul este inima sistemului de operare, fara kernel nu exista Linux J. Din aceste motive este recomandat sa acordam o atentie deosebita si acestei parti a sistemului de operare. Red Hat nu este Linux, ci o distributie bazata pe un kernel Linux. Kernelul Linux este un program complex care ofera seviciile de baza pentru restul programelor din distributia Linux. Datorita faptului ca, spre deosebire de sistemele de operare comerciale ca Windows sau MacOS, codul sursa al kernelului Linux este disponibil gratuit, rezulta ca este foarte usor de adaugat noi imbunatatiri si facilitati la acesta. Recompilarea kernelului Linux din surse a devenit din acest motiv o operatie destul de des intalnita, si se fac eforturi din ce in ce mai mari pentru ca aceasta operatie sa devina cat mai usoara pentru cei neexperimentati.

Cand va ganditi sa optimizati kernelul sistemului dumneavoastra de operare trebuiesc avute in vedere urmatoarele motive din care o faceti (acestea imi vin in minte acum):

Kernelul va fi mai rapid (cu cat cod cu atat mai bine)

Sistemul va avea memorie mai multa (Kernelul nu va folosi NICIODATA memorie virtuala)

Sistemul va fi mai stabil (nu va mai cauta alte componente neinstalate)

Partile nefolosite ale unui Kernel neadaptat la sistemul dumneavoastra pot fi folosite de un atacator extern

Modulele instalate individual in sistem sunt mai lente decat daca ar avea suport compilat direct in Kernel.

In materialul de fata voi detaila modul de compilare intai pentu un kernel monolithic, care este metoda cea mai recomandata pentru obtinerea celor mai bune performante precum si a unui kernel modularizat, recomandat sistemlor care se doresc portabile pe diverse sisteme Linux. Kernel monolithic inseamna ca administratorul de sistem va trebui sa raspunda doar cu yes sau no la intrebarile sistemului.

Premizele instalarii

Comenzile sunt compatibile pe orice sistem Unix.

Calea catre surse folosita in acest curs este /usr/src (oricare alta cale poate fi folosita, ca o masura de "discretie" pentru distributia utilizata de dumneavoastra).

Instalarea a fost testata pe un sistem Red Hat 9.0.

Toate etapele configurarii au fost facute folosind un cont de super-user "root".

Ultima versiune de Kernel este 2.4.5

Ultimele pach-uri de securitate nu sunt inca disponibile pentru aceasta varianta

Pachete

Cursul de fata, foloseste instructiuni de instalare si informatii legate de Linux Kernel actualizate la data de 20/12/2004. Va rog verificati ultimele modificari, accesand site-ul www.kernel.org .

Codul sursa este disponibil la adresa:

Kernel Homepage: https://www.kernel.org

Kernet FTP Site: 209.10.41.242

Ultima versiune disponibila: linux-2.4.5.tar.gz

Secure Linux Kernel Patches Homepage: https://www.openwall.com/linux

Secure Linux Kernel Patches FTP Site: 195.42.162.180

Ultima versiune disponibila: nu exista

Cerinte

In raport de functiile pe care doriti sa le indeplineasca serverul al carui kernel il compilam, daca trebuie sa aiba firewall si suport quota pentru userii sai, kernelul de Linux cere ca aceste software-uri sa fie deja instalate corespunzator in sistem. In cazul in care aceste pachete nu sunt instalate, ele vor fi adaugate de pe CD-ROM sau de pe orice alt suport inainte de a incepe operatia de compilare.

iptables este un pachet care contine programe noi si foarte puternice folosite de Linux pentru configurarea firewall-ului si masquerading. Acest pachet trebuie instalat daca dorim ca serverul pe care-l instalam sa aiba suport pentru firewall.

quota este un pachet de administrare folosit pentru monitorizarea si limitarea spatiului de pe disk alocat fiecarui user. Acest pachet il vom instala daca dorim sa putem controla marimea directoarelor create de useri pe server.

Ø     Pentru a verifica daca pachetul iptables este instalat folosim comanda:

Ø      Pentru a verifica daca pachetul quota este instalat pe serverul nostru folosim:

Montam CD-ROM-ul pentru a cauta pachetele dorite:

Instalam direct de pe CD pachetele dorite folosind comenzile de mai jos

Tuning Kernel

Primul lucru important pe care un administrator de sistem trebuie sa-l faca este sa copieze arhiva noului kernel in directorul usr/src si sa stergem kernelul nou din sistem inainte de instalrea celui nou. Stergerea kernelului pe care serverul il foloseste nu il va bloca decat doar in cazul in care vom reboot-a sistemul inainte de instalarea celui nou.

Pasul 1

Este necesar aducerea in sistemul nostru (in directorul /usr/src) a unei copii a arhivei ultimei versiuni de kernel.

Pentru a copia arhiva Kernelului Linux in directorul /usr/src folosim comanda:

Ne mutam in acest director, folosind comanda:

Pasul 2

In functie de versiunea de Kernel care a fost anterior instalata avem doua posibilitati de dezinstalare, dupa cum urmeaza.

Daca Kernelul actual a fost instalat folosind o arhiva tar

Aceste etape sunt valabile doar in cazul in care versiunea de kernel folosita in prezent a fost instalata dintr-o arhiva. Daca este o instalare recenta, la care nu au fost aduse schimbari semnificative 1000% s-au folosit pachete RPM si anume kernel-headers-version.i386.rpm, kernel-version.i386.rpm.

Stergem link-ul simbolic din directorul /usr/src:

Stergem directorul in care a fost instalat head-erul kernelului anterior folosind comanda:

Stergem kernelul folosit anterior folosind comanda:

Stergem fisierul System.map folosind urmatoarea comanda:

Stergem directoarele cu modulele folosite de kernel (daca este cazul) folosind comanda:

Daca vechiul Kernel a fost instalat din pachete RPM

Daca tocmai ati terminat de instalat sistemul dumneavoastra atunci in mod sigur kernelul a fost instalat avand la baza pachete RPM. Pentru dezinstalarea lui veti folosi urmatoarele etape.

primul lucru pe care administratorul de sistem trebuie sa-l faca este sa verifice versiunea de kernel instalata. Aceasta se face folosind comanda:

Comanda de mai sus nu a facut decat sa ne arate ca kernel si kernel-header au fost singurele pachete kernel RPM instalate in sistem. Ele vor trebui dezinstalate.

Dezinstalarea lor se va face folosind urmatoarele comenzi:

Pasul 3

Odata ce versiunea veche de Kernel a fost dezinstalata de pe server si dupa ce arhiva noului Kernel se gaseste in directorul /usr/src putem incepe dezarhivarea lui. Nu uitati ca dupa desfasurare sa stergeti arhiva pentru conservarea spatiului de pe server.

Dezarhivarea versiuni noi de Kernel se face folosind comanda:

Stergerea arhivei folosite se face astfel:

Pasul 4

Acum trebuie sa facem unele modificari in fisierele pe care le-am dezarhivat pentru a obtine maximum de capabilitati. Toate optimizarile vor fi descrise in continuare si nu fac decat sa creasca functionalitatea Kernelului fata de versiunea standard.

Editati fisierul sem.h (vi +66 /usr/src/linux/include/linux/sem.h) in care veti schimba urmatoarea linie:

cu

Editati fisierul printk.c (vi +26 /usr/src/linux/kernel/print.c) si modificati urmatorii parametri:

cu

Pasul 5

Ultimul pas este de a instrui Kernelul sa foloseasca intr-un mod cat mai optim arhitectura procesorului de pe serverul dumneavoastra.

Editati fisierul Makefile (vi +19 /usr/src/linux/Makefile) si modificati urmatoarea linie:

cu

Tot in acest fisier mai modificati si linia 90 si schimbati astfel:

cu

Aplicarea pach-urilor de securitate

Aplicarea pach-urilor de securitate este o cale foarte sigura de prevenire a atacurilor de genul Buffer Overflow, precum si altor tipuri de atacuri. Aceste pach-uri fac sistemul dumneavoastra mult mai stabil si sigur.

Primul lucru care trebuie facut inainte de a aplica un patch de securitate pentru kernel este sa verificam pe site-ul producatorului ultimul patch disponibil. In continuare voi folosi un exemplu fictiv pentru descrierea etapelor de instalare. Pach-ul disponibil pentru versiunea noastra de kernel va fi denumita in continuare linux-2.4.5-ow1.tar.gz.

Pentru aplicarea unui patch de securitate folosim comenzile urmatoare:

Acum Kernelul nou instalat este patch-uit si putem continua instalarea si constructia noului Kernel, dupa care sistemul poate fi reboot-at.

Curatarea Kernelului

Este foarte important sa va asigurati ca subdirectoarele /usr/include/asm si usr/include/linux sunt doar link-uri simbolice la sursele noului Kernel care urmeaza sa fie instalat.

Pasul 1

Subdirectoarele asm si linux sunt link-uri simbolice sau link-uri soft la directoarele care contin head-erele kernelului pentru arhitectura sistemului nostru, de exemplu /usr/src/linux/include/asm-i386 pentru subdirectorul asm.

Pentru creerea acestor link-uri simbolice vom folosi comenzile:

Este o parte foarte importanta din configurare este ca administratorul sistemului sa stearga directoarele asm si linux din directorul usr/linux dupa care sa recreeze link-uri simbolice noi catre aceleasi directoare, dar diferenta majora este ca acestea sunt catre sursele kernelului nou.

Pasul 2

In aceasta etapa vom curata directorul in care se afla sursele Kernelului de fisierele care nu le vom mai folosi.

Pentru curatare folosim urmatoarea comanda:

In acest moment avem sursele pentru compilarea noului Kernel corect instalate. Configurarea Kernelului poate fi facuta in trei moduri distincte:

prima metoda este folosind comanda make conf. Terminalul va afisa mai multe intrebari legate de optiunile de configurare la care administratorul de sistem va trebui sa raspunda.

a doua metoda este legata de folosirea comenzi make menuconfig in care sunt incluse toate optiunile de configurare ale Kernelului

a treia metoda, nu este cazul nostru, este cea in care se foloseste comanda make xconfig care pune la dispozitia administratorului o interfata grafica de configurare.

Pasul 3

Pentru materialul de fata am ales configurarea folosind comanada make config deoarece nu avem instalate pe server utilitare de genul Xfree86 care ar fi necesare in cazul utilizarii configurarii cu make menuconfig.

• Pentru a incarca configuratia kernelului nou vom folosi comanda:

Configurarea kernelului

Odata introdusa comanda de mai sus vor fi afisate o lista cu optiunile configurabile ale kernelului. administratorul de sistem va trebui sa indice device-urile serverului si pentru care doreste suport. Pentru fiecare optiune puteti raspunde cu una din varinatele:

[y] va fi compilata in kernel si va fi totdeauna incarcata de sistem

[m] se vor folosi module pentru folosirea acestei caracteristici si va fi incarcata la cerere

[n] nu se va oferi suport in kernel

Asa cum am zis anterior, in continuare vom trata compilarea unui Kernel monolitic. Trebuie stiut ca acesta este specific pentru fiecare sistem. Materialul a fost realizat pe un hardware care avea urmatoarele caracteristici:

1 Pentium-III 667 MHz (i686) processor

1 Motherboard Asus P3V4X Pro 133Mhz EIDE

1 Hard Disk Ultra ATA/66 EIDE

1 Chipset Apollo Pro133A

1 CD-ROM ATAPI IDE

1 Floppy Disk

2 Ethernet Cards 3COM 3c597 PCI 10/100

1 Mouse PS/2

In configuratia urmatoare:

am activat suportul pentru posibilitatea de a incarca ulterior module

am adaptat kernelul la tipul de procesor i686

am adaugat suport full pentru Firewall Netfilter (iptables) cu masquerading si forwarding

suport DMA pentru discuri IDE (daca folositi SCSI veti dezactiva optiunea pentru DMA)

am dezactivat serviciile de NFS, suportul pentru USB si sound

Configuratia este ideala pentru un server Gateway/Proxy/Mail/DNS Server.

Compilarea Kernelului

Pentru compilarea Kernelului vom folosi urmatoarele comenzi:

make dep va incarca configuratia si va construi arborele de interdependenta dintre sursele kernelului, deoarece e posibil ca legaturile dintre acestea sa fi fost afectate de optiunile pe care le-ati facut la pasul anterior.

make clean elimina orice fisier ramas din compilarile anterioare ale kernelului, fisiere care acum sunt inutile

make bzImage incepe compilarea propriu-zisa a kernelului.

Dupa acest proces a fost incheiat cu succes, kernelul gata compresat este gata sa fie instalat in sistemul dumneavoastra. Inainte de aceasta este bine de stiut ca aveti nevoie sa compilati si modulele corespunzatoare, asta DOAR in cazul in care ati raspuns cu yes la "Enable loadable module support (CONFIG_MODULES)". In acest caz trebuiesc executate urmatoarele comenzi:

• Pentru compilarea modulelor corespunzatoare kernelului dumneavoastra folositi comanda:

Instalarea Kernelului

Odata ce kernelul a fost configurat, compilat acum el este gata de instalare pe serverul dumneavoastra. Mai jos sunt descrisi pasi care trebuiesc urmati pentru aceasta operatie.

Pasul 1

Copiati fisierul /usr/src/linux/arch/i386/boot/bzImage din directorul sursa al kernelului in directorul /boot si ii schimbati denumirea.

• Pentru copierea fisierului bzImage folositi comanda:

Pasul 2

Copiati fisierul /usr/src/linux/System.map din directorul sursa al noului kernel in directorul /boot.

• Copierea fisierului System.map in directotul /boot se face astfel:

Pasul 3

In aceasta etapa trebuiesc reconstruite link-urile simbolice catre vmlinuz si System.map

• Creerea linkurilor simbolice o vom face astfel:

In acest punct administratorul de retea mai trebuie sa reconstruiasca linkurile catre vmlinuz si System.map sa point-eze catre noua versiune de kernel instalata. Fara noile link-uri programul de boot-are LILO va ramane blocat, incercand sa incarce veche versiune de kernel.

Pasul 4

Pentru a pastra o instalare curata vom sterge fisierel inutile din directorul /boot.

• Stergerea acestor fisiere o vom face cu comanda:

Pasul 5

Ca instalarea sa fie completa si curata in sensul ca pe viitor sa stiiti exact ce versiune de kernel este instalata si unde gasiti toate fisierele utilizate de actualul kernel se recomanda creerea unui nou director in care sa fie mutate toate aceste fisiere si directoare.

• Vom crea un director in care vom copia toate fisierele noului kernel:

Pasul 6

Ultima etapa este modificare fisierului /etc/lilo.conf pentru a configura sistemul sa porneasca la restart cu noua versiune de kernel.

• Editati fisierul lilo.conf (vi /etc/lilo.conf) si faceti urmatoarele modificari:

Domain Name System - ISC BIND/DNS

Doua tehnologii sunt in mare masura responsabile pentru incredibila expansiune a Internetului. Una dintre aceste tehnologii este World Wide Web (www) - aplicatie ucigatoare pentru Internet. Cealalta este sistemul Domain Name System (DNS). Inainte de introducerea pe scara larga a sistemului DNS in 1988, numarul de servere care ofereau navigatorilor pagini publice erau de ordinul miilor. Astazi, ele ating cifre impresionante, zeci de milioane. Acest proces nu reprezinta doar o problema de cerere, el este si un rezultat al disponibilitatii.

Sistemul Domain Name System este instrumentul care face ca milioane de servere din Internet sa fie disponibile. Inainte de aparitia sistemului DNS, toate numele de servere de pe Internet inregistrate erau stocate intr-un fisier plat, care trebuia sa fie reprodus pe fiecare calculator de retea. Limitarile acestui fisier a reprezentat o bariera in calea expansiunii. Sistemul DNS a rupt aceasta bariera prin inlocuirea fisierului plat cu un sistem ierarhic si distribuit de baze de date. Nu mai suntem limitati la un fisier de nume de domenii intretinut central. Acum fiecare organizatie de retea este responsabila de intretinerea propriei parti din baza de date a domeniului.

Sistemul de operare Linux este o platforma excelenta si recomandata pentru construirea unui server DNS. Fiabilitatea acestui sistem de operare este deja legendara. La fel de importanta ca fiabilitatea sistemului este si fiabilitatea programelor serverului de nume care ruleaza pe acest sistem. Din nou, sistemul Linux este un castigator, deoarece el utilizeaza pachetul de programe Berkeley Internet Name Domain (BIND). Pachetul BIND este acel software care, in 1980, a introdus pentru prima data sistemul DNS pentru utilizarea pe sacara larga, fiind si astazi cel mai larg utilizat software pentru sistemul DNS, aproximativ 90% din serverele din Internet folosesc acest program.

In continuare in acest curs voi trata mai multe aspecte legate de instatlarea si configurarea serverului de DNS si anume:

• Pachetele RPM recomandate a fi instalate pentru un servere de DNS
• Compilarea - Optimizarea & Instalarea ISC BIND & DNS
• Configurarea ISC BIND & DNS
• Configurarea serverului de DNS in modul Caching-Only
• Configurarea serverului de DNS ca Primary Master
• Configurarea serverului de DNS ca Secondary Slave
• Securizarea ISC BIND & DNS
• Unelte de administrare a ISC BIND & DNS
• Unelte de verificare a ISC BIND & DNS

Odata ce serverul dumneavoastra este instalat si au fost adaugate si software-urile de securitate, este momentul ca acesta sa capete si consistenta, adica sa ii fie adaugate si servicii de retea. Domanin Name System (DNS) este unul dintre cele mai IMPORTANTE servicii pentru o retea de comunicatie IP, si din acest motiv, toate masinile CLIENT ar trebui configurate sa aiba minim fucntia de caching. Configurarea pe statiile Linux dintr-o retea a unui server de caching ar reduce semnificativ incarcarea pentru serverul primar de nume al domeniului din care face parte. Actionand ca server de caching, statia respectiva va interoga serverul de nume primar doar in cazul unei cereri noi, raspunsul la cereri care au fost facute anterior se vor rezolva local. Aceasta va duce la o reducere semnificativa a timpului de asteptare.

BIND este un sistem client/server, fiind astfel compus din doua parti fundamentale:

resolver-ul, partea dinspre clientu a sistemului

named, programul daemon al serverului de nume.

Serverul de nume (Name Server - NS) este un program care stocheaza informatiile despre resursele de nume si raspunde la cererile facute de resolver. In ciuda numelui sau, de fapt nu rezolva interogarea ci pur si simmplu expediaza interogarea catre server, pentru a fi rezolvata. Tot ceea ce face este sa construiasca interogarea corect si sa astepte ca named-ul sa raspunda la aceasta.

Pentru separarea serverului de nume intern de DNS-ul extern, este recomandata folosirea unei arhitecturi de gen "Split DNS" cunoscuta in literatura de specialitate si sub numele de "shadow namespaces". Split DNS este un server de nume care raspunde unei interogari venite de la o sursa intr-un fel, iar de la alta sursa in alt mod, cu o alta rezolutie de nume. Aceasta arhitectura de DNS, permite adresele si topologia retelei interne sa nu fie vibile dintr-o retea externa, in afara retelei fiind publicate doar adresele publice ale serverelor institutiei.

In acest curs se va prezenta in continuare modul de instalare si configurare al ISC BIND & DNS folosind un user obisnuit (non root-user) in trei scenarii diferite:

1. Caching Name Server
2. Slave Name Server (Secondary DNS Server)
3. Master Name Server (Primary DNS Server)

Pachetele RPM recomandate a fi instalate pentru un servere de DNS

Folosind o configuratie minima este un punct de plecare perfect pentru a construi un sistem de operare cat mai securizat. In continuare sunt listate pachetele RPM recomandate pentru a configura serverul de Linux ca Primary/Master sau Secondary/Slave Domain Name Server (DNS).

Am plecat de la premiza ca kernelul este un kernel monolitic, iar serverul de DNS va fi instalat folosind ISC BIND&DNS din pachete RPM.

Premizele instalarii

Comenzile sunt compatibile pe orice sistem Unix.

Calea catre surse folosita in acest curs este /var/tmp (oricare alta cale poate fi folosita, ca o masura de "discretie" pentru distributia utilizata de dumneavoastra).

Instalarea a fost testata pe un sistem Red Hat 9.0.

Toate etapele configurarii au fost facute folosind un cont de super-user "root".

Nu este necesara recompilarea kernelului.

Ultima versiune ISC BIND & DNS este 9.1.2.

Pachete

Cursul de fata, foloseste instructiuni de instalare si informatii legate de ISC BIND & DNS actualizate la data de 20/12/2004. Va rog verificati ultimele modificari, accesand site-ul www.isc.org .

Codul sursa este disponibil la adresa:

ISC BIND & DNS Homepage: https://www.isc.org

ISC BIND & DNS FTP Site: 204.152.184.27

Ultima versiune disponibila: bind-9.1.2.tar.gz

Cerinte

ISC BIND & DNS necesita ca pachetele mai sus listate sa fie deja instalate in sistem, pentru ca acesta sa fie capabil sa-l compileze cu succes. Daca ele lipsesc, acestea trebuie instalate in prealabil.

Pregatirea instalarii

Daca pentru instalarea serverului de DNS se folosesc pachete RPM, va fi dificil pentru administratorul serverului sa gaseasca toate fisierele instalate in eventualitatea unui update in viitor. Pentru rezolvarea acestei probleme, este o buna idee sa facem o lista cu fisierele din sistem inainte de a instala ISC BIND & DNS, si una dupa, iar apoi sa comparam cele doua liste folosind utilitarul diff pentru a afla care fisiere au fost inlocuite prin acest update.

Inainte de instalarea rulati urmatoare comanda:

si apoi dupa instalare software-ului:

ulterior pentru alcatui o lista cu schimbarile din sistem trebuie rulata comanda:

Cu aceasta procedura, daca este necesar realizarea unui update, tot ce trebuie facut este sa cititi lista fisierelor care au fost adaugate sau schimbate de program si sterse manual din sistem inainte de instalarea unei versiuni noi de software. In exemplul dat mai sus, am folosit directorul /root ca director in care vor fi generate listele de fisiere.

Compilarea - Optimizarea & Instalarea ISC BIND & DNS

Dupa ce specificatiile de mai sus sunt indeplinite, ne putem apuca sa configuram, optimizam si compilam software-ul de ISC BIND & DNS inainte de a incepe instalarea lui. Instalarea se va face de sub contul de root pentru a evita orice probleme legate de drepturi.

Pasul 1

Odata ce programul a fost descarcat in sistem, el trebuie copiat in directorul /var/tmp si apoi dezarhivat (optiunea de /var/tmp este pur personala si este legata de o instalare cat mai curata).

pentru realizarea acestora folosim urmatoarele comenzi:

Pasul 2

ISC BIND & DNS nu ruleaza sub contul de super-user, root; si din acest motiv trebuie creat un user special care sa nu aiba drepturi speciale de shel care sa ruleze daemonul de ISC BIND & DNS.

pentru a crea acest user special se foloseste comanda:

comanda de mai sus nu face altceva decat sa creeze un cont nul, fara parola, fara drept de shell, fara structura de fisiere proprii, nimic altceva decat un UID si GID pentru program.

Pasul 3

Dupa acesti primi doi pasi, ne vom muta in directorul creat pentru ISC BIND & DNS si vom face cateva operatii de optimizare inainte de compilare. Modificarile asupra fiiserelor sursa, la care ma refer, sunt necesare pentru a schimba calea catre cateva fisiere si de a remedia cateva bug-uri de software.

pentru a ne muta in directorul creat pentru ISC BIND & DNS, vom folosi urmatoarea comanda:

Pasul 3.1

Primul fisier care trebuie modificat este dighost.c care se gaseste in directorul care contine sursele pentru ISC BIND & DNS. In acest fisier, trebuie adaugata o linie legata de functia de reverse.

Editam fisierul dighost.c folosind editorul vi:

si vom modifica urmatoarele linii:

options ;

Majoritate fisierelor named.conf incep cu o instructiune options. Intr-un fisier named.conf este permisa o singura instructiune options. Aceasta instructiune definesti parametrii globali care afecteaza modul de operare al pachetului ISC BIND & DNS. De asemeni stabileste optiunile implicite folosite de alte instructiuni in fisierul de configurare.

directory "/var/named";

In aceasta instructiune options, cuvantul cheie directory defineste directorul prestabilit pentru programul named. Numele prestabilit al directorului este utilizat si pentru a completa numele oricarui fisier specificatin fisierul de configurare, el defineste calea absoluta.

allow-transfer ;

Aceast atribut specifica care host-uri au permisiunea de a primi zone transferate de servere de nume primare. Configurarea default a ISC BIND & DNS permite transferul de zona pentru orice statie. Din motive de securitate aceasta optiune trebuie inhibata in asa fel incat zona sa poata fi transferata de la serverul primar de nume doar de catre serverul secundar de nume si de catre nici alt server de nume.

allow-queryh ;

Acest atribut specifica in clar care statii au dreptul sa interogheze serverul de caching. In configuratia standard, orice statie are dreptul sa adreseze cereri serverului de caching, dar in exemplul de mai sus, doresc sa las dreptul de interogare doar statiilor din reteaua interna. Aceasta optiune este de asemeni o optiune de securitate.

allow-recursion ;

Optiunea allow-recursion listeaza gazdele carora le este permis sa efectueze interogari recursive prin intermediul acestui server. Optiunea prestabilita este de a efectua interogari recursive pentru toate gazdele. In exemplul de mai sus este permisa interogarea recursiva doar statiilor din LAN-ul local. Daca acest lucru ar fi permis si host-urilor externe retelei aceasta ar fi o bresa de securitate, serverul fiind vulnerabil atacurilor externe.

forwarders ;

In aceasta optiune sunt listate adresele IP ale serverelor carora le sunt reexpediate interogarile. Optiunea prestabilita este de a nu utiliza reexpedierea. Serverele care nu au acces direct la Internet pot folosi aceasta optiune pentru a crea o zona de cache cat mai larga, reducand astfel traficul catre link-urile externe, catre serverel de nume. Aceasta reexpediere a interogarii se intampla doar atunci doar cand serverul nu este autorizat pentru zona respectiva sau nu o are memorata in cache. IP-urile din exemplu reprezinta adresele serverelor primar, respectiv secundar de nume. Ele pot fi deasemeni adresele serverelor de nume ale providerului de servicii Internet sau oricare alte servere de nume din Internet.

version "Go away!";

Acest atribut specifica sirul returnat atunci cand serverul este interogat despre versiunea sa de ISC BIND & DNS. Este folosita in special impotriva celor care scaneaza serverul de nume pentru descoperirea breselor de securitate. Textul de "Go away" poate fi schimba dupa preferinte J. Aceasta optiune este de asemeni o optiune de securitate.

notify no;

DNS Notify este un mecanism care permite serverului primar de nume sa notifice serverele secundare de nume de modificarea zonei. In raspunsul la Notify-ul primit de la Master, secundarul verifica daca versiunea de zona pe care o are el inregistrata este versiunea curenta anuntata de catre serverul primar de nume, iar daca aceasta difera, initiaza transferul zonei modificate. Valoarea prestabilita este "yes", dar in cazul serverul de caching, zona pe care acesta o gestioneaza fiind adresa de loopback 127.0.0.1, administratorul trebuie sa evite transferul configuratiei pentru localhost catre serverele Secondary/Slave de nume.

Pasul 2

In aceasta etapa trebuiesc acordate si permisiile corecte pe fisierul de configurare al ISC BIND & DNS pentru user-ul proprietar, named. Din motive de securitate acesta trebuie sa aiba doar el drept de scriere si citire.

Pentru a schimba aceste permisii se va folosi urmatoarea succesiune de instructiuni:

/var/named/db.127.0.0: Fisierul de reverse pentru ISC BIND & DNS

Acest fisier de configurare este folosit de catre toate serverele de nume care nu actioneaza in retea ca server primar sau secundar de nume. Fisierul "db.127.0.0" converteste adresa de loopback a retelei in adresa de loopback a serverului.

Pasul 1

Trebuie creat urmatorul fisier in directorul /var/named.

Se creeaza fisierul db.127.0.0 (folosind comanda touch /var/named/db.127.0.0) si apoi se adauga urmatoarele linii in fisierul nou creat:

Pasul 2

Acum in aceasta etapa, asa cum am procedat si mai sus, trebuie acordate permisiile corecte, din motive de securitate.

Pentru schimbarea permisiilor corecte folosim urmatoarele comenzi:

Configurarea serverului de DNS ca server Primary/Master

Acest capitol descrie in amanunt instalarea si configurarea unui server ISC BIND & DNS care actioneaza in cadrul unei retele ca server primar de nume. Serverul master este un server de nume cu autoritae pentru o zona si reprezinta ultima sursa a informatiei legata de zona gestionata. Acesta constituie sursa principala a tuturor informatiilor despre zona. Incarca baza de date a zonei din fisierele locale de pe disc, care sunt create de catre administratorul de domeniu. Pentru o zona trebuie sa existe un singur server primar sau master de nume.

/etc/named.conf : Fisierul de configurare al ISC BIND & DNS

Acest fisier de configuratie este folosit de serverele care indeplinesc in retea rolul de server de DNS primar. In orice retea de intreprindere care se doreste solida este recomandata configurarea cel putin a unui server de nume primar. In continuare vom folosi ca exemplu de domeniu "ro-host.ro", iar clasa de adrese folosita va fi 80.97.20.0.

Pasul 1

In fisierul /etc/named.conf vom adauga cateva linii dupa cum urmeaza.

Vom crea fisierul named.conf (touch /etc/named.conf). In continuare este un exemplu al acestui fisier pe care-l recomand:

options ;

Majoritate fisierelor named.conf incep cu o instructiune options. Intr-un fisier named.conf este permisa o singura instructiune options. Aceasta instructiune definesti parametrii globali care afecteaza modul de operare al pachetului ISC BIND & DNS. De asemeni stabileste optiunile implicite folosite de alte instructiuni in fisierul de configurare.

directory "/var/named";

In aceasta instructiune options, cuvantul cheie directory defineste directorul prestabilit pentru programul named. Numele prestabilit al directorului este utilizat si pentru a completa numele oricarui fisier specificatin fisierul de configurare, el defineste calea absoluta.

allow-transfer ;

Aceast atribut specifica care host-uri au permisiunea de a primi zone transferate de servere de nume primare. Configurarea default a ISC BIND & DNS permite transferul de zona pentru orice statie. Din motive de securitate aceasta optiune trebuie modificata in asa fel incat zona sa poata fi transferata de la serverul primar de nume doar de catre serverul secundar de nume si de catre nici alt server de nume. In cazul nostru este listata adresa serverului de nume secundar, 80.97.20.6. Aceasta configurare va inhiba actiunile celor care doresc sa faca spamm sau IP spoofing, fiind deci o masura de securitate destul de puternica.

allow-queryh ;

Acest atribut specifica in clar care statii au dreptul sa interogheze serverul de caching. In configuratia standard, orice statie are dreptul sa adreseze cereri serverului de nume primar, dar in exemplul de mai sus, doresc sa las dreptul de interogare doar statiilor din reteaua interna 192.168.0.0/24 si 80.97.20.0/24 precum si localhost. Folosind aceasta restrictie oricine din Internet poate intreba despre o zona pe care serverul o administreaza si sa primeasca un raspuns, dar doar statiile din reteaua interna (retelele specificate in clar in allow-query) pot efectua si alte requesturi. Aceasta optiune este de asemeni o optiune de securitate.

allow-recursion ;

Optiunea allow-recursion listeaza gazdele carora le este permis sa efectueze interogari recursive prin intermediul acestui server. Optiunea prestabilita este de a efectua interogari recursive pentru toate gazdele. In exemplul de mai sus este permisa interogarea recursiva doar statiilor din LAN-ul local. Daca acest lucru ar fi permis si host-urilor externe retelei aceasta ar fi o bresa de securitate, serverul fiind deschis atacurilor externe.

version "Go away!";

Acest atribut specifica sirul returnat atunci cand serverul este interogat despre versiunea sa de ISC BIND & DNS. Este folosita in special impotriva celor care scaneaza serverul de nume pentru descoperirea breselor de securitate. Textul de "Go away" poate fi schimba dupa preferinte J. Aceasta optiune este de asemeni o optiune de securitate.

notify no;

DNS Notify este un mecanism care permite serverului primar de nume sa notifice serverele secundare de nume de modificarea zonei. In raspunsul la Notify-ul primit de la Master, secundarul verifica daca versiunea de zona pe care o are el inregistrata este versiunea curenta anuntata de catre serverul primar de nume, iar daca aceasta difera, initiaza transferul zonei modificate. Valoarea prestabilita este "yes", dar in cazul serverul de caching, zona pe care acesta o gestioneaza fiind adresa de loopback 127.0.0.1, administratorul trebuie sa evite transferul configuratiei pentru localhost catre serverele Secondary/Slave de nume.

Pasul 2

In aceasta etapa trebuiesc acordate si permisiile corecte pe fisierul de configurare al ISC BIND & DNS pentru user-ul proprietar, named. Din motive de securitate acesta trebuie sa aiba doar el drept de scriere si citire (0600/ -rw - --- ---).

Pentru a schimba aceste permisii se va folosi urmatoarea succesiune de instructiuni:

/var/named/db.127.0.0: Fisierul de reverse pentru ISC BIND & DNS

Acest fisier de configurare este folosit de catre toate serverele de nume care actioneaza in retea ca server primar sau master. Fisierul "db.127.0.0" converteste adresa de loopback a retelei in adresa de loopback a serverului.

Pasul 1

Trebuie creat urmatorul fisier in directorul /var/named.

Se creeaza fisierul db.127.0.0 (folosind comanda touch /var/named/db.127.0.0) si apoi se adauga urmatoarele linii in fisierul nou creat:

Pasul 2

Acum in aceasta etapa, asa cum am procedat si mai sus, trebuie acordate permisiile corecte, din motive de securitate. Aceste permisii vor fi 0644 / -rw-r--r--

Pentru schimbarea permisiilor corecte folosim urmatoarele comenzi:

/var/named/db.ro-host: Fisierul de mapare al adreselor IP la numele de host-uri pentru ISC BIND & DNS

Folositi acest fisier de configurare pentru un server care actioneaza ca Master Name Srever pentru domeniul ro-host.ro. Fisierul db.ro-host mapeaza adresele la numele host-urilor.

Pasul 1

In prima faza trebuie sa avem acest fisier in directorul /var/named.

Facem acest fisier, db.ro-host (touch /var/named/db.ro-host) care va contine urmatoarele linii:

Pasul 2

Acum trebuie acordate permisiile corecte, din motive de securitate. Aceste permisii vor fi 0644 / -rw-r--r-pentru user-ul de sistem named

Pentru schimbarea permisiilor corecte folosim urmatoarele comenzi:

Configurarea serverului de DNS ca server Secondary/Slave

Acest capitol descrie modul de instalare si configurare corecta a ISC BIND & DNS pentru un server care in reteaua din care face parte va avea rolul de server secundar de nume. Un server slave este un server cu autoritate pentru o zona, deoarece are cunostinte complexe, curente despre zona respectiva. Descarca periodic intreaga baza de date a zonei de pe serverul master sau chiar de pe alte servere secundare de nume si stocheza o copie a zonei pe propriile sale unitati de disc. Un server slave este un server de siguranta pentru o zona. In general, doua sau trei servere de siguranta sunt suficiente pentru majoritatea domeniilor.

/etc/named.conf : Fisierul de configurare al ISC BIND & DNS

Acest fisier de configuratie este folosit de serverele care indeplinesc in retea rolul de server de DNS secundar. Acest fisier trebuie modificat si configurat corespunzator.

Pasul 1

In fisierul /etc/named.conf vom modifica toate inregistrarile folosite in exemplu pentru serverul de nume primar cu exceptia zonei "0.0.127.in-addr.arpa" si vom adauga o linie cu adresa IP a serverului primar.

Vom crea fisierul named.conf (touch /etc/named.conf). In continuare este un exemplu al acestui fisier pe care-l recomand:

Pasul 2

In aceasta etapa trebuiesc acordate si permisiile corecte pe fisierul de configurare al ISC BIND & DNS pentru user-ul proprietar, named. Din motive de securitate acesta trebuie sa aiba doar el drept de scriere si citire (0600/ -rw - --- ---).

Pentru a schimba aceste permisii se va folosi urmatoarea succesiune de instructiuni:

/var/named/db.127.0.0: Fisierul de reverse pentru ISC BIND & DNS

Acest fisier de configurare este folosit de catre toate serverele de nume care actioneaza in retea ca server secundar. Fisierul "db.127.0.0" converteste adresa de loopback a retelei in adresa de loopback a serverului.

Pasul 1

Trebuie creat urmatorul fisier in directorul /var/named.

Se creeaza fisierul db.127.0.0 (folosind comanda touch /var/named/db.127.0.0) si apoi se adauga urmatoarele linii in fisierul nou creat:

Pasul 2

Urmatorul pas presupune acordarea permisiilor corecte, din motive de securitate pentru user-ul proprietar pentru aplicatia ISC BIND & DNS. Aceste permisii vor fi 0644 / -rw-r--r--

Pentru schimbarea permisiilor corecte folosim urmatoarele comenzi:

/var/named/db.cache: Fisierul cu servere radacina pentru ISC BIND & DNS

Acest fisier este valabil pentru toate tipurile de servere de nume (Caching, Slave sau Master) care vor fi instalate in sistemul dumneavoastra. Fisierul db.cache nu face altceva decat sa specifice serverului dumneavoastra (indiferent de tipul sau) unde sa gaseasca serverele pentru domaniul radacina si din acest motiv o copie a acestui fisier trebuie sa fie stocata si pe serverul vostru. El va fi salvat in directorul /var/named.

Pasul 1

Pentru a obtine o copie actualizata a acestui fisier, este metoda cea mai recomdata, se va face o cere pentru acest fisier de pe o alta statie Unix, alta decat serverul care se instaleaza, sau pur si simplu se poate face o copie de pe unul din CD-urile de instalare a sistemului.

Pentru a obtine o copie a fisierului cu serverele radacina se va folosi urmatoarea comanda:

Sau la fel de bine se poate realiza acest lucru cu o interogare dupa IP

Pasul 2

Acum, ce a mai ramas de facut este sa setam corect permisiunile pentru acest fisier, ele trebuie sa fie 0644 / - r w - r - - r - -, iar fisierul sa apartina doar user-ului named:

Pentru schimbarea permisiilor corecte folosim urmatoarele comenzi

/etc/sysconfig/named: Fisierul de configurare al sistemului pentru ISC BIND & DNS

Acest fisier se gaseste in toate serverele care au instalat ISC BIND & DNS indiferent de modul de lucru (Caching, Master sau Slave). Fisierul /etc/sysconfig/named pentru a specifica ISC BIND & DNS configurarile generale ale sistemului precum daca daemon-ul de named trebuie sa fie pornit la start-up, sub ce user trebuie sa ruleze, etc.

Vom crea un fisier named (touch /etc/sysconfig/named) si vom adauga urmatoarele linii:

Optiunea de "ROOTDIR=""" indica ISC BIND & DNS care este directorul standard pentru root. Aceasta optiune se foloseste cand, pentru mai multa securitate se doreste sa se lucreze in modul "chroot jail".

Optiunea de "OPTIONS=""" este destinata pentru a adauga mai multi parametri care vor fi luati in considerare inainte ca daemon-ul named sa fie pornit. De exemplu se poate folosi "-d" pentru a da administratorului la consola mesajele de debug. In cele mai multe cazuri aceste optiuni nu vor fi introduse in acest fisier.

/etc/rc.d/init.d/named: Fisierul de initializare pentru ISC BIND & DNS

Acest fisier este identic pentru toate tipurile de servere de nume, indiferent de rolul pe care acesta il are in reteaua din care face parte. Fisierul /etc/rc.d/init.d/named este responsabil de pornirea si oprirea automata a daemon-ul ISC BIND & DNS din serverul administrat de dumneavoastra. Incarcarea individuala a daemon-ului named, este avantajoasa deoarece reduce timpul de incarcare si reduce swapping-ul.

Pasul 1

Se creaza scriptul named (touch /etc/rc.d/init.d/named) care trebuie sa contina urmatoarele linii:

Pasul 2

Odata ce scriptul a fost creat este foarte important sa-l facem si executabil, schimband setarile implicite, sa facem link-urile necesare si apoi sa-l pornim. Facandul executabil vom permite sistemului sa-l ruleze, iar schimband permisiile vom permite doar root-ului sa modifice acest fisier si nu in ultimul rand vom crea un link simbolic pentru a permite sistemului sa-l controleze la initializarea sistemului si sa porneasca automat la fiecare boot-are.

Facem scriptul executabil si schimbam permisiile asupra lui folosind comenzile

Adaugam un link simbolic catre rc.d astfel:

Pentru a porni ISC BIND & DNS manual folosim:

Securizarea ISC BIND & DNS

Aceasta sectiune trateaza in special actiunile care se pot face pentru securizarea serverului de nume.

Securizarea Bind folosind TSIG

Securizarea folosind TSING se foloseste doar in cazul in care folositi un server de nume Master sau Slave. Noua versiune de BIND 9 a fost rescrisa aproape in totalitate si arhitectura actuala a ISC BIND & DNS permite creerea de key tranzactionale si folosirea tranzactiilor semnate (Transaction SIGnatures - TSIG). TSIG este folosit pentru semnarea cererilor de DNS. Asta inseamna ca daca un server primeste un mesaj semnat cu aceasta cheie, el o va verifica. In cazul in care semnatura este recunoscuta, cel care a adresat interogarea va primi un raspuns semnat cu aceeasi cheie. Cu ajutorul acestui mecanism avem acum posibilitatea sa avem un mai bun control asupra cui poate face transfer de zona, asupra notificarilor de zona, precum si asupra cererilor recursive. Mecanismul este folositor si pentru actualizarile dinamice.

In continuare sunt prezentati pasi care vor fi parcursi pentru generarea acestor chei precum si modul lor de folosire.

Pasul 1

Pentru inceput trebuiesc generate cheile pentru fiecare pereche de servere (Master si Slave). Aceasta cheie criptata va fi share-uita intre serverul primar de nume si cel secundar. Cel mai important aspect este acela ca cheia sa aiba exact acelasi nume pentru cele doua sisteme (in exemplul nostru "ns1 - ns2 ").

Generarea cheilor se face folosind urmatoarele comenzi:

Pasul 2

In pasul precedent nu am facut decat sa generam o cheie de 128 de biti (16 byte) HMAC-MD5. Aceasta va fi creata intr-un fisier numit "Kns1-ns2.+157+49406.private" si va fi gasita in continuarea liniei care contine cuvantul "Key:", loc de unde ea va trebui copiata

Se editeaza fisierul Kns1-ns2.+157+49406.private (vi Kns1-ns2.+157+49406.private) pentru a extrage cheia generata de sistem:

sirul de caractere "ps1jy3f7czVa1VNZkYaLfw= =" (generat in exemplul nostru) este cheia pe care in continuare o vom folosi intre cele doua servere de nume.

Pasul 3

Odata ce aceasta cheie a fost copiata pe cele doua sisteme (folosind ssh) acest fisier se poate sterge.

Pentru a sterge fisierele generate si care contin cheia secreta folosim comenzile:

Pasul 4

Este timpul sa configuram cele doua servere (primar si secundar) sa utilizeze aceste chei. Pentru aceasta va trebui sa adaugat cateva linii in fisierele de configurare ale serverelor, in named.conf

Vom edita named.conf (vi /etc/named.conf) pe cele doua servere si vom adauga urmatoarele:

Pasul 5

Ultima etapa ce configurare stabileste ca cele doua servere sa foloseasca aceste chei in comunicarea dintre ele si acest lucru se realizeaza prin adaugarea in fisierul named.conf de pe serverul primar (ns1) a adresei IP a serverulu secundar ns2 si invers.

Se editeaza named.conf (vi /etc/named.conf) pe ambele servere si se adauga adresele IP corespunzatoare:

Dupa modificarile indicate in ultimii doi pasi, fisierele de configurare pentru ISC BIND & DNS ar trebui sa arate astfel:

   Pentru serverul primar - Primary/Master Server

   Pentru serverul secundar - Secondary/Slave Server

Pentru o securitate si mai avansata se poate merge si mai departe cu folosirea acestor chei private in sensul ca anumite optiuni define anterior pot si ele intarite de folosirea acelorasi chei. De exemplu optiunea allow-transfer.

Se editeaza fisierul /etc/named.conf astfel:

linia care contine:

va fi inlocuita cu:

Tot pentru securizare sistemului ISC BIND & DNS se pot folosi si alte procedee cum ar fi utilizarea unui algoritm de criptare pentru serverul de nume cu ajutorul rndc, sau utilizare unui algoritm de criptare al autentificarii utilizand DNSSEC. Principiul de configurare pentru amandoua esteaproximativ identic cu cel prezentat mai sus.

Unelte de administrare si verificare a ISC BIND & DNS

Comenzile listate in continuare sunt cele pe care eu le folosesc si le recomand. Cu siguranta exista si altele, si de aceea va rog sa consultati paginile de manual ale ISC BIND & DNS pentru mai multe informatii.

dig

Comanda dig este utilitar lookup (domain information groper) iar capacitatea acestui instrument de testare provine din numarul de detalii pe care le ofera despre o interogare DNS si din faptul ca formateaza aceste informatii intr-un mod care poate fi utilizat direct de catre programul named. Aceasta comanda poate fi deasemeni folosita pentru actualizarea fisierului db.cache.

Folositi urmatoarea comanda pentru obtinerea adresei:

Comanda dig are mai multe optiuni care pot fi consultate din pagina de manual.

rndc

Comanda rndc permite administratorului de sistem sa controleze operatiile care se desfasoara in serverul de nume. Acest utilitar este folosit pentru reincarcarea fisierelor de configurare ale zonei, pentru mentinerea integritatii zonei, logarea cererilor, oprirea serverului de DNS precum si la alte functii.

nslookup

Capacitatile comenzi nslookup pot fi evidentiate cel mai bine atunci cand aceasta este utilizata ca un instrument de testare interactiva.

Pentru a folosi aceasta comanda in mod interactiv se tasteaza comanda nslookup la promptul interpretorului de comenzi shell.

host

Comanda host este simpla si directa. Cel mai des, este utilizata pentru a obtine adresa IP a unui server de nume, cu minimum de bataie de cap.

Pentru a obtine adresa serverului care gestioneaza domeniul ro-host.ro se foloseste urmatoarea comanda:

Securizare si optimizare - Kernel Security

Kernelul este inima sistemului de operare, fara kernel nu exista Linux J. Din aceste motive este recomandat sa acordam o atentie deosebita si acestei parti a sistemului de operare. Red Hat nu este Linux, ci o distributie bazata pe un kernel Linux. Kernelul Linux este un program complex care ofera seviciile de baza pentru restul programelor din distributia Linux. Datorita faptului ca, spre deosebire de sistemele de operare comerciale ca Windows sau MacOS, codul sursa al kernelului Linux este disponibil gratuit, rezulta ca este foarte usor de adaugat noi imbunatatiri si facilitati la acesta. Recompilarea kernelului Linux din surse a devenit din acest motiv o operatie destul de des intalnita, si se fac eforturi din ce in ce mai mari pentru ca aceasta operatie sa devina cat mai usoara pentru cei neexperimentati.

Cand va ganditi sa optimizati kernelul sistemului dumneavoastra de operare trebuiesc avute in vedere urmatoarele motive din care o faceti (acestea imi vin in minte acum):

Kernelul va fi mai rapid (cu cat cod cu atat mai bine)

Sistemul va avea memorie mai multa (Kernelul nu va folosi NICIODATA memorie virtuala)

Sistemul va fi mai stabil (nu va mai cauta alte componente neinstalate)

Partile nefolosite ale unui Kernel neadaptat la sistemul dumneavoastra pot fi folosite de un atacator extern

Modulele instalate individual in sistem sunt mai lente decat daca ar avea suport compilat direct in Kernel.

In materialul de fata voi detaila modul de compilare intai pentu un kernel monolithic, care este metoda cea mai recomandata pentru obtinerea celor mai bune performante precum si a unui kernel modularizat, recomandat sistemlor care se doresc portabile pe diverse sisteme Linux. Kernel monolithic inseamna ca administratorul de sistem va trebui sa raspunda doar cu yes sau no la intrebarile sistemului.

Premizele instalarii

Comenzile sunt compatibile pe orice sistem Unix.

Calea catre surse folosita in acest curs este /usr/src (oricare alta cale poate fi folosita, ca o masura de "discretie" pentru distributia utilizata de dumneavoastra).

Instalarea a fost testata pe un sistem Red Hat 9.0.

Toate etapele configurarii au fost facute folosind un cont de super-user "root".

Ultima versiune de Kernel este 2.4.5

Ultimele pach-uri de securitate nu sunt inca disponibile pentru aceasta varianta

Pachete

Cursul de fata, foloseste instructiuni de instalare si informatii legate de Linux Kernel actualizate la data de 20/12/2004. Va rog verificati ultimele modificari, accesand site-ul www.kernel.org .

Codul sursa este disponibil la adresa:

Kernel Homepage: https://www.kernel.org

Kernet FTP Site: 209.10.41.242

Ultima versiune disponibila: linux-2.4.5.tar.gz

Secure Linux Kernel Patches Homepage: https://www.openwall.com/linux

Secure Linux Kernel Patches FTP Site: 195.42.162.180

Ultima versiune disponibila: nu exista

Cerinte

In raport de functiile pe care doriti sa le indeplineasca serverul al carui kernel il compilam, daca trebuie sa aiba firewall si suport quota pentru userii sai, kernelul de Linux cere ca aceste software-uri sa fie deja instalate corespunzator in sistem. In cazul in care aceste pachete nu sunt instalate, ele vor fi adaugate de pe CD-ROM sau de pe orice alt suport inainte de a incepe operatia de compilare.

iptables este un pachet care contine programe noi si foarte puternice folosite de Linux pentru configurarea firewall-ului si masquerading. Acest pachet trebuie instalat daca dorim ca serverul pe care-l instalam sa aiba suport pentru firewall.

quota este un pachet de administrare folosit pentru monitorizarea si limitarea spatiului de pe disk alocat fiecarui user. Acest pachet il vom instala daca dorim sa putem controla marimea directoarelor create de useri pe server.

Ø     Pentru a verifica daca pachetul iptables este instalat folosim comanda:

Ø      Pentru a verifica daca pachetul quota este instalat pe serverul nostru folosim:

Montam CD-ROM-ul pentru a cauta pachetele dorite:

Instalam direct de pe CD pachetele dorite folosind comenzile de mai jos

Tuning Kernel

Primul lucru important pe care un administrator de sistem trebuie sa-l faca este sa copieze arhiva noului kernel in directorul usr/src si sa stergem kernelul nou din sistem inainte de instalrea celui nou. Stergerea kernelului pe care serverul il foloseste nu il va bloca decat doar in cazul in care vom reboot-a sistemul inainte de instalarea celui nou.

Pasul 1

Este necesar aducerea in sistemul nostru (in directorul /usr/src) a unei copii a arhivei ultimei versiuni de kernel.

Pentru a copia arhiva Kernelului Linux in directorul /usr/src folosim comanda:

Ne mutam in acest director, folosind comanda:

Pasul 2

In functie de versiunea de Kernel care a fost anterior instalata avem doua posibilitati de dezinstalare, dupa cum urmeaza.

Daca Kernelul actual a fost instalat folosind o arhiva tar

Aceste etape sunt valabile doar in cazul in care versiunea de kernel folosita in prezent a fost instalata dintr-o arhiva. Daca este o instalare recenta, la care nu au fost aduse schimbari semnificative 1000% s-au folosit pachete RPM si anume kernel-headers-version.i386.rpm, kernel-version.i386.rpm.

Stergem link-ul simbolic din directorul /usr/src:

Stergem directorul in care a fost instalat head-erul kernelului anterior folosind comanda:

Stergem kernelul folosit anterior folosind comanda:

Stergem fisierul System.map folosind urmatoarea comanda:

Stergem directoarele cu modulele folosite de kernel (daca este cazul) folosind comanda:

Daca vechiul Kernel a fost instalat din pachete RPM

Daca tocmai ati terminat de instalat sistemul dumneavoastra atunci in mod sigur kernelul a fost instalat avand la baza pachete RPM. Pentru dezinstalarea lui veti folosi urmatoarele etape.

primul lucru pe care administratorul de sistem trebuie sa-l faca este sa verifice versiunea de kernel instalata. Aceasta se face folosind comanda:

Comanda de mai sus nu a facut decat sa ne arate ca kernel si kernel-header au fost singurele pachete kernel RPM instalate in sistem. Ele vor trebui dezinstalate.

Dezinstalarea lor se va face folosind urmatoarele comenzi:

Pasul 3

Odata ce versiunea veche de Kernel a fost dezinstalata de pe server si dupa ce arhiva noului Kernel se gaseste in directorul /usr/src putem incepe dezarhivarea lui. Nu uitati ca dupa desfasurare sa stergeti arhiva pentru conservarea spatiului de pe server.

Dezarhivarea versiuni noi de Kernel se face folosind comanda:

Stergerea arhivei folosite se face astfel:

Pasul 4

Acum trebuie sa facem unele modificari in fisierele pe care le-am dezarhivat pentru a obtine maximum de capabilitati. Toate optimizarile vor fi descrise in continuare si nu fac decat sa creasca functionalitatea Kernelului fata de versiunea standard.

Editati fisierul sem.h (vi +66 /usr/src/linux/include/linux/sem.h) in care veti schimba urmatoarea linie:

cu

Editati fisierul printk.c (vi +26 /usr/src/linux/kernel/print.c) si modificati urmatorii parametri:

cu

Pasul 5

Ultimul pas este de a instrui Kernelul sa foloseasca intr-un mod cat mai optim arhitectura procesorului de pe serverul dumneavoastra.

Editati fisierul Makefile (vi +19 /usr/src/linux/Makefile) si modificati urmatoarea linie:

cu

Tot in acest fisier mai modificati si linia 90 si schimbati astfel:

cu

Aplicarea pach-urilor de securitate

Aplicarea pach-urilor de securitate este o cale foarte sigura de prevenire a atacurilor de genul Buffer Overflow, precum si altor tipuri de atacuri. Aceste pach-uri fac sistemul dumneavoastra mult mai stabil si sigur.

Primul lucru care trebuie facut inainte de a aplica un patch de securitate pentru kernel este sa verificam pe site-ul producatorului ultimul patch disponibil. In continuare voi folosi un exemplu fictiv pentru descrierea etapelor de instalare. Pach-ul disponibil pentru versiunea noastra de kernel va fi denumita in continuare linux-2.4.5-ow1.tar.gz.

Pentru aplicarea unui patch de securitate folosim comenzile urmatoare:

Acum Kernelul nou instalat este patch-uit si putem continua instalarea si constructia noului Kernel, dupa care sistemul poate fi reboot-at.

Curatarea Kernelului

Este foarte important sa va asigurati ca subdirectoarele /usr/include/asm si usr/include/linux sunt doar link-uri simbolice la sursele noului Kernel care urmeaza sa fie instalat.

Pasul 1

Subdirectoarele asm si linux sunt link-uri simbolice sau link-uri soft la directoarele care contin head-erele kernelului pentru arhitectura sistemului nostru, de exemplu /usr/src/linux/include/asm-i386 pentru subdirectorul asm.

Pentru creerea acestor link-uri simbolice vom folosi comenzile:

Este o parte foarte importanta din configurare este ca administratorul sistemului sa stearga directoarele asm si linux din directorul usr/linux dupa care sa recreeze link-uri simbolice noi catre aceleasi directoare, dar diferenta majora este ca acestea sunt catre sursele kernelului nou.

Pasul 2

In aceasta etapa vom curata directorul in care se afla sursele Kernelului de fisierele care nu le vom mai folosi.

Pentru curatare folosim urmatoarea comanda:

In acest moment avem sursele pentru compilarea noului Kernel corect instalate. Configurarea Kernelului poate fi facuta in trei moduri distincte:

prima metoda este folosind comanda make conf. Terminalul va afisa mai multe intrebari legate de optiunile de configurare la care administratorul de sistem va trebui sa raspunda.

a doua metoda este legata de folosirea comenzi make menuconfig in care sunt incluse toate optiunile de configurare ale Kernelului

a treia metoda, nu este cazul nostru, este cea in care se foloseste comanda make xconfig care pune la dispozitia administratorului o interfata grafica de configurare.

Pasul 3

Pentru materialul de fata am ales configurarea folosind comanada make config deoarece nu avem instalate pe server utilitare de genul Xfree86 care ar fi necesare in cazul utilizarii configurarii cu make menuconfig.

• Pentru a incarca configuratia kernelului nou vom folosi comanda:

Configurarea kernelului

Odata introdusa comanda de mai sus vor fi afisate o lista cu optiunile configurabile ale kernelului. administratorul de sistem va trebui sa indice device-urile serverului si pentru care doreste suport. Pentru fiecare optiune puteti raspunde cu una din varinatele:

[y] va fi compilata in kernel si va fi totdeauna incarcata de sistem

[m] se vor folosi module pentru folosirea acestei caracteristici si va fi incarcata la cerere

[n] nu se va oferi suport in kernel

Asa cum am zis anterior, in continuare vom trata compilarea unui Kernel monolitic. Trebuie stiut ca acesta este specific pentru fiecare sistem. Materialul a fost realizat pe un hardware care avea urmatoarele caracteristici:

1 Pentium-III 667 MHz (i686) processor

1 Motherboard Asus P3V4X Pro 133Mhz EIDE

1 Hard Disk Ultra ATA/66 EIDE

1 Chipset Apollo Pro133A

1 CD-ROM ATAPI IDE

1 Floppy Disk

2 Ethernet Cards 3COM 3c597 PCI 10/100

1 Mouse PS/2

In configuratia urmatoare:

am activat suportul pentru posibilitatea de a incarca ulterior module

am adaptat kernelul la tipul de procesor i686

am adaugat suport full pentru Firewall Netfilter (iptables) cu masquerading si forwarding

suport DMA pentru discuri IDE (daca folositi SCSI veti dezactiva optiunea pentru DMA)

am dezactivat serviciile de NFS, suportul pentru USB si sound

Configuratia este ideala pentru un server Gateway/Proxy/Mail/DNS Server.

Compilarea Kernelului

Pentru compilarea Kernelului vom folosi urmatoarele comenzi:

make dep va incarca configuratia si va construi arborele de interdependenta dintre sursele kernelului, deoarece e posibil ca legaturile dintre acestea sa fi fost afectate de optiunile pe care le-ati facut la pasul anterior.

make clean elimina orice fisier ramas din compilarile anterioare ale kernelului, fisiere care acum sunt inutile

make bzImage incepe compilarea propriu-zisa a kernelului.

Dupa acest proces a fost incheiat cu succes, kernelul gata compresat este gata sa fie instalat in sistemul dumneavoastra. Inainte de aceasta este bine de stiut ca aveti nevoie sa compilati si modulele corespunzatoare, asta DOAR in cazul in care ati raspuns cu yes la "Enable loadable module support (CONFIG_MODULES)". In acest caz trebuiesc executate urmatoarele comenzi:

• Pentru compilarea modulelor corespunzatoare kernelului dumneavoastra folositi comanda:

Instalarea Kernelului

Odata ce kernelul a fost configurat, compilat acum el este gata de instalare pe serverul dumneavoastra. Mai jos sunt descrisi pasi care trebuiesc urmati pentru aceasta operatie.

Pasul 1

Copiati fisierul /usr/src/linux/arch/i386/boot/bzImage din directorul sursa al kernelului in directorul /boot si ii schimbati denumirea.

• Pentru copierea fisierului bzImage folositi comanda:

Pasul 2

Copiati fisierul /usr/src/linux/System.map din directorul sursa al noului kernel in directorul /boot.

• Copierea fisierului System.map in directotul /boot se face astfel:

Pasul 3

In aceasta etapa trebuiesc reconstruite link-urile simbolice catre vmlinuz si System.map

• Creerea linkurilor simbolice o vom face astfel:

In acest punct administratorul de retea mai trebuie sa reconstruiasca linkurile catre vmlinuz si System.map sa point-eze catre noua versiune de kernel instalata. Fara noile link-uri programul de boot-are LILO va ramane blocat, incercand sa incarce veche versiune de kernel.

Pasul 4

Pentru a pastra o instalare curata vom sterge fisierel inutile din directorul /boot.

• Stergerea acestor fisiere o vom face cu comanda:

Pasul 5

Ca instalarea sa fie completa si curata in sensul ca pe viitor sa stiiti exact ce versiune de kernel este instalata si unde gasiti toate fisierele utilizate de actualul kernel se recomanda creerea unui nou director in care sa fie mutate toate aceste fisiere si directoare.

• Vom crea un director in care vom copia toate fisierele noului kernel:

Pasul 6

Ultima etapa este modificare fisierului /etc/lilo.conf pentru a configura sistemul sa porneasca la restart cu noua versiune de kernel.

• Editati fisierul lilo.conf (vi /etc/lilo.conf) si faceti urmatoarele modificari:

Monitorizarea & Verificarea integritatii sistemului folosind utilitarele

sXid

Logcheck

PortSentry

Tripwire

Xinetd

Acest capitol se va ocupa de a detaila modul de instalare si administrare a diverselor instrumente de securitate pe care un administrator de sistem trebuie sa le foloseasca in mod expres. Ele sunt foarte importante in munca de prevenire si de verificare a posibilelor atacuri, gauri de securitate, etc si in asiguraea retelei. Aceste instrumente sunt destinate automatizarii anumitor task-uri si securizarii serverelor pe care le administram.

Recomand puternic ca aceste instrumente sa nu lipseasca de pe serverele de retea, cu exceptia unuia singur si anume Xinetd, care este optional in functie de serviciile care ruleaza pe serverele pe care le administrati. El nu trebuie sa lipseasca de pe acestea in cazul in care aveti configurat un server de IMAP & POP.

sXid

Este un program de monitorizare automatizat (va rula sub cron) care urmareste orice modificare asupra fisierelor SUID/SGID. Instiintarile se vor primi intr-un format usor de interpretat pe email sau in linie de comanda, dupa cum se prefera. sXid va rula automat, iar odata instalat pe server administratorul va uita de el, iar programul isi va face treaba pentru el.

Premizele instalarii

Comenzile sunt compatibile pe orice sistem Unix.

Calea catre surse folosita in acest curs este /var/tmp (oricare alta cale poate fi folosita, ca o masura de "discretie" pentru distributia utilizata de dumneavoastra).

Instalarea a fost testata pe un sistem Red Hat 9.0.

Toate etapele configurarii au fost facute folosind un cont de super-user "root".

Nu este necesara recompilarea kernelului.

Ultima versiune sXid este 4.0.1

Pachete

Cursul de fata, foloseste instructiuni de instalare si informatii legate de sXid actualizate la data de 20/12/2004. Va rog verificati ultimele modificari, accesand site-ul ftp://marcus.seva.net/pub/sxid .

Codul sursa este disponibil la adresa:

sXid Homepage: ftp://marcus.seva.net/pub/sxid

sXid FTP Site: 137.155.111.51

Ultima versiune disponibila: xsid_4.0.1.tar.gz

Pregatirea instalarii

Daca pentru instalare se vor folosi RPM, va fi dificil pentru administratorul serverului sa gaseasca toate fisierele instalate in eventualitatea unui update in viitor. Pentru rezolvarea acestei probleme, este o buna idee sa facem o lista cu fisierele din sistem inainte de a instala programul, si una dupa, iar apoi sa comparam cele doua liste folosind utilitarul diff pentru a afla care fisiere au fost inlocuite prin acest update.

• Inainte de instalarea rulati urmatoare comanda:

• Si apoi dupa instalare software-ului:

• Ulterior pentru alcatui o lista cu schimbarile din sistem trebuie rulata comanda:

Cu aceasta procedura, daca este necesar realizarea unui update, tot ce trebuie facut este sa cititi lista fisierelor care au fost adaugate sau schimbate de program si sterse manual din sistem inainte de instalarea unei versiuni noi de software. In exemplul dat mai sus, am folosit directorul /root ca director in care vor fi generate listele de fisiere.

Compilarea - Optimizarea & Instalarea sXid

Daca au fost parcurse cu succes toate etapele anterioare putem sa incepem configurarea, compilarea si optimizarea software-ului sXid. Toate acestea se vor face de pe un cont de root pentru a evita orice problema legata de drepturi.

Pasul 1

Odata ce programul a fost descarcat in sistem, el trebuie copiat in directorul /var/tmp si apoi dezarhivat (optiunea de /var/tmp este pur personala si este legata de o instalare cat mai curata).

pentru realizarea acestora folosim urmatoarele comenzi:

Pasul 2

Dupa aceasta ne mutam in directorul sXid nou creat unde vom face partea de configurare

si de optimizare.

• Pentru a ne muta in directorul nou creat sXid vom folosi urmatoarea comanada:

• Pentru configurare si optimizare vom folosi urmatoarea linie:

Pasul 3

Acum vom face o lista cu fisiere din sistem inainte de a instala programul si una dupa instalare, apoi vom compara aceste liste folosind utilitarul diff.

Aceste etape de configurare sunt necesare pentru a ne asiguara ca sistemul pe care se face instalarea are toate librariile necesare compilarii acestui program.

Pasul 4

Odata compilat, optimizat si instalat acest software este momentul sa staregem din sistem arhivele folosite precum si directoarele sursa pentru mentinerea serverului intr-o stare cat mai "curata".

• Stergerea arhivelor sXid si a directoarelor sursa se face folosind succesiunea de comenzi:

Configurarea programului sXid

Dupa ce instalarea a fost facuta cu succes este momentul sa verificam sau sa modificam, daca este necesar, diverse optiuni in fisierele de configurare ale sXid. Aceste fisiere de configurare sunt:

/etc/sxid.conf (fisierul de configurare pentru sXid)

/etc/cron.daily (fisierul de automatizare din cron pentru sXid)

/etc/sxid.conf: Fisierul de configurare pentru sXid

In acest fisier de configurare, administratorul de sistem poate configura o seama de optiuni legate de acest program. El este foarte bine documentat si foarte intuitiv. In principiu singurele modificare care trebuiesc aduse ar fi cele legate de calea relativa ale utilitarelor din sistemul folosit de dumneavoastra.

Pasul 1

Se editeaza fisierul sxid.conf (vi /etc/sxid.conf) in care se fac modificarile dorite. Liniile bold-uite sunt singurele linii din acets fisier pe care le-am schimbat:

Pasul 2

Din motive de sercuritate, permisiile asupra acestui fisier vor fi schimbate. Ele vor deveni 0400.

• Schimbarea drepturilor se face foarte simplu astfel:

/etc/cron.daily/sxid: Fisierul Cron pentru utilitarul sXid

Acest mic script va fi executat automat de catre crond pe serverul dumneavoastra, in fiecare zi, si va instiinta administratorul de orice modificare efectuata asupra fisierleor si directoarelor din sistem.

Pasul 1

Se creaza un script sxid (touch /etc/cron.daily/sxid) care sa contina urmatoarele linii:

Pasul 2

Acum, ca acest script sa poata fi rulat automat el trebuie facut si executabil, prin schimbarea permisiilor in 0700

• Pentru modificarea drepturilor folosim:

Folosirea utilitarului sXid

Dupa ce instalarea si configurarea au fost facute corect este momentul sa vedem cum funtioneaza acest tool. sXid-ul va fi rulat zilnic de catre cron (sau dupa preferinte se poate configura in cron sa se execute de doua ori pe zi) dar el poate fi lansat si manual.

• utilitarul sXid poate fi lansat si manual, astfel:

Asa cum se observe la aceasta verificare nu au fost facute nici un fel de modificari si nu a fost trimis nici un email de instiintare.

Pentru urmatoarele utilitare nu voi mai detaila asa amanuntit procesul de instalare si configurare pentru ca este absolut asemanator cu cel descris anterior, ci voi adauga doar modificarile individuale care trebuiesc facute.

Logcheck

Utilitarul Logcheck automatizeaza procesul de auditare si de analiza a logurilor din sistem si alerteaza administratorul de sistem in cazul unor brese de securitate sau de activitati nestandard.

PortSentry

Scanarea de porturi este cea mai intalmita si raspindita metoda de a obtine informatiile necesare pentru un atact viitor asupra unui server. PortSentry este un program creat pentru a detecta si a raspunde unor astfel de practici, in timp real, cu o multitudine de optiuni atunci cand serverul administrat de catre dumneavoastra este scanat. El poate reactiuna intr-un din urmatoarele moduri:

sa logheze via syslog acest incident

serverul este astfel automat reconfigurat incat sa dropp-uiasca toate pachetele primite de la sursa scanarii folosind un filtru dinamic

serverul este astfel automat reconfigurat incat tot traficul care ii este destinat de la sursa scanarii sa fie redirectat catre o "gaura neagra"

Tripwire

Tripwire este un utilitar care ajuta administratorul de sistem in urmarirea integritatii sistemului de fisiere si a oricaror modificare care survin asupra lor. Este oarecum asemanator sXid-ului.

Xinetd

Xinetd este unul dintre cele mai puternice tool-uri de securitate, el poate controla si preveni un atac denial-of-access, punand la dispozitia administratorului de sistem un mecanism de control al accesului pentru toate serviciile care necesita o conexiune a unui client distant la serverul dumneavoastra.

In partea practica a acestui curs toate aceste utilitare vor fi instalate si configurate fiecare in parte.

Instalarea si configurarea unui server de mail

Acest capitol va explica in detaliu modul de instalare si configurare a unui server de mail pentru o retea de institutie. Softul folosit va fi Sendmail, la ora actula fiind cel mai raspandit MTA (Mail Transfer Agent) din lume. Rolul unui MTA nu este altul decat de a trimite mailuri de la un computer la altul. Sendmail nu este un client de mail, destinat citiri mesajelor.

Instalare Sendmail

Pentru distributiile de RedHat si Fedora, pachetele necesare rularii in conditii normale a serverului de Sendmail sunt sendmail, sendmail-cf si m4. Cand cautati pachetele, conteaza mai putin numarul versiunii, ci mult mai importanta este denumirea pachetului.

Pornirea serverului de Sendmail

Dupa ce ati instlat pachetele de mai sus si au fost satisfacute toate dependintele, vom avea grija sa configuram serviciul de Sendmail sa porneasca la boot-area sistemului.

pentru oprirea si pornirea serverului de Sendmail se folosesc comenzile:

Nu uitati ca dupa orice modificare de configuratie pe care ati facuto asupra serverului serviciul de Sendmail trebuie restartat:

Fisierele importante si care trebuie modificate pentru optimizare serverului de Sendmail sunt :

/etc/mail/sendmail.mc

/etc/mail/sendmail.cf

/etc/mail/access

/etc/mail/relay-domains

/etc/mail/aliases

/etc/mail/virtualtable

/etc/mail/domanitable

/etc/mail/mailertable

/etc/mail/local-host-names

/etc/mail/sysconfig/sendmail

/etc/rc.d/init.d/sendmail

Fisierul /etc/mail/sendmail.mc

Majoritatea parametrilor de configurare pentru Sendmail se gasesc in acest fisier, cu exceptia celor care se refera la listele de mail si la optiunile de securitate legate de relay. Acest fisier este constuit pe baza de directive, care daca administratorul de sistem care configureaza serverul de mail considera ca nu sunt necesare, le poate comenta. Trebuie facuta o singura remarca, comentarea unui linii din acest fisier nu se face folosind ca de obicei "#" ci "dnl".

Configurarea Clientilor de Sendmail

Toate statiile din retea, clienti de mail, trebuie sa stie care este serverul de mail din domeniul pe care-l gestionati. Acest lucru se poate face foarte simplu si din fisierul de configurare, astfel:

Nu trebuie uitat ca dupa generarea fisierul de configurare serverul de mail trebuie restartat.

Un pas foarte important, in configurarea serverului de mail, este modificarea linie care va determina ca serverul de mail sa asculte pe toate interfetele si nu doar pe interfata de loopback (127.0.0.1). Aceasta se face comentat linia corespunzatoare din fisierul de configurare:

am comentat si linia care contine accept_unresolvable_name pentru a nu accepta emailuri trimise de hosturi care nu sunt listate inregistrarile serverului de DNS. Deasemeni trebuie comentata si optiunea de SMART_HOST:

dupa generarea fisierului de configurare trebuie verificat ca serverul de Sendmail a inceput sa asculte pe toate interfetele serverului:

Fisierul: /etc/mail/access

Acest fisier este foarte important in sensul ca doar hosturile ale caror adrese IP sunt listate in acest fisier pot folosi functia de relay a acestui server. Fisierul are doua coloane, in prima vor fi listate adresele IP si domeniile, iar in cea dea doua decizia pe care o va lua serverul cu referire la cele din prima coloana. Aceasta actiune poate fii una dintre REALY, REJECT, OK sau DISCARD.

dupa modificare acestui fisier, textul trebuie convertit in baza de date. Aceasta se face folosind comenzile:

Fisierul /etc/mail/local-host-names

Cand sendmail primeste un mail, acesta trebuie sa stie pentru ce domenii face acest serviciu de receptie a mailurilor. In acest fisier sunt listate domeniile si numele de hosturi pentru care sendmailul instalat pe acest server lucreaza.

Filtrarea de SPAMM

Filtrarea spamm-ului poate fi facuta si folosind directive din fisierul de configurare al serverului de mail: