Állítsuk le a linuxos tűzfalat!
[SysAdmin] A SysAdmin oldalán egy roppant érdekes írás
[SysAdmin] A SysAdmin oldalán egy roppant érdekes írás olvasható
egy olyan módszerről, amellyel tovább növelhetjük a tűzfalként
használt 2.2-es kernelen futó Linux rendszer biztonságát. A módszer
egyszerű, mégis hatásos:
állítsuk le a rendszert annyira, hogy ne lehessen új processzeket
indítani, ne legyenek felmountolt meghajtók, és máris egy rakás
biztonsági kérdést megoldottunk. Természetesen ez nem megoldás
a DoS támadások ellen, abban viszont biztosak lehetünk, hogy senki
nem veszi át a tűzfal irányítását.
A cikk egy Red Hat 6.2-es módosítását írja le röviden: távolítsuk el
a az /etc/rc.d/rc0.d/ könyvtárból (ez a 0. futtatási szint, a halt) a
S00killall, K90network és a K92ipchains szkripteket). Ha így állítjuk le
a rendszert, akkor a hálózati kártyák és az ipchains addig fognak üzemelni,
amíg ki nem kapcsoljuk a számítógépet, tehát a kernel szintjén végzett
IP-maszkolás és tűzfal funkció elérhető marad.
A megoldás hátránya, hogy egy ilyen leállított rendszerben már
csak a kernel funkciói érhetőek el, nem lehet
újabb modulokat betölteni, és nem tudunk egyéb, nem kernelszinten
megvalósított szolgáltatásokat (pl. DHCP, Squid proxy) nyújtani a belső hálózat
számára.
[SysAdmin] A SysAdmin oldalán egy roppant érdekes írás olvasható
egy olyan módszerről, amellyel tovább növelhetjük a tűzfalként
használt 2.2-es kernelen futó Linux rendszer biztonságát. A módszer
egyszerű, mégis hatásos:
állítsuk le a rendszert annyira, hogy ne lehessen új processzeket
indítani, ne legyenek felmountolt meghajtók, és máris egy rakás
biztonsági kérdést megoldottunk. Természetesen ez nem megoldás
a DoS támadások ellen, abban viszont biztosak lehetünk, hogy senki
nem veszi át a tűzfal irányítását.
A cikk egy Red Hat 6.2-es módosítását írja le röviden: távolítsuk el a az /etc/rc.d/rc0.d/ könyvtárból (ez a 0. futtatási szint, a halt) a S00killall, K90network és a K92ipchains szkripteket). Ha így állítjuk le a rendszert, akkor a hálózati kártyák és az ipchains addig fognak üzemelni, amíg ki nem kapcsoljuk a számítógépet, tehát a kernel szintjén végzett IP-maszkolás és tűzfal funkció elérhető marad.
A megoldás hátránya, hogy egy ilyen leállított rendszerben már csak a kernel funkciói érhetőek el, nem lehet újabb modulokat betölteni, és nem tudunk egyéb, nem kernelszinten megvalósított szolgáltatásokat (pl. DHCP, Squid proxy) nyújtani a belső hálózat számára.