Пользователю то и дело приходится уделять время чтению документации, настройке системы, но опыт приобретается ценой ошибок.
Существует множество подходов к решению этой проблемы — от использования специальных дистрибутивов, в которых изначально закручены все гайки, до утилит, позволяющих улучшить защиту Linux-системы.
Разработчики Bastille Linux предпочли именно второй вариант.
Возможности
Главная задача проекта — укрепление уже установленной системы. Поэтому вам понадобится как минимум уже установленный дистрибутив. В основу Bastille Linux положены все решения по защите систем, описанные в открытых источниках. Здесь и разработки Джея Била (Jay Beale) по укреплению Solaris и Linux, нашедшие свое отражение в книге института SANS (SysAdmin, Audit, Network, Security) «Securing Linux Step by Step», руководство Курта Зайфрида (Kurt Seifried) «Linux Administrator’s Security Guide Linux» и другие источники.
С помощью программы настройки Bastille Linux настраиваются демоны, изменяются некоторые параметры системы и межсетевого экрана. Дополнительно (при необходимости) отключаются ненужные сервисы вроде печати, rcp и rlogin. Также можно создать среду chroot jails, уменьшая уязвимость некоторых интернет-сервисов вроде Web и DNS. Фактически, Bastille Linux — это Perl-скрипт, изменяющий параметры в системных файлах, в зависимости от желания пользователя.
Проблема здесь одна. В некоторых дистрибутивах для хранения настроек используются разные каталоги, формат файлов также может отличаться. Поэтому скрипт должен знать, где их искать и как с ними работать.
В настоящее время поддерживаются следующие дистрибутивы и системы:
Red Hat Enterprise и Fedora Core, Debian(можно добавить поддержку Ubuntu), Mandriva/Mandrake, SUSE, Gentoo и TurboLinux, а также HP–UX и MacOS X.
Скрипт может работать в двух режимах: в интерактивном и неинтерактивном.
В интерактивном режиме интерфейс пользователя позволяет объяснить системному администратору проблемы в защите. Этот подход удобен тем, что, с одной стороны, защищает систему, а с другой, обучает на конкретных примерах.
Неинтерактивный режим позволяет использовать для изменения параметров на других системах уже готовые файлы конфигурации, изготовленные в интерактивном режиме, что позволяет избегать повторного прохождения всех этапов. Ведь для того чтобы спокойно и обдуманно ответить на все вопросы, придется потратить довольно много времени.
При этом программа должна быть запущена каждый раз после установки нового ПО или установки патча, поскольку это может повлиять на ослабление защиты. Также могут быть случаи, когда применение Bastille вызывает побочный эффект — блокируются ни в чем не повинные программы, поэтому перед применением на рабочем компьютере стоит провести эксперимент на тестовом.
Bastille Linux представляет собой легкий в использовании, удобный и интуитивно понятный инструмент, позволяющий существенно поднять защищенность компьютера, будь то сервер или десктоп. А в придачу является неплохим пособием по изучению защиты Linux-систем.
http://bastille-linux.sourceforge.net/
0 коммент.:
Отправить комментарий