Bevezetés
A saját Linux szerverünk kiváló lehetőséget nyújthat új dolgok kipróbálására és egy kiváló platform rugalmasságának és erejének növelésére.
Ugyanakkor a Linux szerverek adminisztrátorainak ugyanazokat az óvintézkedéseket kell megtenniük, amelyek bármely hálózatra csatlakoztatott gép esetében elvártak. Nagyon sok cikk foglalkozik a Linux biztonsággal általánosságban és nagyon sok különböző vélemény kering arról, hogy mi számít egy Linux szerver esetében megfelelő biztonsági szintnek.
Ebből az következik, hogy mi magunk dönthetjük el a szükséges biztonsági védelem erősségét. Mielőtt ezt megtesszük, tisztában kell lennünk a kockázatokkal és a kompromisszumokkal: meg kell határoznunk a nekünk megfelelő egyensúlyt a kényelmes használat és a biztonság között.
A következő cikkben bemutatjuk a leggyakrabban használt biztonsági intézkedéseket, amelyeket egy Linux szerver környezetében szükségszerűnek tartunk megtenni. Ez nem egy teljeskörű lista, nem fed le minden lehetséges konfigurációt, azonban röviden bemutatja a főbb típusokat és azok előnyeit.
Hozzáférés letiltása tűzfalak segítségével
Az egyik legegyszerűbb lépés, amit tehetünk, hogy javasoljuk az összes felhasználó számára, hogy engedélyezzék, illetve állítsák be a tűzfalat. A tűzfal egyfajta válaszfalként működik az internet általános forgalma és gépünk között. A tűzfal megvizsgálja a szerver bejövő és kimenő forgalmát, majd eldönti, hogy átengedi-e az adott információt vagy sem.
Ezt oly módon teszi, hogy a vizsgált forgalmat összeveti a felhasználó által beállított szabályokkal. Általában a megfelelően működő rendszerek esetében a szerver csak néhány speciális hálózati portot használ. A többi port használaton kívüli, és célszerű tűzfallal védve, biztonságosan tárolni, ami az ezekre a helyekre beérkező mindenféle forgalmat blokkolja.
Ez lehetővé teszi számunkra, hogy elutasítsuk a kéretlen adatokat, illetve néhány esetben, hogy feltételessé tegyük a valós rendszereink használatát. A megfelelő kritériumok alapján beállított tűzfal jó alapot adhat a biztonságos hálózathoz.
Rendkívül sok tűzfalbeállítás létezik; mi most a legnépszerűbb lehetőségek közül mutatunk be párat röviden.
UFW
Az UFW (Uncomplicated Firewall) magyarul egyszerű tűzfalat jelent. Az UFW célja, hogy a megfelelő védelem nyújtása bonyolult szintaxisok nélkül (amelyet a többi megoldás alkalmaz). Az UFW -mint a legtöbb Linux tűzfal- tulajdonképpen egy kapcsoló a Linux kernelhez járó netfilter tűzfalhoz. Ez általában egy egyszerű tűzfal, amelyet azok számára fejlesztettek ki, akik még nem jártasak a Linux tűzfal egyéb lehetőségeit illetően.
IPTables
Talán az egyik legismertebb Linux tűzfal az IPtables. Ez egy másik összetevő, aminek segítségével a Linux kernel netfilter tűzfalát irányíthatjuk. Elég régóta létezik már, és eközben intenzív biztonsági auditokon ment keresztül, így megbizonyosodva a megbízhatóságáról. Az iptablesnek van egy ip6tables nevű verziója is, amellyel korlátozásokat állíthatunk elő ipv6-hoz.
Linux gépének adminisztrálása közben nagy valószínűséggel találkozni fog IPTables konfigurációkkal. Első ránézésre bonyolultnak tűnhet a szintaxis, de ez egy hihetetlenül erős eszköz, amelyet kedvünkre, rugalmas szabályok szerint állíthatunk be.
IP6Tables
Ahogy azt már feljebb említettük az IPTables azoknak a tartalmaknak az irányítására szolgál, amelyek az IPv4 szabályait tartalmazzák. Amennyiben az IPv6 van engedélyezve a szerverén, figyelnie kell annak az IPv6-hoz kapcsolódó megfelelőjére, ami az IP6Tables.
A netfilter tűzfal, amely a Linux kernelben van, az IPv4 és az IPv6 forgalmát teljesen elválasztja egymástól. Ezek különböző tartalmakban vannak tárolva. Azon szabályokat, amelyek egy csomag végső sorsát eldöntik, a használatban lévő protokollverzió határozza meg.
A rendszergazda számára ez annyit jelent, hogy egy különálló szabályhalmazt kell létrehozni, amikor a 6-os verziót engedélyezzük. Az IP6Tables parancs ugyanazt a szintaxist használja, mint az IPTables, tehát ugyanazokat a korlátozásokat közvetlenül eszközölhetjük a 6-os verzióban. A megfelelő működéshez azonban biztosnak kell lennünk abban, hogy a forgalom az IPv6 címek felé mutat.
NFTables
Habár az IPTables régóta standardnak számít a Linux tűzfalak esetében, nemrég egy új NFTables nevű tűzfalat adtak hozzá a Linux kernelhez. Ez egy projekt ugyanattól a csapattól, aki az IPTables-ért felelős, és azzal a céllal hozták létre, hogy idővel majd lecserélje az IPTablest.
Az NFTtables tűzfala egy, az elődjénél olvashatóbb szintaxissal rendelkezik, és egy eszközben támogatja az IPv4-et és IPv6-ot. Miközben a Linux legtöbb verziója nem érkezik olyan kernellel, ami elég új ahhoz, hogy az NFTables-t használja, ez a verzió hamarosan nagyon elterjedt lesz, pontosan ezért célszerű már most megismerkedni a használatával.
SSH használata a biztonságos távoli belépéshez
Olyan hálózat irányításához, amelyhez nincs helyi hozzáférésünk, szükségszerűen távoli belépést kell alkalmaznunk. A standard, biztonságos módja ennek egy Linux rendszerben egy SSH nevű protokollon keresztül történik, amely az angol secure shell (biztonságos távoli bejelentkezés egy nem biztonságos hálózaton) szóból ered.
Az SSH rendelkezésünkre bocsát:
- kezdet-és-vég titkosítást, amely segítségével egy bizonytalan forgalmat biztonságos csatornába ágyazhatunk,
- X- továbbítást (grafikus felhasználói felület internetkapcsolaton keresztül) és még sok egyéb mást.
Alapesetben, ha nincs hozzáférésünk helyi kapcsolathoz vagy sávon kívüli irányításhoz, az SSH lesz a gépünkkel való interakció elsődleges módja.
Mivel a protokoll maga nagyon biztonságos és átfogó keresésen és kód felülvizsgálaton ment keresztül, ezért az általunk választott beállítások javíthatják, de ugyanakkor ronthatják is a rendszer biztonságát.
Most pedig bemutatunk néhány lehetséges opciót:
Jelszó vagy SSH kulcsos bejelentkezés
Az SSH-nak van egy rugalmas hitelesítő modellje, amely különböző módokon teszi lehetővé a bejelentkezést. A két legnépszerűbb választás a jelszó és az SSH kulcsos hitelesítés. Habár talán a legtermészetesebb modell a felhasználók számára a jelszavas hitelesítés, a két opció közül ez a kevésbé biztonságos. A jelszavas bejelentkezések egy potenciális behatoló számára lehetőséget adhat arra, hogy addig próbálkozzanak, ameddig a megfelelő kombinációt nem találják meg. Ezt nyers erőn alapuló támadásnak nevezzük, amit a támadók modern eszközökkel igen könnyen automatizálhatnak.
Az SSH kulcsok ezzel szemben egy biztonságos kulcspárral működnek. Készítenek egy nyilvános kulcsot, ami egyfajta tesztként működik, beazonosítva a felhasználót. Ezt gond nélkül nyilvánosságra lehet hozni, hiszen csupán arra használhatjuk, hogy beazonosítsuk a felhasználót és engedélyezzük számára a belépést a kulcs megfelelő magánkulcs párjával. A magánkulcsot titokban kell tartanunk, mivel ez teszi lehetővé a belépést a hozzákapcsolt nyilvános kulcs segítségével.
Röviden összefoglalva: hozzáadhatunk a szerverünkhöz egy nyilvános SSH kulcsot, ami majd lehetővé teszi, hogy bejelentkezhessünk a megfelelő magánkód segítségével. Ezek a kulcsok olyan bonyolultak, hogy a nyers erőn alapuló támadások nem hatékonyak velük szemben. Ezen felül hozzáadhatunk a rendszerhez hosszabb jelmondatokat is, amelyek még nagyobb biztonságot nyújtanak.
Fail2ban használata a káros IP címek letiltásához
Az SSH konfigurációnk általános javítására használhatjuk a Fail2ban-t. A Fail2ban egy olyan rendszer, amely monitorozza a naplófájlokat annak érdekében, hogy meghatározza, hogy egy távoli rendszer valós felhasználó-e vagy sem. Amennyiben nem, úgy átmenetileg blokkolja a jövőben a forgalmat a hozzá tartozó IP címről.
Egy jól átgondolt Fail2ban szabályzat felállítása lehetővé teszi számunkra, hogy megtaláljuk azokat a gépeket, amelyek folytatólagosan sikertelen bejelentkezésekkel próbálkoznak rendszerünkben. Ezek alapján hozzáadhatjuk a tűzfal szabályaihoz, hogy utasítsa el a forgalmat az adott helyről egy bizonyos ideig.
Ez egy egyszerű módszer arra, hogy feltartóztassuk a nyers erőn alapuló támadásokat, mivel igen sok időnek kell eltelnie, mire legközelebb újra tudnak próbálkozni. Ez általában elegendő ahhoz, hogy elbátortalanítsuk a nyers erőn alapuló támadásokkal próbálkozó behatolókat.
Behatolás-felismerő rendszer alkalmazása a kéretlen belépések ellen
Érdemes lehet megfontolni egy jogosulatlan használatot felderítő stratégia kifejlesztését. Lehet, hogy már rendelkezünk megelőző intézkedésekkel, de azzal is tisztában kell lennünk, hogy ezek hatékonynak bizonyultak-e vagy sem.
A behatolás-felismerő rendszer, vagy IDS (Intrusion Detection System) feljegyzi az adott konfigurációkat és a fájlok részleteit, amikor azok megfelelő állapotban vannak. Ezt követően összehasonlításokat végez, majd összeveti, hogy van-e eltérés a két állapot között a fájlokat és beállításokat illetően.
Létezik néhány ilyen rendszer, most csak néhányat emelnénk ki:
Tripwire
Az egyik legismertebb IDS implementáció a tripwire. A tripwire összerendezi a rendszerfájlokat egy adatbázisba, és megvédi ezeket a fájlokat és binárisokat egy kulcshalmazzal. Miután a konfiguráció részleteit kiválasztottuk és meghatároztuk a kivételeket, az azt követő futtatások alkalmával a tripwire értesíteni fog minket mindenféle változás(ok)ról azokkal a fájlokkal kapcsolatban, amelyeket a rendszerünkben monitoroz.
A szabályrendszer nagyon rugalmas, pontosan ezért lehetővé teszi számunkra, hogy saját környezetünknek megfelelően kedvünkre alakítsuk a beállításokat. Ezt követően cron job segítségével összeállíthatunk tripwire futtatásokat, így email értesítést is kaphatunk a szokatlan tevékenység(ek)ről.
Aide
Egy másik lehetőség az IDS-re az Aide. Hasonlóan a tripwire-höz, az Aide is adatbázis építésével működik, összehasonlítja a rendszer jelenlegi helyzetét az alapértelmezett, tárolt verzióval. Abban az esetben, ha ellentmondás alakul ki, a program értesítheti az adminisztrátort a problémáról. Az Aide és a tripwire is hasonló megoldásokkal szolgál ugyanarra a problémára.
Psad
A Psad az előbb említett szoftverekkel ellentétben más irányból közelíti meg a fentebb említett problémát. A rendszerfájlok monitorozása helyett a Psad a tűzfal eseménynaplóján tartja a szemét, és így próbálja az ártalmas tevékenysége(ke)t kiszűrni. Ha egy felhasználó sebezhető pontokat igyekszik felderíteni a portok szkennelésével a szerveren, akkor a Psad ki tudja szűrni ezt a tevékenységet, és dinamikusan megváltoztatja a tűzfal szabályzatát, hogy az kizárja a felhasználót. Ez az eszköz képes regisztrálni különböző szintű veszélyeket, majd a veszély komolysága alapján reagál a problémá(k)ra. Opcionálisan e-mailt is küldhet az adminisztrátornak.
Bro
A következő bemutatni kívánt hálózat alapú IDS lehetőségünk a Bro. A Bro tulajdonképpen egy hálózat megfigyelő keretrendszer, amit használhatunk hálózati IDS-ként, vagy más egyéb célokra, mint például felhasználói statisztikák gyűjtésére, problémák vizsgálatára vagy minták megfigyelésére. A Bro rendszere két rétegre van felosztva: Az első réteg a tevékenységet monitorozza és úgynevezett eseményeket generál. A második réteg futtatja a generált eseményeket egy szabályzati keretrendszer alapján, ami megmutatja, hogy mit szükséges a forgalommal tenni (amennyiben van ilyen teendő). A Bro adhat riasztásokat, futtathat rendszerparancsokat, egyszerűen naplózhatja az adott eseményt, vagy kereshet másik elérési utat.
RKHunter
Habár technikailag nem egy behatolás felismerő rendszer; az RKHunter nagyon hasonló alapelv alapján működik, mint a hoszt-alapú behatolásfelismerő rendszerek. Ennek oka pedig nem más, mint a cél, hogy felismerje a rejtett, rosszindulatú szoftvereket és az ismert ártalmas tartalmakat. A vírusok elég ritkák a Linuxok világában, azonban az ártalmas tartalmak és rosszindulatú szoftverek könnyen veszélyeztethetik rendszerünket, vagy folyamatos hozzáférést garantálhatnak a kizsákmányoló számára. Az RKHunter letölt egy listát az ismert kizsákmányolókról, majd megvizsgálja, hogy a rendszerben van-e találat. Jelzést is ad számunkra, hogyha a gyakran használt programokban nem biztonságos beállításokat észlel.
Általános biztonsági tanácsok
Miközben a fent említett eszközök és beállítások segíthetnek minket abban, hogy biztonságosabbá tehessük rendszerünk bizonyos részeit, a megfelelő biztonság nem csak abból áll, hogy az adott eszközt implementáljuk és aztán el is felejtkezhetünk róla. A jó biztonsági rendszer a gondoskodás, részletekbe menő vizsgálatok és folyamatszemlélet eredménye.
Néhány alapszabály, ami elindíthat minket a megfelelő irányba a biztonságos rendszerhasználatot illetően:
Figyeljünk a frissítésekre és frissítsünk gyakran
A szoftverek sebezhetősége igen gyakori, szinte bármelyik általunk használt szoftver esetében találkozhatunk vele. A disztribútorok általában ügyelnek rá, hogy a legújabb biztonsági javítások elkészüljenek, és azokat megfelelő módon eljuttassák a felhasználóknak. Habár, hiába van letöltve a rendszerünkbe a frissítés, semmi haszna nem származik a szervernek belőle, hogyha nem telepítjük azt. Sok esetben a szerverek a régi, jól bevált, tesztelt szoftververziókat használják. Ugyanakkor a hibákat kijavító csomagokról sem szabad elfeledkeznünk, hiszen ezek fontos és kritikus frissítések lehetnek. A legtöbb disztribúció biztonsági levelező listát és különálló letöltési csatornákat kínál csak a javított verzió letöltéséhez és telepítéséhez.
Óvakodjunk a hivatalos csatornákon kívüli szoftverletöltésektől
A legtöbb felhasználó a hivatalos honlapon elérhető szoftvereket használja, a legtöbb disztribútor pedig hitelesített csomagokat kínál. A felhasználók ezekben szinte majdnem minden esetben megbízhatnak, inkább a hivatalos csatornákon kívülről érkező szoftverek letöltésétől kell óvakodnunk. Azokban a felkínált szoftver vagy disztribúciócsomagokban bízhatunk, amelyek elérhetőek az adott projekt hivatalos honlapjáról, de vigyázzunk rá, hogy a kockázat még így is fennáll, hacsak nem vizsgálunk felül minden egyes szoftvert mi magunk. A felhasználók nagy része úgy érzi, hogy ez egy elfogadható kockázat.
Másrészről az olyan véletlenszerű helyekről letöltött szoftverek, amelyeket ismeretlen személyek vagy szervezetek tartanak fenn, rendkívül nagy kockázatot rejtenek magukban. Nincsenek erre vonatkozó írott szabályok, és valószínűleg a nem hivatalos oldalakról letöltött szoftverek nagy része teljesen biztonságos, de nem árt tisztában lennünk vele, hogy veszélyes lehet megbíznunk bennük. Bizonyosodjunk meg afelől, hogy a forrás megbízható. Amennyiben a forrás nem tekinthető megbízhatónak, fontos, hogy mérlegeljük a kockázat és a szoftverrel járó kényelem arányát. Ismerjük meg az általunk futtatott szolgáltatásokat és limitáljuk azok számát!
Ugyan a szerverek lényege nagy valószínűséggel szolgáltatások nyújtása, amelyet a felhasználók elérhetnek, célszerű a futó szolgáltatások számát lecsökkenteni annyira, amennyire csak lehet. Tekintsünk minden engedélyezett szolgáltatást egy lehetséges veszélyforrásnak, és igyekezzünk annyi veszélyforrást kiiktatni, amennyit módunkban áll a szerver funkcionalitásának csökkentése nélkül.
Ez azt jelenti, hogyha például egy fej nélküli szervert futtatunk, és nem fut internetet igénylő grafikus program, akkor célszerű korlátoznunk és törölnünk az X display szervert. Hasonló lépéseket tehetünk más területeken is.
Nincs nyomtatónk? Korlátozzuk az IP szolgáltatásokat.
Nincs bekapcsolva a Windows hálózati megosztása? Kapcsoljuk ki a Samba szolgáltatást.
FTP helyett inkább használjunk SFTP-t
Sok ember számára nehéz lehet elfogadni, de az FTP egy olyan protokoll, amely velejáróan nem biztonságos. Minden hitelesítést egy sima txt-ként küld el, ami azt jelenti, hogy bárki, aki a szerver és a helyi gép közötti kapcsolatot monitorozza, láthatja bejelentkezési adatainkat.
Csak néhány eset van, amikor az FTP használata elfogadható lehet: Amennyiben egy névtelen, nyilvános, csak letöltésre használt oldalt üzemeltetünk, az FTP jó megoldás lehet.
Egy másik eset, amikor az FTP használata megfelelő választás, az az, amikor két számítógép közötti fájlátvitelt alkalmazunk úgy, hogy egy NAT engedélyezett tűzfalat használunk, és tudjuk, hogy a hálózatunk biztonsága megfelelő.
Az ezeken kívül eső szituációkban egy biztonságosabb alternatívát ajánlott választanunk. Az SSH egy alternatív protokollal válik teljessé, amelyet SFTP-nek nevezünk. A működése elég hasonló, de a biztonsági rendszer alapját az SSH protokoll adja. Ez lehetővé teszi számunkra, hogy információt áramoltassunk a szerverünkről, illetve a szerverünkre úgy, ahogy FTP-vel tennénk, de kockázatok nélkül. A legtöbb modern FTP kliens képes az SFTP szerverekkel kommunikálni.
Ésszerű felhasználókat érintő biztonsági szabályok használata
Létezik néhány felhasználókkal kapcsolatos intézkedés, amely segítségével biztonságosabbá tehetjük rendszerünket.
Az egyik ilyen javaslat, az a gyökérbejelentkezések kiiktatása. Mivel a gyökérfelhasználó jelen van bármely POSIX-hoz hasonló rendszerben, és egy erős hatalommal rendelkező felhasználó, így ez egy csábító célpont a támadók számára is.
A gyökérbejelentkezések tiltása egy jó ötlet a sudo hozzáférés beállítása után, vagy ha megfelelően tudjuk használni a su parancsot. Sok ember elutasítja ezt a módszert, de akad olyan is, aki megfelelőnek tartja. Kikapcsolhatjuk a távoli gyökérbejelentkezéseket az SSH daemonnal, vagy a helyi bejelentkezések letiltásához korlátozhatjuk az /etc/securetty fájlt. A gyökérfelhasználó parancsvezérlőjét is kiiktathatjuk, hogy a gyökér parancsvezérlőt ne érhesse el, illetve PAM szabályokat állíthatunk fel, amivel korlátozhatjuk a bejelentkezéseket is.
Egy másik jó megoldás, amit használhatunk a felhasználói fiókokkal kapcsolatban, az az egyedi fiókok alkalmazása minden felhasználó és szolgáltatás esetében. Fontos, hogy csak a munkájukhoz legszükségesebb dolgokhoz adjunk nekik engedélyt. Zároljunk mindent, aminek a hozzáféréséhez nincs szükségük, és vegyük el a számukra nem szükséges jogokat.
Ez egy fontos szabályrendszer, mivel ha egy felhasználó vagy szolgáltatás veszélybe kerül, az nem generál dominó effektust, ami lehetővé tenné a támadó számára, hogy a rendszer további részeit is elérhesse. Az efféle szakaszosítás segít a probléma elkülönítésében, pontosan úgy, mint a választófalak és vízhatlan ajtók a hajókon, amelyek megakadályozzák a hajó elsüllyedését annak sérülése esetén.
A fent említett esetekben fontos intézkedés azon felhasználói fiókok letiltása, amikre már valamilyen okból kifolyólag nincs szükségünk. Ez megtörténhet az adott szoftver törlésekor, vagy ha egy adott felhasználó számára a jövőben nem akarunk hozzáférést biztosítani.
Ügyeljünk az engedélyezésekkel kapcsolatos beállításokra
Az állományok engedélyezése óriási problémát jelent a felhasználók nagy hányadának. Az egyensúly megtalálása az engedélyek (amik lehetővé teszik, hogy tennivalóinkat elvégezhessük) és a veszélyeztetettség között igen kényes téma, és alapos megfontolást igényel minden egyes esetben. Egy ésszerű umask szabályrendszer alkalmazása (ami meghatározza az alapvető engedélyeket az új fájlokhoz és könyvtárakhoz) jó beállításokat eredményezhet. Általánosságban, nem árt kétszer is átgondolnunk, hogy biztosan írhatóvá akarunk-e tenni valamit, különösen akkor, ha az bármilyen módon elérhető az interneten keresztül. Ezeknek beláthatatlan következményei is lehetnek. Ezen felül fontos megemlítenünk, hogy nem ajánlatos SGID vagy SUID biteket beállítani az engedélyezéseknél, hacsak nem vagyunk teljesen biztosak benne, hogy mit csinálunk. Ne felejtsük el leellenőrizni azt sem, hogy a fájloknak van-e tulajdonosa és csoportja.
Az engedélyezésekkel kapcsolatos beállítások nagyban fognak a mi használatunktól függni, de meg kell próbálnunk a lehető legkisebb engedélyezés használatával működtetni a rendszerünket. Ezen nagyon könnyen elcsúszhatunk, ráadásul sok rossz tanács terjeng az interneten ebben a témában.
Ellenőrizzük rendszeresen, hogy található-e ártalmas tartalom a szervereinken
Jóllehet, hogy a Linux kevésbé kedvelt célpont az ártalmas tartalmak tekintetében, mint a Windows, ez egyáltalán nem jelenti azt, hogy ellenálló lenne az ártalmas szoftverekkel szemben. Az IDS implementálásával kapcsolatban, amely a behatolásokat követi le, az ártalmas tartalmak átvizsgálásával könnyen nyomokat találhatunk, amelyek a gépünkre jogtalanul telepített szoftverekhez vezethetnek el minket.
Könnyen találhatunk néhány ilyen szoftvert Linux rendszerekhez az interneten, amelyek rendszeres időközönként megvizsgálják és hitelesítik szervereink sértetlenségét. A Linux Malware Detect-vagy más néven maldet/LMD – egy rendkívül népszerű opció, amelyet könnyen telepíthetünk és beállíthatunk ártalmas nyomok felderítésére. Működtethetjük manuálisan vagy beállíthatjuk úgy is, hogy rendszeres időközönként vizsgálja át a szerver(eke)t. Az így elkészült riportokat elküldhetjük e-mailben a szerver adminisztrátorának.
Hogyan tegyünk biztonságossá egy általunk használt szoftvert?
Habár ez a leírás nem elég nagy terjedelmű ahhoz, hogy teljes mértékben végigvegyünk mindenféle szolgáltatást vagy applikációt, nagyon sok leírást találhatunk online. Célszerű elolvasni az általunk alkalmazni kívánt projekt(ek) esetében a hozzá(juk) tartozó biztonsági ajánlásokat.
Ezen felül a népszerű szerver szoftvereknek, mint például a webszerverek vagy adatbázis kezelő rendszerek, külön weboldalaik és adatbázisaik foglalkoznak a biztonság kérdésével. Általában jó, ha utánanézünk a rendelkezésre álló forrásokból és bebiztosítunk minden szolgáltatást mielőtt azt online-ná tennénk.
Összegzés
Cikkünk végére kaptunk egy összefogó képet a Linux szervereken használatos biztonsági intézkedésekről. Habár igyekeztünk a lehető legtöbb területet érinteni, végül mégis az olvasónak kell a döntést meghoznia. Szerver adminisztrálása esetén saját magunknak kell felelősséget vállalnunk a szerverünk biztonságáért. Ez nem egy olyan dolog, amit néhány kattintással megoldhatunk a kezdetekben. Ez egy folyamat, és egy folyamatosan elvégzendő feladat a rendszerünk auditálása során, magában foglalja a megoldások implementálását, a naplók és riasztások kiértékelését, a szükségletek újraértékelését stb. Ébernek kell lennünk, ha rendszerünk védelméről van szó, és fontos, hogy mindig monitorozzuk és kiértékeljük a kapott eredményeket.