Читаем Linux-сервер своими руками полностью

Напоследок — несколько рекомендаций по администрированию сервера. После того, как вы установили и настроили операционную систему, нужно регулярно «присматривать» за сервером, не полагаясь на надежность и защищенность Linux. Конечно, если у вас обыкновенный роутер, после настройки системы вы с чистой совестью можете поставить ваш сервер на полку и забыть о нем до тех пор, пока не понадобится внести новые правила фильтрации.

Если же ваш сервер выполняет более серьезные задачи, например, является сервером аутентификации, Web или FTP-сервером компании, нужно хотя бы один раз в день просматривать системные протоколы с целью обнаружить несанкционированный доступ к системе.

Что же делать, если вы обнаружили следы атаки на ваш сервер? Нужно деактивировать тот сервис, через который злоумышленник проник в вашу систему. Можно даже вообще отключить сервер из сети (компьютерной, а не сети питания!), если вы можете себе такое позволить. Затем нужно попытаться «заштопать дыру»: если взлом произошел из-за неправильной (или неполной) настройки сервера, подправьте конфигурационный файл сервиса, который был взломан. Если же взлом произошел из-за недоработок сервиса со стороны разработчиков, посетите сайт разработчиков и скачайте новую версию сервиса или патч к ней, исправляющий данную ошибку. Перед этим убедитесь, что эта ошибка исправлена в новой версии или в патче, в противном случае сообщите об ошибке разработчикам. Желательно проверить другие сервисы системы и установить в случае необходимости к ним «заплатки».

Не дожидайтесь грома с неба, а посещайте конференции, форумы, подпишитесь на специальные рассылки по безопасности. Следует также подписаться на рассылки разработчиков тех сервисов, которые используются в вашей системе. Вы должны узнать о потенциальных дырах раньше, чем злоумышленник и успеть обновить систему до попытки взлома.

Как выследить злоумышленника? Для этого нужно провести небольшое расследование. Соберите как можно больше информации о нем, одного IP-адреса будет явно маловато. Если это пользователь другой сети, обратитесь к администратору сети злоумышленника: вместе вы добьетесь большего.

Если злоумышленником является пользователь вашей сети, проверьте, тот ли это IP-адрес, который он постоянно использует при работе в сети. Бывают случаи, когда пользователи используют чужие IP-адреса для такого рода операций, в то время как истинные владельцы этих адресов вообще выключили компьютер и ничего не подозревают о взломе. Используя неэлектронные методы коммуникации, например, поговорив с этим пользователем лично или позвонив к нему по телефону, выясните, работал ли вообще он за компьютером во время взлома и был ли компьютер в это время включен, при этом ничего не говорите ему о взломе. В любом случае, прежде чем обвинить кого-либо во взломе, вы должны быть уверены на все 100%.

Нужно отметить еще один немаловажный факт: если вы думаете, что безопасность вашей сети заключается только в безопасности вашего сервера, вы ошибаетесь. В случае, если ваша сеть не является подсетью Интернет (всем компьютерам сети назначены настоящие IP-адреса), ваша задача упрощается: вам всего лишь нужно установить антивирусы на компьютерах пользователей и регулярно обновлять антивирусные базы, желательно также установить антивирус на почтовом сервере. Если рабочие станции вашей локальной сети используют операционную систему Windows (а в большинстве случаев это так), отключите на шлюзе порты 135…139 и порт 129. Более подробно об этом написано в гл. 17. Также нужно обращать внимание на заплатки к Internet Explorer (только не те, которые будут периодически рассылаться по электронной почте пользователям вашей сети любителями троянских коней). Загружать обновления для IE нужно только с сайта Microsoft. А если вы убедите ваших пользователей использовать Netscape Communicator вместо IE, TheBat! вместо Outlook, вы таким образом избавите себя от периодического посещения сайта Microsoft.

Предположим, что вы являетесь администратором Web или FTP-сервера. В этом случае как можно чаще делайте резервные копии данных пользователей. Если систему в случае сбоя можно будет восстановить в течение 40-60 минут, то с данными пользователей будет сложнее. При этом нужно правильно организовать процесс резервного копирования, чтобы не запутаться в созданных копиях. Чтобы избежать этого, правильно выберите стратегию резервного копирования. Одна из таких стратегий обсуждалась в гл. 4. По возможности используйте массивы RAID — они обеспечивают более высокий уровень надежности. Однако использование RAID не освобождает вас от резервного копирования.