[ Адміністрування Debian GNU/Linux ]
Loading ...| П | В | С | Ч | П | С | Н |
|---|---|---|---|---|---|---|
| « Лют | ||||||
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 | 31 | ||||
Уcя наявна тут інформація розповсюджується на умовах ліцензії Creative Commons License.
scponly — альтернативний ’shell’ для системних адміністраторів, які б не хотіли надавати віддаленим користувачам доступ на читання і на запис до локальних файлів без надання їм спеціального права робити це.
Зазвичай, scponly використовують для того, щоб надавати на півпублічний доступ, на кшталт, концепції, яка застосовується для анонімної авторизації на ftp.
Інколи виникає бажання побавитись із системою, однак, є ризик її пошкодити. Або ж, наприклад, потрібно випробувати певні версії якогось програмного забезпечення, а уже встановлені видаляти не хочеться. Або ж щось потрібно зібрати певним компілятором, тощо. Власне, різних ситуацій може бути багато.
Ясна річ, для усього цього (як і багато чого іншого в linux) є різні шляхи. Одним із них є робота в chroot.
Суть ідеї дуже проста. Chroot розшифровується, як Change Root, тобто “змінити корінь”. Завдяки йому ми отримуємо незалежну систему зі своїми налаштуваннями/знадобами, і т.д. Найчастіше такий підхід використовується коли потрібно “замкнути” у цій “пісочниці” потенційно небезпечні сервіси на сервері з метою їхнього захисту, щоб взломщик не отримав доступ до іншої системи. Але це вже тема для окремої статті.
Якось мені довелось їхати зі своїм лептоп у не дуже спокійну і демократичну країну, що змусило мене серйозно занепокоїтись за конфіденційність своїх даних, які я зберігаю на жорсткому диску свого лептопу.
У цій статті я продемонструю вам простий спосіб створення безпечного тунелю UDP через з’єднання SSH. Скажімо, вам потрібно безпечно перенаправляти пакети UDP між двома мережами. Наприклад, запити DNS з вашої домашньої машини до сервера DNS на робочому місці.
RSync було розроблено, як як заміну старої команди rcp. За допомогою якої проводилося копіювання файлів між машинами систем UNIX. RSync дуже зручний, оскільки його алгоритм побудований таким чином, що він відслідковує, як змінився файл і копіює лише необхідні частини. Причому для виявлення змін, йому не треба порівнювати два файли. І працює це дуже швидко. Окрім того, дуже корисним буде його здатність працювати через ssh. Це забезпечує шифрування каналу, що дуже важливо, якщо ви синхронізуєте два сервери в мережі Інтернет. Для зменшення трафіку, rsync також уміє стисткати дані. Це дуже потужна утиліта, з якою тре бути обережним, оскільки з її допомогою можна зіпсувати дані.
Метою даної статті є опис шляху переходу на повністю зашифровану файлову систему LVM (коренева файлова система і дані користувачів, окрім завантажувального розділу). Міґрація можлива як зі звичайною LVM, так і з ext3. Все, що вам знадобиться — наявність зовнішнього сховища.
Окремо варто відзначити, що ця операція повинна проводитися людиною, що має певний досвід.
За замовчуванням, система Debian не має init-сценарію для управління iptables. Це означає, що можлива ситуація, коли правила працюючого брандмауера скинуться після перезавантаження системи, що часто є неприпустимим, або ж, як мінімум, не бажаним (ну, не приємно ж, млін).
Однак, усі ви маєте знати про те, що “Шлях Дебіена” (Debian way) є надзвичайно логічним і відмінно працюючим підходом. Ним ми і скористаємось для вирішення даної задачі.
mod_defensible — модуль для веб-сервера Apache 2.x призначений для блокування спамерів та скрипт кідесів за допомогою DNSBL серверів.
Він дізнається ІР-адресу клієнта, і перевіряє її присутність у базі DNSBL, і у випадку її наявності у даній базі, повертає користувачу помилку “403 Forbidden”.
Ksplice дозволяє системним адміністраторам наносити латки з оновленням безпеки на ядро без наступного перезавантаження системи. Ksplice спершу “латає” джерельні тексти ядра, а тоді вже саме працююче ядро. При тому, саме ядро не потребує ніякої підготовки.
Будучи повністю автоматизованим, Ksplice’s розроблений таким чином, щоб не вносити в ядро серйозних змін, однак, переважна більшість латок з оновленнями безпеки таких змін не містять. Було проведено експеримент з такими латками, випущеними з травня 2005 до грудня 2007, результат просто вражає: Ksplice змін автоматично залатати 84% з 50 вразливостей у ядрі.