Контроль и ограничение пользователей Linux

         

AntiVir



AntiVir

AntiVir еще один коммерческий сканер, работает на разных Windows и Linux. Скачать можно с .



AOL Server



AOL Server

Я знаю, это звучит странно, но это правда. AOL Server это свободный www-сервер с доступными исходными кодами. К тому же, он поддерживает SSL и несколько других продвинутых свойств. Определенно, стоит посмотреть... Скачать можно с .

После установки и настройки www-сервера надо предоставить доступ к файловой системе, чтобы пользователи могли выкладывать странички. Для этого есть 4 наиболее популярных способа, но о них позже.



Apache



Apache

По умолчанию Apache работает как пользователь 'nobody', давая очень небольшой доступ к системе, и вообще говоря группа авторов Apache сделала превосходную работу по обеспечению безопасности. Вообще-то все www-серверы безопасны, все что они делают, это получают данные из системы и отсылают их. Опасность ждет Вас со стороны плохих CGI, server side includes и тому подобного.

Многие серверы, основанные на Apache (Red Hat Secure Server, Stronghold и другие) имеют исправленные ошибки, но в них появились другие проблемы. Скачать Apache можно с . Он также входит почти во все дистрибутивы как пакет программ.

Chroot'ing Apache

Если Вы хотите быть параноидальными, я предложил бы запускать Apache в chroot'ed среде, но это иногда создает больше проблем, чем решает. Выполнение этого разорвет очень многие вещи. Вы должны также установить многочисленные библиотеки, Perl и любые другие утилиты, которые Apache будет использовать, также как любые файлы конфигурации, к которым Вы желаете иметь доступ. Использование CGI также превратится в проблему.

Самый простой путь к установке chroot'ed просто поставить его, переместить и отредактировать некоторые файлы. Хорошая мысль: создайте каталог (например, /chroot/apache), предпочтительно на отдельной файловой системе и создать структуру файлов для Apache. В примере ниже просто поменяйте /chroot/apache на Ваш выбор. Вы должны, конечно, выполнить эти шаги как root. RPM поддерживает директиву ?--root /some/dir?, что позволяет легко поставить Apache и все нужные библиотеки с помощью rpm. Используйте ldd, чтобы выяснить какие именно библиотеки нужны, и переместите их в каталог /chroot/apache (если Ваша система не поддерживает rpm).

[seifried@host seifried]$ ldd /usr/bin/httpd libm.so.6 => /lib/libm.so.6 (0x40017000) libc.so.6 => /lib/libc.so.6 (0x40060000) /lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0x40000000)

Apache протоколирует запросы и свою работу сам, так что не нужно ставить pseudo logging daemons вроде holelogd для передачи данных в syslog.



Apache с mod_ssl



Apache с mod_ssl

Apache с mod_ssl доступен на . Я его почти не тестировал.

Создание сертификатов

Это простая часть, следующий шаг должен создать набор ключей и затем конфигурировать httpsd.conf, чтобы использовать их. Найдите, где установлен "openssl" и убедитесь, что он прописан в path, затем cd туда, где лежат файлы настройки Apache. Если нужно создать тестовый сертификат для внутреннего пользвания, скомандуйте:

openssl genrsa -des3 > httpsd.key openssl req -new -x509 -key httpsd.key > httpsd.crt

Браузеры будут громко жаловаться относительно этого сертификата, потому что он создан человеком, который его подписал, и они недоверяют ему. Если Вы хотите генерировать сертификат и запрос удостоверения, чтобы послать кому-то подобно Thawte или Verisign, скомандуйте:

openssl genrsa -des3 > httpsd.key openssl req -new -key httpsd.key > httpsd.csr

Вы можете также получать реальные сертификаты с ограниченным сроком действия (обычно неделя или две) от Verisign, чтобы использовать для тестирования их в среде "реального мира".

Настройка Apache для работы с SSL

Имеется несколько вещей, которые Вы будете должны добавить к Вашему файлу конфигурации Apache, чтобы получить Apache с SSL-расширениями, фактически делающими что-нибудь полезное с Вашими сертификатами. Вы будете должны добавить некоторые глобальные параметры настройки конфигурации (обратите внимание, что они применимы для 1.3.9 и не будут работать в более ранних версиях Apache):

# you will need to tell apache to listen to port 443, by default # it only goes for 80 Listen 443 # if you use more then one secure site on an IP (BAD IDEA) you will need: NameVirtualHost 10.1.1.1:443 #it's a good idea to disable SSL globally and enable it on a per host basis SSLDisable # SSL cache server, without this your server will die SSLCacheServerPath /usr/bin/gcache # port the cache server runs on SSLCacheServerPort 12345 # timeout for the SSL cache, set shorter for testing, 300 is a good # "real world" value SSLSessionCacheTimeout 300

Создайте виртуальный хост с поддержкой SSL:

<VirtualHost www.example.com:443> DocumentRoot /www/secure ServerName www.example.com ServerAdmin example@example.com ErrorLog logs/https_error.log TransferLog logs/https_access.log # enable SSL for this virtual host SSLEnable # this forbids access except when SSL is in use. Very handy for defending # against configuration errors that expose stuff that should be protected SSLRequireSSL SSLCertificateFile /usr/conf/httpsd.crt # if the key is not combined with the certificate, use this # directive to point at the key file. [OPTIONAL] SSLCertificateKeyFile /usr/conf/httpsd.key # If you want to require users to have a certificate you will need # a bundle of root certificates so you can verify their personal certificates #SSLCACertificateFile /etc/ssl/ca-cert-bundle.pem SSLVerifyClient none </VirtualHost>



Apache-SSL



Apache-SSL

Это то, которое я в настоящее время использую (просто потому, что я пробовал прежде Apache с mod_ssl, и это работало). Вам понадобится счкачать Open-SSL, откмпилировать и поставить его, а затем поставить патч Apache-SSL для Apache и пересобрать Apache. Open-SSL доступен на , просто скачайте последний tarball, распакуйте его и выполните:

./config make make test make install

Затем получите Apache-SSL stuff с , распакуйте куда-нибудь исходники Apache, cd в каталог верхнего уровня (например, /usr/local/src/apache_1.3.9) и распакуйте сюда же Apache-SSL stuff. Затем просто запустите:

./FixPatch

Это должно работать (если не работает, прочтите инструкцию в README.SSL), затем настройте Apache как обычно, выполните make, затем make install. Теперь читайте раздел "Создание сертификатов".



AtDot



AtDot

AtDot доступен по лицензии GNU и написан на perl. Он имеет несколько режимов работы, делающих его подходящим для ряда ситуаций (провайдеры в стиле hotmail, ISP, и т.п.). Загрузить можно с .



AVP



AVP

Kaspersky lab's тоже портировала свой антивирусный сканер под Linux. Скачать его можно с



Bash



Bash

Bash имеет встроенный ограничитель, к которому обращаются через ? ulimit?. Любые жесткие ограничения не могут быть установлены выше, если Вы имеете ограничения, определенные в /etc/profile. Это полезно для старых дистрибутивов без поддержки PAM. Вы должны также гарантировать, что пользователь не может изменять оболочку. Параметры настройки ограничений подобны методу PAM&:

ulimit ?Sc 0 ulimit ?Su 100 ulimit ?Hu 150

Эти три правила достигли бы того же результата как вышеприведенные в примере с PAM. Первое правило отключает дампы ядра, второе правило устанавливает soft-ограничение в 100 процессов, и третье правило устанавливает жесткое ограничение в 150 процессов. Справка по ulimit доступна по команде ?help ulimit? на приглашение bash.



Безопасная настройка Apache



Безопасная настройка Apache

Самый простой способ ограничить доступ: создайте каталог /www или подобный и разместите в его иерархии ВСЕ данные, доступные для web-сервера: все сайты, cgi и прочее. Затем установите в access.conf запрет доступа к / и разрешите доступ к /www и разлиным его каталогам cgi-bin.

Пример httpd.conf:

<Directory /> Options None AllowOverride None </Directory>

<Directory /www > Options Indexes FollowSymLinks Includes AllowOverride None </Directory>

Контроль доступа

Доступ к каталогам может также легко управляться, Apache поддерживает определение и размещение файлов (обычно упоминаемых как htaccess-файлы), которые могут управлять доступом, основываясь на username и пароле, IP-адресе происхождения и т.д. Это определено в файле srm.conf:

AccessFileName .htaccess

Формат этого файла подробно описан в документации на Apache и идентичен директивам в access.conf. Авторизация пользователей по username и паролю также подробно описана на .

Если Вы хотите, чтобы никто не мог просмотреть файлы .htaccess, впишите в srm.conf:

<Files .htaccess> order allow,deny deny from all; </Files>

Это запретит просмотр файлов с именем '.htaccess'.

apache-userdirldap

apache-userdirldap позволяет использовать каталог LDAP для просмотра домашних каталогов пользователей. Другими словами, можно переместить всех пользователей в структуру LDAP directory, и они будут авторизоваться через нее. Скачать можно с .



Безопасность и настройка X-сервера



Безопасность и настройка X-сервера

Имеется ряд методов гарантировать безопасный доступ к X-серверу.



Безопасные серверы WWW



Безопасные серверы WWW

Имеется несколько свободных и несколько коммерческих вариантов Apache с SSL. Здесь Вас ждут бюрократические рогатки, связанные с политикой разных государств относительно стойкой криптографии. Что ж, регулирование интернета пока ни у кого не получилось, хотя и пытались... Есть несколько статей в которых подробно рассматриваются защищенные серверы:



CIPE (Crypto IP Encapsulation)



CIPE (Crypto IP Encapsulation)

CIPE свободная схема шифрования IP-уровня, предполагаемая для использования между маршрутизаторами. Это подходит для безопасного соединения сетей через опасную сеть (подобную Internet). Официальный сайт CIPE: .



Дезинфекция



Дезинфекция

Резервируйтесь и присматривайте за всем подозрительным в системе. Если кто-то получил root-доступ, он может устроить многое, от троянца в gcc/egcs до загузки интересных модулей ядра. Не ставьте неизвестный софт как root. Проверяйте PGP-сигнатуры загружвемых файлов.

Самый простой метод для пресечения вирусов: использовать инструментальные средства целостности системы типа tripwire, L5 и Gog&Magog, Вы сможете легко узнать какие файлы были изменены и восстановить их. Имеется также много антивирусных сканеров, доступных для Linux (но вообще говоря, не имеется Linux-вирусов).



Доступ к файлам WWW-сервера



Доступ к файлам WWW-сервера



Теперь надо обновлять файлы на сервере... Зайти и использовать текстовый редактор (даже если у Вас shell-доступ) не самая лучшая мысль. Писать файлы на другой машине, а потом синхронизировать с сайтом... Бр-р, я сам этим занимаюсь, и должен сказать, что такая система заставляет о дальнейшем совершенствовании процесса. Есть несколько популярных пакетов HTML-разработки, способных обновлять сайт самостоятельно по FTP или windows file sharing.



ECLiPt Secure Tunnel



ECLiPt Secure Tunnel

Доступное по GNU licensed решение для Linux VPN. Пока на тестировании (и не рекомендуется для массового использования). Официальная страничка .



F-Secure Anti-Virus



F-Secure Anti-Virus

Data Fellow's тоже портировала свой антивирусный сканер под Linux. Скачать его можно с



Fast Webpage Exchanger



Fast Webpage Exchanger

Fast Webpage Exchanger сам синхронизирует файлы через ftp и имеет удобный файл настройки. Скачать можно с .



Flash Web Server



Flash Web Server

Простой и быстрый www-сервер, скачать можно с .



FrontPage



FrontPage

FrontPage одна из наиболее популярных программ HTML для пользователей Windows (я сам ей пользуюсь). Она может говорить непосредственно с WWW-серверами и обмениваться данными с сайтом (называемым ?FrontPage Site?), если сервер поддерживает расширения FrontPage. Они свободно доступны для различных UNIX-платформ с Ready To Run Software . Есть коммерческие альтернативы, например, Instant ASP доступен на . Хорошее описание взаимодействия FrontPage с Apache 1.3.X есть на .



FTP



FTP

Классический способ предоставления доступа пользователям к ftp-серверу. Пользователи имеют обыкновение читать чужие файлы, лазать везде, куда дотянутся, и вообще портить жизнь сисопу. Chroot?ing ftp-сессий решает большинство этих проблем, однако основная проблема с ftp, в том что шифрование username и пароля обычно является невыполнимым из-за факта, что большинство людей работают с клиентами FTP для Windows. Я рекомендую ProFTPD вместо WU-FTPD, ProFTPD имеет много лучшие средства управления доступом.



IBM HTTP Server



IBM HTTP Server

IBM также сделала HTTP-сервер для Linux (основанный на Apache), который можно скачать с .



IMP



IMP

IMP требует модуль Horde (доступен на его же сайте) и www-сервер, способный к поддержке PHP3. Вы можете загрузить IMP и Horde с .



InterScan VirusWall



InterScan VirusWall

Trend Micro портировала этот продукт под Linux, и его можно скачать с их сайта .



IPSec



IPSec

. Я полагаю, что это решение является будущим VPN (оно поддерживается большинством стандартов и является частью проекта IPv6).



Контроль пользователей



Контроль пользователей

Одна проблема общая на серверах с shell-достуом, заставляет уверенных пользователей не злоупотреблять сервером. Довольно просто контролировать стандартные ресурсы (типа дискового использования, использования CPU и т.д) но наиболее часто злоупотребляемый элемент bandwidth, к счастью имеется ряд способов контролировать это злоупотребление.



MailMan



MailMan

MailMan свободный (для некоммерческого использования) шлюз от www к POP. Если Вы планируете использовать его в коммерческих целях, надо его купить. А скачать можно с .



Mkxauth



mkxauth

mkxauth представляет собой хорошее дополнение к xhost. mkxauth создает файлы ~/.Xauthority, которые используются, чтобы определить hostnames и связанные магические cookies (маркер, используемый чтобы получить доступ). Эти cookies могут затем использоваться, чтобы получить доступ к удаленному X-хосту (Вы по существу имеете копию cookie на каждом конце) и передаются как текст (опасно) или зашифрованными по DES (совершенно безопасно). При использовании этого метода Вы можете быть в относительной безопасности. Файлы Xauthority могут также использоваться вместе с Kerberos. mkxauth отлично описан на man-странице 'man mkxauth' и много деталей можно почерпнуть на man-странице Xsecurity.



Netscape Enterprise



Netscape Enterprise

Пока на тестировании (но ставится и работает нормально) для Linux, доступен на .



Обзор



Обзор

Linux нельзя заразить вирусом путями, аналогичными принятым в Dos/Windows или на Mac. В UNIX контроль безопасности является фундаментальной частью системы. Например, пользователи не могут записывать любую точку памяти, как в Dos/Windows и на Mac.

Если честно, имеются вирусы для UNIX. Однако единственный для Linux, который я видел, был назван "bliss", имел опцию (" --uninstall-please") и должен был быть выполнен как root, чтобы быть эффективным. В общем, если Вы не знаете, что программа делает, не выполняйте ее как root! Черви намного более распространены в UNIX-мире, первым был Morris Internet worm, который использовал дыру в sendmail. Сейчас черви в Linux используют дыры в imapd, sendmail, WU-FTPD и прочих демонах. Самое простое: обновляйтесь регулярно. Этого вполне достаточно, чтобы вывести их из строя. Так что необходимости в антивирусах под Linux нет.

Трояны также весьма популярны. Недавно ftp.win.tue.nl был разрушен и пакет TCP_WRAPPERS (вместе с некоторыми другими) был подправлен для отсылки паролей на анониный доступ. Это было обнаружено, когда кто-то проверил PGP-сигнатуру пакета. Мораль истории? Используйте программное обеспечение из доверенных мест, и проверяйте PGP-сигнатуру.



Обзор



Обзор

WWW-трафик на сегодня один из главных компонентов использования Internet. Есть несколько популярных WWW-серверов для Linux, самый популярный, конечно, Apache (свыше 50% пользователей). Есть несколько новых WWW-серверов тоже с поддержкой SSL для безопасных соединений (для e-commerce). Этот раздел очень ориентирован на Apache, но поскольку он является сервером по умолчанию почти для всех дистрибутивов Linux (и *BSD), это имеет смысл. Я также написал о версии 1.3.9 сервера Apache, которая больше не использует access.conf или srm.conf, но взамен применяет httpd.conf.

HTTP работает на порте 80, протокол tcp, и если он предназначен только для внутреннего использования (Intranet или www-механизмы контроля firewall, например) его нужно закрыть с помощью firewall.

ipfwadm -I -a accept -P tcp -S 10.0.0.0/8 -D 0.0.0.0/0 80 ipfwadm -I -a accept -P tcp -S some.trusted.host -D 0.0.0.0/0 80 ipfwadm -I -a deny -P tcp -S 0.0.0.0/0 -D 0.0.0.0/0 80

или в ipchains:

ipchains -A input -p all -j ACCEPT -s 10.0.0.0/8 -d 0.0.0.0/0 80 ipchains -A input -p all -j ACCEPT -s some.trusted.host -d 0.0.0.0/0 80 ipchains -A input -p all -j DENY -s 0.0.0.0/0 -d 0.0.0.0/0 80

HTTPS работает на порте 443, протокол tcp, и если он предназначен только для внутреннего использования (Intranet или www-механизмы контроля firewall, например) его нужно закрыть с помощью firewall.

ipfwadm -I -a accept -P tcp -S 10.0.0.0/8 -D 0.0.0.0/0 443 ipfwadm -I -a accept -P tcp -S some.trusted.host -D 0.0.0.0/0 443 ipfwadm -I -a deny -P tcp -S 0.0.0.0/0 -D 0.0.0.0/0 443

или в ipchains:

ipchains -A input -p all -j ACCEPT -s 10.0.0.0/8 -d 0.0.0.0/0 443 ipchains -A input -p all -j ACCEPT -s some.trusted.host -d 0.0.0.0/0 443 ipchains -A input -p all -j DENY -s 0.0.0.0/0 -d 0.0.0.0/0 443



Обзор



Обзор

Одно из лучших решений использовать www-доступ к почте сводится к тому, чтобы запускать сервис на защищенной машине с минимальной нагрузкой. Пользователи должны иметь возможность обращаться к машине для просмотра почты откуда угодно, а не только из локальной сети.



Обзор



Обзор

X Window System сетевое средство для совместного использования графических данных, или более конкретно для экспорта дисплея программы на удаленный (или локальный) хост. Используя это Вы можете выполнять мощный 3d rendering пакет на SGI origin 2000 и отображать его на 486. По существу это аналог тех 'thin client' (тощих клиентов) о которых в последнее время столько разговоров. Это средство было создано в MIT, когда защита была не столь важна как сейчас. Защита исков слабая: копии экрана и данные о нажатиях клавиш на клавиатуре и перемещениях мыши можно легко перехватить, что может привести к крупным проблемам, например при входе на другую систему через xterm.

X в большинстве случаев использует для первого сеанса порт 6000, а затем для каждого нового сеанса использует порт на единичку выше. Если Вы не собираетесь работать с иксами на удаленных системах (хотя это иногда удобно), поставьте firewall на порт 6000.

ipfwadm -I -a accept -P tcp -S 10.0.0.0/8 -D 0.0.0.0/0 6000:6100 ipfwadm -I -a accept -P tcp -S some.trusted.host -D 0.0.0.0/0 6000:6100 ipfwadm -I -a deny -P tcp -S 0.0.0.0/0 -D 0.0.0.0/0 6000:6100

или

ipchains -A input -p tcp -j ACCEPT -s 10.0.0.0/8 -d 0.0.0.0/0 6000:6100 ipchains -A input -p tcp -j ACCEPT -s some.trusted.host -d 0.0.0.0/0 6000:6100 ipchains -A input -p tcp -j DENY -s 0.0.0.0/0 -d 0.0.0.0/0 6000:6100



Ограничение пользователей



Ограничение пользователей

Имеются много плохих дел, которые пользователь может сделать, если он имеет интерактивный доступ к shell. Имеется также много способов предотвратить это. Квоты использования диска, процессора и тому подобные решения хорошее начало, более продвинутые методы, типа контроля пользователей для больших сред также помогают. Одна из самых простых вещей, которые пользователь может делать: исчерпание всей памяти или исчерпание всех файловых дескрипторов с ?fork bomb?.



PAM



PAM

Новые дистрибутивы Linux с поддержкой PAM обеспечивает относящиеся к окружению параметры настройки. Например, можно ограничить доступный объем памяти. В Red Hat и Caldera это настраивается в каталоге /etc/security, который содержит ряд файлов. Наиболее интересный файл: /etc/security/limits.conf, который позволяет Вам определять правила для пользователей или групп: ?soft? или ?hard?, а также на что правило действует. Например:

* hard core 0 bob soft nproc 100 bob hard nproc 150

Первое правило отключило дампы ядра для всех, второе правило устанавливает ограничение soft для пользователя bob в 100 процессов, и третье правило устанавливает ограничение hard для пользователя bob в 150 процессов. Ограничение soft может быть превышено, обычно с предупреждением, а ограничение hard не может быть превышено. Применяется ограничение ковсем вариантам доступа, в том числе и по ftp.



PPTP (Point to Point Tunneling Protocol)



PPTP (Point to Point Tunneling Protocol)

PPTP, составляющий собственность протокол, созданный Microsoft для VPN решений. До настоящего времени показал многожество дефектов. Однако, если Вы должны интегрировать Linux в PPTP среду, еще не все потеряно: содержит Linux реализацию PPTP.



Проверка почты на вирусы



Проверка почты на вирусы

Данная тема подробно описана в разделе и подразделе о (очень важно при наличии windows-клиентов).



Quota



Quota

Quota является системой для ограничения использования диска пользователями. Она встроена в большинство дистрибутивов. Справка доступна на man-странице командой ?man quota?.



RearSite



RearSite

RearSite представляет собой cgi-программу для предоставления пользователям доступа к их каталогам через обычный web-браузер. Скачать можно с .



Red Hat Secure Server



Red Hat Secure Server

Red Hat Secure Server основан на Apache. По существу, это Apache с RSA cryptographic модулями (которые являются тем, за что Вы платите по существу) и можете также обслуживать стандартные (не cryptographic) http запросы. Из-за бюрократии, он продается только в США и Канаде, но реально сильная криптография давно используется всеми и везде. Red Hat Secure Server стоит $100 US и Вы получает скидку в $25 на Thawte-сертификат сайта (в результате такой сертификат будет стоить еще $100 US). Купить Red Hat Secure Server можно на .



Решения для VPN



Решения для VPN

Имеется ряд VPN решений для Linux. Очень советую при возможности использовать IPSec, поскольку он представляет собой прообраз стандарта для if VPN в Internet, и будет включен в IPv6. С другой стороны, если Вы защищены firewall, и Вам нужен туннель, пользуйтесь SSH, поскольку из-за изменения заголовков пакетов IPSec обычно проваливается.



Roxen



Roxen

Roxen еще один коммерческий www-сервер с поддержкой https, доступен по GPL. Вы можете свободно скачать его, если Вы находитесь в Объединенной Европе, Австралии, Канаде, Японии, Новой Зеландии, Норвегии, США или Швейцарии. Версия со ?слабой? (40 бит) криптографией может быть загружена из любой страны без проблем. Roxen доступен на .



Samba



Samba

Samba полезен для деления www-каталогов Windows-клиентами, Вы можете хранить usernames и пароли, отдельно от системы (использование smbpasswd, лучше системной passwd) и шифрование входов в систему не проблема. Просто создайте non-browseable разделяемый ресурс и используйте директиву ? valid users?, чтобы ограничить, какие пользователи могут рассматривать общие данные. Например:

[www-example] path = /www/www.example.org valid users = someuser read only = No browseable = No

Будет установлен довольно безопасный общий ресурс для каталога ?/www/www.example.org?, к которому только пользователь ?example? сможет обращаться.



Шифрование сетевых сервисов



Шифрование сетевых сервисов



Весь сетевой трафик может быть легко прочитан, поскольку он не шифруется. Разные механизмы существуют или создаются для шифрования трафика на разных уровнях стека протоколов. Некоторые схемы только шифруют данные, посланные (типа GnuPG, шифрующего email), некоторые шифруют сеанс (SSL) и некоторые шифруют полезный груз данных пакетов (IPSEC и другие VPN). В конечном счете самым лучшим решением будет IPSEC (мое мнение), поскольку не требуется никаких модификаций прикладных программ, и обеспечивается очень высокий уровень защиты между компьютерами. Сейчас единого протокола, используемого всеми, частично из-за интриг фирмы Microsoft, которая поддерживает только свои стандарты (справедливости ради надо заметить, что поддержка IPSec в тестовом варианте у нее есть, но тестовый вариант Microsoft...), частично из-за ряда законодательных проблем. Самая лучшая схема в настоящее время SSL, Secure Sockets Layer, первоначально предложенная Netscape. SSL шифрует данные на уровне сеанса, таким образом, если прикладная программа и сервер поддерживают SSL, Вы сможете защититься. Большинство www браузеров, некоторые email/news читатели, и несколько ftp и telnet клиентов поддерживает SSL в настоящее время. Для Linux большинство услуг может быть защищено SSL. Библиотеки SSL доступны на . Для работы через firewall может потребоваться NAT box (Linux с IP Masquerading), подробности в .



Simple Web Server



Simple Web Server

Simple Web Server полностью соответствует своему названию. Базовые функции и никаких наворотов. Скачать можно с .



Sophos Anti-Virus



Sophos Anti-Virus

Sophos Anti-Virus коммерческий сканер, работает на разных Windows и UNIX платформах. Свободен для персонального и относительно недорог для коммерческого использования. Скачать можно с .



SSH tunnel



SSH tunnel

SSH или OpenSSH может использоваться, чтобы создать туннель между хостами (или между двумя X-серверами), шифруя канал, обеспечивая авторизацию и вообще делая работу более безопасной. Следующая web-страница объясняет это подробно .



Stunnel



Stunnel

Stunnel представляет собой решение для безопасных сетей на основе SSL. Сервер работает под UNIX, клиенты под UNIX или Windows.



Thttpd



thttpd

Простой сервер http для web-интерфейса (например, Phoenix Adaptive firewall использует такой интерфейс). Скачать можно с



Ttysnoop



ttysnoop

Конечно это все хорошо, когда все правильно. Но что, если Вы фактически хотите контролировать то, что пользователь делает. Ttysnoop позволяет Вам контролировать то, что пользователь делает и записывать это. Вы можете получать ttysnoop с .



UserIPAcct



UserIPAcct 

UserIPAcct позволяет Вам контролировать использование bandwidth пользователем, это включает патч ядра и устанавливает правила (подобные в концепции firewalling) чтобы контролировать количество данных, которые программы пользователя посылают или получают. Вы не можете получить данные относительно PPP подключений но ведь и PPP daemon не выполняется от имени обычного пользователя (хотя сделать это в общем можно). Я рекомендую это на сервере оболочки, чтобы контролировать пользователей. Полный пает можно загрузить с .



Virtual Private Server



Virtual Private Server

Virtual Private Server (VPS) использует Perl и SSH для создания VPN. Загрузить можно с .



Virtual Private Server



Virtual Private Server

Virtual Private Server решение для VPN на основе PPP и SSH. Скачать можно с .



Virtual Tunnel



Virtual Tunnel

Virtual Tunnel (VTUN) поддерживает набор протоколо соединения и разные алгоритмы шифрования. Скачать можно с .



Виртуальные частные сети (Virtual private networks, VPN)



Виртуальные частные сети (Virtual private networks, VPN)

:



Вирусные сканеры для Linux



Вирусные сканеры для Linux

Как установлено выше, вирусы не представляют реальной угрозы под Linux, но вирусные сканеры, которые могут работать под Linux могут быть полезны при фильтрации email/других форм содержания на шлюзах Вашей сети (Windows-машины встречаются где угодно). Очень обнадеживает тот факт, что платформа, которая используется как дополнительная линия защиты от вирусной опасности, сама не может быть атакована этой опасностью. Вы можете также проверять файлы на сервере файлов под Linux, к которому обращаются Windows-клиенты. К счастью, имеется несколько хороших антивирусных программ, доступных для Linux.



Webfs



webfs

webfs легкий www-сервер с поддержкой базовых функций, доступен на .



WebRFM



WebRFM

WebRFM (Web-based Remote File Manager), CGI-программа (на Perl), позволяет пользователям управлять своими файлами. Скачать можно с .



Xhost



xhost

xhost просто позволяет Вам определять, какие машины могут, а какие нет, соединяться с сервером. Конечно, это очень просто, в современных сетях само по себе помогает мало, но часто может пригодиться. Команда проста: 'xhost +example.org' добавляет example.org, 'xhost -example.org' удаляет example.org из списка допущенных, Вы должны также определить 'xhost -' чтобы включить список управления доступом.



Zebedee



Zebedee

Zebedee предоставляет шифрование трафика TCP между хостами и доступен для UNIX и Windows. Скачать можно с .



Zeus



Zeus

Zeus www-сервер высшего уровня с поддержкой SSL. Это коммерческий продукт, и Вы можете получить 30-дневную демонстрашку с .