Главная страница
Навигация по странице:

  • 2.4. Выбор пакетов для установки

  • Разработка — задействовать основные пакеты и все необходимые компо- ненты для разработки приложений, компиляции ядра ОС Linux и т. д.; ˆОфис

  • Клиент — включить в устанавливаемую версию ОС только клиентские программы; ˆСервер

  • Выборочная — самостоятельно выбрать требуемые компоненты. Это наиболее предпочтительный вариант для серверов и компьютеров, кото- рые будут подключены к сети; ˆОбновление

  • Разработка

  • WEB Server

  • 2.5. Завершение установки

  • Настроить с помощью DHCP . Если вы не знаете, как работает протокол TCP/IP, то в качестве адреса для примера можете указать 192.168.1.1. Перейдите в поле Шлюз

  • Маска

  • 2.7. Первый старт

  • 2.8. Мы в системе

  • Система | Завер- шить сеанс...

  • 2.9. Подсказки

  • 2.10. Основы конфигурирования

  • 2.10.1. Запрещено то , что не разрешено

  • 2.10.2. Настройки по умолчанию

  • 2.10.3. Пароли по умолчанию

  • 2.10.4. Универсальные пароли

  • 2.10.5. Безопасность против производительности

  • 2.10.6. Внимательность

  • 2.11. Обновление

  • Михаил Фленов СанктПетербург бхвпетербург 2010 удк 681 06 ббк 32. 973. 26018. 2 Ф69


    Скачать 3.69 Mb.
    НазваниеМихаил Фленов СанктПетербург бхвпетербург 2010 удк 681 06 ббк 32. 973. 26018. 2 Ф69
    Дата13.03.2022
    Размер3.69 Mb.
    Формат файлаpdf
    Имя файлаlinux_glazami_xakera_3-e_izd.pdf
    ТипДокументы
    #394477
    страница5 из 35
    1   2   3   4   5   6   7   8   9   ...   35
    Описание
    /dev
    Представления для подключенных устройств
    /etc
    Конфигурационные системные файлы
    /home
    Пользовательские папки и
    файлы
    /lib
    Библиотеки ядра
    ОС
    /opt
    Дополнительные программные пакеты
    /proc
    Для монтирования виртуальной файловой системы
    /sbin
    Исполняемые файлы главного пользователя
    (root)
    /tmp
    Временные файлы
    /usr
    Системные файлы
    /var
    Журналы
    , буферные или заблокированные файлы
    Swap
    Раздел подкачки
    Обратите внимание, что все имена разделов, кроме последнего, начинаются со слэша. Это не случайно: раздел подкачки создается не как классический раздел и не становится папкой, в которой находятся файлы. Это отдельный раздел
    , не привязанный к корню файловой системы, который система может использовать как дополнительную оперативную память при нехватке физи- ческой
    , как Windows использует файл подкачки. Этот раздел не имеет смыс- ла для пользователя, поэтому существует отдельно.
    Размер раздела Swap должен быть не меньше объема доступной оперативной памяти
    . Если у вас достаточно места на жестком диске, то я советую сделать
    Swap в 3 раза больше, чем установленный объем ОЗУ, потому что память может быть расширена, и чтобы не иметь проблем с разделом подкачки, лучше заранее иметь достаточный запас. Конечно, Linux сможет работать и
    вообще без раздела подкачки, но все же желательно его создать. Неужели вам жалко нескольких гигабайт во имя процветания пользовательских про- грамм
    ?
    Для работы Linux имеет смысл создать как минимум два раздела: основной
    (обозначается как /) и подкачки (Swap). Мы уже знаем, что второй не обяза- телен
    , но все же создайте его. Первый раздел может иметь любой тип фай- ловой системы, кроме Swap, а второй, наоборот, должен быть типа Swap.
    В
    основном разделе будут располагаться все файлы, а второй — будет ис- пользоваться для расширения оперативной памяти. Если остальные разделы, перечисленные в табл. 2.1, не созданы, то они будут представлены в основном

    Установка
    и
    начальная
    настройка
    Linux
    29
    разделе в виде подкаталогов. В принципе, они в любом случае будут подка- талогами к корню, просто могут располагаться каждый на своем диске для повышения надежности или производительности.
    На первый взгляд все сложно, особенно, если вы до этого работали только с
    ОС Windows. Но поверьте мне, что возможность создания многочисленных папок
    ОС в виде отдельных разделов является действительно мощной воз- можностью
    . Два раздела достаточно, когда у вас только один жесткий диск и
    компьютер используется в качестве домашней системы. Если вы исполь- зуете два винчестера, то лучше создать три раздела:
    ˆ
    / — на первом диске для всех системных файлов;
    ˆ
    Swap — на первом диске, будет использоваться при нехватке памяти;
    ˆ
    /home — на втором диске для хранения пользовательских файлов.
    Диски желательно подключить к разным контроллерам ("посадить" на раз- личные шлейфы), что позволит системе работать с устройствами практиче- ски параллельно. Это может значительно повысить производительность ОС, потому что Linux сможет работать с системными и пользовательскими фай- лами одновременно.
    Если вы настраиваете сервер, то на отдельные жесткие диски имеет смысл вынести папки /home и /var. Логические диски/разделы в этом случае не да- дут желаемого результата.
    Какими должны быть размеры разделов? Размер Swap нужно задавать в зави- симости от установленной памяти, и об этом мы уже говорили. Если разделы
    /var и /home вынесены на отдельные диски, то для корневого каталога будет достаточно
    4 Гбайт, но можно сделать и больше.
    На разделе /var тоже лучше не экономить и выделить ему 10 Гбайт. Здесь бу- дут храниться файлы журналов, WWW- и FTP-файлы, которые быстро уве- личиваются
    , и если они заполнят все доступное пространство, то система может выйти из строя или просто станет недоступной. Именно на это иногда рассчитывают хакеры, когда организуют атаку "Отказ от обслуживания"
    (DoS). К этому вопросу мы еще не раз вернемся. Некоторые специалисты по безопасности рекомендуют располагать этот раздел на самом большом диске
    (чаще всего там же содержится и раздел /home), но это ударит по производи- тельности
    . Когда журналы находятся на отдельном диске, то это позволяет выполнять запись в них параллельно с обслуживанием остальных разделов.
    Это значит, что пользователь работает со своими файлами в разделе /home на одном жестком диске, а другой винчестер в это время сохраняет всю инфор- мацию об активности пользователя. Если обе папки будут на одном диске, то запись не сможет быть параллельной.

    Глава
    2
    30
    Ориентируйтесь на свои технические средства. При необходимости разделы
    /var и /home действительно можно разместить на одном, но самом большем жестком диске. Только вот под раздел /home нужно отдавать все оставшееся пространство
    , потому что здесь пользователи будут хранить свои данные
    (которые достигают большого объема!), и если пожадничать, то пользовате- ли скоро начнут возмущаться на счет нереальности сохранения на сервере результатов очередной игры. Если возможность есть, то выделите каждому из разделов максимально большой диск и забудьте про проблемы (ну хотя бы на время :)).
    Для тестовой системы можно выбрать простейший вариант с двумя раздела- ми
    (корневой и подкачки) и продолжить установку.
    Если вы создали новый раздел, то, вероятно, следующим этапом автоматиче- ски запустится процедура форматирования раздела. Если же установка идет на существующий раздел, где уже мог стоять Linux, то программа установки запросит у вас необходимость форматирования. Если раздел содержал важ- ные данные, то вы можете сохранить их, отменив форматирование.
    2.4.
    Выбор
    пакетов
    для
    установки
    Выбор пакетов — достаточно интересный момент, и именно здесь обычно допускают первую и самую страшную ошибку начинающие пользователи
    Linux — указывают все, что знают и, тем более, что не знают (на всякий слу- чай
    ). Да, название и назначение многих пакетов непонятны и незнакомы большей части пользователей, поэтому начинающие не могут четко опреде- лить список того, что им нужно. Но это не значит, что нужно устанавливать все подряд.
    У
    меня на отладочной системе действительно стоит Linux в полной комплек- тации со всем, что только можно. На ней я тестирую новые программы, про- веряю работоспособность отдельных модулей, тестирую конфигурации и
    изучаю новые серверные программы/утилиты. Но в "боевых" системах я не устанавливаю ничего лишнего.
    Любой дистрибутив Linux включает в себя невероятное множество про- грамм
    , особенно серверных. Тут и WEB-сервер, и FTP, и многое другое. Ус- тановив их все, мы делаем свой компьютер "проходным двором", особенно, если все это активизируется при старте системы. Загрузка компьютера за- медлится и станет сравнима с запуском Windows XP на Pentium 100.
    В
    ОС будет открыто множество портов и заработают разнообразные сер- висы
    , в которых мы пока еще даже не разбирались. А ведь нет идеальных программ
    . Везде существуют ошибки, которые регулярно обнаруживаются

    Установка
    и
    начальная
    настройка
    Linux
    31
    и исправляются. Если хотя бы в одном демоне (серверная программа, которая обрабатывает запросы клиента) найдется погрешность, то любой хакер смо- жет проникнуть в вашу систему и делать в ней все, что вздумается.
    Старые установщики Linux не имели возможности выбора, что будет запус- каться при старте системы, а банально запускали все сервисы, предполагая, что если мы что-то ставим, то это обязательно нужно запустить. Но в боль- шинстве случаев это не так, потому что мы часто устанавливаем что-то на будущее
    . Большинство современных дистрибутивов, которые я видел (хотя я видел их не так и много), уже предоставляют возможность выбора, и это пра- вильно
    . Если вы все же решили установить что-то не очень нужное, то стоит обдумать возможность хотя бы запретить автозапуск.
    Для рабочей системы я всегда устанавливаю абсолютно голую ОС, а затем добавляю только то, что нужно. Особенно это касается серверных программ.
    Нарастить компоненты можно в любой момент, а вот отказаться от сущест- вующих порой бывает очень сложно.
    Для упрощения установки некоторые дистрибутивы предоставляют предопре- деленные варианты установки. Они могут иметь такие или схожие названия:
    ˆ
    Быстрая
    — использовать определенную производителем конфигурацию.
    Таким образом вы сократите количество вопросов, на которые надо отве- тить во время установки, но результат будет далек от оптимального или безопасного
    ;
    ˆ
    Разработка
    — задействовать основные пакеты и все необходимые компо- ненты для разработки приложений, компиляции ядра ОС Linux и т. д.;
    ˆ
    Офис
    — установить типовые пакеты плюс офисные приложения;
    ˆ
    Клиент
    — включить в устанавливаемую версию ОС только клиентские программы
    ;
    ˆ
    Сервер
    — установить только серверные программы для выполнения определенной роли в вашей сети;
    ˆ
    Выборочная
    — самостоятельно выбрать требуемые компоненты. Это наиболее предпочтительный вариант для серверов и компьютеров, кото- рые будут подключены к сети;
    ˆ
    Обновление
    существующей версии — сохранить многие установки сис- темы
    , что позволит потратить меньше времени на повторную настройку.
    Разумеется
    , такой вариант может появиться, только если ОС Linux уже ус- тановлена
    Названия этих пунктов и их количество зависят от дистрибутива и могут очень сильно отличаться в каждой версии. Последний пользовательский

    Глава
    2
    32
    дистрибутив
    Ubuntu вообще ничего у меня не спросил, а сразу начал ставить заранее предопределенный разработчиками список программ.
    В
    этот же момент иногда предлагается выбрать графическую оболочку —
    KDE или GNOME.
    Никогда не выбирайте серверную установку. В этом случае на компьютере отсутствуют клиентские приложения, но зато будут работать в фоновом ре- жиме всевозможные программы-демоны. Это как раз самый опасный вари- ант
    , если не отключить ничего лишнего. Если офисные программы не откры- вают портов, не работают с сетью (то есть не могут нанести ущерб серверу извне
    ), а также не загружаются в память при старте и не влияют на произво- дительность
    , то серверные приложения тормозят систему, и, что еще хуже, каждый лишний демон — это удар по безопасности.
    Для начинающего можно остановить свой выбор на пункте Разработка или
    Офис
    , чтобы у вас были все необходимые возможности для написания про- грамм и работы с документами, но при этом в компьютере не устанавлива- лись серверные приложения. К тому же, так вы сможете познакомиться к
    графическим режимом Linux. После определения типа инсталляции укажи- те пункт Выборочная, чаще всего я его видел внизу окна. Это позволит вам выбрать дополнительно требуемые пакеты.
    На следующем этапе мы увидим список всех компонентов, которые могут быть установлены. Если заранее известно о необходимости использования какого
    -либо сервиса, то можно его отметить, чтобы он автоматически уста- новился
    . Допустим, вы знаете, что вам обязательно понадобится WEB- сервер
    . Для этого чаще всего используют Apache. Найдите в дереве компо- нентов пункт WEB Server, раскройте его и поставьте галочку напротив
    apache (основные файлы сервера) и apacheconf (программа настройки). Если вы будете писать программы на языке PHP, то здесь же можно выбрать все необходимые компоненты для такой разработки.
    Не пожалейте времени и пройдитесь по всем имеющимся в списке пакетам.
    Выберите только самое необходимое, впоследствии в любой момент вы смо- жете расширить возможности. Удалить, в принципе, тоже можно, но лень побеждает все, и вы забудете это сделать, поэтому лучше не поставить что
    -то, чем установить лишнее. Помните, что уже на этапе установки мы за- кладываем фундамент будущей производительности и безопасности систе- мы
    . Если вы не пользуетесь какой-либо программой, то, конечно же, не буде- те следить за ее обновлениями и не станете заниматься исправлениями ошибок
    . А злоумышленник для повышения своих привилегий может ей и
    воспользоваться. Таким образом, вы откроете хакеру дверь в вашу систему нараспашку

    Установка
    и
    начальная
    настройка
    Linux
    33
    Когда вы выберете все необходимые пакеты и нажмете кнопку Далее, нач- нется их непосредственное копирование на жесткий диск. Это займет доста- точно много времени, поэтому можно приготовить чашечку кофе или даже успеть посмотреть какой-нибудь фильм, особенно, если вы используете ста- рую машину.
    Пока идет установка, поговорим еще немного об этом процессе, чтобы к мо- менту настройки системы вы были во всеоружии. Допустим, что в вашей се- ти должны работать три сервера: WEB-, FTP- и сервер новостей. Все эти функции может выполнять один компьютер, но безопасность в этом случае будет далека от идеала. Я всегда разношу задачи по разным компьютерам, да и
    вам советую не экономить на железе и делать то же самое.
    Каждый запущенный демон — это потенциальная дыра. Как мы уже знаем, в
    них неизменно существуют погрешности, о которых пока еще никто не зна- ет
    , и не всегда администраторы узнают о них первыми. Допустим, что ошиб- ка найдена в сервере Apache. В последнее время это происходит достаточно редко
    , потому что программа уже очень хорошо отлажена, но представим эту ситуацию
    . Ошибка может быть не в самом сервере Apache, а в обслуживае- мом им WEB-сайте или в интерпретаторе PHP/Perl. В любом случае хакер может воспользоваться этой брешью, с легкостью получить доступ к FTP- серверу и скачать все секретные данные. Если на взломанном компьютере будет работать только WEB-сервер, то доступ через FTP к конфиденциаль- ным данным будет проблематичен. Максимум, что может сделать хакер, — дефейс
    (замена главной страницы) или уничтожение сайта. Но это восстано- вить проще, чем воссоздавать все данные на FTP- или новостном сервере.
    Пример с WEB-сервером не вполне нагляден, потому что этот сервис умеет делать многое. Если хакер сможет закачивать свои файлы на сервер, то он сможет загрузить для себя WEB Shell и выполнять команды, закачи- вать
    /скачивать через WEB. Да и FTP-сервис чаще всего нужен пользователям именно на WEB-сервере, а не на каком-то другом компьютере.
    Чтобы злоумышленник не смог, взломав один компьютер, проникнуть на другой
    , вы должны задавать для каждого из них разные пароли. Некото- рые администраторы ленятся запоминать много сложных комбинаций, по- этому придумывают только один пароль и потом устанавливают его везде, где только можно. Это неправильно. О паролях мы поговорим в разд. 2.6 и
    главе 3, но уже сейчас вы должны знать, что для каждой системы должен быть свой код доступа, а пароли сетевых сервисов должны быть максималь- но сложными.
    Но не только демоны являются потенциальной проблемой. В состав Linux многие программы включаются в исходных кодах и должны компилироваться

    Глава
    2
    34
    в машинные перед выполнением. Программы, использующие уязвимости
    Linux-систем, также часто поставляются в исходниках. Для того чтобы ими воспользоваться
    , злоумышленник закачивает такой модуль на сервер и вы- полняет программу. Чтобы компиляция стала невозможной, я рекомендую не устанавливать библиотеки разработчика и компилятор gcc. Это мелочь, но из мелочей строится вся наша жизнь.
    В
    ОС Linux очень редко используются инсталляторы программ, поэтому все настройки производятся во время компиляции исходного кода. Если gcc бу- дет недоступен, то у взломщика возникнут проблемы с выполнением зло- вредного кода. Его нужно будет скомпилировать заранее, и только потом закачать
    . Не у каждого хакера есть такая возможность, потому что большин- ство
    — это скрипткидди, которые сидят в Windows :).
    Конечно же, опытный хакер соберет программу из исходных кодов на своем компьютере и после этого закачает на взломанный сервер, но у начинающего злоумышленника отсутствие компилятора может вызвать затруднения.
    А
    ведь каждая проблема для взломщика — это победа специалиста по безо- пасности
    !
    2.5.
    Завершение
    установки
    После завершения копирования файлов на диск нужно разобраться еще с не- сколькими настройками. Во-первых, система должна знать, как вы ее будете загружать
    . Если Windows без разговоров прописывает загрузку в MBR (Mas- ter Boot Record, основная загрузочная запись), то Linux позволяет выбрать любой другой диск или вообще его не прописывать. В этом случае читать
    Linux можно будет только с дискеты или некоторыми другими мудреными способами
    В
    Linux существует множество загрузчиков, а самыми популярными являют- ся
    LILO (Linux Loader) и GRUB (Grand Unified Bootloader). Первый из них уже давно не используется большинством, и сейчас, кажется, уже все исполь- зуют
    GRUB, поэтому выбора практически нет. Устанавливайте его в MBR, если нет особой надобности загружать систему с дискеты.
    Загрузчик при старте системы позволит выбрать, какую именно операцион- ную систему вы хотите использовать: Windows, если он установлен на ком- пьютере
    , или Linux (или любое его ядро, если их несколько).
    Двигаемся дальше. При наличии сетевой карты в компьютере вы увидите ок- но для ее выбора. Если нужный драйвер в списке не будет найден, то можно оставить значение none. Это не значит, что сетевая карта не будет работать, просто будет использоваться универсальный драйвер. В дальнейшем я реко-

    Установка
    и
    начальная
    настройка
    Linux
    35
    мендую установить корректные драйверы, чтобы заставить сетевую карту работать на все 100%. Некоторые дистрибутивы этот шаг пропускают, пото- му что Plug&Play позволяет определить тип карты достаточно точно и вы- брать наилучший драйвер из большой базы, которая уже есть на диске.
    Теперь поговорим о настройке сети. Если в вашей сети используется единст- венный
    DHCP-сервер, то можно оставить все по умолчанию. Если же в вашей сети несколько серверов или есть необходимость расставить адреса вручную, то уберите галочку в пункте Настроить с помощью DHCP.
    Если вы не знаете, как работает протокол TCP/IP, то в качестве адреса для примера можете указать 192.168.1.1. Перейдите в поле Шлюз, и все осталь- ные параметры будут заполнены автоматически. В поле Маска должно быть значение
    255.255.255.0. В разд. 3.6 мы поговорим о настройке сети, и вы уз- наете
    , как можно изменить параметры подключения. В поле Имя хоста ука- жите имя, которое вы хотите задать своему компьютеру. Этой информации хватит для начальной настройки.
    2.6.
    Пароль
    Последнее
    , что нам нужно указать — это пароль администратора системы
    (root). В Linux, как и в Windows XP Professional (не путать с Home Edition), нельзя входить без пароля, подобно Windows 9х. Вы обязательно должны указать имя пользователя, под которым будете работать, и его пароль, и в зави- симости от ваших прав вам будет предоставляться доступ к определенным разделам и функциям ОС.
    В
    дистрибутиве может быть возможность выбрать учетную запись, под кото- рой будет осуществляться автоматический вход в систему при загрузке ком- пьютера
    . В погоне за простотой кто-то придумал такую фишку, чтобы Linux был похож на Windows 95 или Windows XP Home и пользователь не думал о
    пароле, но я бы не советовал пользоваться этой возможностью. Не ленитесь вводить пароли.
    Программа установки моего дистрибутива проверяет только длину пароля, и
    для администратора эта величина должна быть не менее 6 символов. Так как пользователь root имеет полные права на систему, то пароль должен быть как можно более сложным, чтобы его нельзя было быстро подобрать.
    Проверка длины пароля — это уже хорошо, ведь это значит, что у админист- ратора просто обязан быть пароль и пустой вариант будет невозможен. Все специалисты по компьютерной безопасности в один голос просят пользова- телей не задавать простые пароли, но мало кто следует этим рекомендациям.
    Нельзя для этих целей использовать имена, читаемые слова или даты рождения.

    Глава
    2
    36
    Такие пароли легко взламываются простым перебором по словарю, и это не отнимет много времени, если словарь хорошо составлен. А если систему бу- дет взламывать человек, который вас знает, то он сможет обойтись и без сло- варя
    , а завершит ручной подбор за несколько минут.
    При создании пароля желательно генерировать случайные шифры, в которых будут символы разного регистра (прописные и строчные буквы), а также цифры и различные допустимые символы (например, дефис или подчеркива- ние
    ). Длина пароля должна быть не менее 8 символов, а лучше — более 12.
    Тогда для подбора хакеру потребуется очень много времени. Не один здра- вомыслящий человек на такое не согласится.
    Когда нужно сгенерировать пароль, я запускаю какой-нибудь текстовый ре- дактор и случайным образом набираю на клавиатуре любые символы в раз- ном регистре. Как теперь использовать такую комбинацию? Лучше потратить пару дней на усвоение сложного пароля, чем лишиться важных данных.
    Если не хочется запоминать что-то сверхсложное, то можно применить метод попроще
    , хотя и надежность полученного шифра будет ниже. Рассмотрим очень интересный способ генерации случайных паролей. Допустим, что вы хотите использовать слово generation. А что, оно достаточно длинное, но простое и может быть легко взломано по словарю. Как усложнить пароль?
    Посмотрите на клавиатуру и набирайте вместо букв слова generation симво- лы
    , находящиеся немного выше. Например, прямо над "g" находится "t", а
    над "e" "3" и т. д. Таким образом получится пароль t3h34q589h. Такой пароль запоминается легко, а по словарю подобрать его сложнее.
    Вместо верхних можно взять буквы, находящиеся справа, и тогда пароль gen- eration превратится в hrmrtsypm. Тоже нелегкая задача для хакера.
    А
    если еще набрать некоторые из этих букв в верхнем регистре, то пароль сразу очень существенно усложнится. Например, вы можете установить в
    верхнем регистре третью и восьмую буквы и получить hrMrtsyPm.
    Вот таким простым способом можно соорудить легко запоминаемый, но сложный для подбора пароль.
    Помимо пароля администратора, вам может быть предложено завести новую учетную запись (добавить пользователя), под которой вы будете в дальней- шем работать с системой. Конечно же, можно использовать и root, но это не рекомендуется
    . Даже администраторы должны входить в систему как про- стые пользователи и только при крайней надобности переключаться на учет- ную запись root, чтобы выполнить административную задачу.
    Если программа установки вашего дистрибутива предложит завести непри- вилегированного пользователя (последние дистрибутивы, кажется, все уже

    Установка
    и
    начальная
    настройка
    Linux
    37
    делают такое предложение), обязательно сделайте это и впоследствии рабо- тайте именно под этой учетной записью, а если для выполнения определен- ной команды не хватает прав, переключайтесь на учетную запись админист- ратора
    . Если такого предложения не поступит, то после перезагрузки создайте простую учетную запись самостоятельно.
    Когда установка будет завершена, можно перезагружать компьютер, выта- щив
    CD-диск из привода.
    2.7.
    Первый
    старт
    Современные версии загрузчиков красивы и отображают приятное окно для выбора системы для загрузки. Просто выберите нужный вариант и откинь- тесь на спинку стула. Мы погружаемся в мир пингвинов.
    Загрузчик системы может скрывать процесс старта, но где-то под графиче- ской оболочкой обязательно скрывается запуск сервисов. В старых системах этот процесс отображался в виде текстовых строк, которые бежали по экрану.
    ОС
    Linux — многопользовательская. Это значит, что с ней могут работать несколько человек. Система должна знать, с кем она сейчас работает, поэто- му после загрузки ОС вам предложат представиться, указав имя пользователя и
    пароль. Первый параметр позволяет идентифицировать вас, а второй — обезопасить от нежелательного использования вашего имени другим пользо- вателем
    . Идентификация пользователя в текстовом режиме выглядит как строка с приглашением ввести имя: localhost login:
    После ввода имени пользователя вы должны указать пароль, чтобы ОС смог- ла определить, что вы являетесь тем, за кого себя выдаете. Если вы выбрали во время загрузки графический режим и правильно настроили видеокарту, то перед вами появится графическое приглашение входа в систему. Современ- ные дистрибутивы устанавливают графический вход по умолчанию (рис. 2.4), поэтому текстовое приглашение можно увидеть при неправильной настройке видео или при установке серверной версии Linux без установки графических оболочек
    Прежде чем вводить имя, осмотритесь. Возможно, где-то есть какие-то кноп- ки или меню. Например, у Mandriva 2008 внизу есть кнопочка Тип сеанса, нажатие которой позволяет сменить графическую оболочку, а оболочек для
    Linux множество. Самые распространенные из них — это GNOME и KDE.
    Наиболее популярный дистрибутив Ubuntu устанавливает только GNOME.
    Если вы предпочитаете KDE, то следует устанавливать Kubuntu, который выпускается тем же производителем, а именно Canonical Ltd.

    Глава
    2
    38
    Рис
    . 2.4.
    Вход в
    Linux Mandriva
    Но под какой учетной записью работать? Во время установки мы задали па- роль системного администратора (root) и добавили пользователя. Я настоя- тельно рекомендую выбрать пользовательскую запись, потому что root об- ладает всеми правами и может творить, что угодно. Эта власть нередко при- водила к плачевным последствиям, когда администраторы во время тестиро- вания каких-либо параметров по ошибке уничтожали важные данные.
    И
    дабы защитить нас, в современных системах по умолчанию уже запрещено входить под именем root в графическом режиме. Да, это ограничение можно обойти
    , и возможно, что обход будет доступен и в будущем. Однако если раньше нас только предупреждали об опасности работы под root, то теперь запрещают вход.
    Работа под учетной записью root может облегчить взлом компьютера через простые на первый взгляд приложения и способствует вирусным эпидемиям.
    До сих пор в UNIX-подобных системах почти не было вирусных эпидемий как раз из-за того, что пользователи системы не обладают полными правами.
    Допустим
    , что вы путешествуете по WEB-сайтам. Запущенный вами браузер автоматически имеет те же права. И если в нем найдется уязвимость, позво- ляющая получить доступ к жесткому диску, то злоумышленник сможет вос- пользоваться этой лазейкой и, например, стереть всю информацию.
    Если работать под пользовательской учетной записью, то уничтожить можно будет только те файлы, которые доступны этой записи. Системные файлы в
    таком случае в безопасности. При необходимости повышения прав вы все- гда можете это сделать, зная пароль администратора. Для этого используется

    Установка
    и
    начальная
    настройка
    Linux
    39
    команда su
    , а в качестве параметра (указывается через пробел после коман- ды
    ) передается имя пользователя, статус которого вы хотите обрести.
    Чтобы получить права администратора, наберите команду: su root или su –
    Вторая команда тоже позволяет приобрести права root, хотя вместо имени указано тире. В ответ на это система запросит пароль. Введите данные поль- зователя
    , права которого вы хотите получить, и после этого вы сможете вы- полнять команды, доступные этой учетной записи. Например, получив статус администратора
    , вы приобретете все права на систему.
    П
    Р И МЕ Ч А Н И Е
    Необходимо заметить
    , что некоторые команды
    , которые мы будем описывать в
    книге
    , могут оказаться недоступными от имени простого пользователя
    Так как мы рассматриваем настройки системы
    , то некоторые действия будут опасны
    , поэтому доступны только администратору
    Если при попытке выполнить что
    - либо произошла ошибка
    , например "
    команда не найдена ", попробуйте пере
    - ключиться на root, и
    , скорее всего
    , это поможет
    Хотя
    , возможно
    , и
    нет
    , если у
    вас экзотическая версия или вы не установили нужную программу
    ОС
    Linux — многопользовательская система и поддерживает несколько тер- миналов
    . По умолчанию вы входите в первый терминал. Для того чтобы пе- реключиться на другой, нужно нажать клавишу и одну из клавиш
    . В ответ на это перед вами появится чистый экран с приглаше- нием ввести имя пользователя, которое может быть различным в каждом терминале
    Использование терминалов — очень удобная возможность. Например, в од- ном вы запускаете программу, которая требует много времени для выполне- ния
    , и между тем переключаетесь на другой терминал и продолжаете работу с
    компьютером. В любой момент можно вернуться на первый терминал и по- смотреть на ход исполнения программы.
    Если вы перед запуском установили графический режим, то сразу после за- грузки перед вами откроется окно, в котором система предложит использо- вать выбранную оболочку по умолчанию. Это значит, что при следующем старте
    , если не указано иного, будет запущена именно эта оболочка.
    Если же вы выбрали текстовый режим, то в любой момент можно переклю- читься в графический, набрав команду startx
    . В этом случае графическая оболочка будет загружена автоматически, без приглашения ввести пароль, потому что вы уже идентифицировали себя в текстовой консоли.

    Глава
    2
    40
    Текстовое приглашение на вход в систему может появиться и в случае ошиб- ки конфигурации. При этом выполнение команды startx ни к чему не приве- дет
    , так как графическая оболочка не сможет загрузиться. Тогда придется произвести настройку графики заново. Бóльшая часть информации о конфи- гурации
    Linux находится в текстовых файлах, и нередко приходится править их вручную. В данном случае также используются текстовые файлы, но руч- ное редактирование необязательно, потому что есть специальная и удобная утилита setup.
    Наберите в командной строке команду setup
    , и перед вами откроется окно настройки системы. Выберите пункт X Configuration. Система скорей всего сама определит наличие видеокарты и необходимые драйверы, а вот с мони- тором могут быть проблемы. В старых дистрибутивах чаще всего приходится самостоятельно указывать его тип и поддерживаемые видеорежимы.
    Кстати о видеорежимах. В списке будут представлены все возможные значе- ния
    , и вы можете указать любое количество. Я рекомендую остановиться только на том, который для вас является максимально удобным. После на- стройки обязательно протестируйте работоспособность выбранного графиче- ского режима. Если все пройдет удачно, то программа предложит использо- вать графический режим для входа в систему.
    Во время настройки можно использовать мышь, но если она отсутствует, достаточно и клавиатуры. Для перемещения между кнопками используйте клавишу
    , для выделения пунктов меню — пробел, а передвижение внутри списка осуществляется стрелками <
    ↑ > и <↓ >.
    Надеюсь
    , что вам удалось войти в графический режим. Если во время загруз- ки произошла ошибка, завис компьютер или изображение на экране стало искаженным
    , графическую оболочку можно остановить нажатием клавиш
    ++. Таким образом вы переключитесь в текстовый режим
    Познакомимся с внешним видом Рабочего стола в графических оболочках
    Linux. На рис. 2.5 показано окно графической оболочки GNOME. В нижней или верхней части Рабочего стола обязательно находится Панель задач.
    Здесь располагаются:
    ˆ
    кнопка вызова главного меню (самая левая кнопка) — аналог кнопки "Пуск" в Windows. В этом меню можно найти все установленные на ком- пьютере программы и утилиты;
    ˆ
    кнопки быстрого вызова основных программ — чаще всего это несколько ярлычков для таких программ как браузер, окно терминала, текстовый ре- дактор и еще что-нибудь на выбор разработчика;

    Установка
    и
    начальная
    настройка
    Linux
    41
    Рис
    . 2.5.
    Рабочий стол в
    графической оболочке
    GNOME
    ˆ
    пустое поле — здесь будут располагаться кнопки запущенных программ.
    Кнопки задач можно использовать для переключения между работающи- ми приложениями;
    ˆ
    часики
    , без которых жизнь просто невозможна. Куда же без этого необхо- димого атрибута любого рабочего стола.
    Теперь самое время познакомиться с окном терминала, в котором можно вы- полнять команды в текстовом режиме. Домашнему пользователю это не обя- зательно
    , потому что ему нужны игры и офисные программы. А для админи- стрирования и тонкой настройки Linux терминал просто необходим.
    Откройте окно терминала, чтобы познакомиться с его внешним видом. В боль- шинстве дистрибутивов по умолчанию это окно с черным фоном и текстом белого цвета. Сразу после запуска перед вами появится приглашение ввода команд
    , которое может выглядеть примерно следующим образом:
    [root@Flenov root]:

    Глава
    2
    42
    Что это значит? Сначала идет имя пользователя, под которым вы вошли в
    систему (в данном случае это root). После знака
    @
    следуют имя компьютера и
    пробел, за которым стоит имя текущей папки. Таким образом, вы всегда знаете
    , где находитесь, и где будут по умолчанию выполняться вводимые команды
    2.8.
    Мы
    в
    системе
    Мы вошли в систему, и ОС запускает для нас уникальное окружение, которое определяется по имени пользователя. Среда включает пользовательские ди- ректории
    , настройки и командную оболочку.
    Пользовательские директории находятся в каталоге /home и имеют название, совпадающее с именем пользователя. Например, для пользователя root ис- пользуется каталог /home/root. Если вы входите в систему под именем поль- зователя michael, то вашей домашней папкой будет /home/michael. В этой папке вы можете хранить свои файлы. Домашнюю папку пользователя root лучше не трогать.
    Когда вы входите в систему, то текущей директорией становится ваша. Так, для пользователя michael таковой станет /home/michael, и все команды будут выполняться в этом каталоге, пока вы не измените его.
    В
    Linux существует несколько командных оболочек, и каждая из них наделе- на своими возможностями. Чаще всего пользователи применяют оболочку под названием bash (Bourne Again Shell). Мы будем рассматривать именно ее, как наиболее популярную, и именно ее назначает пользователям Ubuntu.
    Другие оболочки похожи, но немного отличаются возможностями. Когда вы запускаете терминал, то текущей становится ваша домашняя папка.
    Первые шаги мы уже сделали, теперь приступим к более глубокому знаком- ству с Linux. По мере изучения вы сможете настроить систему более тонко и
    сделаете ее максимально быстрой, эффективной и безопасной.
    Когда я начинал осваивать Linux и установил ее в первый раз, то потом долго не мог правильно выключить, потому что не знал, какая для этого используется команда
    . Я взял у знакомого книгу по этой ОС, но в ней описание процесса вы- хода было где-то в середине, и пока я нашел нужную команду, пришлось месяц обходиться без корректного завершения работы ОС и выключать питание ком- пьютера
    Да
    , сейчас ОС Linux обзавелась графическим интерфейсом и если вы исполь- зуете его, то выключение компьютера не вызовет проблем. Но если вы ис- пользуете текстовый режим, то без команды корректно выключить компью- тер проблематично.

    Установка
    и
    начальная
    настройка
    Linux
    43
    Спешу поделиться с вами накопленным опытом. Для выхода из системы ис- пользуется команда shutdown
    . После нее указывается, что именно нам нужно:
    –r для перезагрузки или
    –h для выключения компьютера. И в конце команды можно задать время, через которое должно начаться выполнение команды
    (в частности now
    — сейчас).
    Например
    , для немедленной перезагрузки системы наберите команду: shutdown –r now
    Для немедленного выключения компьютера следует ввести: shutdown –h now
    Обязательно используйте эти команды. Если выключить питание с помощью кнопок на системном блоке, то можно потерять данные, которые были за- гружены в оперативную память, но не сохранены на жестком диске.
    Если вы работаете в текстовом режиме и просто хотите войти под другим именем пользователя, наберите команду exit
    Рис
    . 2.6.
    Завершение сеанса в
    оболочке
    GNOME

    Глава
    2
    44
    Чтобы выйти из графического режима, нажмите кнопку вызова главного ме- ню и выберите пункт Выйти из системы. Это заставит графическую оболоч- ку выгрузиться, после чего появится окно-приглашение ввести имя пользова- теля
    , в котором можно войти в систему под новым именем или перезагрузить компьютер
    В
    графической оболочке GNOME нужно выбрать меню Система | Завер-
    шить
    сеанс.... В последней версии кнопка выключения компьютера из гра- фического режима находится в главном меню справа от часиков (рис. 2.6).
    2.9.
    Подсказки
    Некоторые операционные системы славятся своей простотой и хорошими подсказками
    . Но как мы уже говорили, производительность, надежность и
    простота — не всегда совместимые вещи. ОС Linux содержит множество команд
    , и у каждой из них большое количество параметров. Помнить их все невозможно
    , поэтому разработчики постарались и снабдили ОС обширной справкой
    Если вы хотите получить информацию о какой-либо команде или программе, то попробуйте запустить ее с одним из ключей:
    -h
    ,
    -help или
    -?
    . Разные про- граммы используют разные ключи, но один из этих, скорее всего, заставит вывести на экран короткую подсказку об использовании программы.
    Для получения более подробной информации нужно воспользоваться сле- дующей конструкцией: man имя
    Здесь имя
    — это название команды или программы, описание которой вас интересует
    . Например, чтобы увидеть описание команды shutdown
    , выполни- те man shutdown
    Для выхода из программы помощи нужно набрать на клавиатуре <−> и .
    В
    ответ на это перед вами появится сообщение "Quit at end-of-file (press
    RETURN)". Нажмите клавишу , затем перейдите в конец просматри- ваемого файла помощи, используя клавиши <↓> или
    , и про- грамма man завершит работу.
    Более простой способ завершения программы man
    — нажать клавишу .
    В
    этом случае выход произойдет мгновенно.
    Если вы устанавливаете лицензионный вариант ОС, то обычно в коробке можно найти документацию по установке и руководство пользователя. Чаще всего эта информация поверхностна и позволяет сделать только минималь- ные настройки. Но некоторые дистрибутивы содержат в поставке очень под- робную документацию или даже целые книги.

    Установка
    и
    начальная
    настройка
    Linux
    45
    2.10.
    Основы
    конфигурирования
    Прежде чем переходить к более глубокому рассмотрению вопросов, связан- ных с конфигурированием ОС Linux, мы должны определиться с правилами, которые действуют вне зависимости от типа ОС и конкретного сервиса. При- держиваясь их, вы сможете построить действительно защищенную систему
    (сервер или даже сеть из компьютеров и серверов).
    2.10.1.
    Запрещено
    то
    ,
    что
    не
    разрешено
    Когда вы настраиваете параметры доступа, то необходимо придерживать- ся принципа минимализма, который можно выразить следующими двумя тезисами
    1.
    Необходимо запускать минимум возможного. Это касается не только сер- висов в целом, но и их составляющих. Например, если вам нужен WEB- сервер
    , для этого чаще всего устанавливается Apache. Эта программа включает в себя очень много возможностей, среди которых поддержка интерпретируемых языков PHP и Perl, но, как правило, программисты сайтов используют только один из них, поэтому нет смысла разрешать оба
    . Если сайт проектируется с помощью PHP, то следует удалить Perl, и
    наоборот. Ну а если ваш сайт использует сразу два языка сценариев, увольте своих программистов, потому что в разнородных системах намно- го сложнее построить безопасность. Одновременное использование обеих технологий
    — абсолютно бесполезная и глупая затея.
    2.
    Следует разрешать минимум необходимого. Многие администраторы не любят заниматься какими-либо настройками, поэтому открывают полный доступ ко всему, что только может пригодиться. Но слово "может" не со- вместимо с безопасностью. Возможность, которую вы откроете пользова- телю
    , на самом деле может ему не понадобиться, а вот злоумышленник благодаря лишней лазейке может натворить много бед. Например, на кли- ентских компьютерах часто открывают какую-то папку для всеобщего доступа
    . Это мотивируется тем, что пользователям может потребоваться обмен данными. А если нет?
    Рассматривая конфигурирование ОС и ее сервисов, я буду часто напоминать об этом правиле, и при разборе примеров мы будем отталкиваться именно от полного запрета.
    2.10.2.
    Настройки
    по
    умолчанию
    Настройки по умолчанию предусмотрены только для обучения и чаще всего открывают абсолютно все возможности, чтобы вы могли оценить мощь программ и могли приступить к работе сразу после установки программы.

    Глава
    2
    46
    Это значит, что будет разрешено абсолютно все, а это уже нарушает первое рассмотренное правило. Даже если установка по умолчанию не делает дос- тупными все компоненты программы, чаще всего настройки все равно ока- зываются небезопасными, потому что могут содержать опасные параметры или пароли по умолчанию.
    Если используется не так много команд и параметров, то лучше заняться конфигурацией программы с чистого листа. Если процедура достаточно сложная
    (ярким примером является sendmail), то лучше всего отталкиваться от настроек по умолчанию, добавляя, изменяя или удаляя ключи. Даже не пы- тайтесь в этом случае настраивать систему с нуля. В процессе конфигурирова- ния обязательно что-то забывается, и тем самым повышается вероятность ошибки
    . Сложность конфигурационных файлов в том, что они имеют тексто- вый формат и все имена параметров нужно писать четко и полностью. Если ошибиться хотя бы в одной букве, параметр будет воспринят неверно, и
    появятся сбои в работе ОС или сервиса.
    Когда пишете имя параметра или путь в файловой системе, будьте внима- тельны не только к словам, но и к их написанию. ОС Linux чувствительна к
    регистру имен файлов и директорий. Эта особенность имеет значение и для некоторых конфигурационных файлов.
    2.10.3.
    Пароли
    по
    умолчанию
    Многие сервисы во время установки прописывают пароли по умолчанию.
    В
    ОС Linux эта проблема стоит особо остро, потому что программы инстал- ляции используют RPM-пакеты (Redhat Package Manager), которые не обща- ются с пользователем для задания параметров установки. При этом пароли чаще всего даже не предлагается сменить и при первом старте. Я бы на месте разработчиков вообще запретил запуск сервисов с пустым или неизмененным паролем
    Например
    , база данных MySQL после установки использует для администра- тора учетную запись без пароля и с именем root. Это имя может ввести в за- блуждение
    , но вы должны знать, что этот логин никакого отношения к сис- темной записи не имеет. Это внутренняя учетная запись базы данных, и
    пароли могут и должны быть разными. Сразу после установки MySQL не- обходимо сменить код доступа, иначе все попытки защитить компьютер мо- гут оказаться бессмысленными.
    Прежде чем сдавать систему в эксплуатацию, убедитесь, что изменены все пароли
    . Снова пример с MySQL. Администраторы редко используют ее, а
    только устанавливают. Конфигурированием обычно занимаются програм- мисты
    , которые настраивают базы под себя и почему-то любят использовать

    Установка
    и
    начальная
    настройка
    Linux
    47
    пароли по умолчанию. Я сам программист, и при разработке баз данных тоже иногда так делаю в надежде, что за паролями проследит администратор, а тот надеется на меня, и получается, что мы оба забываем.
    После того как система несколько раз оказывалась уязвимой, я взял за прин- цип разрабатывать программу под своей учетной записью и с измененным паролем
    . Лучше изменить пароль дважды, чем забыть выполнить совсем.
    Пароли по умолчанию используются не только в программах и ОС, но и в се- тевых устройствах, таких как маршрутизаторы и управляемые коммутаторы.
    В
    эти устройства встроена система защиты и авторизации. Производители, не долго думая, чаще всего устанавливают имя Admin, а пароль оставляют пус- тым
    . Это большое упущение. Я бы на их месте для пароля по умолчанию ис- пользовал серийный номер устройства. В этом случае хакер не сможет его по- добрать
    . Хотя и серийный номер не является абсолютной защитой, потому что хакеру достаточно увидеть устройство своими глазами, чтобы узнать пароль.
    В
    Интернете уже давно существуют списки паролей по умолчанию для раз- личных устройств, поэтому не забывайте их менять после установки обору- дования
    Я
    думаю, что не нужно напоминать о необходимости задания сложных паро- лей
    . На моей нынешней работе администратор баз данных выдумывает "сложнейшие пароли" — идентичные учетным записям. Как много понадо- бится времени на подбор пароля?
    2.10.4.
    Универсальные
    пароли
    Производители
    BIOS раньше устанавливали в свои чипы универсальные ко- ды доступа, которые позволяли войти в систему, не зная основной пароль, который установил администратор. Например, в одной из версий BIOS ком- пании
    AWARD использовался универсальный шифр AWARD_SW. Начиная с версии
    4.51, такая "услуга" отсутствует.
    Если у вас есть возможность отключить использование универсального па- роля
    , то сделайте это незамедлительно. В противном случае смените обору- дование или программу, иначе нет смысла пытаться сделать вашу систему защищенной от вторжения.
    2.10.5.
    Безопасность
    против
    производительности
    Я
    уже говорил, что безопасность и производительность преследуют совер- шенно разные цели, которые чаще всего конфликтуют между собой. Настраи- вая сервер на максимальную безопасность, приходится включать такие сер- висы как журналирование и сетевые экраны, а они расходуют ресурсы

    Глава
    2
    48
    процессора
    . И чем больше дополнительных служб включено, тем больше лишних затрат.
    Каждый ресурс может быть настроен по-разному. Например, в режиме жур- налирования можно записывать в журналы только основную информацию, что позволит уменьшить нагрузку на жесткий диск, но увеличит вероятность того
    , что какая-то атака пройдет незамеченной.
    А
    можно сделать так, что в журнал будут попадать абсолютно все сообще- ния
    . В этом случае повышается расход ресурсов, и у хакера появляется шанс удачно произвести атаку DoS, забив журнал мусором до пределов диска или съев все ресурсы компьютера, заставив его только и делать, что писать в
    журнал. От переполнения диска защититься можно, если реализовать цик- личный журнал, но в этом случае можно реализовать атаку, при которой ха- кер будет затирать данные журнала.
    Различных вариантов нападения очень много, и защищающаяся сторона все- гда находится в немного более уязвимой позиции. Нужно выбирать золотую середину
    Во время конфигурирования сервера и его сервисов вы должны исходить из принципа необходимой достаточности. Следует принимать все меры, чтобы сервер или компьютер чувствовал себя в безопасности, но при этом работал как можно производительнее. Чтобы убедиться в нормальном балансе этих параметров
    , после окончания конфигурирования необходимо заставить сер- вер работать при максимально возможной загрузке (определяется планируе- мым количеством обрабатываемых запросов в минуту, умноженным на 2).
    Если сервер справится с поставленной задачей и сможет обработать все за- просы клиентов, и при этом еще останется запас в производительности про- цессора
    , то можно вводить машину в эксплуатацию. Иначе необходимо из- менять конфигурацию или наращивать мощность компьютера. У вас всегда должен быть под рукой большой запас мощности, ибо иногда превышаются даже самые пессимистические оценки нагрузки.
    2.10.6.
    Внимательность
    Одной из серьезнейших угроз для компьютерной системы является внима- тельность
    , а точнее, ее отсутствие. Отсутствие внимательности присуще мно- гим
    , и мне в том числе, и я, работая над книгой, регулярно что-то упускаю из виду и делаю ошибки. Конфигурация ОС Linux и ее сервисов в этом отноше- нии более чувствительна, особенно если для настройки править непосредст- венно конфигурационные файлы. Одна маленькая ошибка может остаться незамеченной
    , но очень сильно повлиять на работу сервера.

    Установка
    и
    начальная
    настройка
    Linux
    49
    Графические утилиты более безопасны, потому что каждое действие прове- ряется и контролируется программой, чего не может сделать текстовый ре- дактор
    . Графические программы могут быть удобнее и нагляднее (хотя и не всегда являются таковыми, потому что это зависит от их разработчика), но конфигурирование файлов напрямую более эффективно, особенно при уда- ленной настройке.
    2.11.
    Обновление
    Нет
    , мы сейчас не будем говорить о том, как обновлять ОС Linux, мы только установили ее. Я лишь хочу сказать, что обновление ОС и ее сервисов явля- ется необходимым и самым важным в стратегии построения безопасной сре- ды
    . Очень сложно создать абсолютно идеальную и безопасную систему, поч- ти везде есть ошибки, потому что программы пишет человек.
    Программисты
    , которые пишут код, — это те же люди, которым свойственно ошибаться
    . Они ошибаются, и когда кто-то находит эти ошибки (сами про- граммисты или хакеры), выпускаются патчи/исправления, которые необхо- димо устанавливать, и желательно это делать как можно скорее после их по- явления
    Уязвимости иногда появляются раньше, чем вы успеваете скачать и устано- вить программу. Регулярно следите за появляющимися угрозами и обновляй- те свою систему, и ваш сон будет более спокойным.

    1   2   3   4   5   6   7   8   9   ...   35


    написать администратору сайта