Basia

Еще одна маленькая статья, касающаяся безопасности вашего сервера. Речь работе файлов hosts.allow и hosts.deny. В них можно конкретизировать каким ip какие сервисы и службы нашего сервера разрешены или запрещены. После того как TCP пакет прошел через все цепи iptables и был пропущен в систему, его обрабатывает сначала hosts.allow , просматривая записи разрешений в этом файле, а потом уже покате поступает на проверку hosts.deny, где указываются запреты.

   1.  Проверяется файл /etc/hosts.allow. Если в нём найдено соответствие, доступ к сервису предоставляется.

   2. Проверяется файл /etc/hosts.deny. Если в нём найдено соответствие, доступ будет запрещён.

   3. В случае, если соответствующие правила не найдены, доступ предоставляется.

Порядок отработки этих файлов очень важен (а вдруг напутаете и вас перестанет пускать сервер), поэтому сначала вносят правки в файл hosts.allow , а уже потом в hosts.deny . Любые изменения, внесенные в файл, начинают действовать сразу, не требуя рестарта. Находятся оба файла в каталоге /etc/ . Начнем по правильному порядку.

Поднимали сервер под сайт, нужно было ставить CMS и соответственно для облегчения работы с ней, хорошо бы обзавестись ftp . Выбор пал на vsftpd , он обеспечивает неплохую безопасность, прост в настройке и не уступает wu-ftpd и proftpd . Разработчик проекта vsftpd - Chris Evans  (Крис Эванс).

Установка как обычно:

aptitude install vsftpd

После установки в домашней директории по умолчанию появится папка, в которую будут попадать ftp визитеры

/home/ftp/

Запускной файл живет тут /usr/sbin/vsftpd

В /etc/vsftpd.conf вы найдете конфигурационный файл с пояснениями к каждому пункту.

Вот так он выглядит у меня:

 Рабочий, где-то в интернет (не помню где конкретно) найденный и проверенный мною, скрипт для создания маленькой фотогалереи:

Занимаясь безопасностью сервера, а в частности настройкой iptables появилась необходимость узнать, какие стандартные номера портов TCP и UDP слушают нужные мне службы и демоны сервера. Решила закрыть нерабочие порты сетевым экраном. Полезным источником информации стал один из выпусков журнала «Хакер» http://www.xakep.ru/magazine/xs/023/034/1.asp

Про portmapper не вспоминала, пока после поднятия файрволла, перезагружая сервер не заметила, что уж очень долго он останавливается и стартует. Пришлось последить повнимательнее что пишет при старте. Жаловался он на то что не смог запустить portmap и nfsd. Занялась решением задачи, как не мешать portmapper и при этом не оставлять дыр. Что такое вообще portmapper он же portmap и зачем он нужен. Из загрузочной инфы ясно, что NFS (демон nfsd) не может запуститься без portmap. Итак, portmap отвечает за динамическое назначение портов для  некоторых служб (Portmap — это сервер, который преобразует номера программ RPC (Remote Procedure Call) в номера портов протокола DARPA. Необходим для обеспечения вызовов RPC.). Находится он может тут /etc/portmap , тут /usr/sbin или тут /sbin/portmap .

Выяснить точнее можно командой whereis .

Portmapper на Linux называется либо portmap либо rpc.portmap, а на некоторых машинах он называется rpcbind . Сервер RPC при запуске сообщает процессу portmap номер прослушиваемого порта, а также номера тех программ, которые он готовится обслужить. Если клиенту нужно обратиться к RPC с конкретным номером программы, он сначала должен войти в контакт с процессом portmap на серверной машине и определить номер порта связи с пакетами RPC. В него встроены слабые механизмы проверки подлинности, и он может выбирать порты для управляемых служб из широкого диапазона. Закрытие portmap совсем - это совсем радикальное решение. К тому же portmapper обслуживает , mountd, ypbind/ypserv, pcnfsd, и 'r' сервисы, такие как ruptime и rusers. Из них только nfsd, mountd, ypbind/ypserv и возможно pcnfsd имеют какое-либо важное значение. Для защиты можно использовать сетевой экран или hosts.allow/ hosts.deny .  Поскольку я все равно подкручивала поднятый файрволл, просто допишем в разрешенные порты: Nfsd работает на порту 2049, используя оба протокола -- udp и tcp. Portmapper работает на порту 111, tcp и udp, а mountd работает на портах 745 и 747, tcp и udp. По умолчанию. Посмотреть, как отзовутся порты RPC можно так:

rpcinfo –p

В ответ увидите что то подобное этому:

прог-ма верс прото   порт

    100000    2   tcp    111  portmapper

    100000    2   udp    111  portmapper

Тут и видно, какие порты кто слушает.

Отличная статья по NFS , в ней можно найти полезную информацию по portmap

http://doca.artus.ru/NFS-HOWTO.html#nfs-security

 

Будете смеяться, после настройки файрволла с учетом портов portmapper , на всякий случай перезагрузила сервер, чтобы посмотреть, как быстро он останавливается/ запускается и не ругается ли при загрузке. Фуф все в порядке :)