Knihovnička: LINUX - tipy a triky pro bezpečnost

Úvod

Kniha nabízí uživateli základní, pokročilé, ale i velmi odborné znalosti a postřehy z oblasti bezpečnosti především (ale nejen) Linux/UNIXových systémů. Je velice užitečnou částí každé knihovny, která má něco společného se systémy unixového typu. Stejně tak v ní nalezneme obecné zásady bezpečnosti, použitelné i v ostatních operačních systémech. Vhodná je svým zaměřením prakticky pro většinu pokročilých uživatelů. Kniha je velmi čtivá, rozdělená do logických kapitol a bohatě prokládaná příklady z praxe.

Snaží se, naučit čtenáře správným návykům z hlediska bezpečnosti a pomoci zvýšit bezpečnost systému vhodnou radou i poukázáním na nesprávné počínání v praxi. Na konci každé kapitoly nalezneme shrnutí probraných informací a několik jednoduchých, zato však podstatných kontrolních otázek, na kterých si může čtenář otestovat čerstvě nabyté vědomosti.

Přehledně, srozumitelně a jednoduše popisuje důležité bezpečnostní problémy a nabízí jednoduché cesty k jejich řešení. Já sám se v GNU/Linuxu pohybuji poměrně dlouho, přesto jsem v otázce bezpečnosti naprostým začátečníkem a troufám si tvrdit, že tato kniha je určena právě a přesně pro takovouto skupinu lidí. Jsem tedy ideálním vzorkem k testování.

Obsah

Kniha je tematicky rozdělena do tří částí:

První část v kapitolách od 1. do 26. představuje bezpečnost na lokální úrovni. Nejprve je objasněn fenomén FREE Software, jeho historie a podoba. Dále se čtenář dozvídá obecné informace o bezpečnosti, naučí se znát hlavní druhy útočníků a dozví se, jak fyzicky zajistit server. Dále je přiblíženo choulostivé místo každého systému – boot – a možnost ochrany v době restartu. Autor se zde také věnuje jádru, nebezpečím, jež jsou s ním spojena (především upravené jaderné moduly) a možnostem, jak těmto hrozbám čelit.

Tato část pojednává také o LIDS – bezpečnosti na úrovni přístupových práv – a nechybí ani stručný popis vybraných distribucí GNU/Linuxu s ohledem na bezpečnost a stabilitu. Nezapomíná se ani na další důležité a často opomíjené (nebo podceňované) oblasti bezpečnosti – „sociální inženýrství“ a školení uživatelů.

Čtenář se dozví o uživatelských skupinách a jejich „zákulisí“, heslech, na která je v knize kladen zvláštní důraz a je objasněna jejich tvorba (deset hlavních pravidel) a způsoby jejich ochrany před útočníky. Zkrátka napřišel ani John the Ripper neboli útok na subsystém hesel pod drobnohledem. V této části je také probrán autentizační systém PAM a je nahlédnuto „pod pokličku“ souborovému systému. Není opomenut ani žurnálovací souborový systém. Následuje velmi dobře propracovaná kapitola na téma disková pole (RAID), čtenáři je objasněno, co je to Quota, Šifrovaný souborový systém, Tripwire a proměnná PATH. Nebyla opomenuta ani bezpečnost adresáře /tmp.

První část je zakončena logováním (je zde také vysvětleno, k čemu slouží analýza logů a jak ji provádět) a důležitou zálohou dat.

Síťová bezpečnost je obsažena ve druhé části knihy v kapitolách od 27. do 41. Dozvídáme se zde, jak to chodí na síti (segmenty, počet serverů, bezpečnostní politika, školení uživatelů), jaké jsou druhy síťových útoků (na WEB server, odposlech, DoS, IP spoofing, Odcizení relace, Man-in-the-middle) a podrobně jsou probrány nebezpečné služby. Následuje popis superdaemona – Xinetd, protokolu SMTP a šifrování pomocí GnuPG (zde je pěkně objasněna historie vzniku GPG). Následuje objasnění protokolu SSH (proces šifrování a autentizace) spolu s příklady použití a konfigurace klienta i serveru.

Druhá část také bohatě pojednává o jedné z nejvýznamějších částí systému – iptables. Jak funguje, co obsahuje, jak nastavit pravidla. Na iptables navazuje popis Firewallu, jeho konfigurace a zabezpečení sítě pomocí firewallu. Především před útoky typu Dos a podvržení falešných IP adres.

Samozřejmě zde nalezneme popis, konfiguraci a použití proxyserveru, konkrétně Squida (jenž je jedním z nejpoužívanějších na platformě GNU/Linuxu). Je zde osvětlena problematika přidělování datového pásma a několik praktických návrhů na řešení. Také je v této části knihy přiblíženo sledování sítě (audit provozu sítě) – SNMP, MRTG. Dočteme se, jak sledovat využití přenosového pásma, dostupnost klíčových služeb, průběh routování nebo třeba bezpečnostní díry. Následuje kapitola pojednávající o bezdrátových sítích (snad nejvíce používaným zástupci této kategorie jsou dnes Wi-Fi a Blouetooth). Bezdrátové sítě – pojednání hlavně (ale nejen) o Wi-Fi a WEP key. Zásady bezpečného provozu v bezdrátové síti. Skenování portů – vyjmenovány porty nejznámějších služeb; nmap – jednička mezi port scannery. Jeho popis a použití. Xprobe 2 – další z rodinny port scannerů, tentokrát vylepšený oproti nedostatkům, jimiž trpí nmap. tp0f – asi nejlepší zástupce fingerprintingu, jeho konfigurace a způsoby použití. Nessus – program pro audit sítě.

Třetí část je věnována dodatkům a je rozdělena na sekci A – Doporučená literatura a na sekci B – Odkazy na internetové zdroje.

Hodnocení

Na knize jsem ihned od počátku považoval za velmi pozitivní její členění a vybraný způsob zdůrazňování pomocí vhodně zvolených ikonek. Celkově je kniha velmi dobře čtivá a obsahuje množství příkladů z praxe, které jsou velmi vhodně zakomponovány, a umocňují tak kontext jednotlivých kapitol. Není proto problém „uchopit“ probírané téma a ihned jej aplikovat v praxi.

Autor si klade za cíl shrnout praktické zásady a principy bezpečnosti. Seznamuje čtenáře také s nejznámějšími programy a utilitami, které jim při zabezpečení systému pomohou. A daří se mu to skutečně dobře.

Je-li představen některý program, je nejprve popsán jeho účel, případně i vznik a stručná historie, a následuje konfigurace spolu s příklady pro použití v praxi. Časté jsou také příklady relevantních částí konfiguračního souboru nebo části výpisů prováděných příkazů. Z obsahu je zřejmé, že autor poměrně pečlivě probírá jednotlivá bezpečnostní témata, přičemž postupuje podle předem sestaveného scénáře, a postupně tak čtenáře doslova provází oblastí bezpečnosti v systémech typu GNU/Linux a UNIX.

Nakladatelství Grada prodává tuto knihu v brožované vazbě, cca 208 stran za 199 Kč.

Pokud máte zájem o podrobnější informace, na webových stránkách Grady je možné shlédnout 15 ukázkových stránek.