Содержание


EnGarde Secure Linux

Часть 1.Установка, настройка, использование

Comments

Серия контента:

Этот контент является частью # из серии # статей: EnGarde Secure Linux

Следите за выходом новых статей этой серии.

Этот контент является частью серии:EnGarde Secure Linux

Следите за выходом новых статей этой серии.

EnGarde Secure Linux представляет собой не просто очередную вариацию GNU/Linux, но, в первую очередь, построенный с нуля новейший дистрибутив, обеспечивающий защищенными сервисами пользователей в условиях агрессивной среды Интернет.

EnGarde Secure Linux создан компанией Guardian Digital, которая одной из первых начала разработки в области безопасности в среде open source в 1999 году.

Входящие в состав дистрибутива Guardian Digital WebTool и Guardian Digital Secure Network обеспечивают системе стабильную и устойчивую работу во всем диапазоне предоставляемых сервисов. Являясь серверной системой, EnGarde Secure Linux предоставляет удаленный защищенный доступ для решения административных задач и конфигурирования всех системных служб через Web-интерфейс. Guardian Digital Secure Network обеспечивает системе возможность безопасного обновления, что сильно облегчает процесс обслуживания системы и поддержания ее в актуальном состоянии.

Концепция безопасного обеспечения работы системы и всех предоставляемых служб является главной линией инженерного дизайна EnGarde Secure Linux. Основные позиции безопасности базируются на концепциях «минимальных привилегий», «отсутствия ненужных сервисов», «принципа запрета по умолчанию» для всех уровней исполнения системы и сетевых служб, взаимодействующих с внутренней или внешней сетью. Следующим шагом в обеспечении безопасности системы является использование SELinux, а использование в системе Guardian Digital WebTool предоставляет единый и безопасный административный центр для всех задач и аспектов работы EnGarde Secure Linux.

Развитая система логгирования акцентирует внимание на попытках проникновения и дискредитации системы, помогая тем самым администратору детектировать наиболее опасные направления внешних воздействий.

Таким образом, все основные качества, определяющие EnGarde Secure Linux именно как высокозащищенную систему, сводятся к следующему.

  1. Использование SELinux при доступе любых процессов к области ядра системы.
  2. Применение Guardian Digital WebTool при удаленном администрировании системы.
  3. Использование механизма Guardian Digital Secure Network.
  4. Включение в работу системы обнаружения вторжений (Intrusion Detection System).
  5. Предоставление высокозащищенных Интернет-сервисов, таких как Apache, Postfix, vsFTPd сконфигурированных особым, защищенным образом.

Установка системы EnGarde Secure Linux

Установка дистрибутива (который можно взять на странице проекта по адресу http://www.engardelinux.org) начинается со строки загрузки и сообщения о версии продукта (рисунок 1). После появления окна приветствия можно сосредоточиться на самой инсталляции и вдуматься в вопросы конфигурирования. DHCP или ручная правка файлов? Маска подсети и адрес сети, адрес сервера имен и шлюз по умолчанию – все это требует обязательного ввода в соответствующие ячейки. После их ввода происходит апдейт пароля и запуск механизма удаленного доступа (рисунок 2) к серверу. После чего, если все прошло нормально, на сервер можно зайти так, как изображено на рисунке 3.

Рисунок 1.
Рисунок 1.
Рисунок 1.
Рисунок 2.
Рисунок 2.
Рисунок 2.
Рисунок 3.
Рисунок 3.
Рисунок 3.

В этом фрагменте есть точка разветвления. Можно продолжить работу с дистрибутивом как с livecd или сделать его установку на жесткий диск, при этом весь описываемый функционал будет работоспособен в полном объеме. В режиме работы как livecd сервер почти полностью функционален, но до первой перезагрузки, после которой все этапы по установке и настройке системы, конфигурированию основных служб придется проводить заново. Дальнейшее описание я провожу исходя из полной установки дистрибутива. Нажав на кнопку «installer», продолжаем полную установку.

Переход к выбору языка системы. Есть возможность использовать «русский», но мне кажется это нецелесообразным ввиду плохой русификации. Выбираем English. После этого осуществляется переход к редактированию таблицы разделов. При автоматическом выборе перераспределения разделов система построит корневой, /home и /var разделы. В ручном режиме все, как всегда, – на плечи администратора ложатся вопросы о выборе разделов, их размеров, порядка следования и типе файловой системы. После завершения этой процедуры предлагается выбрать «спецификацию» сервера – установить предустановленный набор пакетов, который определит основную роль сервера. Из числа предлагаемых пакетов есть databases, DNS, firewall, Mail services, Network Intrusion Detection, Web services. Выбор пакета, требующего дополнительных групп, выделит эти дополнительные группы кирпичным цветом (как зависимые от основного) и установит их тоже. Если что-то не установлено сразу, потом это можно будет сделать дополнительно, из системы, по завершении ее полной установки. После определения всех параметров и перезагрузки, на сервер можно зайти через web-tools, указав имя admin и пароль при установке (рисунок 4). Если была выбрана полная установка системы на HDD, то имя входа через web-tools будет как admin, в пароль ‘lock&%box’. Зайдя таким образом, затем можно все будет сменить по своему усмотрению. Если авторизация прошла успешно, то можно будет увидеть панель управления сервером, находясь уже внутри него (рисунок 5).

Рисунок 4.
Рисунок 4.
Рисунок 4.
Рисунок 5.
Рисунок 5.
Рисунок 5.

Необходимо отметить, что при установке системы в режиме livecd. вид внутреннего устройства будет несколько иной, чем на рисунке 6.

Здесь же, при полной установке, нужно будет ввести activated code и password (рисунок 6), которые получаются через домашнюю страничку дистрибутива. Они выдаются после регистрации на сайте. И, хотя продукт является бесплатным, регистрация обязательна для получения этих данных. Причем при работе в режиме livecd их вводить не требуется, но, как я уже говорил, будет ограничен функционал системы и не будет возможности воспользоваться Guardian Digital Secure Network.

Рисунок 6.
Рисунок 6.
Рисунок 6.

На этой же странице рекомендуется сменить пароли для root (консольный) и для admin (вход в Web-интерфейс).

После задания этих параметров и перезагрузки, в консоли предлагается на выбор использовать два режима загрузки. Первый – по умолчанию, с самыми высокими параметрами безопасности и второй, рекомендуемый в тестовых целях, простой, без расширенных опций безопасности. Выбираем первый и загружаемся. Загрузка заканчивается уже знакомой консолью, куда в общем-то заходить и не нужно, помня о том, что все системные вопросы решаются через Web-интерфейс сервера.

Использование Web-интерфейса

Заходим через Web-интерфейс по адресу https://your_ip_address/1023/ и вводим там admin+password. Главная станица Guardian Digital WebTool состоит из нескольких разделов и выполнена по стандартной дизайнерской схеме обычного сайта. Вверху логотип, под ним ряд основных меню для выбора рабочих функций. Это Module, Services, System, Auditing, Wizards, Suites, Help. Ниже расположены колонки с основными информационными полями. После приветственного поля, ниже, расположено Host Information, в котором отображены такие данные, как hostname, EnGarde Version, Kernel Version и Uptime. Все эти данные, кроме системных, были заданы при установке системы.

Рисунок 7.
Рисунок 7.
Рисунок 7.

Справа, в колонке System Status, находится информация о состоянии SELinux – у меня Enforsing, затем Processed Running – тут есть количество процессов, запущенных в системе, и имеется возможность их просмотреть по щелчку на View List. Затем стоят параметры загрузки системы System Load Average. Тут же можно просмотреть этот параметр, memory usage и swap usage в графическом режиме, используя ссылку Graph (рисунок 8). Картина в целом выглядит так, как представлено ниже:

Рисунок 8.
Рисунок 8.
Рисунок 8.
SELinux Status Enforcing
# Processes Running 55 View List
System Load Average0.04, 0.01, 0.00 Graph
Memory Usage 21% (54 M of 248 M) Graph
Swap Usage0% (0 M of 313 M)

В разделе Network находится информация об имеющихся интерфейсах и значениях их параметров. У меня это eth0 с адресом 10.0.16.77. Кроме того, показана скорость входящего, исходящего и суммарного трафика через интерфейс в KB/S.

В разделе Filesystem показаны имеющиеся в системе разделы, их размеры и точки монтирования. У меня это выглядит так:

Device Size Used Free % Full Mount Point
/dev/sda21.5G417M947M31%/
/dev/sda32.2G66M2.0G4%/home
/dev/sda42.1G96M1.9G5%/var

Рассмотрим подробнее состав основного меню для выбора рабочих функций сервера.

Главное меню настройки функций сервера

Первая, Module, – при выборе отображает описанную выше страницу. Следующая, Services, – включает в себя service configuration, domain name service, DHCP, E-mail services, File Transfer Protocol, Secure Shell Management, World Wide Web Management.

Вкладка Service Configuration

На вкладке представлен листинг всех сервисов с отображением их статуса и краткого описания.

Это представленные в алфавитном порядке службы adsl, ftp, httpd, mysql, ntpd, postfix, shorewall, simap, smartd, snortd, spop3, sshd, ups, userpass. Для каждой службы в правой колонке есть возможность не только просмотреть ее статус, но и изменить ее состояние. Например, у меня есть строка httpd World Wide Web (WWW) server Stopped Enabled, которая говорит о том, что в системе установлена служба httpd и она будет включена при загрузке системы, но в данный момент она отключена (не сконфигурирована). При щелчке на stopped ее можно попытаться включить. Этот процесс сопровождается видом перезагружающейся страницы и изменением статуса и цвета выбранной службы в описываемом окне. Такие же действия применимы к каждой присутствующей здесь службе.

В нижнем окне страницы систему можно перезагрузить либо выключить совсем.

По всем другим подразделам раздела Services порядок действий такой же. Общая логика работы со службами в этой системе заключается в предварительном конфигурировании демона и последующего его запуска из этого раздела. Эти вопросы подробнее будут рассмотрены в следующей статье цикла.

Вкладка System

Здесь находятся подменю, такие как Access control, Backup and Restore, Data and Time, Firewall configuration, Guardian Digital Secure Network, Intrusion Detection Systems, Network Configuration, Users and Groups, UPS Control Center, Web Tool Configuration, Other Modules -> NetDiff Network Scanning System.

Вкладка Access Control позволяет задать хосты и сети, которые могут получить доступ, предоставляемый запущенными на сервере службами. Ниже идет перечень всех служб и ячейка add для добавления хоста или сети. В самом низу находится строка, регламентирующая доступ к самому Web-Tools. Здесь целесообразно задать единичные хосты, с которых планируется администрировать этот сервер для повышения его защищенности.

Вкладка Backup and Restore позволяет задать задания для создания резервных копий нужных разделов или служебных каталогов сервера. Например, есть возможность бэкапировать каталоги Web-сервера /home/httpd и /etc/httpd или же вообще все, что есть на сервере – ссылка Everything.

Вкладка Date and Time позволяет задать системной время или откорректировать его. Кроме того, здесь можно изменить информацию о местонахождении и выбрать нужные серверы времени для синхронизации.

Вкладка Firewall Configuration позволяет сконфигурировать доступ к имеющимся службам на уровне фильтра пакетов, встроенного в ядро операционной системы. Имеет подразделы Blacklist, General Configuration, Firewall Rules, Hosts and Networks, Port Forwarding.

Вкладка Guardian Digital Secure Network позволяет сконфигурировать update agent и package management. Вот здесь как раз понадобятся те Activation Code и Activation Password, без которых эти операции будут недоступны.

Вкладка Intrusion Detection Systems содержит подразделы для конфигурирования датчиков IDS хоста или сети, в зависимости от того, как планируется их использовать.

Вкладка Network Configuration позволяет переопределить значения для сетевого интерфейса и имеющегося шлюза.

Users and Groups позволяет задать локальные группы пользователей для данного хоста. В соответствующем модуле можно определить локальных пользователей и их принадлежность к определенным группам.

Вкладка UPS Control Center позволяет запустить wizard для обнаружения и настройки блока UPS сервера. Кроме того, есть подразделы, конфигурирующие пользователей, под которыми возможно дальнейшее проведение настроек и ряда команд для сервера на случай возникновения тех или иных ситуаций, вплоть до перезагрузки и останова системы.

Вкладка Web Tools Configuration позволяет задать учетные административные записи, под которыми можно заходить и выполнять системные задачи. По умолчанию существует только одна запись – admin.

Вкладка Auditing

Здесь имеются два подраздела – Logging и Reporting. Вкладка logging позволяет просматривать системные лог-файлы и проводить поиск по ним. Доступны для выбора system log, kernel message, web-tool audit log, user login log. Можно выбрать время автообновления записи и отображения лог-файлов. По умолчанию имеется значение в 2 секунды. Раздел Reporting позволяет просматривать сводный отчет о работе системы за сутки.

Подробное конфигурирование основных служб будет рассмотрено в следующей статье этого цикла.

Рисунок 9.
Рисунок 9.
Рисунок 9.

Выводы

В статье представлено описание одного из защищенных на сегодняшний день Linux-дистрибутивов – EnGarde Secure Linux. Описана философия построения системы, стержнем которой является высокий уровень защищенности всех служб и сервисов. Этот мощный дистрибутив разработан в рамках компании Guardian Digital – пионера в области применения решений по обеспечению безопасности в мире open source.

Данный дистрибутив является свободным, но требует регистрации и ввода активационных данных, без которых невозможно дальнейшее обновление продукта.

Входящие в состав дистрибутива Guardian Digital WebTool и Guardian Digital Secure Network обеспечивают соответственно удаленное управление сервером и его службами через удобный Web-интерфейс и защищенный вход в сеть разработчика для возможности работы update agent и package management.

Сервер имеет в своем арсенале развитый файервол shorewall, систему обнаружения вторжений на основе snort, способную функционировать как в режиме хостового датчика, так и сетевого.

Наличие удобного меню в Web-панели управления сервера дает возможность конфигурировать все его основные службы. В состав таких служб входят adsl, ftp, httpd, mysql, ntpd, postfix, shorewall, simap, smartd, snortd, spop3, sshd, ups, userpass, что обеспечивает практически весь диапазон имеющихся на сегодняшний день востребованных сервисов для клиентов Интернет. Возможность установки дополнительных пакетов еще больше расширяет возможности сервера, а способности его средств защиты ставят его в ряд самых защищенных систем на сегодняшний день.

Сравнивая EnGarde Secure Linux с подобными разработками, можно с уверенностью сказать, что он является одним из самых мощных и высокозащищенных дистрибутивов такого рода.

Следующая статья будет посвящена настройке основных служб в EnGarde Secure Linux.


Ресурсы для скачивания


Похожие темы


Комментарии

Войдите или зарегистрируйтесь для того чтобы оставлять комментарии или подписаться на них.

static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=40
Zone=Linux
ArticleID=492946
ArticleTitle=EnGarde Secure Linux: Часть 1.Установка, настройка, использование
publish-date=05272010