Hoci nie som žiaden Linuxový geek, nedávno sa mi pod ruku dostal server s pokynom “postaraj sa oň”. Išlo najmä o to, aby server fungoval a robil to, čo má robiť. Nejaké tie skúsenosti s Linuxom som už samozrejme mal (po viac ako roku používania Linuxu ako hlavného systému), ale bolo mi jasné, že starať sa o server a starať sa o desktop sú úplne odlišné veci. Konkrétne išlo o virtual server, teda bol tam už predinštalovaný a funkčný Debian.
Spísal som si teda pár všeobecných pravidiel, ktoré Vás ochránia pred 99% hávede na internete.
1) Nebuďte sprostí: Na serveri by mala platiť politika “čo nie je implicitne povolené, je zakázané“. To platí čí už pre firewall, alebo aj nastavenie ostatných služieb. Tak isto preto na serveri majte len ten software, ktorý nutne potrebujete. Server nie je desktop. Čím menej služieb budete mať spustených, tým menšie je riziko, že budete čeliť reálnej bezpečnostnej hrozbe. Snáď nemusím písať, že netreba podceňovať heslá. Meno vašej priateľky nie je ideálne heslo pre roota.
2) Chráňte si root konto. Je to to jediné čo máte. Keď niekto získa root prístup na váš server, tak mašina už nie je vaša. Nepoužívajte nezašifrovanú komunikáciu medzi vami a serverom (ftp/telnet). Vtedy sa totiž aj heslo, ako aj všetky ostatné informácie prenášajú po sieti v nezašifrovanom tkz. plain text formáte. V žiadnom prípade sa preto neprihlasujte cez FTP ako root. Používajte miesto toho bezpečnú náhradu SFTP, prípadne SSH pre vzdialený prístup. Najlepšie je zablokovať možnosť prihlásenia roota cez FTP a tiež cez SSH. Veď nie je problém predsa keď administrujete server prihlásiť sa najprv ako normálny použivateľ a su.
3) Upgradeujte server. Za predpokladu, že používate spolahlivú distribúciu na server, ako napríklad Debian stable, máte záruku, že vám upgrade nepoškodí. Preto neváhajte upgradeovať všetok software, len čo budete môcť. (na debiane jednoduchý príkaz apt-get update && apt-get upgrade)
4) Sledujte logy. Je pekné, keď logujete každú akciu systému, ale je to na nič, pokial si tie logy nepozeráte. Ak sa vám nechce denne prehrabovať možno až megabajtami logov, existujú rôzne utility, ktoré vám z nich vyfiltrujú to zaujímavé. Ja som si napríklad veľmi oblúbil utilitu logwatch. (v debiane apt-get install logwatch) Logwatch vygeneruje jednoduchú správu z logov zo včerajšieho dňa. Nie je teda problém napríklad o pol noci si tento sumár logov nechať posielať mailom a ďalší deň pri rannej kávičke preletieť očami, či tam nie je niečo vyslovene podozrivé.
Toľko základné pravidlá. Samozrejme, že to nie je všetko. Raz za čas treba napríklad tiež pozrieť, či sa server nenachádza v emailových blacklistoch a mnoho ďalších vecí. Zaujímavý blog na tému administrácie serverov píše baz, okrem iného administrátor českého freehostingu ic.cz.
Informácie tiež môžete nájsť aj v archíve záznamov Audiovizuálneho centra študentov ČVUT, konkrétne môžem napríklad odporúčiť videá, ako Linuxové minimum správce Debianu, či napríklad Webový server Apache.
Tags: Debian, Linux, server, spravovanie
