doc-linux-hr 20000416.1 / usr / share / doc / HOWTO / hr-html / Sigurnost-KAKO-7.html

This file is indexed.

/usr/share/doc/HOWTO/hr-html/Sigurnost-KAKO-7.html is in doc-linux-hr 20000416.1.

This file is owned by root:root, with mode 0o644.

The actual contents of the file can be viewed below. 

  1
  2
  3
  4
  5
  6
  7
  8
  9
 10
 11
 12
 13
 14
 15
 16
 17
 18
 19
 20
 21
 22
 23
 24
 25
 26
 27
 28
 29
 30
 31
 32
 33
 34
 35
 36
 37
 38
 39
 40
 41
 42
 43
 44
 45
 46
 47
 48
 49
 50
 51
 52
 53
 54
 55
 56
 57
 58
 59
 60
 61
 62
 63
 64
 65
 66
 67
 68
 69
 70
 71
 72
 73
 74
 75
 76
 77
 78
 79
 80
 81
 82
 83
 84
 85
 86
 87
 88
 89
 90
 91
 92
 93
 94
 95
 96
 97
 98
 99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<HTML>
<HEAD>
 <META NAME="GENERATOR" CONTENT="SGML-Tools 1.0.11">
 <TITLE>Sigurnost Linuxa KAKO: Sigurnost kernela</TITLE>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=ISO-8859-2">
 <LINK HREF="Sigurnost-KAKO-8.html" REL=next>
 <LINK HREF="Sigurnost-KAKO-6.html" REL=previous>
 <LINK HREF="Sigurnost-KAKO.html#toc7" REL=contents>
</HEAD>
<BODY>
<A HREF="Sigurnost-KAKO-8.html">Sljedeæi dio</A>
<A HREF="Sigurnost-KAKO-6.html">Prethodni dio</A>
<A HREF="Sigurnost-KAKO.html#toc7">Sadr¾aj</A>
<HR>
<H1><A NAME="s7">7. Sigurnost kernela</A></H1>

<P>
<P>Ovo je opis konfiguracijskih opcija kernela koje se odnose na sigurnost i
obja¹njene njihove funkcije i kori¹tenja.
<P>Zbog toga ¹to kernel kontrolira mre¾ni rad va¹eg raèunala, va¾no je da je on
vrlo siguran te da mu se ne mo¾e na¹tetiti. Kako bi sprijeèili neke od
najnovijih mre¾nih napada, trebali biste poku¹ati odr¾ati verziju svog
kernela svje¾om. Nove kernele mo¾ete naæi na 
<A HREF="ftp://ftp.kernel.org/">ftp://ftp.kernel.org/</A>.
<P>
<H2><A NAME="ss7.1">7.1 Opcije pri kompajliranju kernela</A>
</H2>

<P>
<P>
<DL>
<DT><B>IP: Drop source routed frames (CONFIG_IP_NOSR)</B><DD><P>Ova bi opcija trebala biti ukljuèena. Source routed okviri u paketu sadr¾e
cijeli put do svog odredi¹ta. To znaèi da ruteri kroz koje paket prolazi ne
moraju pregledati paket, pa ga samo proslijeðuju. To mo¾e dovesti do ulaska
podataka u sustav koji mo¾da iskori¹tavaju sigurnosnu rupu.
<P>
<DT><B>IP: Firewalling (CONFIG_IP_FIREWALL)</B><DD><P>Ova je opcija potrebna samo ako æete konfigurirati svoj stroj kao
firewall, koristiti masquerading ili ¾elite za¹tititi svoju radnu
stanicu koja se povezuje modemom od neèijeg ula¾enja kroz PPP suèelje.
<P>
<DT><B>IP: forwarding/gatewaying (CONFIG_IP_FORWARD)</B><DD><P>Ako ukljuèite IP forwarding (prosljeðivanje), va¹ Linux sustav u biti
postaje ruter. Ako je va¹ stroj na mre¾i, mo¾ete proslijeðivati podatke s
jedne mre¾e na drugu, i mo¾da potkopavati firewall koji je postavljen
da to sprijeèi. Normalni dial-up korisnici ovo æe iskljuèiti, a ostali
bi se korisnici trebali usredotoèiti na sigurnosne implikacije.
Raèunala koja su firewalli ovo trebaju ukljuèeno, zajedno sa softverom
za firewall.
<P>IP prosljeðivanje mo¾ete dinamièki ukljuèivati naredbom:
<PRE>
root#  echo 1 > /proc/sys/net/ipv4/ip_forward
</PRE>

te iskljuèivati naredbom:
<PRE>
root#  echo 0 > /proc/sys/net/ipv4/ip_forward
</PRE>

Ta datoteka (i mnoge druge datoteke u /proc) uvijek æe
izgledati duge 0 znakova, ali to zapravo nije istina. Ovo je nova opcija
kernela, pa provjerite da li koristite verziju 2.0.33 ili noviju.
<P>
<DT><B>IP: firewall packet logging (CONFIG_IP_FIREWALL_VERBOSE)</B><DD><P>Ova opcija pru¾a informacije o paketima koje je va¹ firewall primio,
kao ¹to je po¹iljatelj, primatelj, port, itd.
<P>
<DT><B>IP: always defragment (CONFIG_IP_ALWAYS_DEFRAG)</B><DD><P>Inaèe je ova opcija iskljuèena, ali ako postavljate firewall ili
masquerading, trebat æete ju ukljuèiti. Kada se podaci ¹alju od jednog
do drugog raèunala, nisu uvijek poslani u jednom paketu, nego fragmentirani
u vi¹e komada. Problem s time je ¹to se broj porta pohranjuje samo u prvom
fragmentu. To znaèi da netko mo¾e ubaciti informacije u ostale pakete za
va¹u vezu, koje tamo ne bi smjele biti.
<P>
<DT><B>IP: syn cookies (CONFIG_SYN_COOKIES)</B><DD><P>SYN napad je DoS (<B>D</B>enial <B>o</B>f <B>S</B>ervice -- poricanje usluge)
napad koji zauzima sve resurse va¹eg raèunala, zbog èega ga vi morate ponovo
dignuti. Nema razloga da ovo u normalnoj situaciji ne ukljuèite.
<P>
<DT><B>Packet Signatures (CONFIG_NCPFS_PACKET_SIGNING)</B><DD><P>Ovo je opcija iz 2.1 serije kernela koja æe za veæu sigurnost potpisivati
NCP pakete. Obièno je mo¾ete ugasiti, ali tu je ako vam je potrebna.
<P>
<DT><B>IP: Firewall packet netlink device (CONFIG_IP_FIREWALL_NETLINK)</B><DD><P>Ovo je stvarno zgodna opcija koja vam omoguæava analizu prvih 128 bajtova
paketa iz programa u korisnièkom prostoru, kako bi odluèili da li æete
primiti ili odbaciti paket na osnovu njegove valjanosti.
</DL>
<P>
<H2><A NAME="ss7.2">7.2 Kernel ureðaji</A>
</H2>

<P>
<P>Na Linuxu æe vam u osiguranju pomoæi i nekoliko blok i znakovnih ureðaja.
<P>Kroz dva ureðaja <CODE>/dev/random</CODE> i <CODE>/dev/urandom</CODE> kernel stalno
daje sluèajne podatke.
<P>I <CODE>/dev/random</CODE> i <CODE>/dev/urandom</CODE> bi trebali biti dovoljno
sigurni za kori¹tenje u generiranju PGP kljuèeva, SSH izazova i drugim
primjenama gdje su potrebni sigurni, sluèajni brojevi. Napadaèi ne bi smjeli
moæi predvidjeti slijedeæi broj na temelju bilo kojeg poèetnog niza brojeva
iz tih izvora. Ulo¾eno je mnogo napora u osiguravanju da su brojevi koje
dobijete odatle sluèajni u svakom smislu rijeèi sluèajni.
<P>Jedina je razlika ¹to <CODE>/dev/random</CODE>-u ponestane brojeva i pa morate
èekati da ih se vi¹e nakupi. No, na nekim sustavima, mo¾e dugo èekati na
novi ulaz korisnièkih podataka u sustav. Zato prije kori¹tenja <CODE>/dev/random</CODE>
morate biti pa¾ljivi. (Mo¾da je najbolje rje¹enje reæi korisniku
da udara po tipkovnici dok mu ne ka¾ete "U redu, dosta je" dok generirate
osjetljive kljuèeve.)
<P><CODE>/dev/random</CODE> pru¾a vrlo kvalitetnu entropiju, generiranu mjerenjem
vremena izmeðu interruptova i slièno. Ako nema dovoljno komada
sluèajnih podataka, blokira se.
<P><CODE>/dev/urandom</CODE> je slièan, ali kada je zaliha entropije mala, dat æe
vam kriptografski jaku izmjenu onoga ¹to ima. To nije sigurno, ali je
dovoljno veæini aplikacija.
<P>Mo¾da æete èitati iz tih ureðaja koristeæi ne¹to kao:
<PRE>
root#  head -c 6 /dev/urandom | uuencode -
</PRE>

To æe na konzoli ispisati ¹est sluèajnih znakova prikladnih za generiranje
lozinke.
<P>Za opis algoritma pogledajte
/usr/src/linux/drivers/char/random.c.
<P>Hvala Theodoreu Y. Ts'ou, Jonu Lewisu i drugima s Linux-kernel mailing
liste ¹to su mi (Daveu) pomogli s ovim.
<P>
<HR>
<A HREF="Sigurnost-KAKO-8.html">Sljedeæi dio</A>
<A HREF="Sigurnost-KAKO-6.html">Prethodni dio</A>
<A HREF="Sigurnost-KAKO.html#toc7">Sadr¾aj</A>
</BODY>
</HTML>

APT Browse - Built by Thomas Orozco.