Linux system zabezpieczeń(1)

PROFESJONALNE USAUGI BEZPIECZECSTWA
Procedura instalacji i konfiguracji Linux Red Hat jako platformy dla
systemu zabezpieczeń Check Point VPN-1/FireWall-1
Przygotował: Mariusz Pyrzyk
Instalacja systemu operacyjnego Linux Red Hat
a) Zalecane jest, aby system operacyjny Linux zainstalować od początku, nawet jeżeli
komputer został dostarczony razem z zainstalowanym oprogramowaniem. Komputer w
czasie instalacji nie powinien być podłączony do sieci.
b) Dla przeprowadzenia procesu instalacji Check Point VPN-1/FireWall-1 wymagane jest
zainstalowanie następujących komponentów:
- systemu operacyjnego Linux Red Hat, wersja 6.0, 6.1, 6.2 lub 7.0,
- jądra systemu operacyjnego w wersji 2.2.x,
- gawk w wersji 3.0 lub nowszej,
- fileutils w wersji 4.0 lub nowszej,
- grep w wersji 2.3 lub nowszej,
- sh-utils w wersji 1.16 lub nowszej,
- tcsh w wersji 6.08 lub nowszej,
- vim-minimal sed w wersji 3.02 lub nowszej,
- textutils w wersji 1.22 lub nowszej,
- net-tools w wersji 1.51 lub nowszej,
- findutils w wersji 4.1 lub nowszej,
- sharutils w wersji 4.2 lub nowszej.
Poniżej przedstawiono przykładowy wykaz zasobów wystarczający do przeprowadzenia
instalacji zgodnej z w/w wymogami:
- płyta instalacyjna Red Hat 7.0 binaria,
- kernel-2.2.19-6.2.7.i686.rpm,
- rpm-4.0.2-6x.i386.rpm,
- mount-2.10r-0.6.x.i386.rpm,
- tcsh-6.09-4.i386.rpm,
c) Przykładowa procedura instalacji systemu operacyjnego i wymaganych komponentów:
- Instalacja systemu operacyjnego:
należy wybrać typ instalacji Custom (w oknie Instalation Type ),
system należy zainstalować w wersji minimalnej w oknie wyboru pakietów
instalacyjnych Package Group Selection wszystkie pola wyboru powinny
pozostać puste,
w systemie powinno istnieć tylko jedno konto użytkownika root
- Instalacja pakietu: rpm Uvh rpm-4.0.2-6x.i386.rpm,
- Instalacja pakietu: rpm Uvh mount-2.10r-0.6.x.i386.rpm,
- Uaktualnienie jądra systemu operacyjnego : rpm Uhv kernel-2.2.19-6.2.7.i686.rpm,
- Utworzenie RAM-dysku dla modułów:
mkinitdir /boot/initrd-2.2.19-6.2.7.img 2.2.19-6.2.7,
CLICO Centrum Oprogramowania Sp. z o.o., Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927525; Fax: 12 6323698;
E-mail: support@Clico.PL, orders@Clico.PL.; Ftp.clico.pl.; http://www.clico.pl
Instalacja i konfiguracja Linux Red Hat jako platformy dla Check Point FireWall-1
- Aktualizacja LILO:
edytować plik konfiguracyjny LILO: vi /etc/lilo.conf,
modyfikować odpowiednią sekwencję, np.:
image=/boot/vmlinuz-2.2.19-6.2.7
label=linux
initrd=/boot/initrd-2.2.19-6.2.7.img
read-only
root=/dev/hda6 # wskaznie głównego systemu plików
wykonać komendę: lilo,
- Instalacja pakietu: rpm ivh tcsh-6.09-4.i386.rpm,
d) Obecność w systemie pakietów wymienionych w pkt b) należy sprawdzić przy pomocy
komend:
- rpm q kernel,
- rpm q gawk,
- rpm q fileutils, itd.
Brakujące pakiety znajdują się na dysku CD w katalogu /RedHat/RPMS . Instalacja
pakietów odbywa się przy pomocy komend:
- rpm ivh tcsh-6.09-4.i386.rpm itp.
e) System należy wyposażyć we wszystkie wymagane i zalecane przez producenta
poprawki patches
f) W celu umożliwienia zarządzania systemu FireWall-1 przez użytkownika root należy w
pliku /root/.bash_profile zdefiniować i wyeksportować niezbędne zmienne środowiskowe:
/root/.bash_profile
< ... >
PATH= : /etc/fw/bin
FWDIR=/etc/fw
<...>
export FWDIR
<...>
g) W celu przetestowania poprawnej konfiguracji zmiennych środowiskowych należy
wylogować się, zalogować jako użytkownik root i wykonać komendy:
- echo $FWDIR ,
poprawny wynik powinien brzmieć: /etc/fw,
- echo $PATH,
poprawny wynik powinien zawierać wartość : /etc/fw/bin.
2
� CLICO Centrum Oprogramowania, 1991-2002.
Instalacja i konfiguracja Linux Red Hat jako platformy dla Check Point FireWall-1
Konfiguracja parametrów sieci
a) Konfiguracja interfejsów sieciowych - w przypadku kart sieciowych typu ethernet,
parametry interfejsu zapisane są w pliku /etc/sysconfig/network-scripts/ifcfg-ethN (gdzie
N numer interfejsu)
przykładowa konfiguracja interfejsu eth0
/etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0 # nazwa urządzenia
IPADDR=1.1.1.1 # adres IP interfejsu
NETMASK=255.255.255.0 # maska sieci
NETWORK=1.1.1.0 # adres sieci
BROADCAST=1.1.1.255 # adres rozgłoszeniowy
ONBOOT=yes # karta uaktywniana jest podczas startu systemu
BOOTPROTO=none # nie jest używane dhcp lub bootp
b) Konfiguracja DNS definiowanie w pliku /etc/resolv.conf serwerów DNS oraz
definiowanie sposobu (kolejności) rozwiązywania nazw w pliku /etc/host.conf
przykładowa definicja serwerów DNS
/etc/resolv.conf
nameserver 1.1.1.5 # podstawowy serwer DNS
nameserver 1.1.1.6 # zapasowy serwer DNS
przykładowa definicja sposobu rozwiązywania nazw
/etc/host.conf
order hosts, bind # w procesie rozwiązywania nazwy w pierwszej
kolejności następuje # odwołanie do pliku
/etc/hosts a następnie odwołanie do serwera DNS
c) Konfiguracja ogólnych parametrów sieci IP forwarding, default gateway etc.
przykładowa definicja ogólnych parametrów sieci
/etc/sysconfig/network
NETWORKING=yes # obsługa sieci włączona
FORWARD_IPV4=yes # retransmisja pakietów IP włączona
HOSTNAME=bastion # nazwa komputera
GATEWAY=1.1.1.254 # adres bramy domyślnej
GATEWAYDEV=eth0 # interfejs, poprzez który następuje komunikacja
z bramą domyślną
d) Konfiguracja znanych adresów sieciowych w pliku /etc/hosts
przykładowa definicja znanych nazw komputerów
/etc/hosts
127.0.0.1 localhost
1.1.1.1 bastion loghost # główny (zewnętrzny) interfejs komputera
3
� CLICO Centrum Oprogramowania, 1991-2002.
Instalacja i konfiguracja Linux Red Hat jako platformy dla Check Point FireWall-1
e) Konfiguracja niezbędnych dla poprawnego działania CP statycznych tras rutingu
przykładowa definicja statycznych tras rutingu
/etc/sysconfig/static-routes
eth1 host 193.193.74.3 gw 10.10.10.1
eth1 host 193.193.74.4 gw 10.10.10.2
f) Restart usług sieciowych:
/etc/rc.d/init.d/network restart
g) Kontrola poprawności konfiguracji parametrów sieci
- zalecane jest wykonanie restartu całego systemu (komenda init 6) w celu
przetestowania trwałości konfiguracji
- w wyniku działania komendy ifconfig powinny wyświetlić się wszystkie zdefiniowane
interfejsy sieciowe, wraz z poprawną konfiguracją adresów IP, masek sieciowych etc.
- w wyniku działania komendy route n powinna zostać wyświetlona aktualna tablica
trasowania, z której powinno wynikać, że działa retransmisja pakietów (IP forwarding)
i ustawiona jest brama domyślna.
Usunięcie bądz zablokowanie zbędnych komponentów systemu
a) Zalecane jest zablokowanie większości usług uruchamianych w trzecim trybie pracy
systemu (trybie wieloużytkownikowym, z uruchomionymi usługami sieciowymi):
- w pliku /etc/rc.d/rcd.3 należy pozostawić jedynie następujące skróty (można także
usunąć z katalogu /etc/rc.d/init.d wszystkie pliki binarne, które nie są powiązane z
poniższymi plikami)
i. S10network
ii. S12syslog
iii. S20random
iv. S56rawdevices
v. S75keytable
vi. S90crond
vii. S99local.
Wzmocnienie zabezpieczeń systemu
a) Dodanie do pliku /etc/host.conf parametru zabezpieczającego przed atakiem typu
IP Spoofing
/etc/host.conf
nospoof on # funkcja zabezpieczająca przed IP Spoofing
4
� CLICO Centrum Oprogramowania, 1991-2002.
Instalacja i konfiguracja Linux Red Hat jako platformy dla Check Point FireWall-1
Instalacja oprogramowania Check Point VPN-1/FireWall-1
Do instalacji oprogramowania Check Point VPN-1/FireWall-1 v4.1/SPx należy
wykorzystać nośnik instalacyjny CD-ROM (Check Point 2000 v4.1.x). Proces instalacji
odbywa się w następującej kolejności:
#./InstallU
#rpm -i --replacefiles CPfw1-41.5-SP5.i386.rpm #upgrade do SP5
W razie problemów z instalacją SP5 należy wykonać komendę:
#rpm --rebuilddb
5
� CLICO Centrum Oprogramowania, 1991-2002.

Wyszukiwarka

Podobne podstrony:
Linux System Plików
Wstęp Do Systemu Zabezpieczeń W Windows 2000
Linux O Systemie
Linux System Plików II
07 Linux System plików
2 linux system wielodostepny
Systemy zabezpieczeń stosowane w ochronie obiektów
18 Systemy zabezpieczania instalacji
09 A Latała Systemy zabezpieczeń
2008 03 Making Music Connecting a Midi Keyboard to Your Linux System
2007 11 Amavis – system zabezpieczenia poczty [Bezpieczenstwo]
2007 11 Amavis – system zabezpieczenia poczty [Bezpieczenstwo]
Linux Online Firewall and Proxy Server HOWTO Preparing the Linux system
2001 02 Linux on Ppc Powerpc Linux Systems
Zabezpieczenia w systemach linux
systemy operacyjne cw linux apache mysql
Kotlownia Zabezpieczenia kotlowni system zamkniety

więcej podobnych podstron