Ero sivun ”Palvelimen pystyttäminen” versioiden välillä

Linux.fista
Siirry navigaatioon Siirry hakuun
(kappale tietoturvasta; muutamia tyypillisiä palvelimia)
pEi muokkausyhteenvetoa
Rivi 1: Rivi 1:
{{yhteistyö}}
{{yhteistyö}}
Linuxia käytetään hyvin usein palvelinalustana ja liki jokaisen [[jakelu]]n mukana tulee melko kattava kokoelma palvelinohjelmistoja. Linuxissa/Unixissa on myös tavanomaista käyttää monia palvelimia tavallisissa työpöytäkoneissa, esimerkiksi [[sähköpostipalvelin]] ja www-[[välipalvelin]] suodattamaan ja puskuroimaan liikennettä sekä [[SSH]]-palvelin koneen etähallintaan. Pystyttäessä (ulko)verkkoon näkyviä palveluja pitää kuitenkin olla huomattavan tarkka tietoturvaasioista. Isommissa palvelimissa myös resurssien optimointi on hyvin paljon tärkeämpää kuin kotikoneella.
Linuxia käytetään hyvin usein palvelinalustana ja liki jokaisen [[jakelu]]n mukana tulee melko kattava kokoelma palvelinohjelmistoja. Linuxissa/Unixissa on myös tavanomaista käyttää monia palvelimia tavallisissa työpöytäkoneissa, esimerkiksi [[sähköpostipalvelin]] ja www-[[välipalvelin]] suodattamaan ja puskuroimaan liikennettä sekä [[SSH]]-palvelin koneen etähallintaan. Pystyttäessä (ulko)verkkoon näkyviä palveluja pitää kuitenkin olla huomattavan tarkka [[tietoturva]]-asioista. Isommissa palvelimissa myös resurssien optimointi on hyvin paljon tärkeämpää kuin kotikoneella.


Monet Linux-jakelut on tehty myös ammatilliseen käyttöön, ja jakelun oletusasetukset saattavat olla sovellettuja ison palvelimen tarpeisiin. Oletusasetusten ja eri ohjeiden soveltuvuus omaan käyttöön kannattaa siis varmistaa.
Monet Linux-jakelut on tehty myös ammatilliseen käyttöön, ja jakelun oletusasetukset saattavat olla sovellettuja ison palvelimen tarpeisiin. Oletusasetusten ja eri ohjeiden soveltuvuus omaan käyttöön kannattaa siis varmistaa.
Rivi 8: Rivi 8:
Jos palvelin pystytetään kokeilua varten tai henkilökohtaiseen käyttöön, siihen ei yleensä ole tarvetta päästä käsiksi kuin muutamalta koneelta. Pääsyä voi rajoittaa [[palomuuri]]lla, [[Tcpwrappers|TCP-wrappers]]illa sekä palvelimen omilla asetuksilla. Kaikkia kolmea kannattaa käyttää. Avainsanoja voi olla esimerkiksi "listen", "interface" tai "allow" ja "[[localhost]]". Myös [[reititin|reitittimessä]] on yleensä palomuuriominaisuuksia.
Jos palvelin pystytetään kokeilua varten tai henkilökohtaiseen käyttöön, siihen ei yleensä ole tarvetta päästä käsiksi kuin muutamalta koneelta. Pääsyä voi rajoittaa [[palomuuri]]lla, [[Tcpwrappers|TCP-wrappers]]illa sekä palvelimen omilla asetuksilla. Kaikkia kolmea kannattaa käyttää. Avainsanoja voi olla esimerkiksi "listen", "interface" tai "allow" ja "[[localhost]]". Myös [[reititin|reitittimessä]] on yleensä palomuuriominaisuuksia.


Palvelimen käyttöä voi rajoittaa tietyille käyttäjille. Tämä on tärkeätä etenkin SSH:n tapauksessa, koska murtautumnista heikoilla salasanoilla yritetään jatkuvasti. Määräämällä tiedostossa /etc/ssh/sshd_config "AllowedUsers tunnus tunnus2" tai vastaava, muiden käyttäjien heikoista salasanoista ei tarvitse olla ''niin'' huolissaan.
Palvelimen käyttöä voi rajoittaa tietyille käyttäjille. Tämä on tärkeätä etenkin SSH:n tapauksessa, koska murtautumista heikoilla salasanoilla yritetään jatkuvasti. Määräämällä tiedostossa <tt>/etc/ssh/sshd_config</tt> "AllowedUsers tunnus tunnus2" tai vastaava, muiden käyttäjien heikoista salasanoista ei tarvitse olla ''niin'' huolissaan.


Verkkoa kuuntelevan palvelimen pitäminen ajan tasalla tietoturvapäivitysten osalta on tärkeää. Päivityksistä on yleensä mahdollista saada tietoa jakelun tietoturvatiimiltä erillisen sähköpostilistan kautta (security-announce tms.).
Verkkoa kuuntelevan palvelimen pitäminen ajan tasalla tietoturvapäivitysten osalta on tärkeää. Päivityksistä on yleensä mahdollista saada tietoa jakelun tietoturvatiimiltä erillisen sähköpostilistan kautta (security-announce tms.).


Haavoittuvuuksia voi olla myös palvelimen kautta käynnistettävissä ohjelmissa. Erityisesti tämä koskee www-palvelimen [[cgi]]-skriptejä (php ym.). Satunnainen verkosta imetty skripti ei ole luotettava tässä mielessä. Ellei halua tai osaa varmistaa skriptien laatua eikä halua pitäytyä muiden varmasti tarkastamissa skripteissä, ei kannata asentaa verkkoon näkyvää www-palvelinta koneelle, jossa on tärkeätäkin tietoa. Jos käynnistää palvelimen eri koneelle kannattaa muistaa, että sisäverkossa on nyt vähemmän luotettava kone, ja liikennettä kannattaa valvoa sen verran, että uskoo huomaavansa mahdollisen ei-toivotun käytön.
Haavoittuvuuksia voi olla myös palvelimen kautta käynnistettävissä ohjelmissa. Erityisesti tämä koskee www-palvelimen [[cgi]]-skriptejä (php ym.). Satunnainen verkosta haettu [[skripti]] ei ole luotettava tässä mielessä. Ellei halua tai osaa varmistaa skriptien laatua eikä halua pitäytyä muiden varmasti tarkastamissa skripteissä, ei kannata asentaa verkkoon näkyvää www-palvelinta koneelle, jossa on tärkeätäkin tietoa. Jos käynnistää palvelimen eri koneelle kannattaa muistaa, että sisäverkossa on nyt vähemmän luotettava kone, ja liikennettä kannattaa valvoa sen verran, että uskoo huomaavansa mahdollisen ei-toivotun käytön.


Eri jakeluilla on eri käytäntö siinä, käynnistyykö palvelin automaattisesti asentamisen yhteydessä ja kuinka turvallisia oletusasetukset ovat. Yleensä asetukset kannattaa käydä läpi ennen palvelimen käynnistämistä.
Eri jakeluilla on eri käytäntö siinä, käynnistyykö palvelin automaattisesti asentamisen yhteydessä ja kuinka turvallisia oletusasetukset ovat. Yleensä asetukset kannattaa käydä läpi ennen palvelimen käynnistämistä.
Rivi 23: Rivi 23:
==Eräitä kotikoneen palvelinohjelmistoja==
==Eräitä kotikoneen palvelinohjelmistoja==
* [[Sähköpostipalvelin]]: viestien suodattamiseen, aliasten tai sähköpostilistojen hallintaan (etenkin jos käytössä on oma [[verkkotunnus]] tms.), viestien puskurointiin (jos yhteys on hidas tai epäluotettava), liikenteen seuraamiseen yms.
* [[Sähköpostipalvelin]]: viestien suodattamiseen, aliasten tai sähköpostilistojen hallintaan (etenkin jos käytössä on oma [[verkkotunnus]] tms.), viestien puskurointiin (jos yhteys on hidas tai epäluotettava), liikenteen seuraamiseen yms.
* [[SSH]]-palvelin: etähallintaan ja tiedostojen hakemiseen/lähettämiseen työkoneelta
* [[SSH]]-palvelin: [[:Luokka:Etäkäyttö|etähallintaan]] ja tiedostojen hakemiseen/lähettämiseen työkoneelta
* [[Samba]]-palvelin: kirjoittimien ja tiedostojen jakoon, etenkin Windows-koneille
* [[Samba]]-palvelin: [[kirjoitin|kirjoittimien]] ja tiedostojen jakoon, etenkin Windows-koneille
* [[NFS]]-palvelin: tiedostojen jakoon Linux/Unix-koneiden kesken (säilyttää tiedostojen oikeudet ja aikaleimat paremmin kuin SMB/CIFS)
* [[NFS]]-palvelin: tiedostojen jakoon Linux/Unix-koneiden kesken (säilyttää tiedostojen oikeudet ja aikaleimat paremmin kuin SMB/CIFS)
* WWW-palvelin (yleensä [[Apache]]): WWW-kehittelyyn ja tiedostojen jakoon
* WWW-palvelin (yleensä [[Apache]]): WWW-kehittelyyn ja tiedostojen jakoon
* [[Nyyssit|Nyyssipalvelin]]: oma nyyssipalvelin mahdollistaa useamman nyyssipalvelimen ja nyyssilukijan joustavan käytön, koska viestien numerointi (ja siten tieto luetuista viesteistä) hoidetaan paikallisesti. Myös viestien imurointi etukäteen helpottuu.
* [[Uutisryhmät|Uutisryhmäpalvelin]]: oma uutisryhmä- eli nyyssipalvelin mahdollistaa useamman uutisryhmäpalvelimen ja uutisryhmälukijan joustavan käytön, koska viestien numerointi (ja siten tieto luetuista viesteistä) hoidetaan paikallisesti. Myös viestien haku etukäteen helpottuu.


== Katso myös ==
== Katso myös ==
*[[Palvelin]]
*[[Palvelin]]
*[[Tietoturva]]
*[[Verkkoliitynnät]]


[[Luokka:Palvelimet]]
[[Luokka:Palvelimet]]

Versio 9. joulukuuta 2008 kello 15.52

Sivu on yhteistyöartikkeli, koska se on tärkeästä aiheesta, mutta tarvitsee vielä laajennusta ja muuta kehittelyä. Laaja tietosisältö ei ole yhteistyöartikkelin ainoa tavoite, vaan on syytä muistaa myös merkitsemiskäytännöt.


Linuxia käytetään hyvin usein palvelinalustana ja liki jokaisen jakelun mukana tulee melko kattava kokoelma palvelinohjelmistoja. Linuxissa/Unixissa on myös tavanomaista käyttää monia palvelimia tavallisissa työpöytäkoneissa, esimerkiksi sähköpostipalvelin ja www-välipalvelin suodattamaan ja puskuroimaan liikennettä sekä SSH-palvelin koneen etähallintaan. Pystyttäessä (ulko)verkkoon näkyviä palveluja pitää kuitenkin olla huomattavan tarkka tietoturva-asioista. Isommissa palvelimissa myös resurssien optimointi on hyvin paljon tärkeämpää kuin kotikoneella.

Monet Linux-jakelut on tehty myös ammatilliseen käyttöön, ja jakelun oletusasetukset saattavat olla sovellettuja ison palvelimen tarpeisiin. Oletusasetusten ja eri ohjeiden soveltuvuus omaan käyttöön kannattaa siis varmistaa.

Palvelimen suojaaminen hyökkäyksiltä

Jos palvelin pystytetään kokeilua varten tai henkilökohtaiseen käyttöön, siihen ei yleensä ole tarvetta päästä käsiksi kuin muutamalta koneelta. Pääsyä voi rajoittaa palomuurilla, TCP-wrappersilla sekä palvelimen omilla asetuksilla. Kaikkia kolmea kannattaa käyttää. Avainsanoja voi olla esimerkiksi "listen", "interface" tai "allow" ja "localhost". Myös reitittimessä on yleensä palomuuriominaisuuksia.

Palvelimen käyttöä voi rajoittaa tietyille käyttäjille. Tämä on tärkeätä etenkin SSH:n tapauksessa, koska murtautumista heikoilla salasanoilla yritetään jatkuvasti. Määräämällä tiedostossa /etc/ssh/sshd_config "AllowedUsers tunnus tunnus2" tai vastaava, muiden käyttäjien heikoista salasanoista ei tarvitse olla niin huolissaan.

Verkkoa kuuntelevan palvelimen pitäminen ajan tasalla tietoturvapäivitysten osalta on tärkeää. Päivityksistä on yleensä mahdollista saada tietoa jakelun tietoturvatiimiltä erillisen sähköpostilistan kautta (security-announce tms.).

Haavoittuvuuksia voi olla myös palvelimen kautta käynnistettävissä ohjelmissa. Erityisesti tämä koskee www-palvelimen cgi-skriptejä (php ym.). Satunnainen verkosta haettu skripti ei ole luotettava tässä mielessä. Ellei halua tai osaa varmistaa skriptien laatua eikä halua pitäytyä muiden varmasti tarkastamissa skripteissä, ei kannata asentaa verkkoon näkyvää www-palvelinta koneelle, jossa on tärkeätäkin tietoa. Jos käynnistää palvelimen eri koneelle kannattaa muistaa, että sisäverkossa on nyt vähemmän luotettava kone, ja liikennettä kannattaa valvoa sen verran, että uskoo huomaavansa mahdollisen ei-toivotun käytön.

Eri jakeluilla on eri käytäntö siinä, käynnistyykö palvelin automaattisesti asentamisen yhteydessä ja kuinka turvallisia oletusasetukset ovat. Yleensä asetukset kannattaa käydä läpi ennen palvelimen käynnistämistä.

Sähköpostipalvelin

Erittäin tärkeätä on estää palvelimen käyttäminen roskapostin levittämiseen. Avainsana "relay". Postia pitää hyväksyä vain, jos se joko jää omille koneille tai on lähtöisin omilta koneilta.

Väärin säädetty postipalvelin saattaa hävittää postia. Yleensä postia ei saisi hävittää sen jälkeen kuin SMTP-yhteys on päättynyt. Isommissa palvelimissa, missä vastaanottajien tarkistaminen tai roskapostisuodatus reaaliajassa on liian hidasta, tämä tapahtuu jälkikäteen ja roskaposti häviää mustaan aukkoon. Kotikoneella tarkistuksen voi tehdä yhteyden aikana, jolloin lähettäjä saa virheilmoituksen, jos viestiä ei jostain syystä oteta vastaan (myöhemmin virheilmoitusta ei roskapostin osalta voi lähettää, koska se lähtisi väärennettyyn osoitteeseen).

Eräitä kotikoneen palvelinohjelmistoja

  • Sähköpostipalvelin: viestien suodattamiseen, aliasten tai sähköpostilistojen hallintaan (etenkin jos käytössä on oma verkkotunnus tms.), viestien puskurointiin (jos yhteys on hidas tai epäluotettava), liikenteen seuraamiseen yms.
  • SSH-palvelin: etähallintaan ja tiedostojen hakemiseen/lähettämiseen työkoneelta
  • Samba-palvelin: kirjoittimien ja tiedostojen jakoon, etenkin Windows-koneille
  • NFS-palvelin: tiedostojen jakoon Linux/Unix-koneiden kesken (säilyttää tiedostojen oikeudet ja aikaleimat paremmin kuin SMB/CIFS)
  • WWW-palvelin (yleensä Apache): WWW-kehittelyyn ja tiedostojen jakoon
  • Uutisryhmäpalvelin: oma uutisryhmä- eli nyyssipalvelin mahdollistaa useamman uutisryhmäpalvelimen ja uutisryhmälukijan joustavan käytön, koska viestien numerointi (ja siten tieto luetuista viesteistä) hoidetaan paikallisesti. Myös viestien haku etukäteen helpottuu.

Katso myös