Ero sivun ”Palvelimen pystyttäminen” versioiden välillä
Siirry navigaatioon
Siirry hakuun
kappale tietoturvasta; muutamia tyypillisiä palvelimia
(todo) |
LP (keskustelu | muokkaukset) (kappale tietoturvasta; muutamia tyypillisiä palvelimia) |
||
Rivi 1: | Rivi 1: | ||
{{yhteistyö}} | {{yhteistyö}} | ||
Linuxia käytetään hyvin usein palvelinalustana ja liki jokaisen [[jakelu]]n mukana tulee melko kattava kokoelma palvelinohjelmistoja. Linuxissa/Unixissa on myös tavanomaista käyttää monia palvelimia tavallisissa työpöytäkoneissa, esimerkiksi [[sähköpostipalvelin]] ja www-[[välipalvelin]] suodattamaan ja puskuroimaan liikennettä sekä [[SSH]]-palvelin koneen etähallintaan. Pystyttäessä (ulko)verkkoon näkyviä palveluja pitää kuitenkin olla huomattavan tarkka tietoturvaasioista. Isommissa palvelimissa myös resurssien optimointi on hyvin paljon tärkeämpää kuin kotikoneella. | |||
Monet Linux-jakelut on tehty myös ammatilliseen käyttöön, ja jakelun oletusasetukset saattavat olla sovellettuja ison palvelimen tarpeisiin. Oletusasetusten ja eri ohjeiden soveltuvuus omaan käyttöön kannattaa siis varmistaa. | |||
==Palvelimen suojaaminen hyökkäyksiltä== | |||
Jos palvelin pystytetään kokeilua varten tai henkilökohtaiseen käyttöön, siihen ei yleensä ole tarvetta päästä käsiksi kuin muutamalta koneelta. Pääsyä voi rajoittaa [[palomuuri]]lla, [[Tcpwrappers|TCP-wrappers]]illa sekä palvelimen omilla asetuksilla. Kaikkia kolmea kannattaa käyttää. Avainsanoja voi olla esimerkiksi "listen", "interface" tai "allow" ja "[[localhost]]". Myös [[reititin|reitittimessä]] on yleensä palomuuriominaisuuksia. | |||
Palvelimen käyttöä voi rajoittaa tietyille käyttäjille. Tämä on tärkeätä etenkin SSH:n tapauksessa, koska murtautumnista heikoilla salasanoilla yritetään jatkuvasti. Määräämällä tiedostossa /etc/ssh/sshd_config "AllowedUsers tunnus tunnus2" tai vastaava, muiden käyttäjien heikoista salasanoista ei tarvitse olla ''niin'' huolissaan. | |||
Verkkoa kuuntelevan palvelimen pitäminen ajan tasalla tietoturvapäivitysten osalta on tärkeää. Päivityksistä on yleensä mahdollista saada tietoa jakelun tietoturvatiimiltä erillisen sähköpostilistan kautta (security-announce tms.). | |||
Haavoittuvuuksia voi olla myös palvelimen kautta käynnistettävissä ohjelmissa. Erityisesti tämä koskee www-palvelimen [[cgi]]-skriptejä (php ym.). Satunnainen verkosta imetty skripti ei ole luotettava tässä mielessä. Ellei halua tai osaa varmistaa skriptien laatua eikä halua pitäytyä muiden varmasti tarkastamissa skripteissä, ei kannata asentaa verkkoon näkyvää www-palvelinta koneelle, jossa on tärkeätäkin tietoa. Jos käynnistää palvelimen eri koneelle kannattaa muistaa, että sisäverkossa on nyt vähemmän luotettava kone, ja liikennettä kannattaa valvoa sen verran, että uskoo huomaavansa mahdollisen ei-toivotun käytön. | |||
Eri jakeluilla on eri käytäntö siinä, käynnistyykö palvelin automaattisesti asentamisen yhteydessä ja kuinka turvallisia oletusasetukset ovat. Yleensä asetukset kannattaa käydä läpi ennen palvelimen käynnistämistä. | |||
===Sähköpostipalvelin=== | |||
Erittäin tärkeätä on estää palvelimen käyttäminen roskapostin levittämiseen. Avainsana "relay". Postia pitää hyväksyä vain, jos se joko jää omille koneille tai on lähtöisin omilta koneilta. | |||
Väärin säädetty postipalvelin saattaa hävittää postia. Yleensä postia ei saisi hävittää sen jälkeen kuin SMTP-yhteys on päättynyt. Isommissa palvelimissa, missä vastaanottajien tarkistaminen tai roskapostisuodatus reaaliajassa on liian hidasta, tämä tapahtuu jälkikäteen ja roskaposti häviää mustaan aukkoon. Kotikoneella tarkistuksen voi tehdä yhteyden aikana, jolloin lähettäjä saa virheilmoituksen, jos viestiä ei jostain syystä oteta vastaan (myöhemmin virheilmoitusta ei roskapostin osalta voi lähettää, koska se lähtisi väärennettyyn osoitteeseen). | |||
==Eräitä kotikoneen palvelinohjelmistoja== | |||
* [[Sähköpostipalvelin]]: viestien suodattamiseen, aliasten tai sähköpostilistojen hallintaan (etenkin jos käytössä on oma [[verkkotunnus]] tms.), viestien puskurointiin (jos yhteys on hidas tai epäluotettava), liikenteen seuraamiseen yms. | |||
* [[SSH]]-palvelin: etähallintaan ja tiedostojen hakemiseen/lähettämiseen työkoneelta | |||
* [[Samba]]-palvelin: kirjoittimien ja tiedostojen jakoon, etenkin Windows-koneille | |||
* [[NFS]]-palvelin: tiedostojen jakoon Linux/Unix-koneiden kesken (säilyttää tiedostojen oikeudet ja aikaleimat paremmin kuin SMB/CIFS) | |||
* WWW-palvelin (yleensä [[Apache]]): WWW-kehittelyyn ja tiedostojen jakoon | |||
* [[Nyyssit|Nyyssipalvelin]]: oma nyyssipalvelin mahdollistaa useamman nyyssipalvelimen ja nyyssilukijan joustavan käytön, koska viestien numerointi (ja siten tieto luetuista viesteistä) hoidetaan paikallisesti. Myös viestien imurointi etukäteen helpottuu. | |||
== Katso myös == | == Katso myös == |