Бруй В.В., Карлов С.В. - Linux-сервер - пошаговые инструкции - инсталляции и настройки (1077321), страница 45
Текст из файла (страница 45)
Система сетевой защиты#F I N G E R*#*#************************************************************************ACCEPT_FINGER="no"#-----------------------------------------------------------------------# FINGER outgoing client request## Interface 0 FINGER outgoing client requestINTERFACE0_FINGER_CLIENT="yes"INTERFACE0_FINGER_OUT_SRC_IPADDR[0]=$INTERFACE0_IPADDRINTERFACE0_FINGER_OUT_DST_IPADDR[0]=$ANY_IPADDR# Interface 1 FINGER outgoing client requestINTERFACE1_FINGER_CLIENT="yes"INTERFACE1_FINGER_OUT_SRC_IPADDR[0]=$INTERFACE1_IPADDRINTERFACE1_FINGER_OUT_DST_IPADDR[0]=$NETWORK1# Network 1 FINGER forwarded outgoing client requestNETWORK1_FINGER_CLIENT="yes"NETWORK1_FINGER_OUT_SRC_IPADDR[0]=$NETWORK1NETWORK1_FINGER_OUT_DST_IPADDR[0]=$ANY_IPADDR#**********************************************************************#*#N T P*#*#**********************************************************************ACCEPT_NTP="no"#---------------------------------------------------------------------# NTP outgoing client request## Interface 0 NTP outgoing client requestINTERFACE0_NTP_CLIENT="yes"INTERFACE0_NTP_OUT_SRC_IPADDR[0]=$INTERFACE0_IPADDRINTERFACE0_NTP_OUT_DST_IPADDR[0]=$ANY_IPADDR# Interface 1 NTP outgoing client requestINTERFACE1_NTP_CLIENT="yes"INTERFACE1_NTP_OUT_SRC_IPADDR[0]=$INTERFACE1_IPADDRINTERFACE1_NTP_OUT_DST_IPADDR[0]=$NETWORK1# Network 1 NTP forwarded outgoing client requestNETWORK1_NTP_CLIENT="yes"NETWORK1_NTP_OUT_SRC_IPADDR[0]=$NETWORK1NETWORK1_NTP_OUT_DST_IPADDR[0]=$ANY_IPADDRГлава 10.
GIPTables Firewall – программное обеспечение для настройки IPTables165#************************************************************************#*#S N M P*#*#************************************************************************ACCEPT_SNMP="no"#************************************************************************#*#X 1 1*#*#************************************************************************ACCEPT_X11="no"#************************************************************************#*#V N C*#*#************************************************************************ACCEPT_VNC="no"#*************************************************************************#*#L P D*#*#*************************************************************************ACCEPT_LPD="no"#*************************************************************************#*#N E T B I O S*#*#*************************************************************************ACCEPT_NETBIOS="no"#-----------------------------------------------------------------------# NETBIOS outgoing client request## Interface 1 NETBIOS outgoing client requestINTERFACE1_NETBIOS_CLIENT="yes"INTERFACE1_NETBIOS_OUT_SRC_IPADDR[0]=$INTERFACE1_IPADDRINTERFACE1_NETBIOS_OUT_DST_IPADDR[0]=$NETWORK1#------------------------------------------------------------------------166Часть 2.
Система сетевой защиты# NETBIOS incoming client request## Interface 1 NETBIOS incoming client requestINTERFACE1_NETBIOS_SERVER="no"INTERFACE1_NETBIOS_IN_SRC_IPADDR[0]=$NETWORK1INTERFACE1_NETBIOS_IN_DST_IPADDR[0]=$INTERFACE1_IPADDR#*************************************************************************#*#S Y S L O G*#*#*************************************************************************ACCEPT_SYSLOG="no"#-----------------------------------------------------------------------# SYSLOG outgoing client request## Interface 1 SYSLOG outgoing client requestINTERFACE1_SYSLOG_CLIENT="yes"INTERFACE1_SYSLOG_OUT_SRC_IPADDR[0]=$INTERFACE1_IPADDRINTERFACE1_SYSLOG_OUT_DST_IPADDR[0]=$SYSLOG_SERVER#************************************************************************#*#T R A C E R O U T E*#*#*************************************************************************ACCEPT_TRACEROUTE="yes"#-----------------------------------------------------------------------# TRACEROUTE outgoing client request## Interface 0 TRACEROUTE outgoing client requestINTERFACE0_TRACEROUTE_CLIENT="yes"INTERFACE0_TRACEROUTE_OUT_SRC_IPADDR[0]=$INTERFACE0_IPADDRINTERFACE0_TRACEROUTE_OUT_DST_IPADDR[0]=$ANY_IPADDR# Interface 1 TRACEROUTE outgoing client requestINTERFACE1_TRACEROUTE_CLIENT="yes"INTERFACE1_TRACEROUTE_OUT_SRC_IPADDR[0]=$INTERFACE1_IPADDRINTERFACE1_TRACEROUTE_OUT_DST_IPADDR[0]=$NETWORK1Глава 10.
GIPTables Firewall – программное обеспечение для настройки IPTables167# Network 1 TRACEROUTE forwarded outgoing client requestNETWORK1_TRACEROUTE_CLIENT="yes"NETWORK1_TRACEROUTE_OUT_SRC_IPADDR[0]=$NETWORK1NETWORK1_TRACEROUTE_OUT_DST_IPADDR[0]=$ANY_IPADDR#-----------------------------------------------------------------------# TRACEROUTE incoming client request## Interface 1 TRACEROUTE incoming client requestINTERFACE1_TRACEROUTE_SERVER="yes"INTERFACE1_TRACEROUTE_IN_SRC_IPADDR[0]=$NETWORK1INTERFACE1_TRACEROUTE_IN_DST_IPADDR[0]=$INTERFACE0_IPADDRINTERFACE1_TRACEROUTE_IN_SRC_IPADDR[1]=$NETWORK1INTERFACE1_TRACEROUTE_IN_DST_IPADDR[1]=$INTERFACE1_IPADDR#************************************************************************#*#I C M P*#*#************************************************************************ACCEPT_ICMP="yes"#-----------------------------------------------------------------------# ICMP outgoing client request## Interface 0 ICMP outgoing client requestINTERFACE0_ICMP_CLIENT="yes"INTERFACE0_ICMP_OUT_SRC_IPADDR[0]=$INTERFACE0_IPADDRINTERFACE0_ICMP_OUT_DST_IPADDR[0]=$ANY_IPADDR# Interface 1 ICMP outgoing client requestINTERFACE1_ICMP_CLIENT="yes"INTERFACE1_ICMP_OUT_SRC_IPADDR[0]=$INTERFACE1_IPADDRINTERFACE1_ICMP_OUT_DST_IPADDR[0]=$NETWORK1# Network 1 ICMP forwarded outgoing client requestNETWORK1_ICMP_CLIENT="yes"NETWORK1_ICMP_OUT_SRC_IPADDR[0]=$NETWORK1NETWORK1_ICMP_OUT_DST_IPADDR[0]=$ANY_IPADDR#---------------------------------------------------------------------# ICMP incoming client request## Interface 1 ICMP incoming client requestINTERFACE1_ICMP_SERVER="yes"168Часть 2.
Система сетевой защитыINTERFACE1_ICMP_IN_SRC_IPADDR[0]=$NETWORK1INTERFACE1_ICMP_IN_DST_IPADDR[0]=$INTERFACE0_IPADDRINTERFACE1_ICMP_IN_SRC_IPADDR[1]=$NETWORK1INTERFACE1_ICMP_IN_DST_IPADDR[1]=$INTERFACE1_IPADDR#***********************************************************************#*#D H C P*#*#***********************************************************************ACCEPT_DHCP="yes"#----------------------------------------------------------------------# DHCP incoming client request## Interface 1 DHCP incoming client requestINTERFACE1_DHCP_SERVER="yes"####If above option is "yes", do not forget to configure the followinglines in the "Spoofing and bad addresses" sectionREFUSE_SPOOFING_IPADDR[2]="0.0.0.0/8"INTERFACE1_IN_REFUSE_SPOOFING[2]="no"INTERFACE1_DHCP_IN_SRC_IPADDR[0]=$NETWORK1INTERFACE1_DHCP_IN_DST_IPADDR[0]=$INTERFACE1_IPADDR#*************************************************************************#*#E N D*#*#*************************************************************************DROP_EVERYTHING_FROM_HERE="yes"#-----------------------------------------------------------------------# LOG & DROP everything from here...
just in case.#INTERFACE0_IN_DROP_EVERYTHING_FROM_HERE="yes"INTERFACE1_IN_DROP_EVERYTHING_FROM_HERE="yes"NETWORK1_IN_DROP_EVERYTHING_FROM_HERE="yes"#-----------------------------------------------------------------------# End of fileШаг 4Перезагрузите GIPTables Firewall:[root@bastion /]# /etc/init.d./giptables restartГлава 11. GnuPG – утилита для безопасного хранения и передачи данных169Часть 3Криптографическоепрограммное обеспечение,используемое для безопасной передачи данныхи проверки подлинностии целостности электронныхдокументов170Часть 3. Криптографическое программное обеспечение...Глава 11GnuPG – утилита для безопасного хранения и передачи данныхВ этой главе1. Ограничения и допущения2.
Пакеты3. Инсталляция с помощью rpm-пакетов4. Компиляция, оптимизация и инсталляция GnuPG5. Тестирование GnuPGГлава 11. GnuPG – утилита для безопасного хранения и передачи данных171GnuPG – утилита для безопасной передачи и хранения данных. Используется для шифрования данных и создания цифровых подписей, включает управления базой данных ключей и соответствует стандартуОpenPGP. GnuPG – свободно распространяемая утилита, не использующая запатентованных алгоритмов,поэтому она, к сожалению, не совместима с PGP2.Одной из наиболее важных областей применения утилиты является проверка подлинности получаемых программ. GnuPG позволяет с высокой степенью достоверности установить, что коды устанавливаемого программного обеспечения не были модифицированы при транспортировке от разработчика к вам по сетям общего пользования.Ограничения и допущенияИсходные коды находятся в каталоге /var/tmp.Все операции выполняются пользователем с учетной записью root.Используется дистрибутив ASPLinux 7.3 (Vostok).Перекомпиляция ядра не требуется.Процедуры, описанные в этой главе, могут оказаться применимыми для других версий ядра и дистрибутивов Linux, но авторы этого не проверяли.ЗАМЕЧАНИЕ В некоторых странах ввоз, распространение и использование программного обеспечениядля криптографии запрещено.ПакетыПоследующие рекомендации основаны на информации, полученной с домашней страницы проектаGnuPG по состоянию на 19.03.2003.
Регулярно посещайте домашнюю страницу проектаhttp://www.gnupg.org/ и отслеживайте обновления.Исходные коды GnuPG содержатся в архиве gnupg-version.tar.gz (последняя доступная намомент написания главы стабильная версия gnupg-1.2.1.tar.gz).Для нормальной инсталляции и работы программного обеспечения необходимо, чтобы в системе были установлены пакеты gettext-0.11.1-2.i386.rpm, python-1.5.2-38.3asp.i386.rpm,expat-1.95.2-2.i386.rpm и gmp-4.0.1-3.i386.rpm.Инсталляция с помощью rpm-пакетовЕсли вы предпочитаете использование системы со стандартным ядром и программным обеспечением,установленным из rpm-пакетов, для установки или обновления пакета необходимо выполнить следующиеоперации.ЗАМЕЧАНИЕ Авторы настоятельно рекомендуют устанавливать программное обеспечение из исходных кодов.Шаг 1Проверьте, установлен ли пакет gnupg с помощью следующей команды:[root@drwalbr /]# rpm –iq gnupgЕсли вы следовали нашим рекомендациям, то пакет не установлен.Шаг 2Перейдите в каталог, где находится пакет gnupg-1.0.6-5.asp.i386.rpm.
Если вы в соответствии с рекомендациями главы 2 скопировали все пакеты, входящие в дистрибутив, в каталог/home/distrib, то выполните команду:[root@drwalbr /]# cd /home/distribи установите:[root@drwalbr distrib]# rpm –ihv gnupg-1.0.6-5.asp.i386.rpmили обновите пакет:[root@drwalbr distrib]# rpm –Uhv gnupg-1.0.6-5.asp.i386.rpmПосле установки пакета перейдите к тестированию утилиты GnuPG, описанной ниже.172Часть 3.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
