Бруй В.В., Карлов С.В. - Linux-сервер - пошаговые инструкции - инсталляции и настройки (1077321), страница 67
Текст из файла (страница 67)
Поэтому для повышения безопасности вашей системы рекомендуется выполнять NTP в окружении chroot-jail. Для этого необходимо выполнить следующие операции.Шаг 1Создайте каталоги для размещения исполняемых файлов и файлов настройки NTP:[root@drwalbr /]# mkdir -p /chroot/ntpd/etc[root@drwalbr /]# chown ntp.ntp /chroot/ntpd/etcШаг 2Переместите конфигурационные файлы NTP в соответствующие подкаталоги окружения chroot-jail:[root@drwalbr /]# mv /etc/ntp.conf /chroot/ntpd/etc/[root@drwalbr /]# mv /etc/ntp.drift /chroot/ntpd/etc/[root@drwalbr /]# chown ntp.ntp /chroot/ntpd/etc/ntp.driftГлава 22. NTP – программное обеспечение для синхронизации времени281Шаг 3Скопируйте системные файлы, необходимые для работы NTP, в соответствующие подкаталоги окружения chroot-jail:[root@drwalbr /]# cp /etc/resolv.conf /chroot/ntpd/etc/[root@drwalbr /]# cp /etc/localtime /chroot/ntpd/etc/[root@drwalbr /]# chown ntp.ntp /chroot/ntpd/etc/localtimeШаг 4В файл /etc/sysconfig/ntpd добавьте строку:ROOTDIR="-T /chroot/ntpd"OPTIONS="-U ntp"Шаг 5Создайте файл инициализации /etc/init.d/ntpd, содержащий следующие строки:#!/bin/bash# This shell script takes care of starting and stopping ntpd.## chkconfig: 345 58 74# description: NTPD is used to provide time server.# Source function library..
/etc/init.d/functions# Source networking configuration.. /etc/sysconfig/network# Source for additional options if we have them.if [ -f /etc/sysconfig/ntpd ];then. /etc/sysconfig/ntpdfi# Check that networking is up.[ ${NETWORKING} = "no" ] && exit 0# If NTPD is not available stop now.[ -f /usr/sbin/ntpd ] || exit 0[ -f /chroot/ntpd/etc/ntp.conf ] || exit 0# Path to the NTPD binary.ntpd=/usr/sbin/ntpdRETVAL=0prog="NTPD"start() {echo -n $"Starting $prog: "daemon $ntpd $ROOTDIR $OPTIONSRETVAL=$?echo[ $RETVAL -eq 0 ] && touch /var/lock/subsys/ntpdreturn $RETVAL}stop() {echo -n $"Shutting down $prog: "killproc $ntpdRETVAL=$?echo[ $RETVAL -eq 0 ] && rm -f /var/lock/subsys/ntpdreturn $RETVAL}282Часть 4. Программное обеспечение для ограничения доступа к серверу...# See how we were called.case "$1" instart)start;;stop)stop;;status)status $ntpdRETVAL=$?;;restart)stopstartRETVAL=$?;;condrestart)if [ -f /var/lock/subsys/ntpd ]; thenstopstartRETVAL=$?fi;;*)echo $"Usage: $0 {start|stop|status|restart|condrestart}"exit 1esacexit $RETVALШаг 6Для дополнительной безопасности сделайте файл неизменяемым:[root@drwalbr /] # cd /chroot/ntpd/etc/[root@drwalbr etc]# chattr +i ntp.confЗАМЕЧАНИЕ Не забудьте удалить атрибут immutable перед внесением изменений и установить еговновь после их завершения.Шаг 7Для тестирования NTP в окружении chroot jail запустите ntpd, просканируйте UDP порты вашей системы и проверьте работоспособность NTP c использованием утилиты ntpq, в соответствии с рекомендациями по тестированию NTP в обычной среде, изложенными выше.Шаг 8Проверьте, запущен ли ntpd и определите соответствующий номер процесса:[root@drwalbr /]# ps -axf | grep ntpd21889 ?SL0:00 /usr/sbin/ntpd -T /chroot/ntpd -U ntpПроверьте, действительно ли NTP работает в окружении chroot-jail:[root@drwalbr /]# ls -la /proc/21889/rootЕсли вы получите вывод вида (отображающий ссылку на корневой каталог среды chroot-jail):lrwxrwxrwx1 rootroot0 Апр 30 20:54 /proc/21889/root-> /chroot/ntpdто NTP корректно работает в окружении chroot-jail.Если вы получите вывод, отображающий корневой каталог системы, на которой он установлен, тоNTP работает в обычном режиме, а не в безопасной среде.Глава 23.
ISC BIND – программное обеспечение для организации службы DSNЧасть 5Служба DNS283284Часть 5. Служба DSNГлава 23ISC BIND – программное обеспечение для организации службы DNSВ этой главе:1. Ограничения и допущения2. Пакеты3. Инсталляция с помощью rpm-пакетов4. Компиляция, оптимизация и инсталляция ISC BIND5. Конфигурирование ISC BIND6. Конфигурирование ISC BIND в режиме кэширующего DNS-сервера7.
Конфигурационный файл /etc/named.conf8. Конфигурационный файл /var/named/db.cache9. Конфигурационный файл зоны localhost /var/named/db.localhost10. Конфигурационный файл обратной зоны /var/named/0.0.127.in-addr.arpa11. Системный конфигурационный файл /etc/sysconfig/named12. Файл инициализации /etc/init.d/named13. Конфигурирование ISC BIND в режиме первичного DNS-сервера14. Конфигурационные файлы /var/named/db.cache, /var/named/db.localhost, /var/named/0.0.127.in-addr.arpa,/etc/sysconfig/named и /etc/init.d/named15. Конфигурационный файл /etc/named.conf16.
Конфигурационный файл зоны /var/named/db.contora17. Конфигурационный файл обратной зоны /var/named/76.24.213.in-addr.arpa18. Конфигурирование ISC BIND в режиме вторичного DNS-сервера19. Конфигурационные файлы /var/named/db.cache, /var/named/db.localhost, /var/named/0.0.127.in-addr.arpa,/etc/sysconfig/named и /etc/init.d/named20. Обеспечение безопасности транзакций для ISC BIND с использованием TSIG21. Использование TSIG для безопасного администрирования ISC BIND с использованием утилиты rndc22. Тестирование и администрирование ISC BIND23.
Выполнение ISC BIND в среде chroot-jail24. Демон lwresdГлава 23. ISC BIND – программное обеспечение для организации службы DSN285Каждый компьютер или другое устройство, подключенное к сети Интернет, имеют уникальный IPадрес. Именно по IP-адресу происходит поиск и взаимодействие устройств в сети.
IP-адрес представляет собой последовательность из четырех чисел, разделенных точками. Поначалу для облегчения взаимодействияс удаленными информационными ресурсами в Интернет стали использовать таблицы соответствия IPадресов именам систем и псевдонимам. Пример такого соответствия вы можете посмотреть в файле/etc/hosts.Эти таблицы использовались для преобразования IP-адресов в имена и обратно. Авторство их создания, по-видимому, принадлежит Д. Постелю (John Postel), который первым стал поддерживать (собиратьинформацию об IP-адресах и соответствующих им именах систем) файл hosts. Доступ к файлу предоставлялся всем желающим по протоколу FTP.
С развитием Интернет хранение и использование файла на каждом компьютере, подключенном к Интернет, стала невозможной. Поэтому вместо единого для всех файлабыла создана доменная система имен (Domain Name System, DNS), представляющая собой распределеннуюбазу данных, позволяющая устанавливать соответствие между IP-адресами и символьными именами.Однако файл /etc/hosts не ушел безвозвратно в прошлое и используется в небольших сетях дляустановления соответствия между IP-адресами и именами систем.Впервые DNS была описана Паулем Моккапетрисом (Paul Mockapetris) в 1984 году в RFC-882 и RFC883. Позже эти документы были заменены на RFC-1034 и RFC-1035.
Система доменных имен строится поиерархическому принципу. Точнее, по принципу вложенных друг в друга множеств. Корень системы, согласно RFC-1034, имеет пустое имя. Иногда ошибочно полагают, что обозначение корневого домена – символ ".", но это не так. Точка – это всего лишь разделитель компонентов доменного имени, а т. к. у корневого домена нет обозначения, то эту точку и ошибочно принимают за обозначение корневого домена.Корень – это все множество хостов Интернет.
Данное множество подразделяется на домены первогоили верхнего уровня (top-level domen или TLD). Домен ru, например, соответствует множеству хостов российской части Интернет. Домены верхнего уровня дробятся на более мелкие домены, например, корпоративные.В 80-е годы были определены первые домены первого уровня (top-level): gov, mil, edu, com, net.Позднее, когда сеть перешагнула национальные границы США, появились национальные домены: uk, jp,au, ch, и т. п.
Для СССР также был выделен домен su. После 1991 года, когда республики Союза стали суверенными, многие из них получили свои собственные домены: ua, ru, la, li и т. п.Слово «хост» не является в полном смысле синонимом имени компьютера, как это часто упрощеннопредставляется, т. к. у компьютера может быть множество IP-адресов, каждому из которых можно поставитьв соответствие одно или несколько доменных имен.
Кроме того, одному доменному имени можно поставитьв соответствие несколько разных IP-адресов, которые, в свою очередь могут быть закреплены за разнымикомпьютерами. Символьное имя хоста включает в себя доменное имя и имя системы и состоит из нескольких полей, разделенных точками. Крайнее правое поле является именем домена верхнего уровня, далее,справа налево, следуют имена доменов более низкого уровня. Крайнее левое поле, является именем системы.В RFC-1034 и RFC-1035 определяется несколько типов DNS-серверов.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
