Sicherheit von Unix bezieht sich auf die Mittel, Unix oder Unix-like Betriebssystem zu sichern. Eine sichere Umgebung wird nicht nur durch die Designkonzepte dieser Betriebssysteme, sondern auch durch den wachsamen Benutzer und die Verwaltungsmethoden erreicht.

Designkonzepte

Erlaubnis

Eine Kernsicherheitseigenschaft in diesen Systemen ist das Erlaubnis-System. Alle Dateien in einem typischen Unix-artigen filesystem haben Erlaubnis-Satz, der verschiedenen Zugang zu einer Datei ermöglicht.

Die Erlaubnis auf einer Datei wird mit dem Chmod-Befehl allgemein gesetzt und durch den Ls-Befehl gesehen. Zum Beispiel:

- r xr xr x 1 Wurzelrad 745720 Sep 8 2002/bin/sh

Erlaubnis von Unix erlaubt verschiedenen Benutzerzugang zu einer Datei. Verschiedene Benutzergruppen haben verschiedene Erlaubnis auf einer Datei.

Fortgeschrittenere Unix filesystems schließen das Zugriffsberechtigungsliste-Konzept ein, das Erlaubnis erlaubt, vielfachen Benutzern oder Gruppen gewährt zu werden. Eine Zugriffsberechtigungsliste kann verwendet werden, um Erlaubnis zusätzlichen individuellen Benutzern oder Gruppen zu gewähren. Zum Beispiel:

/pvr [u::rwx,g::r-x,o::r-x/u::rwx,u:sue:rwx,g::r-x,m::rwx,o::r-x]

In diesem Beispiel, das vom Chacl-Befehl auf Linux Betriebssystem ist, verklagt der Benutzer wird gewährt schreiben Erlaubnis dem/pvr Verzeichnis.

Benutzergruppen

Benutzer unter dem Stil von Unix Betriebssysteme gehören häufig geführten Gruppen mit der spezifischen Zugriffserlaubnis. Das ermöglicht Benutzern, durch das Niveau des Zugangs gruppiert zu werden, den sie zu diesem System haben. Viele Unix Durchführungen fügen eine zusätzliche Schicht der Sicherheit durch das Verlangen hinzu, dass ein Benutzer, ein Mitglied der Radbenutzervorzug-Gruppe sein, um auf den Befehl zuzugreifen.

Probleme

Der grösste Teil von Unix und Unix ähnliche Systeme haben eine Rechnung oder Gruppe, die einem Benutzer zur genauen ganzen Kontrolle über das System ermöglicht, das häufig als eine Wurzelrechnung bekannt ist. Wenn der Zugang zu dieser Rechnung von einem unerwünschten Benutzer gewonnen wird, läuft das auf einen ganzen Bruch des Systems hinaus. Eine Wurzelrechnung ist jedoch zu Verwaltungszwecken notwendig, und zu den obengenannten Sicherheitsgründen wird die Wurzelrechnung selten zu täglich Zwecken verwendet (das sudo Programm wird allgemeiner verwendet), so kann der Gebrauch der Wurzelrechnung näher kontrolliert werden.

Wurzelzugang, "wie es sein sollte", kann von denjenigen vergegenwärtigt werden, die mit den Übermensch-Geschichten mit der folgenden Analogie vertraut sind:

:: Das Verwenden einer Wurzelrechnung ist ziemlich seiendem Übermenschen ähnlich; ein regelmäßiger Benutzer eines Verwalters ist mehr Clark Kent ähnlich. Clark Kent wird Übermensch für nur so lange notwendiger, um Leute zu retten. Er kehrt dann zu seiner "Verkleidung" zurück. Wurzelzugang sollte auf dieselbe Mode verwendet werden. Die Verkleidung von Clark Kent schränkt ihn nicht wirklich ein, obwohl, weil er noch im Stande ist, seine Supermächte zu verwenden. Das ist dem Verwenden des sudo Programms analog.

Benutzer und Verwaltungstechniken

Unix hat viele Werkzeuge, die Sicherheit, wenn verwendet, richtig durch Benutzer und Verwalter verbessern können.

Kennwörter

Das Auswählen eines starken Kennwortes und die Wache davon sind richtig wahrscheinlich die wichtigsten Sachen, die ein Benutzer machen kann, um Sicherheit von Unix zu verbessern.

In Unix Systemen wird die wesentliche Information über Benutzer unter der Datei versorgt. Diese Datei geht die Benutzer nach, die im System und ihren Hauptdefinitionen eingeschrieben sind. Kennwörter, oder richtiger, das Kuddelmuddel des Kennwortes, können auch in demselben Platz versorgt werden. Die Einträge darin besetzen genau eine Linie jeder, und haben die folgende Form:

nickname:password_hash:UserID:GroupID:Complete_Name:home_dir:shell_bin

Ein Beispiel würde sein:

xfze:$1$zuW2nX3sslp3qJm9MYDdglEApAc36r/:1000:100:Josй Carlos D. S. Saraiva:/home/xfze:/bin/bash

Seitdem alle Benutzer Zugang zu dieser Datei in der Größenordnung vom System gelesen haben müssen, um das Anmeldungskennwort zu überprüfen, wurde ein Sicherheitsthema aufgebracht: Jeder könnte die Datei gelesen haben und bekommt das Kennwort-Kuddelmuddel anderer Benutzer wieder. Um dieses Problem zu beheben, wurde die Datei geschaffen, um das Kennwort-Kuddelmuddel mit nur der Wurzel zu versorgen, die Zugang gelesen hat. Unter der Kennwort-Beschattung wird das 2. Feld (Kennwort-Kuddelmuddel) durch einen 'x' ersetzt, der dem System sagt, das Kennwort des entsprechenden Benutzers über die Datei wiederzubekommen.

Die Datei enthält gewöhnlich nur die ersten zwei Felder:

xfze:$1$zuW2nX3sslp3qJm9MYDdglEApAc36r/:::::

Die restlichen Felder in der Datei schließen ein:

1. Die minimale Zahl von Tagen zwischen dem Kennwort ändert
2. Die maximale Zahl von Tagen bis zum Kennwort muss geändert werden
3. Die Zahl von Tagen, gegeben vor dem Kennwort zu warnen, muss geändert werden
4. Die Zahl von Tagen nach dem Kennwort muss geändert werden, wenn die Rechnung unbrauchbarer wird
5. Das Datum (ausgedrückt als die Zahl von Tagen seit dem 1. Januar 1970), wenn die Rechnung abgelaufen wird

Diese Felder können verwendet werden, um Sicherheit von Unix durch das Erzwingen einer Kennwort-Sicherheitspolitik zu verbessern.

Benutzer und Rechnungen

Verwalter sollten alte Rechnungen schnell löschen.

• su, sudo, ssh nur, keine entfernten Wurzelanmeldungen

Softwarewartung

Flicken

Betriebssysteme, wie die ganze Software, können Programmfehler im Bedürfnis nach dem Befestigen enthalten oder können mit der Hinzufügung neuer Eigenschaften erhöht werden. Das Flicken des Betriebssystems auf eine sichere Weise verlangt, dass die Software aus einer vertrauenswürdigen Quelle und nicht kommt verändert worden ist, seitdem es paketiert wurde. Übliche Methodik, um nachzuprüfen, dass Betriebssystemflecke nicht verändert worden sind, schließt den Gebrauch des kryptografischen Kuddelmuddels, wie gestützte Kontrollsumme eines MD5 oder der Gebrauch von Read-Only-Medien ein.

Von einer Sicherheitseinstellung, der spezifischen Verpackungsmethode, wie der RPM Paket-Betriebsleiter ist Format ursprünglich von Roter Hat Linux nicht so wichtig wie der Gebrauch von Eigenschaften, die die Integrität des Flecks selbst sichern.

Quellvertrieb

Quellvertrieb schließt die Fähigkeit ein, den Code für den misstrauischen Inhalt zu untersuchen. Der Nachteil, ein kryptografischer Begleitkuddelmuddel-Wert fehlend, besteht darin, dass der Benutzer im Stande sein muss, eine Sicherheitsanalyse des Codes selbst durchzuführen.

RPM Pakete

Vertrieb von Linux, der den RPM Paket-Betriebsleiter Format verwendet, um Grundfunktionalität und Softwareaktualisierungen zur Verfügung zu stellen, macht von MD5 und GPG Gebrauch, um zufriedene Integrität zu sichern. Die Kuddelmuddel-Werte werden mit der RPM Datei paketiert und nachgeprüft, wenn das Paket installiert wird.

Debian Pakete

Vertrieb von Linux, der das Paket-Format von Debian.deb verwendet, um Grundfunktionalität und Softwareaktualisierungen zur Verfügung zu stellen, macht von GPG Unterschriften Gebrauch, um zufriedene Integrität zu sichern. Eine Unterschrift wird geschätzt, wenn das Paket gebaut und später nachgeprüft wird, wenn das Paket installiert wird.

Andere Verkäufer und Vertrieb

Unabhängig vom Verkäufer oder Vertrieb sollte der ganze Softwarevertrieb einen Mechanismus zur Verfügung stellen, um nachzuprüfen, dass die Software legitim ist und nicht modifiziert worden ist, seitdem es ursprünglich paketiert wurde.

Dienstleistungen

Unnötige Systemsoftware sollte nicht installiert oder auf einem System konfiguriert werden. Software, die nicht mehr erforderlich ist, sollte völlig, wenn möglich, entfernt werden.

• Identifizieren Sie das, welche Dienstleistungen führen
• netstat - na
• lsof
• nmap
• sockstat-4 (FreeBSD)

Die Befehle inetd und xinetd handeln als Superserver für eine Vielfalt von Netzprotokollen wie rlogin, telnet und ftp.

Das Abdrehen unnötiger Dienstleistungen

• das Verwenden der Aktualisierung-rc.d auf Debian
• das Verwenden chkconfig auf Roter Hat Linux
• das Verwenden/etc/rc.conf und/usr/local/etc/rc.d auf FreeBSD (erwähnen/etc/rc.local)
• das Verwenden der RC-Aktualisierung auf Gentoo Linux

Diese Annäherung wird gewöhnlich proaktive Sicherheit genannt. Es gibt einige Betriebssysteme, die standardmäßig sicher sind. Unter anderen sind die freien BSD Geschmäcke (FreeBSD, NetBSD und OpenBSD) proaktiv sicher. Zum Beispiel entwirft die Produktion von netstat auf NetBSD 3.0 Arbeitsplatz klar diese Technik:

$ netstat-a

Aktive Internetverbindungen (einschließlich Server)

Proto Recv-Q senden lokaler Adresse Auslandsadressstaat-Q

tcp 0 0 localhost.smtp *.* HÖREN

tcp 0 0 *.ssh *.* HÖREN

Aktive Internet6 Verbindungen (einschließlich Server)

Proto Recv-Q senden lokaler Adresse Auslandsadresse (Staat)-Q

tcp6 0 0 localhost.smtp *.* HÖREN

tcp6 0 0 *.ssh *.* HÖREN

Aktive UNIX Bereichssteckdosen

Adresstyp Recv-Q sendet Inode Conn Refs Nextref Addr-Q

c0d10d80 dgram 0 0 0 c0cd8680 0 c0cb7000->/var/run/log

c0cb7000 dgram 0 0 0 c0cd8680 0 0->/var/run/log

c0cd8680 dgram 0 0 cb9639e8 0 c0d10d80 0/var/run/log

Das folgende Beispiel von einem BSD System

$ sockstat-4

BENUTZERBEFEHL PID FD PROTO LOKALE ADRESSE AUSLANDSADRESSE

lassen Sie sendmail 569 4 tcp localhost.smtp *. * einwurzeln

lassen Sie sshd 593 4 tcp *.ssh *. * einwurzeln

Shows, dass auf dieser Maschine nur der SSH Dienst der öffentlichen Netzschnittstelle des Computers zuhört. sendmail hört der Echoprüfungsschnittstelle nur zu. Der Zugang zu einem Dienst kann weiter durch das Verwenden einer Brandmauer beschränkt werden.

Dateisysteme

Dateisystemsicherheit

Die Dateisystemsicherheit innerhalb von UNIX und Unix ähnlichen Systemen basiert auf 9 Erlaubnis-Bit, Satz-Benutzer und Gruppen-ID-Bit und dem klebrigen Bit für insgesamt 12 Bit. Diese Erlaubnis gilt fast ebenso für alle Filesystem-Gegenstände wie Dateien, Verzeichnisse und Geräte.

Die 9 Erlaubnis-Bit werden in drei Gruppen von drei Bit jeder geteilt. Die erste Gruppe beschreibt die Erlaubnis des Dateieigentümers, die zweite Gruppe beschreibt die Erlaubnis einer Gruppe, die mit dem Dateieigentümer oder dem Verzeichnis vereinigt ist, das die Datei enthält, und die dritte Gruppe beschreibt die Erlaubnis, die mit jedem Prozess vereinigt ist, der denselben Benutzerpersonalausweis wie die Datei nicht hat. Jede Gruppe von drei Bit enthält wenig, das gelesene anzeigend, schreiben Sie oder führen Sie Zugang durch wird gewährt. Im Fall von Verzeichnissen, führen Sie Zugang durch wird als die Erlaubnis interpretiert, einen Dateinamen lookup innerhalb des Verzeichnisses durchzuführen.

Der Satz-Benutzerpersonalausweis und die Satz-Gruppen-ID-Bit, allgemein abgekürzter Satz-UID und Satz-GID beziehungsweise, werden verwendet, um die Identität des Prozesses zu ändern, der eine Datei durchführt, die entweder oder beide jener Bit Satz hat. Eine Datei, die den Erlaubnis-Bohrersatz des Satzes-UID hat, wird einen Prozess verursachen, der diese Datei durchführt, um den wirksamen Benutzerpersonalausweis diesem des Dateieigentümers provisorisch zu schalten. Eine Datei, die den Erlaubnis-Bohrersatz des Satzes-GID hat, wird einen Prozess verursachen, der diese Datei durchführt, um den wirksamen Gruppenpersonalausweis zu dieser der Dateigruppe provisorisch zu schalten. Ein Prozess kann dann zwischen dem wirksamen Benutzer oder Gruppenpersonalausweis abwechseln, den er von der Datei und dem echten Benutzer oder Gruppenpersonalausweis geerbt hat, den er geerbt hat, als der Benutzer zum System eingeloggt hat. Das stellt einen Mechanismus zur Verfügung, durch den ein Prozess die Zugriffsrechte beschränken kann, die er zu jenen Codegebieten besitzt, die jene Zugriffsrechte verlangen. Das ist eine Form einer Sicherheitstechnik, die als Vorzug-Trennung bekannt ist, und verbessert Programmsicherheit durch das Begrenzen der unbeabsichtigten oder unerwünschten Handlungen Prozesse.

Ein Verzeichnis, das den Erlaubnis-Bohrersatz des Satzes-GID hat, wird eine kürzlich geschaffene Datei veranlassen, einen anfänglichen der Dateigruppe des Verzeichnisses gleichen Dateigruppenwert zu haben. Das stellt einen Mechanismus zur Verfügung, wodurch ein Subsystem, wie das Postsubsystem des Systems, Dateien schaffen kann, die einen allgemeinen Dateigruppenwert haben, so dass Prozesse des Satzes-GID innerhalb dieses Subsystems dann im Stande sind, die Datei zu lesen oder zu schreiben.

Das klebrige Bit, formell bekannt als der sparen Text auf dem Tausch Bit, leitet seinen Namen von seinem ursprünglichen Zweck ab. Ursprünglich hat das klebrige Bit ein anfängliches Speicherimage eines Prozesses veranlasst, als ein aneinander grenzendes Image auf dem Laufwerk versorgt zu werden, das verwendet wurde, um echte Speicherseiten zu versorgen, als sie nicht im Gebrauch waren. Das hat die Leistung allgemein durchgeführter Befehle durch das Bilden des anfänglichen Speicherimages sogleich verfügbar verbessert. Moderne UNIX Systeme führen nicht mehr diese Funktion durch, wenn das Bit gesetzt wird, aber der Name ist dennoch bewahrt worden. Im Fall von Dateien kann das klebrige Bit durch das System verwendet werden, um den Stil der Datei anzuzeigen, die sich schließen lässt, um durchgeführt zu werden. Im Fall von Verzeichnissen verhindert das klebrige Bit jeden Prozess, außer demjenigen, der Überbenutzer-Vorzüge hat oder einen wirksamen Benutzerpersonalausweis des Dateieigentümers, davon ein zu haben, eine Datei innerhalb dieses Verzeichnisses zu löschen. Das klebrige Bit wird meistens auf öffentlich writable Verzeichnisse wie die verschiedenen vorläufigen Arbeitsraumverzeichnisse auf dem System verwendet.

Wurzelsquash

Wurzelsquash ist die Verminderung der Zugriffsrechte für den entfernten Überbenutzer (Wurzel), wenn es Identitätsbeglaubigung verwendet (lokaler Benutzer ist dasselbe als entfernter Benutzer). Es ist in erster Linie die Eigenschaft von NFS, aber kann potenziell auf anderen Systemen ebenso verfügbar sein.

Dieses Problem entsteht, wenn ein entferntes Dateisystem von vielfachen Benutzern geteilt wird. Diese Benutzer gehören einem oder vielfachen Gruppen. In Unix, jeder Datei und Mappe hat normalerweise die getrennte Erlaubnis (gelesen, schreiben Sie, führen Sie durch) für den Eigentümer (normalerweise der Schöpfer der Datei), für die Gruppe, der der Eigentümer gehört und für die "Welt" (alle anderen Benutzer). Das erlaubt einzuschränken schreiben und lesen Zugang nur zu den autorisierten Benutzern, während im allgemeinen NFS Server auch durch die Brandmauer geschützt werden muss.

Überbenutzer hat mehr Rechte als der gewöhnliche Benutzer, im Stande seiend, das Dateieigentumsrecht zu ändern, willkürliche Erlaubnis und Zugang der ganze geschützte Inhalt zu setzen. Sogar Benutzer, die wirklich Wurzelzugang zu individuellen Arbeitsplätzen haben müssen, dürfen für die ähnlichen Handlungen auf einem geteilten Dateisystem nicht autorisiert werden. Wurzelsquash reduziert Rechte auf die entfernte Wurzel, ein nicht mehr Überbenutzer machend. Auf UNIX wie Systeme kann Wurzelsquash-Auswahl angemacht werden und von in der/etc/exports Datei auf einer Server-Seite.

Nach dem Einführen des Wurzelsquash führt der autorisierte Überbenutzer eingeschränkte Handlungen nach der Protokollierung in einen NFS Server direkt und nicht nur durch, indem er die exportierte NFS Mappe besteigt.

SELinux

SELinux ist der Satz von Kernerweiterungen, um Zugang genauer zu kontrollieren, ausschließlich definierend, sowohl wenn als auch wie auf Dateien, Mappen, Netzhäfen und andere Mittel durch den beschränkten Prozess zugegriffen werden kann. Dieses System wird größtenteils verwendet, um Prozesse (Datenbank, Server) aber nicht menschliche Benutzer einzuschränken. Es kann auch Prozesse beschränken, die als Wurzel laufen. Anderer Vertrieb verwendet vergleichbare Alternativen wie AppArmor.

Viren und Virus-Scanner

Unix ähnliche Betriebssysteme sind zu den meisten Windows-Viren von Microsoft geschützt, weil Dualzahlen, die geschaffen sind, um auf Windows allgemein zu laufen, auf anderen Plattformen nicht laufen werden. Jedoch stellen viele Unix wie Installationen Dateilagerungsdienstleistungen Windows-Kunden von Microsoft, solcher als durch den Gebrauch der Samba-Software zur Verfügung, und können ein Behältnis für von Benutzern versorgte Viren unabsichtlich werden. Es ist für Server von Unix üblich, als Postübertragungsagenten folglich zu handeln, E-Mail-Virus-Abtastung wird häufig installiert. Der Virus-Scanner von ClamAV ist in der Quellcodeform verfügbar und kann verwendet werden, um Dateisysteme von Unix für Viren zu scannen, die andere Betriebssysteme anstecken.

Es gibt Viren und Würmer, die Unix ähnliche Betriebssysteme ins Visier nehmen. Tatsächlich, der erste Computerwurm - der Wurm von Morris - hat Systeme von Unix ins Visier genommen.

Brandmauern

Netzbrandmauer schützt Systeme und Netze von Netzdrohungen, die auf der Gegenseite der Brandmauer bestehen. Brandmauern können Zugang zu ausschließlich inneren Dienstleistungen, unerwünschten Benutzern und in einigen Fällen Filternetzverkehr durch den Inhalt blockieren.

iptables

iptables ist die aktuelle Benutzerschnittstelle, für mit Kern von Linux netfilter Funktionalität aufeinander zu wirken. Es hat ipchains ersetzt. Anderer Unix wie Betriebssysteme kann ihre eigene heimische Funktionalität zur Verfügung stellen, und andere offene Quellbrandmauer-Produkte bestehen. Die ausführlichere Information über iptables wird anderswohin enthalten. Eine kurze Diskussion wird hier enthalten, um zu beschreiben, wie iptables verwendet werden kann, um eine Brandmauer von Linux zu konfigurieren.

netfilter stellt einen zustandvollen Paket-Filter zur Verfügung, der gemäß der Netzschnittstelle, dem Protokoll, der Quelle und/oder der Bestimmungsort-Adresse, der Quelle und/oder dem Bestimmungsort-Hafen und dem Staat des Pakets konfiguriert werden kann. Ein Netzpaket überquert mehrere Ketten zwischen der Zeit es wird durch eine Netzschnittstelle und die Zeit erhalten es wird vom Gastgeber akzeptiert oder einem anderen Gastgeber nachgeschickt. Die allgemeinen Ketten, werden PRODUKTION und VORWÄRTS EINGEGEBEN. Die EINGANGS-Kette wird für alle Pakete überquert, weil sie durch eine Netzschnittstelle, unabhängig davon erhalten werden, ob sie vom Gastgeber akzeptiert oder einem anderen Gastgeber nachgeschickt werden sollen. Die PRODUKTIONS-Kette wird für alle Pakete überquert, weil sie durch eine Netzschnittstelle übersandt werden. Die VORWÄRTS-Kette wird für jene Pakete überquert werden durch den Gastgeber von einer Netzschnittstelle bis einen anderen, solcher aufgewühlt, die für ein multi-homed System (ein System mit mehr als einer physischer Netzschnittstelle) der Fall ist.

Jede der eingebauten Ketten hat eine Verzug-Politik, die das definiert, welche Handlung für ein Paket genommen wird, das das Ende der Kette erreicht. Paket-Traversal endet, wenn eine Regel das Paket vergleicht und eine Handlung dessen hat, AKZEPTIEREN, LASSEN FALLEN, WEISEN ZURÜCK oder kehren ZURÜCK.

Die einfachste iptables Brandmauer besteht aus Regeln für jeden gewünschten Dienst, der von einer Regel gefolgt ist, die anzeigt, dass irgendwelche Pakete, die diese Regel erreichen, fallen gelassen sind. Ein System, das nur, zum Beispiel, eingehenden E-Mail-Verkehr erlaubt hat, würde eine Regel haben, die Verbindungen auf dem SMTP Hafen akzeptiert hat, und dann andere fallen lassen hat. Eine Regel wäre erforderlich, der angezeigt hat, dass alle hergestellten Verbindungen auch erlaubt wurden, so dass aus dem Amt geschieden Verbindungen Antworten von anderen Systemen erhalten würden.

EINGANGS-Kette

Das folgende Beispiel zeigt einen einfachen Paket-Filter für die EINGANGS-Kette für das obengenannte beschriebene Beispiel:

Ketten-EINGANG (Politik-FALL 0 Pakete, 0 Bytes)

Pkts-Byte-Zielprot wählen im Quellbestimmungsort

0 0 AKZEPTIEREN alle - irgendwelcher, was irgendwelcher überall überall GEGRÜNDETEN festsetzt

0 0 AKZEPTIEREN tcp - irgendwelcher irgendwelcher überall überall tcp dpt:smtp

0 0 KLOTZ alle - irgendwelcher LOGGT irgendwelcher überall überall Niveau, das warnt

0 0 FALL alle - irgendwelcher irgendwelcher überall überall

Die Hinzufügung einer ausführlichen FALL-Handlung stellt sicher, dass die Pakete verworfen werden, sollte die Verzug-Politik der EINGANGS-Kette zufällig geändert werden, um ZU AKZEPTIEREN.

PRODUKTIONS-Kette

Es gibt weniger Bedürfnis nach einer PRODUKTIONS-Kette, und die Verzug-Politik der PRODUKTIONS-Kette kann sicher veranlasst werden ZU AKZEPTIEREN. In einigen Beispielen kann es für eine Brandmauer wünschenswert sein, bestimmte aus dem Amt scheide Verbindungen zu einem bestimmten Satz von genehmigten Systemen zu beschränken. Das ist als Ausgang-Entstörung bekannt und kann verwendet werden, um Viren innerhalb der Brandmauer davon zu verhindern, bis andere Systeme zu flüchten. Zum Beispiel kann es die Politik eines Netzes sein, aus dem Amt scheide E-Mail-Verbindungen zu einer einzelnen autorisierten E-Mail Server als eine Weise zu beschränken, E-Mail spam zu bekämpfen. Das konnte durch das folgende Beispiel erreicht werden:

Ketten-PRODUKTION (Politik AKZEPTIEREN)

Pkts-Byte-Zielprot wählen im Quellbestimmungsort

0 0 FALL tcp - irgendwelcher irgendwelcher! Server überall tcp dpt:smtp

Es gibt kein Bedürfnis, irgendwelche anderen Regeln in dieses Beispiel einzuschließen, wie die Verzug-Politik für die PRODUKTIONS-Kette ist, AKZEPTIEREN. Bemerken Sie auch, dass diese Regel annimmt, dass der Gastgeber, der als die Brandmauer handelt, E-Mail selbst, solcher betreffs des E-Mail-Servers nicht senden wird. Das ist eine gute Annahme als normalerweise ein Brandmauer-System enthält den minimalen Betrag des Systemcodes musste als eine Brandmauer handeln.

Eine einschränkendere PRODUKTIONS-Kette würde permissiv enthalten (AKZEPTIEREN) Einträge für jene Dienstleistungen, auf die außerhalb der Brandmauer und dann eines einschränkenden (FALL) Politik für die Kette selbst zugegriffen werden kann.

Allgemein

Sichere Netzkommunikation:

• Schicht 7: GPG/PGP
• Schichten 4,5: SSL/TLS/Stunnel/S/MIME
• Schicht 3: VPN, IPsec
• Schicht 2: PPTP

Das Paket-Schnüffeln:

• tcpdump, Wireshark

Angriffe:

• Mann im mittleren Angriff
• Landschwirren des Todesweihnachten-Angriffs der Leugnung des Dienstes und al.

Fortgeschritten

• rootkits, Kernmodule, chkrootkit
• Großtat-Details, Pufferüberschwemmungen, die gegen entfernten lokal

sind

Dienstdetails

• Schlagzeilen
• SMTP - spam
• Sendmail - Schlagzeilen helfen Kopfball-Version usw.
• Domainname-System - Rückseite, die dnssec kartografisch darstellt

Links

• Die Unix Sicherheit Modell für die Webserver-Regierung Robert K. Moniot 2000
• Eine Architektonische Übersicht der UNIX Netzsicherheit Robert B. Reinhardt 1993
• Sicherheitspapiere von Unix

Praktischer UNIX und Internetsicherheit, Simson Garfinkel und Gene Spafford, O'Reilly & Associates, 2003.