Родерик Смит - Сетевые средства Linux

Снизить риск неавторизованного доступа к данным можно, ограничив набор компьютеров, которым разрешено обращение к инструментам удаленного администрирования. Как вы уже знаете из материала данной главы, Linuxconf позволяет указать IP-адреса компьютеров и сетей, имеющих право обращаться к нему. Если в системе используется xinetd, любая программа удаленного администрирования, запускаемая с помощью данного суперсервера, может быть защищена с помощью TCP Wrappers. Запретить доступ к серверу из внешней сети можно также с помощью брандмауэра. Все эти меры не исключают возможности подслушивания пароля, а IP-адрес, как показывает опыт, может быть фальсифицирован. Поэтому действия по обеспечению защиты лишь снижают вероятность незаконного доступа к системе, но не исключают полностью такой возможности.

Чем меньше серверов выполняется в системе, тем меньше вероятность того, что злоумышленнику удастся воспользоваться недостатком в защите какого-либо из серверов. Если в системе обязательно должен присутствовать сервер удаленной регистрации, желательно использовать для этой цели SSH. Удаленное администрирование также лучше выполнять посредством SSH-соединения; в этом случае риск для системы будет минимальным. Применение специализированных инструментов удаленного администрирования оправдано в тех случаях, когда сеть надежно защищена от доступа извне, а на компьютере, подлежащем администрированию, отсутствует сервер удаленной регистрации.

На первый взгляд может показаться, что применение сервера удаленного администрирования с ограниченной сферой действия, например SWAT, создает меньшую угрозу безопасности системы, чем использование универсальных серверов, таких как Linuxconf и Webmin. На самом деле это не так. Если злоумышленник проникнет в систему посредством SWAT, он может создать новый разделяемый объект, позволяющий ему читать и записывать данные в файлы, содержащиеся в каталоге /etc. С помощью этого объекта можно изменить конфигурацию системы, обеспечив для себя доступ посредством одного из серверов удаленной регистрации, например Telnet. Таким образом, применение инструментов с ограниченной областью действия может в лучшем случае замедлить процесс незаконного проникновения в систему.

Здесь приведены лишь самые общие рассуждения, имеющие отношение к обеспечению безопасности системы. Вопросам защиты полностью посвящена часть IV.

Средства удаленного администрирования не являются неотъемлемой частью Linux, даже в том случае, если вам необходимо выполнять удаленное администрирование системы. Они очень удобны в работе, в особенности тогда, когда администратор лишь в общих чертах представляет себе функционирование сервера, который ему предстоит настраивать. Использовать инструменты удаленного администрирования можно как с локального, так и с удаленного компьютера. Примерами универсальных инструментов администрирования являются Linuxconf и Webmin. Теоретически каждый из них может поддерживать все подсистемы Linux, однако на практике этого добиться не удается, так как эти инструменты никогда не поставляются с полным набором конфигурационных модулей. Примером инструмента, который предназначен для администрирования одного сервера, является SWAT. При использовании программ удаленного администрирования, рассмотренных в данной главе, необходимо уделять большое внимание защите системы.

Создание резервных копий вряд ли можно считать увлекательным занятием, но если вы хотите поддерживать работоспособность вашей системы в течение длительного времени, выполнять эту рутинную работу необходимо. Некоторые сети насчитывают один или два сервера и несколько клиентов, причем конфигурация клиентских компьютеров чрезвычайно проста, и они не содержат важной информации. Клиентские машины по сути выполняют функции X-терминалов. Создавая резервные копии данных в такой сети, достаточно скопировать содержимое сервера. Что же касается клиентов, для них можно создать одну копию, отражающую стандартную конфигурацию системы. Если к сети подключено несколько серверов, необходимо организовать копирование данных с каждого из них. Если же на каждом из клиентских компьютеров будет содержаться важная информация, процедура резервного копирования будет выглядеть по-другому. В начале данной главы обсуждаются общие вопросы, связанные с созданием резервных копий, после чего будут рассмотрены три способа решения задачи резервного копирования: использование tar для архивирования информации, содержащейся на компьютерах под управлением Linux или UNIX, применение Samba для копирования данных в системе Windows и координация действий по резервному копированию в сети с помощью инструмента AMANDA.

Резервное копирование данных в сети — достаточно сложная задача, которая усложняется еще больше с увеличением размеров сети. Дополнительную информацию по этой теме вы найдете в документации, поставляемой в комплекте с инструментами резервного копирования. Тем, кому необходимо подробно разобраться в данном вопросе, можно порекомендовать книгу Престона (Preston) Unix Backup & Recovery (O'Reilly, 1999).

Резервные копии проще всего создавать на локальной машине. Если вы установите накопитель на магнитных лентах на компьютер, работающий под управлением Linux, вы можете пользоваться такими утилитами, как tar, cpioили dump, причем для этого вам не потребуется специально настраивать вашу систему. Резервное копирование в сетевом окружении представляет собой гораздо более сложную задачу, так как компьютеры, участвующие в сетевом взаимодействии, должны быть соответствующим образом сконфигурированы, а программы, применяемые для создания резервных копий, должны обеспечивать работу в сети. (Отсутствие сетевой поддержки в программах резервного копирования в некоторых случаях можно компенсировать за счет применения различных утилит.) Организовать восстановление данных в сети — еще более сложная задача, так как при этом приходится осуществлять взаимодействие с компьютером, на котором отсутствуют многие из сетевых инструментов. По этой причине в небольших сетях рекомендуется осуществлять резервное копирование с использованием локальных устройств. Для обеспечения подобного копирования необходимо затратить значительные средства, поскольку с ростом сети увеличивается число устройств, которые должны быть установлены на компьютерах. Стоимость накопителя, который может быть установлен на рабочей станции, составляет от 100 до 1000 долларов. К этой сумме надо добавить стоимость носителей. Устройства, позволяющие осуществлять резервное копирование в сети, стоят значительно больше, но расходы в пересчете на один компьютер оказываются намного меньше, чем при использовании локальных устройств. Таким образом, одним из аргументов в пользу сетевого резервного копирования является экономия средств.