| Linux - Friheden til at vælge it-løsning: Version 0.7-20040605 - 2020-12-31 | ||
|---|---|---|
| forrige | Kapitel 4. Sikkerhed | næste |
Sikkerhed er mange ting. Dels er der en diskussion om sikkerhed med hensyn til andres fysiske adgang til systemet (se Afsnit 4.3.1), dels er der en emnet med netværkssikkerhed (se Afsnit 4.3.2).
Med hensyn til fysisk adgang til maskinen, så er der adgangskontrol på en Linux-maskine som der er kendt fra andre Unix-varianter eller Windows NT. Dvs. man skal have et bruger-ID og et password for at kunne logge ind. Dog kan den grafiske brugergrænseflade KDE sættes op til at man kan sætte systemet op til at man kan logge ind uden at blive konfronteret med bruger-ID og password (som det kendes fra f.eks. Windows 3.11 og 95). Dette kan kun sættes op af systemadministratoren (i KDE-> Preferences-> System-> Login manager-> Convenience).
Systemadministratoren (kaldet root) er den eneste system-konto, der kan anvendes til at oprette konti. For en korrekt opsat Linux-maskine er der i praksis ikke muligt at få adgang til en Linux-maskine uden man har bruger-ID og password.
Der er typisk mulighed for at man kan sætte en Linux-harddisk i en anden maskine og derved kunne tilgå data på harddisken. Hvis man har meget sensitive data på harddisken kan denne dog krypteres (med ppdd) og derved har man en god datasikkerhed.
Det er en række måder hvorpå man kan få adgang til en Linux-maskine over netværket - og det er op til systemadministratoren til at definere hvad der er muligt.
Telnet - Gennemtestet men sikkerhedsmæssig usikker protokol til at få en tekst-adgang til maskinen hvor man kan køre kommandoer fra ens egen maskine. Denne type service bør aldrig udbydes på andet end meget små netværk som ikke har nogen direkte eller indirekte tilgang til internettet.
Ftp - Gennemtestet men sikkerhedsmæssigt usikker protokol til at overføre filer mellem ens egen maskine og den anden maskine på netværket.
SSH - også kaldet secure shell er en moderne og sikker måde at få samme funktioner som telnet og ftp tilbyder - hvor al datatrafik mellem de to maskiner krypteres på en måde der kan anses for at være sikker. Der er endda mulighed for at få krypteret transport af grafiske programmer fra en maskine til en anden. Det er således muligt at fjernstyre en Linux-maskine over netværket fuldt ud.
SSH kan evt. kombineres med SecurID kort, hvor man får en personlig adgangskode, der er tidsafhængig. SSH findes dels i en kommerciel version og en Open Source-variant OpenSSH, der er funktionsmæssigt og udviklingsmæssigt fuldt på højde med den kommercielle variant.
SAMBA (SMB) - server-protokol til at tilbyde SMB-montering af netværksdrev og netværksprinter-server. Windows-maskiner vil se en Linux-maskine med SAMBA som om det er en Windows-server. Det er en smart måde at integrere et heterogent netværk.
NFS - Gammel og velgennemtestet protokol til at montere netværksdiske mellem Unix-maskiner såsom Linux. Protokollen er ikke særlig sikker, på samme niveau som SMB. NFS anvendes typisk kun for stationære maskiner i netværket, så man kan kontrollere adgang til data via maskinernes navne/IP-adresser.
X-server - gennem dette kan man fra netværket få en grafisk login fra en anden maskine. På denne måde anvender man ens egen maskine som grafisk klient og al behandling af data udføres på serveren. Dette er meget atraktivt hvis man vil bygge centraliserede løsninger, hvor man anvender kraftige servere og tynde klienter. Dette er en løsning der kan være meget pris-effektiv dels per klient, men også vedligeholdelsesmæssigt.
NIS - anvendes i Unix-netværk til at håndtere passwords for brugere centralt.
Apache - verdens mest anvendte webserver med ca. 60% markedsandel på internettet.
Sendmail, Postfix, Exim eller Qmail anvendes hvis man vil kunne sende emails til ens maskine. Typisk er dette ikke nødvendigt på andet end en maskine (mail-serveren) i et netværk.
Generelt skal man ikke udbyde nogen af de mange server-programmer (kaldet services) hvis man ikke skal bruge dem og vil vedligeholde dem (ved at følge annonceringer om eventuelle sikkerhedsfejl i dem på http://www.linuxtoday.com) eller de enkelte Linux-distributioners post-lister med sikkerheds-annonceringer.
Der er en meget mere teknisk udredning for sikkerhedsaspekter i bogen "Linux - Friheden til sikkerhed på internettet", der kan findes på www.linuxbog.dk.