New update.current

CVS version numbers polish/.wmlrc: 1.4 -> 1.5 polish/contact.wml: 1.31 -> 1.32 polish/donations.wml: 1.35 -> 1.36 polish/social_contract.wml: 1.8 -> 1.9 polish/support.wml: 1.29 -> 1.30 polish/Bugs/Developer.wml: 1.23 -> 1.24 polish/Bugs/server-control.wml: 1.10 -> 1.11 polish/Bugs/server-refcard.wml: 1.9 -> 1.10 polish/Bugs/server-request.wml: 1.7 -> 1.8 polish/CD/index.wml: 1.19 -> 1.20 polish/CD/faq/index.wml: 1.30 -> 1.31 polish/CD/http-ftp/index.wml: 1.10 -> 1.11 polish/CD/mirroring/rsync-mirrors.wml: 1.2 -> 1.3 polish/CD/vendors/index.wml: 1.24 -> 1.25 polish/CD/vendors/legal.wml: 1.8 -> 1.9 polish/MailingLists/debian-announce.wml: 1.4 -> 1.5 polish/MailingLists/disclaimer.wml: 1.2 -> 1.3 polish/News/2002/20021216.wml: 1.4 -> 1.5 polish/News/2003/20030119.wml: 1.3 -> 1.4 polish/News/2003/20030127.wml: 1.3 -> 1.4 polish/News/2003/20030811.wml: 1.5 -> 1.6 polish/News/2003/20031005.wml: 1.4 -> 1.5 polish/News/2003/20031121a.wml: 1.5 -> 1.6 polish/News/2004/20040406.wml: 1.3 -> 1.4 polish/News/2004/20040515.wml: 1.1 -> 1.2 polish/News/2004/20040524.wml: 1.4 -> 1.5 polish/News/2004/20041026.wml: 1.2 -> 1.3 polish/News/weekly/contributing.wml: 1.10 -> 1.11 polish/News/weekly/index.wml: 1.8 -> 1.9 polish/News/weekly/2004/05/index.wml: 1.3 -> 1.4 polish/News/weekly/2004/10/index.wml: 1.6 -> 1.7 polish/News/weekly/2004/11/index.wml: 1.2 -> 1.3 polish/News/weekly/2004/20/index.wml: 1.2 -> 1.3 polish/News/weekly/2004/23/index.wml: 1.5 -> 1.6 polish/News/weekly/2004/27/index.wml: 1.2 -> 1.3 polish/News/weekly/2004/32/index.wml: 1.2 -> 1.3 polish/News/weekly/2004/33/index.wml: 1.3 -> 1.4 polish/News/weekly/2004/34/index.wml: 1.3 -> 1.4 polish/News/weekly/2004/35/index.wml: 1.4 -> 1.5 polish/News/weekly/2004/36/index.wml: 1.6 -> 1.7 polish/News/weekly/2004/37/index.wml: 1.2 -> 1.3 polish/banners/index.wml: 1.2 -> 1.3 polish/consultants/757_technologies.wml: 1.3 -> 1.4 polish/consultants/aerasec.wml: 1.3 -> 1.4 polish/consultants/alex_r.wml: 1.2 -> 1.3 polish/consultants/altoros.wml: 1.3 -> 1.4 polish/consultants/andreas_o.wml: 1.2 -> 1.3 polish/consultants/andreu_i.wml: 1.2 -> 1.3 polish/consultants/andrew_f.wml: 1.2 -> 1.3 polish/consultants/anthony_p.wml: 1.3 -> 1.4 polish/consultants/avalonix.wml: 1.2 -> 1.3 polish/consultants/baltazar_q.wml: 1.2 -> 1.3 polish/consultants/bao_h.wml: 1.2 -> 1.3 polish/consultants/beeznest.wml: 1.2 -> 1.3 polish/consultants/ben_b.wml: 1.2 -> 1.3 polish/consultants/benjamin_s.wml: 1.2 -> 1.3 polish/consultants/blue_orb.wml: 1.2 -> 1.3 polish/consultants/brickred_technologies.wml: 1.2 -> 1.3 polish/consultants/bruce_p.wml: 1.2 -> 1.3 polish/consultants/bryan_b.wml: 1.2 -> 1.3 polish/consultants/carlos_hg.wml: 1.3 -> 1.4 polish/consultants/catalyst.wml: 1.3 -> 1.4 polish/consultants/filippo_giunchedi.wml: 1.2 -> 1.3 polish/consultants/heureka.wml: 1.2 -> 1.3 polish/consultants/iceguard.wml: 1.2 -> 1.3 polish/consultants/john_b.wml: 1.2 -> 1.3 polish/consultants/lawrence_c.wml: 1.2 -> 1.3 polish/consultants/linunet.wml: 1.2 -> 1.3 polish/consultants/michael_b.wml: 1.2 -> 1.3 polish/consultants/mohawk_software.wml: 1.2 -> 1.3 polish/consultants/nils_r.wml: 1.3 -> 1.4 polish/consultants/rafez_n.wml: 1.2 -> 1.3 polish/consultants/sosa.wml: 1.2 -> 1.3 polish/consultants/stuart_t.wml: 1.2 -> 1.3 polish/consultants/turo_technology.wml: 1.2 -> 1.3 polish/consultants/ultreia.wml: 1.3 -> 1.4 polish/consultants/vivek_k.wml: 1.2 -> 1.3 polish/devel/index.wml: 1.26 -> 1.27 polish/devel/debian-desktop/index.wml: 1.7 -> 1.8 polish/devel/debian-installer/archive.wml: 1.3 -> 1.4 polish/devel/debian-installer/errata.wml: 1.9 -> 1.10 polish/devel/debian-installer/gtk-frontend.wml: 1.8 -> 1.9 polish/devel/debian-installer/ports-status.wml: 1.19 -> 1.20 polish/devel/debian-installer/svn.wml: 1.5 -> 1.6 polish/devel/debian-installer/News/2004/8.wml: 1.3 -> 1.4 polish/devel/debian-installer/News/2004/9.wml: 1.3 -> 1.4 polish/devel/debian-installer/News/2004/99.wml: 1.2 -> 1.3 polish/devel/debian-med/index.wml: 1.6 -> 1.7 polish/devel/debian-med/practice.wml: 1.3 -> 1.4 polish/devel/join/index.wml: 1.2 -> 1.3 polish/devel/join/newmaint.wml: 1.2 -> 1.3 polish/devel/join/nm-step1.wml: 1.3 -> 1.4 polish/devel/join/nm-step2.wml: INITIAL -> 1.1 polish/devel/website/index.wml: 1.2 -> 1.3 polish/devel/wnpp/index.wml: 1.12 -> 1.13 polish/devel/wnpp/wnpp.wml: 1.3 -> 1.4 polish/devel/wnpp/work_needing.wml: 1.2 -> 1.3 polish/distrib/cd.wml: 1.5 -> 1.6 polish/distrib/ftplist.wml: 1.20 -> 1.21 polish/doc/books.wml: 1.17 -> 1.18 polish/doc/cvs.wml: 1.7 -> 1.8 polish/doc/ddp.wml: 1.3 -> 1.4 polish/doc/devel-manuals.wml: 1.7 -> 1.8 polish/doc/docpolicy.wml: 1.6 -> 1.7 polish/doc/misc-manuals.wml: 1.5 -> 1.6 polish/doc/todo.wml: 1.3 -> 1.4 polish/doc/topics.wml: 1.4 -> 1.5 polish/doc/user-manuals.wml: 1.15 -> 1.16 polish/international/index.wml: 1.17 -> 1.18 polish/international/Polish/bezpieczny_debian.wml: 1.5 -> 1.6 polish/international/Polish/free.wml: 1.2 -> 1.3 polish/international/Polish/index.wml: 1.17 -> 1.18 polish/international/Polish/instalacja_potato.wml: 1.3 -> 1.4 polish/international/Polish/manifest.wml: 1.2 -> 1.3 polish/international/Polish/polaczenie_z_internetem.wml: 1.2 -> 1.3 polish/international/Polish/system_pakietow.wml: 1.4 -> 1.5 polish/international/Polish/wprowadzenie.wml: 1.2 -> 1.3 polish/international/Polish/wstep_do_debiana.wml: 1.3 -> 1.4 polish/intro/about.wml: 1.39 -> 1.40 polish/intro/cn.wml: 1.38 -> 1.39 polish/intro/search.wml: 1.3 -> 1.4 polish/intro/why_debian.wml: 1.13 -> 1.14 polish/legal/cryptoinmain.wml: INITIAL -> 1.1 polish/legal/index.wml: INITIAL -> 1.1 polish/legal/notificationforarchive.wml: INITIAL -> 1.1 polish/legal/notificationfornewpackages.wml: INITIAL -> 1.1 polish/mirror/official_sponsors.wml: 1.4 -> 1.5 polish/mirror/sponsors.wml: 1.2 -> 1.3 polish/mirror/submit.wml: 1.3 -> 1.4 polish/misc/awards.wml: 1.5 -> 1.6 polish/misc/memberships.wml: 1.4 -> 1.5 polish/partners/partners-form.wml: 1.4 -> 1.5 polish/po/bugs.pl.po: 1.12 -> 1.13 polish/po/countries.pl.po: 1.11 -> 1.12 polish/po/distrib.pl.po: 1.6 -> 1.7 polish/po/doc.pl.po: 1.6 -> 1.7 polish/po/langs.pl.po: 1.15 -> 1.16 polish/po/organization.pl.po: 1.13 -> 1.14 polish/po/others.pl.po: 1.20 -> 1.21 polish/po/ports.pl.po: 1.6 -> 1.7 polish/po/security.pl.po: 1.9 -> 1.10 polish/po/templates.pl.po: 1.19 -> 1.20 polish/ports/amd64/index.wml: 1.9 -> 1.10 polish/ports/freebsd/bsd-libc-based.wml: INITIAL -> 1.1 polish/ports/i386/index.wml: 1.3 -> 1.4 polish/ports/netbsd/news.wml: 1.3 -> 1.4 polish/releases/index.wml: 1.28 -> 1.29 polish/releases/potato/index.wml: 1.29 -> 1.30 polish/releases/sarge/index.wml: 1.14 -> 1.15 polish/releases/slink/index.wml: 1.19 -> 1.20 polish/releases/woody/errata.wml: 1.7 -> 1.8 polish/releases/woody/installmanual.wml: 1.8 -> 1.9 polish/releases/woody/releasenotes.wml: 1.3 -> 1.4 polish/security/crossreferences.wml: INITIAL -> 1.1 polish/security/cve-compatibility.wml: INITIAL -> 1.1 polish/security/index.wml: 1.30 -> 1.31 polish/security/2003/dsa-231.wml: 1.3 -> 1.4 polish/security/2003/dsa-233.wml: 1.3 -> 1.4 polish/security/2004/CAN-2004-0077.wml: INITIAL -> 1.1 polish/security/2004/CAN-2004-0109.wml: INITIAL -> 1.1 polish/security/2004/dsa-423.wml: 1.3 -> 1.4 polish/security/2004/dsa-432.wml: 1.2 -> 1.3 polish/security/2004/dsa-445.wml: 1.2 -> 1.3 polish/security/2004/dsa-446.wml: 1.3 -> 1.4 polish/security/2004/dsa-447.wml: 1.2 -> 1.3 polish/security/2004/dsa-462.wml: 1.3 -> 1.4 polish/security/2004/dsa-469.wml: INITIAL -> 1.1 polish/security/2004/dsa-470.wml: INITIAL -> 1.1 polish/security/2004/dsa-471.wml: INITIAL -> 1.1 polish/security/2004/dsa-472.wml: INITIAL -> 1.1 polish/security/2004/dsa-473.wml: INITIAL -> 1.1 polish/security/2004/dsa-474.wml: INITIAL -> 1.1 polish/security/2004/dsa-475.wml: INITIAL -> 1.1 polish/security/2004/dsa-476.wml: INITIAL -> 1.1 polish/security/2004/dsa-477.wml: INITIAL -> 1.1 polish/security/2004/dsa-478.wml: INITIAL -> 1.1 polish/security/2004/dsa-479.wml: INITIAL -> 1.1 polish/security/2004/dsa-480.wml: INITIAL -> 1.1 polish/security/2004/dsa-481.wml: INITIAL -> 1.1 polish/security/2004/dsa-482.wml: INITIAL -> 1.1 polish/security/2004/dsa-483.wml: INITIAL -> 1.1 polish/security/2004/dsa-484.wml: INITIAL -> 1.1 polish/security/2004/dsa-485.wml: INITIAL -> 1.1 polish/security/2004/dsa-486.wml: INITIAL -> 1.1 polish/security/2004/dsa-487.wml: INITIAL -> 1.1 polish/security/2004/dsa-488.wml: INITIAL -> 1.1 polish/security/2004/dsa-489.wml: INITIAL -> 1.1 polish/security/2004/dsa-490.wml: INITIAL -> 1.1 polish/security/2004/dsa-491.wml: INITIAL -> 1.1 polish/security/2004/dsa-492.wml: INITIAL -> 1.1 polish/security/2004/dsa-493.wml: INITIAL -> 1.1 polish/security/2004/dsa-494.wml: INITIAL -> 1.1 polish/security/2004/dsa-531.wml: INITIAL -> 1.1 polish/security/2004/dsa-532.wml: INITIAL -> 1.1 polish/security/2004/dsa-533.wml: INITIAL -> 1.1 polish/security/2004/dsa-534.wml: INITIAL -> 1.1 polish/security/2004/dsa-535.wml: INITIAL -> 1.1 polish/security/2004/dsa-536.wml: INITIAL -> 1.1 polish/security/2004/dsa-538.wml: INITIAL -> 1.1 polish/security/2004/dsa-540.wml: 1.2 -> 1.3 polish/users/index.wml: INITIAL -> 1.1 polish/y2k/index.wml: INITIAL -> 1.1
author: Konrad Bielak <vandut> 2005-12-01 12:07:40 +0000
committer: Konrad Bielak <vandut> 2005-12-01 12:07:40 +0000
commit: f740bf5fbb7a921d29031185533f9e62e69f328d (patch)
tree: 0b614576412389628c0c3ee965f6af60c18039f8 /polish/international/Polish/bezpieczny_debian.wml
parent: 1b72ded16f8480cd690a7578538d5fe2e7f3b0a1 (diff)
1 files changed, 720 insertions, 0 deletions
diff --git a/polish/international/Polish/bezpieczny_debian.wml b/polish/international/Polish/bezpieczny_debian.wml
new file mode 100644
index 00000000000..70e2b429b22
--- /dev/null
+++ b/polish/international/Polish/bezpieczny_debian.wml
@@ -0,0 +1,720 @@
+#use wml::debian::template title="Debian GNU/Linux - bezpieczna stacja robocza" NOHEADER="yes"
+
+<h2>Debian GNU/Linux - bezpieczna stacja robocza</h2>
+
+<p>Gdy uruchamiamy linuksow� stacj� robocz� i zamierzamy ��czy� si�
+z Internetem, musimy podj�� prawie takie same �rodki ostro�no�ci
+jak administrator serwera. Wyb�r dystrybucji jest wa�ny, bo
+przes�dza z jakimi programami przyjdzie nam pracowa� i w jaki
+spos�b b�dziemy wykonywa� niekt�re bardziej specyficzne zadania -
+nie powinien wi�c by� pochopny. W tym artykule czytelnicy
+zapoznaj� si� z mo�liwo�ciami i specyfik� tylko jednej
+dystrybucji Linuksa, Debianem. Na pewno jednak du�� cz��
+poznanej tutaj wiedzy da si� zastosowa� tak�e w innych -Red Hat,
+Slackware czy S.u.S.E.. Poniewa� �r�d�a wi�kszo�ci opisywanych
+program�w s� dost�pne na popularnych serwisach FTP (adresy na
+ko�cu artyku�u), nic nie stoi na przeszkodzie, aby wykorzysta�
+omawiane rozwi�zania we w�asnej dystrybucji. Wszelkie uwagi
+odno�nie tre�ci artyku�u oraz ewentualnych b��d�w lub niedom�wie�
+s� mile widziane.</p>
+
+<p>Dystrybucja Debian GNU/Linux cieszy si� s�aw� solidnej i stabilnej.
+"Sztywne" zale�no�ci pomi�dzy wersjami poszczeg�lnych pakiet�w zwi�kszaj�
+niezawodno�� systemu i sprawiaj�, �e Debian sprawdza si� idealnie nie
+tylko jako serwer, ale tak�e jako stacja robocza dla bardziej
+wymagaj�cych u�ytkownik�w.</p>
+
+<p>Niemniej jednak nawet ona nie jest wolna od usterek i wad. Wszystkie
+systemy operacyjne wymagaj�, opr�cz prawid�owej instalacji i
+konfiguracji, r�wnie� sta�ej opieki ze strony u�ytkownika i
+administratora. Dotyczy to szczeg�lnie bezpiecze�stwa, gdzie pomy�ka czy
+niedopatrzenie maj� nieraz tragiczne konsekwencje. Problem powstaje, gdy
+temat zabezpiecze� zupe�nie nas nie interesuje i nie zajmujemy si� nim
+zawodowo czy hobbystycznie - i nie zamierzamy zatem po�wi�ca� mu wi�cej
+czasu ni� to jest konieczne. Chcieliby�my ograniczy� nasze "�atanie" do
+rzeczy niezb�dnych i tych bardziej przydatnych, kt�re postaram si� tu
+opisa�.</p>
+
+<p>Nie �ud�my si�, �e raz zainstalowany system b�dzie wiecznie sprawny i
+tak samo bezpieczny. Wraz z up�ywem czasu odkrywane s� nowe b��dy w
+oprogramowaniu, naprawiane s� stare - za kilka miesi�cy nasz pod��czony
+do Internetu komputer mo�e by� celem atak�w ludzi z ca�ego �wiata. M�wi�c
+bardziej brutalnie, poziom zabezpiecze� naszej stacji roboczej maleje z
+ka�dym dniem. Dlatego opr�cz stosowania generalnych zasad w�a�ciwego
+u�ytkowania, nale�y co jaki� czas odwiedzi� stron� http://www.debian.org
+- znajduje si� tam specjalny dzia� po�wi�cony interesuj�cemu nas
+zagadnieniu - lub inne strony o podobnej tematyce, wymienione na ko�cu
+artyku�u. Mo�emy tam zasi�gn�� informacji o ewentualnych odkrytych lukach
+oraz o aktualnych wersjach pakiet�w nie posiadaj�cych usterek. Cz�sto
+jednak na raporty trzeba czeka� tygodniami a nawet miesi�cami. Wiele
+nieprawid�owo�ci w dzia�aniu program�w jest znanych tylko w�skiej grupie
+ludzi, kt�rzy utrzymuj� je w tajemnicy ze wzgl�du na potencjalne
+korzy�ci, jakie mog� dzi�ki temu osi�gn��. Co wtedy robi�? Pr�dzej czy
+p�niej "dziura" zostanie odkryta, a wiadomo�� o tym znajdzie si� na
+kt�rej� z popularnych list dotycz�cych bezpiecze�stwa (a p�niej - je�li
+program kt�rego dotyczy jest cz�ci� tej dystrybucji - na stronie
+Debiana), jednak ju� wtedy mo�e by� za p�no. Prawdopodobie�stwo �e
+staniemy si� wcze�niej celem ataku jest nik�e, niemniej jednak trzeba si�
+z tak� mo�liwo�ci� liczy�. Idealnym wyj�ciem by�oby sta�e monitorowanie
+jednej lub kilku list dyskusyjnych (mo�e to by� bugtraq lub dowolna inna
+- adresy zosta�y podane na ko�cu artyku�u) - ostrze�enia pojawiaj� si� tu
+�rednio 7 dni wcze�niej ni� na "oficjalnej" stronie Debian GNU/Linux.</p>
+
+<p>W chwili pisania artyku�u aktualn� stabiln� wersj� Debiana by�a wersja
+oznaczona numerem 2.2, znana tak�e pod nazw� Potato. Wersja niestabilna
+zosta�a nazwana Woody. Opr�cz tego cz�� z omawianych bardziej
+szczeg�owo zagadnie� mo�na odnie�� do dystrybucji Corel Linux, tak�e
+opartej na pakietach deb (cho� przeznaczonej raczej dla mniej
+do�wiadczonych u�ytkownik�w) oraz komercyjnego Storm Linux. Tekst zosta�
+jednak stworzony g��wnie z my�l� o Debianie 2.2 (a tak�e wcze�niejszych
+2.1 Slink i 2.0 Hamm). Du�a liczba pakiet�w sk�ania raczej do wybrania
+jednego z kilku ich "zestaw�w" i tak te� robi wi�kszo�� u�ytkownik�w.
+P�niej mo�emy dostosowa� system do swoich potrzeb instaluj�c
+interesuj�ce nas programy lub usuwaj�c zb�dne. Podstawowa konfiguracja
+odbywa si� r�wnie� podczas instalacji. Gdy ju� szcz�liwie przebrniemy
+przez te wszystkie zawi�o�ci, ustawimy has�o superu�ytkownika (czyli
+roota) i zainstalujemy niezb�dne programy, mo�emy zacz�� przekszta�canie
+naszego Linuksa w "bezpieczn� stacj� robocz�".</p>
+
+<h3>Wa�niejsze usterki systemu mog�ce prowadzi� do naruszenia jego
+bezpiecze�stwa</h3>
+
+<p>Poni�ej przedstawiono wybrane luki obecne w wersjach dystrybucji Debian
+GNU/Linux od 1.3 do 2.2 poprzez stabilne wersje poprawkowe rc2, rc5
+itp.</p>
+
+<ul>
+<li>
+Demony bootpd i ftpd z pakietu netstd w wersjach starszych ni� 3.07-2
+by�y podatne na atak przez przepe�nienie bufora (Debian 1.3 / 2.0).
+Obecnie zosta�y ju� za�atane.
+</li>
+<li>
+Demon finger o nazwie cfingerd nigdy nie cieszy� si� s�aw�
+bezpiecznego. Odkryto w nim du�o bardzo powa�nych b��d�w (szczeg�lnie w
+starszych wersjach). Dlatego te� wi�kszo�� specjalist�w zaleca
+korzystanie ze standartowego demona (fingerd) znajduj�cego si� w
+pakiecie netstd.
+</li>
+
+<li>
+lincity - gra lincity w wersjach 1.03-2 i 1.09-1 (Debian 1.3.1),
+instalowana wraz z pakietem lincity-svga, zawiera b��d przepe�nienia
+bufora mog�cy prowadzi� do nieautoryzowanego dost�pu do przywilej�w
+superu�ytkownika. P�niejsze wersje s� bezpieczne.
+</li>
+
+<li>
+mailx-8.1.1-9 i wcze�niejsze - pozwala uzyska� intruzowi przywileje
+grupy mail.
+</li>
+
+<li>
+Program suidexec dostarczany razem z pakietem suidmanager (wersje
+wcze�niejsze ni� 0.19) pozwala na wykonanie ka�demu u�ytkownikowi
+dowolnego programu z prawami roota, je�li istnieje w systemie cho�
+jeden skrypt pow�oki z ustawionym bitem SUID.
+</li>
+
+<li>
+W bibliotece z pakietu ldso_1.9.2 (plik ld-linux.so.1.9.2) jest b��d
+pozwalaj�cy na uzyskanie przywilej�w u�ytkownika root.
+</li>
+
+<li>
+Program lsof w wersji 4.04 i wcze�niejszych pozwala na lokalne
+uzyskanie dost�pu do uprawnie� superu�ytkownika (zosta�o to naprawione
+w wersji 4.37).
+</li>
+
+<li>
+Pakiet super_3.11.6 i wcze�niejsze tak�e maj� usterki mog�ce prowadzi�
+do uzyskania nieautoryzowanego dost�pu.
+</li>
+
+<li>
+Gra xsoldier (wersja 1:0.96.7 i wcze�niejsze) jest domy�lnie
+instalowana z bitem SUID i zawiera gro�ny b��d mog�cy prowadzi� do
+uzyskania dost�pu do ca�ego systemu. Nale�y zainstalowa� nowsz� wersj�
+tego programu lub zdj�� wspomniany bit: chmod -s /usr/games/xsoldier.
+</li>
+
+<li>
+Demon ftp o nazwie wuftpd pocz�wszy od wersji 2.4.2, poprzez BETA-15 do
+BETA-18, a� do 2.5.0 zawiera szereg b��d�w krytycznych dla
+bezpiecze�stwa systemu. Nale�y zrezygnowa� z jego u�ywania (istnieje
+pakiet netstd zawieraj�cy bezpieczniejsz� alternatyw�) lub zainstalowa�
+najnowsz� mo�liw� wersj� (w tej chwili 2.6.0).
+</li>
+
+<li>
+fsp - w Debianie 2.0 ten program tworzy� nieautoryzowane konto o nazwie
+ftp. W wersji 2.71 pakietu b��d zosta� naprawiony (je�li jednak
+instalowali�my starsze wersje, po aktualizacji nale�y te� skasowa�
+wspomniane konto).
+</li>
+
+<li>
+cfengine - w wersji 2.0 systemu program ten zawiera� b��d pozwalaj�cy
+na naruszenia bezpiecze�stwa. Zosta� on naprawiony w wersji 1.4.9-3
+pakietu.
+</li>
+
+<li>
+W pakietach sendmail oraz sendmail-wide wyst�puje usterka pozwalaj�ca
+na zniszczenie zwyk�emu u�ytkownikowi bazy alias�w pocztowych. Zosta�o
+to naprawione w wersji sendmail_8.9.3-3slink1.
+</li>
+
+<li>
+Wcze�niejsze ni� 3.1.5-0.1 pakiety zawieraj�ce aplikacj� htdig maj�
+powa�n� usterk� mog�c� prowadzi� do uzyskania zdalnego dost�pu do
+systemu.
+</li>
+
+<li>
+Demon lpr w wersjach wcze�niejszych ni� 0.48-0.slink1 pozwala� na
+zdalne uzyskanie przywilej�w superu�ytkownika. Zamiast dalszego
+u�ywania tego programu zaleca si� korzystanie z narz�dzi zawartych w
+pakiecie lprng.
+</li>
+
+<li>
+apcd - rozpowszechniany razem z Debianem 2.1 Slink jest podatny na atak
+wykorzystuj�cy dowi�zania symboliczne. B��d zosta� naprawiony w wersji
+0.6a.nr-4slink1 pakietu.
+</li>
+
+<li>
+Podobny atak mo�na by�o przeprowadzi� z powodu niedoskona�o�ci programu
+make. Zosta�o to naprawione w wersji 3.77-5slink.
+</li>
+
+<li>
+Program nmh (wcze�niejsze ni� 0.27-0.28-pre8-4) mo�e zosta� wprowadzony
+w b��d przez odpowiednio spreparowane nag��wki MIME, co w konsekwencji
+mo�e doprowadzi� do wykonania kodu z prawami u�ytkownika root.
+</li>
+
+<li>
+mtr (starsze od0.28-1) domy�lnie zainstalowany z bitem SUID,
+niew�a�ciwie zwalnia wykorzystywane przywileje, co mo�e by� przyczyn�
+lokalnego zagro�enia.
+</li>
+</ul>
+
+<p>Wszystkie wymienione luki w bezpiecze�stwie zosta�y za�atane w wersji 2.2
+systemu. Oczywi�cie, s� to jedynie do�� znane przyk�ady - najbardziej
+aktualnych informacji nale�y szuka� na listach dyskusyjnych i stronach
+Debiana.</p>
+
+<h3>Blokowanie dost�pu do niepotrzebnych us�ug</h3>
+
+<p>Gdy nie ma potrzeby wykorzystywania jakiej� us�ugi, najlepiej
+uniemo�liwi� do niej dost�p. Na przyk�ad, gdy nie mamy zamiaru
+udost�pnia� innym informacji o zalogowanych u�ytkownikach oraz kontach w
+systemie, nale�y zrezygnowa� z uruchamiania demona fingerd. Tak�e
+wi�kszo�� us�ug typu RPC (Remote Procedure Call) nie jest przydatna na
+komputerze domowym.</p>
+
+<p>Obs�ug� du�ej cz�ci demon�w internetowych w systemach uniksowych zajmuje
+si� program inetd. Na wydruku 1 przedstawiono fragment przyk�adowego
+pliku konfiguracyjnego (/etc/inetd.conf) tego demona.</p>
+
+<p>Gdy nie chcemy korzysta� z danego programu, nale�y wiersz zawieraj�cy
+jego wywo�anie opatrzy� znakiem komentarza. W przypadku programu finger
+wiersz ten b�dzie wygl�da� nast�puj�co:
+
+<pre>
+ \#finger        stream  tcp     nowait  nobody  /usr/sbin/tcpd  /usr/sbin/in.fingerd
+</pre>
+
+<p>Nast�pnie zapisujemy zmiany i restartujemy demona inetd poleceniem
+killall -HUP inetd.
+Od tej chwili po��czenie z fingerd (port 79) b�dzie niemo�liwe.</p>
+
+<p>Zaleca si� blokowanie wszystkiego, z czego nie zamierzamy korzysta�.
+Zak�adaj�c, �e mamy dost�p do Internetu przez ��cze komutowane i nie
+zamierzamy uruchamia� �adnych serwis�w, zostawiamy tylko: ftp (serwer
+plik�w - kiedy zamierzamy je czasami komu� udost�pni�), smtp (serwer
+poczty wychodz�cej - gdy zamierzamy wysy�a� poczt�), ident (cz��
+serwer�w ftp oraz IRC wymaga identyfikacji u�ytkownika nawi�zuj�cego
+po��czenie). Oczywi�cie, tylko od nas zale�y co chcemy zostawi�, a co
+nie. Pe�ny spis us�ug i odpowiadaj�cych im port�w znajduje si� w pliku
+/etc/services.</p>
+
+<h3>Instalacja i konfiguracja programu Secure Shell (SSH)</h3>
+
+<p>Gdy chcemy umo�liwi� zdalnym u�ytkownikom dost�p do pow�oki, nie musimy
+u�ywa� do tego celu program�w telnet, rsh lub rlogin. Co wi�cej, nie jest
+to wskazane - programy te nie obs�uguj� szyfrowania transmisji i ka�da
+osoba dysponuj�ca przywilejami superu�ytkownika na komputerze, przez
+kt�ry przechodz� pakiety kierowane do naszego Linuksa mo�e pozna�
+niezakodowane has�o, a nawet przebieg ca�ej sesji. Program Secure Shell
+umo�liwia skorzystanie ze specjalnego protoko�u zapewniaj�cego szyfrowany
+algorytmem RSA kana� komunikacyjny. Mechanizm dzia�ania SSH to temat na
+osobny artyku�, jednak w skr�cie mo�na powiedzie� �e identyfikacja
+u�ytkownika opiera si� na sprawdzaniu wygenerowanych wcze�niej kluczy
+publicznych (mog� mie� one d�ugo�� od 512 bit�w wzwy�) przesy�anych do
+innych uczestnik�w transmisji. S�u�� one do kodowania danych; do
+dekodowania s�u�� klucze prywatne. Ca�a transmisja jest szyfrowana
+kluczem o d�ugo�ci 256 bit�w.</p>
+
+<p>W Debianie 2.2 pakiety z programem ssh(d) znajduj� si� w dziale non-US.
+Oznacza to, �e jest to oprogramowanie dodatkowe, nie b�d�ce cz�ci�
+dystrybucji, a jednocze�nie spe�niaj�ce kryteria produkt�w obj�tych
+specjalnymi przepisami eksportowymi Stan�w Zjednoczonych (algorytm ma
+mniejsz� d�ugo�� ni� w wersji przeznaczonej na rynek ameryka�ski -
+obecnie wspomniane przepisy ulegaj� zmianie). Mamy do dyspozycji zar�wno
+wersj� pierwsz� (pakiet ssh-nonfree_1.2.27-4.deb - wersja bardziej znana
+i szerzej stosowana), jak i drug� (ssh2_2.0.13-4), kt�rej wymagaj�
+niekt�re windowsowe klienty ssh. Ich darmowy odpowiednik (obie wcze�niej
+wspomniane wersje zamieszczone s� tak�e w dziale non-free) to tzw.
+OpenSSH (wywodz�cy si� z systemu OpenBSD) - zaleca si� u�ywanie w�a�nie
+tej odmiany, poniewa� ma ona opini� programu do�� bezpiecznego, co w
+przypadku aplikacji tego rodzaju nie jest bez znaczenia. Pakiet to
+ssh_1.2.1pre24-1.deb (non-US/main).</p>
+
+<p>Om�wmy pokr�tce zasad� dzia�ania narz�dzia. W momencie instalacji
+w�a�ciwego pakietu generowana jest para kluczy identyfikuj�cych nasz
+komputer (ssh_host_key - klucz prywatny oraz ssh_host_key.pub - klucz
+publiczny), kt�ra nast�pnie zostaje zapisana w katalogu /etc/ssh. Tam
+r�wnie� znajduje si� plik konfiguracyjny klienta (ssh_config) i demona
+(sshd_config). Opr�cz tego, w katalogu /etc/init.d tworzone s� skrypty
+startowe uruchamiaj�ce sshd (secure shell daemon). Dzieje si� to r�wnie�
+po udanej instalacji.</p>
+
+<p>Klienta ssh uruchamiamy poleceniem: 
+<pre>
+[tm:@ ~]$ ssh -l login host.pl 
+</pre>
+
+<p>Gdzie login jest nazw� konta, a host.pl adresem komputera na kt�ry chcemy
+si� zalogowa�. Potem ju� tylko musimy wpisa� nasze has�o.</p>
+
+<p>Gdy chcemy po��czy� si� z innym komputerem bez podawania has�a, musimy
+utworzy� programem ssh-keygen oba wymagane klucze. Wybieramy ich d�ugo��
+oraz has�o zabezpieczaj�ce klucz prywatny. Domy�lnie s� one umieszczane w
+katalogu $HOME/.ssh jako identity i identity.pub. Nast�pnie przenosimy
+nasz klucz publiczny (z pliku ~/.ssh/identity.pub) do pliku
+$HOME/.ssh/authorized_keys na innym serwerze. Mo�emy to zrobi� poleceniem
+<tt>cat identity.pub &gt;&gt; authorized_keys</tt>. Od teraz mo�emy logowa� si� na nasze
+konto na tym serwerze bez podawania has�a.</p>
+
+<p>Klientem programu Secure Shell mo�na zalogowa� si� na konto root, nawet
+je�li nasz terminal nie jest wymieniony w pliku /etc/securetty. Nie mo�na
+tego zrobi� korzystaj�c na przyk�ad ze zwyk�ego telnetu.</p>
+
+Po udanej instalacji serwera mo�emy zablokowa� dost�p do us�ug telnet,
+rlogin i rsh tak, jak zosta�o to opisane w poprzednim rozdziale.
+
+Secure Shell obs�uguje jeszcze jeden bardzo przydatny mechanizm. Jest nim
+tzw. przekazywanie port�w (ang. port forwarding). Polega ono na ��czeniu
+port�w lokalnej stacji roboczej z portami dowolnie wybranej internetowej
+maszyny. Gdy chcemy po��czy� port_zdalny serwera host.pl z portem
+port_lokalny naszego komputera, wpisujemy:
+
+[root]# ssh -L port_lokalny:host.pl:port_zdalny localhost 
+
+Po wpisaniu has�a i rozpocz�ciu sesji wszystkie po��czenia na
+port_lokalny naszej maszyny b�d� przekazywane na port_zdalny host.pl.
+R�wnowa�ne polecenie to:
+
+[root]# ssh -R port_zdalny:host.pl:port_lokalny localhost 
+
+To udogodnienie mo�na wykorzysta� do obs�ugi us�ug, kt�re standardowo nie
+zapewniaj� mo�liwo�ci szyfrowania transmisji (takich jak pop3). Dzi�ki
+temu nie b�dziemy przesy�a� naszych hase� czystym tekstem przez ca��
+drog� do zdalnego serwera.
+
+Do przekazywania port�w o numerach mniejszych od 1024 potrzebujemy
+przywilej�w superu�ytkownika. W przypadku innych mo�emy to robi� jako
+zwyk�y u�ytkownik.
+
+<h3>Program SSLtelnet</h3>
+
+Gdy z jakich� powod�w musimy u�ywa� telnetu (np. osoby, kt�rym
+chcieliby�my udost�pni� pow�ok� u�ywaj� system�w nie-uniksowych i nie
+posiadaj� klient�w ssh - dla MS Windows 9x istniej� odpowiednie programy,
+natomiast np. dla MS-DOS niestety nie), najlepiej by�oby, gdyby
+obs�ugiwa� on mo�liwo�� szyfrowania transmisji. Pomoc� b�dzie nam tutaj
+s�u�y�o narz�dzie telnet(d)-ssl. Program sk�ada si� z klienta oraz demona
+i ma za zadanie zast�pi� standartowy telnet. Obs�uguje technologi� SSL
+(Secure Socket Layer) i dzi�ki temu mo�e nawi�za� bezpieczne po��czenie,
+gdy druga strona tak�e ma zaimplementowan� t� funkcj�. W przeciwnym razie
+u�ywany jest kana� niezakodowany (tak jak w "zwyk�ym" telnecie). Dzi�ki
+temu mamy zar�wno mo�liwo�� szyfrowania, jak i ��czno�� z innymi, nie
+posiadaj�cymi klient�w ssh osobami.
+
+Aby zainstalowa� SSLtelnet(d), potrzebujemy odpowiednich bibliotek.
+Znajduj� si� one w oddzielnym pakietach (dzia� non-US, numery wersji
+takie jak w Debianie 2.2):
+<pre>
+[root]# dpkg -i libssl09_0.9.4-4.deb 
+[root]# dpkg -i openssl_0.9.4-4.deb 
+[root]# dpkg -i ssleay_0.9.4-4.deb 
+</pre>
+Musimy usun�� stare wersje telnet i telnetd: 
+<pre>
+[root]# dpkg --purge telnet 
+[root]# dpkg --purge telnetd 
+</pre>
+Teraz mo�emy przyst�pi� do instalacji programu: 
+<pre>
+[root]# dpkg -i telnet-ssl_0.14.9-1.deb 
+[root]# dpkg -i telnetd-ssl_0.14.9-1.deb 
+[root]# dpkg -i ssltelnet_0.14.9-1.deb 
+</pre>
+W tym momencie zamieniane s� odpowiednie pliki. Nasz telnet jest teraz
+wyposa�ony w nowe funkcje - szczeg�owe ich om�wienie mo�na znale�� na
+stronie podr�cznikowej (man 1 telnet lub man 8 telnetd).
+
+<h3>Icmplogd i Tcplogd - programy loguj�ce pr�by nawi�zywania
+po��cze�</h3>
+
+<p>Zanim kto� zdecyduje si� na w�amanie do danego systemu komputerowego,
+zwykle stara si� zebra� o nim jak najwi�cej informacji. Jedn� z metod
+"rozpoznania celu" jest skanowanie port�w. Oczywi�cie, nie istnieje �aden
+spos�b zabezpieczenia si� przed pr�bami takiego dzia�ania - mo�na je
+tylko wykry� i ewentualnie odpowiednio na nie reagowa�. Standardowo
+informacje o po��czeniach na porty naszej maszyny przechwytuje demon
+syslogd i przesy�a je w odpowiednie miejsce (patrz Syslogd - standartowa
+kontrola pracy systemu). Jednak tym sposobem dowiemy si� tylko o
+najprymitywniejszych przypadkach skanowania port�w - zwyk�ych pe�nych
+po��czeniach TCP z trzystopniowym potwierdzaniem (ang. three-way
+handshake). Istniej� o wiele bardziej wyrafinowane metody, nie s� one
+jednak niewykrywalne, jak s�dzono jeszcze jaki� czas temu. W rozpoznaniu
+ich pomo�e nam pakiet iplogger (w wersji 2.2 to iplogger_1.1-7.deb).
+Zawiera dwa demony - tcplogd oraz icmplogd. Pami�taj� one wszystkie
+po��czenia przychodz�ce TCP oraz pakiety ICMP wys�ane do naszego
+komputera i standardowo przekazuj� zawiadomienia o nich do syslogd jako
+daemon.notice. W pliku /etc/iplogger.conf mo�emy zdefiniowa�, czego
+u�ywa� do zapisu raport�w oraz jakie pakiety rejestrowa�. Skrypty
+startowe obu demon�w instaluj� si� automatycznie w katalogu
+/etc/init.d.</p>
+
+<h3>Tripwire - sprawdzanie sum kontrolnych plik�w</h3>
+<p>Nawet je�li jeste�my bardzo pewni naszych zabezpiecze�, powinni�my by�
+przygotowani na najgorsze. Po w�amaniu kluczow� spraw�, opr�cz za�atania
+luki i wymiany hase� jest ustalenie, kt�re pliki zosta�y zmienione.
+Zapewnienie sp�jno�ci systemu to jedno z podstawowych zada�
+administratora. R�czne sprawdzenie sum kontrolnych oraz dat powstania i
+modyfikacji plik�w mo�e by� do�� k�opotliwe (sum� kontroln� MD5 danego
+pliku mo�emy utworzy� poleceniem md5sum plik). Dlatego mi�dzy innymi
+powsta� pakiet tripwire (ostatnia wersja tripwire_1.2-16.1.deb), kt�ry
+powiadomi nas o ka�dej niezgodno�ci zachodz�cej miedzy informacjami
+zapisanymi w bazie a aktualnym stanem. Po instalacji w pliku
+konfiguracyjnym /etc/tripwire/tw.config mo�emy okre�li� co i jak ma by�
+sprawdzane. Poleceniem tripwire -initialize generujemy list�, z kt�r�
+b�dziemy p�niej por�wnywa� wyniki nast�pnych sprawdze� (program
+umieszcza j� jako aktualny_katalog_roboczy/databases/tw_db.nazwa.hosta,
+p�niej nale�y j� skopiowa� do katalogu /usr/lib/tripwire/databases). W
+katalogu /etc/cron.weekly jest te� umieszczany skrypt tripwire - je�li
+nie odpowiada nam cotygodniowa kontrola mo�emy go przenie�� np. do
+/etc/cron.monthly - wtedy ca�a operacja b�dzie wykonywana co miesi�c.</p>
+
+<h3>Programy SUID i SGID</h3>
+<p>Je�li wykonywalny plik ma ustawiony bit SUID, oznacza to �e zawsze jest
+uruchamiany z przywilejami u�ytkownika, kt�ry jest jego w�a�cicielem.
+Podobnie jest z bitem SGID - ale wtedy to grupa, do kt�rej nale�y program
+przekazuje swoje uprawnienia. Nie trzeba wyja�nia�, dlaczego takie
+ustawienia powinny by� nadawane tylko w najbardziej uzasadnionych
+przypadkach. Najwi�ksze niebezpiecze�stwo zachodzi wtedy, gdy
+w�a�cicielem jest root (lub grupa root w przypadku program�w SGID).
+
+Obecno�� takich program�w mo�emy sprawdzi� poleceniem:</p>
+
+<pre>
+[root]# find / -type f -user root -perm -04000 -ls 
+</pre>
+
+Oraz dla SGID: 
+
+<pre>
+[root]# find / -type f -user root -perm -02000 -ls 
+</pre>
+
+<p>Lista powinna by� monitorowana. Zaleca si� usuni�cie bit�w SUID z
+program�w /bin/mount i /bin/umount (chyba �e chcemy montowa� inne systemy
+plik�w jako zwyk�y u�ytkownik), a gdy zainstalujemy ssh to tak�e z
+/usr/bin/rcp (w zast�pstwie mamy program scp - cz�� pakietu ssh),
+/usr/bin/rlogin i /usr/bin/rsh. Usuni�cie wspomnianego bitu z innych
+program�w tak�e jest mo�liwe (chodzi tu np. o /bin/ping i
+/usr/bin/traceroute), jednak dopiero po dokonaniu niezb�dnych zmian w
+�r�d�ach j�dra systemu i jego rekompilacji. W przeciwnym razie programy
+nie b�d� dzia�a� poprawnie.
+
+<p>Alternatywn� metod� zapanowania nad popularnymi "suidami" jest instalacja
+pakietu suidmanager_0.43.2.deb (Debian 2.2). Wtedy za pomoc� polece�
+suidregister i suidunregister lub bezpo�rednich wpis�w do pliku
+/etc/suid.conf kontrolujemy obecno�� tych potencjalnie niebezpiecznych
+program�w w naszym systemie.
+
+<p>Wi�cej na ten temat mo�na dowiedzie� si� z artyku�u Zabezpieczenia w
+popularnych dystrybucjach Linuksa, kt�ry ukaza� si� w numerze 1/99
+LinuxPlus.
+
+<h3>Filtrowanie po��cze� przychodz�cych - program tcpd</h3>
+
+<p>Nie zawsze mo�emy przewidzie�, kto b�dzie ��czy� si� z naszym komputerem.
+Cz�ci "go�ci" chcieliby�my odm�wi� dost�pu do konkretnych us�ug, port�w
+lub nawet ca�ego systemu. Do takich cel�w s�u�� (mi�dzy innymi) specjalne
+programy zwane zaporami sieciowymi (ang. firewall). S� to w wi�kszo�ci
+produkty komercyjne (cho� istnieje kilka bardzo dobrych i darmowych),
+wymagaj�ce sporej wiedzy i umiej�tno�ci przy instalacji oraz sta�ego
+nadzoru. Nie b�d� na pewno przeznaczone dla domowego u�ytkownika. Odmian�
+zap�r sieciowych s� tak zwane filtry pakiet�w IP (ang. packet filter).
+Je�li chodzi o Linuksa, mamy do dyspozycji ipfwadm (j�dra systemu w
+wersjach 2.0.x) oraz ipchains (wersje 2.2.x). Wymagaj� one jednak
+modyfikacji i rekompilacji j�dra systemu - trzeba w��czy� wszystkie opcje
+umo�liwiaj�ce obs�ug� zap�r sieciowych, co znacznie zwi�kszy rozmiar
+j�dra. Opr�cz tego, okre�lenie du�ej ilo�ci adres�w "zaufanych" i
+"niezaufanych" mo�e powodowa� p�niej trudno�ci w zrozumieniu sytuacji
+(przynajmniej dla patrz�cego na te ustawienia niezbyt obytego z Uniksem
+administratora). Filtry IP to niew�tpliwie narz�dzie dla �rednio
+zaawansowanych i do�wiadczonych u�ytkownik�w. Stosowanie ich na stacji
+roboczej co prawda nie jest wygodne, ale niew�tpliwie mo�liwe. Wi�cej na
+temat kompilacji j�dra i ustawianiu odpowiednich opcji w cz�ci
+Rekompilacja j�dra.
+
+<p>Podstawow� kontrol� po��cze� z us�ugami obs�ugiwanymi przez demony
+uruchamiane za po�rednictwem programu inetd zapewnia program tcpd (tak
+zwany TCP Wrapper). Wpisuj�c w /etc/inetd.conf przed �cie�k� do danego
+demona /usr/sbin/tcpd (tcpd mo�e by� zainstalowane w dowolnym innym
+miejscu), poddajemy ten program kontroli. Kluczowe znaczenie maj� tu
+pliki /etc/hosts.allow i /etc/hosts.deny (w Debianie stosowany jest do
+dzi� ten format zapisu, w innych dystrybucjach mo�e by� u�ywany wy��cznie
+plik /etc/hosts.deny). Gdy chcemy na przyk�ad odblokowa� niekt�re
+programy tylko dla konkretnych os�b, do hosts.deny wpisujemy ALL: ALL,
+natomiast do hosts.allow intersuj�ce nas adresy IP lub domeny oraz nazwy
+us�ug w formacie nazwa_uslugi: .domena.pl (lub nazwa_hosta) - tak jak
+jest to pokazane na wydruku 2. Natomiast odwrotna operacja wymaga
+wpisania ALL: ALL do /etc/hosts.allow, a poni�szych regu� do
+/etc/hosts.deny (wydruk 3).
+
+<p>To tylko najprostsze przyk�ady. Bardziej szczeg�owe informacje mo�na
+znale�� na stronie podr�cznikowej tcpd(8) (man 8 tcpd).
+
+<h3>Syslogd -kontrola pracy systemu</h3>
+
+<p>Pakiet sysklogd oferuje nam dwa demony, kt�rych zadaniem jest
+rejestrowanie pracy systemu: klogd oraz syslogd. Pierwszy przechwytuje
+wiadomo�ci wysy�ane przez j�dro, drugi natomiast operuje w przestrzeni
+u�ytkownika (user space) i monitoruje dzia�anie program�w systemowych (i
+nie tylko). To w�a�nie ten ostatni jest jednym z g��wnych filar�w
+bezpiecze�stwa - gdy b�dziemy wiedzieli co si� "u nas" dzieje, b�dziemy
+te� w stanie �atwiej zlokalizowa� przyczyny ewentualnych problem�w.
+
+<p>Co, jak i gdzie rejestrowa� okre�lamy w pliku konfiguracyjnym
+/etc/syslog.conf. Gdy wprowadzamy zmiany do ju� istniej�cych ustawie�,
+musimy pami�ta� o specjalnym formacie zapisu. Z grubsza mo�na go
+przedstawi� tak:
+
+&lt;s�owo kluczowe&gt;.&lt;priorytet&gt;      &lt;miejsce logwania&gt;
+
+<p>S�owo kluczowe opisuje podsystem, kt�ry b�dzie wysy�a� wiadomo�ci.
+Najwa�niejsze dopuszczalne warto�ci tego parametru to: auth, auth-priv,
+cron, daemon, kern, lpr, mail, news, syslog, user, uucp oraz local0 a� do
+local7.
+
+<p>Priorytet okre�la znaczenie i rodzaj wiadomo�ci. Mo�emy go zdefiniowa�
+jako (zaczynaj�c od najmniej istotnych): debug, info, notice, warning,
+warn (to samo co warning), err, error (to samo co err), crit, alert,
+emerg, panic (to samo, co emerg).
+
+<p>Parametr miejsce logowania nie musi by� koniecznie plikiem - mo�e
+wskazywa� urz�dzenie blokowe (konsol� lub nawet terminal wirtualny),
+nazw� innego komputera naszej sieci, nazw� u�ytkownika czy te� nazwany
+potok(kolejk�).
+
+<p>We wszystkich trzech przypadkach dopuszcza si� stosowanie znaku * , kt�ry
+oznacza odwo�ania do wszystkich typ�w i/lub priorytet�w, a w przypadku
+miejsca logowania wysy�anie wiadomo�ci na terminale zalogowanych
+u�ytkownik�w.
+
+<p>Kilka przyk�ad�w mo�liwych konfiguracji mo�emy zobaczy� na wydruku 4.
+
+<p>Od nas zale�y, jakie ustawienia uznamy za najbardziej w�a�ciwe. Po ka�dej
+zmianie nale�y zrestartowa� demona poleceniem killall -HUP syslog. Warto
+poeksperymentowa�.
+  
+<h3>Rekompilacja j�dra systemu</h3>
+
+<p>Powt�rna kompilacja j�dra nie jest absolutnie konieczna, ale staje si�
+niezb�dna gdy chcemy zwi�kszy� szybko�� systemu lub gdy potrzebujemy
+nowych sterownik�w. Czasami nowe wersje j�dra maj� nowe, przydatne
+funkcje i nie powtarzaj� starych b��d�w. O ca�ej operacji napisano wiele,
+wi�c nie powinna ju� nikomu sprawia� k�opot�w. Generaln� tendencj� jest
+usuwanie wszystkiego, czego nie musimy u�ywa� oraz dodawanie tego, co
+b�dzie nam potrzebne. Dzi�ki rozs�dnemu wyborowi i skompilowaniu
+niekt�rych sterownik�w jako modu��w �adowalnych mo�na znacznie
+"odchudzi�" j�dro i wydatnie przyspieszy� naszego Linuksa. Warto te�
+zainteresowa� si� niekt�rymi opcjami bezpo�rednio dotycz�cymi
+bezpiecze�stwa, np. TCP syncookie support (jej w��czenie zapobiega atakom
+typu syn-flood - zalewanie pakietami SYN) czy te� Quota support
+(wkompilowanie jej w j�dro pozwoli nam ustawi� limity przestrzeni
+dyskowych w systemie plik�w dla okre�lonych u�ytkownik�w za pomoc�
+programu quota). Opcje pozwalaj�ce uruchomi� zapor� sieciow� zosta�y
+opisane w artykule Zabezpieczenia w popularnych dystrybucjach Linuksa z
+LinuxPlus 1/99 (Tabela 3).
+
+
+<h3>Ustawianie ogranicze� pow�oki</h3>
+
+<p>Czasami chcieliby�my da� komu� dost�p do wirtualnej konsoli, ale nie
+jeste�my w stu procentach pewni czy ta osoba (przez przypadek lub
+umy�lnie) nie zak��ci pracy naszego systemu. Aby odebra� jej mo�liwo��
+wykonywania niepo��danych czynno�ci, mo�emy zastosowa� kilka rozwi�za�.
+
+<p>Najpro�ciej jest u�y� wbudowanego polecenia pow�oki bash, ulimit. Za jego
+pomoc� mo�na ustawi� m.in. maksymalny rozmiar plik�w, pami�� wirtualn�,
+zu�ycie czasu procesora, najwi�ksze rozmiary plik�w zrzutu pami�ci
+(core), nieprzekraczalny limit otwartych na raz deskryptor�w plik�w,
+maksymaln� liczb� proces�w jakie dany u�ytkownik mo�e rozpocz�� oraz
+maksymalny rozmiar zajmowanej pami�ci. Wszystkie limity zobaczymy po
+wydaniu polecenia ulimit -a. Wi�cej informacji na temat ich ustawiania
+znajduje si� na stronie podr�cznikowej builtins(1) (cz�� ulimit).
+
+<p>Poniewa� Debian do wersji 2.1 nie ma w pe�ni zaimplementowanego
+mechanizmu PAM (Pluggable Authentication Modules), nie mo�emy okre�la�
+globalnych limit�w bezpo�rednio w pliku /etc/security/limits.conf (tak
+jak w Red Hacie, S.u.S.E., Mandrake, Calderze czy Debianie 2.2, kt�re te
+funkcje posiadaj�). Jednak je�li musz� dotyczy� one wszystkich
+u�ytkownik�w (tak�e naszego), nic nie stoi na przeszkodzie aby ustawi� je
+w plikach startowych pow�oki. Globalnie takim plikiem jest /etc/profile
+(ca�y czas m�wimy o bashu). Do tego pliku wpisujemy polecenie ulimit
+[opcja] [nasz limit] i od tej pory ka�dy uruchamiaj�cy pow�ok� b�dzie
+obj�ty takimi ograniczeniami (nawet je�li w swoim katalogu domowym
+posiada plik .bash_profile, kt�ry wykonywany jest p�niej). Raz
+ustawionych w pow�oce limit�w nie mo�na "z�agodzi�". Ka�dy program (np.
+pow�oka csh, w kt�rej odpowiednikiem ulimit jest polecenie limit) z niej
+uruchomiony dziedziczy wszystkie ustawienia.
+
+<p>Takie rozwi�zanie ma jednak du�o wad. Najwa�niejsz� jest brak mo�liwo�ci
+wybrania u�ytkownik�w, kt�rych ograniczenia chcemy skonfigurowa� inaczej.
+Je�li mamy zamiar zrobi� co� takiego, mo�emy zastosowa� inn� metod�
+polegaj�c� na odpowiednim wpisie do pliku /etc/limits, z kt�rego korzysta
+program login. Limity w tym wypadku mo�emy przyznawa� TYLKO poszczeg�lnym
+nazwom u�ytkownik�w. Wi�cej informacji o formacie i sposobie zapisu
+znajduje si� na stronie podr�cznikowej limits(5) oraz w komentarzach tego
+pliku.
+
+<p>Wr��my teraz do Debiana 2.2. Tu ju� sytuacja wygl�da du�o lepiej. Za
+przydzielanie i kontrol� zasob�w odpowiedzialny jest wcze�niej wspomniany
+zestaw bibliotek PAM. Szczeg�owe ustawienia dotycz�ce takich narz�dzi
+jak chfn, chsh, login, ppp, su i innych mo�emy obejrze� w pliku
+/etc/pam.conf lub w katalogu /etc/pam.d (gdy ten drugi istnieje,
+zawarto�� pierwszego jest ignorowana). Zmiany w konfiguracji wprowadzamy
+poprzez edycj� tych plik�w. W obszernym dokumencie Linux-PAM system
+administrators' guide jest napisane jak si� do tego zabra� - po
+zainstalowaniu libpam-doc_0.72-3.deb (sekcja doc) dokument ten powinien
+si� znajdowa� w katalogu /usr/share/doc/libpam-doc. Nale�y zastanowi� si�
+nad takimi opcjami jak maksymalna i minimalna d�ugo�� has�a (passwd),
+dost�p do polecenia su tylko dla cz�onk�w grupy root czy te� ograniczenia
+w u�ywaniu przez naszych u�ytkownik�w polece� chfn i chsh. W po��czeniu
+ze zmianami w /etc/login.defs (kolejny plik konfiguracyjny programu login
+- wi�cej szczeg��w na stronie login.defs(5) ), to w�a�ciwie powinno nam
+wystarczy�.
+
+<p>Z /etc/pam.d/login zwi�zana jest jeszcze jedna wa�na kwestia - omawiane
+wcze�niej ograniczenia. Opcje w��czamy poprzez usuni�cie znak�w
+komentarza z odpowiednich wpis�w we wspomnianym pliku (poniewa� s�
+opatrzone opisem, nie s�dz� aby by�y problemy z ich znalezieniem).
+
+<p>Do wyboru s� ograniczenia dost�pu do programu login, praw innych grup,
+limity czasowe (np. czy w danym dniu o okre�lonej godzinie u�ytkownik
+mo�e korzysta� z okre�lonych us�ug), ustawienie odpowiednich zmiennych
+�rodowiskowych, a tak�e najbardziej nas chyba interesuj�ce limity
+zasob�w. Konfiguracja poszczeg�lnych dzia��w jest pogrupowana tematycznie
+w katalogu /etc/security:
+
+
+<p>access.conf - dost�p do login: okre�lamy u�ytkownik�w, adres �r�d�owy,
+rodzaj dzia�ania (+ - przyj�cie, - - odrzucenie);
+
+<p>group.conf - dost�p do grup: us�uga, terminal, u�ytkownik, czas
+obowi�zywania, grupa (lub grupy);
+
+<p>limits.conf - zasoby: u�ytkownik (mo�e te� by� grupa), typ limitu (mi�kki
+lub twardy), rodzaj oraz warto��;
+
+<p>pam_env.conf - zmienne globalne: nazwa zmiennej, warto�� domy�lna,
+odwo�anie do innej zmiennej (gdy jest ustawiona, jej warto�� zostanie
+przyj�ta; w przeciwnym razie ustawiona b�dzie warto�� domy�lna);
+
+<p>time.conf - ograniczenia czasowe: us�uga, terminale, u�ytkownik, czas
+obowi�zywania
+
+<p>W starszych Debianach (z zainstalowanym pakietem shadow) niepe�nymi
+odpowiednikami s� /etc/login.access, kilka opcji z /etc/login.defs oraz
+/etc/limits. Jednak PAM oferuje du�o wi�ksze mo�liwo�ci - warto
+poeksperymentowa�.
+
+<p>Istnieje jeszcze kilka mo�liwo�ci ustawiania ogranicze� pow�oki.
+Stosunkowo najgorsz� i wymagaj�c� najwi�cej zachodu jest tzw. restricted
+bash (strona podr�cznika to rbash(1)). Prawid�owa konfiguracja tego
+narz�dzia nastr�cza sporo problem�w, a i tak z powodu kilku przeocze� (w
+wi�kszo�ci przypadk�w chodzi o aplikacje, do kt�rych u�ytkownik mia� mie�
+dost�p - czasami zaimplementowane w nich funkcje niwecz� ca�y wysi�ek
+administratora) mo�e nie wystarczy�. Mo�liwo�� uruchomienia w�asnej
+pow�oki bez ogranicze�, przegrywanie na konto i wykonywanie w�asnych
+program�w to najcz�ciej spotykane rezultaty. W�a�ciwym rozwi�zaniem
+wydaje si� odpowiednio ustawiana zmienna �rodowiskowa $PATH
+(uniemo�liwienie dost�pu do pow�ok i katalogu domowego) oraz montowanie
+partycji z katalogiem domowym u�ytkownika jako noexec (zapobieganie
+wykonaniu przegranej na konto pow�oki) jednak jest to bardzo cz�sto
+czasoch�onne, k�opotliwe i - co najwa�niejsze - niepewne. Istnieje wiele
+sposob�w "wyprowadzenia w pole" rbasha i dlatego nie nale�y go stosowa�.
+W �rodowisku bardziej surowych ogranicze� (czyli takim, w kt�rym
+mogliby�my u�y� rbasha) nale�y si�gn�� po tak zwane wirtualne systemy.
+Adresy, pod kt�rymi mo�na znale�� oraz przyk�ady tego rodzaju program�w,
+znajduj� si� na ko�cu artyku�u.
+
+<p>Og�lne wzory bezpiecznego u�ytkowania systemu - polityka ograniczonego
+zaufania
+
+<p>W r�kach lekkomy�lnego i niedba�ego administratora nawet
+najbezpieczniejszy system staje si� dla w�amywacza �atwym celem. Dlatego
+warto przyswoi� sobie kilka nawyk�w, kt�re w pewnych sytuacjach mog� nam
+"uratowa� �ycie" czyli zaoszcz�dzi� czas i zdrowie, a nierzadko i
+zapisane na dysku cenne dane.
+
+<p>Przede wszystkim nie nale�y przyjmowa�, �e ka�da osoba z kt�r� rozmawiamy
+np. za po�rednictwem us�ugi IRC ma wobec nas ca�kowicie jasne zamiary.
+Zatem nie og�aszajmy wszystkim szczeg�owo ustawie� naszego systemu,
+odrzucajmy pro�by o wys�anie wa�nych plik�w konfiguracyjnych, nie
+wykonujmy skompilowanych program�w nieznanego pochodzenia (a ju� na pewno
+nie jako u�ytkownik root!), zastan�wmy si� dobrze je�li chodzi o
+zak�adanie kont nieznanym nam bli�ej osobom - a je�li ju� si� na to
+zdecydujemy, nale�y ustawi� tym u�ytkownikom odpowiednie ograniczenia
+(tak jak zosta�o to pokazane w poprzednim rozdziale). W codziennej pracy
+w Internecie i poza nim u�ywajmy specjalnie stworzonego do tego celu
+konta. Zwykle zadania, kt�re wykonujemy, nie wymagaj� najwy�szych
+przywilej�w. Superu�ytkownik powinien nam wy��cznie s�u�y� do
+wprowadzania zmian w konfiguracji systemu - w �adnym wypadku do �ci�gania
+poczty, pisania na grupy dyskusyjne czy te� "ircowania". Pami�tajmy o
+tym.
+
+<p>Bardzo wa�ne s� has�a - nie trzeba chyba t�umaczy�, �e powinny by� takie,
+aby nie mo�na by�o ich odgadn��. W tym celu warto zainstalowa� pakiet
+pwgen (Debian 2.2 -wersja 1-15). Program s�u�y do "losowego" tworzenia
+hase� - w wierszu polece� podajemy jedynie ich maksymaln� d�ugo�� oraz
+okre�lamy, czy maj� si� sk�ada� jedynie ze znak�w alfanumerycznych
+(pwgen) czy te� ze wszystkich znak�w nale��cych do "dolnej po�owy"
+tablicy ASCII i daj�cych si� wydrukowa� (pwgen z opcj� -s, czyli spwgen).
+Niestety, wspomniane narz�dzie wymaga biblioteki libc6 i nie b�dzie
+dzia�a� na systemach w ni� nie wyposa�onych. Oczywi�cie, nawet gdy mamy
+(wed�ug nas) "silne" has�o, nie nale�y rezygnowa� z jego zmian. Zmiana
+has�a co pewien czas powinna r�wnie� by� nawykiem.
+
+<p>Nie udost�pniajmy w pe�ni wszystkim zasob�w naszego komputera tylko
+dlatego, �e kto� o to poprosi. Nie ustawiajmy na sta�e niekontrolowanego
+dost�pu do serwera X poleceniem xhost +. Niebezpiecze�stwa takiego
+post�powania nie trzeba chyba nikomu t�umaczy�. Tak�e lokalnie pewne
+us�ugi powinny by� dost�pne wy��cznie dla os�b z okre�lonych grup (np.
+dost�p do programu su, serwera X, pppd, czy innych system�w plik�w). W
+tym celu mamy ju� stworzone grupy audio, floppy, cdrom i inne. Je�li
+potrzebujemy dost�pu do jakich� przywilej�w, po prostu dodajmy naszego
+u�ytkownika do odpowiedniej z grup. Pami�tajmy te�, �e nigdy nie mo�emy
+do ko�ca ufa� stworzonym zabezpieczeniom. Trzeba jednak post�powa� tak,
+aby ich pewno�� i skuteczno�� by�a jak najwi�ksza.
author	Konrad Bielak <vandut>	2005-12-01 12:07:40 +0000
committer	Konrad Bielak <vandut>	2005-12-01 12:07:40 +0000
commit	f740bf5fbb7a921d29031185533f9e62e69f328d (patch)
tree	0b614576412389628c0c3ee965f6af60c18039f8 /polish/international/Polish/bezpieczny_debian.wml
parent	1b72ded16f8480cd690a7578538d5fe2e7f3b0a1 (diff)