· Artikelindex

En lätt förföljelsemani är bra för affärerna

Satsa mycket tid på att få en bra katalogtjänst och säkerhet i Unix-nätet. Det lönar sig både på kort och lång sikt.

Det första en Unix-administratör bör göra är att införa X-terminaler, det vill säga att användarna kör tillämpningarna på centrala servrar istället för på sina egna datorer. Med terminaler sjunker kostnaderna för administration till en bråkdel av alternativen. Hur mycket som sparas beror på den egna organisationen; studier visar på besparingar mellan 50 och 80 procent.

Dock passar inte terminaler för alla tillämpningar. Grafikartister behöver till exempel full tillgång till en egen maskin medan terminaler passar alldeles utmärkt för programutveckling.

»Problemet är användarna»

I alla utom de mest trivial nät måste information som användardatabasen, skrivarnamn med mera distribueras. Traditionellt används NIS (Network Information Service) i kombination med DNS (Domain Name Service).

Ska ett nytt nät sättas upp är det bättre att från början satsa på en central katalog med LDAP-gränssnitt (Light-weight Directory Access Protocol) för all information. De flesta nya nättillämpningar använder nämligen LDAP för att hämta information.

Oavsett katalog och terminallösning måste man tänka på att de flesta Unix-operativ innhåller fel som gör att tekniskt begåvade användare kan få administratörsrättigheter om de bara har tillgång till en kommandorad. Litar man inte på användarna är detta ett stort problem.

Problemet kan minimeras genom att avinstallera alla program och tjänster som inte används. Framförallt bör program som är installerade »setuid» avinstalleras. Setuid betyder förenklat att programmen körs med full administratörsrättighet oavsett vem som startar programmet. Varje sådant program är en separat säkerhetsrisk och att de överhuvudtaget förekommer beror på avsaknaden av en vettig säkerhetsmodell i operativet.

Unixsystem får påhälsning

Nätverkssäkerhet är av yttersta vikt. Om en Unix-maskin installeras med leverantörens grundinställningar och kopplas till Internet så kommer någon att hacka sig in i den. Med risk för att bli övertydlig: En Unix-maskin på Internet kommer att med 100 procents sannolikhet få intrång om inte åtgärder vidtas.

För att inte få intrång måste tre saker göras: Installera de senaste felrättningarna från tillverkaren, stäng av alla nätverkstjänster som inte är absolut nödvändiga - och installera en brandvägg. Kontinuerlig uppföljning krävs även varje vecka. Läs loggfiler och kontrollera om nya felrättningar finns. Räkna med två till fyra timmar per vecka även för det minsta nät.

Eftersom nästan alla allvarliga dataintrång sker av anställda ska naturligtvis inte säkerhetsarbetet enbart riktas utåt. Brandväggar mellan avdelningarna på företaget är till exempel att rekommendera.

En för vanliga människor osund dos förföljelsemani är att rekommendera för systemadministratörer.

Mer information om administration i allmänhet

The System Administrators Guild www.usenix.org/sage

Caldera Open Administration System www.coas.org

Configuration Engine www.iu.hioslo.no/cfengine

Linux Terminal Server www.ltsp.org

Mer information om säkerhetshål

CERT www.cert.org

Security Focus www.securityfocus.com

Rootshell www.rootshell.com



Text : Ola Sigurdson

  (20000224)

Relaterade Nyheter:

P10 får mer att göra när försvaret bantar

Så fungerar övervakningsprotokollen

Ta kontrollen över nätverket



Copyright OSYSTEM AB · Telefon: 046 37 01 24 · Fax: 046 37 01 22 · Epost: info@osys.se
Uppdaterad 2001-11-13
av Webmaster