Защиту от вирусов в Linux можно обеспечить с помощью тех же средств, что и в Windows, благо все известные поставщики антивирусного обеспечения выпускают UNIX-версии своих программных продуктов. Но в мире UNIX есть свой бесплатный антивирус ClamAV, который мало уступает по возможностям и эффективности коммерческим решениям. Встроенная поддержка почтовых систем, архивов различных форматов, всех распространенных форматов почтовых файлов, обширная вирусная база высокой актуальности – аргументы в пользу ClamAV. Полный список ПО, с которым интегрируется ClamAV, можно посмотреть на сайте программы.
Linux – сетевая ОС, и межсетевой экран в ней присутствует с самого начала. В настоящий момент (начиная с ныне подзабытой версии ядра Linux 2.4) в стандартную поставку любого дистрибутива Linux входит брандмауэр iptables. Роль межсетевого экрана на самом деле выполняет модуль ядра netfilter, утилита iptables – всего лишь пользовательская оболочка, предназначенная для редактирования правил фильтрации и перенаправления пакетов. Но, когда речь идет о брандмауэре в Linux, как правило, подразумевается iptables. Общая концепция iptables (как и всех пакетных фильтров) такова: список правил, состоящих из критериев, и действия при соответствии пакета критериям.
Правила объединяются в цепочки, между которыми могут перемещаться пакеты. Существуют четыре таблицы (raw, mangle, nat, filter), разграничивающие цепочки правил по выполняемым задачам: модификация пакетов, перенаправление, фильтрация. Присутствует возможность определения состояний для возможности работы межсетевого экрана на сеансовом уровне.
Для организации работы межсетевого экрана нужно создать набор (цепочку) правил. Действия, доступные во всех цепочках, – ACCEPT (пропустить), DROP (удалить), QUEUE (передать на анализ внешней программе), RETURN (возврат на анализ в предыдущую цепочку). В систему встроены цепочки пяти типов: PREROUTING, INPUT, FORWARD, PREROUTING, POSTROUTING.
Общий вид правила:
iptables [-t table] command [match] [с]
Спецификатор – t указывается перед названием правила, которое будет использовано в таблице. Если спецификатор пропущен, то по умолчанию используется таблица filter. Далее следуют команды, список которых можно просмотреть, набрав в командной строке iptables – h.
Раздел match указывает критерии проверки, будь то IP-адрес места назначения, сетевой интерфейс и т. д. Последний раздел, а именно target/jump, указывает на действие, совершаемое при условии выполнения критериев.
Для настройки межсетевого экрана можно также использовать файл rc.firewall.txt. Такой сценарий настройки – база для всех последующих модификаций. С его помощью брандмауэр настраивается на работу в домашней локальной сети. Если же структура вашей сети отличается от описанной в комментариях к сценарию, то существуют сценарии для различных ситуаций с соответствующими названиями: rc.DMZ.firewall.txt, rc.DHCP.firewall.txt и т. д.
Помимо методов, описанных в статье, нелишними будут регулярное обновление компонентов системы до последней версии и подписка на бюллетени по безопасности *nix. Часть рутинной работы по обновлению и управлению безопасности можно автоматизировать с помощью утилиты crontab (автоматический планировщик задач).
И вне зависимости от того, что приходится защищать, важно помнить о наиболее опасном противнике – человеке. Его действия легко могут свести на нет все усилия администратора... Но в системе на базе Linux сделать это будет сложнее.
Новости. С 15 по 15
Комплектующие
Компания Qimonda (www.qimonda.com) объявила о выпуске модулей памяти DDR3 Aeneon XTUNE DDR3- 1600.
Они рассчитаны на платформу NVIDIA nForce 790i SLI и, по словам изготовителя, тестировались в режиме «разгона» до 1680 МГц при номинальном напряжении питания 1,5 В (пропускная способность 12,8 Гбайт), выпускаются в виде комплектов, содержащих два 1-Гбайт модуля. Изделия совместимы с профилем Enhanced Performance Profile 2 (EPP2).
Строим дисковый массив
Дэвид А. Карп
Резервное копирование данных подобно уборке мусора или чтению классической литературы: все хотят, чтобы это было сделано, однако никто не желает этим заниматься. Но вместо того, чтобы ожидать неизбежного отказа жесткого диска, не лучше ли построить массив RAID с зеркалированием дисков и позволить своему ПК самому выполнять резервное копирование данных? RAID означает redundant array of inexpensive disks (избыточный массив недорогих дисков) или набор из двух или нескольких жестких дисков, воспринимаемый компьютером (и Windows) как один том. Массив может быть оптимизирован либо по производительности, либо по безопасности. (Мы рассмотрим вопросы безопасности на примере использования массива RAID 1 для записи данных на нескольких накопителях. Подробности о других конфигурациях массивов см. во врезке «Уровни RAID».) Технология с «расщеплением» предусматривает сохранение данных лишь однажды, а далее они постоянно и незаметно для пользователя хранятся на двух различных физических дисках. Если жесткий диск выйдет из строя, нужно просто заменить его на новый и продолжать работать, а RAID-контроллер тем временем скопирует все данные на новый накопитель.
Чтобы построить массив RAID 1, требуется два одинаковых накопителя (лучше всего, если они одной марки, одной и той же модели и одинаковой емкости) и RAID-контроллер. В большинстве современных компьютеров средства RAID встроены в системную плату; если в вашем ПК их нет, можно установить контроллер PCI или PCI Express, который обойдется примерно в 50 долл. Приняв во внимание, что 500-Гбайт диск сегодня стоит около 100 долл., трудно найти возражения против некоторой избыточности хранения данных, не говоря уже о том, что это поможет пользователю, находящемуся в состоянии вечной тревоги за сохранность данных, обрести душевное спокойствие.
Средства и компоненты
• Жесткие диски: два накопителя Samsung HD160 JJ – 120 долл.
• Кабели: два кабеля SATA – 6 долл.
• RAID-контроллер (при необходимости): 2-портовая карта SATA RAID модели Adaptec 1220SA PCIe – 50 долл.
1. Устанавливаем оба жестких диска. Для некоторых ПК установка выполняется без применения каких-либо инструментов: достаточно просто вставить диск в направляющие и вдвинуть его. Мой небольшой ПК располагает всего двумя внутренними 3,5-дюйм отсеками для накопителей, так что оба должны располагаться рядом. Если есть место, то для лучшего охлаждения накопители следует расположить подальше друг от друга.
2. Присоединяем накопители к SATA-портам. Если в документации не указано иное, накопители присоединяются к портам SATA (Serial ATA) 0 и 1. (Для некоторых контроллеров в определенном месте на системной плате предусмотрены специальные разъемы RAID.) При наличии любых других SATA-устройств, например DVD-накопителей, им следует отвести порты, которым присвоен больший номер. После всех этих операций подключаются кабели питания.
Уровни RAID. Имеется несколько разновидностей конфигурации дисковых массивов.
