2.6 MintUpdate

Программа MintUpdate предназначена для поддержания системы в актуальном состоянии. Множество настроек делают обновление пакетов удобным для каждого частного случая. Обновления отсортированы по уровню важности, существует возможность редактирования источников и прокси-серверов, просмотр истории обновлений и множество других приятных функций.

Здесь некоторых пояснений требуют первые две колонки. Первая – тип обновления. Их два – стандартно обновляемые пакеты по выходе их новой сборки или версии (отмечены серой стрелкой) и обновления безопасности, ликвидирующие выявленные "дыры" в них (отмечены красным восклицательным знаком).

Во второй колонке указывается уровень безопасности обновления пакетов. Здесь под безопасностью понимается не вероятность использования их злодеями, а то, как обновление пакета может повлиять на общую стабильность системы. Уровней безопасности в этом смысле пять:

1. Сертифицированные пакеты – обычно те, что непосредственно поддерживаются майнтайнерами Mint.

2. Рекомендуемые пакеты – проверены и одобрены разработчиками данного дистрибутива.

3. Безопасные пакеты – не проверялись разработчиками, но нарушение стабильности системы при их обновлении очень маловероятно.

4. Небезопасные пакеты потенциально могут повлиять на стабильность системы.

5. Опасные пакеты при некоторых условиях могут привести к нестабильности системы.

Рисунок 2.10 – Менеджер обновлений

По умолчанию отмечены для обновления (третья колонка) пакет уровней 1-3. Для пакетов уровней 4-5 это нужно сделать принудительно. Если оно, конечно, нужно, в чём я лично не всегда уверен:

Само по себе обновление выполняется нажатием экранной кнопки «Установить обновления» и начинается после ввода пользовательского пароля. Развернув пункт «Show individual files», можно наблюдать за ходом процесса в деталях (если, конечно, больше заняться нечем).

3.Сетевая безопасность в ос linux mint

В операционной системе Linux Mint в качестве фильтра пакетов используется Netfilter, который входит в состав ядра и разрабатывается группой Netfilter Core Team. Для управления его настройками используется утилита командной строки iptables, разрабатываемая параллельно этим же проектом. Процесс настройки требует некоторого понимания протоколов, используемых при обмене информации в Интернете, и назвать его простым нельзя. Хотя тема настройки netfilter/iptables уже не является новой, в глобальной сети можно найти не один десяток документов, описывающих как его устройство, так и сами команды.

3.1 Межсетевой экран в Linux Mint

Кроме этого написано несколько хороших графических утилит (КМуFirewall, Firewall Builder, Firestarter и др.), помогающих самостоятельно создавать правила неподготовленному пользователю. В Ubuntu, начиная с версии 8.04, для управления правилами netfilter используется UFW (Uncomplicated firewall), поэтому процесс настройки здесь выглядит несколько иначе, чем в других дистрибутивах. Позже UFW перекочевал в другие дистрибутивы, в том числе и в Linux Mint. Важно понять, что UFW не заменяет iptables, а является лишь удобной высокоуровневой надстройкой над этой утилитой. Процесс создания новых правил планируется сделать максимально понятным для обычного пользователя. Кроме этого упрощена интеграция приложений с межсетевым экраном. Разработчик может создавать готовые правила, которые будут автоматически активироваться при установке сервиса, разрешая нужные сетевые соединения.

По умолчанию UFW всегда отключен, и перед запуском демона его необходимо актировать, заменив в файле /etc/ufw/ufw.conf строку

ENABLED=no

ENABLED=yes

Иначе при попытке его запуска командой

sudo /etc/init.d/ufw start

будет получен отказ.

Кроме непосредственного редактирования конфигурационных файлов настройки можно производить при помощи консольной утилиты ufw. Например, чтобы активировать uwf и разрешить ее загрузку, при старте системы можно поступить следующим образом:

sudo ufw enable

Отключить также просто:

sudo ufw disable

Существует две глобальные политики: все разрешено и все запрещено. Первая активируется при помощи команды

sudo ufw default allow

Политика по умолчанию incoming изменена на allow.

Чтобы запретить все подключения, используется команда

sudo ufw default deny

При помощи ufw очень просто разрешить или запретить входящие соединения для сервиса, описанного в /etc/services, или конкретного порта/протокола.

В общем случае команда выглядит так:

ufw allow | deny [ service ]

Иными словами, чтобы разрешить подключение к веб-серверу, работающему на 80-м порту, необходимо поступить следующим образом:

sudo ufw allow 80 / tcp

Чтобы просмотреть правила iptables без их активации, необходимо добавить в команду параметр – -dry-run. Параметр status позволит узнать текущие настройки UFW без заглядывания внутрь iptables:

sudo ufw status

Удалить разрешение на подключение к выбранному порту можно так же просто:

sudo ufw delete allow 80/tcp

Запрещающее правило создается аналогично разрешающему, только вместо allow используется deny:

sudo ufw deny 53

Теперь был блокирован доступ к 53-му порту. При этом если ранее было создано, например, разрешающее правило, которое теперь нужно заменить на блокирующее, то это лучше производить в два этапа. Вначале отключается первое правило, а затем устанавливается второе.

Вместо номера порта можно назвать сервис по имени. Необходимо узнать как называется нужный сервис:

cat /etc/services | less

и включить его в правило:

sudo ufw allow ssh

В правилах UFW можно задавать IP-адреса (источника и назначения). Например, чтобы разрешить подключение с внутренней сети 192.168.1.0/24, используется:

sudo ufw allow 192.168.1.0/24

или запрещающее правило:

sudo ufw deny from 10.20.30.40

Опционально можно указать порт и протокол. Для того чтобы разрешить подключение по SSH только с одного IP-адреса следует ввести следующую команду:

sudo ufw allow from 192.168.0.20 to any port 22

Для включения/отключения регистрации используется команда logging.

sudo ufw logging on

Файл /etc/ufw/sysctl.conf задает некоторые системные переменные (аналог общесистемного /etc/sysctl.conf). Например, чтобы разрешить перенаправление пакетов, снимается комментарий со строки

net/ipv4/ip_forward=1

В состав Linux Mint включен и графический интерфейс UFW – GUFW

Рисунок 3.1 – GUFW

Для запуска GUFW используется команда:

sudo gufw

Первым делом следует изменить статус работы фаервола на «Включен». Но следует учесть: на дефолтных настройках входящая информация из интернета запрещена, а исходящая проверяется. Таким образом, весь трафик станет напоминать улицу с односторонним движением.

Также можно создать развернутые правила, например, для специфических задач. Следует обратить внимание на первую из трех вкладок «Правила». В ней задаются правила всестороннего интернет движения для приложений вроде torrent и Skype. К сожалению, не все трудности преодолеваются путем фиксации распоряжений для списка предустановленных приложений. Помимо вышеупомянутого, можно оставить ценные целевые указания целому списку хостов и IP адресов, а также направлений соединений. 

Если после всех путешествий по настройкам безопасности системы через фаервол, можно сделать вывод, что все возможное уже сделано, останется последний сервисный штрих – прописать UFW в автозагрузку. Нужно запустить в терминале команду:

sudo update-rc.d ufw defaults