Обзор пакетов, связанных с безопасностью

26.2. Обзор пакетов, связанных с безопасностью

Чтобы запустить безопасный сервер, вы должны установить как минимум следующие пакеты:

httpd

Пакет httpd содержит демона httpd и сопутствующие утилиты, файлы конфигурации, значки, модули HTTP-сервера Apache, страницы руководства man, а также другие файлы, используемые HTTP-сервером Apache.

mod_ssl

Пакет mod_ssl включает в себя модуль mod_ssl, обеспечивающий сильное шифрование для HTTP-сервера посредством протоколов «безопасность на уровне сокетов» (Secure Sockets Layer, SSL) и «безопасность на транспортном уровне» (Transport Layer Security, TLS).

openssl

Пакет openssl содержит набор инструментов OpenSSL. В пакете OpenSSL реализованы протоколы SSL и TLS, а также включена криптографическая библиотека общего назначения.

Кроме этого другие программные пакеты могут обеспечить дополнительные (но не обязательные для работы безопасного сервера) возможности безопасности:

httpd-devel

Пакет httpd-devel содержит включаемые файлы HTTP-сервера Apache (include), файлы заголовков и утилиту APXS. Все они вам понадобятся, если помимо модулей, поставляемых с продуктом, вы намерены загружать дополнительные модули. Обратитесь к Справочному руководству по Red Hat Enterprise Linux за дополнительной информацией о загрузке модулей на безопасном сервере, используя функциональность динамических разделяемых объектов (Dynamic Shared Object, DSO) сервера Apache.

Если вы не намерены загружать на своём HTTP-сервере Apache другие модули, устанавливать этот пакет не требуется.

Пакеты OpenSSH

Пакет OpenSSH содержат набор сетевых инструментов OpenSSH для регистрации на удалённом компьютере и выполнения команд. Инструменты OpenSSH шифруют все передаваемые данные (включая пароли), что предотвращает перехват информации, похищение соединений и другие атаки на соединения между вашим компьютером и удалённым.

Пакет openssh содержит ключевые файлы, необходимые и клиентским, и серверным программам OpenSSH. Пакет openssh также содержит утилиту scp, безопасную замену rcp (для безопасного копирования файлов между компьютерами).

Пакет openssh-askpass обеспечивает отображение диалогового окна, в котором пользователь вводит пароль во время использования агента OpenSSH.

Пакет openssh-askpass-gnome может использоваться в среде рабочего стола GNOME для отображения графического диалогового окна, когда программы OpenSSH запрашивают пароль. Если вы используете GNOME и утилиты OpenSSH, вы должны установить этот пакет.

Пакет openssh-server содержит демона безопасной оболочки sshd и связанные с ним файлы. Демон безопасной оболочки находится на серверной стороне набора OpenSSH и должен быть установлен на вашем компьютере, чтобы клиенты SSH смогли к нему подключаться.

Пакет openssh-clients содержит клиентские программы, необходимые для установления защищённого подключения к серверам SSH, включая следующие: ssh — безопасная замена rsh; sftp — безопасная замена ftp (утилите передачи файлов между компьютерами); slogin — безопасная замена rlogin (утилите удалённой регистрации в системе) и telnet (утилите связи с удалённым узлом по протоколу Telnet).

За дополнительными сведениями об OpenSSH обратитесь к главе 21 OpenSSH, Справочному руководству по Red Hat Enterprise Linux и сайту OpenSSH, по адресу http://www.openssh.com/.

openssl-devel

Пакет openssl-devel содержит статические библиотеки и включаемые файлы (include), необходимые для компиляции приложений, использующих различные криптографические алгоритмы и протоколы. Вы должны устанавливать этот пакет, только если вы разрабатываете приложения с поддержкой SSL — вам не нужно устанавливать его, если вы только используете SSL.

stunnel

В пакете stunnel реализовано туннелирование Stunnel SSL. Stunnel поддерживает SSL-шифрование TCP-соединений. Он обеспечивает шифрование для демонов и протоколов, не рассчитанных на SSL (например, POP, IMAP и LDAP), без внесения изменений в код демона.

ЗамечаниеЗамечание
 

Более новые реализации различных демонов могут предлагать встроенную поддержку SSL, как, например, dovecot или сервер OpenLDAP slapd, и может быть предпочтительнее использовать её, а не stunnel.

Например, использование stunnel обеспечивает только туннелирование протоколов, тогда как в демоне slapd службы OpenLDAP встроенная поддержка позволяет также обрабатывать запросы на использование шифрования в ответ на запрос клиента StartTLS.

В таблице 26-1 приведён краткий список пакетов безопасного сервера и отмечено, является ли пакет необязательным на безопасном сервере.

Имя пакетаНеобязательный?
httpdнет
mod_sslнет
opensslнет
httpd-develда
opensshда
openssh-askpassда
openssh-askpass-gnomeда
openssh-clientsда
openssh-serverда
openssl-develда
stunnelда

Table 26-1. Пакеты безопасности