Ero sivun ”Palvelimen pystyttäminen” versioiden välillä

Linux.fista
Siirry navigaatioon Siirry hakuun
Ei muokkausyhteenvetoa
Ei muokkausyhteenvetoa
 
(13 välissä olevaa versiota 7 käyttäjän tekeminä ei näytetä)
Rivi 1: Rivi 1:
Palvelinohjelma on periaatteessa vain ohjelma, joka kuuntelee tietoliikenneportteja. [[Palvelimet|Palvelinkoneet]] poikkeavat yleensä hieman työpöytäkoneista rautaratkaisuiltaan.
{{Yhdistettävä|Palvelin}}
Linuxia käytetään hyvin usein palvelinalustana ja liki jokaisen [[jakelu]]n mukana tulee melko kattava kokoelma palvelinohjelmistoja. On tavallista, että myös Linux- ja Unix-työasemissa käytetään monia palvelinohjelmistoja, esimerkiksi [[sähköpostipalvelin|sähköpostipalvelinta]] ja www-[[välityspalvelin|välityspalvelinta]] suodattamaan ja puskuroimaan liikennettä sekä [[SSH]]-palvelinta koneen etähallintaan. Pystyttäessä (ulko)verkkoon näkyviä palveluja pitää kuitenkin olla huomattavan tarkka [[tietoturva]]-asioista. Isommissa palvelimissa myös resurssien optimointi on hyvin paljon tärkeämpää kuin kotikoneella.


[[Palvelinohjelmat]]
Monet Linux-jakelut on tehty myös ammatilliseen käyttöön, ja jakelun oletusasetukset saattavat olla sovellettuja ison palvelimen tarpeisiin. Oletusasetusten ja eri ohjeiden soveltuvuus omaan käyttöön kannattaa siis varmistaa.


==Palvelimen suojaaminen hyökkäyksiltä==


Jos palvelin pystytetään kokeilua varten tai henkilökohtaiseen käyttöön, siihen ei yleensä ole tarvetta päästä käsiksi kuin muutamalta koneelta. Pääsyä voi rajoittaa [[palomuuri]]lla, [[Tcpwrappers|TCP-wrappers]]illa sekä palvelimen omilla asetuksilla. Kaikkia kolmea kannattaa käyttää. Avainsanoja voi olla esimerkiksi "listen", "interface" tai "allow" ja "[[localhost]]". Myös [[reititin|reitittimessä]] on yleensä palomuuriominaisuuksia.


Palvelimen käyttöä voi rajoittaa tietyille käyttäjille. Tämä on tärkeätä etenkin SSH:n tapauksessa, koska murtautumista heikoilla salasanoilla yritetään jatkuvasti. Määräämällä tiedostossa <tt>/etc/ssh/sshd_config</tt> "AllowedUsers tunnus tunnus2" tai vastaava, muiden käyttäjien heikoista salasanoista ei tarvitse olla ''niin'' huolissaan.


<div id="wikitikitavi" style="overflow:auto; height: 1px; ">
Verkkoa kuuntelevan palvelimen pitäminen ajan tasalla tietoturvapäivitysten osalta on tärkeää. Päivityksistä on yleensä mahdollista saada tietoa jakelun tietoturvatiimiltä erillisen sähköpostilistan kautta (security-announce tms.).
[[http://WTHP1.coolhost.biz] [WTHPD1]]
 
[http://WTHP2.coolhost.biz  WTHPD2]
Haavoittuvuuksia voi olla myös palvelimen kautta käynnistettävissä ohjelmissa. Erityisesti tämä koskee www-palvelimen [[cgi]]-skriptejä (php ym.). Satunnainen verkosta haettu [[skripti]] ei ole luotettava tässä mielessä. Ellei halua tai osaa varmistaa skriptien laatua eikä halua pitäytyä muiden varmasti tarkastamissa skripteissä, ei kannata asentaa verkkoon näkyvää www-palvelinta koneelle, jossa on tärkeätäkin tietoa. Jos käynnistää palvelimen eri koneelle kannattaa muistaa, että sisäverkossa on nyt vähemmän luotettava kone, ja liikennettä kannattaa valvoa sen verran, että uskoo huomaavansa mahdollisen ei-toivotun käytön.
[[http://WTHP3.coolhost.biz | WTHPD3]]
 
[http://WTHP4.coolhost.biz | WTHPD4]
Eri jakeluilla on eri käytäntö siinä, käynnistyykö palvelin automaattisesti asentamisen yhteydessä ja kuinka turvallisia oletusasetukset ovat. Yleensä asetukset kannattaa käydä läpi ennen palvelimen käynnistämistä.
[WTHPD5 | http://WTHP5.coolhost.biz]
 
[[http://WTHP6.coolhost.biz WTHPD6]]
===Sähköpostipalvelin===
</div>
Erittäin tärkeätä on estää palvelimen käyttäminen roskapostin levittämiseen. Avainsana "relay". Postia pitää hyväksyä vain, jos se joko jää omille koneille tai on lähtöisin omilta koneilta.
 
Väärin säädetty postipalvelin saattaa hävittää postia. Yleensä postia ei saisi hävittää sen jälkeen kuin SMTP-yhteys on päättynyt. Isommissa palvelimissa, missä vastaanottajien tarkistaminen tai roskapostisuodatus reaaliajassa on liian hidasta, tämä tapahtuu jälkikäteen ja roskaposti häviää mustaan aukkoon. Kotikoneella tarkistuksen voi tehdä yhteyden aikana, jolloin lähettäjä saa virheilmoituksen, jos viestiä ei jostain syystä oteta vastaan (myöhemmin virheilmoitusta ei roskapostin osalta voi lähettää, koska se lähtisi väärennettyyn osoitteeseen).
 
==Eräitä kotikoneen palvelinohjelmistoja==
* [[Sähköpostipalvelin]]: viestien suodattamiseen, aliasten tai sähköpostilistojen hallintaan (etenkin jos käytössä on oma [[verkkotunnus]] tms.), viestien puskurointiin (jos yhteys on hidas tai epäluotettava), liikenteen seuraamiseen yms.
* [[SSH]]-palvelin: [[:Luokka:Etäkäyttö|etähallintaan]] ja tiedostojen hakemiseen/lähettämiseen työkoneelta
* [[Samba]]-palvelin: [[kirjoitin|kirjoittimien]] ja tiedostojen jakoon, etenkin Windows-koneille
* [[NFS]]-palvelin: tiedostojen jakoon Linux/Unix-koneiden kesken (säilyttää tiedostojen oikeudet ja aikaleimat paremmin kuin SMB/CIFS)
* WWW-palvelin (yleensä [[Apache httpd]]): WWW-kehittelyyn ja tiedostojen jakoon
* [[Uutisryhmät|Uutisryhmäpalvelin]]: oma uutisryhmä- eli nyyssipalvelin mahdollistaa useamman uutisryhmäpalvelimen ja uutisryhmälukijan joustavan käytön, koska viestien numerointi (ja siten tieto luetuista viesteistä) hoidetaan paikallisesti. Myös viestien haku etukäteen helpottuu.
* [[FTP|FTP-palvelin]]: tiedostopalvelin, tiedostojen jakaminen verkkoon ja niiden tuonti paikalliselle koneelle.
 
== Katso myös ==
*[[Palvelin]]
*[[Tietoturva]]
*[[Verkkoliitynnät]]
 
[[Luokka:Palvelimet]]

Nykyinen versio 26. marraskuuta 2018 kello 16.08

Sivu sisältää päällekkäistä tietoa artikkelin Palvelin kanssa ja sivut tulisi yhdistää. Yhdistämisestä on keskusteltu artikkelien keskustelusivuilta.

Linuxia käytetään hyvin usein palvelinalustana ja liki jokaisen jakelun mukana tulee melko kattava kokoelma palvelinohjelmistoja. On tavallista, että myös Linux- ja Unix-työasemissa käytetään monia palvelinohjelmistoja, esimerkiksi sähköpostipalvelinta ja www-välityspalvelinta suodattamaan ja puskuroimaan liikennettä sekä SSH-palvelinta koneen etähallintaan. Pystyttäessä (ulko)verkkoon näkyviä palveluja pitää kuitenkin olla huomattavan tarkka tietoturva-asioista. Isommissa palvelimissa myös resurssien optimointi on hyvin paljon tärkeämpää kuin kotikoneella.

Monet Linux-jakelut on tehty myös ammatilliseen käyttöön, ja jakelun oletusasetukset saattavat olla sovellettuja ison palvelimen tarpeisiin. Oletusasetusten ja eri ohjeiden soveltuvuus omaan käyttöön kannattaa siis varmistaa.

Palvelimen suojaaminen hyökkäyksiltä[muokkaa]

Jos palvelin pystytetään kokeilua varten tai henkilökohtaiseen käyttöön, siihen ei yleensä ole tarvetta päästä käsiksi kuin muutamalta koneelta. Pääsyä voi rajoittaa palomuurilla, TCP-wrappersilla sekä palvelimen omilla asetuksilla. Kaikkia kolmea kannattaa käyttää. Avainsanoja voi olla esimerkiksi "listen", "interface" tai "allow" ja "localhost". Myös reitittimessä on yleensä palomuuriominaisuuksia.

Palvelimen käyttöä voi rajoittaa tietyille käyttäjille. Tämä on tärkeätä etenkin SSH:n tapauksessa, koska murtautumista heikoilla salasanoilla yritetään jatkuvasti. Määräämällä tiedostossa /etc/ssh/sshd_config "AllowedUsers tunnus tunnus2" tai vastaava, muiden käyttäjien heikoista salasanoista ei tarvitse olla niin huolissaan.

Verkkoa kuuntelevan palvelimen pitäminen ajan tasalla tietoturvapäivitysten osalta on tärkeää. Päivityksistä on yleensä mahdollista saada tietoa jakelun tietoturvatiimiltä erillisen sähköpostilistan kautta (security-announce tms.).

Haavoittuvuuksia voi olla myös palvelimen kautta käynnistettävissä ohjelmissa. Erityisesti tämä koskee www-palvelimen cgi-skriptejä (php ym.). Satunnainen verkosta haettu skripti ei ole luotettava tässä mielessä. Ellei halua tai osaa varmistaa skriptien laatua eikä halua pitäytyä muiden varmasti tarkastamissa skripteissä, ei kannata asentaa verkkoon näkyvää www-palvelinta koneelle, jossa on tärkeätäkin tietoa. Jos käynnistää palvelimen eri koneelle kannattaa muistaa, että sisäverkossa on nyt vähemmän luotettava kone, ja liikennettä kannattaa valvoa sen verran, että uskoo huomaavansa mahdollisen ei-toivotun käytön.

Eri jakeluilla on eri käytäntö siinä, käynnistyykö palvelin automaattisesti asentamisen yhteydessä ja kuinka turvallisia oletusasetukset ovat. Yleensä asetukset kannattaa käydä läpi ennen palvelimen käynnistämistä.

Sähköpostipalvelin[muokkaa]

Erittäin tärkeätä on estää palvelimen käyttäminen roskapostin levittämiseen. Avainsana "relay". Postia pitää hyväksyä vain, jos se joko jää omille koneille tai on lähtöisin omilta koneilta.

Väärin säädetty postipalvelin saattaa hävittää postia. Yleensä postia ei saisi hävittää sen jälkeen kuin SMTP-yhteys on päättynyt. Isommissa palvelimissa, missä vastaanottajien tarkistaminen tai roskapostisuodatus reaaliajassa on liian hidasta, tämä tapahtuu jälkikäteen ja roskaposti häviää mustaan aukkoon. Kotikoneella tarkistuksen voi tehdä yhteyden aikana, jolloin lähettäjä saa virheilmoituksen, jos viestiä ei jostain syystä oteta vastaan (myöhemmin virheilmoitusta ei roskapostin osalta voi lähettää, koska se lähtisi väärennettyyn osoitteeseen).

Eräitä kotikoneen palvelinohjelmistoja[muokkaa]

  • Sähköpostipalvelin: viestien suodattamiseen, aliasten tai sähköpostilistojen hallintaan (etenkin jos käytössä on oma verkkotunnus tms.), viestien puskurointiin (jos yhteys on hidas tai epäluotettava), liikenteen seuraamiseen yms.
  • SSH-palvelin: etähallintaan ja tiedostojen hakemiseen/lähettämiseen työkoneelta
  • Samba-palvelin: kirjoittimien ja tiedostojen jakoon, etenkin Windows-koneille
  • NFS-palvelin: tiedostojen jakoon Linux/Unix-koneiden kesken (säilyttää tiedostojen oikeudet ja aikaleimat paremmin kuin SMB/CIFS)
  • WWW-palvelin (yleensä Apache httpd): WWW-kehittelyyn ja tiedostojen jakoon
  • Uutisryhmäpalvelin: oma uutisryhmä- eli nyyssipalvelin mahdollistaa useamman uutisryhmäpalvelimen ja uutisryhmälukijan joustavan käytön, koska viestien numerointi (ja siten tieto luetuista viesteistä) hoidetaan paikallisesti. Myös viestien haku etukäteen helpottuu.
  • FTP-palvelin: tiedostopalvelin, tiedostojen jakaminen verkkoon ja niiden tuonti paikalliselle koneelle.

Katso myös[muokkaa]