Repetition
Prioriteringslista

Oviktigt

1. Webb proxy (bra att veta när det ska användas)
2. Samba
3. Epost - spamfilter (procmail) (hamnar ganska ofta utanför servern och mer på klientsidan) (dynamisk kultur, vilket gör att det är väldigt varierande krav), LDAP (inte så viktigt eftersom det bara handlar om lagring av uppgifter som andra verktyg hanterar)
   
4. FTP (vsftpd), kunna göra skillnad mellan anonym användning och inloggning med uid och pwd, skriv/läs rättigheter
5. Webb, Apache, moduler, v-hosting
6. Epost, termer, postfix, imap/pop (cyrus/dovecot)
7. Bind, Zoner, fram/bak

Viktigt

Generell genomgång:
Kapitel 1
Viktigt att komma ihåg grundprinciperna.

• Se till att ens system har så låga befogenheter att de är säkra
• Se till att alla tjänster är säkra
• Olika lager av säkerhet är ofta bra
• En kedja är inte starkare än dess svagaste länk
• Enkelhet är bra,
• Tillkrånglade lösningar är alltid problematiska att hantera, både för dig själv och för andra, dessutom tenderar stora program att enklare ha fel i sig. Onödigt att ha program man inte använder igång.
  
• Security through obscurity
• Inte en vidare bra idé, man granskas hela tiden på dagens internet

Tightening Default Security

• Stäng av onödig skit (blåtand osv)
• xinetd
• Kan vara bra att låsa användare när de inte används (passwd -l [uid])
• SGID/SUID farligt, men ibland nödvändigt

Xinetd

• inetd
• xinetd
  
• modern
• säker
• flexibel
• Tar in information från
  
• /etc/services
• /etc/xinet.d
• Fördelen med xinetd är att nätverksprogrammerande blir väldigt enkelt.
• En annan fördelen är att man kan slimma ner allting väldigt långt.
• Ser alltså till att bara de tjänster som används körs
• Man kan begränsa hur man får använda en tjänst

Hosts.allow/.deny

• Bra för att spärra ute IP som bråkar

Advanced TCP Wrappers

• Gammal skit, kan dock vara bra

Basic Firewall Activation

• Netfilter
• Kallas iptables
• system-config-securitylevel (frontend, finns både som GUI och CLI)
• Under installation
• Enabled/disabled
• Kan vara bra att ha öppet innan det är skarpt men ändå öppet mot nätet för att se till att dumma saker inte sker

Naming Services

• DNS är skapat efter hur Bind var skrivet
• Fördelen är att det är decentraliserat (förutom att ICANN visat sig vara beredda att spärra)

DNS - A Better Way

• finns andra vägar att gå än BIND
  
• rolle tror på dnsmasq

Rekursiv vs iterativ namnuppslagning.

• Rekursiv
• Server 1 frågar server 2, server 2 frågar server 3 som svarar, skickar tillbaka till server 2 som skickar till server 1.
  
• Iterativ
• Server 1 frågar server 2, sen server 3, server 3 svarar server 1.

Testing resolution

• nslookup är något som rolle tycker om

named.conf

• Skapat för att påminna om C.
• kan dra förvånsvärt mycket minne (dock inte lika stort problem i dagsläget om man har GB med minne)
• Caching nameserver är bra för att det sparar tid och bandbredd

Zone database File Syntax

• MX är viktigt att inte glömma om man ska ha mail anslutet till DNSer

Address match list & ACLs

• Access Control Lists
• Viktigt vid zonöverföringar

Restricting queries

•