Sieťové služby
FTP
(z angl. File Transfer Protocol, protokol prenosu súborov) je TCP/IP protokol určený na prenos súborov medzi počítačmi, či už na internete alebo lokálnej sieti.
Na komunikáciu sa využívajú dva porty - 20 a 21. Port 20 slúži na prenos dát a port 21 slúži na kontrolu dát & ftp príkazy.
FTP spoznáme tak, že vidíme namiesto „HTTP“ na začiatku adresy „FTP“, takže nejde o www-server ale o FTP-server.. ukážka:
ftp://meno:heslo@host:port/adresar
Na začiatku je ftp, potom nasleduje prihlasovacie meno, heslo, host - IP adresa servera alebo napr. ftp.server.com prípadne www.server.com, na konci môžeme mať cestu do daného adresára. Na serveri je možné vytvoriť viacej užívateľských kônt, nastaviť práve pre použivateľov (použivateľ Jano može sťahovať len dokumenty, používateľ Peter môže sťahovať dokumenty & filmy a užívateľ Fero može sťahovať dokumenty a mazať filmy). Niektoré FTP su anonymné a tak nie je nutné poznať login a password, postačí len adresa servera.
HTTP
(skratka Hypertext transfer protocol) je primárna metóda prepravy informácií na world wide webe. Pôvodný účel bol poskytovať prostriedky pre publikáciu a získavanieHTML stránok.
Vývoj HTTP koordinovalo World Wide Web Consortium a pracovné skupiny Internet Engineering Task Force, čím vytvorili sadu dokumentov RFC, predovšetkým RFC 2616 definujúci HTTP/1.1, dnes používanú verziu HTTP.
HTTP je protokol definujúci požiadavky a odpovede medzi klientmi a servermi. HTTP klient (označovaný ako user agent), ako webový prehliadač zvyčajne začne požiadavku nadviazaním TCP spojenia na určenom porte vzdialeného stroja (štandardne port 80). HTTP server počúvajúci na danom porte čaká, kým klient pošle reťazec s požiadavkou ako "GET / HTTP/1.1" (ktorý žiada o zaslanie štartovacej stránky webservera) nasledovaný sériou hlavičiek podobných MIME opisujúcich detaily požiadavky a nasledovaných telesom ľubovoľných údajov. Niektoré hlavičky sú nepovinné, zatiaľ čo verzia HTTP/1.1 niektoré vyžaduje (ako názov stroja). Po prijatí požiadavky server pošle reťazec s odpoveďou ako "200 OK" nasledovanou hlavičkami spolu so samotnou správou, ktorej telo tvorí obsah požadovaného súboru, chybové hlásenie alebo iná informácia.
Zvyčajne sa nazývajú metódy.
GET Zďaleka najbežnejší typ žiadosti. Žiada o zdroj uvedením jeho URL
POST Podobne ako GET, okrem toho, že je pridané telo správy zvyčajne obsahujúce dvojice kľúč-hodnota z HTML formulára.
PUT Používa sa na upload súborov na špecifikované URI na webserveri.
DELETE Zriedka implementované. Zmazanie zdroja.
HEAD Podobné GET, okrem toho, že sa nepožaduje telo správy, iba hlavičky. Používa sa na získavanie metainformácií o dokumente.
TRACE Odošle kópiu obdržanej požiadavky späť odosielateľovi, takže klient môže zistiť, čo na požiadavke menia alebo pridávajú servery, ktorými táto prechádza.
OPTIONS Vracia HTTP metódy, ktoré daný webserver podporuje. Je možné použiť na otestovanie funkcionality servera.
CONNECT Zriedka implementované, na použitie s proxy serverom, ktorý sa môže zmeniť na SSL tunel.
HTTP sa líši od iných na TCP založených protokolov ako napr. FTP v tom, že spojenia sa zvyčajne ukončia potom, ako sa dokončí vykonávanie požiadavky alebo série požiadaviek. Tento dizajn ho robí ideálnym protokolom pre web, kde stránky často odkazujú na ďalšie stránky na iných serveroch. Príležitostne to spôsobuje problémy webovým návrhárom, keďže chýbajúce perzistentné spojenie si vynucuje alternatívne prístupy udržiavania stavovej informácie o používateľovi. Zvyčajne na to používajú tzv. cookies.
HTTPS je zabezpečená verzia HTTP. Na ochranu dát používa SSL/TLS. Štandardný port služby je TCP port 443. HTTPS je vhodné aj v prípadoch, kedy je autentifikovaný len jeden koniec spojenia -- server. To je typický prípad pri HTTP transakciách cez internet.
Lokáciu dokumentov na webserveri udáva Uniform Resource Locator (URL). Táto adresa má syntax vyvinutú pre vytváranie odkazov na webstránky.
Príklad [upraviť]
Dolu je príklad konverzácie medzi HTTP klientom a HTTP serverom bežiacom na www.google.com, porte 80.
Klientská požiadavka:
GET / HTTP/1.1
Host: www.google.com
(nasledovaná znakom nového riadku, v tvare znaku carriage return nasledovaného znakom line feed.)
Adresa stroja je určená na rozlíšenie rôznych DNS názvov pre jedinú IP adresu. Kým v HTTP/1.0 bola táto hlavička nepovinná, HTTP/1.1 ju vyžaduje.
Odpoveď servera:
HTTP/1.1 200 OK
Content-Length: 3059
Server: GWS/2.0
Date: Sat, 11 Jan 2003 02:44:04 GMT
Content-Type: text/html
Cache-control: private
Set-Cookie: PREF=ID=73d4aef52e57bae9:TM=1042253044:LM=1042253044:S=SMCc_HRPCQiqyX9j;
expires=Sun, 17-Jan-2038 19:14:07 GMT; path=/; domain=.google.com
Connection: keep-alive
(nasledovaná prázdnym riadkom a zdrojovým textom HTML tvoriacim webstránku Google.)
Perzistentnosť spojenia [upraviť]
Pri HTTP/1.0 klient pošle požiadavku serveru, server pošle odpoveď späť klientovi a následne sa spojenie ukončí. HTTP/1.1 však podporuje perzistentné spojenia. To umožňuje klientovi poslať požiadavku a dostať odpoveď a následne tým istým spojením posielať ďalšie požiadavky a prijímať ďalšie odpovede. Tým sa znižuje relatívna réžia TCP. Je tiež možné poslať viacero (zvyčajne dve) požiadavky pred obdržaním odpovede. Táto metóda sa nazýva „pipelining“.
Telnet
je sieťový komunikačný protokol založený na TCP s in-band signalizáciou. Začal sa vyvíjať od roku 1969 počínajúc RFC 0015 a bol štandardizovaný ako IETF STD 8 (RFC 854 a RFC 855), jeden z prvých internetových štandardov.
Jeho účelom je poskytovať pomerne všeobecný obojsmerný prostriedok komunikácie s osembitovým slovom. Primárnym cieľom je poskytnúť štandardizované rozhranie prostredníctvom siete pre terminálové zariadenia a terminálovo orientované procesy. Tiež je možné jeho využitie na komunikáciu medzi terminálmi navzájom a medzi procesmi navzájom.[1]
Telnet je protokol klient-server, využíva TCP štandardne na porte 23. Medzi aplikácie patria prístup k aplikáciám, MUD hrám, talkerom a BBS.
Bežnou aplikáciou bolo vzdialené prihlasovanie k terminálu, telnet však prenáša údaje v čisto textovej forme, preto ho v tejto aplikácii z dôvodov bezpečnosti nahradil protokol ssh. Hoci rozšírenia protokolu už definujú TLS zabezpečenie a SASL autentifikáciu, väčšina implementácií ich nepodporuje a prevažuje používanie ssh.
(alebo email, mail prípadne mejl) je skratka pre „elektronickú poštu“ (na rozdiel od konvenčnej pošty). Je to spôsob písania, posielania a prijímania správ v elektronických komunikačných systémoch. Väčšina dnešných emailových systémov používa internet, a email je jedným z najobľúbenejších použití Internetu.
Napriek všeobecnému názoru, email je v skutočnosti starší ako internet; v skutočnosti existujúce emailové systémy boli rozhodujúcim nástrojom pri tvorbe internetu.
Email začal v roku 1965 ako spôsob komunikácie viacerých používateľov mainframového počítača so zdieľaním času; hoci je presná história nejasná, medzi prvými systémami s touto schopnosťou boli Q32 od SDC a CTSS z MIT.
Email sa rýchlo rozšíril a stal sa sieťovým emailom, čo umožňovalo používateľom posielanie správ medzi rôznymi počítačmi. Raná história sieťového emailu je taktiež nejasná; systémy AUTODIN mohli byť prvé, ktoré umožňovali prenos elektronických textových správ medzi rôznymi počítačmi (1966), ale je možné, že niečo podobné mal už skôr systém SAGE.
Počítačová sieť ARPANET mala hlavné slovo v ďalšej evolúcii emailu. Existuje správa ([1]), ktorá poukazuje na experimenty v prenose emailov medzi systémami krátko po vzniku ARPANETu v roku 1969. Ray Tomlinson začal v roku 1972 používať znak @ na oddelenie mena používateľa od názvu stroja. Všeobecný názor, že bol pôvodcom emailu je prehnaný, hoci jeho programy SNDMSG a READMAIL boli v skorom vývoji veľmi dôležité. ARPANET významne zvýšil popularitu emailu, a ten sa zároveň stal trhákom ako aplikácia v rámci ARPANETU.
Rastúca popularita
Ako sa stala všeobecne známou použiteľnosť a výhody emailu v rámci ARPANETu, popularita emailu sa zvyšovala, čo viedlo k dopytu od ľudí, ktorí nemali prístup k ARPANETu. Bolo vyvinutých niekoľko protokolov na doručovanie pošty medzi skupinami počítačov so zdieľaním času pomocou alternatívnych prenosových systémov, ako UUCP a emailový systém VNET od IBM.
Keďže nie všetky počítače alebo siete boli navzájom zosieťované, emailové adresy museli obsahovať „cestu“ pre správu, t.j. trasu medzi počítačom odosielateľa a prijímateľa. Týmto spôsobom bolo možné posielať emaily medzi viacerými sieťami vrátane sietí ARPANET, BITNET a NSFNET, ako aj strojom pripojeným k priamo k iným pomocou UUCP.
Cestu špecifikovala tzv. „bang path“ adresa, ktorá špecifikovala skoky (hops) medzi lokáciami, ktoré boli považované za dostupné adresátovi. Nazývala sa tak, pretože obsahovala pre každý skok znak „bang“, t.j. „!“. Takže napríklad cesta ...!bigsite!foovax!barbox!ja oznamuje, že pošta sa má smerovať stroju bigsite (predpokladaná dobre známa lokácia prístupná každému) a odtiaľ cez stroj foovax používateľskému účtu ja na stroji barbox.
Predtým, ako sa bežne začali používať mailovacie programy s automatickým smerovaním, ľudia často uverejňovali zložené bang adresy s použitím { } konvencie (pozri Glob), aby boli uvedené cesty z niekoľkých veľkých strojov, v nádeji, že potenciálny korešpondent bude schopný spoľahlivo doručiť poštu na jeden z nich (príklad ...!{seismo, ut-sally, ihnp4}!rice!beta!gamma!ja). Bang cesty s 8 až 10 skokmi neboli v roku 1981 ničím výnimočným. Vytáčané UUCP spojenia pracujúce v nočných hodinách spôsobovali týždeň dlhé časy prenosu. Bang cesty sa volili často podľa času prenosu a spoľahlivosti, keďže správy sa často stratili.
Ako email funguje
Typický sled udalostí, ktorý sa uskutoční, keď Anička napíše email Braňovi:
Anička napíše správu pomocou svojho programu en:mail user agent (MUA). Napíše alebo zvolí z adresára emailovú adresu svojho korešpondenta. Potom stlačí tlačidlo „odoslať“ a MUA použije Simple Mail Transfer Protocol (SMTP) na to, aby poslal správu mail transfer agentovi (MTA), napríklad napr. smtp.a.org, ktorý prevádzkuje Aničkin Internet Service Provider (ISP).
MTA sa pozrie na cieľovú adresu, napr. brano@b.org. Moderná internetová adresa má tvar miestneurcenie@domena.priklad.sk časť pred znakom @ je miestna časť adresy, často používateľské meno príjemcu správy, a časť za @ je názov domény. MTA vyhľadá názov domény v Domain Name System (DNS), aby zistil mail exchange servery prijímajúce poštu pre danú doménu.
DNS server domény b.org -- ns.b.org -- odpovie MX záznamom, kde uvedie mail exchange servre pre danú doménu, v našom prípade mx.b.org, server prevádzkovaný Braňovym ISP.
smtp.a.org odošle správu mx.b.org použitím protokolu SMTP, ktorý ho doručí do schránky používateľa brano.
Braňo stlačí tlačidlo „skontrolovať novú poštu“ v jeho MUA, ktorý vyzdvihne poštu pomocou protokolu POP (POP3).
Tento sled udalostí sa pravdepodobne týka väčšiny používateľov emailu. Existuje však veľa alternatív a komplikácií emailového systému:
Anička nemusí mať na svojom počítači MUA, namiesto toho sa pripája k webmailovej službe
Na Aničkinom počítači môže bežať MTA, čím sa eliminuje prenos z kroku 1
Je veľa spôsobov, ako si Braňo môže vyzdvihovať svoju poštu, napríklad použitím protokolu IMAP, prihlásením sa na mx.b.org a priamym prečítaním pošty, alebo použitím webmailovej služby.
Domény zvyčajne majú záložné (backup) mail exchange servre, takže môžu pokračovať v prijímaní pošty, aj keď nie je práve dostupný hlavný mail exchange server. Príklad:
$ host -t mx wikipedia.org
wikipedia.org mail is handled by 10 mail-eater.wikimedia.org.
wikipedia.org mail is handled by 50 pascal.knams.wikimedia.org.
Bývalo zvykom, že ktorýkoľvek MTA prijímal správy pre ktoréhokoľvek používateľa na internete a urobil, čo sa dalo, aby správu doručil. Takí MTA sa nazývajú en:open mail relays. Toto bolo dôležité v začiatkoch internetu, keď boli sieťové spojenia nespoľahlivé a nepermanentné. Ak MTA nemohol doručiť správu do cieľa, mohol ju aspoň poslať agentovi bližšie k cieľu. Ten by mal väčšiu šancu ju doručiť neskôr. Ukázalo sa však, že tento mechanizmus bol zneužiteľný ľuďmi posielajúcimi nevyžiadanú hromadnú poštu (spam), čoho dôsledkom je, že veľmi málo zo súčasných MTA sú open mail relays (t.j. prijímajú poštu iba pre známych užívateľov resp. domény). Prakticky všetky open relays sú rýchlo odhalené a zneužité spammermi, ktorí neustále prehľadávajú (scanujú) IP rozsahy celého internetu.
Formát správy
Formát emailovej správy je definovaný v RFC2822. Pred uvedením RFC2822 bol formát opísaný RFC822.
Internetové emailové správy pozostávajú z dvoch hlavných častí:
Hlavičky - sumár správy, odosielateľ, príjemca a iné informácie o emaile
Telo - Samotná správa, zvyčajne obsahujúca na konci blok s podpisom (en:signature block)
Hlavičky zvyčajne obsahujú aspoň 4 polia:
Od: emailová adresa odosielateľa správy
Komu: emailová adresa prijímateľa správy
Predmet: stručný sumár obsahu správy
Dátum: miestny dátum a čas originálneho odoslania správy
Je treba poznamenať, že pole „Od“ nemusí obsahovať adresu odosielateľa. Informácie v hlavičke na počítači prijímateľa je podobná záhlaviu na konvenčnom liste - skutočná informácia o tom, komu bola správa adresovaná je odstránená mailovým serverom potom, ako je priradená správnej mailovej schránke. Tiež si všimnite, že pole „Od“ nemusí obsahovať adresu skutočného odosielateľa. je veľmi jednoduché sfalšovať tento riadok a správa potom vyzerá, že prišla z uvedenej vymyslenej adresy. Je možné digitálne podpísať email. To je priam nemožné sfalšovať.
Ďalšie bežné hlavičky:
Cc: carbon copy - kópia (pretože písacie stroje používajú „kopirák“ (carbon paper) na robenie kópií listov)
Bcc: blind carbon copy - slepá kópia (adresát bude vidieť osoby uvedené v poli „Komu“, ale nie zoznam adries v "Bcc")
Received: prijaté - trasovacia informácia vytváraná servermi, ktorými správa prešla
Content-type: typ obsahu - informácia o tom, ako má byť správa zobrazená, zvyčajne MIME typ
Správy a mailové schránky
Medzi počítačmi na internete sa vymieňajú správy pomocou Simple Mail Transfer Protocol a softvéru typu MTA ako napr. Sendmail. Používatelia si sťahujú správy zo svojho servera zvyčajne použitím jedného z protokolov en:POP alebo en:IMAP, avšak v prostrediach veľkých spoločností sa stále vyskytuje použitie niektorého komerčného protokolu ako napr. Lotus Notes alebo Microsoft Exchange Server.
Je možné ukladať emaily buď na strane servera alebo strane klienta. Štandardné formáty pre mailové schránky sú napr. Maildir a mbox. Niekoľko prominentných emailových klientov používa vlastný formát, a na konverziu medzi týmito formátmi je potrebný špeciálny program.
Keď nie je možné správu doručiť, MTA prijímateľa musí o tom odoslať správu (en:bounce message) späť odosielateľovi, v ktorej poukazuje na problém.
Kódovanie obsahu emailu
Pre email je definované nesenie 7-bitovej ASCII informácie. Hoci je väčšina emailových prenosov „8-bitovo bezproblémová“, nie je možné to zaručiť. Z tohto dôvodu bol email rozšírený o štandard MIME, aby bolo umožnené kódovanie binárnych príloh, vrátane obrázkov, zvukov a HTML príloh.
Spam a emailové červy [upraviť]
Užitočnosť emailu ohrozujú dva fenomény, spam a emailové červy.
Spam je nevyžiadaná komerčná pošta. Nízke náklady na odoslanie správy umožňujú spammerom odoslať stovky milónov emailových správ denne pomocou lacného internetového pripojenia. Stovky aktívnych spammerov takto spôsobujú preťaženie počítačov v internete, ktoré dostávajú desiatky či stovky nevyžiadaných emailov denne.
Emailové červy používajú email na to, aby sa mohli šíriť do ostatných zraniteľných počítačov. Hoci prvý emailový červ (en:Morris worm) infikoval UNIXové počítače, tento problém sa v súčasnosti týka takmer výlučne Microsoft Windows.
Vplyv týchto dvoch faktorov spôsobuje, že používatelia dostávajú čoraz viac nevyžiadanej pošty, čo redukuje použiteľnosť emailu.
Množstvo technologických inciatív (en:Stopping e-mail abuse) sa snaží zmierniť dopad spamových útokov. V USA bol kongresom schválený zákon na reguláciu takéhoto emailu (en:Can Spam Act of 2003).
Iným spôsobom obrany pred spamom okrem legálnej je obrana technologická. Jedným zo zdrojov emailových adries je web, a vďaka špecializovaným programom je možné hromadne extrahovať emailové adresy vyskytujúce sa v texte webstránok. Na zabránenie takýchto automatizovaných útokov sa používa emailová adresa vo forme pochopiteľnej človeku, avšak nečitateľnej stroju. Napríklad adresa „alenka@domena.sk“ sa zapíše ako „alenka zavináč domena bodka sk“ (v angl. často používané „alenka AT domena DOT sk“), alebo sa vygeneruje obrázok obsahujúci emailovú adresu a ten sa uvedie namiesto textu (napr. [2], [3]).
E-mail a súkromie
Bez osobitných bezpečnostných opatrení email nezaručuje súkromie, pretože
emailové správy vo všeobecnosti nie sú kryptované;
emailové správy musia prejsť cudzími počítačmi v sieti predtým, ako dosahnu cieľový počítač, čo znamená, že je pre iných relatívne jednoduché zachytiť a prečítať správu;
väčšina poskytovateľov emailových služieb ukladá na svojich serveroch kópie emailových správ predtým, ako sú doručené. Tieto zálohy môžu zostať na serveri aj počas niekoľkých mesiacov a to aj v prípade, že ich vo svojej schránke vymažete.
Existujú kryptografické aplikácie, ktoré môžu tieto nedostatky riešiť, ako napr. virtuáne privátne siete, kryptovanie správ pomocou PGP alebo GNU Privacy Guard, kryptovaná komunikácia s emailovým serverom pomocou Transport Layer Security a Secure Sockets Layer a kryptované autentifikačné schémy ako Simple Authentication and Security Layer.
Gopher
je jednoduchý nástroj na vyhľadávanie informácií v internete. Jeho rozhranie slúži aj na usporiadanie informácií v internete. Tvorí ho súbor hierarchicky zoradených ponukových zoznamov, pričom každý ponukový zoznam je buď informačným zdrojom, alebo lokalizovaním miesta v Internete. V pozadí vykonáva príkazy telnetu. Gopher beží na mnohých serveroch, ku ktorým je možný prístup pomocou Telnetu. Umožňoval v rámci jedného programu prístup k rôznym typom protokolov a serverov. Nástupom www serverov sa táto služba stala zastaralou a prakticky zanikla.
Program ping
(angl. Packet InterNet Groper) umožňuje preveriť funkčnosť spojenia medzi dvoma sieťovými rozhraniami (počítača, sieťového zariadenia) v počítačovej sieti, ktorá používa rodinu protokolov TCP/IP. Ping pri svojej činnosti periodicky odosiela IP datagramy a očakáva odozvu protistrany (zariadenia). Pri úspešnom obdržaní odpovede vypíše dĺžku odozvy (latencie) a na záver štatistický súhrn. Trvanie odozvy sa vypisuje v milisekundách.
Opis činnosti
Parametrom programu ping je doménové meno alebo IP adresa sieťového rozhrania, ktorého dostupnosť chceme preveriť. Ak je uvedené doménové meno, je najprv preložené pomocou DNS na IP adresu. Program používa správy „Echo Request“ (typ 8, výzva) a „Echo Reply“ (typ 0, odpoveď) protokolu ICMP. Výzvy sa odosielajú na cieľovú IP adresu a v stanovenom limite sa očakáva odpoveď (typicky 3 sekundy). Jednotlivé výzvy obsahujú čísla (icmp_seq), podľa ktorých možno identifikovať jednotlivé odpovede, alebo ich stratu. Program priebežne vypisuje, ktoré odpovede už prišli a s akým oneskorením (latenciou).
Sieťové umiestnenie môže byť server, počítač, sieťová tlačiareň, spojené cez internet, alebo LAN.
Kvalita Pingu
0-50 ms - Výborný Ping
50-100 ms - Chválitebný Ping
100-200 ms - Dostatočný Ping
200-1000 ms - Zlý Ping
1000+ ms - Nedostatočný Ping ktorý spôsobuje časté internetové problémy s konkrétnym sieťovým umiestnením.
Prehľad bežne používaných sieťových služieb
Všetky sieťové služby používajú na komunikáciu servera s klientom nejaký port, na ktorom počúva démon a čaká na požiadavky. Tie služby, ktoré sú štandardizované, používajú štandardné porty zo súboru "/etc/services". Tu napíšem niekoľko najpoužívanejších spolu s číslami portov, na ktorých bežne počúvajú, predstaviteľmi typických obslužných démonov (v prípade viacerých známych démonov, kurzívou sú uvedené tie, ktoré odporúčam kvôli bezpečnosti) a bližšie, i keď stručné informácie o službe.
1.5.1 ftp (File Transfer Protocol)
Port(y): 20/tcp, 21/tcp
Démon: proftpd [www.proftpd.org], wu-ftpd (in.ftpd z inetd)
Info: Ftp umožňuje prenos súborov medzi dvomi počítačmi podporujúcimi službu ftp. K serveru sa používateľ prihlasuje pomocou svojho mena a hesla na port 21, samotný prenos údajov prebieha na porte 20. Údaje nie sú šifrované, takže sa heslo dá ľahko zachytiť na sieti pomocou paketových snifferov. Štandardne je síce zakázané prihlasovanie roota, ale aj tak vám neodporúčam používať túto službu, pretože ju môžete nahradiť šifrovaným ssh, ktoré ponúka sftp (secure ftp) a scp (secure copy).
1.5.2 ssh (Secure shell)
Port(y): 22/tcp
Démon: sshd (balíky OpenSSH [www.openssh.org] (free) alebo ssh (za istých podmienok free, inak komerčný))
Info: Ssh je bezpečná alternatíva k službám telnet a ftp. Existujú dve verzie protokolu ssh (1 a 2). ssh umožňuje prihlásenie používateľa na vzdialený server a prácu so shellom, zároveň podporuje kopírovanie súborov pomocou príkazu "scp" alebo servera "sftp-server" (len ssh2). Novšia verzia protokolu podporuje tiež viac šifrovacích algoritmov.
Odporúčam používať balík "openssh", ktorá je free (BSD licencia) a neobsahuje nijaké patentované algoritmy. Ďalej odporúčam zvážiť, či sa pomocou ssh bude dať na váš server prihlásiť z ľubovoľnej adresy a či sa bude môcť prihlásiť používateľ root.
1.5.3 telnet (vzdialený terminál)
Port(y): 23/tcp
Démon: telnetd, in.telnetd (inetd)
Info: Telnet umožňuje vzdialené prihlásenie k serveru a používanie shellu. Používateľ sa autentifikuje prihlasovacím menom a heslom, čiže rovnako, ako pri práci s konzolou.
Komunikácia pri používani telnetu je nešifrovaná, takže sa heslo dá ľahko zachytiť na sieti pomocou paketových snifferov. Štandardne je síce zakázané prihlasovanie roota, ale aj tak vám neodporúčam používať túto službu, pretože ju môžete nahradiť šifrovaným ssh.
1.5.4 smtp (Simple Mail Transfer Protocol)
Port(y):25/tcp
Démon: balík Postfix [www.postfix.org], qmail, exim, sendmail
Info: Slúži na príjem pošty a jej následné doručenie do používateľských schránok. Štandardom sa stal priekopnícky program "sendmail", ktorý však beží pod rootom a často má bezpečnostné chyby. Táto kombinácia z neho robí nebezpečného démona. Odporúčam použiť bezpečný a ľahko konfigurovateľný "Postfix" (https://www.postfix.org). "qmail" (https://www.qmail.org) je tiež veľmi bezpečný, ale vraj sa ťažšie konfiguruje. Oba pracujú s právami bežného používateľa ("qmail": viacerých používateľov) vytvoreného na tento účel. "postfix" sa dá navyše uzavrieť vo vyhradenom adresári (chroot).
1.5.5 DNS (Domain Name Service)
Port(y): 53/tcp, 53/udp
Démon: named (balík BIND [www.isc.org/BIND]
Info: Obsluha DNS (Domain name server). Umožňuje prevádzkovať na serveri vlastnú doménu (napríklad v mojom prípade je to "vazka.sk"). Úlohou DNS je prekladať doménové adresy na zodpovedajúce IP adresy (napr. "twin.vazka.sk" = "195.20.166.130") a opačne (reverzný DNS). Zabezpečuje tiež cachovanie týchto prekladov pre ďalšie požiadavky.
DNS funguje na základe požiadaviek a odpovedí a používa na to protokol UDP. Na prenosy zónových informácií medzi primárnym a sekundárnym serverom sa používa TCP.
"named" sa štandardne spúšťa pod rootom, existuje však možnosť, aby po spustení zmenil identitu na bežného používateľa (bežne sa používa "named" a skupina "named"). Umožňuje tiež uzavretie do samostatného vyhradeného adresára (chroot).
V minulosti bol "named" terčom častých útokov a exploitov. Keďže ho nemožno firewallovať (musí byť prístupný všetkým požiadavkám zo siete), VEĽMI vám odporúčam využiť obe vyššie uvedené možnosti.
1.5.6 finger
Port(y): 79/tcp
Démon: cfingerd, ffingerd, in.fingerd (z inetd)
Info: Finger umožňuje získať informácie o používateľovi vášho servera (či je prihlásený, jeho skutočné meno, či má nejaké nové maily a pod.) pomocou rovnomenného programu. Niektorí správcovia pokladajú túto službu za bezpečnostné riziko, i keď nezverejňuje nijaké informácie, ktoré by si používateľ nemohol meniť. Ak sa rozhodnete finger nepoužívať, vypnite ho z inetd.conf
Z vlastných skúseností môžem odporúčať iba cfingerd, ktorý je vysoko konfigurovateľný, umožňuje používateľovi zakázať svoje fingerovanie, logovať pokusy o finger a zmeniť informácie, ktoré sa budú poskytovať. Program sa spúšťa pod rootom, ale autori tvrdia, že nespúšťa pod rootom nijaké programy a ani nikam nezapisuje - mal by teda byť bezpečný.
1.5.7 http (HyperText Transfer Protocol)
Port(y): 80/tcp
Démon: httpd (balík Apache [www.apache.org])
Info: Umožňuje prístup k WWW stránkam na vašom serveri. Program httpd beží pod rootom, ale na obsluhu požiadaviek spúšťa istý počet "detí", ktoré už bežia s právami bežného používateľa.
Nepoužíva sa šifrovanie, preto nezadávajte do formulárov na webe heslá, ktoré používate na prístup k serveru alebo iným, dôležitejším informáciám. Pozri aj https.
1.5.8 pop3 (Post Office Protocol - version 3)
Port(y): 110/tcp
Démon: solid-pop3d, popa3d [www.openwall.com/popa3d], ipop3d (in.pop3d z inetd)
Info: Prístup k pošte na serveri pomocou protokolu POP3, ktorého princíp spočíva v sťahovaní mailov z poštového servera na lokálny stroj a v neskoršom čítaní, čo je vhodné najmä pre dialupové pripojenie. Používateľ sa autentifikuje pomocou používateľského mena a hesla. Prenos údajov však nie je šifrovaný, preto odporúčam použiť program "stunnel" na "tunelovanie" spojenia cez SSL.
Keďže pop3 démon musí vedieť čítať maily ľubovoľného používateľa, spúšťa sa pod rootom. Program "popa3d" navrhnutý špeciálne s dôrazom na bezpečnosť vykonáva všetky ďalšie operácie pod špeciálnym používateľom, alebo pod používateľom, ktorého schránku sprístupňuje.
1.5.9 ident démon
Port(y): 113/tcp
Démon: oidentd, pidentd
Info: Služba ident slúži na identifikáciu používateľov aktívnych spojení. Funguje to tak, že pre každé odchádzajúce spojenie si vzdialený server môže vyžiadať jeho autentifikáciu. Ident démon zistí, ktorý používateľ vášho servera dané spojenie používa a odpovie vzdialenému serveru menom (implicitne) alebo UID používateľa. Treba si uvedomiť, že toto veľmi uľahčuje hľadanie vinníka v prípade, že je vzdialený server hacknutý niektorým používateľom vášho servera (v logoch sa môžu nachádzať záznamy o prichádzajúcich spojeniach s identifikáciou útočníka). Z toho istého dôvodu hackeri na svojich počítačoch vypínajú alebo inak likvidujú túto službu a preto, hoci je výborným pomocníkom, nemôžete sa na ňu v kritických chvíľach spoliehať ako na jednoznačný spôsob identifikácie.
"oidentd" beží pod bežným používateľom (potrebujete vedieť čítať súbory z "/proc") a umožňuje aj také špeciality, ako identifikácia maškarádovaných spojení (IP masquerading) a vypínanie služby ident pre vybraných používateľov. Službu ident by ste mali mať vždy zapnutú, veľa programov sa na ňu spolieha (aj mnohé IRC a FTP servery).
1.5.10 samba (zdieľanie súborov a tlačiarní medzi Windows a Unixom)
Port: 137/tcp - 139/tcp, 137/udp - 139/udp
Démon: smbd+nmbd (balík Samba [www.samba.org])
Info: Tieto porty obsadzuje samba (démon umožňujúci zdieľanie adresárov, súborov a tlačiarní servera z Windows a prihlasovanie používateľov do domény). Samba beží pod rootom, ale po prihlásení používateľa zmení identitu procesu na daného používateľa. Umožňuje tiež nastaviť, na ktorých sieťových kartách má počúvať - pre vás je zaujímavá väčšinou len vnútorná sieť a teda vnútorná karta! Tiež odporúčam nastaviť šifrovanie hesiel do samby (nie je to síce šifrovanie v pravom zmysle slova, ale je to lepšie ako nič). Úplne ideálne je obmedziť pripájanie na porty samby už na úrovni firewallu.
1.5.11 imap (Internet Message Access Protocol)
Port(y): 143/tcp
Démon: imapd z inetd, Courier IMAP
Info: Prístup k pošte na serveri pomocou protokolu IMAP, ktorého princíp spočíva v sťahovaní hlavičiek mailov z poštového servera na lokálny stroj a v neskoršom sťahovaní iba tých mailov, ktoré chcete prečítať. To je výhodné napríklad vtedy, keď máte v schránke jeden obrovský mail a pripájate sa cez dialup - pomocou POP3 musíte vždy stiahnuť všetky nové maily, ale pomocou IMAP iba tie, ktoré si vyberiete. Ďalšou výhodou je podpora priečinkov na serveri, v ktorých môžete uchovávať maily kvôli prehľadnosti.
Používateľ sa autentifikuje pomocou používateľského mena a hesla. Prenos údajov však nie je šifrovaný, preto odporúčam použiť program "stunnel" (https://www.stunnel.org) na "tunelovanie" spojenia cez SSL. Ďalšou možnosťou je použiť webovské rozhranie ako napr. IMP, ktoré číta maily z localhostu a WWW s podporou SSL.
Keďže imap démon musí vedieť čítať maily ľubovoľného používateľa, spúšťa sa pod rootom. Existujú aj bezpečnejšie alternatívy, napr. Courier IMAP server, ktorý má však tú "nevýhodu", že maily uchováva v používateľských adresároch vo formáte Maildir (namiesto súborov v adresári "/var/spool/mail/"), nemám však odskúšanú jeho inštaláciu.
1.5.12 https (HyperText Transfer Protocol Secure/HTTP over SSL)
Port(y): 443/tcp
Démon: httpd (balík Apache [www.apache.org])
Info: Umožňuje prístup k WWW stránkam na vašom serveri s použitím šifrovania. Šifrovanie zabezpečuje vrstva SSL, treba mať preto nainštalovaný balík "openssl", modul do Apache "mod_ssl" a vytvorené certifikáty pre server. Program httpd beží pod rootom, ale na obsluhu požiadaviek spúšťa istý počet "detí", ktoré už bežia s právami bežného používateľa.
1.5.13 ipp (Internet Print Protocol)
Port(y): 631/tcp, 631/udp
Démon: cupsd
Info: Slúži na komunikáciu klientov s tlačovým serverom. Sorry, nepoužívam Linux na tlač, takže dopíšem neskôr. Nateraz hádam len maličkú poznámku, že je vhodné tieto porty chrániť pomocou firewallu, aby sa niekto z Internetu príliš intenzívne nesnažil znemožniť vám tlač.
1.5.14 talk
Port(y): 517/udp
Démon: in.talkd (z inetd)
Info: Podpora služby talk na interaktívny rozhovor 2 používateľov. Pôvodne iba pre unixových klientov, ale existujú aj klony pre Windows. Samotné nadväzovanie spojenie je príliš zložité aj na mňa, na porte 517/udp síce počúva démon, ale skutočné (tcp) spojenie sa vytvára na náhodne vybratých bežných portoch (> 1024) - takže sa ťažko obmedzuje pomocou firewallu. Používajte tohto démona iba v prípade, že skutočne chcete!
Démon nemusí bežať pod rootom, stačia mu práva "nobody"."tty", ak majú používateľské virtuálne terminály nastavenú skupinu "tty" (pozri "inetd.conf"). Démon zapisuje do používateľských terminálov výzvy na spojenie: "talk connection requested by...".
1.5.15 ntalk
Port(y): 518/udp
Démon: in.ntalkd (z inetd)
Info: Obdoba služby talk, ale pre viacerých používateľov.
1.5.17 imaps (IMAP over SSL)
Port(y): 993/tcp
Démon: stunnel+imapd, imaps
Info: Podpora služby imap cez zabezpečený kanál. Heslá (samozrejme, aj celý zvyšok komunikácie) sa prenášajú šifrované. Odporúčam používať namiesto imap, pretože nie je zložité nakonfigurovať "stunnel" ani klienta (Mozilla, Evolution, Outlook, Outlook Express, Eudora). Prípadne môžete použiť priamo verziu démona, ktorý už je súčasťou balíka "IMAP2000".
1.5.18 pop3s (POP3 over SSL)
Port(y): 995/tcp
Démon: stunnel+POP3 server
Info: Podpora služby pop3 cez zabezpečený kanál. Heslá (samozrejme, aj celý zvyšok komunikácie) sa prenášajú šifrované. Odporúčam používať namiesto pop3, pretože nie je zložité nakonfigurovať "stunnel" ani klienta (Mozilla, Evolution, Outlook, Outlook Express, Eudora). Prípadne môžete použiť priamo verziu démona, ktorý už je súčasťou balíka "IMAP2000".
1.5.19 proxy server SQUID
Port(y): 3128/tcp, 3130/tcp, 4827/tcp, ...
Démon: squid [www.squid-cache.org]
Info: Proxy server SQUID. Spúšťa sa pod rootom, ale na portoch počúvajú a požiadavky obsluhujú procesy bežiace pod bežným používateľom (štandardne "squid"). Port, na ktorom squid počúva, možno tiež zmeniť. V závislosti od konfigurácie možno počet ďalších portov výrazne obmedziť.
1.5.20 databázový server MySQL
Port(y): 3306/tcp
Démon: mysqld [www.mysql.org]
Info: Databázový server MySQL. Beží pod bežným používateľom. Na komunikáciu s klientom slúži port 3306, ale v prípade, že sa na databázu mienite pripájať iba z localhostu (napr. ak používate PHP a databáza je na tom istom serveri, ako WWW server), môžete pripojenie na tento port obmedziť z lokálnej aj vonkajšej siete pomocou firewallu a používať len spojenie cez "localhost".
1.5.21 X server
Port(y): 6000/tcp - 6010/tcp
Démon: X
Info: Obsluha Xwindows aplikácií bežiacich na serveri v prípade, že používate Xwindows. Tieto porty sa používajú na komunikáciu aplikácií bežiacich na rôznych počítačoch, ale zobrazovaných na vašom desktope. V prípade, že nebudete X server používať, vypnite ho. Ak ho chcete používať iba z konzoly, môžete ochrániť porty pomocou firewallu.