Чтобы запустить безопасный сервер, вы должны установить как минимум следующие пакеты:
- httpd
Пакет httpd содержит демона httpd и сопутствующие утилиты, файлы конфигурации, значки, модули HTTP-сервера Apache, страницы руководства man, а также другие файлы, используемые HTTP-сервером Apache.
- mod_ssl
Пакет mod_ssl включает в себя модуль mod_ssl, обеспечивающий сильное шифрование для HTTP-сервера посредством протоколов «безопасность на уровне сокетов» (Secure Sockets Layer, SSL) и «безопасность на транспортном уровне» (Transport Layer Security, TLS).
- openssl
Пакет openssl содержит набор инструментов OpenSSL. В пакете OpenSSL реализованы протоколы SSL и TLS, а также включена криптографическая библиотека общего назначения.
Кроме этого другие программные пакеты могут обеспечить дополнительные (но не обязательные для работы безопасного сервера) возможности безопасности:
- httpd-devel
Пакет httpd-devel содержит включаемые файлы HTTP-сервера Apache (include), файлы заголовков и утилиту APXS. Все они вам понадобятся, если помимо модулей, поставляемых с продуктом, вы намерены загружать дополнительные модули. Обратитесь к Справочному руководству по Red Hat Enterprise Linux за дополнительной информацией о загрузке модулей на безопасном сервере, используя функциональность динамических разделяемых объектов (Dynamic Shared Object, DSO) сервера Apache.
Если вы не намерены загружать на своём HTTP-сервере Apache другие модули, устанавливать этот пакет не требуется.
- Пакеты OpenSSH
Пакет OpenSSH содержат набор сетевых инструментов OpenSSH для регистрации на удалённом компьютере и выполнения команд. Инструменты OpenSSH шифруют все передаваемые данные (включая пароли), что предотвращает перехват информации, похищение соединений и другие атаки на соединения между вашим компьютером и удалённым.
Пакет openssh содержит ключевые файлы, необходимые и клиентским, и серверным программам OpenSSH. Пакет openssh также содержит утилиту scp, безопасную замену rcp (для безопасного копирования файлов между компьютерами).
Пакет openssh-askpass обеспечивает отображение диалогового окна, в котором пользователь вводит пароль во время использования агента OpenSSH.
Пакет openssh-askpass-gnome может использоваться в среде рабочего стола GNOME для отображения графического диалогового окна, когда программы OpenSSH запрашивают пароль. Если вы используете GNOME и утилиты OpenSSH, вы должны установить этот пакет.
Пакет openssh-server содержит демона безопасной оболочки sshd и связанные с ним файлы. Демон безопасной оболочки находится на серверной стороне набора OpenSSH и должен быть установлен на вашем компьютере, чтобы клиенты SSH смогли к нему подключаться.
Пакет openssh-clients содержит клиентские программы, необходимые для установления защищённого подключения к серверам SSH, включая следующие: ssh — безопасная замена rsh; sftp — безопасная замена ftp (утилите передачи файлов между компьютерами); slogin — безопасная замена rlogin (утилите удалённой регистрации в системе) и telnet (утилите связи с удалённым узлом по протоколу Telnet).
За дополнительными сведениями об OpenSSH обратитесь к главе 21 OpenSSH, Справочному руководству по Red Hat Enterprise Linux и сайту OpenSSH, по адресу http://www.openssh.com/.
- openssl-devel
Пакет openssl-devel содержит статические библиотеки и включаемые файлы (include), необходимые для компиляции приложений, использующих различные криптографические алгоритмы и протоколы. Вы должны устанавливать этот пакет, только если вы разрабатываете приложения с поддержкой SSL — вам не нужно устанавливать его, если вы только используете SSL.
- stunnel
В пакете stunnel реализовано туннелирование Stunnel SSL. Stunnel поддерживает SSL-шифрование TCP-соединений. Он обеспечивает шифрование для демонов и протоколов, не рассчитанных на SSL (например, POP, IMAP и LDAP), без внесения изменений в код демона.
Замечание Более новые реализации различных демонов могут предлагать встроенную поддержку SSL, как, например, dovecot или сервер OpenLDAP slapd, и может быть предпочтительнее использовать её, а не stunnel.
Например, использование stunnel обеспечивает только туннелирование протоколов, тогда как в демоне slapd службы OpenLDAP встроенная поддержка позволяет также обрабатывать запросы на использование шифрования в ответ на запрос клиента StartTLS.
В таблице 26-1 приведён краткий список пакетов безопасного сервера и отмечено, является ли пакет необязательным на безопасном сервере.