Эффективная система безопасности должна базироваться на здравом смысле. Она во многом напоминает борьбу с грызунами в доме. Вот семь правил, которые при этом следует соблюдать.

• Не оставляйте на ночь на кухонном столе то, что может привлечь грызунов. Лучшие лакомства для них — сыр и масло.

• Заткните все дыры, через которые грызуны обычно попадают в дом. Если они не залезут внутрь, то не смогут вас побеспокоить.

• Позаботьтесь о том, чтобы в доме не было мест, где грызуны могли бы вывести потомство. Мыши любят устраивать гнезда в кучах тряпья.

• Расставьте вдоль стен, в тех местах, где вы хотя бы раз видели мышь, мышеловки.

• Каждый день проверяйте мышеловки, меняйте приманки и выбрасывайте дохлых грызунов. В заполненные мышеловки грызуны уже не попадают, в частности, из-за плохого запаха.

• Избегайте ядовитых приманок. Отравленные грызуны могут навсегда остаться в стенах дома. Кроме того, есть риск, что отравится ваша собака. Лучше всего пользоваться традиционными мышеловками.

• Заведите кота!

Этими же семью правилами (с незначительными корректировками) можно с успехом руководствоваться при организации защиты UNIX-систем. Вот как они звучат применительно к UNIX.

• Не оставляйте без присмотра файлы, которые могут представлять интерес для хакеров и не в меру любопытных сослуживцев. Коммерческие тайны, персональные досье, бухгалтерские ведомости, результаты выборов и т.д. — за всем этим нужен глаз да глаз. Гораздо надежнее зашифровать данные, чем просто пытаться предотвратить к ним несанкционированный доступ.

В организации должен существовать порядок работы с секретной информацией. Некоторые рекомендации по этому поводу даны в главе 27 и документе RFC2196.

• Затыкайте "дырки", через которые хакеры могут получить доступ к системе. Читайте бюллетени фирм-производителей и списки рассылки по вопросам защиты, чтобы своевременно узнавать о выходе "заплат". Отключите ненужные сервисы.

• Сделайте так, чтобы в системе не было мест, где хакеры могли бы закрепиться. Хакеры часто вламываются в одну систему, а затем используют ее как базу для операций по взлому других систем. Анонимные FTP-каталоги с возможностью записи, групповые учетные записи, учетные записи с плохо подобранными паролями — вот основные уязвимые места.

• Устанавливайте ловушки для обнаружения фактов или попыток вторже­ния. Такие средства, как tripwire, tcpd и crack (описаны в параграфе 21.7), помогут предупредить возможные проблемы.

• Следите за отчетами, которые генерируются этими программами. Незна­чительная проблема, проигнорированная в отчете, к моменту получения следующего отчета может перерасти в катастрофу.

• Учитесь защищать UNIX-системы своими силами. Иначе вам не изба­виться от различного рода высокооплачиваемых "консультантов" по вопросам безопасности, которые будут пугать вас и ваших руководителей леденящими душу рассказами о том, насколько беззащитны ваши системы. Такие специалисты обучены грамотно доказывать, почему вам нужно вложить "всего" 50000$ в обеспечение полной безопасности системы.

К сожалению, после таких благодетелей внутри системы часто остаются дохлые мыши, из-за которых производительность работы пользователей падает до нуля. Так что защита системы должна базироваться на традиционных технологиях и здравом смысле.

• Постоянно следите за тем, не появились ли отклонения от нормального хода работы системы. Обращайте внимание на все необычное, например на непонятные журнальные сообщения или изменение характера исполь­зования какой-либо учетной записи (резкое усиление активности, работа в необычное время, работа во время отпуска владельца учетной записи).