Различные аспекты защиты
Категория: Безопасность | Автор: admin | 11-06-2010, 22:47 | Просмотров: 2465

Ниже рассматривается ряд дополнительных вопросов, связанных с безопасностью. В основном внимание уделяется либо средствам, которые могут быть полезны администратору, либо "антисредствам", которые при отсутствии должного контроля могут стать оружием в руках хакеров.

 

Удаленная регистрация событий

 

Система Syslog позволяет записывать журнальную информацию о процессах ядра и пользовательских процессах в файл, рассылать ее членам группы пользователей или передавать на другой компьютер сети. Рассмотрите вопрос о выделении защищенного компьютера, который будет служить центральной регистрационной станцией и выдавать сообщения о нарушении защиты на старый матричный принтер. Это помешает хакерам заметать следы путем перезаписи и удаления журнальных файлов.

 

Защищенные терминалы

 

Некоторые системы можно настроить так, чтобы суперпользователь мог зарегистрироваться в системе только с определенных, "защищенных" терминалов. Рекомендуется запрещать привилегированный вход в систему по таким каналам, как модемы и сетевые псевдотерминалы.

Защищенные каналы обычно задаются в виде списка TTY-устройств или с помощью специального ключевого слова в файле конфигурации. В Solaris это файл /etc/default/login, в HP-UX и Red Hat — /etc/securetty, а во FreeBSD - /etc/ttys.

 

Файлы /etc/hosts.equiv и -/.rhosts

 

В файлах hosts.equiv и ~/.rhosts компьютеры определяются как административно "эквивалентные" друг другу, что позволяет пользователям входить в систему (с помощью программы rlogin) и копировать файлы (посредством программы rcp) с одной машины на другую без ввода паролей. Раньше, в эпоху беззаботного существования UNIX, подобная конфигурация была широко распространена, но со временем все осознали потенциальную угрозу.

Мы рекомендуем отключать серверные демоны rshd и rlogind, читающие файлы .rhosts и hosts.equiv. В большинстве систем для этого достаточно превратить в комментарии строки их вызова в файле /etc/inetd.conf. Конечно, в отсутствие серверных демонов компьютер окажется недоступен программам rlogin, rsh и rcp. Но их всех с успехом заменяет более безопасный пакет SSH (см. параграф 21.8).

В простейших случаях получить удаленный доступ к системе, где отключен демон rlogind, позволит программа telnet. Но не забывайте о том, что эта программа передает по сети пароль в незашифрованном виде.

Некоторые программы, используемые вместо rlogin (включая SSH!), все же обращаются к файлам .rhosts и /etc/hosts.equiv, если их неправильно сконфигурировать. С целью повышения безопасности имеет смысл для каждого пользователя (в том числе пользователя root) создать файлы /etc/hosts.equiv и ~/.rhosts нулевой длины, причем без права записи. Тогда можно будет написать сценарий, определяющий, каково состояние файла, к примеру, в 3 часа дня и не подвергался ли он изменениям. Это может очень помочь при выслеживании нарушителей, пытающихся "взломать" систему.

 

Демоны rexd, rexecd и tftpd

 

Демон rexd в Solaris (он имеется и в других системах, включая HP-UX) — это слабо защищенный сервер удаленного выполнения команд. Он обычно поставляется в отключенном виде (данная установка делается в файле /etc/inetd.conf), и "будить" его не рекомендуется. Ни одна стандартная системная программа к нему не обращается.

Демон rexecd тоже предназначен для удаленного выполнения команд. Он служит сервером для библиотечной функции rехес(). Запросы, посылаемые демону, содержат в себе незашифрованные пароли, поэтому любая программа, "прослушивающая" сеть, способна узнать их и получить доступ к требуемой системе. Этот демон также должен быть отключен.

Демон tftpd — это сервер TFTP (Trivial File Transfer Protocol — простейший протокол передачи файлов). Иногда с его помощью в сетевые устройства загружается программа ПЗУ или код начальной загрузки. Позволяя компьютерам в сети запрашивать файлы с жестких дисков, данный протокол является потенциальной брешью в системе защиты. Лучше оставлять демон tftpd отключенным, если он не используется.

 

Демон fingerd

 

Команда finger выводит короткий отчет об определенном пользователе:

% finger evi

Login name: evi                  In real life: Evi Nemeth

Directory:  /beast/users3/evi    Shell: /bin/tcsh

On since Jan 22 07:07:55 on ttyp3 from xor-train4.xor.com

50 minutes Idle Time

Mail last read Sat Jan 22 07:08:57 2000

No Plan.

 

 

Будучи вызванной без аргументов, команда finger выдает отчет обо всех зарегистрированных в системе пользователях.

Если на удаленном компьютере запущен демон fingerd, команда finger может быть вызвана с аргументом полъзователь@компьютер или просто @компьютер. К сожалению, выдаваемая информация может представлять интерес для хакеров, поэтому мы рекомендуем отключать запуск демона fingerd в файле /etc/inetd.conf.

 

Безопасность и NIS

 

Эти слова можно поставить рядом разве что в заголовке. Сетевая информационная служба, или NIS (Network Information Service; раньше ее называли Yellow Pages), — это разработанная компанией Sun система распространения баз данных, которой многие организации пользуются для ведения и рассылки таких файлов, как /etc/group, /etc/passwd и /etc/hosts. К сожалению, порочна уже сама идея "легкого доступа к информации", положенная в основу этой системы и делающая ее лакомым кусочком для хакеров. В пришедшей на смену NIS системе NIS+ сделана лишь робкая попытка устранить присущие NIS проблемы защиты информации, поэтому лучше всего вообще не использовать ни одну из версий этой системы.

 

Более безопасный и надежный способ рассылки указанных файлов — создать учетную запись наподобие netadmin и поместить последние копии файлов в каталог ~netadmin. После этого на каждой машине-клиенте необходимо с помощью демона cron периодически запускать сценарий, назначение которого — рассылка (посредством программы scp), проверка и инсталляция файлов. Программа scp является частью пакета SSH, о котором рассказывается в параграфе 21.8.

 

Безопасность и NFS

 

Информация о безопасности NFS приводилась в параграфе 17.1. С помощью команды showmount -е можно узнать, какие файловые системы экспортируются и кому именно. Для каждой файловой системы следует задать список управления доступом, а все имена компьютеров должны быть полностью определенными.

 

Безопасность и sendmail

 

Пакет sendmail — это большая сетевая система, значительная часть которой выполняется с правами суперпользователя. Вследствие этого она часто становилась мишенью хакеров, и со временем здесь были обнаружены многочисленные уязвимые места. Поэтому следует пользоваться только самой новой версией sendmail. Проблемы безопасности часто приводят к появлению новых версий программ, так что ошибки, скорее всего, есть во всех версиях sendmail, кроме последней (в ней они либо еще не обнаружены, либо скоро будут исправлены). Свежие новости можно узнать на Web-узле www.send-mail.org.

 

Безопасность и резервное копирование

 

Регулярное создание резервных копий данных является неотъемлемым компонентом любой стратегии обеспечения безопасности. Необходимо, чтобы все разделы диска регулярно архивировались на ленту, а некоторые резервные копии хранились вне фирмы. Если произойдет серьезный инцидент, можно будет быстро восстановить работоспособность системы.

 

Поскольку установить ленту в накопитель и прочитать ее содержимое может любой человек, держите резервные ленты под замком.

 

Троянские кони

 

Троянские кони — это программы, назначение которых полностью противоречит заявлениям предлагающего их лица. В качестве примера можно привести программу turkey, которая когда-то распространялась в Usenet. Она обещала нарисовать на экране терминала индюка, а на самом деле удаляла файлы из начальных каталогов доверчивых любителей домашней птицы.

Учитывая количество нападений, которые сообщество UNIX пережило за несколько последних десятилетий, остается удивляться малому числу троянских коней, встретившихся нам. По сути, нам не известен ни один задокументированный случай обнаружения программы, которая:

  • имела бы некое полезное предназначение;
  • не распространялась как часть операционной системы;
  • предоставлялась в виде исходных текстов;
  • была широко распространена

 

и при всем при этом специально содержала злонамеренный код или умышленно обходила механизмы защиты операционной системы. Не поймите нас превратно: мы допускаем, что где-то такое могло случиться. Просто для среднестатистического администратора угроза троянских коней была минимальной.

Таким положением вещей мы обязаны законопослушному сообществу Internet. Наиболее очевидные проблемы, связанные с безопасностью, быстро выявляются и широко обсуждаются в Сети. Злонамеренные программы не задерживаются на популярных серверах Internet.

Можете быть уверены: любая программа, у авторов которой были нечистые намерения, будет выявлена и проанализирована в Usenet. Если перед инсталляцией какой-то программы нужно узнать ее "репутацию", поищите имя программы в архивах на узле www.deja.com.



 (голосов: 0)
Версия для печати | Комментариев: 0
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии в данной новости.


 
Логин
Пароль
 

 
Locations of visitors to this page