Опубликован: 31.07.2006 | Уровень: специалист | Доступ: свободно
Лекция 14:

Безопасность UNIX

Аннотация: В лекции рассмотрены вопросы безопасности в ОС Unix, настройка данной ОС, управление пользователями и системой, поиск вторжений в данную ОС.
Ключевые слова: автор, SUN, RC2, RED, hat, сеть, запуск, имя файла, файл, NTP, FTP, RPC, команда, ПО, TIME, secure, shell, SSH, вход в программу, Copy, scp, network file system, NFS, монтирование файловой системы, вероятность, доступ, DFS, DMZ, сервер dns, операционная система, window system, программа, служба DNS, TCP, wrapper, wrapping, оболочка, сеанс, pop, IMAP, сеть доступа, синтаксис, очередь, предупреждающее сообщение, приветственное сообщение, MOTD, FTPD, параметр, символ новой строки, issue, net, сценарий, управление паролями, соответствие политике безопасности, администратор, определение, rlogin, злоумышленник, authentication, PAM-5, информация, запись, прямой, доступ на использование, аутентификационные данные, консоль, список, TTY, канал связи, контроль, переполнение буфера, UUCP, поле, пароль, заплатка, Windows, patch management, кластер, разделы, файл паролей, домашний каталог пользователя, adduser, утилита, пользователь, идентификатор пользователя, UID, идентификатор, wheel, ksh, csh, bash, операции, имя пользователя, адрес, host, псевдоним, aliasing, домашний каталог, создание каталогов, копирование, управление системой, подозрительная активность, количество информации, модуль, Basic, security, MODULE, BSM, перезагрузка системы, MAN, auditing, ADM, log, корневая файловая система, скрытый файл, set, group, ID, активный пользователь, уязвимость, интерфейс, аргумент, слово, порт, локальный адрес, номер порта, поиск, активный процесс, AUX, rootkit, root, Дополнение, kill, таблица процессов, аудит

На протяжении большей части истории интернета системы Unix обеспечивали наивысший уровень функционирования служб в сети. Когда хакеры стали серьезной проблемой для всемирной сети, системам Unix начали уделять все больше внимания. На сегодняшний день большая часть систем в интернете работает под управлением ОС Unix, и для надежной защиты от хакеров эти системы должны быть правильно настроены.

В данной лекции приводятся некоторые базовые соображения безопасности, связанные с построением и защитой системы Unix. Ввиду большого числа доступных на рынке Unix-систем точные местоположения файлов и команды не являются абсолютно правильными для всех версий Unix. Где это представляется возможным, автор указывает корректировочную информацию для систем Sun Solaris и Linux.

Настройка системы

После построения системы Unix в ней, как правило, присутствует ряд уязвимостей. Большую их часть можно устранить посредством обновления системы или внесения изменений в конфигурационные файлы. В следующих разделах выделяются наиболее распространенные проблемы безопасности и способы их устранения.

Файлы загрузки

Системы Unix настраиваются при загрузке с использованием соответствующих загрузочных файлов. В зависимости от версии Unix файлы загрузки могут располагаться в различных местах. В системе Solaris файлы загрузки находятся в каталоге /etc/rc2.d, в системе Linux - в каталоге /etc/rc.d/rc2.d. В различных версиях Unix файлы могут располагаться в различных местах, это расположение действительно для Red Hat.

В файлах загрузки запускается ряд служб. Некоторые из них (сеть, монтировка файловых систем и журнал запуска) необходимы для функционирования системы, и ничто не должно препятствовать их работе. Другие службы не являются столь критичными и запускаются в зависимости от того, каким образом используется система. Чтобы предотвратить запуск службы, просто измените имя файла. Убедитесь, что новое имя файла не начинается с буквы S или K. Рекомендуется размещать в качестве первого символа точку (<.>) в имени файла (это скрывает файл от просмотра, поэтому его нельзя будет перепутать с функционирующим файлом). Если служба не понадобится в будущем, файл можно удалить.

Службы, обычно запускаемые при помощи файлов загрузки, включают в себя следующие сервисы:

  • Inetd;
  • NFS;
  • NTP;
  • Routed;
  • RPC;
  • Sendmail;
  • Web servers.

Необходимо обязательно просмотреть файлы загрузки и определить, не запускаются ли необязательные службы (в следующем разделе рассказывается о том, как выявлять необязательные службы).

Совет

Начните с перечня служб, необходимых для предполагаемого использования системы. После выявления этого перечня отключите все остальные службы.

Службы, работу которых следует разрешить

Набор служб, выбранных для систем Unix, зависит от того, каким образом они будут использоваться. Некоторые из этих служб будут запускаться с помощью файлов загрузки; ряд служб контролируется через сервис inetd и настраивается в файле /etc/inetd.conf. Приведенный ниже текст представляет собой часть файла inetd.conf системы Solaris. Строки, начинающиеся с символа решетки <#> - комментарии.

#ident "@(#)inetd.conf 1.27 96/09/24 SMI"
/*SVr4.0 1.5 */
# Ftp and telnet are standard Internet services.
ftp stream tcp nowait root
/usr/sbin/in.ftpd in.ftpd
#telnet stream tcp nowait root /usr/sbin/in.telnetd
in.telnetd
#
# Shell, login, exec, comsat and talk are BSD protocols.
#shell stream tcp nowait root
/usr/sbin/in.rshd in.rshd
#login stream tcp nowait root /usr/sbin/in.rlogind
in.rlogind
#exec stream tcp nowait root
/usr/sbin/in.rexecd in.rexecd
#comsat dgram udp wait root
/usr/sbin/in.comsat in.comsat
#talk dgram udp wait root
/usr/sbin/in.talkd in.talkd
#
# Solstice system and network administration class agent server
#100232/10 tli rpc/udp wait root /usr/sbin/sadmind sadmind

Файл inetd.conf не только контролирует службы типа FTP и telnet, но и некоторые службы RPC. Файл inetd.conf необходимо очень внимательно проверять на предмет того, что в нем сконфигурированы только необходимые службы. После правильной настройки файла необходимо перезапустить службу inetd посредством следующей команды:

#kill -HUP <номер процесса inetd>

Команда -HUP вызывает повторное считывание службой inetd ее конфигурационного файла.

Многие службы, настраиваемые по умолчанию на системах Unix, необходимо отключить. Ниже приведен перечень этих служб.

Chargen	rexd	Systat	
Discard	Routed	Tftp	
Echo	Rquotad	Uucp	
Finger	Rusersd	Walld	
netstat	sprayd

Кроме того, можно отключить службы Daytime, Time и SNMPD, если они не используются. Служба Time может использоваться некоторыми системами синхронизации, а служба SNMPD - для управления системой.

Как видно из приведенного выше фрагмента содержимого файла inetd.conf, службы telnet и FTP, как правило, настроены на рабочее состояние. Эти два протокола позволяют передавать идентификаторы пользователей и пароли через сеть в открытом виде. Возможно использование шифрующих версий этих протоколов для защиты паролей. При работе через telnet рекомендуется использовать Secure Shell (SSH). Некоторые версии SSH входят в программу Secure Copy (SCP) для передачи файлов.

Сетевая файловая система

Внутри организации может потребоваться использование файловой системы Network File System (NFS). Если это не так, отключите NFS на любой системе, на которой не требуется ее использование. NFS предназначена для монтирования файловой системы с одной системы на другую. Если NFS настроена неправильно, то велика вероятность того, что кто-то получит доступ к секретным файлам. Чтобы правильно настроить NFS, следует соответствующим образом изменить файл /etc/dfs/dfstab.

Примечание

Неблагоразумно разрешать экспорт файловых систем во внешнюю среду из рассматриваемой организации.

Нияз Сабиров
Нияз Сабиров

Здравствуйте. А уточните, пожалуйста, по какой причине стоимость изменилась? Была стоимость в 1 рубль, стала в 9900 рублей.

Елена Сапегова
Елена Сапегова

для получения диплома нужно ли кроме теоретической части еще и практическую делать? написание самого диплома требуется?

Евгений Рогонков
Евгений Рогонков
Россия, Гремячево, Гремячевская СОШ, 2008