Безопасность UNIX

Системы DMZ

Системы Unix, используемые в DMZ как веб-серверы, почтовые серверы или серверы DNS, должны настраиваться еще более тщательно с точки зрения безопасности, чем системы, используемые исключительно внутри сети. Такие системы, как правило, не требуют использования служб RPC и NFS. Эти две службы можно удалить посредством внесения изменений в файлы загрузки.

Серверы и рабочие станции

В некоторых организациях операционная система Unix используется как на серверах, так и на рабочих станциях. При использовании на рабочей станции система обычно настраивается на функционирование системы X Window System. На системах Solaris в этом случае используется программа ToolTalk (RPC-программа, предназначенная для связи между приложениями).

Эти службы не нужны на серверах, а службы DNS и routed не требуются на рабочих станциях. Необходимо разработать руководство по настройке серверов и руководство для настройки рабочих станций, если система Unix используется описанным выше образом.

Примечание

Программа ToolTalk контролируется посредством inetd.conf на системах Solaris. Чтобы отключить эту программу, необходимо закомментировать следующую строку:

100083/1 tli rpc/tcp wait root 
  /usr/dt/bin/rpc.ttdbserverd/usr/dt/bin/rpc.ttdbserverd.

Использование программ TCP Wrappers

Программы TCP Wrappers (доступны по адресу ftp://ftp.porcupine.org/pub/security) используются для обеспечения дополнительного уровня защиты в случае применения служб telnet или FTP. Как видно из названия, программы TCP Wrappers (wrap - оболочка) создают "оболочку" для служб telnet и FTP с целью обеспечения дополнительного контроля доступа и ведения журналов. Для использования программы TCP Wrappers необходимо настроить файл inetd.conf так, чтобы строки telnet и FTP выглядели следующим образом:

ftp stream tcp nowait root /usr/local/bin/tcpd /usr/sbin/in.ftpd
telnet stream tcp nowait root /usr/local/bin/tcpd /usr/sbin/in.telnetd

Эти строки вызывают запуск TCP Wrappers (tcpd) службой inetd, когда кто-либо пытается установить с системой сеанс связи через telnet или FTP.

Примечание

TCP Wrappers можно использовать и для других служб, таких как POP и IMAP. Нужно просто внести соответствующие изменения в строки конфигурации, представленные выше.

TCP Wrappers можно настроить на блокировку или разрешение определенным узлам или сетям доступа к службам telnet и FTP. Файлы, используемые для этих действий по настройке, - это файлы /etc/hosts.allow и /etc/hosts.deny. Синтаксис для работы с этими файлами выглядит следующим образом:

<имя программы-оболочки>:  <ip-адрес>/<маска сети>

Следующие файлы представляют собой примеры файлов конфигурации TCP Wrapper.

hosts.allow:
#Allow telnets from my internal network (10.1.1.x)
in.telnet: 10.1.1.0/255.255.255.0
#Allow ftp from the world
in.ftpd: 0.0.0.0/0.0.0.0
hosts.deny:
#Deny telnets from anywhere else
in.telnetd: 0.0.0.0/0.0.0.0

Файл hosts.allow оценивается в первую очередь, после чего обрабатывается файл hosts.deny. Следовательно, можно сначала настроить все системы, которым разрешено работать с различными службами, после чего запретить все остальное в файле hosts.deny. Кроме того, следует внести изменение в настройку журнала, чтобы разрешить TCP Wrappers заносить данные в журнал системы. Это изменение описано в разделе "Файлы журнала" далее в лекции.

Файлы конфигурации системы

Существует ряд изменений, которые можно внести в файлы конфигурации системы Unix, чтобы увеличить общий уровень безопасности системы. Это могут быть как предупреждающие сообщения, так и защита от переполнения буфера на некоторых системах. Любые изменения должны вноситься в конфигурацию в соответствии с политикой безопасности организации.

Внимание!

Имейте в виду, что в различных версиях систем Unix файлы конфигурации располагаются в различных местах. Обратитесь к руководствам или инструкциям конкретной используемой версии Unix, чтобы удостовериться в корректности вносимых изменений в отношении рассматриваемой версии системы.

Сообщения

Приветственные сообщения могут использоваться для заявления о правах собственности перед входом пользователя в систему. Сообщение должно быть написано на языке, разрешенном для использования юридическим отделом организации.

Приветственное сообщение хранится в /etc/motd (сокр. от "message of the day" - сообщение дня). Однако это сообщение отображается не перед входом пользователя в систему, а после него. Большинство уведомлений, связанных с юридическими вопросами, необходимо отображать перед входом пользователя в систему.

Чтобы сообщение отображалось перед входом пользователя в систему, используйте следующий способ. В ОС Solaris предварительное уведомление хранится в каталоге /etc/default/telnetd. Можно создать сообщения входа для FTP посредством редактирования файла /etc/default/ftpd. Для создания сообщения добавьте в файл строку, аналогичную следующей:

BANNER="\n\n<Enter Your Legal Message Here\n\n"

Параметр \n означает новую строку. Поэкспериментируйте с символами новой строки, чтобы сообщение приняло нужный вам вид.

В системах Linux для сообщений telnet используются два файла: /etc/issue и /etc/issue.net. Файл issue применяется для терминалов, подключенных напрямую, а issue.net используется в том случае, когда кто-либо устанавливает по сети соединение через telnet с рассматриваемой системой. К сожалению, только на изменении этих файлов создание сообщения не закончится, так как они создаются заново при каждой загрузке системы. Однако можно изменить сценарий загрузки, создающий эти файлы.

Файлы создаются в сценарии загрузки /etc/rc.d/rc.local. Чтобы предотвратить автоматическое создание /etc/issue и /etc/issue.net, закомментируйте следующие строки /etc/rc.d/rc.local:

# This will overwrite /etc/issue at every boot. So, make any changes you
# want to make to /etc/issue here or you will lose them when you reboot.
echo "" > /etc/issue
echo "$R" > /etc/issue
echo "Kernel $(uname -r) on $a $SMP$(uname -m)" >> /etc/issue

После этого можно изменить /etc/issue и /etc/issue.net, введя в них соответствующий текст с заявлением о правах.