Здравствуйте. А уточните, пожалуйста, по какой причине стоимость изменилась? Была стоимость в 1 рубль, стала в 9900 рублей. |
Опубликован: 31.07.2006 | Уровень: специалист | Доступ: платный
Лекция 14:
Безопасность UNIX
Аудит системы Unix
Этот проект покажет пути проверки систему Unix на ошибки в конфигурации или на наличие неизвестных процессов и учетных записей.
Шаг за шагом
- Начните с системы Unix, к которой у вас имеется административный доступ (то есть у вас имеется пароль к корневой учетной записи этой системы) и на которой можно вносить изменения, не затрагивая рабочие приложения.
- Найдите файлы загрузки и определите, какие приложения запускаются при загрузке системы. Выявите приложения, которые являются необходимыми для системы, и отключите все остальные.
- Просмотрите файл inetd.conf и определите, какие службы включены. Определите службы, необходимые для системы, и отключите все остальные. Не забудьте выполнить команду kill -HUP для процесса inetd, чтобы перезапустить его с использованием новой конфигурации.
- Определите, используется ли в системе NFS. Внесите соответствующие изменения в файл dfstab.
- Если система использует telnet или FTP, загрузите TCP Wrappers и установите программу в системе. Настройте TCP Wrappers на разрешение доступа только к telnet и FTP, согласно требованиям системы.
- Найдите файл приветственного сообщения. Определите, используется ли корректное приветственное сообщение. Если это не так, разместите в системе корректное приветственное сообщение.
- Выясните, настроены ли в системе требуемые ограничения на пароли согласно политике безопасности организации. Если это не так, внесите соответствующие настройки.
- Определите, настроен ли в системе должным образом параметр umask по умолчанию. Если это не так, настройте umask соответствующим образом.
- Определите требования для входа через корневую учетную запись. Если администраторам требуется осуществлять вход сначала с использованием их собственного идентификатора (ID), настройте соответствующим образом конфигурацию системы.
- Проверьте систему на наличие неиспользуемых учетных записей. Все подобные учетные записи должны быть заблокированы.
- Установите в системе соответствующие обновления.
- Проверьте систему на некорректные пользовательские идентификаторы. В особенности следует искать учетные записи с UID, значение которого равно 0.
- Убедитесь в том, что в системе ведется журнал подозрительной активности, и что файл syslog.conf настроен соответствующим образом.
- Произведите в системе поиск скрытых файлов. Если будут найдены необычные скрытые файлы, исследуйте их, чтобы убедиться, что в систему никто не проник.
- Произведите поиск файлов SUID и SGID. Если будут обнаружены такие файлы, расположенные в каталогах пользователей, исследуйте их, чтобы убедиться, что в систему никто не проник.
- Произведите поиск файлов, общедоступных для записи. Если будут найдены такие файлы, либо устраните проблему посредством изменения разрешений (сначала выясните, для чего эти файлы используются), либо обратите на них внимание владельца.
- Проверьте сетевые интерфейсы на наличие любых неправильных настроек.
- Проверьте систему на предмет прослушиваемых (активных) портов. Если обнаружится какое-либо несоответствие, найдите процесс, использующий порт, и определите, должен ли данный процесс работать в системе.
- Проверьте таблицу процессов в системе и определите, выполняются ли какие-либо несоответствующие процессы.
Выводы
В зависимости от параметров проверяемой системы аудит может отнять некоторое время. Кроме того, может потребоваться помощь различных пользователей системы. Как вы увидите, гораздо легче сначала настроить систему корректным образом и затем поддерживать ее, чем осуществлять аудит системы и устранять проблемы.
Контрольные вопросы
- При отключении службы, запускаемой автоматически, что необходимо сделать в файле загрузки?
- Где находится файл конфигурации для inetd?
- Как отключить службу для inetd?
- Какие функции выполняет TCP Wrappers после установки?
- Почему не следует размещать сообщение входа в /etc/motd?
- Почему в системе Linux необходимо размещать сообщение в /etc/issue и /etc/issue.net?
- Каким образом настройки возраста паролей в системе Solaris отличаются от аналогичных настроек в Linux?
- Что устанавливает параметр umask?
- Почему зашифрованные пароли пользователей должны храниться в файле shadow, а не в файле passwd?
- Что должен проверить администратор, перед тем как включать BSM в системе Solaris?
- Почему в файл syslog.conf должна быть включена строка <auth.info /var/log/auth.log>?
- Почему общедоступный для записи файл SUID является потенциальной уязвимостью?
- Какую информацию выводит команда netstat -m?
- Каким образом использование lsof помогает защитить систему?
- Какие данные выводит команда ps?