Tcp/ip и Интернет 2


Ключевые аспекты безопасности ОС Linux



страница19/25
Дата18.11.2016
Размер1.5 Mb.
Просмотров2979
Скачиваний0
1   ...   15   16   17   18   19   20   21   22   ...   25

40. Ключевые аспекты безопасности ОС Linux


Большинство операционных систем не поставляется с уже готовой защитой. Кроме того, настройка, которая осуществляется как во время инсталляции, так и после нее, изменяет профиль безопасности новых систем. Администраторы должны укреплять новые системы, интегрировать в локальную среду и планировать их долговременную безопас­ ную эксплуатацию.

Когда к вам придет проверка, вы должны доказать, что следовали стандартной мето­ дологии, особенно если эта методология соответствует общепринятым рекомендациям и передовым достижениям в вашей области промышленности.

Для защиты новых систем мы используем технологическую карту. Системный адми­ нистратор применяет стандартные меры по укреплению безопасности системы, а администратор по вопросам безопасности проверяет, чтобы эти меры были приняты пра­ вильно, и ведет системный журнал.

Программные "заплатки"

Оснащение операционной системы вновь разработанными программными “заплатами” является первейшей обязанностью системного администратора. Большинство си­ стем конфигурируется так, чтобы иметь связь с репозиторием поставщика. В этом слу­ чае установка программной “заплаты” сводится всего лишь к выполнению нескольких команд. В крупных сетях могут существовать локальные репозитории, являющиеся зер­ калами репозитория поставщика.

При установке программных “заплат” следует учитывать следующее.

• Нужно составить расписание инсталляции программных “заплат” и строго его придерживаться. При составлении такого расписания необходимо учитывать его влияние на пользователей. Обычно достаточно выполнять ежемесячные обновле­ ния; регулярность важнее срочности. Нельзя сосредоточиваться только на защите от вредоносных программ и игнорировать другие обновления.

• Необходимо разработать план изменений, который учитывал бы влияние каждого набора “заплат”, предусматривал соответствующие этапы тестирования после ин­ сталляции системы и описывал возможности отказа от внесенных обновлений при возникновении проблем. Этот план следует обсудить со всеми заинтересованными сторонами.

Необходимо понимать, какие заплаты подходят к данному окружению. Системные администраторы должны подписываться на специальные списки рассылки и блоки по вопросам безопасности, создаваемые поставщиками, а также принимать участие в работе форумов по вопросам безопасности, таких как Bugtraq.



Ненужные службы

Большинство систем поставляется с несколькими службами, которые запускаются по умолчанию. Отключите (и по возможности удалите) все ненужные службы, особенно если они реализованы в виде сетевых демонов.

В большинстве операционных систем эту задачу можно решить с помощью команд lsof или fuser. В системе Linux эти команды могут распознать идентификатор PID процесса, использующего данный порт.

ubuntu$ sudo fuser 22/tcp 22/tcp: 2454 8387

ubuntu$ sudo lsof -i:22

COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME

sshd 2454 root 3u IPv4 5730 TCP *:ssh(LISTEN) sshd 2454 root 4u IPv6 5732 TCP *:ssh(LISTEN)

Выяснив идентификатор PID, с помощью команды ps можно идентифицировать конкретный процесс. Если данная служба не нужна, остановите ее и убедитесь, что она не будет заново стартовать во время загрузки системы.

К сожалению, доступность команд lsof и fuser зависит от системы, и их реали­ зации сильно отличаются друг от друга. Многим версиям этих инструментов недостает поддержки сетевых сокетов.

Если утилиты lsof и fuser недоступны (или бесполезны), можно либо проверить “хорошо известные” порты для служб в файле /etc/service, либо запустить утилиту netstat без параметра -n, чтобы она выполнила эту проверку за вас.

Некоторым сетевым протоколам присущ риск, которому подвергается безопасность системы. В этом случае она остается почти все время уязвимой. Например, программы FTP, Telnet и BSD “r” (rcp, rlogin и rsh) используют ненадежную аутентификацию и ненадежные методы передачи данных. Они должны быть отключены во всех системах и заменены более безопасными программами, например программой SSH.

Удаленная регистрация событий

Механизм syslog направляет регистрационную информацию в файлы, списки поль­ зователей и другие узлы сети. Попробуйте настроить узел, отвечающий за безопасность, так, чтобы он действовал как центральная регистрационная машина, анализирующая полученные события и выполняющая соответствующие действия. Единый централизо­ ванный регистратор событий может получать сообщения от разных устройств и преду­ преждать администраторов о важных событиях. Удаленная регистрация также предот­ вращает перезапись или очистку регистрационных файлов во взломанных системах.

Большинство систем поставляется сконфигурированными так, что механизм syslog включен по умолчанию, но для настройки удаленной регистрации необходимо выпол­ нить дополнительное конфигурирование.

Резервные копии

Регулярное резервное копирование является важной частью системы безопасности любой сети. Резервное копирование само по себе также может создавать угрозу безопасности. Украденная коллекция магнитных лент может уничтожить всю систему безопасности. Для хранения магнитных лент используйте огнеупорные сейфы, которые могут противо­ стоять взлому, и применяйте шифрование. Рассматривая возможность заключения кон­ тракта на хранение информации, попросите разрешения совершить экскурсию и лично убедиться в надежности хранилища.

Вирусы и черви

Системы UNIX и Linux имеют иммунитет от вирусов. Существует всего несколько вирусов (большинство из них носит чисто академический характер), которые могут заразить системы UNIX и Linux, но ни один из них не способен нанести серьезный урон, в отличие от среды Windows, где это стало частым явлением. Тем не менее этот факт не снижает озабоченности поставщиков антивирусных программ — разумеется, если вы покупаете их продукт по специальной цене.

Точная причина отсутствия вредоносных программ неясна. Некоторые утверждают, что система UNIX просто занимает слишком незначительную долю рынка настольных систем и поэтому не интересует авторов вирусов. Другие настаивают на том, что среда с контролем доступа, существующая в системе UNIX, ограничивает размер урона от само- распространяющихся червей или вирусов.

Последний аргумент заслуживает внимания. Поскольку система UNIX ограничивает доступ исполняемых модулей на файловом уровне, непривилегированные пользователи не могут инфицировать остальную среду. Если код вируса был запущен не из корня, его вред будет значительно ограничен. Следовательно, не нужно использовать учетную запись root для повседневной деятельности.

Как ни странно, одна из причин внедрения антивирусного программного обеспечения на серверах UNIX — стремление защитить работающие под управлением Windows компьютеры, существующие в вашей сети, от Windows-ориентированных вирусов. Почтовый сервер может сканировать входящую электронную почту на вирусы, а файло­ вый сервер в поисках инфекции может сканировать общие файлы. Однако это решение должно быть дополнительным по отношению к антивирусной защите настольных си­ стем, а не основным.

Троянские программы

Это программы, которые не выглядят программами. Примером является программа turkey, распространявшаяся в сети Usenet много лет тому назад. Эта программа утверждала, что способна нарисовать индейку на экране компьютера, но на самом деле удаляла файлы из рабочего каталога.

Фрагменты троянских программ встречаются в основных пакетах программного обе­ спечения до сих пор. Авторы программ sendmail, tcpdump, OpenSSH и nterBase даже опубликовали советы, касающиеся вредоносных программ, внедренных в их программ­ ное обеспечение. Эти троянские программы обычно внедряют вредоносный код, ко­ торый позволяет хакерам проникать в систему. К счастью, большинство поставщиков регулярно исправляют свои ошибки и публикуют соответствующие рекомендации раз в одну-две недели. Следите за списками рассылок по вопросам безопасности, посвящен­ ными всем сетевым программным пакетам, которые выполняются на ваших узлах.

Несмотря на большое количество проблем, возникших в области безопасности си­ стем UNIX за последние несколько лет, следует отметить малое количество инцидентов, связанных с троянскими программами. В основном, это объясняется скоростью ком­ муникаций через Интернет. Очевидные проблемы с безопасностью быстро выявляются и широко обсуждаются. Вредоносные пакеты не задерживаются надолго на хорошо из­ вестных интернет-серверах.

Вы можете быть уверены, что любое выявленное вредоносное программное обе­ спечение вызовет в Интернете широкое волнение. Поищите в системе Google имя про­ граммного пакета, прежде чем его инсталлировать, и посмотрите, нет ли на первой стра­ нице неприятных сообщений о нем.

Руткиты

Умелые хакеры пытаются скрывать свои следы и избегать разоблачения. Часто они рассчитывают продолжить использование вашей системы для нелегального распростра­ нения программного обеспечения, зондирования других сетей или запуска атаки против других сетей. Для того чтобы оставаться незамеченными, они часто используют “Руткиты” (“rootkits”). Троянские программы, внедренные в файлы, созданные фирмой Sony, используют возможности руткитов, чтобы скрыть себя от пользователей.



Руткиты — это программы и заплатки, скрывающие важную системную информа­ цию, например процесс, диск или сетевую активность. Они имеют много обличий и разную степень сложности — от простых замен приложения (как взломанные версии утилит ls и ps) до модулей ядра, которые практически невозможно выявить.

Для эффективного мониторинга системы и выявления внедренных руткитов суще­ ствует специальное программное обеспечение, например OSSEC. Кроме того, разра­ ботаны сценарии распознавания руткитов (такие, как chkrootkit, chkrootkit.org), сканирующие систему в поисках известных руткитов.

Несмотря на существование программ, позволяющих системным администраторам удалять руткиты из взломанных систем, время, которое они вынуждены затрачивать на очистку систем, можно было бы сэкономить, сохранив данные, переформатировав диск и начав работу с нуля. Большинство современных руткитов знают о существовании про­ грамм для их удаления и пытаются оказывать сопротивление.

Фильтрация пакетов

Еслисистемаподключается к сети, где есть выход в Интернет, необходимо, чтобы между этой системой и внешним миром стоял брандмауэр либо маршрутизатор, филь трующий пакеты.




Поделитесь с Вашими друзьями:
1   ...   15   16   17   18   19   20   21   22   ...   25


База данных защищена авторским правом ©nethash.ru 2019
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал