Tcp/ip и Интернет 2


Пароли и учетные записи пользователей в ОС Linux



страница20/25
Дата18.11.2016
Размер1.5 Mb.
Просмотров3349
Скачиваний0
1   ...   17   18   19   20   21   22   23   24   25

41. Пароли и учетные записи пользователей в ОС Linux


Очень часто источником неприятностей является плохое управление паролями. По умолчанию в файлах /etc/passwd и /etc/shadow содержатся данные о том, кто может входить в систему и что он при этом имеет право в ней делать. Эти файлы представля­ ют собой передовую линию защиты системы от захватчиков. Их нужно вести с особой тщательностью, стараясь не допускать ошибок и не загромождать файлы устаревшими данными. Система UNIX позволяет пользователям выбирать свои собственные пароли, но, не­ смотря на то, что это удобно, из-за этого возникает множество проблем, связанных с бе­ зопасностью. Когда вы даете пользователям их регистрационные имена, должны также инструктировать их о правилах выбора паролей. Рекомендуется выбирать пароли не ме­ нее чем из восьми символов, среди которых должны быть цифры, знаки препинания, а также прописные и строчные буквы. Бессмысленные сочетания символов, слогов, пер­ вые буквы слов легко запоминаемой фразы — вот самые лучшие пароли. При этом легко запоминаемая фраза не должна быть одной из широко распространенных. Важно постоянно проверять (желательно ежедневно), чтобы каждая регистрацион­ ная запись имела пароль. Записи в файле /etc/shadow, описывающие псевдопользо­ вателей, таких как “демон”, которые владеют файлами, но никогда не регистрируются, должны быть отмечены звездочками или знаком восклицания в поле зашифрованного пароля. Эти символы не совпадают ни с одним паролем и тем самым предотвращают использование данной учетной записи.

В организациях, использующих централизованную схему аутентификации, такую как LDAP или Active Directory, используется та же логика. Они требуют сложных паролей и блокируют учетные записи после нескольких неудачных попыток регистрации.

Устаревание паролей

В большинстве систем, использующих теневые пароли, можно реализовать меха­ низм так называемого устаревания паролей, при котором пользователей заставляют пе­ риодически менять пароли. На первый взгляд, это хорошая идея, однако ее практическая реализация влечет за собой определенные проблемы. Не всякому пользователю по душе периодически менять пароль, поскольку это сопряжено с запоминанием нового пароля. Обычно для пароля выбирается простое слово, которое легко вводится и запоминается, и когда приходит время замены, многие пользователи, не желая себя утруждать, опять берут предыдущий пароль. Таким образом, дискредитируется сама идея. В системе Linux процессом устаревания паролей управляет программа chage. С ее помощью администраторы могут задавать минимальное и максимальное количество изменений пароля, дату истечения срока действия пароля, коли­ чество дней до наступления даты истечения срока действия пароля, когда сле­ дует заблаговременно предупредить пользователя, количество дней простоя, в течение которых учетные записи остаются заблокированными, и другие параметры. Следующая команда задает минимальное количество дней между изменениями пароля равным 2, максимальное количество изменений пароля равным 90, дату истечения срока действия пароля равной 31 июля 2010 года, а также то, что пользователя следует предупредить об истечении срока действия пароля за 14 дней.

$ sudo chage -m 2 -М 90 -Е 2010-07-31 -W 14 ben

Другие системы иначе реализуют механизм устаревания паролей, обычно не так де­ тально. В системе Solaris параметры механизма устаревания паролей задаются в файле /etc/password. Устареванием паролей в системах семейства HP-UX управляет утилита smc, а в системе AIX оно настраивается в файле /etc/security/user.

Групповые и совместно используемые учетные записи

Опасно, если учетная запись используется несколькими людьми. Групповые реги­ страционные имена (например, guest или demo) представляют собой удобную лазейку для хакеров, поэтому они запрещены во многих сетях федеральными законами, такими как HIPAA. Не допускайте этого в своей сети. Однако технические средства не могут предотвратить совместное использование пользователями паролей, поэтому в этом во­ просе лучше всего вести разъяснительную работу.

Пользовательские оболочки

Теоретически можно установить в качестве оболочки для пользовательской учетной записи любую программу, включая пользовательский сценарий. На практике использо­ вание оболочек, отличающихся от стандартных, таких как bash и tcsh, весьма опас­ но. Еще опаснее беспарольные регистрационные имена, оболочкой которых является сценарий. Если у вас возникнет соблазн создать такое регистрационное имя, примените вместо него пару ключей SSH без пароля.

Привилегированные учетные записи

Единственная отличительная черта пользователя root состоит в том, что его иден­ тификатор равен 0. Поскольку в файле /etc/passwd может быть несколько записей с таким идентификатором, существует и несколько способов входа в систему в качестве суперпользователя.

Один из способов, который хакеры, получив доступ к интерпретатору команд су­ перпользователя, широко применяют для открытия “черного хода”, — редактирование файла /etc/passwd. Поскольку такие команды, как who и w, работают с регистрацион­ ным именем, хранящимся в файле /var/run/utmp, а не с идентификатором владельца регистрационного интерпретатора, они не в состоянии разоблачить хакера, который вы­ глядит как рядовой пользователь, хотя на самом деле зарегистрирован в системе в каче­ стве суперпользователя.

Не допускайте удаленную регистрацию суперпользователя даже через стан­ дартную корневую учетную запись. Для того чтобы это запретить, следует с помощью оболочки OpenSSH установить в файле /etc/ssh/sshd_config параметр конфигурации PermitRootLogin равным No.


42. Команда chroot


Системный вызов chroot ограничивает процесс конкретной библиотекой. Он за­ крывает доступ к файлам, расположенным за пределами каталога, и тем самым смягчает последствия, которые могут возникнуть при его взломе.

Команда chroot — это простая оболочка описанного выше системного вызова. Кроме того, некоторые демоны, представляющие угрозу для безопасности системы, имеют встроенную поддержку команды chroot и должны запускаться только в этом режиме, который устанавливается в их конфигурационных файлах.

Команда chroot может защитить вас при выполнении следующих условий:


  • Все процессы в окружении chroot запускаются без привилегий суперпользова­ теля. Процессы, которые запускаются с привилегиями суперпользователя, всегда способны взломать окружение chroot.

  • Вы не запускаете программы, выполняемые с установленным битом setuid, с правами суперпользователя.

Окружение chroot соответствует современному уровню и является минимальным, т.е. содержит только исполняемые программы, библиотеки и конфигурационные файлы, необходимые для выполнения поставленной задачи.




Поделитесь с Вашими друзьями:
1   ...   17   18   19   20   21   22   23   24   25


База данных защищена авторским правом ©nethash.ru 2019
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал