Анализ операционной системы МСВС на предмет наличия уязвимостей
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
?ть в формате пакетов TCP/IP, избавляясь, таким образом от накладных расходов на преобразование при передаче.
Изюминка ОС МСВС состоит в прозрачном комбинировании различных файловых систем, что даёт возможность использовать сильные стороны каждой из них. Для RieserFS это отличное применение. Есть ряд разделов, содержимое которых после установки почти не меняется: bin, usr и часто меняющиеся разделы: home, var. Последние - хорошие кандидаты для размещения на журналирующей файловой системе RieserFS.
В целом, RieserFS решает множество проблем, присутствующих в ext2fs и, безусловно, укрепит позиции платформы ОС МСВС для серьёзных приложений.
Разработка политики безопасности
Планирование политики безопасности информационной системы стоит начинать с анализа рисков, целью которого является оценка угроз и уязвимостей, определение комплекса контрмер, обеспечивающего достаточный уровень защищённости информационной системы в целом. Существуют различные подходы к оценке рисков, выбор которых зависит от уровня требований, предъявляемых, к режиму информационной безопасности.
Вы не сможете правильно реализовать безопасность системы, пока не выясните, что вы хотите защищать и от кого. Для того, чтобы принимать решения, относящиеся к защите нужно выработать политику безопасности. Политика также должна определять ответные действия на нарушения безопасности. Приведенные ниже вопросы помогают в выработке стратегии:
Как вы определяете конфиденциальную и важную информацию?
Нужен ли удаленным пользователям доступ к вашей системе?
Находится ли на сервере конфиденциальная или важная информация?
Обеспечивают ли пароли или шифрование достаточную защиту?
Нужен ли вам доступ в internet?
Как много доступа вы хотите разрешить из internet?
Какие действия нужно предпринять в случае нарушения защиты?
Это очень короткий список, но охватывающий достаточно широкий круг вопросов безопасности информационной системы. Любая политика безопасности базируется на некотором уровне паранойи; решите насколько вы всем доверяете. Стратегия должна балансировать между разрешением пользователям доступа к необходимой им информации и запрещением доступа к определенным видам данных. Точка, где эти линии пересекаются, определит вашу стратегию.
6.2 Локальная безопасность
Выбор правильного пароля
Отправной точкой безопасности являются парольная защита. Многие люди используют единственный пароль всю жизнь, доверяя ему защиту всех своих данных, вопреки известной аксиоме, не взламываемых паролей не существует. Любой из них поддается либо социальной разработке, либо грубой силе.
Одним из пунктов в системе парольной защиты является проверка файл с паролями с помощью программы-взломщика. Это помогает найти пароли, которые легко подбираются и которые необходимо срочно заменить. Данный механизм проверки должен работать и в момент определения паролей, чтобы отклонить заведомо слабый пароль при его начальной задании или переопределении.
Для ОС МСВС рекомендованы следующие правила для создания эффективных паролей:
пароль должен быть не менее шести символов в длину и содержать не менее 1 цифры или специального знака;
он не должен базироваться на имени пользователя, фамилии, месте жительства и ряде других персональных данных;
он должен иметь ограниченный период действия;
он должен отменяться и сбрасываться после заданного числа в подряд неправильных попыток ввода;
Минимально допустимая длина пароля, задаваемая по умолчанию в ОС МСВС - 6 символов. Данная политика задаётся в файле /etc/login.defs.
Этот файл является конфигурационным для программы login. Здесь вы можете изменить и другие параметры, чтобы они соответствовали вашей стратегии защиты (время действия пароля, длина пароля и др.).
Установка таймаута подключения для root
Часто бывает, что администратор, войдя в систему под пользователем root, забывает выйти и его сессия остается открытой. Решением этой проблемы может быть переменная tmout (/etc/profile) в bash, которая определяет время, через которое пользователь автоматически отключается от системы, если он не активен. Она содержит время в секундах до отключения.
Отключение доступа к консольным программам
Одной из самых простых и необходимых настроек является блокирование консольно-эквивалентного доступа к программам halt, shutdown, reboot и poweroff. Чтобы это сделать выполните:-f /etc/security/console.apps/servicename,
где servicename имя программы к которой вы хотите запретить консольно-эквивалентный доступ.
Отключение всего консольного доступа
Чтобы блокировать весь консольный доступ, включая программу и файл доступа, в каталоге /etc/pam.d/, нужно закомментировать все строки, в которых вызывается pam_console.so. Нижеприведенный скрипт сделает это автоматически:
foo&&mvfoo$idone"># !/bin/sh cd /etc/pam.d for i in * ; do sed /[^#].*pam_console.so/s/^/#/ foo && mv foo $i done
Файл /etc/securetty
Файл /etc/securetty позволяет вам определить с каких tty устройств может входить в систему пользователь root. Этот файл читается программой login. Он имеет очень простой формат. В каждой строке перечислены имена tty устройств, с которых root может входить в систему, а с остальных доступ ему будет запрещен.
Отключите любые tty, которые вам не нужны. С остальных терминалов вы сможете переключаться на root, используя команду su.
Специальные пользователи
Выключите все ненужные специальные бюджеты пользователей, которые созданы по умолчанию в вашей системе