Анализ операционной системы МСВС на предмет наличия уязвимостей
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
(Это необходимо проделывать после каждого обновления). Чем больше у вас заведено пользователей, тем легче проникнуть в систему.
Бит постоянства может быть использован для предотвращения случайного удаления или переписывания файлов, которые должны быть защищены. Они также могут быть защищены от создания символических ссылок, которые могут быть использованы для атак на файлы /etc/passwd, /etc/shadow, /etc/group или /etc/gshadow.
Для установки бита постоянства на эти файлы выполните следующие команды:+i /etc/passwd chattr +i /etc/shadow chattr +i /etc/group chattr +i /etc/gshadow
Замечание. Если в будущем вам надо будет добавить новых пользователей или изменить пароли, то снимите бит постоянства с этих файлов. Также снять этот атрибут может потребоваться при инсталляции новых RPM пакетов, которые автоматически добавляют новых пользователей или новые группы.
Блокирование выполнения команды su
Для того, чтобы ограничить пользователей, которые могут выполнять команду su root, нужно добавить следующие две строки в начало файла конфигурации su root, расположенного в каталоге /etc/pam.d/.sufficient /lib/security/pam_rootok.so debug auth required /lib/security/pam_wheel.so group=wheel
После изменения файла /etc/pam.d/su нужно определить пользователей, которые могут выполнять su root. Для этого введите следующую команду:-G UserName
где опцией G определяется список цифровых значений групп в которые входит пользователь UserName.
Ограничение ресурсов
Файл limits.conf, находящийся в каталоге /etc/securitty, используется для ограничения ресурсов потребляемых пользователями вашей системы. Эти ограничения будут накладываться на пользователей как только они будут входить в систему.Символ * означает всех пользователей имеющих доступ на данный сервер.
Отредактируйте файл /etc/pam.d/login и добавить в него следующее:required /lib/security/pam_limits.so
Файл /etc/lilo.confэто универсальный загрузчик для ОС МСВС. Он не зависит от файловой системы и может загружать ядро МСВС как с гибкого диска, так и с жесткого диска. Кроме того, LILO может служить загрузчиком других операционных систем.
Наиболее важным конфигурационным файлом является /etc/lilo.conf. Следующие три опции чрезвычайно важны для улучшения безопасности.=00
Эта опция контролирует как долго (в десятых долях секунды) LILO ждет ввода информации от пользователя перед тем как продолжит загрузку по умолчанию. Одним из требований безопасности является возможность установки интервала равного 0.
Эта опция ослабляет парольную защиту, так как она требует введение пароля только если были определены параметры загрузки (например, linux single). Она может использоваться только совместно с опцией password. Убедитесь, что вы используете эту опцию с каждым образом.=
Это опция требует запроса пароля у пользователя если он загружает ОС МСВС в однопользовательском режиме. Пароль является зависимым от регистра.
Обязательно проверьте, чтобы файл /etc/lilo.conf мог читать только пользователь root, так как, пароль хранится в файле в незашифрованном виде. Защитите файл от изменения и удаления командой:+i /etc/lilo.conf
Настройка shellshell может запоминать до 500 команд в файле ~/.bash_history (где ~/ - домашний каталог пользователя). Каждый пользователь, который имеет shell-доступ в систему, имеет такой .bash_history файл в своем домашнем каталоге. Уменьшая количество команд запоминаемых в этом файле, вы защищаете систему. Когда пользователь случайно ввел в командной строке свой пароль, то он еще долгое время будет хранится в файле .bash_history.
Строки histfilesize и histsize в файле /etc/profile определяют количество старых команд запоминаемых в .bash_history.
Также нужно добавить в файл /etc/skel/.bash_logout строку-f $HOME/.bash_history
В результате, каждый раз, когда пользователь выходит из системы, его файл .bash_history будет удаляться. Поэтому хакер не сможет получить к нему доступ, когда пользователь не подключен к серверу.
Файл /etc/rc.d/rc.local
Данная возможность позволяет исключить утечки информацию о сервере и ОС злоумышленнику
При подключении к системе МСВС, вам выдается сообщение об имени дистрибутива, его версии, версии ядра и имени сервера. Это совершенно не нужно, так как дает много информации злоумышленнику. Вы должны оставить только запрос login:.
Чтобы сделать это, закомментируйте следующие строки в файле /etc/rc.d/rc.local:
# Эти строки будут заменять содержимое файла /etc/issue
# при каждой перезагрузке.
#echo "" > /etc/issue
#echo "$R" >> /etc/issue
#echo "Kernel $(uname -r) on $a $(uname -m)" >> /etc/issue
#cp -f /etc/issue /etc/issue.net
#echo >> /etc/issue
Удалите файлы issue.net и issue в каталоге /etc:-f /etc/issue rm -f /etc/issue.net
Замечание. Файл /etc/issue.net содержит информации, которая выдается всякий раз, когда осуществляется сетевое подключение к серверу (например, через telnet). Данные файлы содержится в каталоге /etc. Это простые текстовые файлы и вы можете их легко настраивать под свои нужды, но при этом необходимо изменить скрипт /etc/rc.d/rc.local, так как он при каждой перезагрузке пересоздает эти файлы.
Запрещение перезагрузки системы по Ctrl-Alt- Del
Запрещение перезагрузки системы по Ctrl-Alt- Del становится возможным при закомментаривании строки, описанной ниже, в файле /etc/inittab.::ctrlaltdel:/sbin/shutdown -t3 -r now
Копии всех важных файлов регистрации
Один из важнейших аспектов защиты - это целостность лог файлов, расположенных в /var/log. Если взломщик преодолел вашу оборону, то вся ваша надежда остается на них. Если на вашем сервере установлен сервер печати или подобный сервер есть в сети, то можно создавать твердые копии всех, важных логов. Это легко осуществить, имея принтер с непрерывной подачей бумаги и перенаправляя вс?/p>