Geum.ru

Брандмауэры и специальное программное обеспечение 8 Часть 4

Вид материалаРеферат

Содержание


Восстановление пароля root
Резервное копирование
Подобный материал:
1   ...   29   30   31   32   33   34   35   36   ...   101

Восстановление пароля root


Прежде чем вы попытаетесь сделать то, о чем только что говорилось, вы должны попытаться воспользоваться загрузочным гибким диском Caldera OpenLinux (или загрузочным диском, входящим в ваш комплект поставки Linux) или установочным компакт-диском (большинство таких дисков являются загрузочными) и попытаться загрузить систему. Как только перед вами появится экран, на котором вам предлагается выбрать диск, на который вы хотите установить Linux, остановитесь. Если вы продолжите, будет запущена программа fdisk, а это не то, что вам нужно. Как правило, при помощи загрузочного диска вы можете выполнить загрузку ОС, а затем, не продолжая установку, перейти в режим командной строки. В разных вариантах поставок Linux для этой цели требуется выполнить разные действия, однако, как правило, все они похожи. Вы должны свериться с руководством, которое входит в используемый вами комплект поставки.

В частности, если вы используете Caldera OpenLinux, на экране, предлагающем вам выбрать диск для установки, вы должны нажать комбинацию клавиш ++, после чего следует подключиться к системе с использованием учетной записи root (при этом вам не потребуется вводить пароль). Как и другие разновидности поставки, Caldera OpenLinux использует виртуальный диск в оперативной памяти (ramdisk), который представляет собой полную корневую файловую систему, в которую входит подкаталог с именем target. Вы можете смонтировать вашу старую корневую файловую систему в каталоге target, перейти в подкаталог target/etc (cd target/etc) и затем отредактировать теневой файл паролей. Если вы забыли пароль, вы должны просто удалить хэшированный пароль из файла (вы не должны оставить между двумя двоеточиями ни одного символа, даже пробела). После этого перейдите обратно в корневой каталог (cd /), размонтируйте файловую систему, которую вы смонтировали в каталоге target (это очень важно), а затем перезагрузите систему как обычно, то есть с использованием вашей старой файловой системы. В результате вы сможете в систему с использованием учетной записи root, не сообщая при этом пароля.


ВНИМАНИЕ

Без пароля учетной записи root ваша система является совершенно беззащитной. Выполняя описанную процедуру, вы должны отключиться от сети (просто выдерните кабель Ethernet из разъема сетевой карты), а войдя в систему, в самую первую очередь немедленно восстановите пароль учетной записи root.

Не забывайте о том, что любой человек, обладающий физическим доступом к вашему компьютеру, может проделать все, о чем здесь рассказывалось.

Резервное копирование


Наверное, наиболее недооцененной областью системной безопасности является резервное копирование данных. Просматривая любые инструкции и руководства, связанные с Linux, вы очень часто будете сталкиваться с фразой: «Наверняка у вас уже есть свежая резервная копия данных, не так ли?». Резервное копирование рекомендуется делать всем, даже домашним пользователям. Однако далеко не у всех есть устройство записи информации на магнитную ленту (стриммер). Хороший стриммер до сих пор является, наверное, самой дорогостоящей частью системы. Зачастую такие устройства используются только на коммерческих предприятиях.

У многих из вас может возникнуть желание использовать для резервного копирования диски Zip, сменные жесткие диски или даже записываемые компакт-диски. Все эти варианты вполне могут применяться для хранения архивов, однако вы должны знать о некоторых весьма серьезных недостатках всех этих носителей по сравнению с магнитной лентой. В частности, диски Zip на самом деле недостаточно хорошо защищены от ошибок. Они не обладают столь же надежными механизмами обнаружения и коррекции ошибок, которые используются в жестких дисках. Если вы намерены использовать для резервного копирования Zip-диск, будьте готовы к потерям данных. Использование сменных жестких дисков может показаться весьма приемлемым вариантом, однако вы должны учитывать, что сменные жесткие диски столь же беззащитны перед скачками напряжения, как и обычные жесткие диски. Таким образом, при неудачном стечении обстоятельств вы можете потерять данные как на своем основном жестком диске, так и на сменном жестком диске, на котором хранилась резервная копия. Наконец, записываемые компакт-диски обладают невысокой скоростью записи, кроме того, их емкость не может быть более 660 Мбайт.

Существуют самые разнообразные рекомендации относительно того, как следует выполнять резервное копирование. Вы можете каждый вечер создавать полную резервную копию всей системы, вы можете делать это один раз в неделю и при этом ежедневно или три раза в неделю выполнять добавочное (incremental) резервное копирование. Многие компании организуют хранение еженедельных или ежемесячных резервных копий на стороне, то есть вне здания фирмы, в которой функционирует система. Таким образом, ленты, на которых хранятся резервные копии, размещаются как в здании фирмы, так и в другом здании, благодаря чему надежность хранения данных возрастает. Для этой цели вы должны выбрать компанию с хорошей репутацией и хранить свои резервные копии так, чтобы никто кроме вас не обладал бы физическим доступом к вашим лентам резервного копирования.

К сожалению, во многих местах, где мне приходилось бывать, ленты резервного копирования зачастую забываются вставленными в стримеры или хранятся так, что любой может получить к ним доступ. На самом деле физическим доступом к лентам резервного копирования должны обладать только те люди, которые по долгу службы должны знать пароль учетной записи root. На деле ленты резервного копирования должны защищаться от постороннего доступа даже лучше, чем сами системы.

Ленты резервного копирования, в особенности те из них, которые хранят на себе полную резервную копию всей системы, содержат полный образ системы. Их можно использовать для того, чтобы в точности воссоздать систему. Фактически хорошая резервная копия системы — это даже лучше, чем возможность физического доступа к системе. Дело в том, что содержимое ленты можно загрузить на любой другой системе. Для этого достаточно знать название утилиты, при помощи которой была создана данная резервная копия (на самом деле многие графические коммерческие утилиты резервного копирования просто-напросто выполняют функции интерфейса для упрощения работы с традиционными утилитами резервного копирования Linux, такими как tar, cpio или dump).

Если злоумышленник получает возможность загрузить на какую-либо другую систему всего один файл /etc/shadow, значит, он получает доступ не только к тем сведениям, которые хранятся в системе в данный момент (все эти сведения и так записаны на ленту с резервной копией), но и к тем данным, которые появятся в системе в будущем. В этом случае все пароли, включая пароль root, следует считать раскрытыми. Загрузив файл теневых паролей на свой компьютер, злоумышленник может не спеша использовать в отношении этого файла любые программы автоматического взлома. В скором времени ему станет известно большинство паролей. Однако наиболее важным будет пароль root.


СОВЕТ

Если вы подозреваете, что содержимое резервной копии стало доступным для неавторизированного лица либо в результате кражи, либо в результате несанкционированного копирования, вы должны сменить все пароли на данной системе, кроме того, все системы, которые доверяют данной системе, должны рассматриваться как уязвимые.