Брандмауэры и специальное программное обеспечение 8 Часть 4

Вид материала

Реферат

Содержание Разработка политики безопасности Глава 2. Безопасность уровня пользователей и групп Глава 6. Файловая система /ргос

Подобный материал:

• Муниципальное общеобразовательное учреждение средняя общеобразовательная школа №12, 174.77kb.
• Управление экономикой и создание экономических информационных систем Изучив данную, 148.93kb.
• Программное обеспечение ЭВМ, 209.59kb.
• Программное обеспечение вычислительной системы, 824.71kb.
• Учебная программа (Syllabus) Дисциплина: Интерфейсы компьютерных систем (iks 3304), 321.31kb.
• Реферат по Информационной безопасности Тема: «Антивирусы», 711.1kb.
• Пк программный комплекс; по программное обеспечение; ппо прикладное программное обеспечение, 208.41kb.
• Лекция 4 Обеспечивающие подсистемы асу. Математическое, программное, лингвистическое,, 59.3kb.
• Математическое и программное обеспечение систем оперативной оценки характеристик сложных, 247.51kb.
• Учебная программа (Syllabus) Дисциплина «Инструментальные средства разработки программ», 374.12kb.

Разработка политики безопасности

Идентифицировав основные угрозы, нависшие над вашей системой, вы можете приступить к разработке политики защиты. Общая политика защиты системы может быть либо открытой, либо закрытой. Если говорить более подробно, общая политика может утверждать одно из двух: либо разрешить все, что явно не запрещено, либо запретить все, что явно не разрешено.

В последующих главах будет рассказано о том, как политика безопасности воплощается в жизнь. Я расскажу вам о пользователях и группах, и вы сможете определить, что для вас приемлемее: использование группы по умолчанию либо частные пользовательские группы. Вы узнаете о сетях и службах. О том, как отключить службы, в которых вы не нуждаетесь, и о том, как убедиться в том, что функционирующие службы настроены корректно. Вы узнаете о том, как взглянуть на вашу систему извне и увидеть ее с точки зрения злоумышленника, пытающегося взломать вашу защиту. Вы также узнаете о том, как обнаружить вторжение и что делать для того, чтобы восстановить вашу систему и обезопасить ее от повторного вторжения. Вопрос об оценке убытков, связанных с вторжением, в данной книге не рассматривается, однако вы не должны забывать о возможных последствиях атаки. Вы должны оценить возможные потери времени и информации.

Из книги вы узнаете об использовании пакетных фильтров. Вы научитесь настраивать фильтры для отбрасывания, отклонения и, когда это необходимо, приема пакетов. Пакетные фильтры являются встроенным в Linux программным обеспечением брандмауэра. Здесь я хочу лишний раз подчеркнуть, что брандмауэр не является совершенным средством защиты. Брандмауэр не может гарантировать вам, что ни один злоумышленник никогда не проникнет в вашу систему. Брандмауэр просто дает вам дополнительное время, которое вы можете использовать для обнаружения атаки и соответствующих ответных действий. Если взломщик, действительно хорошо знающий свое дело, проникнет в вашу систему, его присутствие очень сложно будет обнаружить вплоть до того момента, когда будет слишком поздно. На самом деле злоумышленник может замаскировать свое присутствие так, что вы вообще не сможете его обнаружить, несмотря на то, что он будет продолжать использовать вашу систему. Время является как вашим другом, так и вашим врагом.

Однако помимо чисто технических вопросов, которые я затронул в предыдущих абзацах, вы не должны упускать из виду также некоторые другие весьма важные вопросы. В данной книге вы не найдете юридических советов. Для получения подобной информации будет лучше обратиться к профессиональному адвокату, обладающему опытом ведения дел в компьютерной области. Однако вы должны определить масштаб нанесенного вам ущерба. Намерены ли вы инициировать судебное разбирательство? Обладаете ли вы достаточно убедительными уликами? Помните, что файлы журналов можно модифицировать, поэтому журналы взломанной системы нельзя считать достоверным источником сведений.

Если для преследования злоумышленника вы намерены обратиться в компетентные органы, то обладаете ли вы правом обращения в полицию? Входит ли это в вашу компетенцию? Если нет, то кто в вашей организации обладает таким правом? Как вы или ваше руководство намерены вести себя в подобной ситуации? Насколько чувствительна ваша организация к последующей огласке возникшего инцидента?

Вы также должны составить хотя бы приблизительный план действий на случай возникновения подобной чрезвычайной ситуации. Планируете ли вы немедленно блокировать действия нарушителя и восстановить защиту системы или вы намерены не трогать злоумышленника в течение определенного времени и при этом попытаться определить адрес и физическое местоположение системы, с которой осуществляется атака? Будет ли у вас в запасе время, достаточное для слежения за взломщиками?

Ваша политика должна включать в себя также и другие правила, например, касательно паролей (через какое время пароли должны меняться и т. п.), правила обработки электронной почты (архивируете ли вы всю корпоративную почту или предписываете обязательное уничтожение всех писем через определенный период времени?). Очевидно, что если вы являетесь домашним пользователем, вы можете лишь поверхностно прикинуть приемлемые для вас ответы на эти вопросы, однако если вы работаете в организации, вы должны тщательно продумать и изложить на бумаге политику вашей сети, которая должна включать в себя упомянутые, равно как и многие другие, соображения. Дополнительную информацию по этой теме можно обнаружить в RFC-2196 и RFC-2504.


Часть I
Ваш узел


Глава 1. Пользователи, группы и безопасность

Глава 2. Безопасность уровня пользователей и групп

Глава 3. Файлы и права доступа

Глава 4. Атрибуты SUID/SGID для файлов и каталогов

Глава 5. Структура файловой системы

Глава 6. Файловая система /ргос

Глава 7. Процесс загрузки

Глава 8. Физическая безопасность и консольные атаки

1Пользователи, группы и безопасность


В данной главе рассматриваются следующие вопросы: - пользователи;

• различия между привилегированными и непривилегированными пользователями;
  
• файлы входа в систему;
  
• файл /etc/passwd;
  
• файл /etc/shadow;
  

• файл /etc/gshadow;
  
• файл /etc/login.defs;
  
• модификация сведений об устаревании паролей;
  
• РАМ.
  

Linux не ограничивает вас одним-единственным способом сделать нечто, напротив, как правило, одну и ту же задачу можно решить несколькими способами. Какие-то из этих способов нельзя считать в полной мере правильными, выбор же среди остальных в общем случае является делом личных предпочтений. Некоторые способы существенно облегчают бремя администрирования, а это напрямую влияет на безопасность вашей системы. Чем больше времени уходит у вас на возню с учетными записями пользователей, тем меньше внимания вы уделяете вопросам безопасности.

В основе безопасности Linux лежат концепции пользователей и групп. Все решения о том, что разрешается или не разрешается делать пользователю, принимаются на основании того, кем является вошедший в систему пользователь с точки зрения ядра операционной системы.