Брандмауэры и специальное программное обеспечение 8 Часть 4
| Вид материала | Реферат |
СодержаниеКоманды «r» (rsh, rexec, rlogin), порты 512, 513, 514 Более подробно о ssh рассказывается в главе 21. |
- Муниципальное общеобразовательное учреждение средняя общеобразовательная школа №12, 174.77kb.
- Управление экономикой и создание экономических информационных систем Изучив данную, 148.93kb.
- Программное обеспечение ЭВМ, 209.59kb.
- Программное обеспечение вычислительной системы, 824.71kb.
- Учебная программа (Syllabus) Дисциплина: Интерфейсы компьютерных систем (iks 3304), 321.31kb.
- Реферат по Информационной безопасности Тема: «Антивирусы», 711.1kb.
- Пк программный комплекс; по программное обеспечение; ппо прикладное программное обеспечение, 208.41kb.
- Лекция 4 Обеспечивающие подсистемы асу. Математическое, программное, лингвистическое,, 59.3kb.
- Математическое и программное обеспечение систем оперативной оценки характеристик сложных, 247.51kb.
- Учебная программа (Syllabus) Дисциплина «Инструментальные средства разработки программ», 374.12kb.
Команды «r» (rsh, rexec, rlogin), порты 512, 513, 514
Латинская буква «г» в данном случае означает remote, то есть «удаленный». Три этих утилиты были разработаны в самом начале развития сетей для того, чтобы использоваться совместно или заменить собой telnet, rsh означает remote shell -удаленная командная оболочка, rехес означает remote execution — удаленное выполнение заданий, наконец, rlogin означает remote login — удаленное подключение. Эти утилиты появились в обиходе в то далекое время, когда люди в значительно большей степени доверяли компьютерным сетям. Благодаря этим трем командам пользователи сети получают возможность доступа к удаленным системам через сеть, и при этом у них даже не спрашивают пароля. Нетрудно себе представить, какую опасность представляют собой эти команды.
Все три команды безоговорочно доверяют сети и сетевым пользователям. В наши дни воспользоваться этим доверием слишком просто. Действие команд не ограничивается обычными пользователями, они действуют и в отношении привилегированных пользователей. Два файла, расположенных либо в каталоге /etc, либо в домашнем каталоге пользователя, могут стать причиной крупных неприятностей для администратора системы. Альтернативой командам «r» является команда ssh — Secure Shell (защищенная командная оболочка).
ССЫЛКА
Более подробно о ssh рассказывается в главе 21.
Программа ssh куда более защищена и обеспечивает куда более высокий уровень безопасности, однако несмотря на это на некоторых предприятиях до сих пор предпочитают использовать команды «г». Если вы имеете дело с такой сетью, вы должны хорошенько продумать защиту этих служб. Помните, что любые связанные с ними данные передаются через сеть в незашифрованном виде — никакое кодирование не применяется, и поэтому любые пароли могут быть похищены злоумышленниками при помощи tcpdump или любой другой программы, «прослушивающей» сеть.
ПРИМЕЧАНИЕ
Утилиты или программные средства, которые позволяют получать все пакеты, передаваемые через сеть, вне зависимости от того, кому они адресованы, обозначают английским термином sniffer. Подобные инструменты разработаны для того, чтобы помочь системным администраторам решать проблемы, связанные с передачей данных через сеть. Однако в наши дни подобные средства часто используются злоумышленниками для того, чтобы похищать передаваемые через сеть пары «имя_ пользователя/пароль».
В файле /etc/services все эти службы обозначены без префикса «г», то есть в этом файле они обозначены как shell, exec, login. Точно так же ссылается на них и файл inetd.conf, однако в конце каждой соответствующей строки можно увидеть rshd, rexecd и rlogind (соответственно). Если все эти строки закомментированы (что я вам настоятельно рекомендую сделать) и демон inetd послал сигнал SIGHUP, значит, ваша система не обеспечивает доступ с использованием этих служб.
Если же вы вынуждены обеспечить доступ клиентов с использованием этих служб, вы должны обеспечить должную аутентификацию. Начать следует с изучения подкаталога /ect/pam.d. Здесь можно обнаружить три раздельных файла: rsh, rexec и rlogin, которые, как нетрудно догадаться, соответствуют рассматриваемым службам. Содержимое этих файлов показано в листингах 12.12,12.13 и 12.14.
Листинг 12.12. Содержимое файла /etc/pam.d/rsh по умолчанию
auth required /lib/security/pam_rhosts_auth.so
auth required /lib/security/pam_nologin.so
account required /lib/security/pam_pwdb.so session required /lib/security/pam_pwdb.so
Первая строка файла /etc/pam.d/rsh может содержать несколько параметров, о которых рассказывалось в главе 1. Эта строка разрешает использование файлов rhosts в домашних каталогах пользователей.
Листинг 12.13. Содержимое файла /etc/pam.d/rexec по умолчанию
auth required /lib/security/pam_pwdb.so shadow nullok
auth required /Iib/security/pam_nologin.so
auth required /lib/security/pam_listfile.so file=/etc/ftpusers item=user
sense=deny onerr=succeed account required /lib/security/pam_pwdb.so
Файл rexec предусматривает несколько более строгую защиту, так как использование файлов rhosts запрещено. Однако вы можете разрешить это, просто добавив в файл еще одну строку. Обратите внимание, что rexec использует файл /etc/ftpusers для ограничения доступа через сеть точно так же, как делает это ftp. Конечно же, подобную строку можно добавить и в файл rsh. Еще одна возможность демонстрируется в файле /etc/pam.d/rlogin, содержимое которого представлено в листинге 12.14.
Листинг 12.14. Содержимое файла /etc/pam.d/rlogin no умолчанию
auth required /lib/security/pam_securetty.so
auth sufficient /lib/security/pam_rhosts_auth.so
auth required /lib/security/pam_pwdb.so shadow nullok
auth required /lib/security/pam_nologin.so
account required /lib/security/pam_pwdb.so
#password required /lib/security/pam_cracklib.so
password required /lib/security/pam_pwdb.so shadow nullok use_authtok
session required /lib/security/pam_pwdb.so
В файле /etc/pam.d/rlogin первая строка запрещает пользователю root подключаться к системе через любое устройство, за исключением локального tty. Вторая строка разрешает подключение без ввода пароля в случае, если подключающийся пользователь обладает файлом rhosts, содержащим подходящую запись (или соответствующая запись содержится в файле /etc/hosts.equiv).
Если строка 2 не выполняется, происходит тестирование строк 3-8 (за исключением закомментированных строк, таких как строка 6). Обо всех этих модулях уже подробно рассказывалось в главе 1.
Файл hosts.equiv является глобальным файлом, который устанавливается системным администратором. В общем и целом, этот файл используется для того, чтобы сообщить локальному узлу о том, что перечисленные в этом файле пользователи удаленных систем (идентифицируемых при помощи имени или IP-адреса) эквивалентны пользователям, зарегистрированным под таким же именем на локальной системе.
Пользовательский файл rhosts служит для той же самой цели, что и глобальный файл hosts.equiv, однако разным пользователям можно поставить в соответствие разные файлы rhosts. Записи файла rhosts показаны в листинге 12.15.
Листинг 12.15. Некоторые из записей файла rhosts
<узел> Разрешается доступ того же пользователя
(hosts.equiv: все пользователи) с узла <узел> <узел> <пользователь> Разрешается доступ для
<пользователь> с узла <узел>
-<узел> Пользователям с узла <узел> доступ запрещен
<узел> -<пользователь> Запрещается доступ для
<пользователь> с узла <узел>
Следующие записи применяются только в режиме "promiscuous" (прослушивание):
+ Подключение разрешается для кого угодно с любого узла
+ + То же самое, что и предыдущая запись
+ <пользователь> Указанному пользователю разрешается подключаться откуда угодно
<узел> + Разрешается подключаться всем пользователям указанного узла
+ -<пользователь> Запрещается подключаться указанному пользователю с любого узла
За исключением последней записи я не рекомендую вам использовать модификатор «плюс» (+), так как в этом случае ваша система становится широко открытой для постороннего доступа.