Брандмауэры и специальное программное обеспечение 8 Часть 4

Вид материала

Реферат

Содержание 24 Использование средств наблюдения за защитой сети Когда система загружена

Подобный материал:

• Муниципальное общеобразовательное учреждение средняя общеобразовательная школа №12, 174.77kb.
• Управление экономикой и создание экономических информационных систем Изучив данную, 148.93kb.
• Программное обеспечение ЭВМ, 209.59kb.
• Программное обеспечение вычислительной системы, 824.71kb.
• Учебная программа (Syllabus) Дисциплина: Интерфейсы компьютерных систем (iks 3304), 321.31kb.
• Реферат по Информационной безопасности Тема: «Антивирусы», 711.1kb.
• Пк программный комплекс; по программное обеспечение; ппо прикладное программное обеспечение, 208.41kb.
• Лекция 4 Обеспечивающие подсистемы асу. Математическое, программное, лингвистическое,, 59.3kb.
• Математическое и программное обеспечение систем оперативной оценки характеристик сложных, 247.51kb.
• Учебная программа (Syllabus) Дисциплина «Инструментальные средства разработки программ», 374.12kb.

Заключение

В данной главе я рассказал о содержимом некоторых стандартных файлов журналов, существующих в вашей системе. Эту информацию нельзя считать точной и исчерпывающей, однако благодаря ей вы можете получить множество полезных сведений о функционировании системы. Теперь вы должны лучше понимать, как работает система протоколирования и как используются связанные с ней программы. Я также рассказал о некоторых недостатках системы протоколирования syslog.

₂₄

Использование средств наблюдения за защитой сети

В данной главе рассматриваются следующие вопросы:

- защита вашей системы;

- начальная установка системы;

- повторяющиеся задачи.

Одной из наиболее сложных и обременительных задач, встающих перед администраторами-новичками (в особенности теми из них, кто никогда ранее не имел дела с какими-либо разновидностями Unix), является задача обслуживания системы и поддержки должного уровня безопасности. Зачастую манера, в которой они обеспечивают должную защиту системы, напоминает рассказ нескольких слепых о слоне. Некоторые из администраторов знают о том, что очень важно ежедневно проверять системные журналы, другие знают, что надо постоянно следить за целостностью системных файлов, третьи осведомлены, что следует периодически проверять, какие из программ связывают порты на уровне привилегий root. Однако многие забывают, что самое важное — это объединить все эти операции.

Некоторые из задач следует выполнять чаще других. На небольшой однопользовательской системе, подключающейся к Интернету время от времени, правила фильтрации пакетов которой настроены на блокирование всех привилегированных портов, многие операции могут выполняться раз в неделю или даже раз в месяц. Если точно такая же система соединена с Интернетом 24 часа в сутки семь дней в неделю, если к ней ежедневно подключается большое количество пользователей, те же самые операции по обслуживанию системы и обеспечению безопасности следует выполнять ежедневно.

Подытоживая эти рассуждения, следует отметить, что все зависит от многих факторов. Решения о том, насколько часто следует выполнять те или иные процедуры, принимает администратор системы. Эти решения должны быть продуманными и аргументированными.

Когда система загружена

Лучше всего начать обслуживание еще до того, как система будет подключена к сети. В этот период времени, то есть уже после того как система установлена и загружена, но еще до того как вы подключитесь к сети и позволите другим пользователям входить в систему (либо через сеть, либо при помощи консоли), вы можете быть в определенной степени уверены в том, что система работоспособна и не содержит в себе «троянских коней» и т. п.

Подразумевается, что вы доверяете используемому вами комплекту Linux. Такие компании, как Caldera и Red Hat, прикладывают массу усилий для того, чтобы установить и настроить систему наиболее безопасным образом. Например, если вы устанавливаете RPM-пакет netkit-telnet, сервер (демон telnet) и клиент устанавливаются с использованием наиболее безопасной конфигурации. При этом сервер активизирован, то есть способен отвечать на поступающие запросы.

Если вы нуждаетесь в использовании клиента telnet, но при этом вам не нужен сервер telnet, вы должны отключить сервер telnet. Однако будьте уверены, что разрешения на доступ к файлам и права на владения настроены должным образом.

Прежде всего следует провести инвентаризацию системы. В пакет dailyscript (название переводится как «ежедневный сценарий») входит программа с именем check-package (название переводится как «проверка пакетов»), которая в процессе установки dailyscript устанавливается в /etc/cron.d/lib таким образом, чтобы запускаться ежедневно. Если вы установите и запустите этот пакет, в результате первого запуска на экране появится сообщение об ошибке. Это происходит потому, что база данных для выполнения сравнения еще не сформирована. При повторном запуске вы не обнаружите никаких изменений, однако сообщение об ошибке на экран выводиться не будет. Теперь каждый раз при запуске этого сценария на экран будет выводиться информация об обнаруженных изменениях. В полностью установленной системе Caldera для завершения работы сценария требуется около 15 минут. Если вы не желаете устанавливать dailyscript, вы можете выполнить проверку пакетов самостоятельно. Для этого достаточно воспользоваться двумя командами: rpm -qa и rpm -Va. Результат выполнения каждой из этих команд следует записать в отдельный файл. В результате вы получите два файла. Если вы захотите сравнить текущее состояние вашей системы с изначальным ее состоянием, вы должны снова выполнить две упомянутые команды, после чего результат выполнения каждой из команд следует сравнить с содержимым двух файлов, которые вы сгенерировали, когда система была только что установлена. Если все в порядке (обнаруженные отличия не вызывают у вас подозрений), вы можете сохранить два новых полученных файла для последующих проверок. Именно такую процедуру сравнения выполняет сценарий check-packages. Этот сценарий записывает полученные файлы на жесткий диск. Возможно, для большей надежности будет лучше сохранить эти файлы на гибком диске и защитить этот диск от записи.

Также рекомендуется сохранить в отдельный файл вывод команды:

find / -perm +600 -print

Благодаря этому вы получите список всех файлов SUID/SGID (каталоги и исполняемые файлы). Если вы будете периодически выполнять эту команду и сравнивать результат ее выполнения с изначальным файлом, вы сможете обнаружить, какие новые файлы SUID/SGID появились в вашей системе.

Помимо этого рекомендуется проверять файл /etc/passwd на наличие пользователей с идентификаторами UID или GID, равными нулю:

grep ":0:" /etc/passwd

Идентификаторами UID и GID, равными нулю, должны обладать только пользователь root и несколько системных учетных записей.

Кроме того, вы должны проверить, что в системе не существует ни одной учетной записи с пустым паролем:

awk -F: ' { print $2 ":" $1 } ' /etc/shadow | grep "V - | sed "s/://g" -

Просмотрите содержимое файла/etc/inetd.conf и закомментируйте все ненужные службы, а затем перезапустите (или сделайте SIGH UP) демон inetd. После этого можно приступить к «укреплению» вашей системы. Если в процессе просмотра /etc/ inetd.conf вы обнаруживаете службу, смысла которой вы не понимаете, закомментируйте ее. Если после завершения такой чистки в файле/etc/inetd.conf осталось что-либо помимо ftp, рорЗ и swat, значит, возможно, вы оставили там нечто лишнее.

Наконец, следует отредактировать файл /etc/aliases. Убедитесь в том, что запись ближе к концу файла изменена таким образом, что почта, адресованная пользователю root, перенаправляется какому-либо обычному пользователю. Не забудьте запустить newaliases.