Брандмауэры и специальное программное обеспечение 8 Часть 4
| Вид материала | Реферат |
- Муниципальное общеобразовательное учреждение средняя общеобразовательная школа №12, 174.77kb.
- Управление экономикой и создание экономических информационных систем Изучив данную, 148.93kb.
- Программное обеспечение ЭВМ, 209.59kb.
- Программное обеспечение вычислительной системы, 824.71kb.
- Учебная программа (Syllabus) Дисциплина: Интерфейсы компьютерных систем (iks 3304), 321.31kb.
- Реферат по Информационной безопасности Тема: «Антивирусы», 711.1kb.
- Пк программный комплекс; по программное обеспечение; ппо прикладное программное обеспечение, 208.41kb.
- Лекция 4 Обеспечивающие подсистемы асу. Математическое, программное, лингвистическое,, 59.3kb.
- Математическое и программное обеспечение систем оперативной оценки характеристик сложных, 247.51kb.
- Учебная программа (Syllabus) Дисциплина «Инструментальные средства разработки программ», 374.12kb.
Содержание
Предисловие 7
Часть 1. Ваш узел 8
Часть 2. Ваша сеть 8
Часть 3. Брандмауэры и специальное программное обеспечение 8
Часть 4. Аудит системы безопасности 8
Приложения 8
Обозначения 8
Введение 10
Что такое безопасность 11
Анализ задач безопасности 11
Разработка политики безопасности 12
Часть I
Ваш узел 14
1Пользователи, группы и безопасность 14
Общий взгляд на пользователей 15
Привилегированные и непривилегированные пользователи 15
Файл /etc/passwd 16
Подробнее о /etc/passwd 17
Файл /etc/shadow 19
Подробнее о /etc/shadow 20
Последнее замечание 21
Файл /etc/groups 21
Подробнее о /etc/group 21
Файл /etc/gshadow 22
Файл /etc/login.defs 22
Изменение информации об устаревании пароля 23
Система безопасности РАМ 24
Типы модулей РАМ 25
Управляющие флаги 26
Модули РАМ 26
О модулях подробнее 27
Некоторые примеры 30
Записи РАМ в файлах журналов 31
Заключение 32
2 Безопасность уровня
пользователей и групп 33
Группа по умолчанию 33
Частные группы пользователей 34
Изменение пользователя/группы 35
Далее про X 36
Изменение пользователя 36
Безопасность и пользователи 38
Безопасность и пароли 39
Взлом паролей 43
Заключение 44
3 Файлы и права доступа 45
Linux: файловая система 45
Типы файлов 45
Базовые разрешения на доступ к файлу 48
Режим доступа по умолчанию 51
Изменение разрешений на доступ к файлу 51
Заключение 52
4Атрибуты SUID/SGID для файлов и каталогов 52
Атрибуты SUID/SGID 52
Опасность применения атрибутов SUID/SGID 53
Контроль над SUID/SGID файлами 55
Настройка атрибутов 55
Атрибуты файловой системы ext2 56
Использование команды chattr 57
Использование команды Isattr 58
Заключение 59
5Структура файловой системы 59
Точки монтирования 59
Дополнительные параметры различных файловых систем 63
Amiga affs 63
Linux ext2 64
FAT, MSDOS, UMSDOS, VFAT 64
OS/2 HPFS 65
CD-ROM ISO9660 65
PROC 65
Заключение 65
Файловая система /proc 67
Файловая система /ргос 67
Каталог /proc/sys 71
Файловая система /dev/pts 72
Соображения безопасности для /ргос 72
Заключение 73
7Процесс загрузки 74
Процесс загрузки 74
init — место, откуда начинается инициализация системы 75
Структура inittab 77
inittab от начала и до конца 78
Сценарии rс, часть первая 79
Сценарии rс, часть вторая 81
Заключение 87
8 Физическая безопасность и консольные атаки 87
До загрузки ядра 87
LILO 88
Параметры загрузки для непредвиденных ситуаций 89
Восстановление пароля root 91
Резервное копирование 91
Охрана сети Linux 92
Заключение 93
Часть II
Ваша сеть 94
Основные сведения о сети 95
Основополагающие понятия 96
Базовые сведения об IP 97
Заголовок пакета IP 98
Пакет данных IP 99
Коротко об ICMP 100
Сеть и маршрутизация в Интернете 101
Что такое CIDR 102
Предпосылки 102
Базовые сведения о маршрутизации IP 103
Реализация CIDR с использованием VLSM 104
Использование ipconfig 106
Использование route 108
Заключение 109
Стандартные службы 110
Что такое службы 110
Утилита netstat 115
Отображаемая информация 115
Заключение 118
inetd, inetd.conf и сетевые атаки 120
inetd 120
Работа с inetd.conf 122
Защита от сетевых атак 125
Заключение 128
12Уязвимые службы и протоколы 128
FTP, порты 21 и 20 129
telnet, порт 23 132
smtp, порт 25 133
domain порт 53 136
tftp, порт 69 136
finger, порт 79 136
www, порт 80 137
рор2, порт 109 и рорЗ, порт 110 137
sunrpc, порт 11 137
auth, порт 113 138
netbios, порты 137-139 138
imap2, порт 143 и imap3, порт 220 139
printer, порт 515 139
Команды «r» (rsh, rexec, rlogin), порты 512, 513, 514 140
Другие службы 142
Заключение 142
13Атаки DoS и как они работают 142
Что такое ping flooding 143
Что такое атаки SYN DoS и как с ними бороться 145
Более старые атаки 146
Смягчение последствий атак DoS 147
Заключение 148
14Устранение уязвимых мест 148
Ограничение повреждений 149
Другие меры 153
Восстановление после атаки 154
Подготовка к неизбежному 157
Заключение 158
15Использование оболочек TCP (TCP Wrappers) 158
Реализация TCP Wrappers 161
Использование демонов и символьных шаблонов 162
Клиенты, образцы и имена узлов 162
Формы и операторы 163
Символьные расширения 165
Разнообразные особенности 165
tcpdchk 166
tcpdmatch 167
Заключение 167
Часть III
Брандмауэры и специальное программное обеспечение 168
16Применение брандмауэров, фильтрующих пакеты 169
Введение в технологию брандмауэров 169
Пакетные фильтры 169
Какой тип использовать? 170
Физические конфигурации 171
Сетевой узел, выполняющий функции брандмауэра 171
Настройка ядра для брандмауэра 172
Сетевые параметры 173
Немного о программном обеспечении 178
Другие соображения 178
Простой брандмауэр фильтрации пакетов 178
Планирование 179
Общие сведения об ipchains 179
Параметры ipchains 180
Встроенные цепочки 182
Цепочки, определяемые пользователем 183
Как работает ipchains 183
Простые политики брандмауэра 184
Что фильтровать и где 184
Что не следует отфильтровывать 184
Внедрение политик 185
Тестирование политик 186
Наблюдение 186
Перенаправление портов 186
Ядра Linux семейства 2.4.x и netfilter 187
Конфигурационные изменения по сравнению с ядрами 2.2.x 187
Новые модули netfilter 188
Некоторые базовые правила netfilter 189
Заключение 191
17Применение брандмауэров proxy с использованием Squid 191
Конфигурация по умолчанию 193
NETWORK OPTIONS 195
Алгоритм выбора соседа 196
Размер кэша 196
LOGFILE PATHNAMES AND CACHE DIRECTORIES 197
EXTERNAL SUPPORT PROGRAMS 197
TUNING THE CACHE 197
TIMEOUTS 197
ACCESS CONTROLS 198
ADMINISTRATIVE PARAMETERS 200
CACHE REGISTRATION SERVICE 200
HTTPD-ACCELERATOR OPTIONS 200
MISCELLANEOUS 200
DELAY POOL PARAMETERS 200
Базовый конфигурационный файл 200
Самый первый запуск squid 201
Параметры командной строки squid 201
Отладка 202
На стороне клиента 202
Расширение squid 202
Заключение 203
18Маскировка IP и перенаправление портов 203
Другие соображения 207
Маскировка IP 210
Перенаправление портов 211
Ядро Linux 2.4.x 213
Заключение 214
19Безопасность Samba 215
Samba 215
SWAT — средство администрирования Samba 216
Подготовка к запуску SWAT 216
Запуск SWAT с использованием inetd 216
Запуск SWAT с использованием Apache 218
Использование SWAT 218
Сетевая рабочая среда Microsoft 220
Сервер NT в качестве РDС в локальной сети 220
Вхождение в домен NT 221
Связь через сеть с РDС, расположенным в удаленной подсети 221
Сервер Samba в одноранговых сетях Microsoft (NT и/или Windows 9x) 222
Использование Linux в качестве замены РDС 222
Общий доступ к каталогам 223
Base options 223
Security options 224
Logging options 224
Tuning options 224
Filename handling 224
Browse options 225
Locking options 225
Miscellaneous options 225
Общая папка Homes 226
Ограничение доступа к службам 226
Переменные, используемые в Samba 227
Конфигурационная страница Global 228
Безопасность при локальном использовании Samba 231
Безопасность Samba при соединении подсетей через Интернет 232
Заключение 232
20Установка и запуск web-сервера Apache 233
Сборка Apache 233
Получение необходимых пакетов 234
Предварительная подготовка 234
Компоновка пакетов 235
Конфигурирование Apache 238
Записи SSL 243
Первые запуск и обращение к Apache 244
Использование файлов .htaccess 245
Дополнительные замечания, связанные с безопасностью 245
Замечания, связанные с suEXEC 246
Ядро Linux 2.4.x и khttpd 247
Заключение 248
21Использование оболочки Secure Shell и сетей VPN 249
Secure Shell 250
Компоновка и установка SSH 250
Использование SSH 252
Конфигурация SSH и SSHD 253
FreeS/WAN 255
Компоновка и установка FreeS/WAN 255
Конфигурирование FreeS/WAN 256
Расширение сети 257
Добавление дополнительных сетей 257
OpenSSH 258
Заключение 258
Часть IV
Аудит системы безопасности 259
Конфигурирование syslog 260
Базовая конфигурация syslog 261
Демон syslogd 265
Что искать в файлах журналов? 267
Заключение 268
23Просмотр и анализ журналов syslog 268
Файлы, расположенные в каталоге /var/log 269
Как работает система протоколирования 270
Чтение файлов журналов 271
Файлы utmp, wtmp и last log 272
Заключение 275
Использование средств наблюдения за защитой сети 276
Когда система загружена 276
Перекомпоновка ядра 277
Установка и настройка ipchains 278
Ежедневные/еженедельные/ежемесячные процедуры обеспечения безопасности 278
Дополнительные замечания 283
Заключение 284
25 Средства наблюдения за сетью 286
Программа courtney 286
Программа nmap 289
Параметры сканирования nmap 291
Общие параметры nmap 292
Вывод программы nmap 294
Сравнение nmap и netstat 295
Заключение 296
26 Где найти сведения о безопасности 296
Где искать информацию? 297
Списки рассылки 297
Web-узлы, посвященные компьютерной безопасности 298
Узлы сомнительной направленности 302
Последнее замечание 303
Заключение 303
А Обзор средств сетевого сканирования и утилит безопасности 304
Алфавитный указатель 309
Моей любящей жене Сильвии и детям, Лизе и Ванессе
Предисловие
Основной причиной, по которой возникла идея создания данной книги, стало все возрастающее количество домашних пользователей, которые соединены с Интернетом 24 часа в сутки семь дней в неделю. Это происходит благодаря все большей доступности и надежности таких служб, как Road Runner, и каналов связи adsl/ xdsl, предлагаемых телефонными компаниями. К этой аудитории можно присовокупить также небольшие предприятия, осознавшие важность Web и пришедшие к выводу, что поддержка своих web-ресурсов собственными силами предприятия обойдется им дешевле, чем использование для этой цели услуг сторонних компаний. Однако при этом руководители подобных предприятий понимают, что они не могут позволить себе принять на работу специального сотрудника, который является экспертом в области безопасности.
Данная книга посвящена компьютерной безопасности в операционной среде Linux и ориентирована на домашних пользователей и небольшие предприятия, которые не могут позволить себе содержание полноценной хорошо оснащенной компьютерной службы. В книге содержатся базовые сведения о компьютерной безопасности. Многие из читателей могут скептически отнестись к предположению, что материал данной книги будет для них понятным и полезным. Многие считают, что если такие большие и серьезные организации, как NASA и другие, могут подвергнуться успешным атакам взломщиков, несмотря на то, что в таких организациях на обеспечение защиты тратятся огромные средства, а безопасность обеспечивают множество людей, которые действительно являются экспертами в этой области, то что же можно сказать о домашних компьютерах и сетях небольших предприятий; очевидно, что злоумышленники могут взломать их даже с большим успехом. Однако на самом деле проблемы безопасности, стоящие перед компьютерными отделами крупных организаций, значительно серьезнее, чем проблемы, стоящие перед домашними пользователями и небольшими предприятиями. Во-первых, компьютерная система крупной организации вроде NASA — это более крупная и более привлекательная для злоумышленников цель. Во-вторых, сеть крупной организации обладает существенно более сложной структурой, в нее входит значительно большее количество систем, становится очень сложно следить за тем, чтобы каждая из этих систем использовала наиболее свежее, наиболее неуязвимое программное обеспечение. В-третьих, крупные организации обеспечивают доступ к огромному количеству служб для огромного количества пользователей и при этом пытаются находиться на самом переднем фронте компьютерных технологий. Любой, кто пытается удержаться на этом рубеже, рано
или поздно оказывается под ударом и несет потери. Самой безопасной и самой хорошо защищенной системой следует считать компьютер, который еще не извлечен из продажной упаковки, не включен в сеть и заперт в потайной комнате. Однако вряд ли такую систему можно назвать полезной.
Данная книга поможет вам понять устройство вашей системы с точки зрения безопасности. Глава за главой, концепция за концепцией вы будете овладевать основными понятиями и принципами защиты компьютерных систем. Прочитав книгу, вы не сможете стать экспертом в области компьютерной защиты, однако у вас появится базовый набор знаний, благодаря которым вы сможете приступить к освоению более сложного материала.
Книга представляет собой руководство не только для новичков, но и для профессионалов, поскольку содержит сведения, не слишком часто освещаемые в литературе. Когда я писал данную книгу, я в основном работал с Caldera OpenLinux и использовал средства, ориентированные на Caldera OpenLinux, однако рассматриваемые концепции применимы в отношении всех разновидностей Linux.
Не только начинающие, но и многие профессионалы ошибочно полагают, что комплекты Linux различных поставщиков существенно отличаются друг от друга, как это было в далеком 1988 году, когда на рынке в одно и то же время существовали две похожие операционные системы: MS-DOS и DR-DOS. Однако в действительности это не так. Ядро Linux, компоновку которого вы можете выполнить самостоятельно, получается с использованием одних и тех же файлов исходного кода — этот код используется во всех комплектах Linux. Демон telnet рекомендуется отключить в любой системе Linux, вне зависимости от поставщика. Различные комплекты Linux отличаются друг от друга в основном процедурами установки, а также различными наборами средств администрирования. Однако при этом каждый из комплектов Linux использует одни и те же библиотеки, одни и те же серверные программы, одну и ту же базовую структуру файловой системы, кроме того, разным комплектам Linux свойственны одни и те же недостатки и уязвимые места.
Таким образом, если вас интересуют базовые сведения о безопасности Linux, если вы хотите досконально разобраться в том, что это такое, как она работает и как ее улучшить, значит, это — ваша книга. Тот факт, что вы дочитали данное короткое предисловие до конца, лишний раз подтверждает вашу заинтересованность в изучении рассматриваемой здесь тематики.