Основы безопасности Linux

Технические аспекты

С точки зрения пользователя, нарушение безопасности может принимать одну из трех форм:

1. Чтение приватных данных.

2. Изменение и фальсификация приватных данных.

3. Помехи в работе.

Под "приватными данными" понимаются как файлы в компьютерах, так и электронная корреспонденция.

Нарушение безопасности всегда происходит по одной из двух причин. Первая -- несовершенство программных средств. Вторая -- ошибки человека.

С технической точки зрения, нарушение безопасности может включать:

· "Подглядывание" информации, передаваемой по сети (sniffing).

· "Подделка" информации, передаваемой по сети (spoofing).

· Помехи в работе различных подсистем ОС (т.н. "DOS-атаки" -- сокращение от "Denial Of Service", дословно "отказ в обслуживании").

· Приведение ОС в неработоспособное состояние -- завешивание или перезагрузка.

· Взлом пользователького эккаунта.

· Получение прав одного из специальных псевдопользователей ("bin", "daemon", "mail" и т.д.). Например, права "mail" дают возможность читать почту любого пользователя.

· Получение прав пользователя "root".

Последний случай наиболее опасен, поскольку наличие прав "root" позволяет делать с системой все, что угодно, включая первые шесть вариантов.

Атаки могут проводиться одним из трех основных способов:

· По сети (как из локальной сети организации, так и через Internet).

· При помощи т.н. "троянских коней" -- программ, в которые кроме (а то и вместо) нужной функциональности заложен код, выполняющий несанкционированные действия.

· Пользователями, зарегистрированными на компьютере -- при этом возможностей намного выше, чем при атаке через сеть.

При взломе в подавляющем числе случаев используется один и тот же прием -- программе, исполняющейся с высокими привилегиями, "скармливаются" такие данные, на которые она не рассчитана, и она или просто "падает" (DOS-атака), или исполняет код, "подсунутый" взломщиком.

Причем в качестве такой уязвимой программы может выступать и ядро. Например, в конце 1997-го/начале 1998-го года весьма популярны были атаки, основанные на посылке машине- жертве "неправильного" IP-пакета, так что система просто "падала замертво" (именно на этом принципе была основана программа WinNuke).

Хорошую возможность взлома дает физический доступ к компьютеру. Например, достаточно загрузить свой экземпляр системы с дискеты и с правами пользователя "root" делать все, что заблагорассудится. Хотя большинство современных BIOS дают возможность отключить загрузку с дискеты (а изменение настроек самого BIOS закрыть паролем), остается еще возможность переставить жесткий диск в другой компьютер. Впрочем, защититься от "отверточного" взлома очень трудно, и это совсем отдельная тема.

После успешного взлома злоумышленник обычно модифицирует системные файлы (например, подменяет некоторые программы своими). Обнаружить такую замену зачастую можно, регулярно выполняя команду "rpm -ya" и анализируя ее результаты.