Меры предосторожности

Основные меры предосторожности, которые следует соблюдать, достаточно просты и диктуются здравым смыслом (вести себя аккуратно, не вступать в беспорядочные связи):

· Выбирать пароли, которые нельзя угадать или подобрать. Лучше всего пароли, состоящие из 8 символов, среди которых встречаются и маленькие и заглавные буквы, и иные символы (цифры и знаки препинания). Не следует в качестве пароля использовать русское слово, набранное на латинском регистре (например, "остолоп!" #-># "jcnjkjg!").

· Никогда не записывать пароли (на бумаге или в файле) и не передавать их по сети в открытом виде (в частности, не пользоваться telnet и неанонимным ftp).

· Никогда не работать как пользователь "root". При необходимости выполнить некую работу, требующую привилегий супервизора (добавление/удаление ПО и пользователей, просмотр закрытых log-файлов и т.д.) следует временно получить их при помощи команды "su", а по завершении этой работы немедленно выйти "из под" супервизора. При необходимости наличия прав супервизора в течение продолжительного времени лучше всего открыть отдельное окно, в котором выполнить "su", а не переключаться все время между обычным пользователем и "root".

· Постараться никогда не "превращаться" в супервизора при входе на компьютер по сети, а делать это только с локального терминала. Еще лучше -- не пользоваться "su" из-под X- Window, а только с консоли.

· Никогда не устанавливать ПО, полученное из непроверенных источников. В частности, следует с большим подозрением относиться к программам, поставляемым без исходных текстов.

· При установке ПО, требующего для работы прав "root", следует проверить, реально ли требуются такие права, и если да, то лучше воздержаться от использования этого ПО. Сюда относится как необходимость запуска из-под пользователя "root", так и наличие у исполняемых файлов флажка смены идентификатора пользователя (setuid) или группы (setgid).

· Никогда не устанавливать ПО "просто так", "на всякий случай". Ведь чем больше установлено программ, тем выше вероятность, что в какой-нибудь из них найдется "дыра". В основном это относится к сетевому ПО.

· Следить за появлением обновленных и исправленных версий ПО, в особенности -- ядра. В последнее время одна из основных причин появления новых версий -- исправлениеошибок в security.

· По возможности ограничить доступ к компьютеру по сети. В частности, ограничить набор компьютеров, с которых разрешен доступ, и уменьшить до минимума количество сетевых сервисов. Так, вместо ftp, telnet и rlogin/rsh/rcp следует пользоваться пакетом ssh.

· При обнаружении случаев взлома надо не пытаться разобраться самостоятельно, а немедленно связаться с компетентным персоналом. В частности, в ИЯФ следует обращаться в ОВС.

Не следует считать безопасность своего компьютера личным делом -- "пускай ломают, мне не жалко". Дело в том, что взломав чей-то личный компьютер, на порядок легче взломать другие машины в той же организации -- взлом "изнутри" всегда проще.

Обычно вместо громоздкого термина "программа с флагом смены идентификатора пользователя" используется "сетъюидная программа" или "сюидная программа" (калька с английского "suid program") -- этот термин мы и будем употреблять далее.