Файл паролей, возможно, наиболее критический системный файл в Linux (и большинстве других UNIX®'ов). Он хранит сисок пользователей, соответствие их логинов, user ID и group ID. Он также может хранить зашифрованные пароли, но кудабезопасней хранить их отдельно в файле /etc/shadow (затенение паролей). Этот файл ДОЛЖЕН БЫТЬ открыт на чтение всем, иначе даже такая простая команда, как ls правильно работать не сможет. Поле GECOS (иногда пишут GCOS) может хранить реальное имя пользователя и его телефон. В данном файле также хранится информация о домашнем каталоге пользователя (в него он попадает при входе в систему) и его оболочке (shell, например, bash или программе menu), упомянутой в файле /etc/shells. Формат записей такой:
Пароли зашифрованы одним способом (обычно crypt, новые дистрибутивы поддерживают MD5, который является знаменательно более сильным). Пароли нельзя восстановить из зашрифованного вида, но можно попробовать шифровать слова из словаря (или просто перебором) и сравнивать результат с зашифрованным паролем. Как только совпал, пароль найден. Само по себе такое не очень плохо, хуже когда пользователи выбирают легко предполагаемые пароли. Самые современные результаты исследований показали, что 25% паролей можно найти за час или около того, и что намного хуже, 4% пользователей, выбирают их собственное имя как пароль. Пустые поля в поле пароля значат отсутствие пароля вообще. Так появляются записи вида “::”, которые критичны для первых четырех полей в записи пользователя (имя, пароль, uid и gid).
/etc/shadow
Файл shadow хранит пары "username:password" и дополнительные сведения о логине, например, время окончания его действия. Он должен быть доступен на чтение и запись только для root.
/etc/groups
Файл groups хранит данные о принадлежности пользователей к группам и опциональные поля, вроде групповых паролей (сейчас обычно хранятся в файле gshadow), данный файл должен быть доступен на чтение всем пользователям для корректной работы системы. Его формат:
Группа может не содержать членов (не используется), одного члена или многих членов, а также опционально иметь пароль доступа (обычно не используется).
/etc/gshadow
Аналогично файлу shadow, данный файл хранит группы и пароли для них. Данный файл должен быть доступен на чтение и запись только для root.
/etc/login.defs
Этот файл (/etc/login.defs) позволяет Вам определять некоторые полезные значения по умолчанию для различных программ типа useradd или окончания времени действия пароля. Он имеет тенденцию немного изменяться в разных дистрибутивах, но обычно хорошо прокомментирован и имеет тенденцию содержать нормальные значения по умолчанию.
/etc/shells
Файл shells хранит список доступных оболочек (shells), если оболочка пользователя в нем не упомянута, зайти в систему он не сможет. Подробности в разделе man про telnetd.
/etc/securetty
Данный файл хранит список терминалов с которых может зайти root. Консоли обычно обозначены с /dev/tty1 по /dev/tty6. Последовательные порты (если root может заходить по модему) обозначены обычно начиная с /dev/ttyS0 и выше. Если допускается вход root по сети (плохая идея, пользуйтесь лучше sudo), то добавьте /dev/ttyp1 и выше (если зашли 30 пользователей, а потом попытался зайти root, то он зайдет с /dev/ttyp31). Лучше всего ограничьте доступ root устройством /dev/tty1 и поставьте программу sudo: так оно безопасней.
Ключевые аспекты безопасности.
Существует множество аспектов компьютерной безопасности идеале все их нужно учитывать. Но когда времени или терпения не хватает, приходит идти на компромисс. Ниже описаны шесть наиболее важных аспектов, а также приведе ны общие правила соблюдения "техники компьютерной безопасности".
Фильтрация пакетов
Если Linux-система подключается к сети, где есть выход в Internet, НЕОБХОДИМО, чтобы между этой системой и внешним миром стоял брандмауэр либо маршрутизатор, фильтрующий пакеты. В качестве альтернативы можно включить фильтрацию пакетов в ядре с помощью утилиты iptables. Какой бы ни была реализация, фильтр должен пропускать через себя трафик только важнейших служб, выполняющих "полезную" работу в сети.
Ненужные службы
Многочисленные версии Linux существенно отличаются друг от друга тем, какие сетевые службы включены по умолчанию. Не поленитесь проверить эти установки и отключить службы, которые совершенно бесполезны. В первую очередь просмотрите содержимое файла /etc/inetd.conf (в Red Hat — файлов в каталоге /etc/xinetd.d).
Программные "заплаты"
Авторы основных дистрибутивов Linux регулярно (как правило, несколько раз в месяц) выпускают "заплаты" для устранения новых брешей в защите системы. ВНИМАТЕЛЬНО следите за появлением "заплат", имеющих отношение к вашей версии Linux (и любых установленным в ней программам), и максимально оперативно инсталлируйте их. Помните: раз появилась "заплата", значит, есть люди, которые еще раньше знали о сушествовании соответствующей дыры. Спешите, пока не поздно.
Резервные копии
РЕГУЛЯРНО создавайте резервные копии всех систем, чтобы в случае инцидента можно было свести ущерб к минимуму. Никакие технологии зеркального дублирования, "горячей" замены или RAID не отменяют необходимость резервного копирования.
Пароли
Все мы любим простые правила. Вот одно из них: у каждой учетной записи должен быть пароль который трудно угадать. Но даже самые лучшие пароли нельзя передавать через Internet в текстовом виде. Поэтому, если в системе допускается удаленная регистрация, следует применять SSH или какой-нибудь другой механизм аутентификации.
Бдительность
Чтобы быть уверенным в безопасности системы, следите за ее состоянием, сетевыми соединениями, таблицей процессов. Делать это нужно регулярно (желательно каждый день) Проблема всегда начинается с малого, а затем нарастает, как снежный ком, так что чем раньше будет обнаружена аномалия, тем меньшим окажется ущерб.
Общие принципы защиты
Эффективная система безопасности должна базироваться на здравом смысле. Она во многом напоминает борьбу с мышами в доме. Вот ряд правил, которые при этом следует соблюдать.
· Не оставляйте на ночь на кухонном столе то, что может привлечь мышей. Лучшие лакомства для них — сыр и масло.
· Позаботьтесь о том, чтобы в доме не было мест, где мыши могли бы свить гнездо. Мыши любят устраивать гнезда в кучах тряпья.
· Расставьте мышеловки в тех местах, где вы хотя бы раз видели мышь.
· Каждый день проверяйте мышеловки, меняйте приманки и выбрасывайте дохлых грызунов. В заполненные мышеловки грызуны уже не попадают, к тому же от них идет мерзкий запах.
· Избегайте ядовитых приманок. Отравленные мыши могут навсегда остаться в стенах дома. Кроме того, есть риск, что отравится ваша собака. Лучше пользоваться традиционными мышеловками.
· Заведите кота!
Этими же правилами (в компьютерном варианте) можно с успехом руководствоваться я организации защиты Linux-систем. Вот как они звучат применительно к Linux.
· Не оставляйте без присмотра файлы, которые могут представлять интерес для хакеров и не в меру любопытных сослуживцев. Коммерческие тайны, персональные Досье, бухгалтерские ведомости, результаты выборов и т.д. — за всем этим нужен глаз да глаз. Гораздо надежнее зашифровать данные, чем просто пытаться предотвратить несанкционированный доступ к ним.
· В организации должен существовать порядок работы с секретной информацией.
Некоторые рекомендации по этому поводу даны в документе RFC2196.
· Старайтесь, чтобы в системе не было мест, где хакеры могли бы закрепиться. Хакеры часто вламываются в одну систему, а затем используют ее как базу для взлома других систем. Каталоги, доступные для записи по протоколу FTP в анонимном Режиме, групповые учетные записи, учетные записи с плохо подобранными паролями — вот основные уязвимые места.
· Устанавливайте ловушки для обнаружения вторжений или попыток вторжения Такие утилиты, как tripwire, tcpd и crack, помогут преду-преждать возможные проблемы.
· Следите за отчетами, которые генерируются этими утилитами. Незначительная проблема, проигнорированная в отчете, к моменту получения следующего отчета может перерасти в катастрофу.
· Учитесь защищать Linux-системы своими силами. Применяйте традиционные технологии, обучайте пользователей, руководствуйтесь, в конце концов здравым смыслом. В случае необходимости приглашайте специалистов со стороны, но при этом тщательно контролируйте их работу.
· Постоянно следите за тем, не появились ли отклонения от нормального хода рабо-ты системы. Обращайте внимание на все необычное, например на непонятные журнальные сообщения или изменение характера использования какой-либо учетной записи (резкий рост активности, работа в необычное время, использова-ние учетной записи во время отпуска ее владельца).
Cлабые места в системе защиты
Рассмотрим наиболее распространенные проблемы, связанные с безопасностью Linux- систем, и стандартные контрмеры, позволяющие избежать этих проблем. Но прежде чем перейти к деталям, необходимо взглянуть на ситуацию в целом и определить основные источники неприятностей.
· Человеческий фактор. Пользователи (и администраторы) системы часто являются ее слабейшим звеном. Например, компания America Online печально прославилась тем, что ее многократно атаковали хакеры, притворявшиеся служащими компании. Они посылали письма потенциальным жертвам с просьбой выслать пароль для "системного теста" или "плановой проверки учетной записи". Наивные пользователи часто выполняли такую просьбу (некоторые до сих пор так делают). Есть масса разновидностей подобного шарлатанства. Одна из задач системного администратора состоит в обучении пользователей правилам техники безопасности. Многие пользователи, начиная работать в Internet, часто не подозревают, сколько там всякого жулья. Научите их выбирать хорошие пароли и правильно хранить их, а главное — никогда не разговаривать с незнакомцами! Не забудьте в своих наставлениях упомянуть некомпьютерные средства коммуникации: в умелых руках телефон тоже может оказаться опасным оружием.
· Ошибки в программах. За много лет в программном обеспечении Linux (включая сторонние программы, как коммерческие, так и бесплатные) было выявлено несметное число ошибок, связанных с безопасностью. Используя незаметные программистские просчеты или контекстные зависимости, хакерам удавалось манипулировать системой по своему усмотрению. Что может сделать в этом случае аднистратор? Немногое, по крайней мере до тех пор, пока разработчик не выявит ошибку и выпустит "заплату" для ее исправления. Быть в курсе последних событий — святая обязанность администратора.
· Открытые двери. Многие компоненты программного обеспечения можно сконфигурировать в режиме полной или частичной безопасности. К сожалению, по умолчанию чаще всего принят второй вариант. Хакеры вламываются в системы, иезуитски эксплуатируя функциональные возможности, которые с миссионерской щедрости были предоставлены разработчиками в надежде сделать работу пользователей удобнее и гуманнее: учетные записи без паролей, глобальный совместный доступ к жестким дискам и т.д., и т.п. Одна из наиболее важных задач, связанных с обеспечением безопасности системы, — убедиться в том, что, заботясь о благополучии пользователей, вы не пригласили на вечеринку монстра в маскарадном костюме.
Проще всего устранить проблемы последней категории, хотя их может быть очень много и не всегда очевидно, что именно следует проверять.
