Файл: Особенности обеспечения безопасности ОС Linux.pdf

ВУЗ: Не указан

Категория: Курсовая работа

Дисциплина: Не указана

Добавлен: 22.04.2023

Просмотров: 153

Скачиваний: 2

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

Дополнительной мерой осуществления безопасности является запрет на подключение суперпользователя по протоколу ssh, то есть даже администратор не сможет выполнить удалённое подключение к терминалу под правами суперпользователя – ему потребуется зайти под своей отдельной учётной записью, а затем переключиться на пользователя root [13, p. 276]. Для этого необходимо скорректировать файл /etc/ssh/sshd_config так, чтобы значение переменной PermitRootLogin принимало значение no, и перезапустить службу sshd.

Ещё одной мерой по обеспечению сетевой безопасности, о которой уже вскользь упоминалось – отключение службы telnet. Опасность кроется в том, что протокол, используемый службой, не шифрует проходящий трафик, и помимо прочего его назначение – предоставлять доступ к удалённой системе. В современном мире существуют гораздо более удачные способы реализации удалённого подключения, такие как служба Secure Shell (SSH) [13, p. 136].

Аудит

Операционная система настроена таким образом, что она сама фиксирует многие значимые события в файлах аудита. Подобные события, выполняемые пользователями и программами, записываются в специальные файлы, которые, как правило, имеют расширение .log. Хотя операционной системе наличие подобного постфикса без надобности, это обусловлено удобством для пользователя. Основная часть файлов аудита расположена в каталоге /var/log. В основном, это текстовые файлы, в которые происходит запись построчно и последовательно. Запуск системы аудита, а точнее – сервисной службы syslogd, – происходит автоматически и работает до остановки системы. Эта служба сама не записывает никакие сообщения в файлы аудита, а только следит, чтобы это делали соответствующие программы [11, p. 105].

Ниже перечислены основные файлы аудита:

  • cron – содержит информацию о фактах выполнениях периодических заданий планировщика задач (crontab);
  • debug – содержит отладочную информацию ядра операционной системы, а также системных и прикладных программ;
  • faillog – содержит информацию о неудачных попытках входа в систему;
  • lastlog – содержит информацию о последних входах в систему;
  • secure – содержит информацию о попытках получения пользователями полномочий root;
  • utmp – содержит информацию о текущих сеансах;
  • wtmp – содержит информацию о всех регистрациях пользователей в системе [3, p. 60].

По описанию файлов аудита понятно, что они используются не только для анализа попыток нарушения периметра безопасности, но и для отладки конфигурации системы в целом и процессов в отдельности. Так, сообщения, которые записываются в системный журнал, могут детально описывать возникшую в системе проблему [13, p. 276].


Для злоумышленника файлы аудита представляют интерес. Так, автор учебного пособия «Защитные механизмы операционной системы Linux» приводит следующие способы нейтрализации системы аудита:

  1. удаление журнальных файлов;
  2. завершение службы syslogd;
  3. перенаправление службы вывода результата работы службы syslogd в устройство /dev/null;
  4. модификация службы syslogd таким образом, чтобы она перестала регистрировать события [11, p. 106].

Именно поэтому система аудита сама по себе защищена методом ограничения привилегий. Для предотвращения подобного воздействия доступ к файлам аудита имеет лишь суперпользователь, поэтому администратору стоит принимать меры к невозможности получения root-доступа другими пользователями.

С точки зрения обеспечения безопасности интерес могут представлять следующие критерии поиска информации в файлах аудита:

  • используют ли пользователи программу su для повышения своих привилегий в системе;
  • осуществляются ли попытки сканирования системы на предмет наличия открытых портов. Как правило, стандартные службы используют одни и те же порты, поэтому по наличию открытого порта злоумышленник легко может догадаться, какие службы на компьютере запущены;
  • проводит ли кто-то попытку подключения к службе, не используя её;
  • пробует ли кто-то узнать версию операционной системы [13, pp. 276-277].

Такие программы, как last, who, w и lastlog, используют файлы аудита для вывода запрашиваемых сведений. Более того, файлы utmp, wtmp и lastlog записываются в бинарном формате, что не даёт возможности их прямого чтения через редактор, поэтому их чтение возможно только с помощью указанных утилит [13, p. 284].

Дополнительные меры

В своей книге «Защита и безопасность в сетях Linux» Дэвид Бэндл приводит дополнительный ряд рекомендаций по обеспечению безопасности в Linux-системах. Суть их сводится к комплексной проверке ОС на предмет целостности файлов, открытых портов, а также проверке файлов аудита.

Проверка установленных пакетов позволяет понять, какие модификации были внесены после установки системы. В разных системах это делается по-разному, в ОС rpm-based существуют две команды:

  • rpm -qa – выводит список установленных пакетов в изначальном состоянии системы;
  • rpm -Va – выводит список установленных пакетов на текущий момент.

При сравнении вывода двух команд будут получены отличия от изначального состояния системы, и если администратор посчитает, что подозрительные действия отсутствуют, то результат второй команды можно сохранить в отдельный файл для последующей сверки.


Проверка файла /etc/passwd на наличие пользователя с идентификатором пользователя или группы равным нулю позволит выявить, не пробует ли кто-то получить себе права суперпользователя. Делается это с помощью команды grep ":0:" /etc/passwd.

Также стоит убедиться, нет ли пользователей в системе с пустым паролем, так как это может стать дырой в безопасности. Для этого необходимо подвергнуть проверке файл /etc/shadow с помощью команды awk -F: ' { print $2 ":" $1 } ' /etc/shadow | grep "V - | sed "s/://g" [13, pp. 286-288].

Регулярная проверка компьютера – да и всей сети в целом – с помощью сканера позволит, во-первых, понять, как видит сеть злоумышленник, а также не появилось ли каких-то дополнительных служб и открытых портов, которых раньше не было. Для этой цели можно использовать уже ранее упоминавшуюся программу nmap [13, p. 300].

Заключение

В данной работе были рассмотрены некоторые особенности работы ОС под управлением Linux-ядра. Также были даны некоторые рекомендации по обеспечению безопасности и о том, как проводить аудит безопасности системы и её функционирования в целом. Увы, все аспекты рассмотреть невозможно, так как Unix-подобные системы, как говорилось в начале работы, достаточно сложны и для настройки, и для запоминания функций.

Список литературы

x

1.

Синицын С.В., Батаев А.В., Налютин Н.Ю. Операционные системы. Учебник. 3-е изд. Москва: Издательский центр "Академия", 2013. 304 с.

2.

Рейтинг серверных операционных систем 2016 [Электронный ресурс] // Рейтинги и обзоры: [сайт]. [2016]. URL: https:/​/​tagline.ru/​server-operating-systems-rating/ (дата обращения: 25.2.2019).

3.

Бакланов В.В. Администрирование и безопасность операционных систем Linux. Учебное пособие. Екатеринбург: ГОУ ВПО "Уральский государственный технический университет", 2005. 93 с.

4.

Дугалл Д. Различия между UNIX и Linux. Рязань: Рязанский государственный радиотехнический университет, 2008.

5.

ГОСТ Р 53622-2009. Информационные технологии (ИТ). Информационно-вычислительные системы. Стадии и этапы жизненного цикла, виды и комплектность документов. 2009.

6.

ГОСТ Р ИСО/МЭК 15408-1-2012. Информационная технология (ИТ). Ме-тоды и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.

7.

ГОСТ Р 51583-2014. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения. 2014.

8.

ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.

9.

Безбогов А.А., Яковлев А.В., Мартемьянов Ю.Ф. Безопасность операционных систем. Москва: Издательство Машиностроение-1, 2007. 220 с.

10.

Лихоносов А.Г. Интернет-курс по дисциплине "Безопасность серверных операционных систем" // MegaCampus 2.0. 2010. URL: http:/​/​e-biblio.ru/​book/​bib/​01_informatika/​bezopasnost_servernyx_os/​sg.html

11.

Бакланов В.В. Защитные механизмы операционной системы Linux. Учебное пособие. Екатеринбург: Уральский федеральный университет имени первого Президента России Б. Н. Ельцина, 2011. 354 с.

12.

Лихоносов А.Г. Интернет-курс по дисциплине "Безопасность баз данных" // MegaCampus 2.0. 2011. URL: http:/​/​e-biblio.ru/​book/​bib/​01_informatika/​b_baz_dan/​sg.html (дата обращения: 28.12.2018).

13.

Бэндл Д. Защита и безопасность в сетях Linux. Санкт-Петербург: Питер, 2002.

14.

Мак-Клар С., Скембрей Д., Курц Д. Секреты хакеров. Безопасность сетей - готовые решения. 3-е-е изд. Москва: Издательский дом "Вильяме", 2002.

15.

Олифер Н.А., Олифер В.Г. Сетевые операционные системы. 2-е изд. Санкт-Петербург: Питер, 2009.


x

  1. Стоит отметить, что в операционную систему также включается и интерфейс взаимодействия с пользователем: это либо терминал, в который пользователь пишет команды для операционной системы, либо ставший уже для всех привычным графический интерфейс.

  2. Несмотря на то, что Windows NT в 1993-м году вышла впервые, она имела порядковый номер Windows NT 3.1. Сделано это было для того, чтобы соответствовать последней на то время версии персональной ОС Windows 3.1.

  3. По данным блога компании Microsoft https://habr.com/ru/company/microsoft/blog/.

  4. https://netmarketshare.com/

  5. Архивная ссылка: https://web.archive.org/web/20150806093859/http://www.w3cook.com/os/summary/

  6. ГОСТ Р 53622-2009 «Информационные технологии (ИТ). Информационно-вычислительные системы. Стадии и этапы жизненного цикла, виды и комплектность документов», глава 3 «Термины и определения», п. 3.5.

  7. ГОСТ Р ИСО/МЭК 15408-1-2012 «Информационная технология (ИТ). Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель», глава 5 «Краткий обзор», раздел 5.2 «Объект оценки».

  8. Там же, п.п. 5.2.2.

  9. ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения», глава 7 «Содержание и порядок выполнения работ по защите информации о создаваемой автоматизированной системе в защищенном исполнении», п. 7.4.

  10. ГОСТ Р ИСО/МЭК 15408-1-2012 «Информационная технология (ИТ). Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель», введение.

  11. ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования», глава 4 «Технические требования».

  12. ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения», глава 5 «Общие положения», пункт 5.3.

  13. Бакланов В.В. Администрирование и безопасность операционных систем Linux. Учебное пособие, стр. 6.

  14. Существует метод подбора пароля, при котором поочерёдно перебираются все возможные парольные фразы, передающиеся потом для проверки. Такой метод нельзя отнести к расшифровке пароля, так как выполняется всё-таки не декодирование пароля, а именно подбор с целью найти правильный шифр.

  15. Лихоносов А. Г. Интернет-курс по дисциплине «Безопасность баз данных».

  16. Стоит заметить, что sudo – это программа, которая может отсутствовать в системе. Поэтому в некоторых случаях её, возможно, нужно будет предварительно установить.

  17. Стоит иметь в виду, что наличие права на запись в каталоге даёт возможность пользователю удалить файл, на который нет вообще никаких прав. Это связано с тем, что такой файл не модифицируется, меняется содержимое каталога [1, p. 78].

  18. По мнению автора учебного пособия «Защитные механизмы операционной системы Linux» Бакланова В. В., стр. 76, абз. 2.

  19. DDoS-атаки (англ. Distributed Denial of Service – распределённая атака типа «отказ в обслуживании». Суть заключается в посылке множественных бессмысленных запросов на какой-либо узел, в результате чего сервер сначала начинает работать медленней, а затем и вовсе наступает его отказ. Происходит это из-за того, что сервер вынужден одновременно обрабатывать, как правило, миллионы запросов.