Добавлен: 22.04.2023
Просмотров: 155
Скачиваний: 2
Дополнительной мерой осуществления безопасности является запрет на подключение суперпользователя по протоколу ssh, то есть даже администратор не сможет выполнить удалённое подключение к терминалу под правами суперпользователя – ему потребуется зайти под своей отдельной учётной записью, а затем переключиться на пользователя root [13, p. 276]. Для этого необходимо скорректировать файл /etc/ssh/sshd_config так, чтобы значение переменной PermitRootLogin принимало значение no, и перезапустить службу sshd.
Ещё одной мерой по обеспечению сетевой безопасности, о которой уже вскользь упоминалось – отключение службы telnet. Опасность кроется в том, что протокол, используемый службой, не шифрует проходящий трафик, и помимо прочего его назначение – предоставлять доступ к удалённой системе. В современном мире существуют гораздо более удачные способы реализации удалённого подключения, такие как служба Secure Shell (SSH) [13, p. 136].
Аудит
Операционная система настроена таким образом, что она сама фиксирует многие значимые события в файлах аудита. Подобные события, выполняемые пользователями и программами, записываются в специальные файлы, которые, как правило, имеют расширение .log. Хотя операционной системе наличие подобного постфикса без надобности, это обусловлено удобством для пользователя. Основная часть файлов аудита расположена в каталоге /var/log. В основном, это текстовые файлы, в которые происходит запись построчно и последовательно. Запуск системы аудита, а точнее – сервисной службы syslogd, – происходит автоматически и работает до остановки системы. Эта служба сама не записывает никакие сообщения в файлы аудита, а только следит, чтобы это делали соответствующие программы [11, p. 105].
Ниже перечислены основные файлы аудита:
- cron – содержит информацию о фактах выполнениях периодических заданий планировщика задач (crontab);
- debug – содержит отладочную информацию ядра операционной системы, а также системных и прикладных программ;
- faillog – содержит информацию о неудачных попытках входа в систему;
- lastlog – содержит информацию о последних входах в систему;
- secure – содержит информацию о попытках получения пользователями полномочий root;
- utmp – содержит информацию о текущих сеансах;
- wtmp – содержит информацию о всех регистрациях пользователей в системе [3, p. 60].
По описанию файлов аудита понятно, что они используются не только для анализа попыток нарушения периметра безопасности, но и для отладки конфигурации системы в целом и процессов в отдельности. Так, сообщения, которые записываются в системный журнал, могут детально описывать возникшую в системе проблему [13, p. 276].
Для злоумышленника файлы аудита представляют интерес. Так, автор учебного пособия «Защитные механизмы операционной системы Linux» приводит следующие способы нейтрализации системы аудита:
- удаление журнальных файлов;
- завершение службы syslogd;
- перенаправление службы вывода результата работы службы syslogd в устройство /dev/null;
- модификация службы syslogd таким образом, чтобы она перестала регистрировать события [11, p. 106].
Именно поэтому система аудита сама по себе защищена методом ограничения привилегий. Для предотвращения подобного воздействия доступ к файлам аудита имеет лишь суперпользователь, поэтому администратору стоит принимать меры к невозможности получения root-доступа другими пользователями.
С точки зрения обеспечения безопасности интерес могут представлять следующие критерии поиска информации в файлах аудита:
- используют ли пользователи программу su для повышения своих привилегий в системе;
- осуществляются ли попытки сканирования системы на предмет наличия открытых портов. Как правило, стандартные службы используют одни и те же порты, поэтому по наличию открытого порта злоумышленник легко может догадаться, какие службы на компьютере запущены;
- проводит ли кто-то попытку подключения к службе, не используя её;
- пробует ли кто-то узнать версию операционной системы [13, pp. 276-277].
Такие программы, как last, who, w и lastlog, используют файлы аудита для вывода запрашиваемых сведений. Более того, файлы utmp, wtmp и lastlog записываются в бинарном формате, что не даёт возможности их прямого чтения через редактор, поэтому их чтение возможно только с помощью указанных утилит [13, p. 284].
Дополнительные меры
В своей книге «Защита и безопасность в сетях Linux» Дэвид Бэндл приводит дополнительный ряд рекомендаций по обеспечению безопасности в Linux-системах. Суть их сводится к комплексной проверке ОС на предмет целостности файлов, открытых портов, а также проверке файлов аудита.
Проверка установленных пакетов позволяет понять, какие модификации были внесены после установки системы. В разных системах это делается по-разному, в ОС rpm-based существуют две команды:
- rpm -qa – выводит список установленных пакетов в изначальном состоянии системы;
- rpm -Va – выводит список установленных пакетов на текущий момент.
При сравнении вывода двух команд будут получены отличия от изначального состояния системы, и если администратор посчитает, что подозрительные действия отсутствуют, то результат второй команды можно сохранить в отдельный файл для последующей сверки.
Проверка файла /etc/passwd на наличие пользователя с идентификатором пользователя или группы равным нулю позволит выявить, не пробует ли кто-то получить себе права суперпользователя. Делается это с помощью команды grep ":0:" /etc/passwd.
Также стоит убедиться, нет ли пользователей в системе с пустым паролем, так как это может стать дырой в безопасности. Для этого необходимо подвергнуть проверке файл /etc/shadow с помощью команды awk -F: ' { print $2 ":" $1 } ' /etc/shadow | grep "V - | sed "s/://g" [13, pp. 286-288].
Регулярная проверка компьютера – да и всей сети в целом – с помощью сканера позволит, во-первых, понять, как видит сеть злоумышленник, а также не появилось ли каких-то дополнительных служб и открытых портов, которых раньше не было. Для этой цели можно использовать уже ранее упоминавшуюся программу nmap [13, p. 300].
Заключение
В данной работе были рассмотрены некоторые особенности работы ОС под управлением Linux-ядра. Также были даны некоторые рекомендации по обеспечению безопасности и о том, как проводить аудит безопасности системы и её функционирования в целом. Увы, все аспекты рассмотреть невозможно, так как Unix-подобные системы, как говорилось в начале работы, достаточно сложны и для настройки, и для запоминания функций.
Список литературы
x
1. |
Синицын С.В., Батаев А.В., Налютин Н.Ю. Операционные системы. Учебник. 3-е изд. Москва: Издательский центр "Академия", 2013. 304 с. |
2. |
Рейтинг серверных операционных систем 2016 [Электронный ресурс] // Рейтинги и обзоры: [сайт]. [2016]. URL: https://tagline.ru/server-operating-systems-rating/ (дата обращения: 25.2.2019). |
3. |
Бакланов В.В. Администрирование и безопасность операционных систем Linux. Учебное пособие. Екатеринбург: ГОУ ВПО "Уральский государственный технический университет", 2005. 93 с. |
4. |
Дугалл Д. Различия между UNIX и Linux. Рязань: Рязанский государственный радиотехнический университет, 2008. |
5. |
ГОСТ Р 53622-2009. Информационные технологии (ИТ). Информационно-вычислительные системы. Стадии и этапы жизненного цикла, виды и комплектность документов. 2009. |
6. |
ГОСТ Р ИСО/МЭК 15408-1-2012. Информационная технология (ИТ). Ме-тоды и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. |
7. |
ГОСТ Р 51583-2014. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения. 2014. |
8. |
ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. |
9. |
Безбогов А.А., Яковлев А.В., Мартемьянов Ю.Ф. Безопасность операционных систем. Москва: Издательство Машиностроение-1, 2007. 220 с. |
10. |
Лихоносов А.Г. Интернет-курс по дисциплине "Безопасность серверных операционных систем" // MegaCampus 2.0. 2010. URL: http://e-biblio.ru/book/bib/01_informatika/bezopasnost_servernyx_os/sg.html |
11. |
Бакланов В.В. Защитные механизмы операционной системы Linux. Учебное пособие. Екатеринбург: Уральский федеральный университет имени первого Президента России Б. Н. Ельцина, 2011. 354 с. |
12. |
Лихоносов А.Г. Интернет-курс по дисциплине "Безопасность баз данных" // MegaCampus 2.0. 2011. URL: http://e-biblio.ru/book/bib/01_informatika/b_baz_dan/sg.html (дата обращения: 28.12.2018). |
13. |
Бэндл Д. Защита и безопасность в сетях Linux. Санкт-Петербург: Питер, 2002. |
14. |
Мак-Клар С., Скембрей Д., Курц Д. Секреты хакеров. Безопасность сетей - готовые решения. 3-е-е изд. Москва: Издательский дом "Вильяме", 2002. |
15. |
Олифер Н.А., Олифер В.Г. Сетевые операционные системы. 2-е изд. Санкт-Петербург: Питер, 2009. |
x
-
Стоит отметить, что в операционную систему также включается и интерфейс взаимодействия с пользователем: это либо терминал, в который пользователь пишет команды для операционной системы, либо ставший уже для всех привычным графический интерфейс. ↑
-
Несмотря на то, что Windows NT в 1993-м году вышла впервые, она имела порядковый номер Windows NT 3.1. Сделано это было для того, чтобы соответствовать последней на то время версии персональной ОС Windows 3.1. ↑
-
По данным блога компании Microsoft https://habr.com/ru/company/microsoft/blog/. ↑
-
https://netmarketshare.com/ ↑
-
Архивная ссылка: https://web.archive.org/web/20150806093859/http://www.w3cook.com/os/summary/ ↑
-
ГОСТ Р 53622-2009 «Информационные технологии (ИТ). Информационно-вычислительные системы. Стадии и этапы жизненного цикла, виды и комплектность документов», глава 3 «Термины и определения», п. 3.5. ↑
-
ГОСТ Р ИСО/МЭК 15408-1-2012 «Информационная технология (ИТ). Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель», глава 5 «Краткий обзор», раздел 5.2 «Объект оценки». ↑
-
Там же, п.п. 5.2.2. ↑
-
ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения», глава 7 «Содержание и порядок выполнения работ по защите информации о создаваемой автоматизированной системе в защищенном исполнении», п. 7.4. ↑
-
ГОСТ Р ИСО/МЭК 15408-1-2012 «Информационная технология (ИТ). Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель», введение. ↑
-
ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования», глава 4 «Технические требования». ↑
-
ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения», глава 5 «Общие положения», пункт 5.3. ↑
-
Бакланов В.В. Администрирование и безопасность операционных систем Linux. Учебное пособие, стр. 6. ↑
-
Существует метод подбора пароля, при котором поочерёдно перебираются все возможные парольные фразы, передающиеся потом для проверки. Такой метод нельзя отнести к расшифровке пароля, так как выполняется всё-таки не декодирование пароля, а именно подбор с целью найти правильный шифр. ↑
-
Лихоносов А. Г. Интернет-курс по дисциплине «Безопасность баз данных». ↑
-
Стоит заметить, что sudo – это программа, которая может отсутствовать в системе. Поэтому в некоторых случаях её, возможно, нужно будет предварительно установить. ↑
-
Стоит иметь в виду, что наличие права на запись в каталоге даёт возможность пользователю удалить файл, на который нет вообще никаких прав. Это связано с тем, что такой файл не модифицируется, меняется содержимое каталога [1, p. 78]. ↑
-
По мнению автора учебного пособия «Защитные механизмы операционной системы Linux» Бакланова В. В., стр. 76, абз. 2. ↑
-
DDoS-атаки (англ. Distributed Denial of Service – распределённая атака типа «отказ в обслуживании». Суть заключается в посылке множественных бессмысленных запросов на какой-либо узел, в результате чего сервер сначала начинает работать медленней, а затем и вовсе наступает его отказ. Происходит это из-за того, что сервер вынужден одновременно обрабатывать, как правило, миллионы запросов. ↑