ÂçëîìÁÅÇÎÏÀÑÍÎÑÒÜ Â ËÈÍÓÊÑÅ Ñ ÍÓËßÑÓÏÅÐÑÅÊÜÞÐÍÀß ÎÑÜ - ÍÅ ÏÐÎÁËÅÌÀ!Íàãîðñêèé Àðòåì aka Cordex(cordex@realxakepru)ÕÀÊÅÐ\¹40\Àïðåëü\2002ÁÅÇÎÏÀÑÍÎÑÒÜ ËÈÍÓÊÑÅ Ñ ÍÓËßÑóïåðñåêüþðíàÿ Îñü—íå ïðîáëåìà!Æèçíü âñÿêîãî ïðîäâèíóòîãîãèêà èõàöêåðà â ÈíåòåÍåñîìíåííî, îíàñâÿçàíà ñî ìíîãèìèîïàñíîñòÿìè È îäíàèç òàêèõ îïàñíîñòåé,î êîòîðîé ÷àñòîçàáûâàþò: ïëîõîíàñòðîåííàÿ â ïëàíåáåçîïàñíîñòè*nix-àíóòàÿ ÎñüÌíîãèå îøèáî÷íîïîëàãàþò, ÷òî Ëèíóêñîòëè÷íî ñåêüþðåíïî äåôîëòó,íî ýòî íå òàê Îòîì, êàê èçáåæàòüýòîé îøèáêè è ìàêñèìàëüíîíàñòðîèòüáåçîïàñíîñòü òâîåãîëþáèìîãî Ëèíóêñà,íå ïðèêëàäûâàÿîñîáûõ óñèëèé, ìû èïîãîâîðèì< Folder1 >ÍÓÆÍÀ ËÈ ÑÅÊÜÞÐÍÎÑÒÜ ÒÅÁÅ?Íà÷íó ñ òîãî, ÷òî ñâåæåóñòàíîâëåííûé Ëèíóêñ íåáåçîïàñåí ñàì ïî ñåáå, îí ñåêüþðåí òîëüêî òîãäà,êîãäà åãî áåçîïàñíîñòü â äîëæíîé ìåðå íàñòðîåíàÏî ìåíüøåé ìåðå íàèâíî ïîëàãàòü, ÷òî áåçîïàñíîñòüòðåáóåòñÿ êîìïàì áàíêîâ, âñÿêèõ ïðàâèòåëüñòâåííûõîðãàíèçàöèé è òä Òàê ïîëàãàþò òîëüêîëàìàêè  íàøå âðåìÿ íèêòî íå çàñòðàõîâàí îòîïàñíîñòè, ÀÁÑÎËÞÒÍÎ íèêòî Îíà ìîæåò èñõîäèòüîòîâñþäó, êàê îò ëîêàëüíûõ þçåðîâ, òàê è îòòâîåãî ñîåäèíåíèÿ ñ Èíòåðíåòîì Íà ñâåòå ìíîãîëþäåé, æàæäóùèõ ïîèìåòü ÷óæèå êîìïû Âîò ïî÷åìóòàê âàæíî ïðàâèëüíî íàñòðîèòü ñâîþ Îñü, áîëüøåíå ïàðÿñü î ñâîåé áåçîïàñíîñòè< Âçëîì >20/04\0260 Íüþñû 1 Ôåððóì 2 PC_Zone 3 X-Ñòèëü 4 Âçëîì
ÑÎÑÒÀÂËßÞÙÈÅ ÁÅÇÎÏÀÑÍÎÑÒÈÏðåæäå ÷åì íåïîñðåäñòâåííî ïåðåéäåì ê äåëó,ïîçâîëü ìíå ðàññêàçàòü òåáå î òîì, ÷òî, ïî ìîåìóìíåíèþ, è ñîñòàâëÿåò ñåêüþðíîñòü Âî-ïåðâûõ, ýòîáåçîïàñíîñòü ÂÍÓÒÐÈ ñèñòåìû, òî åñòü ëîêàëüíàÿáåçîïàñíîñòü Âî-âòîðûõ, ýòî ñåòåâàÿ áåçîïàñíîñòüÂ-òðåòüèõ, ýòî áåçîïàñíîñòü âñåõ òâîèõ âàæíûõôàéëîâ È, íàêîíåö, â-÷åòâåðòûõ, îáùàÿ áåçîïàñíîñòü,êóäà îòíåñåì âñå òî, ÷òî ÿâëÿåòñÿ íàèáîëååîáùèì ïðè íàñòðîéêå ñåêüþðíîñòè è áåç ÷åãîòîæå íèêàê íå îáîéòèñü :)ËÎÊÀËÜÍÀß ÁÅÇÎÏÀÑÍÎÑÒÜÍà÷àë ÿ ñ ýòîãî íå ñëó÷àéíî ×àñòî áûâàåò, ÷òî óäàðïðèõîäèò ñ òîé ñòîðîíû, îòêóäà åãî íèêòî íå îæèäàë:â äàííîì ñëó÷àå âñå ëîêàëüíûå ïîëüçîâàòåëèíà òâîåé òà÷êå ìîãóò íàíåñòè íåïîïðàâèìûé âðåäñèñòåìå Åùå îäíîé ïðè÷èíîé ÿâëÿåòñÿ òî, ÷òî ëþáîéçëîáíûé õàöêåð ïûòàåòñÿ âíà÷àëå çàéòè â ñèñòåìóïîä îáû÷íûì þçâåðåì, ÷òîáû çàïîëó÷èòü âäàëüíåéøåì ïàðîëü ðóòà â ñâîè ïîäëåíüêèå ðó÷êè,èñïîëüçóÿ áàãè â ëîêàëüíîé çàùèòå Äàáû ýòîãî èçáåæàòü,çàéìåìñÿ òåì, ÷òî ìàêñèìàëüíî íàëàäèìëîêàëüíóþ ñåêüþðíîñòü Ïåðâûì äåëîì ÿ ïðåäëàãàþïîñòàâèòü òåáå ïàðîëü íà Bios Çà÷åì? Ïðîñòî,åñëè ó òåáÿ íåò ïàðîëÿ íà Áèîñ, òî íåõîðîøèé ÷åëîâåêìîæåò âûñòàâèòü â íåì çàãðóçêó ñ CD, çàòåìâûáðàòü àïãðåéä ñèñòåìû è, íè÷åãî íå àïãðåéäÿ,ïîìåíÿòü ïàðîëü è âîéòè â ñèñòåìó ïîä íîâûì ïàññîìÎòñþäà âûòåêàåò ïðàâèëî: ñòàâü çàãðóçêó ËèíóêñàÂÑÅÃÄÀ ñ æåñòêîãî äèñêà Åñëè òû òàêîé æåïàðàíîèê, êàê è ÿ, òî ìîæåøü ïîñòàâèòü ïàðîëü è íàLILO, êîíôèã êîòîðîãî âàëÿåòñÿ â etc/liloconf Ïîñëåâñåãî ýòîãî óäîñòîâåðüñÿ â òîì, ÷òî äëÿ êàæäîãîèç ïðîïèñàííûõ þçåðîâ ó òåáÿ íà òà÷êå åñòü ìèíèìàëüíîíåîáõîäèìûå äëÿ íèõ ïðèâèëåãèè, âîîáùå- âñåãäà ñòàðàéñÿ êîìó áû òî íè áûëî ñòàâèòüïðèâèëåãèè ïî ìèíèìóìó Êàê ãîâîðèòñÿ, áóäü ïàðàíîèêîì,è âñå áóäåò ÎÊ :) Îòñþäà âûòåêàåò åùåîäíî ïðàâèëî: êàê òîëüêî âèäèøü, ÷òî þçâåðü íåïîëüçóåòñÿ îòâåäåííûì ïîä íåãî àêêàóíòîì, óäàëÿéåãî ñðàçó Äóìàþ, ñ ýòèì ÿñíî, è îáúÿñíÿòü íå íóæíîÄàëüøå â íàøåì ñïèñêå èäåò Áîã ñèñòåìû - ðóòÂî-ïåðâûõ, âõîäè â åãî ñòàòóñå òîëüêî òîãäà, êîãäàòåáå äåéñòâèòåëüíî íóæíî ÷òî-òî ïîäïðàâèòü â ñâîåéìàøèíå è íàñòðîèòü Äëÿ ïðî÷èõ öåëåé þçàé ñîçäàííûéäëÿ ñåáÿ user-àêêàóíò Òàêæå íèêîãäà íåñîçäàâàé rhost ôàéëû äëÿ ðóòà Ýòî î÷åíü îïàñíî,íàïðèìåð, ïðè ïðîâåäåíèè èï-ñïóôôèíãà íà òâîéêîìï Äàëåå, ÷òî õîòåëîñü áû îòìåòèòü, òàê ýòîôàéë /etc/securetty file, êîòîðûé ñîäåðæèò âñå òåðìèíàëû,êóäà ìîæåò çàëîãèíèòüñÿ ðóò Ïî äåôîëòóòàì ïðîïèñàíû òîëüêî âèðòóàëüíûå êîíñîëè, ïîýòîìóíè÷åãî òóäà íå äîáàâëÿé áîëüøå Íó è, êîíå÷íî,êîãäà òû ðóò, òî ñíà÷àëà äóìàé, à ïîòîì äåëàé, ÷òîáûïîòîì íå ïëàêàòü :)ÁÅÇÎÏÀÑÍÎÑÒÜ ÔÀÉËÎÂ< Folder2>< Âçëîì >20/04\02Ñíà÷àëà ïîñòàâü îãðàíè÷åíèÿ íà ëèìèò çàïóñêàåìûõôàéëîâ âìåñòî ñòàíäàðòíîãî "áåç îãðàíè÷åíèé"Äëÿ ýòîãî èñïîëüçóé ôàéëetc/pamd/limitsconf, ãäå ïîøàìàíü íåìíîãî è ïîñòàâü,îïÿòü-òàêè ïî ìèíèìóìó, ïðàâî þçåðàì íàïðîöåññû Ñëåäóþùèìè â ñïèñêå èäóò ôàéëû/var/log/wtmp è /var/run/utmp, êîòîðûå ñîäåðæàòâñþ íåîáõîäèìóþ èíôó ïî çàëîãèíèâàíèÿì ïîëüçîâàòåëåéâ òâîåé ñèñòåìå Ïîýòîìó áåðåãè èõ è íè âêîåì ñëó÷àå íå óäàëÿé, âåäü ÷àñòî áûâàåò òàê, ÷òîòîëüêî ïî íèì ìîæíî îïðåäåëèòü íåñàíêöèîíèðîâàííûéâõîä â ñèñòåìó Îäíà èç ñàìûõ âàæíûõ çàäà÷- óäåëèòü äîëæíîå âíèìàíèå âñåì SUID (setuser-idpermissions) /SGID (set-group-id permissions)ôàéëàì Íàïðèìåð, èíîãäà ïðîêàòûâàåò òàêàÿôèøêà, ÷òî õàöêåð èñïîëüçóåò "ðóòîâñêóþ" SUIDïðîãðàììó, îñòàâëÿÿ SGID â êà÷åñòâå áåêäîðà, ÷òîáûñ èõ ïîìîùüþ ïîëó÷èòü âñþ íåîáõîäèìóþ èíôóÄëÿ íà÷àëà íóæíî íàéòè SUID/SGID ôàéëû Çàþçàéñëåäóþùóþ êîìàíäó:root# find / -type f \( -perm -04000 -o -perm -02000 \)çàòåì òû ìîæåøü èçìåíèòü ïðàâà äîñòóïà ê íèìëèáî ïðîñòî-íàïðîñòî óäàëèòü èõ, òàê êàê îíè ñîäåðæàòñïåöèàëüíûå ïðåèìóùåñòâà ïðè ñâîåì èñïîëüçîâàíèèÔàéëû, êîòîðûå ñîäåðæàò â ñåáåñëîâà, êîä è òä, êîòîðûå ìîãó áûòü ïåðåïèñàíû,òîæå íåñóò â ñåáå îïðåäåëåííóþ îïàñíîñòü Îáû÷íîýòî ñèñòåìíûå ôàéëû ×òîáû îáíàðóæèòü ôàéëû,èñïîëüçóé êîìàíäó:root# find / -perm -2 -printÒàê æå - ïî àíàëîãèè - ïîñòóïèì ñ íåèçâåñòíûìèôàéëàìè, êîòîðûå óìíûå ëþäè ìîãóò èñïîëüçîâàòü:) Êîìàíäà:root# find / -nouser -o -nogroup -printñäåëàåò òàê, ÷òî ó ýòèõ ôàéëîâ íå áóäåò âëàäåëüöàß óæå íåîäíîêðàòíî çàìå÷àë ïðî âàæíîñòü rhostôàéëîâ, çàìå÷ó è ñåé÷àñ, ÷òî ñòîèò ïî íàïëåâàòåëüñêèê íèì îòíåñòèñü, è ìîæíî íàðâàòüñÿ íà áîëüøèåíåïðèÿòíîñòè Íàéäè èõ êîìàíäîé:root# find /home -name rhosts -printÌîãó åùå ïîðåêîìåíäîâàòü ïðîãðàììó LSOF(ftp://vicccpurdueedupub/tools/unix/lsof), êîòîðàÿîòñëåæèâàåò, êàêèå ôàéëû è ñåòåâûå ñîêåòû îòêðûòûÌîæíî çàäàòü òåáå íåáîëüøîé âîïðîñåö? Êàêèåèç ôàéëîâ ó íàñ íàèáîëåå âàæíûå? Ïðàâèëüíî, ñèñòåìíûåÏîýòîìó î÷åíü âàæíî ñäåëàòü èõ òàêèìè,÷òîáû íèêàêîé ïîëüçîâàòåëü íå ìîã èõ èñïðàâèòü,êðîìå, ðàçóìååòñÿ, ðóòà Êàê òû çíàåøü, Ëèíóêñðàçäåëÿåò êîíòðîëü äîñòóïà ê ôàéëàì è äèðåêòîðèÿìïî 3 êàòåãîðèÿì: âëàäåëåö, ãðóïïà è äðóãèå Ïîýòîìóïðàâèëüíî âûñòàâè çíà÷åíèÿ äîñòóïà READ,WRITE and EXECUTE äëÿ êîíêðåòíûõ ïîëüçîâàòåëåéÈ, çàêàí÷èâàÿ ðàçãîâîð î ëîêàëüíîé áåçîïàñíîñòè,ÿ áû õîòåë îòìåòèòü òàêóþ ïðîãðàììó, êàê TripwireÝòî òóëçà ïðîâåðÿåò íàèáîëåå âàæíûå òâîè ôàéëûè êîíôèãè Îíà ñðàâíèâàåò ïðåäûäóùèå èõ ñîñòîÿíèÿè êîíå÷íûå è, åñëè íàéäåò êàêèå-ëèáî èçìåíåíèÿ,íåìåäëåííî îá ýòîì ñîîáùàåò Äàì òåáå íåñêîëüêîñîâåòîâ ïî åå èñïîëüçîâàíèþ Âî-ïåðâûõ,óñòàíîâè åå íå íà êîìï, à íà ôëîïïè, êîòîðûé ê òîìóæå ñäåëàé íåçàïèñûâàåìûì Âñå ýòî äåëàåòñÿòîëüêî äëÿ òîãî, ÷òîáû íèêòî íå ñìîã ïîäïðàâèòüáàçû îò÷åòà ýòîé ïðîãè È êàæäûé ðàç ïðèâûïîëíåíèè ñâîèõ åæåäíåâíûõ õàöêîðñêèõäåëèøåê ñäåëàé ñâîåé ïðèâû÷êîé çàïóñ-5 Êîäèíã 6 Hack-Faq 7 JoyStick 8 Þíèòû 9 Quit> 57