Автор работы: Пользователь скрыл имя, 02 Июля 2012 в 12:56, лекция
Самый страшный враг пользователя - это он сам. В подтверждение данного высказывания можно привести простой пример. В Linux, как и в любой Unix-подобной системе, существует специальный пользователь root, называемый также суперпользователем. Root имеет практически неограниченные права и может выполнять в системе любые действия. Согласно идеологии Unix, пользователь root предназначен только для внесения изменений в критичные системные настройки и установки программ, которые требуют прав на запись в системные каталоги.
1. Защита данных в Linux.
Есть несколько ставших уже классическими рекомендаций по обеспечению общей безопасности, касающихся не только Linux-серверов, но и практически любого программного обеспечения, от которого требуется безопасность при работе с данными. Рассмотрим эти рекомендации с учетом специфики такой операционной системы, как Linux.
Человеческий фактор
Самый страшный враг пользователя - это он сам. В подтверждение данного высказывания можно привести простой пример. В Linux, как и в любой Unix-подобной системе, существует специальный пользователь root, называемый также суперпользователем. Root имеет практически неограниченные права и может выполнять в системе любые действия. Согласно идеологии Unix, пользователь root предназначен только для внесения изменений в критичные системные настройки и установки программ, которые требуют прав на запись в системные каталоги. К сожалению, достаточно часто root используется для выполнения повседневных операций, например посещения веб-страниц, чтения личной почты.
Регулярные обновления
Процедура регулярного обновления всего используемого ПО - одна из важнейших в механизме обеспечения безопасности любой операционной системы. Предположение, что любая программа содержит хотя бы одну ошибку, вполне согласуется с действительностью, но с учетом того, что ошибка обычно не одна. В современных условиях, когда период между обнаружением очередной ошибки в ПО и обнародованием методов ее исправления сильно уменьшился, автоматическое обновление ПО стало особенно необходимым.
Повышение привилегий и контроль целостности
Одной из интересных особенностей системы безопасности Linux и одновременно едва ли не самым большим недостатком является механизм SUID. Флаг SUID в правах доступа к файлу означает, что тот, кто запускает процесс, получает не просто права пользователя, а права владельца файла. Подобный механизм позволяет избежать передачи пользователю пароля root в тех случаях, когда ему необходимо запустить процесс, требующий для корректной работы привилегий суперпользователя, например смены пароля - passwd, создания сокета (комбинация из номера порта и IP-адреса) с номером порта меньше 1024 - rlogin и некоторых других. В стандартной поставке любого дистрибутива Linux таких файлов около полусотни. Достаточно много методов злонамеренного повышения локальных привилегий в Linux основано или на использовании какой-либо недоработки в исполняемом файле, на который установлен флаг SUID, или на создании своего исполняемого файла с таким флагом. Таким образом, появление новых файлов с установленным SUID-флагом или модификация уже существующих SUID-файлов часто является признаком вмешательства в работу системы.
Найти в системе все файлы с установленным флагом SUID можно с помощью команды.
find / -type f -perm -u+s
Защита сети
ОС Linux изначально была задумана как система с поддержкой работы в сети, в отличие от ОС Windows, которая проектировалась всего лишь как графическая оболочка для рабочей станции. Более того, Linux считается скорее серверной операционной системой, чем системой для рабочих станций. Основное требование к серверу сети - стабильность и надежность в работе. Одним из популярных типов атак на сервер сети является атака типа DDoS (Distributed Denial of Service). При классической DDoS-атаке сервер подвергается многочисленным некорректным запросам на соединение и их обработка занимает все процессорное время или пропускную способность канала. Защита от атак подобного рода осуществляется при помощи правильно настроенного межсетевого экрана, иначе firewall'а. Для Linux существует множество программных решений межсетевых экранов, например iptables или ipchains, которые занимаются обработкой проходящего через сервер сетевого трафика и осуществляют фильтрацию паразитного мусорного трафика, характерного, например, для DDoS-атаки.
Система обнаружения вторжений
Кроме DDoS-атак на сервер могут предприниматься так называемые DoS-атаки. Для атак подобного типа не нужно участие множества компьютеров, в отличие от DDoS эти атаки проходят незаметно, и виден только их конечный результат - неработоспособность сервера, исчезновение данных, нежелательная сетевая активность. Для обнаружения попыток подобных вторжений извне в ОС Linux существует большое количество специализированного ПО. Эти программы объединены под общим названием IDS (Intrusion Detection System - системы обнаружения вторжений). Самой популярной IDS на сегодняшний день считается система Snort.
Защита почтового сервера
Работа в качестве mail-сервера - одно из самых распространенных применений серверов под управлением Linux. Проблема безопасности сообщений электронной почты появилась одновременно с введением достаточно небезопасных протоколов обмена mail-сообщениями, таких как POP3 и SMTP. Во времена их создания мало кто задумывался, что передача такой информации, как имя пользователя, пароль, да и содержания письма в открытом виде является не самой лучшей реализацией схемы обмена информацией. В обоих протоколах не было предусмотрено возможности точной идентификации отправителя и его обратного адреса. Отсюда основные проблемы электронной почты - анонимные спам-сообщения, рассылка вирусов и перехват почтового трафика.