 |
|
Основні захисні механізми UNIX. Принципові недоліки захисту UNIX від НСД.
Протягом більшої частини історії інтернету системи Unix забезпечували найвищий рівень функціонування служб у мережі. Коли хакери стали серйозною проблемою для всесвітньої мережі, системам Unix почали приділяти усе більше уваги. На сьогоднішній день більша частина систем в інтернеті працює під керуванням ОС Unix, і для надійного захисту від хакерів ці системи повинні бути правильно настроєні.
Після побудови системи Unix у ній, як правило, є присутнім ряд уязвимостей. Більшу їхню частину можна усунути за допомогою відновлення системи або внесення змін у конфігураційні файли.
Системи Unix настроюються при завантаженні з використанням відповідних завантажувальних файлів. Залежно від версії Unix файли завантаження можуть розташовуватися в різних місцях. У системі Solaris файли завантаження перебувають у каталозі /etc/rc2.d, у системі Linux - у каталозі /etc/rc.d/rc2.d. Служби, завантаження, що запускають звичайно при допомозі файлів, містять у собі наступні сервіси: Inetd; NFS; NTP; Routed; RPC; Sendmail; Web servers.
Існує ряд змін, які можна внести у файли конфігурації системи Unix, щоб збільшити загальний рівень безпеки системи. Це можуть бути як попереджуючі повідомлення, так і захист від переповнення буфера на деяких системах. Будь-які зміни повинні вноситися в конфігурацію відповідно до політики безпеки організації.
Існує три етапи процедури керування паролями в системі Unix: настроювання вимог до паролів, заборона на вхід без пароля, вказівка вимог до вмісту паролів.
У системі Unix доступ до файлів контролюється за допомогою набору дозволів. Для власника файлу, групи, який належить файл, і для всіх інших осіб можна привласнювати привілею читання, записи й виконання. Файлові дозволи змінюються за допомогою команди chmod. Як правило, не рекомендується дозволяти користувачам створювати файли, доступні для читання або запису для будь-яких осіб. Такі файли можуть зчитуватися або записуватися будь-яким користувачем системи. Якщо зловмисник одержить доступ до ідентифікатора користувача, він зможе вважати або змінити будь-які з таких файлів.
Рекомендується обмежувати прямий доступ з використанням кореневого облікового запису. При такому підході навіть адміністраторам необхідно спочатку виконати вхід систему з використанням їх аутентификаційних даних, і тільки після цього за допомогою команди su одержати доступ до кореневого облікового запису.
В Unix створюється набір облікових записів, необхідних для різних цілей (наприклад, володіння деякими певними файлами), які ніколи не використаються для входу в систему. Такими обліковими записами є sys, uucp, nuucp і listen. Для кожного облікового запису варто змінити їхнього запису у файлі /etc/shadow, щоб запобігти успішному входу в систему з їхньою допомогою.
Для виправлення помилок і усунення уязвимостей для Unix випускаються відновлення й "заплатки" аналогічно тому, як це робиться для операційних систем сімейства Windows. Відновлення повинні встановлюватися регулярно, щоб мінімізувати число уязвимостей.