0 added
0 removed
Original
2026-01-01
Modified
2026-03-10
1
<p>Чтобы обеспечить повышенный уровень безопасности системы, зачастую можно не прибегать к дорогостоящим специализированным средствам защиты. Добиться этого можно за счет грамотного конфигурирования уже имеющихся штатных механизмов защиты. Рассмотрим действия, которые может выполнить любой<strong>системный администратор</strong>, чтобы обезопасить<strong>Linux-систему</strong>.</p>
1
<p>Чтобы обеспечить повышенный уровень безопасности системы, зачастую можно не прибегать к дорогостоящим специализированным средствам защиты. Добиться этого можно за счет грамотного конфигурирования уже имеющихся штатных механизмов защиты. Рассмотрим действия, которые может выполнить любой<strong>системный администратор</strong>, чтобы обезопасить<strong>Linux-систему</strong>.</p>
2
<h2>№ 1. Избегайте использования FTP, Telnet и Rlogin/Rsh</h2>
2
<h2>№ 1. Избегайте использования FTP, Telnet и Rlogin/Rsh</h2>
3
<p>В большинстве вариантов конфигурации сетей можно в той же самой сети с помощью сниффера пакетов (<strong>packet sniffer</strong>) перехватывать имена пользователей, пароли, команды FTP/Telnet/RSH и пересылаемые файлы. Общим решением проблемы является использование OpenSSH, SFTP или FTPS (FTP поверх SSL), которые добавляют к FTP либо SSL, либо шифрование TLS. Для того, чтобы удалить NIS, rsh и другие устаревшие сервисы, наберите следующую команду:</p>
3
<p>В большинстве вариантов конфигурации сетей можно в той же самой сети с помощью сниффера пакетов (<strong>packet sniffer</strong>) перехватывать имена пользователей, пароли, команды FTP/Telnet/RSH и пересылаемые файлы. Общим решением проблемы является использование OpenSSH, SFTP или FTPS (FTP поверх SSL), которые добавляют к FTP либо SSL, либо шифрование TLS. Для того, чтобы удалить NIS, rsh и другие устаревшие сервисы, наберите следующую команду:</p>
4
# yum erase inetd xinetd ypserv tftp-server telnet-server rsh-serve<h2>№ 2. Минимизируйте количество установленных приложений для минимизации числа уязвимостей</h2>
4
# yum erase inetd xinetd ypserv tftp-server telnet-server rsh-serve<h2>№ 2. Минимизируйте количество установленных приложений для минимизации числа уязвимостей</h2>
5
<p>Вам действительно нужны все виды установленных веб-сервисов? Избегайте устанавливать ненужные приложения с тем, чтобы избежать уязвимостей, имеющихся в этих приложениях. Воспользуйтесь менеджером пакетов RPM, таким как as yum, либо apt-get and/or dpkg to review для просмотра всего набора установленных в системе программ. Удалите все ненужные пакеты.</p>
5
<p>Вам действительно нужны все виды установленных веб-сервисов? Избегайте устанавливать ненужные приложения с тем, чтобы избежать уязвимостей, имеющихся в этих приложениях. Воспользуйтесь менеджером пакетов RPM, таким как as yum, либо apt-get and/or dpkg to review для просмотра всего набора установленных в системе программ. Удалите все ненужные пакеты.</p>
6
# yum list installed # yum list packageName # yum remove packageName<p>или</p>
6
# yum list installed # yum list packageName # yum remove packageName<p>или</p>
7
# dpkg --list # dpkg --info packageName # apt-get remove packageName<h2>№ 3. Один сетевой сервис на каждую систему или экземпляр виртуальной машины</h2>
7
# dpkg --list # dpkg --info packageName # apt-get remove packageName<h2>№ 3. Один сетевой сервис на каждую систему или экземпляр виртуальной машины</h2>
8
<p>Запускайте различные сетевые сервисы на отдельных серверах или отдельных экземплярах виртуальной машины. Это снизит количество сервисов, которые могут подвергнуться опасности. Например, если атакующий успешно попадает внутрь сервиса Apache , он также сможет получить доступ ко всему серверу, в том числе и к другим сервисам, таким как MySQL, почтовый сервер и т. п.</p>
8
<p>Запускайте различные сетевые сервисы на отдельных серверах или отдельных экземплярах виртуальной машины. Это снизит количество сервисов, которые могут подвергнуться опасности. Например, если атакующий успешно попадает внутрь сервиса Apache , он также сможет получить доступ ко всему серверу, в том числе и к другим сервисам, таким как MySQL, почтовый сервер и т. п.</p>
9
<h2>№ 4. Поддерживайте ядро Linux и программы в обновлённом состоянии</h2>
9
<h2>№ 4. Поддерживайте ядро Linux и программы в обновлённом состоянии</h2>
10
<p>Применение всех патчей безопасности является важной частью работы по поддержанию сервера Linux. В Linux есть все необходимые средства для поддержания вашей системы всегда в обновлённом состоянии и для легкого перехода к следующим версиям. Все обновления, касающиеся безопасности, должны изучаться и устанавливаться сразу, как для этого появится возможность. Для того, чтобы установить все обновления, касающиеся безопасности, опять воспользуйтесь менеджером пакетов RPM, таким как yum или apt-get и/или dpkg:</p>
10
<p>Применение всех патчей безопасности является важной частью работы по поддержанию сервера Linux. В Linux есть все необходимые средства для поддержания вашей системы всегда в обновлённом состоянии и для легкого перехода к следующим версиям. Все обновления, касающиеся безопасности, должны изучаться и устанавливаться сразу, как для этого появится возможность. Для того, чтобы установить все обновления, касающиеся безопасности, опять воспользуйтесь менеджером пакетов RPM, таким как yum или apt-get и/или dpkg:</p>
11
<p>или</p>
11
<p>или</p>
12
# apt-get update && apt-get upgrade<p>Вы можете сконфигурировать Red hat/CentOS/Fedora Linux так, что yum будет посылать вам по e-mail напоминание о том, что есть обновление. Другая возможность - выполнять все обновления, относящиеся к безопасности, как задания для cron. Под Debian/Ubuntu Linux вы можете использовать apticron для отсылки напоминаний, касающихся безопасности.</p>
12
# apt-get update && apt-get upgrade<p>Вы можете сконфигурировать Red hat/CentOS/Fedora Linux так, что yum будет посылать вам по e-mail напоминание о том, что есть обновление. Другая возможность - выполнять все обновления, относящиеся к безопасности, как задания для cron. Под Debian/Ubuntu Linux вы можете использовать apticron для отсылки напоминаний, касающихся безопасности.</p>
13
<h2>№ 5: Используйте расширения Linux, повышающие безопасность</h2>
13
<h2>№ 5: Используйте расширения Linux, повышающие безопасность</h2>
14
<p>Linux поставляется с различными патчами по безопасности, которые можно использовать с тем, чтобы защитится от неверно работающих или подвергнувшихся атаке программ. Если можно, то используйте<strong>SELinux</strong>и другие расширения Linux, повышающие безопасность, в которых уже есть средства ограничения при работе с сетью и другие программы. Например, в SELinux имеется большое количество политик безопасности, которые реализованы в ядре SELinux.</p>
14
<p>Linux поставляется с различными патчами по безопасности, которые можно использовать с тем, чтобы защитится от неверно работающих или подвергнувшихся атаке программ. Если можно, то используйте<strong>SELinux</strong>и другие расширения Linux, повышающие безопасность, в которых уже есть средства ограничения при работе с сетью и другие программы. Например, в SELinux имеется большое количество политик безопасности, которые реализованы в ядре SELinux.</p>
15
<h2>№ 6. Политика пользовательских паролей и сильные пароли</h2>
15
<h2>№ 6. Политика пользовательских паролей и сильные пароли</h2>
16
<p>Используйте команды<strong>useradd/usermod</strong>для того, чтобы создавать и работать с регистрационными записями пользователей. Удостоверьтесь в том, что вы используете политику применения хороших и сильных паролей. Например, длина хорошего пароля должна быть не менее 8 символов и в нём должны присутствовать прописные и строчные буквы, цифры, специальные символы и т. п. Самое главное - подобрать пароль, который вы можете запомнить. Используйте такие инструментальные средства, как John the ripper для поиска на вашем сервере слабых пользовательских паролей. Используйте pam_cracklib.so для того, чтобы проверять устойчивость пароля против его подбора по словарю.</p>
16
<p>Используйте команды<strong>useradd/usermod</strong>для того, чтобы создавать и работать с регистрационными записями пользователей. Удостоверьтесь в том, что вы используете политику применения хороших и сильных паролей. Например, длина хорошего пароля должна быть не менее 8 символов и в нём должны присутствовать прописные и строчные буквы, цифры, специальные символы и т. п. Самое главное - подобрать пароль, который вы можете запомнить. Используйте такие инструментальные средства, как John the ripper для поиска на вашем сервере слабых пользовательских паролей. Используйте pam_cracklib.so для того, чтобы проверять устойчивость пароля против его подбора по словарю.</p>
17
<h2>№ 7. Запретите прямой доступ в систему с правами root</h2>
17
<h2>№ 7. Запретите прямой доступ в систему с правами root</h2>
18
<p>Никогда не входите в систему как пользователь root. Для выполнения команд уровня root, если это потребуется, вам следует пользоваться командой<strong>sudo</strong>. Команда<strong>sudo</strong>существенно повышает безопасность системы и не требует раздавать пароль root другим пользователям и администраторам. Команда sudo также предоставляет простые средства для аудита и отслеживания событий.</p>
18
<p>Никогда не входите в систему как пользователь root. Для выполнения команд уровня root, если это потребуется, вам следует пользоваться командой<strong>sudo</strong>. Команда<strong>sudo</strong>существенно повышает безопасность системы и не требует раздавать пароль root другим пользователям и администраторам. Команда sudo также предоставляет простые средства для аудита и отслеживания событий.</p>
19
<h2>№ 8. Защитите сервер от физического доступа к нему</h2>
19
<h2>№ 8. Защитите сервер от физического доступа к нему</h2>
20
<p>Вы должны защитить консоли Linux-серверов от физического доступа к системе. Сконфигурируйте BIOS и запретите загружаться с таких внешних устройств, как DVDs/CDs/USB. Установите пароль BIOS и пароль загрузки grub с тем, чтобы защитить эти настройки. Все системные блоки должны быть сосредоточены в специально отведённом для этого помещении и персонал, прежде чем получить доступ к вашему серверу, должен пройти в службе безопасности определенную проверку.</p>
20
<p>Вы должны защитить консоли Linux-серверов от физического доступа к системе. Сконфигурируйте BIOS и запретите загружаться с таких внешних устройств, как DVDs/CDs/USB. Установите пароль BIOS и пароль загрузки grub с тем, чтобы защитить эти настройки. Все системные блоки должны быть сосредоточены в специально отведённом для этого помещении и персонал, прежде чем получить доступ к вашему серверу, должен пройти в службе безопасности определенную проверку.</p>
21
<h2>№ 9. Отключите ненужные сервисы</h2>
21
<h2>№ 9. Отключите ненужные сервисы</h2>
22
<p>Отключите все ненужные сервисы и демоны (сервисы, запускающиеся в фоновом режиме). Вам нужно будет удалить все ненужные сервисы, запускаемые при старте системы. Для того, чтобы получить список всех сервисов, запускаемых на уровне запуска 3 (run level # 3) во время загрузки системы, наберите следующую команду:</p>
22
<p>Отключите все ненужные сервисы и демоны (сервисы, запускающиеся в фоновом режиме). Вам нужно будет удалить все ненужные сервисы, запускаемые при старте системы. Для того, чтобы получить список всех сервисов, запускаемых на уровне запуска 3 (run level # 3) во время загрузки системы, наберите следующую команду:</p>
23
# chkconfig --list | grep '3:on'<p>Чтобы отключить сервис, введите:</p>
23
# chkconfig --list | grep '3:on'<p>Чтобы отключить сервис, введите:</p>
24
# service serviceName stop # chkconfig serviceName off<h2>№ 10. Удалите X Window</h2>
24
# service serviceName stop # chkconfig serviceName off<h2>№ 10. Удалите X Window</h2>
25
<p>X Window на сервере не нужен. Так что, нет необходимости запускать X Window на вашем специализированном почтовом или веб-сервере (Apache). Для того, чтобы повысить безопасность и улучшить работоспособность системы, вы можете отключить и удалить X Window. Отредактируйте файл<strong>/etc/inittab</strong>и установите уровень запуска (run level) равным 3. Наконец, удалите систему X Window, для этого введите следующую команду:</p>
25
<p>X Window на сервере не нужен. Так что, нет необходимости запускать X Window на вашем специализированном почтовом или веб-сервере (Apache). Для того, чтобы повысить безопасность и улучшить работоспособность системы, вы можете отключить и удалить X Window. Отредактируйте файл<strong>/etc/inittab</strong>и установите уровень запуска (run level) равным 3. Наконец, удалите систему X Window, для этого введите следующую команду:</p>
26
# yum groupremove "X Window System"<h2>№ 11. Сконфигурируйте Iptables и используйте TCPWrapper-ы</h2>
26
# yum groupremove "X Window System"<h2>№ 11. Сконфигурируйте Iptables и используйте TCPWrapper-ы</h2>
27
<p>Iptables является пользовательским приложением, которое позволит вам сконфигурировать брандмауэр (Netfilter), имеющийся в ядре<strong>Linux</strong>. Используйте брандмауэр для фильтрации и пропуска только нужного трафика. Также используйте TTCPWrapper-ы - кросс-хостинговые сетевые системы ACL (листы контроля доступа), применяемые для фильтрации доступа из сети в Интернет. С помощью Iptables вы сможете предотвратить многие атаки вида denial of service.</p>
27
<p>Iptables является пользовательским приложением, которое позволит вам сконфигурировать брандмауэр (Netfilter), имеющийся в ядре<strong>Linux</strong>. Используйте брандмауэр для фильтрации и пропуска только нужного трафика. Также используйте TTCPWrapper-ы - кросс-хостинговые сетевые системы ACL (листы контроля доступа), применяемые для фильтрации доступа из сети в Интернет. С помощью Iptables вы сможете предотвратить многие атаки вида denial of service.</p>
28
<h2>№ 12. Обезопасьте доступ к файлу ядра Linux /etc/sysctl.conf</h2>
28
<h2>№ 12. Обезопасьте доступ к файлу ядра Linux /etc/sysctl.conf</h2>
29
<p>Для конфигурирования параметров ядра во время его работы используется файл<strong>/etc/sysctl.conf</strong>. Linux во время загрузки использует настройки, считываемые из файла /etc/sysctl.conf. Пример файла /etc/sysctl.conf:</p>
29
<p>Для конфигурирования параметров ядра во время его работы используется файл<strong>/etc/sysctl.conf</strong>. Linux во время загрузки использует настройки, считываемые из файла /etc/sysctl.conf. Пример файла /etc/sysctl.conf:</p>
30
# Turn on execshield kernel.exec-shield=1 kernel.randomize_va_space=1 # Enable IP spoofing protection # Disable IP source routing net.ipv4.conf.all.rp_filter=1 # Ignoring broadcasts request net.ipv4.conf.all.accept_source_route=0 net.ipv4.icmp_ignore_bogus_error_messages=1 net.ipv4.icmp_echo_ignore_broadcasts=1 # Make sure spoofed packets get logged net.ipv4.conf.all.log_martians = 1<h2>№ 13. Используйте различные дисковые разделы</h2>
30
# Turn on execshield kernel.exec-shield=1 kernel.randomize_va_space=1 # Enable IP spoofing protection # Disable IP source routing net.ipv4.conf.all.rp_filter=1 # Ignoring broadcasts request net.ipv4.conf.all.accept_source_route=0 net.ipv4.icmp_ignore_bogus_error_messages=1 net.ipv4.icmp_echo_ignore_broadcasts=1 # Make sure spoofed packets get logged net.ipv4.conf.all.log_martians = 1<h2>№ 13. Используйте различные дисковые разделы</h2>
31
<p>Размещение файлов операционной системы отдельно от пользовательских файлов может, как результат, улучшить работу системы и повысить её безопасность. Удостоверьтесь в том, что следующие файловые системы смонтированы на отдельных разделах диска:</p>
31
<p>Размещение файлов операционной системы отдельно от пользовательских файлов может, как результат, улучшить работу системы и повысить её безопасность. Удостоверьтесь в том, что следующие файловые системы смонтированы на отдельных разделах диска:</p>
32
/usr /home /var and /var/tmp /tmp<p>Создайте отдельные разделы для корневых директорий серверов Apache и FTP. Отредактируйте файл /etc/fstab и не забудьте добавить следующее конфигурационные параметры: -<strong>noexec</strong>- не разрешается исполнять бинарные файлы (предотвращается исполнение бинарных файлов, но разрешается исполнять скрипты); -<strong>nodev</strong>- не разрешается указывать посимвольные и специальные устройства (предотвращается использование файлов устройств, таких как zero, sda и т. д); -<strong>nosuid</strong>- не разрешается иметь доступ для SUID/SGID (предотвращается изменение битов идентификатора пользователя и идентификатора группы).</p>
32
/usr /home /var and /var/tmp /tmp<p>Создайте отдельные разделы для корневых директорий серверов Apache и FTP. Отредактируйте файл /etc/fstab и не забудьте добавить следующее конфигурационные параметры: -<strong>noexec</strong>- не разрешается исполнять бинарные файлы (предотвращается исполнение бинарных файлов, но разрешается исполнять скрипты); -<strong>nodev</strong>- не разрешается указывать посимвольные и специальные устройства (предотвращается использование файлов устройств, таких как zero, sda и т. д); -<strong>nosuid</strong>- не разрешается иметь доступ для SUID/SGID (предотвращается изменение битов идентификатора пользователя и идентификатора группы).</p>
33
<p>Пример монтирования<a>/etc/fstab</a>раздела /dev/sda5 (корневой директорий сервера ftp), для которого ограничен пользовательский доступ:</p>
33
<p>Пример монтирования<a>/etc/fstab</a>раздела /dev/sda5 (корневой директорий сервера ftp), для которого ограничен пользовательский доступ:</p>
34
/dev/sda5 /ftpdata ext3 defaults,nosuid,nodev,noexec 1 2<h2>№ 14. Отключите IPv6</h2>
34
/dev/sda5 /ftpdata ext3 defaults,nosuid,nodev,noexec 1 2<h2>№ 14. Отключите IPv6</h2>
35
<p>Версия 6 протокола Интернет (IPv6), которая заменяет версию 4 (IPv4), представляет собой новый слой организации протокола TCP/IP, что даёт массу преимуществ. В настоящее время нет хороших инструментальных средств, с помощью которых можно было бы проверить безопасность системы, работающей через сеть по протоколу IPv6. В большинстве дистрибутивов Linux протокол IPv6 по умолчанию включен. Взломщики могут воспользоваться и перенаправить трафик по IPv6, поскольку<strong>большинство администраторов не осуществляют его мониторинг</strong>. Если конфигурация сети не требует использования протокола IPv6, то отключите его, в противном случае сконфигурируйте брандмауэр Linux для работы с IPv6.</p>
35
<p>Версия 6 протокола Интернет (IPv6), которая заменяет версию 4 (IPv4), представляет собой новый слой организации протокола TCP/IP, что даёт массу преимуществ. В настоящее время нет хороших инструментальных средств, с помощью которых можно было бы проверить безопасность системы, работающей через сеть по протоколу IPv6. В большинстве дистрибутивов Linux протокол IPv6 по умолчанию включен. Взломщики могут воспользоваться и перенаправить трафик по IPv6, поскольку<strong>большинство администраторов не осуществляют его мониторинг</strong>. Если конфигурация сети не требует использования протокола IPv6, то отключите его, в противном случае сконфигурируйте брандмауэр Linux для работы с IPv6.</p>
36
<h2>№ 15. Уберите все ненужные бинарные файлы SUID и SGID</h2>
36
<h2>№ 15. Уберите все ненужные бинарные файлы SUID и SGID</h2>
37
<p>Если установлены права доступа SUID/SGID и файл, согласно SUID/SGID, исполняемый, то его можно использовать неправильно, что может быть причиной неверной работы системы или проблем с безопасностью. Любой локальный или удалённый пользователь может использовать такой файл. Поэтому нужно знать обо всех таких файлах. Используйте команду find следующим образом:</p>
37
<p>Если установлены права доступа SUID/SGID и файл, согласно SUID/SGID, исполняемый, то его можно использовать неправильно, что может быть причиной неверной работы системы или проблем с безопасностью. Любой локальный или удалённый пользователь может использовать такой файл. Поэтому нужно знать обо всех таких файлах. Используйте команду find следующим образом:</p>
38
See all set user id files: find / -perm +4000 find / -perm +2000 # See all group id files find / \( -perm -4000 -o -perm -2000 \) -print # Or combine both in a single command find / -path -prune -o -type f -perm +6000 -ls<p>Вам нужно изучить каждое сообщение о таком файле.</p>
38
See all set user id files: find / -perm +4000 find / -perm +2000 # See all group id files find / \( -perm -4000 -o -perm -2000 \) -print # Or combine both in a single command find / -path -prune -o -type f -perm +6000 -ls<p>Вам нужно изучить каждое сообщение о таком файле.</p>
39
<h2>№ 16. Используйте централизованный сервис идентификации</h2>
39
<h2>№ 16. Используйте централизованный сервис идентификации</h2>
40
<p>Без централизованной системы авторизации идентификационные данные о пользователе могут стать противоречивыми, и это может привести к устареванию полномочий и появлению забытых регистрационных записей, которые следует удалять в первую очередь. Централизованная служба аутентификации позволит вам осуществлять под Linux/UNIX централизованное обслуживание всех регистрационных записей и идентификационные данных. Вы сможете обеспечивать синхронизацию идентификационных данных между серверами. Не используйте для централизованной идентификации сервис NIS.<strong>Используйте OpenLDAP</strong>для клиентов и серверов.</p>
40
<p>Без централизованной системы авторизации идентификационные данные о пользователе могут стать противоречивыми, и это может привести к устареванию полномочий и появлению забытых регистрационных записей, которые следует удалять в первую очередь. Централизованная служба аутентификации позволит вам осуществлять под Linux/UNIX централизованное обслуживание всех регистрационных записей и идентификационные данных. Вы сможете обеспечивать синхронизацию идентификационных данных между серверами. Не используйте для централизованной идентификации сервис NIS.<strong>Используйте OpenLDAP</strong>для клиентов и серверов.</p>
41
<h2>№ 17. Протоколирование и аудит</h2>
41
<h2>№ 17. Протоколирование и аудит</h2>
42
<p>Для того, чтобы собирать сведения о попытках взлома системы и проникновения в неё, вам нужно настроить протоколирование и аудит. По умолчанию системный журнал syslog сохраняет свои данные в директории<strong>/var/log/</strong>. Полезно также все разузнать о неверном конфигурировании программ, которое могут открыть вашу систему для различных атак. № 17.1. Использование Logwatch/Logcheck для отслеживания подозрительных записей в системном журнале. Читайте свои журналы с помощью logwatch или logcheck. Эти инструменты облегчат вам анализ журналов. Вы будете получать по почте подробные отчеты о необычных записях, обнаруженных в системном журнале syslog. Пример отчета по syslog:</p>
42
<p>Для того, чтобы собирать сведения о попытках взлома системы и проникновения в неё, вам нужно настроить протоколирование и аудит. По умолчанию системный журнал syslog сохраняет свои данные в директории<strong>/var/log/</strong>. Полезно также все разузнать о неверном конфигурировании программ, которое могут открыть вашу систему для различных атак. № 17.1. Использование Logwatch/Logcheck для отслеживания подозрительных записей в системном журнале. Читайте свои журналы с помощью logwatch или logcheck. Эти инструменты облегчат вам анализ журналов. Вы будете получать по почте подробные отчеты о необычных записях, обнаруженных в системном журнале syslog. Пример отчета по syslog:</p>
43
################### Logwatch 7.3 (03/24/06) #################### Processing Initiated: Fri Oct 30 04:02:03 2009 ( 2009-Oct-29 ) Date Range Processed: yesterday Period is day. Logfiles for Host: www-52.nixcraft.net.in Detail Level of Output: 0 Type of Output: unformatted --------------------- Named Begin ------------------------ ################################################################## **Unmatched Entries** general: info: zone XXXXXX.com/IN: refresh: retry limit for master ttttttttttttttttttt#53 exceeded (source ::#0): 3 Time(s) general: info: zone XXXXXX.com/IN: Transfer started.: 3 Time(s) general: info: zone XXXXXX.com/IN: Transfer started.: 4 Time(s) ---------------------- Named End ------------------------- general: info: zone XXXXXX.com/IN: refresh: retry limit for master ttttttttttttttttttt#53 exceeded (source ::#0): 4 Time(s) --------------------- iptables firewall Begin ------------------------ Logged 87 packets on interface eth0 ---------------------- iptables firewall End ------------------------- From 58.y.xxx.ww - 1 packet to tcp(8080) From 59.www.zzz.yyy - 1 packet to tcp(22) From 60.32.nnn.yyy - 2 packets to tcp(45633) From 222.xxx.ttt.zz - 5 packets to tcp(8000,8080,8800) --------------------- SSHD Begin ------------------------ /dev/sda3 450G 185G 241G 44% / Users logging in through sshd: root: 123.xxx.ttt.zzz: 6 times ---------------------- SSHD End ------------------------- --------------------- Disk Space Begin ------------------------ Filesystem Size Used Avail Use% Mounted on /dev/sda1 99M 35M 60M 37% /boot ---------------------- Disk Space End ------------------------- ###################### Logwatch End #########################<p><em>Замечание: результат вывода приведен с сокращениями.</em></p>
43
################### Logwatch 7.3 (03/24/06) #################### Processing Initiated: Fri Oct 30 04:02:03 2009 ( 2009-Oct-29 ) Date Range Processed: yesterday Period is day. Logfiles for Host: www-52.nixcraft.net.in Detail Level of Output: 0 Type of Output: unformatted --------------------- Named Begin ------------------------ ################################################################## **Unmatched Entries** general: info: zone XXXXXX.com/IN: refresh: retry limit for master ttttttttttttttttttt#53 exceeded (source ::#0): 3 Time(s) general: info: zone XXXXXX.com/IN: Transfer started.: 3 Time(s) general: info: zone XXXXXX.com/IN: Transfer started.: 4 Time(s) ---------------------- Named End ------------------------- general: info: zone XXXXXX.com/IN: refresh: retry limit for master ttttttttttttttttttt#53 exceeded (source ::#0): 4 Time(s) --------------------- iptables firewall Begin ------------------------ Logged 87 packets on interface eth0 ---------------------- iptables firewall End ------------------------- From 58.y.xxx.ww - 1 packet to tcp(8080) From 59.www.zzz.yyy - 1 packet to tcp(22) From 60.32.nnn.yyy - 2 packets to tcp(45633) From 222.xxx.ttt.zz - 5 packets to tcp(8000,8080,8800) --------------------- SSHD Begin ------------------------ /dev/sda3 450G 185G 241G 44% / Users logging in through sshd: root: 123.xxx.ttt.zzz: 6 times ---------------------- SSHD End ------------------------- --------------------- Disk Space Begin ------------------------ Filesystem Size Used Avail Use% Mounted on /dev/sda1 99M 35M 60M 37% /boot ---------------------- Disk Space End ------------------------- ###################### Logwatch End #########################<p><em>Замечание: результат вывода приведен с сокращениями.</em></p>
44
<h2>№ 18. Обеспечьте безопасность сервера OpenSSH</h2>
44
<h2>№ 18. Обеспечьте безопасность сервера OpenSSH</h2>
45
<p>Для удалённого доступа в систему и удалённой передачи файлов рекомендуется использовать протокол<strong>SSH</strong>. Однако протокол ssh открыт для многих атак.</p>
45
<p>Для удалённого доступа в систему и удалённой передачи файлов рекомендуется использовать протокол<strong>SSH</strong>. Однако протокол ssh открыт для многих атак.</p>
46
<h2>№ 19. Установите и используйте систему обнаружения вторжений</h2>
46
<h2>№ 19. Установите и используйте систему обнаружения вторжений</h2>
47
<p>Система обнаружения сетевого вторжения (network intrusion detection system - NIDS) - это система обнаружения вторжения, которая с помощью мониторинга сетевого трафика пытается зафиксировать злонамеренную активность, такую как атаки вида denial of service (отказ в обслуживании), сканирование портов и даже попытки проникновения в компьютер.</p>
47
<p>Система обнаружения сетевого вторжения (network intrusion detection system - NIDS) - это система обнаружения вторжения, которая с помощью мониторинга сетевого трафика пытается зафиксировать злонамеренную активность, такую как атаки вида denial of service (отказ в обслуживании), сканирование портов и даже попытки проникновения в компьютер.</p>
48
<p>Хороший практический подход - прежде, чем система будет подключена к сети в режиме эксплуатации, развернуть любую интегрированную программную систему проверки. Если возможно, то прежде, чем система будет подключена какой-либо сети, установите пакет AIDE.<strong>AIDE</strong>является кросс-хостинговой системой обнаружения вторжения (host-based intrusion detection system - HIDS). Она может осуществлять мониторинг и анализ процессов, происходящих внутри самих компьютерных систем.</p>
48
<p>Хороший практический подход - прежде, чем система будет подключена к сети в режиме эксплуатации, развернуть любую интегрированную программную систему проверки. Если возможно, то прежде, чем система будет подключена какой-либо сети, установите пакет AIDE.<strong>AIDE</strong>является кросс-хостинговой системой обнаружения вторжения (host-based intrusion detection system - HIDS). Она может осуществлять мониторинг и анализ процессов, происходящих внутри самих компьютерных систем.</p>
49
<p><strong>Snort</strong>является программой, предназначенной для обнаружения вторжений, которая может выполнять протоколирование на уровне сетевых пакетов и в режиме реального времени делать анализ трафика в IP-сетях.</p>
49
<p><strong>Snort</strong>является программой, предназначенной для обнаружения вторжений, которая может выполнять протоколирование на уровне сетевых пакетов и в режиме реального времени делать анализ трафика в IP-сетях.</p>
50
<h2>№ 20. Защитите файлы, директории и почтовые ящики</h2>
50
<h2>№ 20. Защитите файлы, директории и почтовые ящики</h2>
51
<p>В Linux предлагаются различные варианты защиты против несанкционированного доступа к данным. Использование прав доступа к файлу и методика MAC (Mandatory Access Control - принудительное управление доступом) предотвращают несанкционированный доступ к данным. Однако права доступа, устанавливаемые Linux, бесполезны, если атакующий имеет физический доступ к компьютеру и может перенести жёсткий диск компьютера на другую систему с тем, чтобы скопировать и проанализировать интересующие его данные. Вы можете легко защитить Linux-файлы и дисковые разделы с помощью специальных инструментальных средств.</p>
51
<p>В Linux предлагаются различные варианты защиты против несанкционированного доступа к данным. Использование прав доступа к файлу и методика MAC (Mandatory Access Control - принудительное управление доступом) предотвращают несанкционированный доступ к данным. Однако права доступа, устанавливаемые Linux, бесполезны, если атакующий имеет физический доступ к компьютеру и может перенести жёсткий диск компьютера на другую систему с тем, чтобы скопировать и проанализировать интересующие его данные. Вы можете легко защитить Linux-файлы и дисковые разделы с помощью специальных инструментальных средств.</p>
52
<p><a>Оригинал</a>.</p>
52
<p><a>Оригинал</a>.</p>
53
53