Не дожидайтесь грома с неба, а посещайте конференции, форумы, подпишитесь на специальные рассылки по безопасности. Следует также подписаться на рассылки разработчиков тех сервисов, которые используются в вашей системе. Вы должны узнать о потенциальных дырах раньше, чем злоумышленник и успеть обновить систему до попытки взлома.
Как выследить злоумышленника? Для этого нужно провести небольшое расследование. Соберите как можно больше информации о нем, одного IP-адреса будет явно маловато. Если это пользователь другой сети, обратитесь к администратору сети злоумышленника: вместе вы добьетесь большего.
Если злоумышленником является пользователь вашей сети, проверьте, тот ли это IP-адрес, который он постоянно использует при работе в сети. Бывают случаи, когда пользователи используют чужие IP-адреса для такого рода операций, в то время как истинные владельцы этих адресов вообще выключили компьютер и ничего не подозревают о взломе. Используя неэлектронные методы коммуникации, например, поговорив с этим пользователем лично или позвонив к нему по телефону, выясните, работал ли вообще он за компьютером во время взлома и был ли компьютер в это время включен, при этом ничего не говорите ему о взломе. В любом случае, прежде чем обвинить кого-либо во взломе, вы должны быть уверены на все 100%.
Нужно отметить еще один немаловажный факт: если вы думаете, что безопасность вашей сети заключается только в безопасности вашего сервера, вы ошибаетесь. В случае, если ваша сеть не является подсетью Интернет (всем компьютерам сети назначены настоящие IP-адреса), ваша задача упрощается: вам всего лишь нужно установить антивирусы на компьютерах пользователей и регулярно обновлять антивирусные базы, желательно также установить антивирус на почтовом сервере. Если рабочие станции вашей локальной сети используют операционную систему Windows (а в большинстве случаев это так), отключите на шлюзе порты 135…139 и порт 129. Более подробно об этом написано в гл. 17. Также нужно обращать внимание на заплатки к Internet Explorer (только не те, которые будут периодически рассылаться по электронной почте пользователям вашей сети любителями троянских коней). Загружать обновления для IE нужно только с сайта Microsoft. А если вы убедите ваших пользователей использовать Netscape Communicator вместо IE, TheBat! вместо Outlook, вы таким образом избавите себя от периодического посещения сайта Microsoft.
Предположим, что вы являетесь администратором Web или FTP-сервера. В этом случае как можно чаще делайте резервные копии данных пользователей. Если систему в случае сбоя можно будет восстановить в течение 40-60 минут, то с данными пользователей будет сложнее. При этом нужно правильно организовать процесс резервного копирования, чтобы не запутаться в созданных копиях. Чтобы избежать этого, правильно выберите стратегию резервного копирования. Одна из таких стратегий обсуждалась в гл. 4. По возможности используйте массивы RAID — они обеспечивают более высокий уровень надежности. Однако использование RAID не освобождает вас от резервного копирования.
Не спешите обновлять программное обеспечение сервера. Если у вас все прекрасно работает, совсем не обязательно устанавливать самые новые версии программного обеспечения. Обновлять программное обеспечение сервера нужно лишь при возникновении необходимости. Например, в новом пакете исправлены некоторые ошибки предыдущих версий (в данном случае обновление называется патчем) или в новой версии появились необходимые вам новые функции. Помните, что новые версии совсем не обязательно будут работать стабильнее старых, уже проверенных. Старайтесь не использовать нестабильные (со вторым нечетным номером версии) ядра системы. Такие ядра можно установить на домашней машине и, убедившись, что они надежно работают, установить на сервер.
Еще раз отмечу, что системному администратору нужно постоянно повышать свой уровень квалификации. Благо, сейчас проблемам безопасности посвящено много русскоязычных ресурсов. Если у вас что-то не получается настроить или что-то работает не так как вам бы хотелось, обратитесь к документации, документам HOWTO, различным конференциям. На компакт-диске собраны основные документы HOWTO на русском и английском языках.
Успехов!
Приложение А.
Конфигурационные файлы Linux
Практически все конфигурационные файлы ОС Linux находятся в каталоге /etc. У вас могут быть далеко не все файлы и каталоги, представленные в табл. А.1. Наличие тех или иных файлов определяется дистрибутивом и наличием определенных пакетов.
Конфигурационные файлы Таблица А.1
Имя Тип Описание codepages Каталог Содержит различные кодировки CORBA/servers Каталог Здесь расположены серверы CORBA. Обычно эти серверы используются оконной средой Gnome crond* Каталог Содержит сценарии, которые будут выполняться демоном crond по определенному расписанию. Описание определяется в файле /etc/crontab cups Каталог Конфигурационные файлы системы печати CUPS default/useradd Файл Информация по умолчанию для программы useradd DrakConf Каталог Содержит файлы настройки конфигуратора DrakConf emacs Каталог Конфигурационные файлы редактора emacs (настройки по умолчанию) gnome Каталог Конфигурационные файлы приложения оконной среды Gnome gtk Каталог Настройки программ, использующих библиотеку Gtk. Все файлы имеют суффикс, который соответствует коду языка. В зависимости от выбранного языка будет использован один из файлов. В этих файлах, как правило, можно определить кодировку и шрифт для приложения htdig Каталог Конфигурационные файлы системы индексирования (поисковой системы) ht:/Dig httpd Каталог Конфигурационные файлы сервера Apache mail Каталог Конфигурационные файлы программы sendmail openldap Каталог Конфигурационные файлы LDAP pam.d Каталог Параметры модуля аутентификации РАМ postfix Каталог Конфигурационные файлы программы postfix PPP Каталог Конфигурационные файлы демона pppd profile.d Каталог Различные сценарии инициализации rc.d Каталог Сценарии инициализации системы. Данные сценарии выполняются при запуске системы. Уровень выполнения сценариев указывается в файле /etc/inittab skel Каталог Настройки пользователя по умолчанию. При создании нового каталога пользователя содержимое данного каталога будет скопировано в новый каталог ssh Каталог Конфигурационные файлы программы ssh urpmi Каталог Конфигурационные файлы программы urpmi. Эта программа позволяет устанавливать пакеты RPM обыкновенным пользователям. Устанавливаться могут только авторизованные пакеты Х11 Каталог Конфигурационные файлы X Window xinet.d Каталог Дополнительные конфигурационные файлы суперсервера xinetd aliaces Файл Файл псевдонимов системы электронной почты anacrontab Файл Расписание планировщика Anacron at.deny Файл Расписание планировщика at auto.* Файл Файлы конфигурации программы automount (сервис autofs) bashrc Файл Установки интерпретатора bash conf.linuxconf Файл Файл конфигурации конфигуратора linuxconf. В нем определяются модули программы linuxconf crontab Файл Расписание планировщика crond csh.cshrc Файл Конфигурационный файл интерпретатора С Shell csh.login Файл Команды, которые будут выполнены при регистрации в системе пользователя, использующего С Shell exports Файл Экспортируемые файловые системы. Используется сервисом NFS fax.config Файл Установки системы приема и передачи факсов fb.modes Файл Примеры видеорежимов fdprm Файл Параметры дисковода на гибких дисках filesystem Файл Поддерживаемые файловые системы fstab Файл Содержит статическую информацию о файловых системах. Указанные в этом файле файловые системы будут смонтированы при загрузке системы ftpusers Файл Содержит список пользователей, которым запрещена регистрация на сервере FTP gettydefs Файл Настройки терминалов по умолчанию (используются программой getty) gpm-root.conf Файл Файл конфигурации сервера gpm. Сервер gpm обеспечивает поддержку мыши на виртуальных консолях group Файл Информация о группах gshadow Файл Информация о группах при использовании Shadow Passwords host.conf Файл Содержит конфигурационную информацию библиотеки разрешения имени узла сети. В этом файле определяется порядок поиска имен узлов сети hosts Файл Содержит статическую информацию о соответствии имени определенному IP-адресу. Этот файл участвует в процессе разрешения имен hosts.allow Файл Содержит список узлов, которым разрешен доступ к этой машине hosts.deny Файл Содержит список узлов, которым запрещен доступ к этой машине identd.conf Файл Параметры идентификации inetd.conf Файл Файл конфигурации суперсервера inetd inittab Файл Таблица инициализации системы. Используется программой init isapnp.gone Файл Некоторые параметры PnP для устройств ISA issue, issue.net Файл Определяют приветствие при попытке регистрации в системе. Файл issue выводится на консоль при локальной регистрации, а issue.net — при регистрации по сети, например, по протоколу telnet lilo.conf Файл Конфигурационный файл LILO lmhosts Файл Часть пакета Samba. Его назначение аналогично назначению одноименного файла в Windows NT. Другими словами, этот файл предназначен для преобразования имен NetBIOS в IP-адреса login.defs Файл Некоторые дополнительные параметры для программ useradd и groupadd lynx.cfg Файл Настройки по умолчанию браузера lynx mime-magic Файл «Магический» файл MIME-типов mime-types Файл Здесь задаются MIME-типы. Этот файл может использоваться сервером Apache вместо файла apache-mime.types, но его нужно прописать в файле httpd.conf modules.conf Файл Содержит список загружаемых модулей и определяет их параметры motd Файл Сообщение дня (Message of The Day) mtab Файл Содержит информацию о смонтированных в данный момент файловых системах networks Файл Содержит информацию о других сетях passwd Файл Информация об учетных записях пользователей printcap Файл Информация об установленных в системе принтерах proftpd.conf Файл Конфигурационный файл сервера ProFTPD protocols Файл Список поддерживаемых протоколов, согласно стандарта RFC 1340 pwdb Файл Установки библиотеки pwdb quota.conf Файл Информация о квотах sendmail.cf Файл Основной файл конфигурации программы sendmail services Файл Содержит разрешенные Интернет-сервисы. Этот файл отвечает требованиям стандарта RFC 1700 passwd Файл Информация об учетных записях пользователей при включенных теневых паролях (Shadow Passwords) shells Файл Содержит список зарегистрированных в системе интерпретаторов командной строки shutmsg Файл Содержащееся в этом файле сообщение обычно выводится клиентам сервера wu-ftpd при завершении работы сервера smb.conf Файл Основной файл конфигурации пакета Samba termcap Файл Настройки терминалов xinetd.conf Файл Файл конфигурации суперсервера xinetd Каталог /etc/xinet.d
Чтобы уменьшить объем основного файла конфигурации xinetd.conf, суперсервер xinetd использует каталог /etc/xinetd.d. В нем расположены файлы описания сервисов, которые не включены в состав основного файла конфигурации. Желательно, чтобы имя файла совпадало с именем сервиса, но это не является обязательным условием. Суперсервер просто использует содержимое этих файлов параллельно с файлом конфигурации. В этих файлах содержатся директивы, подобно основному файлу xinetd.conf. Если в файле xinetd.conf содержатся описания практически всех сервисов, то в этих содержится, как правило, установки для одного определенного сервиса. Однако никто не мешает вам описать несколько сервисов в одном файле.
