Поскольку подготовка книги к публикации занимает достаточно длительное время, я не могу сообщить последние сведения о методах взлома и борьбе с ними, информацию о недостатках в системе защиты и другие данные. К тому моменту, как книга попадет в руки читателя, они, безусловно, устареют. Поэтому в данной главе были приведены лишь общие сведения о некоторых способах, позволяющих выявить факты взлома, об инструментах, с помощью которых можно контролировать текущее состояние системы, и о действиях, которые необходимо предпринять в случае, если ваш компьютер подвергся атаке. Однако, чтобы успешно осуществлять администрирование системы, вам необходимо быть в курсе последних новостей, связанных с защитой. Существует целый ряд Web- серверов, списков рассылки и групп новостей, содержащих сведения по этим вопросам; ссылки на эти источники приводятся в данном разделе.
Web-узлы, посвященные вопросам защиты
В Internet поддерживаются Web-узлы, информирующие практически обо всех вопросах, связанных с использованием компьютеров, и защита системы не является исключением. Многие Web-узлы предоставляют самую новую информацию по этой теме. Ниже перечислены Web-узлы, содержимое которых должен периодически просматривать каждый системный администратор.
• Web-узел, посвященный используемой версии Linux. Практически для каждого дистрибутивного пакета Linux в Internet создан Web-узел, содержащий информацию о данной версии системы. Немалую часть этой информации составляют вопросы защиты. Как правило, на таких узлах публикуются сведения о вновь обнаруженных недостатках в защите программ и ссылки на версии программ, в которых эти проблемы устранены.
• Web-узел CERT/CC. Computer Emergency Response Team Coordination Center (CERT/CC) — одна из ведущих организаций, занимающаяся проблемами защиты. Web-узел CERT/CC находится по адресу http://www.cert.org.
• Web-узел CIAC. Организация Computer Incident Advisory Capability (CIAC) поддерживает Web-узел, расположенный по адресу http://www.ciac.org/ciac/. На нем публикуются сведения такого же характера, как и на узле CERT/CC.
• Раздел Linux Weekly News, посвященный защите системы. Linux Weekly News (http://lwn.net) — сетевая газета, посвященная использованию Linux. В одном из ее разделов публикуются сведения о способах повышения безопасности различных дистрибутивных пакетов Linux. (URL раздела часто изменяется. Для того, чтобы попасть на соответствующую Web-страницу, надо активизировать ссылку Security на главной странице Linux Weekly News.)
• Web-узел SecurityFocus. На этом узле (http://www.securityfocus.com) публикуются новости о вопросах защиты. Информация на этом сервере представляет собой своеобразный дайджест, составленный на основе данных, представленных на узлах CERT/CC и CIAC.
На перечисленных выше узлах вы найдете сведения о средствах, используемых хакерами, и противодействии различным способам атаки, о выявленных недостатках в защите различных программных продуктов, о дополнительных модулях для различных программ, информацию о вирусах и борьбе с ними, а также другие данные подобного рода. Вам, как системному администратору, следует периодически просматривать содержимое одного-двух из этих узлов (желательно делать это ежедневно или, по крайней мере, раз в неделю).
Списки рассылки и группы новостей, посвященные вопросам защиты
Чтобы получать информацию с Web-узлов, к ним надо периодически обращаться; иногда это не совсем удобно. В качестве альтернативы Web-узлам можно рассматривать списки рассылки и группы новостей. Списки рассылки позволяют передавать новые сведения со скоростью распространения электронных писем. Среди множества списков рассылки существуют и такие, которые посвящены вопросам защиты. Некоторые из списков не позволяют подписчикам передавать сообщения; они представляют собой лишь информационную среду, применяемую для распространения новых сведений. Если вы привыкли регулярно просматривать поступающую почту, подпишитесь на один или несколько списков рассылки. В этом случае новые сведения, касающиеся защиты, будут приходить вам практически сразу же после того, как они поступят в список.
Совет
Если вы хотите просматривать сообщения, касающиеся защиты, как только они окажутся в вашем почтовом ящике, установите фильтр Procmail, настроив его для просмотра сообщений и запуска специальной программы, которая информировала бы вас о новых сообщениях по вопросам защиты. Для привлечения вашего внимания эта программа может отображать диалоговое окно с сообщением или воспроизводить звуковой сигнал.
Группы новостей во многом напоминают списки рассылки. Подобно спискам, они доставляют данные подписчикам. Подписавшись на группы, посвященные защите, вы можете периодически просматривать их и даже написать специальный сценарий, который информировал бы вас о поступлении сообщения, содержащего заданные ключевые слова.
Ниже перечислены списки рассылки и группы новостей, в которых публикуются сведения, имеющие отношение к защите системы Linux.
• Список рассылки CERT/CC. Помимо Web-узла, CERT/CC поддерживает также список рассылки, посвященный вопросам защиты. Для того чтобы подписаться на этот список, надо отправить почтовое сообщение по адресу [email protected], включив в него строку subscribe cert-advisory.
• Список рассылки CIAC. Подобно CERT/CC, CIAC передает материалы, имеющие отношение к защите систем, с помощью списка рассылки. Для того чтобы подписаться на данный список, надо отправить почтовое сообщение по адресу [email protected], включив в него строку subscribe ciac-bulletin.
• Список рассылки Bugtraq. Данный список создан не только для распространения новых материалов, но и для организации дискуссий. Участвуя в этом списке, вы можете получать от других администраторов полезные советы по организации защиты системы. Подписаться на материалы списка можно, направив письмо по адресу [email protected] В тело письма надо включить строку subscribe bugtraq.
• Группы новостей comp.security. В иерархии comp.security существует несколько групп новостей (например, comp.security.unix). Среди них есть группы, посвященные отдельным (даже конкретным) типам продуктов. В качестве примера подобной группы можно привести comp.security.firewalls.
• Группа новостей comp.os.linux.security. Данная группа посвящена вопросам безопасности Linux.
На заметку
Поскольку большинство серверов, выполняющихся в системе Linux, используются также в системах, подобных UNIX, вопросы безопасности Linux на самом деле относятся ко всем версиям UNIX. Поэтому многие группы новостей и списки рассылки, посвященные защите Linux, не ограничиваются рамками данной системы.
Для того чтобы обеспечить безопасность при использовании Linux, надо хорошо знать особенности работы данной системы. Выполняя администрирование, вы должны отключить ненужные серверы, правильно создать учетные записи, рассказать пользователям о недопустимости небрежного обращения с паролями, вовремя установить дополнения, предназначенные для устранения ошибок в программах, и уметь распознавать случаи незаконного проникновения в систему. Поскольку новая информация, имеющая отношение к защите, публикуется практически ежедневно, вам необходимо постоянно пополнять свои знания, просматривая содержимое Web-узлов, посвященных вопросам безопасности, а также материалы списков рассылки и групп новостей. Если вы хорошо знакомы с принципами работы Linux, то, для того, чтобы быть в курсе последних новостей, связанных с защитой, вам потребуется лишь несколько минут в день. Время, потраченное на ознакомление с новыми решениями в области защиты, многократно окупится, если вам удастся сорвать планы злоумышленника по проникновению в вашу систему.
В главах 23, 25 и 26 рассматриваются специальные средства, предназначенные для обеспечения безопасности при использовании Linux.
Глава 23
Создание поддерева chroot
Каждый сервер в процессе работы читает файлы с диска компьютера, некоторые серверы также записывают файлы на локальный диск. Получив контроль над таким сервером, взломщик может изменить конфигурацию программ, обеспечивая себе базу для дальнейшего проникновения в систему. Уменьшить возможности злоумышленника можно, ограничив сферу действий сервера подмножеством файловой системы компьютера. Это подмножество файловой системы называется поддеревом chroot. Если сервер выполняется в пределах такого поддерева, то важные системные файлы будут не доступны для взломщика, даже если он сможет использовать сервер в своих целях.
