Бруй В.В., Карлов С.В. - Linux-сервер - пошаговые инструкции - инсталляции и настройки (1077321), страница 15
Текст из файла (страница 15)
Это предотвратит попытки сторонних лиц загрузить систему, используя специальный загрузочный диск или изменить настройки BIOS (например, разрешить начальную загрузку диска или загрузку сервера без ввода пароля). Обратите внимание, что существует принципиальнаявозможность обойти эту меру защиты, получив физический доступ к серверу. Поэтому авторы настоятельнорекомендуют ограничить доступ как в помещение, где расположен сервер, так и внутрь его корпуса.Отключение сервера от сетиИзменение настроек безопасности сервера не рекомендуется проводить на работающей в сети системе.
Для остановки всех сетевых интерфейсов системы (программного отключения) выполните:[root@drwalbr /]# /etc/init.d/network stopДеактивируется интерфейс eth0:[OK]Деактивируется интерфейс eth1:[OK]Для запуска всех сетевых интерфейсов системы выполните:[root@drwalbr /]# /etc/init.d/network startУстанавливаются параметры сети:[OK]Активизируется интерфейс lo:[OK]Активизируется интерфейс eth0:[OK]Активизируется интерфейс eth1:[OK]Для остановки и запуска только одного сетевого интерфейса, выполните, соответственно:[root@drwalbr /]# ifdown eth0[root@drwalbr /]# ifup eth0Концепция безопасностиВажно подчеркнуть, что нельзя успешно осуществлять действия, направленные на повышение безопасности, без четкого представления, чего вы хотите добиться и от чего должны быть защищены. Необходимо выработать концепцию безопасности, т.
е. перечень организационно-технических мероприятий, которые обеспечат разумный компромисс между функциональностью системы и уровнем ее безопасности. Любая концепция безопасности должна основываться на некоторой степени недоверия к людям, как внутри, таки за пределами вашей организации.Выбор правильного пароляОтправная точка возведения здания безопасности сервера – пароль.
Много людей сохраняют своюценную информацию и файлы на компьютере. Единственной вещью, защищающей ее от постороннего внимания, является строка из нескольких символов, называемая паролем. В отличие от общераспространенногомнения, не существует паролей, которые нельзя было бы расшифровать. В действительности все пароли могут быть получены методами «социальной инженерии» или простым последовательным перебором.Социальная разработка паролей сервера – самый простой и самый популярный способ получениядоступа к учетным записям и серверам.
Человеческий фактор еще никто не отменял. Часто знание такихпростых вещей, как названия компаний, действующих или временных должностей пользователей, даты известных событий и др. приводят к потрясающим результатам.Было бы неплохо запускать взломщика пароля на вашей системе каждую неделю. Он поможет в поиске и замене паролей, которые легко могут быть раскрыты. Также необходим механизм, проверяющий пароли с целью недопущения ненадежных паролей при выборе пользователями начальных паролей или изменении старых.
Символьные строки, которые являются обычными словами или набранные в одном регистре,не содержащие чисел или специальных символов, не должны приниматься в качестве нового пароля.Авторы рекомендуют следующие правила выбора паролей:• пароль должен состоять, по крайней мере, из восьми символов, включая, одну цифру или специальный символ;42Часть 1.
Инсталляция операционной системы Linux на сервере• пароль не должен быть тривиальным, т. е. чтобы его нельзя было предсказать, используя общедоступную информацию о пользователях (фамилии, адреса, памятные даты, телефоны и др. информация личного характера);• пароль должен иметь ограниченный срок действия, по истечении которого должен быть выбран новый;• пароль должен блокироваться после нескольких (двух…трех попыток) его неправильного ввода.Учетная запись суперпользователя rootУчетная запись root – самая привилегированная учетная запись на Unix-системе.
Она не имеет никаких ограничений по безопасности. Поэтому очень просто, допустив ошибку в наборе команды, удалитькритически важные системные файлы. При использовании этой учетной записи важно быть очень осторожным и внимательным.Часто администраторы, зарегистрировавшись в качестве суперпользователя root, забывают выйти изсистемы после окончания работы. Поэтому желательно использовать автоматическое завершение сеансаоболочки bash после бездействия консоли в течение определенного периода времени.Шаг 1Установите специальную переменную, названную TMOUT, равную интервалу времени в секундах, поистечении которого при отсутствии ввода с клавиатуры произойдет выход из системы. Для этого в файле/etc/profile добавьте следующую строку где-нибудь после строки, начинающейся с HISTSIZE =:HOSTNAME= ' /bin/hostname 'HISTSIZE=1000TMOUT=3600Значение, присвоенное переменной TMOUT = , выражено в секундах и составляет 1 час((60*60)*1=3600*1=3600 с).ЗАМЕЧАНИЕ Если вышеупомянутая строка вставлена в файл /etc/profile, то через 1 час произойдет автоматическое завершение сеансов всех пользователей системы.
Если вы желаете установить для разных пользователей различные значения TMOUT то строка TMOUT=… должна быть добавлена в файл .bashrc ,находящийся в домашнем каталоге пользователя.Шаг 2В файле /etc/profile в строкe:export PATH USER LOGNAME MAIL HOSTNAME HISTSIZE INPUTRCдобавьте параметр TMOUT:export PATH USER LOGNAME MAIL HOSTNAME HISTSIZE TMOUT INPUTRCДля вступления изменений в силу завершите сеанс и зарегистрируйтесь в системе как суперпользователь root.История оболочки командного интерпретатораДля облегчения ввода повторяющихся команд, командный интерпретатор сохраняет до 1000 команд вфайле ~/.bash_history (где " ~/ " является вашим домашним каталогом). Пользователь может вместоповторного набора команды с помощью клавиш <Стрелка вверх> и <Стрелка вниз> вывести ранее набранную команду в командную строку и исполнить ее нажатием клавиши <Enter>.
Некоторые команды могутзапрашивать пароль. В результате ошибочных действий пользователя этот пароль может быть введен в командную строку и, следовательно, сохраниться в файле .bash_history. Сокращение числа запоминаемых команд уменьшает вероятность сохранения в этом файле паролей, ошибочно введенных открытым текстом в командную строку. Для этого выполните некоторые действия.Шаг 1Значение параметра HISTSIZE в файле /etc/profile определяет число сохраняемых старых команд в файле .bash_history для всех пользователей системы.
Для всех учетных записей мы рекомендовали бы устанавливать значение параметра HISTSIZE в файле /etc/profile не более 10.Для этого в файле /etc/profile измените:HISTSIZE=1000на:HISTSIZE=10Шаг 2Глава 3. Общие мероприятия по обеспечению безопасности сервера43Для того, чтобы файл .bash_history уничтожался при каждом выходе пользователя из системы, вфайл /etc/profile после строки, в которой устанавливается значение параметра HISTSIZE, добавьтестроку:HISTSIZE=10HISTFILESIZE=0Шаг 3В файле /etc/profile в строке:export PATH USER LOGNAME MAIL HOSTNAME HISTSIZE TMOUT INPUTRCдобавьте параметр HISTFILESIZE:export PATH USER LOGNAME MAIL HOSTNAME HISTSIZE HISTFILESIZB TMOUTINPUTRCДля вступления изменений в силу завершите сеанс и зарегистрируйтесь в системе как суперпользователь root.Однопользовательский режим входа в системуПри использовании загрузчика LILO имеется возможность входа в однопользовательский режим. Этодостигается путем ввода при загрузке LILO команды:LILO: linux singleПри этом вы регистрируетесь в системе как суперпользователь root без ввода пароля.
Для того, чтобы система запрашивала пароль при входе в однопользовательский режим необходимо выполнить некоторые действия.Шаг 1В файле /etc/inittab измените строку:id:3:initdefault:на:id:3:initdefault:~~:S:wait:/sbin/suloginДобавление этой строки потребует ввода пароля root перед продолжением загрузки в однопользовательском режиме (программа init инициализирует выполнение программы sulogin перед входом в оболочку).Шаг 2Для того, чтобы сделанные изменения вступили в силу, выполните:[root@drwalbr /]# /sbin/init qОтключение возможности выключения системы с помощью комбинации клавиш<Ctrl>+<Alt>+<Delete>Для отключения возможности выключения (перезагрузки) системы с помощью комбинации клавиш<Ctrl>+<Alt>+<Delete> в файле /etc/inittab удалите (закомментируйте) строку:ca::ctrlaltdel:/sbin/shutdown -t3 -r nowт.
е.:#ca::ctrlaltdel:/shin/shutdown-t3-r nowШаг 2Для того, чтобы сделанные изменения вступили в силу, выполните:[root@drwalbr /]# /sbin/init qОграничение заданного по умолчанию числа запущенных виртуальных консолейttysПо умолчанию в ASPLinux допускается одновременный запуск шести виртуальных консолей в стандартных выполняемых уровнях. На сервере с высоким уровнем безопасности следует ограничиться двумявиртуальными консолями и заодно сэкономить некоторые ресурсы, которые могут быть задействованы длявыполнения других процессов.Шаг 1В файле /etc/inittab удалите (закомментируйте) следующие строки:1:2345: respawn: /sbin/mingetty ttyl44Часть 1. Инсталляция операционной системы Linux на сервере2:2345: respawn: /sbin/mingetty tty23:2345: respawn: /sbin/mingetty tty34:2345: respawn: /sbin/mingetty tty45:2345: respawn: /sbin/mingetty tty56:2345: respawn: /sbin/mingetty tty6т.
е.:1:2345: respawn: /sbin/mingetty ttyl2:2345: respawn: /sbin/mingetty tty2#3:2345: respawn: /sbin/mingetty tty3#4:2345: respawn: /sbin/mingetty tty4#5:2345: respawn: /sbin/mingetty tty5#6:2345: respawn: /sbin/mingetty tty6Шаг 2Для того, чтобы сделанные изменения вступили в силу, выполните:[root@drwalbr /]# /sbin/init qLILO и файл /etc/lilo.confЕсли вы используетесь LILO в качестве загрузчика операционной системы, то для обеспечения безопасности системы необходимо установить ряд параметров загрузчика в файле /etc/lilo.conf.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
