Бруй В.В., Карлов С.В. - Linux-сервер - пошаговые инструкции - инсталляции и настройки (1077321), страница 18
Текст из файла (страница 18)
" -print –xdevили:[root@drwalbr /]# find / -name ".*" -print -xdev | cat -vОбнаружение файлов и каталогов, изменяемых любым пользователемФайлы и каталоги, изменяемые любым пользователем, особенно системные файлы, могут стать брешью в защите, если взломщик программной защиты получит доступ к вашей системе и изменит их. Крометого, общедоступные каталоги опасны, так как они позволяют злоумышленникам добавлять или удалятьфайлы в этих каталогах как им вздумается. Для поиска общедоступных файлов и каталогов выполните:[root@drwalbr /]# find / -type f \( -perm -2 -о -perm -20 \) -exec ls -lg{} \;-rw-rw-r-1 rootutmp92928 Янв 16 18:37 /var/log/wtmp-rw-rw-r-1 rootutmp4224 Янв 16 18:37 /var/run/utmpи:[root@drwalbr /]# find / -type d \( -perm -2 -о -perm -20 \) -exec ls ldg {} \;drwxrwxr-x12 rootman4096 Дек 23 16:23/var/cache/man/X11R6drwxrwxr-x2 rootman4096 Июн 11 2002/var/cache/man/X11R6/cat1drwxrwxr-x2 rootman4096 Июн 11 2002/var/cache/man/X11R6/cat2drwxrwxr-x2 rootman4096 Июн 11 2002/var/cache/man/X11R6/cat3drwxrwxr-x2 rootman4096 Июн 11 2002/var/cache/man/X11R6/cat4drwxrwxr-x2 rootman4096 Июн 11 2002/var/cache/man/X11R6/cat5drwxrwxr-x2 rootman4096 Июн 11 2002/var/cache/man/X11R6/cat6drwxrwxr-x2 rootman4096 Июн 11 2002/var/cache/man/X11R6/cat7drwxrwxr-x2 rootman4096 Июн 11 2002/var/cache/man/X11R6/cat8drwxrwxr-x2 rootman4096 Июн 11 2002/var/cache/man/X11R6/cat9drwxrwxr-x2 rootman4096 Июн 11 2002/var/cache/man/X11R6/catndrwxrwxr-x2 rootman4096 Июн 11 2002/var/cache/man/cat1drwxrwxr-x2 rootman4096 Июн 11 2002/var/cache/man/cat2drwxrwxr-x2 rootman4096 Июн 11 2002/var/cache/man/cat3drwxrwxr-x2 rootman4096 Июн 11 2002/var/cache/man/cat452Часть 1.
Инсталляция операционной системы Linux на сервереdrwxrwxr-x2 rootman/var/cache/man/cat5drwxrwxr-x2 rootman/var/cache/man/cat6drwxrwxr-x2 rootman/var/cache/man/cat7drwxrwxr-x2 rootman/var/cache/man/cat8drwxrwxr-x2 rootman/var/cache/man/cat9drwxrwxr-x2 rootman/var/cache/man/catndrwxrwxr-x12 rootman/var/cache/man/localdrwxrwxr-x2 rootman/var/cache/man/local/cat1drwxrwxr-x2 rootman/var/cache/man/local/cat2drwxrwxr-x2 rootman/var/cache/man/local/cat3drwxrwxr-x2 rootman/var/cache/man/local/cat4drwxrwxr-x2 rootman/var/cache/man/local/cat5drwxrwxr-x2 rootman/var/cache/man/local/cat6drwxrwxr-x2 rootman/var/cache/man/local/cat7drwxrwxr-x2 rootman/var/cache/man/local/cat8drwxrwxr-x2 rootman/var/cache/man/local/cat9drwxrwxr-x2 rootman/var/cache/man/local/catndrwxrwxr-x3 rootlockdrwxrwxr-x2 rootroot/var/run/netreportdrwxrwxr-x2 rootmaildrwxrwxrwt2 rootrootdrwxrwxrwt4 rootrootdrwxrwxrwt2 rootroot4096 Июн 1120024096 Июн 1120024096 Июн 1120024096 Июн 1120024096 Июн 1120024096 Июн 1120024096 Дек 23 16:234096 Июн 1120024096 Июн 1120024096 Июн 1120024096 Июн 1120024096 Июн 1120024096 Июн 1120024096 Июн 1120024096 Июн 1120024096 Июн 1120024096 Июн 1120024096 Янв 16 18:37 /var/lock4096 Июл 11 20024096409640960ЯнвДекЯнвЯнв1623161618:3716:2318:3718:31/var/spool/mail/var/tmp/tmp/dev/shmДля поиска общедоступных файлов и каталогов можно также воспользоваться и программойtripwire.Файлы без владельцевНе допускайте наличия в системе любых файлов, не имеющих владельцев, кроме находящихся в каталоге /dev.
Появление таких файлов может также служить сигналом, что злоумышленник проник в систему. Если найден файл или каталог, не имеющий владельца, проверьте целостность системы, и если все нормально, задайте имя владельца. Иногда после удаления программы могут появиться файлы или каталоги,связанные с ней и не имеющие владельцев. В этом случае их можно просто удалить.Для поиска файлов и каталогов без владельцев выполните:[root@drwalbr /]# find / -nouser -o -nogroupПоиск файлов .rhostsПоиск всех существующих .rhosts файлов на сервере должен стать частью вашей обычной работыпо администрированию системы.
Наличие этих файлов недопустимо, т:к они могут использоваться для получения несанкционированного доступа к вашей системе.Для поиска файлов .rhosts выполните:[root@drwalbr /]# find /home -name .rhostsВ случае обнаружения таких файлов их нужно уничтожить.53Глава 3. Общие мероприятия по обеспечению безопасности сервераКопии файлов регистрации на жестких носителях и удаленных системахОдним из самых важных принципов безопасности является обеспечение целостности различных файлов регистрации в каталоге сервера /var/log. Критически важные сообщения могут быть также выведенына принтер с использованием программы syslog. Взломщик может изменить файлы, программы и т. д.
навашем сервере, но ничего не сможет сделать с реальными бумажными копиями.Для распечатки на принтере, подключенном к вашей системе, всех telnet-соединений, почтовых сообщений, сообщений начальной загрузки и ssh-соединений сделайте следующее.Шаг 1На вашей системе добавьте в конец файла /etc/syslog.conf строку:authpriv.*;mail.*;local7.*; auth.*;daemon.info /dev/lp0Шаг 2Перезапустите службу syslog:[root@drwalbr /]# /etc/init.d/syslog restartОстанавливается служба журналирования ядра:Останавливается служба журналирования системы:Запускается служба журналирования системы:Запускается служба журналирования ядра:[ОК][ОК][ОК][ОК]Для распечатки на принтере, подключенном к удаленной системе, всех telnet-соединений, почтовыхсообщений, сообщений начальной загрузки и ssh-соединений сделайте следующее.Шаг 1Добавьте в конец файла /etc/syslog.conf на удаленной системе строку:authpriv.*;mail.*;local7.*;auth.*;daemon.info /dev/lp0Если в вашей сети нет принтера, скопируйте регистрационные файлы на другую машину.
Для этогоне выполняйте первый шаг, а переходите сразу ко второму.Шаг 2Для включения возможности получения по сети сообщений от других систем, на удаленной системе вфайле /etc/rc.d/init.d/syslog замените строку:SYSLOGD_OPTIONS="-m 0"на:SYSLOGD_OPTIONS="-r -m 0"Шаг 3Перезапустите службу syslog на удаленной системе:[root@mail /]# etc/init.d/syslog restartОстанавливается служба журналирования ядра:Останавливается служба журналирования системы:Запускается служба журналирования системы:Запускается служба журналирования ядра:[ОК][ОК][ОК][ОК]Шаг 4Отредактируйте файл /etc/syslog.conf на локальной системе и добавьте в конец этого файласледующую строку:authpriv.*;mail.*;local7.*;auth.*;daemon.info NameRemouteHostВместо NameRemouteHost используйте имя удаленной системы, на которую осуществляется копирование файлов регистрации.Шаг 5Перезапустите службу syslog на локальной системе:[root@mail /]# etc/init.d/syslog restartОстанавливается служба журналирования ядра:Останавливается служба журналирования системы:Запускается служба журналирования системы:Запускается служба журналирования ядра:[ОК][ОК][ОК][ОК]54Часть 1.
Инсталляция операционной системы Linux на сервереУдаление страниц руководстваСтраницы руководства, также известные как man-страницы – это сжатые файлы, расположенные в каталоге /usr/share/man системы. Файлы документации очень полезны для получения быстрой информации о работе различных служб, программ, команд и синтаксисе различных конфигурационных файлов. Этифайлы читаются man-программой. Их место– на рабочей станции администратора сервера. Авторы рекомендуют удалить страницы руководства и программы, необходимые для их просмотра, c целью увеличенияобъема свободного места на дисках и некоторого увеличения безопасности системы.Шаг 1Удалите программу man:[root@drwalbr /]# rpm -e manШаг 2Удалите программу groff, используемую программой man для форматирования страниц:[root@drwalbr /]# rpm -e groffШаг 3Удалите файлы архивов, содержащие страницы руководства:[root@drwalbr /]# cd /usr/share/man/[root@drwalbr man]# rm -f man*/*.gzЗАМЕЧАНИЕ В дальнейшем инсталляцию и обновление rpm-пакетов нужно осуществлять с использованием опции -excludedocs.
При этом страницы руководства не устанавливаются.Глава 4. Дополнительные модули аутентификацииГлава 4Дополнительные модули аутентификацииВ этой главе:1. Допустимая минимальная длина пароля2. Таблица управления доступом входа в систему3. Удаление из системы ненужных привилегированных пользователей4. Наложение ограничений на ресурсы, выделяемые пользователям системы5. Управление временем доступа к службам6. Ограничение использования команды su root7.
Использование команды sudo вместо su для регистрации в качестве суперпользователя5556Часть 1. Инсталляция операционной системы Linux на сервереДополнительные модули аутентификации (РАМ – Pluggable Authentication Modules) включают динамические библиотеки, которые дают администраторам возможность выбора методов подтверждения подлинности пользователей.PАМ разрешает применение различных опознавательных схем. Это достигается использованием библиотеки функций, которую используют приложения для идентификации пользователей.
SSH, POP, IMAP ит. д. – приложения, использующие спецификацию PAM. Для них может быть изменен метод ввода пароля,например, не с консоли, а с голоса или по отпечаткам пальцев, путем изменения РАМ-модулей без необходимости перезаписи самих кодов приложений.Конфигурационные файлы модулей PAM расположены в каталоге /etc/pam.d, а сами модули (динамические библиотеки) расположены в каталоге /lib/security. Каталог /etc/pam.d содержит файлы, названные в соответствии с использующими их приложениями, например, SSH, POP, IMAP и т. д., указывающие на заданный по умолчанию конфигурационный файл other.В этой главе будут рассмотрены некоторые настройки PAM, улучшающие безопасность системы.Допустимая минимальная длина пароляДлина пароля при использовании настройки PAM управляется пятью параметрами: minlen,dcredit, ucredit, lcredit и ocredit.Параметр minlen=N определяет допустимое минимальное количество символов в новом пароле.Допустимое минимальное количество символов в пароле уменьшается на величину, равную значениюпараметров:• dcredit - используемой в пароле цифры;• ucredit - для каждого используемого в пароле символа в верхнем регистре;• lcredit - для каждого используемого в пароле символа в нижнем регистре;• ocredit - для каждого используемого в пароле специального символа.Значения параметров dcredit, ucredit, lcredit и ocredit равны единице.Для задания приемлемого минимального количества символов длины пароля, например, равного 12, вфайле /etc/pam.d/system-auth раскомментируйте строку:#passwordrequired/lib/security/pam_cracklib.so retry=3и добавьте параметр minlen=12:password required /lib/security/pam_cracklib.so retry=3 minlen=12Теперь попробуем установить пароль из девяти символов – Wsvhl_Faz.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
