Рубрика 'Дополнительная настройка' Category
Для того чтобы еще более защитить вашу систему, вы можете запретить работу ненужных вам служб. Обычно запрещают работу rlogln и finger. Вы можете запретить службу, закомментировав соответствующую ей строку в файле /etc/ Inetd.conf. Для дальнейшего улучшения защиты системы установите tepd и произведите настройку в файлах /etc/hosts.allow и /etc/hosts.deny.
SUID — это способ предоставления прав программе, при котором она выполняется с такими же правами, как если бы была запущена своим владельцем. Классическим примером является программа passwd: каждый пользователь должен иметь возможность изменить свой собственный пароль, но файл /etc/passwd доступен на запись только пользователю root. Использование SUID позволяет программе passwd редактировать файл паролей вне зависимости от того, кто ее запустил, поскольку она исполняется с правами пользователя root. SGID работает точно так же, только программа получает права группы, которой она принадлежит.
Вы можете определить, используется ли для программы SUID или SGID, при помощи команды Is -1. Для SUID или SGID программы право на исполнение будет обозначаться буквой s вместо буквы х.
Если программа использует SUJD root и может запустить интерпретатор командной строю! (например, можно Запустить интерпретатор командной строки из редактора v1), то возникает «дыра» в системе безопасности, поскольку запущенный интерпретатор командной строки будет иметь права пользователя root.
Большинство утилит для проверки защищенности системы проверяют систему на наличие SUID/SIGD, но хорошей идеей является создать список SUID/ SGID-программ в системе немедленно после установки операционной системы и периодически создавать такой список заново, сравнивая его с исходным. Для того чтобы найти все программы с установленным битом SUID /SGID и сохранить их список в файле 1n1tsu1d в каталоге /root, используйте команду # find / -perm -2000 -о -perm -4000 -print > /root/lmtsuld
Описанные ниже утилиты могут использоваться для проверки того, что пароли пользователей достаточно сложны для того, чтобы быть угаданными или подобранными при помощи перебора. Использование этих утилит должно дополнять хорошую политик}' в отношении паролей. Если пользователь может установить для себя легко угадываемый пароль и утилита проверки не будет запущена несколько дней или недель, то безопасность вашего сервера окажется под вопросом.
crack
Программа crack пытается расшифровать стандартные шифрованные пароли UNIX при помощи стандартных алгоритмов угадывания. Эта утилита проверяет все пароли из файла passwd вашей системы с целью определить, какие из них могут быть легко подобраны. Поскольку работа программы вызывает заметную нагрузку на процессор, ее лучше всего запускать автоматически в то время, когда система не загружена. Версию 5.0 и дополнительную информацию вы найдете по адресам ftp://ftp.cert.org/pub/too1s/crack и ftp://coast.cs.purdue.edu/pub/too1s/ unlx/crack/.
obvious-pw
Эта программа предназначена для угадывания очевидных паролей. Она рассматривает пароли, состоящие из 3-буквенных сегментов, и сравнивает вероятность появления каждого сегмента с известными вероятностями 3-буквенных сегментов в английском языке. Дополнительную информацию вы найдете по адресам ftp://1sgate.1s/pub/un1x/sec7/obv1ous-pw.tar.Z и http://ciac.11n1 .gov/dac/Tools UnixAuth. htm1#0bv1ous.
Устройством резервного копирования может служить как гибкий диск, так и устройство с механизмом автоматической смены лент, позволяющее хранить гигабайты данных. В следующей разделе кратко описывают различные существующие устройства резервного копирования.
Гибкие диски
Не используйте гибкие диски для резервного копирования. Их объем слишком мал и они неэффективны. Гибкие диски хороши для аварийной загрузки системы или для обмена небольшими файлами, когда слишком трудно использовать сеть.
Монтирование гибких дисков в Solaris
В Solaris 2 вы можете использовать для монтирования гибких дисков команду vol check. После успешного выполнения этой команды гибкий диск будет доступен в каталоге /floppy, под своим собственным объемом, или же в каталоге /floppyO.
Монтирование гибких дисков в Linux
Для того чтобы смонтировать гибкий диск в Linux, используйте команду mount. В следующем примере гибкий диск в DOS-формате монтируется в каталог /mnt/f loppy.
mount -t msdos /dev/fdO /rant/floppy
Для того чтобы размонтировать диск, используйте команду umount.
Монтирование гибких дисков в FreeBSD/NetBSD
Вы можете использовать команды mount и umount для работы с гибкими дисками в формате UNIX.
Использование гибких дисков при помощи mtools
Для того чтобы работать с гибкими дисками в DOS-формате, вы можете использовать набор программ mtools. Названия команд, предоставляемых пакетом mtools, соответствуют названиям аналогичных по назначению команд DOS, но имеют префикс т, например, med, пкНг, тсору или mtype.
Набор программ mtools входит в состав операционных систем Linux и FreeBSD/NetBSD; версия для Solaris может быть загружена по адресу http:// sunfreeware.com/.
Ленточные устройства, подключаемые к контроллеру гибких дисков, широко распространены и дешевы, но недостаточно надежны для ежедневного использования. Вы можете найти их полезными для того, чтобы иногда произвести резервное копирование рабочих станций. Такие устройства не поддерживаются Solaris, и поддержка их Linux/FreeBSD/NetBSD весьма ограничена.
Второй жесткий диск в системе может быть использован для резервного копирования сервера при помощи способа, подобного зеркалированню дисков. Например, для проведения резервного копирования Linux-сервера на второй жесткий диск вы можете сделать следующее:
1. При помощи программы fdlsk разбейте второй жесткий диск на разделы так же, как разбит первый.
2. Выполните команду mke2fs -с /dev/hdbN (где N — номер раздела) для каждого созданного раздела.
3. Смонтируйте новые файловые системы в каталог /mnt. Например, вы можете использовать команду mount /dev/hdbN /mnt/tmpN.
4. Используйте команду cpio для того, чтобы скопировать файлы на смонтированные разделы, например, так: find . -mount | cpio -pvum /mnt/trapN.
Solaris предлагает несколько возможностей резервного копирования, специфичных для этой операционной системы. Для резервного копирования целой файловой системы может быть использована утилита uf sdump, а для восстановления информации из архива — утилита ufsrestore.
ufsdump
Для того чтобы сделать резервную копию (полную или частичную) целой файловой системы, используйте утилиту ufsdump.
Многие системные администраторы могут обеспечивать безопасность данных на своих системах при помощи тщательно обдуманных последовательностей UNIX-команд, вызываемых сгоп. Однако если этот процесс становится слишком громоздким, вам поможет множество программных пакетов, призванных упростить резервное копирование.
Taper представляет собой графический интерфейс для резервного копирования и восстановления данных, входящий в состав Red Hat Linux. Чтобы запустить его из командной строки, введите
taper -T устройство тип параметры
В качестве устройства используйте, например, -Т f для ленточного устройства, подключаемого к контроллеру гибких дисков (/dev/ftape), и -Т s для ленточного SCSI-устройства (/dev/sda).
UNIX-демон сгоп используется для автоматического периодического выполнения заранее запланированных пользователем заданий. Для выполнения задания сгоп читает соответствующий файл (так называемый файл crontab), содержащий список команд, которые должны быть выполнены. Каждая строка в файле crontab представляет собой отдельную запись. Каждая запись имеет шесть полей:
О Первое поле задает, в какую минуту часа задание должно быть запущено на выполнение. Допустимые значения — от 0 до 59.
О Второе поле залает, в какой час дня задание должно быть запущено на выполнение. Допустимые значения — от 0 до 23.
О Третье поле задает, в какой день месяца задание должно быть запущено на выполнение. Допустимые значения — от 1 до 31.
О Четвертое поле задает, в какой месяц года задание должно быть запущено на выполнение. Допустимые значения — от 1 до 12 (1 — это январь).
О Пятое поле задает, в какой день недели задание должно быть запущено на выполнение. Допустимые значения — от 0 до 7 (воскресенье — это 0 или 7).
О Шестое поле залает команду, которая должна быть выполнена.
Файл crontab для данного пользователя может быть просмотрен этим пользователем при помощи команды crontab -l.