Анализ операционной системы МСВС на предмет наличия уязвимостей

Выявленные уязвимости ОС МСВС различаются по характеру проявления и причинам возникновения, что определяет различные способы, применяемые для их устранения.

Поскольку для наиболее полного устранения уязвимости необходимо в первую очередь ликвидировать причину ее появления, то выбор способов и средств устранения должен быть основан именно на сведениях о причинах возникновения той или иной уязвимости. Далее приведены основные способы устранения выявленных уязвимостей, их описания и возможная область применения.

4.1 Применение аппаратных средств защиты

Средства защиты ОС МСВС имеют только программную реализацию, и поэтому для начала их функционирования необходимо в первую очередь загрузить и инициализировать хотя бы базовые компоненты ядра и подсистемы безопасности. Этап начальной загрузки характеризуется тем, что средства защиты ОС еще не запущены, поэтому существует возможность нанесения вреда, как самой ОС (изменение системных файлов, или конфигурации), так и получения доступа к защищённой информации, её модификации или уничтожению.

Таким образом, из вышесказанного можно сделать следующие выводы:

Чисто программные комплексы не обеспечивают защиту от НСД.

Для создания устойчивой и в то же время гибкой системы защиты от НСД следует применять программно-аппаратные комплексы.

Для обеспечения "чистоты операционной среды" необходим контроль сохранности файлов ОС до момента выполнения любых участков кода, записанных на переписываемых носителях.

Существует специальные аппаратные средства (или программно-аппаратные средства), управляющая программа которых неизменна и записана в постоянное запоминающее устройство, которые контролируют процесс загрузки операционной системы до того момента, пока не будут активизированы ее собственные средства защиты информации.

Частично такие функции выполняет BIOS, которая первой получает управление при включении питания или перезагрузке компьютера. Программа BIOS имеет возможность защиты заданных настроек паролем, но эта защита нестойкая, поскольку пароль вместе с другими параметрами настройки хранится в энергозависимой микросхеме КМОП ОЗУ. При сбое в системе питания или намеренного его отключении, все параметры, включая пароль, стираются. На данный момент, существует множество программ, которые позволяют считывать и изменять информацию, записанную в КМОП ОЗУ.

В связи с этим, для обеспечения безопасности используют средства, гарантирующие чистоту операционной среды и позволяющие осуществлять защиту от НСД к информации при включении компьютера. Они гарантируют неизменность операционной среды в момент включения компьютера, по отношению к состоянию ПО в момент установки средств защиты, методом проверки имитозащитной приставки при каждой загрузке компьютера.

Эти средства осуществляют защиту от НСД к информации, записанной на жесткий диск компьютера. Идентификация и/или аутентификация пользователя происходит, путем запроса пароля, вводимого с клавиатуры, а также подключения элемента Touch Memory (TM), с которого считывается ключевая информация (КИ). После считывания КИ программа, записанная в ПЗУ, осуществляет проверку целостности файлов. В случае положительного результата проверки происходит загрузка операционной системы. Иначе повторно запрашивается пароль. Для блокирования доступа к информации о пароле при включенном компьютере программное обеспечение, находящееся на плате, исчезает из адресного пространства компьютера и не может быть считано никакими программными средствами. Загрузка компьютера при отсутствии адаптера или при неисправном адаптере блокируется.

Алгоритм проверки целостности программного обеспечения основан на современных алгоритмах генерации имитозащитной приставки, что обеспечивает достаточное качество проверки. Ключевыми элементами являются пароль пользователя, пароль установки, а также содержимое TM.

Также, используются средства позволяющие принудительно отключать питание накопителей на гибких магнитных дисках и компакт-дисках во время загрузки операционной системы.

4.2 Удаление компонентов операционной системы

В дистрибутив разработчики включают большое количество компонентов “на все случаи жизни”, стремясь удовлетворить большинство запросов пользователей. Но в то же время для выполнения повседневной работы конкретному пользователю требуется вполне определенный набор функциональных возможностей, которые обеспечиваются ограниченным количеством компонентов системы.

Поскольку каждый из компонентов является программой, которая может потенциально содержать ошибки, “черные ходы”, уязвимости и т.п., то наличие в операционной системе дополнительных подсистем, не используемых в работе, создает серьезную угрозу безопасности и надежности.

информационный система уязвимость брандмауэр

4.3 Настройка компонентов и подсистем

После исключения неиспользуемых компонентов в системе остается то, что необходимо для работы и поэтому не может быть удалено. В зависимости от конкретных условий и требований по безопасности и защищенности, оставшийся набор компонентов и подсистем может удовлетворять этим требованиям либо полностью, либо частично. В первом случае никаких дополнительных действий производить не нужно, а во втором случае необходимо принимать дальнейшие меры по адаптации системы к заданным условиям.

Одной из таких мер является настройка и установка режимов функционирования оставшихся компонентов и подсистем. Связано это с тем, что операционная система ОС МСВС разрабатывалась с учетом довольно жестких требований по безопасности, но все они в большинстве случаев на практике не используются. Как правило, в каждом конкретном случае руководство и системные администраторы определяют некоторый минимальные уровень безопасности, который требуется обязательно обеспечивать. Такой подход определяется жизненными реалиями, необходимостью искать компромисс между защищенностью и удобством работы. Система может быть очень хорошо защищена, но работать с ней в таком случае будет крайне затруднительно, пользователю придется менять привычный ход дел, выполнять целый ряд условий, а это снижает производительность труда.

По умолчанию при установке операционной системы задается самый небезопасный режим работы ее компонентов и подсистем, который, однако, обеспечивает максимальную совместимость с существующим программным обеспечением и наибольшее удобство работы с системой.

4.4 Использование специального программного обеспечения

Хотя ОС МСВС обладает достаточно большим набором средств защиты информации, в некоторых случаях и их может оказаться недостаточно. Такая ситуация обычно возникает при работе с чрезвычайно важной информацией, при использовании специфических процедур ее хранения и обработки и в некоторых других случаях. При этом не удается обеспечить требуемый уровень безопасности путем устранения уязвимостей способами, рассмотренными ранее, поэтому приходится использовать дополнительное программное обеспечение, расширяющее возможности операционной системы и устраняющее оставшиеся недостатки.

5. Разработка методов и средств проверки качества устранения уязвимостей

5.1 Классификация систем мониторинга и защиты

Современные сетевые технологии уже не могут обойтись без механизмов защиты инфорамции. Необходимость в их присутствии в операционных системах уже ни у кого не вызывает сомнения.

Имеются несколько основных категорий инструментальных средств защиты:

Хост-сканеры (исследуют уязвимости локальной системы).

Сетевые сканеры (предназначены для изучения открытых сетевых сервисов).

Сканеры вторжения (данные пакеты программ идентифицируют уязвимость, и в некоторых случаях позволяют активно пробовать атаковать систему).

Firewall-сканеры (выполняют просмотр firewalls и другие тесты проникновения).

Exploits (я не буду рассматривать эксплойты (их сотни, если не тысячи)).

Ранее средствам автоматизированного контроля безопасности были присущи следующие недостатки:

системозависимость - обычно они рассчитаны на вполне конкретную ОС или даже ее версию;

ненадежность и неадекватность - если эти программы сообщают, что все Оk, это совсем не значит, что так на самом деле и есть; и наоборот - некая "уязвимость", с их точки зрения, может оказаться специальным вариантом конфигурации системы;

малое время жизни - т.к. с момента обнаружения уязвимости до ее искоренения проходит не очень большое время, программа быстро устаревает;

неактуальность - более того, с момента выхода программы в свет все новые (поэтому самые опасные) уязвимости оказываются неизвестными для нее, и ее ценность быстро сводится к нулю. Этот недостаток является самым серьезным.

На сегодняшний день ситуация кординально изменилась. На рынке данных программных средств появилась тенденция к объединению и интеграции в одном программном продукте всех категорий инструментальных средств контроля безопасности операционной системы.

При детальном анализе ранее реализованных защитных механизмов мы можем придти к двум основным вопросам.

Первый - "Насколько эффективно реализованы и настроены имеющиеся механизмы?". Это очень серьезная проблема. Информация об уязвимостях в других аппаратных и программных средствах постоянно публикуется в различных списках рассылки по вопросам безопасности. Поэтому в составе сетевых средств защиты необходимо иметь системы, позволяющие проводить автоматизированный поиск уязвимостей во всем спектре программного и аппаратного обеспечения, используемого в организации.

Второй вопрос - "Противостоит ли имеющая инфраструктура атакам и может ли администратор безопасности своевременно узнать о начале атаки?" Казалось бы этот вопрос не вызывает сомнений, если в сети установлен межсетевой экран (firewall). Однако это распространенное заблуждение в 100%-ой гарантии безопасности сети в случае использования межсетевого экрана может обернуться серьезными последствиями.

5.2 Модель адаптивного управления безопасностью

На эти, а также на множество других вопросов сможет ответить модель адаптивного управления безопасностью сети (Adaptive Network Security, ANS), которая позволяет контролировать, обнаруживать и реагировать в реальном режиме времени на постоянно изменяющиеся риски безопасности, используя правильно спроектированные и хорошо управляемые процессы и средства защиты.

Адаптивная безопасность сети описывается как процесс, содержащий:

технологию анализа защищенности (security assessment) или поиска уязвимостей (vulnerabilities assessment);

технологию обнаружения атак (intrusion detection);

адаптивный компонент, который включает в себя и расширяет две первые технологии;

управляющий компонент.

Анализ защищенности - это поиск уязвимых мест в сети. Сеть состоит из соединений, узлов, хостов, рабочих станций, приложений и баз данных. Все они нуждаются как в оценке эффективности их защиты, так и в поиске неизвестных уязвимостей в них. Технологии анализа защищенности исследуют сеть и ищут "слабые" места в ней, обобщают эти сведения и печатают по ним отчет. Если система, реализующая эту технологию, содержит и адаптивный компонент, то вместо "ручного" устранения найденной уязвимости оно будет осуществляться автоматически.

Технологии анализа защищенности являются действенным методом, позволяющим реализовать политику сетевой безопасности прежде, чем осуществится попытка ее нарушения снаружи или изнутри организации.

Обнаружение атак является процессом оценки подозрительных действий, которые происходят в корпоративной сети. Обнаружение атак реализуется посредством анализа или журналов регистрации операционной системы и приложения, или сетевого трафика в реальном времени. Компоненты обнаружения атак, размещенные на узлах или сегментах сети, оценивают различные действия, в т.ч. и использующие известные уязвимости.

Адаптивный компонент ANS отвечает за модификацию процесса анализа защищенности, предоставляя ему самую последнюю информацию о новых уязвимостях. Он также модифицирует компонент обнаружения атак, дополняя его последней информацией об атаках. Пример адаптивного компонента - механизм обновления баз данных антивирусных программ для обнаружения новых вирусов.

Управляющий компонент должен быть способен к генерации отчетов и анализу тенденций, связанных с усилиями формирования системы защиты организации.

Очевидно, что одна система не может эффективно реализовать все описанные технологии. Поэтому для реализации концепции адаптивной безопасности необходимо использовать совокупность систем, объединенных единым замыслом.

Конечно, число таких систем ещё не слишком велико, но они уже завоевали доверие администраторов многих систем и сетей.

5.3 SAFEsuite

SAFEsuite - это семейство программных продуктов компании Internet Security Systems, Inc., реализующих новое направление в области обеспечения безопасности информации - адаптивная безопасность.

Первоначально данное семейство состояло всего из трех систем:

системы анализа защищенности на уровне сети Internet Scanner;

системы анализа защищенности на уровне хоста System Scanner;

системы обнаружения атак на уровне сети RealSecure Network Engine.

В процессе развития данное семейство пополнилось еще одной системой - системой обнаружения атак на уровне хоста RealSecure System Agent.

В настоящий момент семейство SAFEsuite стало базой для создания нового семейства продуктов - SAFEsuite Enterprise. Первой системой, которая является одной из составляющих нового семейства, можно назвать систему поддержки принятия решения в области безопасности SAFEsuite Decisions.

Система анализа защищенности Internet Scanner предназначена для проведения регулярных, всесторонних или выборочных тестов сетевых сервисов, операционных систем, распространенного прикладного программного обеспечения, маршрутизаторов, межсетевых экранов, Web-серверов и т.п. На основе проведенных тестов система Internet Scanner вырабатывает отчеты, содержащие подробное описание каждой обнаруженной уязвимости, ее расположение на узлах корпоративной сети и рекомендации по их коррекции или устранению. 2 сентября 1998 года система была сертифицирована в Гостехкомиссии России (сертификат © 195). На сегодняшний день это единственная система анализа защищенности, прошедшая сертификацию в государственных органах сертификации средств защиты информации.

Достоинства системы Internet Scanner были по праву оценены более чем 3000 компаниями во всем мире (в т.ч. и в России), использующими ее как основной компонент системы обеспечения сетевой безопасности. Кроме того, система Internet Scanner имеет множество наград от различных организаций и журналов, работающих в области информационной безопасности.

Система Internet Scanner может быть использована для анализа защищенности любых систем, основанных на стеке протоколов TCP/IP. Это могут быть как компьютеры, подключенные к локальной или глобальной сети (Internet), так и автономные компьютеры с установленной поддержкой TCP/IP.

Система Internet Scanner состоит из трех основных подсистем, предназначенных для тестирования рабочих станций, серверов, X-терминалов и т.д. (подсистема Intranet Scanner), межсетевых экранов и коммуникационного оборудования (подсистема Firewall Scanner) и Web-, FTP-, SMTP- и т.п. серверов (Web Security Scanner). Подсистема Firewall Scanner используется Гостехкомиссией России при сертификации межсетевых экранов по требованиям безопасности информации.

Вкратце перечислить ключевые возможности Internet Scanner:

большое число проводимых проверок (в данной версии это число превышает 600);

задание своих собственных проверок;

задание степени глубины сканирования;

тестирование межсетевых экранов и Web-серверов;

централизованное управление процессом сканирования;

параллельное сканирование до 128 сетевых устройств и систем;

запуск процесса сканирования по расписанию;

возможность работы из командной строки;

мощная система генерации отчетов;

различные уровни детализации отчетов;

различные форматы отчетов;

функционирование под управлением многих операционных систем;

мощная система подсказки;

простота использования и интуитивно понятный графический интерфейс;

невысокие системные требования к программному и аппаратному обеспечению.

Механизм генерации отчетов, имеющийся в Internet Scanner, уникален. Во-первых, система поставляется с 30-тью готовыми формами для генерации различных отчетов. Во-вторых, эти отчеты позволяют быстро переходить от обобщенных данных, содержащих информацию об уровне защищенности организации, к подробным отчетам с детальной технической информацией о том где и какая уязвимость обнаружена. Кроме того, данные отчеты содержат подробные инструкции по устранению найденных проблем. К таким инструкциям можно отнести пошаговые рекомендации по изменениям, которые надо внести в конфигурационные файлы. В случае наличия у производителя обновления или патча, устраняющего соответствующую уязвимость, в отчете содержится гиперссылка на заданный FTP- или Web-сервер, на который можно перейти не запуская броузера. Если все же имеющихся 30 отчетов недостаточно, то администратор может создать и подключить к Internet Scanner свои собственные отчеты, учитывающие специфику своей организации (например, требования к оформлению документов).

Теперь отчеты могут быть выведены не только на английском языке, но и что примечательно, русском. Русификация системы Internet Scanner была проведена специалистами НИП "Информзащита", являющегося единственным представителем компании ISS в России и странах СНГ. Теперь информацию обо всех обнаруживаемых уязвимостях администраторы могут получать на русском языке, что является подспорьем для специалистов. В версии Internet Scanner 5.8 наконец-то появилась возможность добавления своих собственных проверок (механизм Flex Check). Даже, несмотря на то, что эта возможность используется очень редко, в некоторых случаях она может помочь администраторам своевременно реализовать проверку уязвимости, описанной, например, в Bugtraq, или обнаруженной в процессе работы.

Кроме того, совместно с системой Internet Scanner бесплатно поставляется система моделирования атак Advanced Packet eXchange, при помощи которой администратор может создавать различные допустимые и запрещенные IP-пакеты, которыми он может проверить функционирование и эффективность защитных механизмов маршрутизаторов, межсетевых экранов, Web-серверов и других системного и прикладного программного обеспечения.

Главная задача систем анализа защищенности компании ISS - собрать как можно больше информации о компьютерах клиента. Иногда это лучше всего сделать дистанционно через всю сеть с помощью Internet Scanner, но в некоторых случаях это лучше всего реализовать с локального компьютера.

Система Internet Scanner является превосходным инструментом для анализа уязвимостей Unix-подобных ОС. Но дополнительный взгляд на анализируемые системы, осуществляемый системой System Scanner (S2), делает уровень проведения анализа защищенности с помощью продуктов ISS гораздо более высоким, чем, возможно, могут предоставить другие продукты анализа защищенности. Производители, как правило, реализуют только анализ защищенности на уровне сети, пренебрегая локальным сканированием на уровне операционной системы, и совсем забывая об анализе защищенности приложений. Система System Scanner обнаруживает большое количество уязвимостей, которые не видны при дистанционном сканировании через сеть, но представляют большую опасность. Примеры этих уязвимостей включают переполнение буфера (buffer overflow) - уязвимости, которые локальные пользователи (включая пользователей с учетной записью guest) могут использовать для получения привилегированного (root) доступа.

Неправильная работа пользователя - один из наиболее важных путей нарушения работоспособности информационных систем. Сканирование с помощью продукта System Scanner дает гораздо более детальный анализ деятельности пользователя, чем сканирование с помощью систем дистанционного анализа защищенности на уровне сети. С его помощью можно проводить анализ файлов .rhost, использовать словарь часто используемых паролей, обнаруживать деятельность программ типа анализатор протокола (sniffer) и т.д.

Общее число уязвимостей, обнаруживаемых всеми системами анализа защищенности, превышает 1600.

Как уже отмечалось выше, наряду с анализом защищенности процесс обеспечения адаптивной безопасности включает и обнаружение атак. В семейство SAFEsuite входит система RealSecure, которая позволяет в реальном режиме времени обнаруживать враждебную деятельность на хостах, распознавать атаки на корпоративную сеть и реагировать на них соответствующим образом. При этом, данная система может использоваться как для защиты внешнего доступа (например, из Internet), так и для защиты во внутренней сети. По статистике до 75% всех инцидентов происходит по вине сотрудников организации. Система RealSecure походит как нельзя лучше для защиты в этом случае.

На сегодняшний день это единственная система, которая функционирует и на уровне сети (network-based) и на уровне хоста (host-based). Другие производители, как правило, выпускают системы, обнаруживающие только сетевые атаки. В случае работы на уровне сети системы RealSecure анализирует весь сетевой трафик, а в случае работы на уровне хоста - журналы регистрации операционной системы (EventLog и syslog). Система RealSecure использует распределенную архитектуру и содержит два основных компонента RealSecure Detector и RealSecure Manager. Первый компонент отвечает за обнаружение и реагирование на атаки, и состоит из двух модулей - сетевого и системного агентов. Сетевой агент устанавливается на критичный сегмент сети и обнаруживает атаки путем "прослушивания" трафика. Системный агент устанавливается на контролируемый узел и обнаруживает несанкционированную деятельность, осуществляемую на данном узле.

Компонент RealSecure Manager отвечает за настройку и сбор информации от RealSecure Detector. Управление компонентами системы RealSecure 3.0 возможно осуществлять как с централизованной консоли, так и при помощи дополнительного модуля, подключаемого к системе сетевого управления HP OpenView (HP OpenView Plug-In Module). В последнем случае консоль RealSecure Manager устанавливать не требуется. Для облегчения работы в распределенной сети, в которой ответственность за управление сетью возложена на несколько подразделений, возможно установка нескольких консолей, одновременно управляющих всеми модулями обнаружения атак.

Возможности реагирования на атаки является определяющими для любой системы обнаружения атак. В системе RealSecure такие варианты можно разделить на три типа: уведомление (notification), запоминание (storage) и активное реагирование (active response).

Уведомления можно посылать на одну или несколько консолей управления (RealSecure Manager), по электронной почте или, в случае подключения системы AlarmPoint, еще и по факсу, телефону и пейджеру.

Все данные о событиях сохраняются в стандартном (дата и тип события, адрес атакующего и атакуемого, дополнительные сведения) и расширенном формате. В последнем случае система RealSecure сохраняет содержание всего трафика. При этом возможно воспроизведение всех действий нарушителя с заданной скоростью для последующего анализа и "разбора полетов". Во многих случаях эта возможность помогает разобраться в том, каким образом злоумышленник проник в корпоративную сеть и что можно противопоставить ему в дальнейшем.

В случае осуществления атаки, которая может привести к выведению из строя узлов корпоративной сети, возможно автоматическое завершение соединения с атакующим узлом, блокировка учетной записи нарушителя (если он является сотрудников организации) или реконфигурация межсетевых экранов и маршрутизаторов таким образом, чтобы в дальнейшем соединения с атакующим узлом были запрещены. Если названных вариантов реагирования недостаточно, то администратор может создать свои собственные сценарии обработки контролируемых событий.

Системы RealSecure не снижает производительности сети не только в случае работы с Ethernet, Token Ring и FDDI, но и при работе с высокоскоростными магистралями типа Fast Ethernet.

Дополнительной возможностью, которая говорит в пользу системы RealSecure, является наличие всеобъемлющей базы данных по всем 700 контролируемым событиям.

Поскольку информация, собираемая системами анализа защищенности и обнаружения атак, является очень важной, то необходимо, чтобы никто, за исключением администратора, не имел к ней доступа. И такая возможность реализована в системах компании ISS, в отличие от систем, предлагаемых другими производителями. Кроме того, система RealSecure может быть защищена от атак на ней при помощи, т.н. называемой Stealth-конфигурации, которая не позволяет "видеть" систему RealSecure из внешней сети.

6. Экспериментальная часть

6.1 Общая системная безопасность

UNIX - подобные системы настолько безопасны, насколько безопасными их сделает администратор. Чем больше сервисов у вас установлено, тем больше шансов, что в них будет найдена “дыра”. При инсталляции ОС МСВС, из расчёта безопасности, вы должны устанавливать минимум пакетов, а затем добавлять только необходимые элементы, тем самым уменьшая шансы установить приложение с ошибкой, нарушающей безопасность всей системы.

Безопасность BIOS

Отмените возможность загрузки компьютера с дискеты, установите пароль для доступа к настройкам BIOS. Запрет загрузки с дискет не позволит злоумышленникам загрузить компьютер с дискеты и получить доступ к системе.

Использование RieserFS

Ответом потребностям времени стали журналирующие файловые системы. Одна из разработок по стабильности и обкатанности опередила всех - это RieserFS.

В RieserFS основное внимание уделено решению проблемы эффективного хранения маленьких файлов. Решение данного вопроса стало возможным с привлечением технологий баз данных, занимающихся, в общем, той же проблемой - хранения и доступа к данным. Это технология сбалансированных деревьев и В+Tree.

Особенность RieserFS состоит в том, что в сбалансированных деревьях хранится всё - имена файлов, каталоги, узлы i-node, маленькие файлы и хвосты больших файлов. Тела же больших файлов хранятся в неформатированных блоках. В целом оказывается, что для доступа к данным, требуется меньшее число обращений, и данные хранятся более плотно.

Другая особенность RieserFS, это журналирование. Представить его можно так: сначала сведения об операции и данные записываются в специально выделенное место, затем собственно, записываются в файловую систему, а по завершении записи делается отметка о завершении операции. Если на каком-то этапе произошёл сбой, файловая система не страдает, а журнал способствует быстрому восстановлению после сбоя - на это уходят считанные секунды.

Интересной возможностью является поддержка модулей plug-in, которые позволяют создавать собственные типы каталогов и файлов. Это обеспечит развитие системы в будущем. Например: данные в системах потокового аудио/видео можно хранить в формате пакетов TCP/IP, избавляясь, таким образом от накладных расходов на преобразование при передаче.

Изюминка ОС МСВС состоит в прозрачном комбинировании различных файловых систем, что даёт возможность использовать сильные стороны каждой из них. Для RieserFS это отличное применение. Есть ряд разделов, содержимое которых после установки почти не меняется: bin, usr и часто меняющиеся разделы: home, var. Последние - хорошие кандидаты для размещения на журналирующей файловой системе RieserFS.

В целом, RieserFS решает множество проблем, присутствующих в ext2fs и, безусловно, укрепит позиции платформы ОС МСВС для серьёзных приложений.

Разработка политики безопасности

Планирование политики безопасности информационной системы стоит начинать с анализа рисков, целью которого является оценка угроз и уязвимостей, определение комплекса контрмер, обеспечивающего достаточный уровень защищённости информационной системы в целом. Существуют различные подходы к оценке рисков, выбор которых зависит от уровня требований, предъявляемых, к режиму информационной безопасности.

Вы не сможете правильно реализовать безопасность системы, пока не выясните, что вы хотите защищать и от кого. Для того, чтобы принимать решения, относящиеся к защите нужно выработать политику безопасности. Политика также должна определять ответные действия на нарушения безопасности. Приведенные ниже вопросы помогают в выработке стратегии:

Как вы определяете конфиденциальную и важную информацию?

Нужен ли удаленным пользователям доступ к вашей системе?

Находится ли на сервере конфиденциальная или важная информация?

Обеспечивают ли пароли или шифрование достаточную защиту?

Нужен ли вам доступ в internet?

Как много доступа вы хотите разрешить из internet?

Какие действия нужно предпринять в случае нарушения защиты?

Это очень короткий список, но охватывающий достаточно широкий круг вопросов безопасности информационной системы. Любая политика безопасности базируется на некотором уровне паранойи; решите насколько вы всем доверяете. Стратегия должна балансировать между разрешением пользователям доступа к необходимой им информации и запрещением доступа к определенным видам данных. Точка, где эти линии пересекаются, определит вашу стратегию.

6.2 Локальная безопасность

Выбор правильного пароля

Отправной точкой безопасности являются парольная защита. Многие люди используют единственный пароль всю жизнь, доверяя ему защиту всех своих данных, вопреки известной аксиоме, не взламываемых паролей не существует. Любой из них поддается либо социальной разработке, либо грубой силе.

Одним из пунктов в системе парольной защиты является проверка файл с паролями с помощью программы-взломщика. Это помогает найти пароли, которые легко подбираются и которые необходимо срочно заменить. Данный механизм проверки должен работать и в момент определения паролей, чтобы отклонить заведомо слабый пароль при его начальной задании или переопределении.

Для ОС МСВС рекомендованы следующие правила для создания эффективных паролей:

пароль должен быть не менее шести символов в длину и содержать не менее 1 цифры или специального знака;

он не должен базироваться на имени пользователя, фамилии, месте жительства и ряде других персональных данных;

он должен иметь ограниченный период действия;

он должен отменяться и сбрасываться после заданного числа в подряд неправильных попыток ввода;

Минимально допустимая длина пароля, задаваемая по умолчанию в ОС МСВС - 6 символов. Данная политика задаётся в файле /etc/login.defs.

Этот файл является конфигурационным для программы login. Здесь вы можете изменить и другие параметры, чтобы они соответствовали вашей стратегии защиты (время действия пароля, длина пароля и др.).

Установка таймаута подключения для root

Часто бывает, что администратор, войдя в систему под пользователем root, забывает выйти и его сессия остается открытой. Решением этой проблемы может быть переменная tmout (/etc/profile) в bash, которая определяет время, через которое пользователь автоматически отключается от системы, если он не активен. Она содержит время в секундах до отключения.

Отключение доступа к консольным программам

Одной из самых простых и необходимых настроек является блокирование консольно-эквивалентного доступа к программам halt, shutdown, reboot и poweroff. Чтобы это сделать выполните:

rm -f /etc/security/console.apps/servicename,

где servicename имя программы к которой вы хотите запретить консольно-эквивалентный доступ.

Отключение всего консольного доступа

Чтобы блокировать весь консольный доступ, включая программу и файл доступа, в каталоге /etc/pam.d/, нужно закомментировать все строки, в которых вызывается pam_console.so. Нижеприведенный скрипт сделает это автоматически:

# !/bin/sh cd /etc/pam.d for i in * ; do sed '/[^#].*pam_console.so/s/^/#/' < $i > foo && mv foo $i done

Файл /etc/securetty

Файл /etc/securetty позволяет вам определить с каких tty устройств может входить в систему пользователь root. Этот файл читается программой login. Он имеет очень простой формат. В каждой строке перечислены имена tty устройств, с которых root может входить в систему, а с остальных доступ ему будет запрещен.