На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

ЗАЩИТА  ФАЙЛОВ и КАТАЛОГОВ

Для управления доступом к файлам и каталогам в NetWare используются права доступа. Многие хакеры, проникнув в систему, пытаются расширить свои пра­ва доступа на некоторые важные файлы и каталоги. Для этого им совсем не обязательно получать права супервизора.
КАК ХАКЕРЫ  ЗАМЕТАЮТ   СВОИ   СЛЕДЫ  ПОСЛЕ   изменен и ФАЙЛОВ
Получив доступ к серверу, хакер обязательно попытается скопировать, изме­нить или удалить нужные ему файлы. Однако вы достаточно легко сможете опре­делить его действия с помощью системных утилит. Чтобы этого не произошло, хакер постарается «замести следы», используя, например, программу filer.
На самом деле хакер может получить доступ к любому файлу, расположенному в каталоге, к которому он имеет доступ. Более того, он может изменить этот файл, а затем сохранить его и спрятать все свои изменения. Чаще всего хакеры проделывают все эти действия над файлами с расширением ,ntm или файлом autoexec.ncf. Причем делается это так, что даже самый внимательный админист­ратор не заметит ничего необычного.
К сожалению, если хакер получит достаточно прав доступа, чтобы изменить атрибуты файла, то для выяснения этого придется проверять содержимое всех
файлов.
И СНОВА   троянски КОНИ
i
В главе 14 я рассказал вам об одном     достаточно опасных типов вирусов — троянских конях. Напомню, что троянский : ■ конь — это программа, которая должна производить одни дей­ствия, а на самом деле делает абсолютно другое. Например, программа, которая должна проверять пароли, может также Наниматься пересылкой всех паролей хакеру. Это и есть троянский конь. •Троянские кони, специально написанные для Novell NetWare, используют ' функции из NetWare API. До сих пор неизвестно ни одного распространен­ного троянского коня для Novell NetWare. Однако среди хакеров Internet имеет место следующее мнение о типичных действиях троянского коня:
1. или невнимательный пользователь размещает троянского коня на
рабочей станции. Желательно поместить его на машине, которая чаще всего используется эквивалентами супервизоров. В качестве имени про­граммы используется имя наиболее часто запускаемой утилиты. Напри­мер, она может называться chkvol.com или volinfo.com. Обратите внимание:
оба этих файла имеют расширение которое указывает операцион-
ной системе запускать троянского коня при каждом запуске программы.
2. После своего запуска троянский конь воспользуется вызовами NetWare API, чтобы определить, вошел ли текущий пользователь в качестве су­первизора. Если это так, то программа может скопировать его пароль и передать на какой-либо сервер. Кроме того, вирус может запустить ути­литу syscon с некоторыми дополнительными параметрами. Благодаря этому хакер получит права доступа супервизора. И наконец, вирус мо­жет просто записывать все введенные пользователем команды. Не нуж­но объяснять, к чему могут привести действия такой программы.
3. После завершения проверки прав пользователя и записей о его действиях, вирус может прекратить контролировать операционную сис­тему и разрешить ей выполнять настоящую программу (вроде
или
работу, троянский конь может удалить себя с диска или продол­жать свою работу при каждом вызове программы.
NETWARE NFS
В системах NetWare, так же как и в Unix, используется сетевая файловая систе­ма NFS (Network File System). С ее помощью можно удаленно монтировать дру­гую файловую систему. Первоначально это делалось для того, чтобы можно
было подключать к серверу в качестве очередного тома файловую систему Unix. Благодаря этому система NetWare могла оперировать с данными Unix без исполь­зования IP или регистрации на сервере. Кроме того, многие пользователи Unix используют NFS, чтобы монтировать тома NetWare в качестве удаленных файло­вых систем. Если же эта файловая система установлена неправильно, то хакер сможет легко получить доступ к серверу.
Несмотря на все свои преимущества, система NFS достаточно сложна в обслу­живании. Дело в том, что администратор должен синхронизировать учетные записи в обеих системах (Unix и NetWare). Другими словами, пользователи дол­жны обладать в обеих системах одним и тем же именем и паролем. Если вы не используете NetWare 4.x или выше (с файловой системой NetWare NFS 2.1) и Unix-хост не работает с NIS, то вы обязаны будете проверять, совпадают ли учетные записи каждого пользователя (его имя и пароль) в обеих системах. Если же у вас стоит файловая система NetWare NFS 2.1, а Unix-хост не работает с NIS, то можно автоматизировать процесс синхронизации учетных записей пользо­вателей. Для этого достаточно добавить к объекту системы каталогов NetWare (NDS — NetWare Directory System) правильно выбранный идентификатор. Бла­годаря этому будет создана связь между правами пользователя в различных систе­мах. После этого нужно указать объекту NDS один из трех режимов. Во-пер­вых, он всегда может работать с именами и паролями, используемыми в Unix-системе. Во-вторых, возможно использование только имен и паролей системы NetWare. И в-третьих, можно применять оба набора имен и паролей:
Одна из основных проблем NFS заключается в следующем. Если вы, по некото­рой причине, выгрузите и повторно загрузите файлы конфигурации (ncf), то система, смонтированная на Unix-стороне, будет обладать только правами на чтение каталога SYS:ETC. Если же после монтирования Unix-система будет об­ладать доступом к этому каталогу без использования паролей, то этим может воспользоваться хакер. Благодаря этому он сможет просмотреть файлы конфи­гурации. Например, в каталоге SYS:ETC обычно располагается файл Idremote.ncf. Как мы помним, в этом файле располагается пароль для использования утилиты rconsole.
операционной системе Novell NetWare хакер может запросить у распреде­лителя портов Unix префикс NFS. Unix выдаст ему один из таких префиксов.
Если хакер передаст его, то сервер NetWare проверит свой собственный распре­делитель портов. Так как распределители портов не совпадают, то сервер NetWare обработает запрос хакера. После этого злоумышленник сможет считывать все
файлы на смонтированной им системе.
И наконец, наличие файловой системы NFS может указать хакеру на то, что система присоединена к хостам Unix. Большинство хакеров попытаются про­никнуть на сервер NetWare, а затем получить доступ к этим хостам.
Олределеш, ПРАВ с помощью КОМАНДНОЙ строки
Каждый пользователь NetWare обладает некоторыми правами. Обычно эти права изменяются от каталога к каталогу. Время от времени каждый пользователь сети (это касается и вас) дол­жен проверять свои права. Так вы сможете определить, не ис­пользует ли их хакер. Чтобы просмотреть свои права на какой- ; либо каталог, нужно перейти в него и воспользоваться командой whoami/r. В таблице 16.7 приведена краткая информация обо всех правах пользователя. ;* Символ х заменяет не существенные для данного случая права.
Права_Описание_
[SRWCEMFA]       Пользователь ПОЛНЫМИ правами доступа.
[Sxxxxxxx] Такие права могут предоставляться только
супервизору или его эквиваленту. Пользователь обладает полными правами доступа к каталогу и всем его подкаталогам. Более того, вы не можете быть исключены из какого-либо каталога, даже если кто-либо попытается запретить доступ к подкаталогу.
[хххххххА] Этот набор прав позволяет пользователю управлять
доступом к каталогу и всем его подкаталогам. Если кто-то отменит ваши права доступа к подкаталогу, то вы всегда сможете восстановить их.
Общие права пользователя (продолжение таблицы на следующей странице).
Описание
[      F Этот набор прав предоставляет обычному
пользователю доступ к каталогу с программами. С помощью этих прав можно считывать файлы и просматривать содержимое каталога.
[ RWCEMFx] Таким набором прав обладает каждый пользователь
- в своем домашнем каталоге. Он может считывать, создавать и редактировать (изменять) файлы каталога. Если вы обнаружите другие каталоги с такими же. правами, то можно сохранять свои файлы и в этих каталогах. Такие случаи лишь усложняют админи­стрирование сети. Старайтесь избегать их.
[ RWx F ] Этот набор прав используется для каталогов, в которых хранятся журналы регистрации. ■Не обладая правом С (create    создание), вы _не можете редактировать файлы из такого каталога.
ОГРАНИЧЕНИЯ НА ОБЪЕМ
Одним из наиболее распространенных нарушений использования дискового про­странства является переполнение диска. Другими словами, пользователь, обла­дая правами на создание файлов, может заполнить ими весь диск в ущерб осталь­ным пользователям. Чтобы этого не произошло, администратор должен наложить ограничения на используемый объем диска.
В некоторых системах домашние каталоги располагаются на одном томе, а прило­жения и системные файлы — на другом. Так как некоторые приложения сохра­няют файлы только в своем каталоге, то при отсутствии ограничений на исполь­зуемый объем любой пользователь сможет заполнить весь диск до отказа. (При­мером такого приложения является Microsoft Mail*', которое может заполнить весь диск сообщениями электронной почты.) Если вы не ограничите доступный для пользователя объем в томе SYS, то хакер может проникнуть в систему и заполнить этот том до отказа. Например, для этого он создаст подкаталог в каталоге SYS:MAIL\xxxxxxxx (где хххххххх — это идентификатор объекта связей
хакера).
ПРОБЛЕМЫ БОЛЬШИХ СИСТЕМ
Большинство приведенных ранее советов полезно для небольших сетей, исполь­зующих только один сервер. Однако в больших системах возможно существова­ние деревьев каталогов, содержащих каталоги с различных файловых серверов. Например, учетная запись суперпользователя одного сервера может обладать огра­ниченными правами на другом сервере.
К сожалению, количество шансов проникновения в сеть растет пропорциональ­но ее размеру. Например, если хакер получит права супервизора на одном сервер, то он сможет получить доступ и к оставшимся серверам. Правда, для этого необходимо, чтобы раздел захваченного сервера содержал объекты с правами доступа к разделам остальных каталогов. После этого хакер присвоит себе пра­ва, эквивалентные объекту, или изменит пароль объекта с помощью утилиты syscon. Затем он зарегистрируется в новом контейнере и с его помощью вос­пользуется своими новыми правами. Так злоумышленник сможет получить доступ ко всем остальным разделам.
Итак, если один из серверов содержит основной раздел (master partition) или раздел чтения-записи, то супервизор управляет всеми объектами раздела. Так как пароль супервизора можно изменить, то существует потенциальная угроза остальным разделам. Копии разделов, предназначенные только для чтения, не дадут хакеру установить контекст связей для нового контейнера.
Компания Novell рекомендует ограничить права объекта до рамок его собствен­ного раздела и создавать копии разделов только на надежном сервере. Далее рассказывается о том, как хакеры могут воспользоваться этими правами.
• Например, сервер бухгалтерии содержит огромное количество электрон­ных таблиц, документов и баз данных с различными типами информации. NDS-контейнер ACCT-USERS установлен на самоуправление.
• В этом контейнере существует учетная запись MAINTENANCE. С ее по­мощью директор отдела бухгалтерии может переустанавливать пароли. Ад­министраторам сети может понадобиться эта запись для проведения неко­торых операций в сети.
• Содержащая контейнер ACCT-USERS копия раздела, предназначенная для чтения-записи, размещена на одном из серверов. Этот сервер стоит в не­большом офисе для продаж. Служащий офиса обладает доступом к копиям
разделов, предназначенным для чтения-записи.
• Однажды вечером этот клерк воспользуется утилитой acy/Wi-/./,//,/ и переуста­новит пароль учетной записи MAINTENANCE.
• На следующий день (после репликации) клерк (хакер) сможет просмотреть все документы компании.
В следующей главе вы узнаете о том, что большая часть утилит ■ Unix обладает недостатками, которые могут быть использованы ^^Яг   хакерами. Многие из этих недостатков связаны с возможностью «разветвления оболочки» или создания другого процесса на сервере. Однако в системах NetWare нельзя проделывать по­добные операции. Далее приводится информация о том, почему хакер не сможет использовать утилиты NetWare.
Каждый пользователь получает к серверу помощью
оболочки Novell. Эта оболочка может быть загружена и без участия сер­вера. В отличие от Unix-систем, в Novell NetWare не предусмотрено возможности одновременного выполнения нескольких оболочек.
• Практически ни одна утилита NetWare не использует потоков ввода-вы­вода stdin/stdoui'(они используются в С++ для ввода и вывода информа­ции; для их нормальной работы необходим стек - специальная область памяти, выделенная операционной системой). Благодаря этому хакер не может добиться переполнения стека и вызвать тем самым крах системы. Так как оболочка NetWare выполняется локально, а не на сервере, то хакер не может получить с помощью утилит больших прав доступа, в отличие от используемой в Unix команды т (см. следующую главу).

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика