На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Безопасность Unix и X-Windows

В предыдущих главах рассказывалось о недостатках операционных систем :>ws NT и Novell NetWare. Несмотря на стремительный рост количества ма :рверов Internet, доминирующей операционной системой «Сети сетей» является nix. На протяжении многих лет именно эта операционная система служила жовой Internet-серверов. Это и хорошо, и плохо. Хорошо потому, что за это )емя создано огромное количество утилит, с помощью которых можно защи-1ть сервер от хакеров. Плохо потому, что создано не менее огромное количе-:во утилит для взлома Unix-систем. В этой главе мы подробно поговорим обо :ех проблемах безопасности операционной системы Unix. Прочитав главу, вы шаете следующее:
»  Для доступа к операционной системе Unix используются так называемые оболочки.
* Многие задачи операционной системы выполняются демонами.
* В Unix есть только два набора разрешений: пользователь (user) и суперпользователь (superuser).
«   Unix — это достаточно немолодая и достаточно распространенная операци­онная система. Поэтому многие хакеры знают обо всех ее уязвимых местах.
»   Многие атаки хакеров нацелены на используемых в операционной системе демонов.
»   Большинство недостатков Unix можно восполнить тщательной администра­тивной работой.
X-Windows — это программа, предоставляющая пользователям Unix графи­ческий пользовательский интерфейс.
» X-Windows обладает некоторыми недостатками, связанными со встроенной
поддержкой надежных хостов.
Зведени, в UNIX
компании, институты и правительственные учреждения всего мира ис-юльзуют операционную систему Unix. Эта система была разработана в 60-х годах ; стенах одной из исследовательских лабораторий компании AT&T. За 30 с лиш-1им лет своей истории она стала самой популярной операционной системой и 1Сновой для Internet. Отмечу, что в настоящее время существует огромное коли-[ество различных версий Unix. (Некоторые программисты шутят, что существу-т столько же версий Unix, сколько и машин, работающих под управлением >той системы, — и эта шутка не лишена смысла.) Большинство современных


реализаций Unix построено на основе Berkeley Unix. Наиболее известной чертой этой ветви Unix-систем являются команды удаленной работы (команды для ра­боты с удаленными системами).
В начале этой главы я расскажу о наиболее общих командах Unix, которые используются практически во всех ее реализациях. Затем мы познакомимся с демонами, а также поговорим о наиболее известных недостатках Unix, после этого перейдем к изучению X-Windows - графического интерфейса Unix.
УЧЕТНЫЕ ЗАПИСИ UNIX
В отличие от Windows NT или Novell NetWare, в системах Unix поддерживается только два вида учетных записей -- пользователь (user) и суперпользователь (superuser). Учетные записи пользователей являются стандартными для всех пользователей. Учетные записи суперпользователя предоставляют полный до­ступ к системе и назначаются администраторам системы. Итак, в Unix нет никакой иерархии привилегий. У вас могут быть либо привилегии пользователя, либо привилегии суперпользователя.
Unix поддерживает имена пользователей длиной не более символов. Длина боль­шинства имен не превышает 8 символов. В качестве имени может использовать­ся набор любых символов, включая символы управления и спецсимволы (так называемые метасимволы). Однако не стоит употреблять в этих именах символы @, Ctrl+D, Ctxl+J или Ctrl+X, т. к. они имеют особое значение в Unix.
Почти каждая система Unix поставляется вместе с предустановленными учетны­ми записями. Не нужно говорить, какую опасность для системы может пред­ставлять неизвестная администратору учетная запись суперпользователя. В таб­лице 17.1 приведены наиболее распространенные предустановленные учетные записи суперпользователей. (Однако эти имена могут немного изменяться от
системы к системе.)
Учетная запись_Назначение_
root Учетная запись администратора системы.
Предоставляет полный доступ ко всем объектам.
Предоставляет права суперпользователя для создания
новых накопителей информации (например, жестких
дисков).
Предоставляет права суперпользователя для запуска
системных демонов и монтировки операционной
системы.
С помощью этой учетной записи можно демонтировать
файловую систему какого-либо накопителя.
checkfsys                С помощью этой учетной записи можно проверять _и редактировать файловую систему._
Предустановленные учетные записи суперпользователей.
Учетная запись root присутствует во всех системах и обладает правами суперпользо­вателя. Большинство систем System V (еще одна разновидность Unix) поставляется с предустановленным средством безопасности, которое запрещает удаленную регистрацию в системе с правами суперпользователя. Если кто-то попытается удаленно зарегистрироваться с правами суперпользователя, то он получит сооб­щение «Not on console*, а хост откажется зарегистрировать такого пользователя. Однако хакер может удаленно зарегистрироваться в системе в качестве пользова­теля, а затем попытаться сменить свои права на права суперпользователя. Для этого в Unix предусмотрена команда su, о которой мы поговорим в одном из следующих разделов.
Итак, хакер может зарегистрироваться в системе в качестве «безобидного» пользо­вателя и сменить свои права. Поэтому вам обязательно нужно знать о предуста­новленных учетных записях пользователей. В таблице 17.2 приведены наиболее распространенные предустановленные учетные записи пользователей. (Эти имена могут немного изменяться от системы к системе.)
Учетная запись
Назначение

daemon
trouble
пииср
ииср
Служит для регистрации на сервере построчно-печатающего устройства.
Служит для регистрации демонов на сервере.
Служит для отладки системы.
Учетная запись нового протокола копирования между машинами Unix (Unix-to-Unix copy).
Учетная запись протокола копирования между .машинами Unix (Unix-to-Unix copy)._
Предустановленные учетные записи пользователей.
Стандартны ФОРМАТ ИМЕНИ пользователя
от реализации Unix, все имена пользователей при­нято писать с малой буквы. Дело в том, что операционная сис­тема Unix создавалась в то время, когда многие компьютеры поддерживали только буквы верхнего регистра.
Если первая буква имени пользователя будет заглавной, то
операционная система будет считать, что терминал не поддерживает симво­лов нижнего регистра, поэтому все данные будут выводиться только заглав­ными буквами. Перед каждым символом верхнего регистра система ставит символ обратной наклонной черты («\»). Unix всегда различает регистры сим­волов — не забывайте об этом. Поэтому старайтесь не переключаться на символы верхнего регистра.
ПАРОЛИ UNIX
В системе Unix нет никаких предустановленных паролей. Во время создания учет­ной записи ей не присваивается никакого пароля. И так продолжается до тех пор, пока владелец учетной записи или суперпользователь не присвоят ей пароля. Как правило, у администратора должна быть выработана политика создания учет­ных записей пользователей, а также стандартная последовательность паролей.
Длина пароля Unix не может превышать 11 символов. В пароле можно исполь­зовать любые символы (включая и метасимволы). Не забывайте и о том, что система различает верхний и нижний регистр. Во многих системах Unix реализо­вано специальное средство безопасности, которое заставляет пользователей ис­пользовать как минимум два специальных символа (не буква    не цифра). За
подробностями обратитесь к документации системы.
И наконец, подобно остальным операционным системам, в Unix можно нала­гать ограничения на время использования пароля. Обычно 30 или 45 дней более чем достаточно.
СПЕЦИАЛЬНЫЕ символы
ОперационнаясистемаТТшхинтерпретируетнекоторыесимво-лы особым образом. Многие из таких символов являются мета­символами. В предыдущих говорилось, что нежела­тельно                    некоторые символы в именах телей. В таблице 17.3 приведен их список и краткое описание.
Описание_
Символ
Ctrl+D Ctrl+J
Ctrl+Delete
@
Символ завершения строки.
Некоторые системы воспринимают      как символ возврата каретки. Остальные системы наряду с этим символом используют символ
Символ-убийца. Автоматически завершает работу текущего процесса.
Некоторые системы используют      в качестве символа-убийцы.
Символ обратной наклонной черты является символом
(как используется для перехода к верхнему регистру). С его помощью можно зарегистрироваться в используя терминал,
рый поддерживает только символы регистра. На-
пример, можно послать сообщение «cd /Mrs/data» в таком ? виде: «CD AMRS/DATA». Символ обратной наклонной буквой    указывает системе, что эта буква должна принадлежать верхнему регистру. Все остальные будут восприняты как символы нижнего
■Старайтесь не использовать этих символов в именах и паролях пользователей. Обратите внимание на то, что вы сами можете изменять значения символов управления. Другими словами, вместо символа Ctrl+D можно назначить символ Ctrl+A.
ОБОЛОЧКИ UNIX
Оболочка Unix — это программа-интерпретатор команд, которая воспринимает вводимые пользователем данные и переводит их в команды, понятные системе. Но это лишь часть операционной системы, а не сама операционная система. Другими словами, оболочка — это некоторое подобие пользовательского интер­фейса. Эта программа запускается после каждой вашей регистрации в системе. При закрытии оболочки система автоматически исключает пользователя. В этой программе нет ничего особенного. Операционная система воспринимает ее как обычную программу, похожую на все остальные программы Unix.
На самом деле существует несколько различных оболочек Unix. После регистра­ции в системе можно загрузить любую другую оболочку так же, как и все осталь­ные программы. Возможность выполнения нескольких оболочек представляет для системы достаточно серьезную опасность. Все оболочки выполняют одина­ковые функции и служат в качестве интерпретаторов команд пользователя. Од­нако есть у них и некоторые различия. В таблице 17.4 приведены описания
наиболее распространенных оболочек Unix и их различия.
Оболочка Описание_
Команда    запускает на выполнение оболочку Bourne -
стандартную оболочку Unix System V. В системах Unix
System V в качестве стандартной подсказки пользователя используется символ «$», а для суперпользователя предлагается символ «#». В системах Berkeley BSD Unix в качестве стандартной подсказки используется символ амперсанда («&»).
Команда запускает на выполнение оболочку С, которая была разработана отделом науки университета Беркли. Эта
оболочка практически не отличается от оболочки Bourne,
однако в нее входят другие структуры управления средой программирования. Кроме того, оболочка С поддерживает наложение, с помощью которого можно присвоить команде _(или набору команд) новое имя._
Стандартные оболочки Unix (продолжение таблицы на следующей странице).
Оболочка Описание
Команда ksh запускает на выполнение оболочку Когп. Она содержит особенности обеих предыдущих оболочек: с одной стороны, она поддерживает более простое программирова­ние (оболочка Bourne), а с другой стороны позволяет использовать наложение и историю команд (оболочка С). В качестве стандартной подсказки пользователя используется символ        а для суперпользователя предлагается символ
rsh                  Команда n/i запускает на выполнение урезанную оболочку Bourne. Она используется для учетных записей, которым нужно запретить использование доступного набора команд. Урезанная оболочка позволяет пользователям выполнять команды вне их путей поиска (определенных суперпользова­телем). С ее помощью нельзя изменять каталоги или пере­менные оболочки. Во всех остальных отношениях урезанная оболочка похожа на оболочку Bourne. He перепутайте ее _с используемой в Berkeley Unix командой rsh._
Стандартные оболочки Unix (окончание).
Существует огромное количество других оболочек. Приведенные в таблице 17.4 оболочки являются как бы «официальными» оболочками системы. Из-за своей конструкции операционная система Unix поддерживает многие оболочки. Напри­мер, какая-либо компания может в качестве оболочки использовать программу бухгалтерского учета, и все пользователи должны будут работать с ней. Благода­ря этому пользователи смогут выполнять только программу бухгалтерского учета.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика