На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

ХРАНЕНИЕ ПАРОЛЕЙ

Каждая операционная система содержит специальную базу данных, в которой хра­нятся пароли всех пользователей. В Unix эта база хранится в файле /etc/passwd. Однако в этом файле хранятся не сами пароли, а лишь их смешанные значения.
Передает пароли «открытым текстом». Более того, в Unix используется достаточ­но простой алгоритм получения 8-байтных смешанных значений. Поэтому дан­ная операционная система предоставляет наименее стойкие к взлому пароли (по сравнению с Windows NT или Novell NetWare). И наконец, отмечу одну доста­точно пикантную подробность. По умолчанию файл паролей Unix открыт для всех пользователей. Поэтому операционная система Unix в большей степени под­вержена атакам грубой силы и атакам словаря.
взлом паролей
Чтобы получить пароли какой-либо Unix-системы, хакер должен обладать до­ступом к этой системе или (как минимум) обнаружить какую-либо недоработку системного администратора (например, ошибка возврата sendmail, описанная далее). Так или иначе, ему необходим доступ к файлу /etc/passwd. Заполучив файл с паролями, хакер должен получить копию используемой в системе функции создания смешанных значений. С ее помощью хакер сможет взломать пароли с помощью атаки грубой силы или атаки словаря.
Так как файл /etc/passwd по умолчанию доступен для всех пользователей серве­ра, то хакеру не составит практически никакого труда получить к нему доступ. Поэтому администраторы Unix-систем просто обязаны использовать улучшен­ные средства защиты паролей.
ЗАТЕНЕНИЕ ФАЙЛА ПАРОЛЕЙ
Чтобы спрятать файл с паролями, воспользуйтесь описанным Щ далее методом затенения паролей, который может быть реали­ст  зован с помощью специального демона. Суть этого метода заключается в том, чтобы переместить файл /etc/passwd в бо­лее надежное место, которое недоступно для обычных вателей. Вместо этого файла нужно поместить специальный маркер.
Благодаря маркеру      сможете еще один уровень
Дело в том, что хакер не может напрямую получить доступ к файлу с пароля-: МИ. Для взлома пароля ему придется постоянно быть подключенным к систе-Другими словами, использование маркера коренным образом изменяет процедуру проверки паролей регистрации (4).
АТАКИ ГРУБОЙ силы
Атакуя Unix-систему, хакер прежде всего попытается заполучить пароль какого-либо пользователя. В отличие от Windows NT и Novell NetWare, Unix не позво­ляет блокировать пользователей, совершивших несколько попыток некоррект­ной регистрации. Именно поэтому хакер может воспользоваться атаками грубой силы. Если же он проведет атаку против статической базы данных паролей, то для взлома пароля длиной в 16 символов ему понадобится не более 10 дней (в зависимости от скорости соединения). Получив пароль, хакер воспользуется им для регистрации в системе. После этого он обязательно попытается скопировать файл /etc/passwd.
Скопировав файл с паролями на свою машину, хакер попытается получить па­роль суперполь'зователя. Для этого он может применить атаку грубой силы. Эта атака заключается в том, что хакер создает (или использует уже готовую) про­грамму, которая перебирает различные комбинации символов до тех пор, пока одна из них не совпадет с паролем, записанным в базе данных. Отмечу лишь, что огромное количество подобных программ можно найти в Internet.
Наилучшим методом защиты от атак грубой силы является использование зате­нения паролей. Благодаря ему хакер не сможет получить доступ к файлу паро­лей, а будет иметь дело с так называемым маркером. Для взлома пароля ему придется постоянно быть подключенным к системе.
ЗАЩИТА от АТАК СЛОВАРЯ
Как и атака грубой силы, атака словаря работает по методу перебора различных паролей. Атака словаря заключается в использовании слов из специальных фай­лов — словарей. Посредством перебора всех слов словаря хакер пытается угадать пароль какого-нибудь пользователя. Эта атака может проводиться и во время
подключения к сети (в процессе регистрации), и на копии файла паролей.
Наилучшим методом защиты от атак словаря является частая смена паролей всех пользователей. Кроме того, администратор должен регулярно запускать про­грамму Security Administrator Toolfor Analyzing Networks (SATAN) (о ней мы пого­ворим в главе 18). Постоянно напоминайте пользователям о том, что пароль должен состоять как минимум из восьми символов и должен содержать буквы, цифры и иные символы клавиатуры.
КАК  ЗАСТАВИТЬ   ПОЛЬЗОВАТЕЛЕЙ   СОЗДАВАТЬ   хорошие пароли
В несколько бесплатных программ, которые
ЩЁ^ЛШ позволяют установить правила создания новых паролей. Бла­годаря этим программам сервер будет отвергать пароли, кото-рЬ1е не соответствуют заданным администраторами правилам. Несколько таких программ можно загрузить из Web-сайта из­дательства Jamsa Press, расположенного по адресу http://www.jamsa.com.
ДОСТУП КФАЙЛАМ И КАТАЛОГАМ UNIX
При создании новой учетной записи операционная система присваивает новому пользователю некоторый набор прав доступа к своим файлам и каталогам. Для идентификации пользователя в Unix используются числа пользователя и группы. Поэтому система будет воспринимать две учетные записи с различными имена­ми, но одинаковыми номерами как одного и того же пользователя. Более того, именно эти числа определяют привилегии доступа к файлам и каталогам.
В отличие от Windows NT и Novell NetWare, в Unix используется только три разрешения доступа к файлу: чтение (read), запись (write) и выполнение (execute) (8).
Разрешение Описание
read Разрешение на чтение; пользователь может
просматривать содержимое файла.
Разрешение на запись; пользователь может изменять содержимое файла.
execute                        Разрешение на выполнение; пользователь может выполнять файл (если файл не является исполня­емым, то пользователь получит сообщение _об ошибке)._
Разрешения доступа к файлам в Unix.
В таблице  17.9 приведены разрешения доступа к каталогам.
Разрешение_Описание_
read Разрешение на чтение; пользователь может
просматривать содержимое каталога (команда
write Разрешение на запись; пользователь может сохранять
и удалять файлы из каталога.
execute                        Разрешение на выполнение; пользователь может переходить в этот каталог с помощью команды Если же пользователь дополнительно обладает правами на чтение, то он может копировать файлы из каталога, а также получать информацию о привиле­гиях доступа к этому каталогу и содержащимся в нем _файлам._
Разрешения доступа к каталогам в Unix.
В Unix все пользователи делятся на три класса: пользователь (владелец файла или
каталога), группа (участником которой является и владелец файла) и остальные
(все пользователи, не вошедшие в первые два класса). Можно определить разре­шения доступа для каждого из этих классов.
Чтобы просмотреть разрешения файлов какого-либо каталога, воспользуйтесь командой Is-/. Далее приводится один из примеров использования этой команды:
$ Is -1 <Enter>
drwxrwxrwx / bin Iklander sys 12345 Mar 10 01:30 bin -rwxr-xr-    1    guest Iklander users    256    Mar 20    02:25 happy
Давайте подробнее рассмотрим пример. Как видно, просматриваемый каталог содержит подкаталог bin и файл с именем happy. В первом поле содержится тип файла и его разрешения. Первая буква d в наборе символов drwxrwxrwx указы­вают на то, что просматривается каталог. Далее следуют разрешения доступа к этому каталогу. Они разделены на три группы: [пользователи], [группы] и [осталь­ные]. Буква г обозначает чтение, >v — запись, х — выполнение. В нашем примере все три группы обладают правами записи и выполнения каталога bin.
В начале второй строки стоит дефис («-»). Он указывает на то, что happy — это файл. Если бы happy был файлом какого-либо устройства, то вместо дефиса стояла бы буква «с». Следующие символы определяют права доступа обычных пользователей, групп и остальных пользователей системы. Итак, владелец фай­ла обладает правами на чтение, запись и выполнение (первые три символа rwx). Участники его группы могут считывать и выполнять этот файл (r-х). Обратите внимание: вместо символа w стоит дефис. Это значит, что участники группы пользователя не обладают правами записи этого файла. Другими словами, они не могут изменять его. Всем остальным пользователям системы предоставлены лишь права чтения.
Второе поле в строке содержит некоторое число (в нашем примере это единица). Оно определяет количество копий файла или каталога в системе. Третье поле содержит имя владельца файла (каталога). В четвертом поле располагается пол­ное имя владельца файла (каталога). Пятое поле указывает имя группы владель­ца. В шестом поле указывается размер файла. В седьмом расположены дата и время последнего изменения файла. И наконец, в последнем поле расположено
имя файла (каталога).
Как правило, необходимо ограничивать доступ пользователей ко всем файлам,
за исключением тех, что расположены в их собственном каталоге. Обычно пользо­вателям предоставляются только права на выполнение исполнимых файлов и на чтение всех остальных файлов. Время от времени проверяйте разрешения раз­личных файлов сервера.
Команда chmod
Нередко администратору приходится изменять разрешения отдельных файлов и каталогов. Для этого в Unix есть специальная команда — chmod. С ее помощью можно изменять разрешения символически или абсолютно.
При символическом изменении разрешений изменяются только указанные вами разрешения, а остальные остаются неизменными. Далее приводится формат
символических разрешений:
В таблице 17.10 приведено описание синтаксиса этой команды.
Параметр_Описание_
и Пользователь (владелец файла/каталога)
g Группа (участники группы владельца)
0 Остальные (все остальные пользователи) г                          . Разрешение чтения
w Разрешение записи
х_Разрешение выполнения _
Синтаксис команды chmod.
Чтобы указать, права какого класса пользователей должны быть изменены, нужно воспользоваться буквой и, g или о. Чтобы добавить разрешение к файлу, набе­рите chmod [класс]+[разрешения]+[имяфайла]. Например, чтобы добавить участ­никам группы владельца разрешение на запись файла happy, нужно воспользо­ваться следующей командой:
chmod        happy <Enter>
Если же нужно удалить разрешения, то вместо знака      следует указать знак Например, чтобы удалить разрешение владельца на чтение файла happy, вос­пользуйтесь следующей командой:
chmod u-w happy <Enter>
При абсолютной установке разрешений файла все неуказанные разрешения бу­дут удалены. Чтобы установить разрешения абсолютно, наберите chmod [значе­ние режима! имя файла. Значение режима определяется как сумма номеров кода разрешений, которые нужно присвоить файлу. В таблице 17.11 приведены но­мера режимов и их назначение.
Значение режима Режим_
1 Присвоить участникам класса Остальные разрешение на выполнение.
2 Присвоить участникам класса Остальные разрешение на запись.
4 Присвоить участникам класса Остальные разрешение
на чтение.
10                             Присвоить участникам класса Группа разрешение _на выполнение._
Значение режима Режим
20 Присвоить участникам класса Группа разрешение
на запись.
40 Присвоить участникам класса Группа разрешение
на чтение.
100 Присвоить участникам класса Пользователь (владелец)
разрешение на выполнение.
200 Присвоить участникам класса Пользователь (владелец)
разрешение на запись.
400 Присвоить участникам класса Пользователь (владелец) _разрешение на чтение._:
Значения режимов команды chmod (окончание).
Кроме того, существует два специальных режима файла, которые могут быть установлены только абсолютно. Это режимы User ID (UID) и Group ID (GID). Если применить первый режим к исполняемому файлу, то пользователь, запус­тивший файл на выполнение, будет выполнять его со значением владельца. Другими словами, он будет выполнять программу так, как будто он сам являет­ся ее владельцем. Если же у файла установлен режим GID, то пользователь, запустивший файл на выполнение, будет считаться участником группы владель­ца. Значение режима GID - 2000, а режима UID - 4000. Если файлу присвоен режим UID, то вместо символа в поле разрешений владельца будет стоять символ
СПЕЦИАЛЬНЫЕ ФАЙЛЫ UNIX
В Unix есть несколько файлов, которые обязательно присутствуют во всех вер­сиях этой операционной системы. Без рассмотрения этих файлов нельзя понять работу Unix (12).
Файл_Цель_
/etc/passwi Файл с паролями — один из наиболее важных
файлов системы. Хранит информацию обо всех учетных записях системы.
/etc/group Файл групп. С его помощью суперпользователь
может создавать новые группы.
/dev/console               _ Файл устройства для системной консоли _или основного терминала системы._
Специальные файлы Unix (продолжение таблицы на следующей странице).
Файл
Цель
/dev/ttyttt Файлы устройств для системных терминалов.
Обычно они записываются в виде tty09. а иногда в виде ttyaa, ityab и т. д. Если эти файлы не исполь­зуются каким-либо пользователем (т. е. никто не регистрировался с этого терминала), то файл принадлежит пользователю root. Если же пользо­ватель зарегистрируется с помощью одного из терминалов, то на время работы в системе файл принадлежит этому пользователю.
Файлы устройств для системных дисков.
Специальные файлы, расположенные в домашнем каталоге пользователя. Содержат команды, которые будут выполнены сразу же после регистрации пользователя в системе. Имя файла зависит
от используемой оболочки.
Журнал регистрации всех пользователей, способных применить команду su. В этом журнале хранится информация о том, когда и кем была использована команда, к какой учетной записи пытались получить доступ и как завершилось выполнение команды.
Журнал с информацией обо всех регистрацях
в системе. В нем содержится информация о времени регистрации и имени пользователя.
Эти файлы расположены в домашнем каталоге каждого пользователя. В них размещены все
сохраненные пользователем сообщения электронной
почты.
/usr/mail/^пользователь. Этому файлу присваивается имя, использованное
в учетной записи пользователя. Он содержит все не прочитанные пользователем сообщения
электронной почты.
Файл нулевого устройства, «черная дыра» Unix.
Вся посланная в этот файл информация пропадает
бесследно.  Если попытаться прочесть информацию из этого файла, то система вернет символ (конец файла).
В этом каталоге хранятся временные файлы всех программ и процессов. Ему всегда присваиваются разрешения rw.xrwxrwx.
/dev/dk##
Файлы регистрации
/usr/adm/sulog
/usr/adm/loginlog
mbox
dev/null
/tmp
Специальные файлы Unix (окончание).

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика