На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

УЯЗВИМЫЕ МЕСТА UNIX

Как и у других операционных систем, у Unix есть несколько уязвимых мест. Однако в отличие от Windows NT или Novell NetWare, Unix — достаточно старая и распространенная операционная система. Кроме того, количество Unix-сер­веров в Internet превышает суммарное количество серверов Windows NT и Novell NetWare. В этой главе я не собираюсь перечислять все недостатки Unix — для этого пришлось бы написать еще одну книгу, не уступающую по размерам той, что вы держите в руках. Кроме того, в следующей главе я расскажу вам о про­грамме SATAN, с помощью которой можно обнаружить практически все недо­статки в системе безопасности.
СЕМЬ   ЦЕЛЕЙ ХАКЕРОВ
При проведении атак на системы Unix многие хакеры стара­ются нанести удар по определенным частям системы. Далее приводится семь основных степеней доступа, которые могут предоставлены после завершения ата-
ки. Я разместил их по убыванию важности.
1. Паром пользователя root. Это заветная мечта каждого хакера. С помо­щью данного пароля хакер может достаточно эффективно управлять си­стемой. Единственное, что отличает администратора системы от хакера с паролем root, — это физический доступ системе.
2. Права доступа пользователя root. Обладая такими правами, хакер полу­чить доступ ко всей системе. Однако он не сможет выйти из системы, так как не знает нужного пароля. Поэтому он не может вернуться Щ систему.
3; Пароль определенного пользователя. Хакер получает пароль определенного пользователя, а, следовательно, и доступ к системе.
4. Права доступа определенного пользователя. Хакер получил права доступа определенного пользователя. Однако он не сможет выйти из системы, так как не знает нужного пароля. Поэтому он не может вернуться в систему.
5. Пароль неизвестного хакеру пользователя. Хакер получил пароль какого-дибо пользователя, Поэтому ему не известны ни его права доступа, ни его элементы управления системой.
6. Права доступа неизвестного хакеру пользователя. Хакер получил права доступа какого-либо пользователя. Однако ему неизвестен пароль этого пользователя.
7. Атаки отказа служб. Даже не обладая какими-либо правами, многие хакеры могут удалить файлы, разрушить систему или нанести ей какой-либо вред.
УДАЛЕНИЕ  /етс/fjosts. equiv
Позволите ли вы своим пользователям использовать команды удаленной работы или нет, но вам все равно стоит подумать об удалении файла/etc/hosts.equiv. где хранится список надежных хостов. Благодаря ему пользователи таких хостов могут зарегистрироваться на вашей системе без использования пароля. Для этого им потребуется воспользоваться командой rlogin. Однако если вы запретили исполь­зование подобных команд или ваша система не имеет связи с надежными хоста­ми (ведь вы никому не доверяете, не правда то вам этот файл никогда и не понадобится. В этом случае вы просто обязаны удалить файл /etc/hosts.equiv. Так он не сможет причинить никакого вреда системе, даже если вы случайно подключите команды удаленной работы.
Основная опасность файла /efc//irftytt.e<?«n заключается в том, что он разрешает пользователям, не работающим с операционной системой Unix, удаленно заре­гистрироваться под учетными записями всех пользователей, за исключением root.
Если же вы не можете отказаться от использования файла /etc/hosts.equiv, то должны постараться свести риск до минимума. Далее приводится список правил
безопасного использования этого файла.
• Используйте как можно меньше надежных хостов.
• Никогда не помещайте в этот файл строку, начинающуюся символами
или Во многих системах Unix эти символы предоставляют до-
ступ к системе любому пользователю, применившему команду Дру­гими словами, пользователь может получить доступ к системе без ввода пароля.
• Если вы используете на машине службу NIS (Network Information Service), то для упрощения задач администрирования используйте сетевые группы (netgroup).
• Доверяйте только тем хостам, которые расположены в вашем домене или находятся в вашем подчинении.
• Используйте для надежных хостов только полные имена. Например,
имя хост a. имя домена, аи.
• Не используйте в файле символы«!» или«#» - в этом файле не может быть никаких комментариев.
• Первым символом файла должен быть символ «-».
• Этому файлу должен быть присвоен режим 600.
• Владельцем файла должен быть пользователь root.
• Проверяйте файл после каждого изменения в системе (вроде установки программ-дополнений).
НЕСКОЛЬКО копий SHOME/.rhosts
Файл .rhosts содержит список проверенных удаленных хостов. По своей сути он очень напоминает файл hosts.equiv. К сожалению, каждый пользователь может
создать файл .rhosts. Чтобы уменьшить связанный с этим файлом риск, руко­водствуйтесь приведенными ниже правилами.
• Ни один из домашних каталогов пользователей не должен содержать файл .rhosts. Однако существуют ситуации, когда невозможно обойтись без это­го файла. Поэтому вы должны тщательно взвесить все «за» и «против». Например, использование .rhostsupn запуске системы резервного копиро­вания по сети в автоматическом режиме существенно облегчает жизнь.
• Используйте демонаотш для периодической проверки и удаления файлов .rhosts. Предупредите всех пользователей об этом. Кроме того, предупре­дите их о наказаниях, ожидающих каждого, кто нарушит вашу политику
безопасности.
ошибка SENDMAIL
Не так давно была обнаружена ошибка, связанная с параметром -d команды sendmail. С ее помощью пользователь может указать уровень отладки. Все пользо­ватели должны обладать доступом к этой команде, иначе они не смогут посылать сообщения электронной почты. Хакер, получивший доступ к сети, может указать в этом параметре очень большое значение. Благодаря этому стек переполнится и поведение системы может стать непредсказуемым. Новейшие версии команды содержат процедуры проверки значений параметра -d.
ОШИБКА ВОЗВРАТА SENDMAIL
Когда-то эта ошибка была самым излюбленным средством для проведения атак. Хакер мог послать сообщение электронной почты неверному адресату. В этом случае демон sendmail отсылал сообщение обратно. Например, хакер мог ввести в качестве адреса электронной почты следующую строку:
/hin/mail < /etc/passwd <Er>ter>
Обнаружив, что не существует адреса Iklander. демон sendmail вернет хакеру
сообщение вместе с извещением об ошибке. К сожалению, там также будет содержаться и файл паролей.
ПРОБЛЕМА БУФЕРА FINGERD
В главе 1 я рассказал вам о знаменитом черве Internet. Этот вирус воспользо­вался одним из уязвимых мест Unix — переполнением буфера, связанного с де­моном ftngerd. Если пользователь напишет строку, длина которой превышает 512 байт, то стек демона переполнится. Благодаря этому хакер сможет создать
новую оболочку. ШИФРОВАНИЕ ФАЙЛОВ
Пользователи вашей системы Unix должны приобрести привычку шифровать все
файлы с важной информацией, помещаемые в общедоступные места или пересылаемые по электронной почте. Шифрование — это не панацея от всех бед; однако это лучше, чем ничего. Используемая в Unix команда crypt предоставляет наименьший уровень безопасности. Дело в том, что многие хакеры обладают достаточно мощными программами взлома паролей. Поэтому мы рекомендуем вам пользоваться более надежной утилитой - des. В этой утилите использован алгоритм шифрования DES (Data Encryption Standard). За более подробной ин­формацией об алгоритмах шифрования обратитесь к главе 4. Никто до сих пор не сообщал о взломе этого алгоритма. Однако Министерство обороны США не рекомендует использовать его для пересылки важной информации. В настоящее время существует новое средство шифрования — PGP 2.2, где использован алго­ритм шифрования RSA. Однако эта программа не является бесплатной, и вы должны подумать о связанных с ее приобретением расходах.
МЕТОДЫ БЕЗОПАСНОГО ПРОГРАММИРОВАНИЯ
Многие системы Unix подвергаются атакам хакеров. Чтобы защититься от боль­шинства известных атак и повысить безопасность системы, руководствуйтесь
приведенными ниже правилами.
• Никогда не создавайте сценарий Существует несколько широко из­вестных методов получения доступа к программам оболочки, выполняе­мых на уровне гоо/-привилегий.
• В вызовах system илирореп используйте только полные пути и имена файлов.
• Пользователям абсолютно не нужно обладать правами чтения файла setuid (или ему подобных). Поэтому присвойте ему (с помощью команды chmod) режим разрешения 4711, а всем остальным программам — 711.
ФИЛЬТРАЦИЯ
Многие хакеры могут атаковать систему через распределитель портов и извест­ные порты протоколов Unix. Чтобы защититься от подобных атак, вы должны воспользоваться экранирующим маршрутизатором. В частности, если вам не нужно использовать или предоставлять указанные в таблице 17.13 службы, от­фильтровывайте их с помощью маршрутизатора.
Система Х-Windows (или просто X) позволяет использовать в рамках операцион­ной системы Unix графический интерфейс пользователя. Этот интерфейс пред­ставляет собой набор окон. X-Windows поддерживает высокопроизводительную, независимую от устройств графику. Эта программа построена на базе сетевых протоколов, а не на вызовах локальных или системных процедур. Благодаря этому X-Windows может одинаково работать как с локальными, так и с сетевы­ми соединениями. Благодаря этому сеть становится более прозрачной и с точки зрения пользователей, и с точки зрения приложений.
Для установки нового окна необходим минимум информации. Х-серверу нужны только размеры окна, фоновый цвет, стиль и размер шрифта. Получив эту ин­формацию, сервер создает новое окно с соответствующими характеристиками. Отмечу, что для передачи растрового изображения окна потребовалось бы гораз­до больше информации. Поэтому X-Windows представляет собой достаточно эф­фективную систему поддержки окон на расстоянии и мощную операционную систему пользователя. Дело в том, что большинством клиентов Unix являются достаточно «слабые» машины, которые не могут тягаться по мощности даже с современными персональными компьютерами.
sunrpe NeWS snmp xdmcp exec login shell printer who syslog uucp route openwin NFS XII

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика