Личный блог Suvan`a.

Работая и играя с Linux... И что из этого иногда получается.

Основные меры защиты Linux

Подписаться на эту рубрику по RSS

Не РАМ-способ.

     Если РАМ не используется, то для ограничения системных ресурсов необходимо использовать файл /etc/limits. Принцип тот же самый, но несколько отличается синтаксис:

Имя_пользователя Строка_ограничений

     Следуя справочной системе (man limits), можно использовать следующие идентификаторы:

Далее...

Есть альтернативный метод управлять правилами паролей. Сервисы, которые берут РАМ для аутентификации, имеют свои некоторые кон­фигурационные файлы в каталоге /etc/pam.d/. Для passwd файл будет выглядеть так:

auth required pam_stack.so service=system-auth

account required pam_stack.so service=system-auth

password required pam_stack.so service=system-auth

     Ключевая строка в этом файле — это system-auth. Посмотрим на этот файл:

Далее...

     Конфигурационные файлы.

     В зависимости от версии РАМ, для конфигурации используется один большой файл /etc/pam.conf или группа небольших файлов, находящихся в каталоге /etc/pam.d/. Последний метод более по­пулярен и используется во многих дистрибутивах - RedHat/Fedora, SuSe, Mandrake - следовательно, он и будет описан.

     Все файлы в каталоге /etc/pam.d/ используются для настройки какой-то определенной функции. Содержимое каталога /etc/pam.d/:

Далее...

Что такое PAM?

     Как правило, аутентификация в Linux осуществляется с помощью файла /etc/passwd. Со временем стали популярны и другие методы. Центральная проблема применения другой системы аутентификации - это то, что все приложения, имеющие хоть какое-нибудь отношение к системе аутентификации, должны быть перекомпилированы и настроены заново, а это огромная работа.

     Эту проблему дает возможность решить РАМ (Pluggable Authentication Module - Подключаемый модуль аутентификации), отделяющий приложения от самой аутентификации. Изменение системы аутентификации в данный момент заключается в изменении используемого РАМ-модуля.

Далее...

Администратор должен понимать, какой пароль является «хорошим», а какой - «плохим». Но понимают ли это пользователи? Нет. Если среди них и найдется несколько человек, то это точно не показатель. Проводить часами лекции, объясняя и показывая, как правильно создать пароль и как с ним обращаться? Это не очень хорошая мысль.

     Если выложить на внутреннем сайте список примеров - то у большинства пользователей будут установлены эти пароли. Нужно просто возложить оценку пароля на плечи системы, это и будет правильным решением.

Далее...

     Алгоритмы защиты паролей.

     В Linux используется два основных алгоритма защиты паролей: DES (Data Encryption Standard) и более безопасный MD5 (Message Digest 5). Основная проблема алгоритма DES заключается в том, что он не дает использовать пароли из восьми и более символов. Учитывая возможности современных компьютеров, взлом 8-символьного DES-пароля займет мало времени. Рекомендуется использовать алгоритм MD5, дающий возможность использовать пароли длиной до 127 символов. Определить, ка­кой метод теперь используется в системе, очень просто: нужно посмотреть на закодированные пароли в etc/passwd. Если их длина 34 символа и все они начинаются символами $1$, значит, используется MD5, если длина закодированных паролей 13 символов, то используется DES.

Далее...

Многие операционные системы для предоставления доступа пользователя к системе используют аутентификацию по имени пользователя и паролю, и Linux не является исключением.

     В данный момент рассмотрим механизм /etc/passwd и все, что связано с паролями.

     Файл /etc/passwd

     Сердцем Linux-безопасности является файл /etc/passwd, в котором содержатся детали всех пользователей, зарегистрированных в системе. Чтобы пользователь мог войти в систему, он должен быть зарегистрирован в этом файле. Ранние версии Linux использовали следующий формат этого файла (поля разделяются двоеточием):

Далее...