Личный блог Suvan`a.

Работая и играя с Linux... И что из этого иногда получается.

Профилактика

Подписаться на эту рубрику по RSS

Ведение журнала wtmp поддерживается практически всеми дистрибутивами Linux, но следующий метод - BSD Process Accounting (BSD-учет процессов) - поддерживается не во всех дистрибутивах.

     Как видно из названия, этот метод позаимствован из мира BSD. Он дает возожность протоколировать процессы, запущенные в системе. Если система его не поддерживает, рекомендуется включить его. Для этого надо перекомпилировать ядро, включив опцию CONFIG_BSD_PROCESS_ACCT в меню General Setup ядер 2.4 и 2.6.

     Также понадобится пакет GNU Accounting Utilities Package (http://savannah.gnu.org/projects/acct/), содержащий пользовательские утилиты для учета процессов. После установки данного пакета нужно создать каталог, в который будет записываться информация учета процессов, будет применяться каталог /var/account. Еще надо создать файл pacct в данном каталоге:

Далее...

     Многие администраторы часто вообще игнорируют логи, считая их почему-то ненужными. Наоборот, логи позволяют пролить свет на все события, которые происходят в системе. Рекомендуется просматривать логи хотя бы два раза в день. Если система работает ночью, каждое утро нужно просматривать логи, потому что очень много взломов происходит как раз в это время - когда администратор отдыхает.

     Защита /var/log

     Практически все файлы логов находятся в каталоге /var/log. Первым делом крекер, получивший права root, попытается скрыть следы своего присутствия, модифицировав файлы логов.

     Если используется ACL, можно сделать файлы в каталоге /var/log досягаемыми только для добавления данных. Но в конкретном случае, к сожалению,  больше нельзя будет применять программу logrotate, выполняющую ротацию логов: данной программе можно удалять файлы из каталога /var/log.

     Наиболее безопасное решение - отключить logrotate, учитывая объемы современных жестких дисков, ничего страшного с системой не случится.

Далее...

     Up2Date.

     Для автоматического обновления дистрибутивов Red Hat/Fedora предназначена утилита up2date. Так как эта утилита работает только с этими дистрибутивами, в дальнейшем не будем о ней говорить. Скажем только, что она работает с сетью Red Hat (RH Network, https://rhn.redhat.com) и дает возможность автоматизировать процесс загрузки и установки свежих версий программного обеспечения.

     Управление патчами с помощью Ximian Red Carpet.

     Управление патчами впервые появилось в мире коммерческого программного обеспечения. Его идея заключается в следующем: подписчики подключаются к серверу и проверяют, есть ли и в его базе сведения о новой версии интересующего их программного продукта; если есть, то новая версия автоматически загружается и определяется.

Далее...

Обновляемся.

Рубрика: Безопасность | Профилактика
Метки:
Дата: 18/12/2009 10:46:51

     Администратор должен всегда быть в курсе новостей мира информационной безопасности. Откуда же можно черпать информацию? Информацию об обновлениях можно найти на форумах, но зачем? - все равно каждый день на форумы не походишь.

     Гораздо проще подписаться на рассылку новостей - как только будет что-то важное, сразу же придет сообщение, при этом не надо тратить каждый день время на посещение десятка сайтов, посвященных компьютерной безопасности. Наиболее интересны рассылки, информирующие о выходе новых версий программ (не надо забывать - нужно периодически обновлять систему), и рассылки, связанные с безопасностью. Рассмотрим наиболее интересные из них.

Далее...

     После всех пунктов можно сказать, что сеть защищена. Но данного недостаточно. Процесс защиты сети – явление постоянное, нужно регулярно поддерживать безопасность сети. Если сегодня сеть считается самой безопасной, то уже завтра будет найдено с десяток уязвимостей в употребляемых сервисах.

     Что же надо исполнять для поддерживания безопасности сети? Во-первых, администратор должен быть в курсе всех событий мира информационной безопасности. Есть мысль, что новая уязвимость будет найдена именно при взломе конкретной сети? Маловероятно, хотя все же возможно. Если это так, то этой сети не подвезло. В большинстве случаев огромную опасность для сети отображают хакеры-самоучки, которые постоянно читают новости мира компьютерной безопасности.

Далее...