Личный блог Suvan`a.

Работая и играя с Linux... И что из этого иногда получается.

Безопасность

Подписаться на эту рубрику по RSS

Так как TSIG-ключи можно добавить в конфигурационный файл каждой машины, их употребление не очень практично. Во-первых, когда имеется много серверов имен, то при изменении ключей придется проделать много действий. А во-вторых, если крекер получит доступ к серверу имен, он получит и TSIG-ключи, что позволит ему отправлять подделанные сообщения другим серверам от имени этого сервера.

     DNSSEC (DNS Security Extensions) - набор расширений протокола DNS, использующий РКС и цифровые подписи для осуществления безопасных транзакций между серверами и клиентами (или между серверами и серверами). Подробное описание DNSSEC можно найти в RFC 2535. Рассмотрим, как надо реализовать эту систему в DNS.

     Технология DNSSEC - это не абсолютно новая концепция, ей уже несколько лет, и ее уже успели опробовать.

Далее...

     Запуск BIND от имени непривилегированного пользователя.

     Обычно BIND всегда запускался от имени root, но, учитывая все его уязвимости, это делать нежелательно, так как позволяет легко скомпрометировать систему.

     Начиная с версии 8.1.2, появилась возможность запуска BIND от имени простого пользователя. Прежде BIND стартует от имени root - для того, чтобы сесть на 53 порт, а затем сбрасывает полномочия root и принимает полномочия указанного с помощью опции -n пользователя:

# named -n named
     Для запуска named нужно создать новую учетную запись, а не запускать от имени nobody, от имени которого и так запущено много процессов.

Далее...

Сервер имен BIND стал стандартом де-факто на DNS-серверы, иногда слово BIND применяется как синоним DNS. BIND применяется повсюду: и в маленькой сети с выходом в Интернет, и в немалой корпоративной закрытой сети, и в сети интернет-провайдера...

     Также BIND прославился в плане уязвимостей. Подробное описание всех исправленных багов во всех версиях BIND доступно по адресу:

http://www.isc.org/sw/bind/bind-security.php

Далее...

Приложение NIS.

Рубрика: Безопасность | Защита сервисов
Метки: |
Дата: 19/08/2009 14:23:36

     Что такое NIS?

     Network Information Service (NIS), известный также как Yellow Pages или YP (название было изменено из-за проблем с авторскими правами), применяется для распространения информации по машинам сети. Так как информация хранится централизованно на одном узле сети (этот узел называется мастером), NIS дает возможность легко синхронизировать данные. Чаще всего он применяется для распространения файлов /etc/passwd по сети - чтобы убедится, что на каждой машине сети одинаковые копии файла passwd.

Кроме файла passwd, NIS может употребляться для распространения прочих важных файлов, к примеру /etc/hosts, /etc/resolv.conf, /etc/exports и т.д.

Далее...

NFS позволяет предоставить общий доступ к каталогам Unix-машины. Небезопасность NFS, и в частности NIS, связана с RPC - по количеству всевозможных эксплоитов RPC представляется негласным лидером (если не считать Sendmail). Так как эти протоколы предназначены для внутренних сетей, защищать их придется от «своих» пользователей. Хотя перед их применением нужно решить, действительно ли они нужны.

     В домашней сети они могут быть достаточно полезными, но в корпоративной сети из соображений безопасности лучше найти им более безопасную альтернативу.

     Файловая система NFS.

     Сетевая файловая система (Network File System, NFS) была разработана компанией Sun как средство доступа к файлам, размещенным на прочих Unix-машинах в пределах локальной сети. При разработке NFS безопасность вообще не учитывалась, что с годами стало причиной многих уязвимостей.

     NFS может работать по протоколу TCP или UDP, она использует систему RPC, а это означает, что должны быть запущены следующие часто уязвимые приложения: portmapper, nfs, nlockmgr (lockd), rquotad, statd и mountd.

     Не надо запускать NFS - нужно найти альтернативное решение. Если же NFS все-таки нужна, здесь будет рассказано о том, как нужно минимизировать риск ее использования.

Далее...

Настройка SSH.

Рубрика: Безопасность | Защита сервисов
Метки: | |
Дата: 13/08/2009 09:46:19

     SSH представляется безопасной альтернативой протокола Telnet. Учитывая преимущества SSH, Telnet сейчас практически не применяется - в нем нет больше нужды. Хотя SSH считается значительно безопаснее, чем Telnet, все же есть над чем поработать. В данном пункте будет рассмотренр, как надо сделать применение SSH еще безопаснее.

     Настройка. Опции настройки SSH.

     SSHD определяется и запускается по умолчанию во многих дистрибутивах Linux. Конфигурационный файл SSHD называется /etc/sshd_config или /etc/sshd/sshd_config. Наиболее интересными в нем являются опции:Далее...

     Создание структуры каталогов.

     Первый шаг - это создание необходимой для запуска Apache структуры каталогов. Предположим, что для chroot-окружений был создан каталог /chroot. Chroot-окружение Apache будет в каталоге /chroot/httpd. Создадим в данном каталоге необходимую структуру каталогов:

# mkdir -p /chroot/httpd/dev

# mkdir -p /chroot/httpd/etc

# mkdir -p /chroot/httpd/usr/bin

# mkdir -p /chroot/httpd/usr/sbin

# mkdir -p /chroot/httpd/usr/lib

# mkdir -p /chroot/httpd/usr/libexec

# mkdir -p /chroot/httpd/usr/local/apache/bin

# mkdir -p /chroot/httpd/usr/local/apache/logs

# mkdir -p /chroot/httpd/usr/local/apache/conf

# mkdir -p /chroot/httpd/usr/share/zoneinfо

# mkdir -p /chroot/httpd/var/www

# mkdir -p /chroot/httpd/tmp

# mkdir -p /chroot/httpd/lib

     В зависимости от дистрибутива и от способа установки Apache (из пакета или из исходных кодов) структура каталогов может отличаться. Владельцем всех каталогов должен быть root, права доступа 0755:

Далее...