Личный блог Suvan`a.

Работая и играя с Linux... И что из этого иногда получается.

Защита сервисов

Подписаться на эту рубрику по RSS

Настройка SSH.

Рубрика: Безопасность | Защита сервисов
Метки: | |
Дата: 13/08/2009 09:46:19

     SSH представляется безопасной альтернативой протокола Telnet. Учитывая преимущества SSH, Telnet сейчас практически не применяется - в нем нет больше нужды. Хотя SSH считается значительно безопаснее, чем Telnet, все же есть над чем поработать. В данном пункте будет рассмотренр, как надо сделать применение SSH еще безопаснее.

     Настройка. Опции настройки SSH.

     SSHD определяется и запускается по умолчанию во многих дистрибутивах Linux. Конфигурационный файл SSHD называется /etc/sshd_config или /etc/sshd/sshd_config. Наиболее интересными в нем являются опции:Далее...

     Создание структуры каталогов.

     Первый шаг - это создание необходимой для запуска Apache структуры каталогов. Предположим, что для chroot-окружений был создан каталог /chroot. Chroot-окружение Apache будет в каталоге /chroot/httpd. Создадим в данном каталоге необходимую структуру каталогов:

# mkdir -p /chroot/httpd/dev

# mkdir -p /chroot/httpd/etc

# mkdir -p /chroot/httpd/usr/bin

# mkdir -p /chroot/httpd/usr/sbin

# mkdir -p /chroot/httpd/usr/lib

# mkdir -p /chroot/httpd/usr/libexec

# mkdir -p /chroot/httpd/usr/local/apache/bin

# mkdir -p /chroot/httpd/usr/local/apache/logs

# mkdir -p /chroot/httpd/usr/local/apache/conf

# mkdir -p /chroot/httpd/usr/share/zoneinfо

# mkdir -p /chroot/httpd/var/www

# mkdir -p /chroot/httpd/tmp

# mkdir -p /chroot/httpd/lib

     В зависимости от дистрибутива и от способа установки Apache (из пакета или из исходных кодов) структура каталогов может отличаться. Владельцем всех каталогов должен быть root, права доступа 0755:

Далее...

CGIWarp

Рубрика: Безопасность | Защита сервисов
Метки: |
Дата: 03/08/2009 09:47:39

Проблема употребления CGI-сценариев заключается в том, что они выполняются с правами Web-сервера, а не создавшего их пользователя. Представьте, что хостинг-провайдер предоставляет Web-пространство клиентам.

     Корпоративный пользователь (какая-то компания) помещает свой Web-сайт на сервере. Он тоже записал CGI-сценарий, позволяющий пользователям его компании править свое расписание. Изменения в расписании записываются в текстовый файл, созданный CGI-сценарием. Владельцем данного файла представляется пользователь, от имени которого работает Web-сервер - обычно http, www или nobody.

     Пользователь Иванов, как часто такое бывает, «обиделся» на свою компанию (к примеру, ему не повысили зарплату, хотят уволить или уже уволили). Он регистрируется в системе, создает свой собственный CGI-сценарий, удаляющий какой угодно файл, который передан ему в качестве параметра. Потому что этот вредоносный сценарий запускается от имени того же, пользователя, который создал файл с расписанием, ничто ему не мешает удалить его.

Далее...

Безопасность CGI.

Рубрика: Безопасность | Защита сервисов
Метки: |
Дата: 31/07/2009 08:59:25

     WEB-скриптинг.

     Непонятно, почему многие администраторы закрывают глаза на используемые на их сервере CGI-скрипты, при данном они часами могут настраивать остальные аспекты безопасности системы, даже не ведая, что творится у них «под носом». А ведь CGI-скприпты, особенно написанные третьими лицами (форумы, гостевые книги и т.д.), отображают большую угрозу безопасности для Web-сервера.

     Ранее было показано, как надо употреблять CGI-скрипт для выполнения команд с привилегиями Web-сервера. Но это далеко не весь вред, который могут причинить Web-скрипты. Поэтому Web-скриптингу можно уделить значительно больше внимания, чем обычно.

     Нужно убедиться, что выключен SSI и CGI, если в них нет потребности.

     Рекомендуется создать для SSI и CGI два каталога (один для SSI и один для CGI), доступ к которым будет контролироваться. Если пользователю нужен CGI-сценарий, он должен будет попросить поместить этот сценарий в каталог CGI. Тогда, перед записью сценария можно проверить его на фигурирование вредоносного кода.

Далее...

Ранее был рассмотрен HTTP-доступ со стороны клиента, теперь посмотрим на него с другой стороны - со стороны сервера.

     Термины «авторизация» и «аутентификация» часто используются как взаимозаменяемые, но у каждого из них есть свое точное значение. Аутентификация - процесс проверки имени пользователя и пароля пользователя. А авторизация - это проверка полномочий пользователя: есть ли у данного пользователя права доступа к тому или иному объекту, к примеру файлу. Аутентификация часто (но не всегда) представляется первым шагом авторизации.

     Целевыми объектами авторизации, конечно же, являются файлы и каталоги сервера: к примеру, надо создать каталог, доступ к которому разрешен только сотрудникам компании. В данном каталоге будут находиться некоторые важные внутренние документы или же программы, доступные только для сотрудников. В данном случае доступно два метода контроля доступа: проверка имени пользователя/пароля и проверка IP-адреса.

     Начнем с доступа по IP-адресу.

Далее...

     Если клиент отправит Web-серверу Apache запрос HEAD, то в ответ он получит заголовок ответа сервера, который содержит информацию об окружении, в котором он запущен. Проверить это довольно просто: можно запустить telnet и подключиться к Web-серверу на порт 80, затем надо ввести запрос HEAD / НТТР/1.0 и нажать Enter дважды:

Далее...

APACHE

Рубрика: Безопасность | Защита сервисов
Метки:
Дата: 27/07/2009 15:44:48

Одним из самых популярных OpenSource-приложений представляется Web-сервер Apache. Apache сделал революцию в мире Web-серверов, став эталонным стандартом на Web-серверы - теперь Apache входит во все дистрибутивы Linux, FreeBSD, даже есть версии Apache для Windows.

     Apache без особых усилий дает возможность настроить обычный домашний компьютер, как Web-сервер. Но здесь есть опасность его использования: Apache устанавливается с файлом конфигурации, который дает возможноть сделать всего несколько изменений для запуска сервера, что не сказывается положительным образом на безопасности системы - ведь оставшиеся директивы остаются по умолчанию. К тому же в новых версиях Apache есть поддержка всевозможных расширений (модули), которые тоже требуют дополнительной настройки.

Далее...