Поговорили о взломе (к нему мы еще
вернемся) и время подумать о своей защите.
Парольная Защита.
Самая первая, самая простая и нужная
забота системного администратора - защита
бюджетов пользователей паролями. Пароль должен
состоять из 8 символов, включая буквы, цифры,
знаки. Например VIBh75zX или GcT0231 и т.д. При такой
парольной защите хакеру придется попыхтеть со
своими брутфорсами (и это слабо сказано:)), даже
если хакер скопирует ваш файл паролей, ему также
сложно будет расшифровать пароли (если пароли в
*NIX). Но у хакера есть другой способ - закачать на
вашу систему снифер. Он будет перехватывать
сетевой трафик и вытаскивать пароли на telnet, ftp и
других сессиях. Что-бы защититься от них,
установите спец. прогу против сниферов (например
AntiSnif). Также установите поддержку шифрования
(kerberous и т.д.). В общем запретите передачу пароля
открытым текстом. С шифрованием хакер не сможет
достать ни одного пароля. С паролем вроде
разобрались, теперь пора не дать хакеру
проникнуть в вашу систему.
OS: БЕЗОПАСТНОСТЬ.
/etc/inetd.conf
Супер демон inetd.conf
Нужно отключить абсолютно все ненужные демоны, а
то так и хакнуть недолго. Например если хочешь
поставить Web Server, то открывай только httpd и SSH. Везде
включай аутентификацию или как там:))).
Из inetd.conf нужно убрать почти все ненужные тебе
сервисы. Чем меньше останется, тем лучше!
/etc/services
Services содержит список портов, на которых висят
разные демоны. ВСЕ ненужные выруби!!!
/etc/nologin
Nologin пригодится вам, когда систему следует
заблокировать. Например:
# "System Hack,sorry" > /etc/nologin
Теперь пользователи кроме рута не смогут войти в
систему!!!
Они будут видеть сообщение "System Hack,sorry", а
потом слышать
disconnect.
SUID
SUID -изолировать гадов!
Нужно найти suid.txt и увидишь пути ко всем логам.
Дальше оставляй только САМЫЕ необходимые.
К остальным ПОЛНОСТЬЮ прикрой доступ!!! Помни -
маленький просчет с SUID и тебя зарутили!!!
Permission
/etc/host.deny, /etc/hosts.allow и /.rhosts
Успользуются почти на всех *NIX'ах. hosts.deny запрещает
доступ на сервак с определенных IP. hosts.allow и hosts.deny
производят мониторинг запросов на различные
демоны (telnet,rlogin,rsh,exec и т.д.). Используют TCP Wrappers.
.rhosts позволяет залогинется по login. Если в .rhosts
будут находится '+ +',тодоступ по rlogin будет
разрешен всем.
/etc/suauth
Команда su. Позволяет переходить от одного
пользователя к другому. Формат файла таков,
например:
root:stalsen:NOPASS
Значит при команде su root от пользователя stalsen
пароль спрашиваться не будет!
/etc/passwd
Регулярно проверяйте бюджеты пользователей без
пароля командой awk -F: '{ if ($2 == "") print $1 }' /etc/passwd
Также в ручную или с помощью cron можно проверять
пользователей с UID=0 GID=0. Также думаю не буду вам
рассказывать о установлении прав доступа, квот и
т.п.
Ну и как обычно: не инсталлируйте и
не держите лишнего програмного обеспечения,
прог, доменов и т.д. Ненужное отключайте.
Скачивайте последние обновления демонов,
проверяйте логи. И не забудьте о резервном
копировании.
Удачи!
