Администрирование локальных сетей
| Категория реферата: Рефераты по информатике, программированию
| Теги реферата: реферат по культурологии, доклад по биологии
| Добавил(а) на сайт: Tolkachjov.
Предыдущая страница реферата | 30 31 32 33 34 35 36 37 38 39 40 | Следующая страница реферата
[Tue Mar 31 11:27:55 1998] [debug] mod_so.c(303): loaded module foo_mod ule
/path/to/apache/sbin/apachectl restart: httpd started
$ _
Logresolve – наиболее полезный модуль с точки построения статистики посещений и мониторинга популярности сервера и попыток его взлома, в простейшем виде из обычного лога он делает лог-файл с разрезолвленными именами, что значительно упрощает его анализ.
Глобальные разделы конфигурации.
Конфигурация сервера apache разбита на несколько основных разделов, как для
удобства, так и для простоты парсинга файла.
1. Директивы, контролирующие работу сервера целиком - 'global environment'.
2. Директивы, контролирующие поведение дефолтного, или основного сервера, далее эти директивы распространяются как используемые по-умолчанию для всех виртуальных серверов.
3. Директивы виртуальных хостов, которые иерархически наследуют общие настройки и могут переопределять их.
Основные директивы глобальной конфигурации.
ServerType standalone (inetd)
Определяет тип сервера.
ServerRoot "/usr/local/httpd"
Путь к корневой директории сервера.
PidFile /usr/local/httpd/logs/httpd.pid
Путь к pid-файлу.
Timeout 300
Количество секунд которое ждет сервер перед отсылкой сообщения «сайт
недоступен».
MaxKeepAliveRequests 200
Количество одновременно поддерживаемых запросов, рекомендуется ставить
большим, но не ставить 0 – бесконечность.
MinSpareServers 1
MaxSpareServers 15
Параметры количества одновременно запускаемых серверов на каждый хост –
первый не рекомендуют ставить 0, и не ставить достаточно большим из-за
ограниченности памяти, второй – может быть достаточно большим.
StartServers 3
Минимальное количество запускаемых серверов, когда к сайтам нет никаких
обращений.
MaxClients 256
Количество одновременно запросов клиентов, рекомендуется ставить максимум
–256.
Listen 80
Порт. Стандартный порт для HTTP – 80, альтернативный – 8080.
Далее идет секция модулей, менять в которой что-либо необходимо только при
добавлении новых модулей.
User httpd
Group httpd
Пользователь и группа процесса. (по умолчанию обычно - nobody)
ServerAdmin www@univ.kiev.ua
Далее идут настройки корневого хоста.
ServerName www.univ.kiev.ua
DocumentRoot "/usr/local/httpd/www.univ/www"
Options FollowSymLinks Indexes IncludesNOEXEC
AllowOverride All
Далее идут настройки виртуальных хостов.
Примеры
1.
Options FollowSymLinks Indexes IncludesNOEXEC
AllowOverride All
Order allow,deny
Allow from all
2.
Options FollowSymLinks Indexes
AllowOverride All
Order allow,deny
Deny from all allow from icc.univ.kiev.ua
AuthType Digest
AuthDigestFile /usr/local/httpd/www.icc/www/squid/.htaccess
AuthName "ICC Secret Area. Users Control" require valid-user satisfy any
3.
ServerAdmin hostmaster@univ.kiev.ua
DocumentRoot /usr/local/httpd/www.philosophy/www
ServerName kiev.philosophy.ru
ErrorLog /usr/local/httpd/www.philosophy/log/error_log
CustomLog /usr/local/httpd/www.philosophy/log/access_log combined
AddType "text/html;charset=koi8-r" .html .htm
Вспомогательные скрипты – просмотр и ротация логов, статистика посещений.
Ротация логов и их резолвинг может быть реализован с помощью стандартных
средств сервера, для apache это logresolve и logrotate.
Кроме этого вы можете захотеть написать свои собственные скрипты, на пример
на языке bash которые автоматизируют вашу работу. Пример:
### Going to start log cutting
for i in `ls /usr/local/httpd/` ; do if [ -f /usr/local/httpd/$i'/log/access_log' ] ; then
/usr/bin/tail -1000 /usr/local/httpd/$i'/log/access_log' >
/usr/local/httpd/$i'/log/ttt' cp /usr/local/httpd/$i'/log/ttt'
/usr/local/httpd/$i'/log/access_log' rm /usr/local/httpd/$i'/log/ttt'
fi
done
Кроме этого могут быть использованы программы третьих сторон, различные
варианты, в том числе и бесплатные и с открытым исходным кодом, доступны в
большом количестве в Internet, как например одна из наиболее
распространенных программ – webalizer генерирует очень полезную и наглядную
статистику, написана на языке С и поэтому достаточно быстро работает. Кроме
этого, лог-файлы вам все равно придется удалять (или ротэйтить), поскольку
довольно быстро они займут все свободное место на диске, а иметь статистику
за год-два всегда полезно для отслеживания динамики развития и популярности
сайта.
Безопасность веб-сервера.
Кpаткое описание пpоблемы:
Публичные веб-сеpвеpа пpодолжают оставаться объектами атак хакеpов, котоpые
хотят с помощью этих атак нанести уpон pепутации оpганизации или добиться
каких-либо политических целей. Хоpошие меpы защиты могут защитить ваш сайт
от тех непpиятностей, котоpые будет иметь ваша оpганизация в случае
успешной атаки на него.
Уязвимые опеpационные системы:
Любая веpсия Unix или Windows NT, котоpая используется как веб-сеpвеp.
Ущеpб от атаки:
Возможен pазличный ущеpб - от пpостого блокиpования pаботы сеpвеpа до
замены его содеpжимого поpногpафическим матеpиалом, политическими лозунгами
или удаления гpупп файлов, а также pазмещения на сеpвеpе пpогpамм-тpоянских
коней
Как pешить пpоблему:
Соблюдать все пpавила безопасности, описанные ниже, и опеpативно
устанавливать все испpавления пpогpамм, о котоpых вам сообщила ваша гpуппа
компьютеpной безопасности или пpоизводитель ваших пpогpамм, используемых на
веб-сеpвеpе.
Оценка pиска:
Публичные веб-сеpвеpа взламываются почти ежедневно; угpоза того, что будет
совеpшена атака и на ваш веб-сеpвеp, - pеальна.
Пpавила обеспечения безопасности WWW-сеpвеpа:
1. Разместите ваш веб-сеpвеp в демилитаpизованной зоне (DMZ).
Сконфигуpиpуйте свой межсетевой экpан (файpволл) таким обpазом, чтобы он блокиpовал входящие соединения с вашим веб-сеpвеpом со всеми поpтами, кpоме http (поpт 80) или https (поpт 443).
2. Удалите все ненужные сеpвисы с вашего веб-сеpвеpа, оставив FTP (но только если он нужен на самом деле) и сpедство безопасного подключения в pежиме удаленного теpминала, такое как SSH. Любой ненужный, но оставленный сеpвис может стать помощником хакеpа пpи оpганизации им атаки.
3. Отключите все сpедства удаленного администpиpования, если они не используют шифpования всех данных сеансов или одноpазовых паpолей.
4. Огpаничьте число людей, имеющих полномочия администpатоpа или супеpпользователя (root).
5. Пpотоколиpуйте все действия пользователей и хpаните системные жуpналы либо в зашифpованной фоpме на веб-сеpвеpе либо на дpугой машине в вашем интpанете.
6. Пpоизводите pегуляpные пpовеpки системных жуpналов на пpедмет выявления подозpительной активности. Установите несколько пpогpамм- ловушек для обнаpужения фактов атак сеpвеpа (напpимеp, ловушку для выявления PHF-атаки). Напишите пpогpаммы, котоpые запускаются каждый час или около того, котоpые пpовеpяют целостность файла паpолей и дpугих кpитических файлов. Если такая пpогpамма обнаpужит изменения в контpолиpуемых файлах, она должна посылать письмо системному администpатоpу.
7. Удалите все ненужные файлы, такие как phf, из диpектоpий, откуда могут запускаться скpипты (напpимеp, из /cgi-bin).
8. Удалите все стандаpтные диpектоpии с документами, котоpые поставляются с веб-сеpвеpами, такими как IIS и ExAir.
9. Устанавливайте все необходимые испpавления пpогpамм на веб-сеpвеpе, касающиеся безопасности, как только о них становится известно.
10. Если вы должны использовать гpафический интеpфейс на консоли администpатоpа веб-сеpвеpа, удалите команды, котоpые автоматически запускают его с помощью инфоpмации в .RC-поддиpектоpиях и вместо этого создайте команду для его pучного запуска. Вы можете затем пpи необходимости использовать гpафический интеpфейс, но закpывать его тотчас же после того, как вы пpоизведете необходимые действия. Не оставляйте гpафический интеpфейс pаботающим пpодолжительный пеpиод вpемени.
11. Если машина должна администpиpоваться удаленно, тpебуйте, чтобы использовалась пpогpамма, устанавливающая защищенное соединение с веб- сеpвеpом (напpимеp, SSH). Не позволяйте устанавливать с веб-сеpвеpом telnet-соединения или неанонимные ftp-соединения (то есть те, котоpые тpебуют ввода имени и паpоля) с недовеpенных машин. Неплохо будет также пpедоставить возможность установления таких соединений лишь небольшому числу защищенных машин, котоpые находятся в вашем интpанете.
12. Запускайте веб-сеpвеp в chroot-pежиме или pежиме изолиpованной диpектоpии (в этом pежиме эта диpектоpия кажется коpневой диpектоpией файловой системы и доступ к диpектоpиям файловой системы вне ее невозможен), чтобы нельзя было получить доступ к системным файлам.
13. Используйте анонимный FTP-сеpвеp (если он конечно вам нужен) в pежиме изолиpованной диpектоpии для диpектоpии, отличной от диpектоpии, являющейся коpнем документов веб-сеpвеpа.
14. Пpоизводите все обновления документов на публичном сеpвеpе из вашего интpанета. Хpаните оpигиналы ваших веб-стpаниц на веб-сеpвеpе в вашем интpанете и сначала обновляйте их на этом внутpеннем сеpвеpе; потом копиpуйте обновленные веб-стpаницы на публичный сеpвеp с помощью SSL- соединения. Если вы будете делать это каждый час, вы избежите того, что испоpченное содеpжимое сеpвеpа будет доступно в Интеpнет долгое вpемя.
15. Пеpиодически сканиpуйте ваш веб-сеpвеp такими сpедствами, как ISS или nmap, для пpовеpки отсутствия на нем известных уязвимых мест.
16. Оpганизуйте наблюдение за соединениями с сеpвеpом с помощью пpогpаммы обнаpужения атак (intrusion detection). Сконфигуpиpуйте эту пpогpамму так, чтобы она подавала сигналы тpевоги пpи обнаpужении попыток пpименить известные атаки или подозpительных действиях с веб-сеpвеpом, а также пpотоколиpовала такие соединения для детального анализа. Эта инфоpмация сможет впоследствии вам помочь устpанить уязвимые места и усилить вашу систему защиты.
ЕСЛИ ВАШ ВЕБ-САЙТ БЫЛ ВЗЛОМАН:
CIAC pекомендует следующие шаги пpи пpовеpке веб-сеpвеpа:
1. Установить ВСЕ испpавления, связанные с безопасностью, как для самого веб-сеpвеpа, так и для опеpационной системы.
2. Удалить ВСЕ ненужные файлы, такие как phf из диpектоpии со скpиптами.
Удалить стандаpтные диpектоpии с документами, поставляемые с веб- сеpвеpом (напpимеp, с IIS и ExAir).
3. Пpовеpить ВСЕ логины пользователей на веб-сеpвеpе и удостовеpиться в том, что они имеют тяжело угадываемые паpоли.
4. Пpовеpить ВСЕ сеpвисы и откpытые поpты на веб-сеpвеpе, чтобы удостовеpиться в том, что вместо них не установлены пpогpаммы- тpоянские кони.
5. Пpовеpить, нет ли подозpительных файлов в диpектоpиях /dev, /etc и
/tmp.
Организация доступа и разграничение прав пользователей.
Обычно пользователи , которые имеют доступ к сайту пользуются FTP для
доступа к сайту. Для того чтобы сделать этот процесс безопасным, следует
организовать доступ для каждого пользователя только к своей директории, обычно это делается с использованием chroot в FTP. Кроме того, не следует
давать ftp-пользователям шелл на сервере, оптимальнее всего делать шеллесс
эккаунты или эккаунты с ограниченными правами. Для пользователей можно
ввести общую группу, например www, если необходим совместный доступ к
нескольким сайтам, при этом группа не должна совпадать с группой демона
сервера.
. Подключение новых модулей и апгрейд программного обеспечения веб-сайта.
Основной вопрос который необходимо решить – когда производить апгрейд сайта
и нужно ли подключать новые модули. Тут нам необходимо вернуться несколько
назад к инсталляции и в вспомнить, что все-таки лучше собирать серверное ПО
в модульном варианте. Таким образом нам не приходится перекомпилировать
весь веб-сервер, достаточно скомпилировать сам модуль и добавить его в
конфигурацию.
Например, нам необходимо добавить модуль FastCGI к существующей
конфигурации. Наши действия:
Развернем mod_fastcgi_2.2.4 и запустим такое в папке дистрибутива:
/usr/local/httpd/bin/apxs -o mod_fastcgi.so -c *.c
/usr/local/httpd/bin/apxs -i -a -n fastcgi mod_fastcgi.so
В httpd.conf, ежели не добавилось автоматом - надо соответственно добавить
AddModule mod_fastcgi.c
И
LoadModule fastcgi_module mod_fastcgi.so
Апгрейд. Когда следует апгрейдить сервер до более свежей версии? Прежеде всего это следует делать или устанавливать патч, когда в текущей версии ПО обнаружены security holes, ошибки или участки кода приводящие к слету системы. Далее, поскольку апгрейд достаточно нудная и трудоемкая процедура, следует на сайте проидводителя прочитать CHANGES или WHATSNEW-документы и определиться – есть ли в новой версии что-либо, что вам очень необходимо и есть ли там какие-то новые полезные свойства, ради которых стоит сменить версию? Если таковых не обнаружено, то заниматься сменой версии, соответственно не надо.
Администрирование веб-сервера.
Логгирование и поиск ошибок.
Большая часть ошибок может быть обнаружена в error_log, который ведет
сервер, как, например, остутствующие картинки, ссылки, ошибки в скриптах
могут быть обнаружены только таким образом, если они размещены на сервере и
уже используются. Просмотр логов так же необходим для поиска попыток взлома
и нарушения использования сервера.
Веб-сервера
Многие организации сейчас поддерживают внешние WWW-сайты, описывающие их
компанию или сервисы. По причинам безопасности эти сервера обычно
размещаются за брандмауэром компании. Веб-сайты могут быть как домашними
разработками, так и тщательно разработанными средствами продвижения
товаров. Организации могут тратить значительное количество денег и времени
на разработку веб-сайта, предоставляющего большой объем информации в
удобном виде или создающего имидж компании. Другими словами, веб-сайт
организации является одной из форм создания имиджа и репутации компании.
Должны быть назначены ответственные за создание, управление и
администрирование внешнего веб-сайта компании. В больших компаниях это
может входить в обязанности нескольких должностей. Например, коммерческий
директор может отвечать за выявление и реализацию новых способов
продвижения товаров и услуг, а администратор веб-сайта - за соблюдение на
нем общей стратегии, включая координированную подготовку его содержимого и
контроль за его бюджетом. Начальник отдела продаж может отвечать за
представление отчетов о доходах, связанных с ведением веб-сайта. А
вебмастер будет отвечать за технические аспекты веб-сайта, включая
разработку, поддержание связи с ним, интранет, электронную почту, и
безопасность брандмауэра. Скорее всего программисты будут отвечать за
работоспособность веб-сайта, включая его установку, разработку программ для
него, их отладку и документирование. Вебартист может заниматься созданием
графических образов для него.
В более маленьких организациях программист или вебмастер может выполнять
большую часть описанных выше обязанностей и предоставлять доклады пресс-
службе или начальнику отдела продаж. Наконец, в очень маленькой организации
эти обязанности могут стать дополнительными обязанностями системного
аналитика или администратора ЛВС. Независимо от того, как администрируется
вебсайт, все люди, исполняющие эти обязанности должны претворять в жизнь
политику компании, разработанную ее руководством. Верхнее звено руководства
организацией может отвечать за утверждение создания новых веб-сайтов или
переработку имеющихся.
Кроме того, внутренние веб-сайты компании, расположенные внутри брандмауэра
организации, часто используются для рассылки информации компании
сотрудникам. Часто посылаются поздравления с днем рождения, графики
мероприятий, телефонные справочники и т.д. Также внутренние веб-сайты
используются для распространения внутренней информации о проектах, являясь
иногда центром информации для исследовательских групп. Хотя внутренние веб-
сайты не являются так же видимыми, как внешние страницы, они должны
администрироваться с помощью специально разработанных руководств и
директив. Руководители групп должны отвечать за это.
Любой может создать веб-сайт для распространения информации по любым
вопросам, не связанным с организацией. Организация должна принять решение о
том, стоит ли разрешать сотрудникам делать это на чужих веб-сайтах.
Большинство организаций используют Интернет для распространения информации
о себе и своих сервисах. Так как они представляют информацию, а не скрывают
ее, они описывают веб-сайт как "публичный", на котором не содержится
никакой конфиденциальной информации, и оттуда не может исходить никакой
угрозы. Проблема заключается в том, что хотя эта информация может быть
публично доступной, веб-сайт является частью организации, и должен быть
защищен от вандализма.
Публичные вебсайты в MGM/Universal Studios, Nation of Islam, Министерстве
юстиции США и ЦРУ могут подтвердить это утверждение. В них были совершены
проникновения в 1996 году. Атакующие использовали уязвимые места в
операционной системе, под управлением которой работали веб-сервера. Они
изменили ряд страниц веб-сайтов, и в некоторых случаях добавили
порнографические изображения, и в одном случае вставили оскорбления.
Хотя единственным следствием таких проникновений была потеря репутации, это
может оказаться достаточным, чтобы не захотеть испытать это во второй раз.
Если бы атакующие модифицировали описания сервисов организации, фальсифицировали цены, то последствия могли бы быть гораздо серьезнее.
Примеры политик веб-серверов
Низкий риск
Пользователь
На веб-сайтах организации не может размещаться оскорбительный или нудный
материал.
На веб-сайтах организации не может размещаться персональные рекламные
объявления
Менеджер
Менеджерам и пользователям разрешено иметь веб-сайт.
Материалы о сотрудниках на веб-сайтах или доступные с их помощью должны
быть минимальны.
На веб-сайтах организации не может размещаться оскорбительный или нудный
материал.
Конфиденциальная информация ее должна делаться доступной.
Сотрудник отдела автоматизации
Должен поддерживаться и быть доступен для внутреннего пользования локальный
архив программ веб-серверов и средств публикации информации на них.
Средний риск
Пользователь
Пользователям запрещено устанавливать или запускать веб-сервера.
В отношении веб-страниц должен соблюдаться установленный в организации
порядок утверждения документов, отчетов, маркетинговой информации и т.д.
Менеджер
Менеджерам и пользователям разрешено иметь веб-страницы для участия в
проекте или выполнения своих должностных обязанностей
Сотрудник отдела автоматизации
Веб-сервер и любые данные, являющиеся публично доступными, должны быть
размещены за пределами брандмауэра организации.
Веб-сервера должны сконфигурированы так, чтобы пользователи не могли
устанавливать CGI-скрипты
Все сетевые приложения, кроме HTTP, должны быть отключены (например, SMTP,
FTP и т.д.)
Информационные сервера должны быть размещены в защищенной подсети для
изоляции их от других систем организации. Это уменьшает вероятность того, что информационный сервер будет скомпрометирован и использован для атаки на
другие системы организации.
При использования средств администрирования с помощью WWW, ограничьте
доступ к нему только авторизованных систем (с помощью IP-адресов, а не имен
хостов). Всегда меняйте пароли по умолчанию.
Высокий риск
Пользователь
Пользователям запрещено загружать, устанавливать или запускать программы
веб-серверов.
Должен производиться контроль сетевого трафика для выявления
неавторизованных веб-серверов. Операторы этих серверов будут подвергаться
дисциплинарным наказаниям.
Менеджер
Руководство организации должно дать в письменном виде разрешение на работу
веб-сервера, подключенного к Интернету.
Все содержимое веб-серверов компании, присоединенных к Интернету, должно
быть утверждено и установлено веб-мастером.
Конфиденциальная информация не должна быть доступна с помощью веб-сайта.
К информации, размещенной на веб-сервере, применимы все законы о защите
информации. Поэтому, перед размещением информации в Интернете, она должна
быть просмотрена и утверждена так же, как утверждаются бумажные официальные
документы организации. Должны быть защищены авторские права, и получено
разрешение о публикации информации на веб-сайте.
Все публично доступные веб-сайты должны регулярно тестироваться на предмет
корректности ссылок, и не должны находиться в состоянии "under
construction". При реконструкции областей они должны делаться недоступными.
Сотрудник отдела автоматизации
Не должно иметься средств удаленного управления веб-сервером (то есть с
мест, отличных от консоли). Все действия администратора должны делаться
только с консоли. Вход в систему с удаленного терминала с правами
суперпользователя должен быть запрещен.
Программы веб-серверов и операционной системы, под управлением которой
работает веб-сервер, должны содержать все исправления, рекомендованные
производителем для этой версии.
Входящий трафик HTTP должен сканироваться, и о случаях появления
неавторизованных веб-серверов должно докладываться
Ограничение доступа к информации пользователями, адрес которых
заканчивается на .GOV или .COM, обеспечивает минимальную защиту для
информации, не разрешенной для показа всем. Может использоваться отдельный
сервер или отдельная часть для информации с ограниченным доступом.
За всеми веб-сайтами должен осуществляться контроль как составная часть
администрирования сети. Действия всех пользователей, заподозренных в
некорректном использовании Интернете, могут быть запротоколированы для
обоснования применения к ним в дальнейшем административных санкций.
На UNIX-системах веб-сервера не должны запускаться с правами
суперпользователя.
Разработка и использование CGI-скриптов должно контролироваться. CGI-
скрипты не должны обрабатывать входные данные без их проверки . Любые
внешние программы, запускаемые с параметрами в командной строке, не должны
содержать метасимволов. Разработчики отвечают за использование правильных
регулярных выражений для сканирования метасимволов командного процессора и
их удаление перед передачей входных данных программа на сервере и
операционной системе.
Все WWW-сервера организации, подключенные к Интернету, должны находиться
между брандмауэром и внутренней сетью организации. Любые внутренние WWW-
сервера организации, обеспечивающие работу критических приложений
организации должны быть защищены внутренними брандмауэрами. Критическая, конфиденциальная и персональная информация никогда не должны храниться на
внешнем WWW-сервере.
Обеспечение безопасности .
брандмауэр
фильтрация пакетов и разделение сетей
Создание резервных копий. Технологии: Backup, mirroring.
Необходимость создания резервных копий становится очевидной после первого слета системы, как, например, когда вы теряете практически все данные и на их восстановление уходит несколько суток, стоит задуматься об избежании таких ситуаций.
Две основные технологии резервного копирования – простой бэкап и
мирроринг. Простой бекап – это когда вы копируете всю существенную
информацию сайта на какой-либо носитель, винчестер, стример, магнитооптику,
PCMCI-диски и т.п. При этом рекомендуется делать так же копию всех
установленных позже программ и бинарных файлов. Если позволяют размеры
носителя – оптимально сделать полный бекап всей системы, в таком случае при
слете сервера время восстановления определяется скоростью чтения из
устройства.
Мирроринг. Технология может быть реализована двумя методами. Первый –
резервный винчестер, который может быть реализован в одном корпусе на
основе технологии SCSI настройкой адаптера или с использованием технологий
RAID. Второй – создание резервного сервера-зеркала, для которого информация
синхронизирована с основным. Это достаточно дорогой способ, так как требует
дополнительных расходов.
Система безопасности HP-UX
Политика и планирование системы безопасности
Не имеется несколько методов для разработки политики защиты. Вот более
общий подход.
. Идентифицировать то, что Вы должны защитить. Это может быть активы типа даные пользователей, доступ до аппаратных средств, данные, документация и т.д.
. Идентифицировать потенциальные угрозы вашим ресурсам.. Они включают угрозы от природных явлений (наводнения, землетрясения), невежество и недостаток обучения пользователей и намеренных нарушений защиты.
. Оценить вероятность этих угроз, повреждающих ваши ресурсы.
. Прокласифицировать риски уровнем серьезности, и определить стоимость для сокращения того риска (это также известно как оценка риска).
. Осуществляют меры, которые защитят ресурсы.
Общие действия защиты включают следующее:
. Ограничить вход в систему доступ к программному обеспечению.
. Пользователи должны выходить или используют команду блокировки при не использовании их терминалов.
. Сохранить резервные ленты (диски) в отдаленных местах
. Стереть устаревшие данные.
Подержка системы защиты включает:
. (identification) Идентификация пользователей. Все пользователи должны иметь уникальный идентефикатор(ID) входа в систему, состоящим из названия и пароля.
. (authentication) Установление подлинности пользователей. Когда пользователь войдет, система подтверждает подлинность его пароля, проверяя существование в файле пароля.
. (authorization) Разрешение пользователей. На системном уровне, HP-UX обеспечивает два вида компьютерного использования – обычный и суперпользователь. Индивидуальным пользователям можно предоставлять или ограниченный доступ к системным файлам через традиционные разрешения файла, списки контроля доступа, и запретить SAM
. (audit) Ревизия gользователей. HP-UX дает возможность ревизовать компьютерное использование пользователями и события.
Установка Trusted Системы
HP-UX предлагает дополнительный инструментарий для безопасности системы.
Для конвертации в trusted систему можно использовать SAM в разделе Auditing
and Security. Также можна сделать это вручною редактируя скрипт
/etc/rc.config.d/auditing.
После «конвертации» стелаються следующие действия
a. Создает новый, защищенная база данных пароля в /tcb/files/auth/.
b. Зашифровка паролей с /etc/passwd файла до защищенной базы данных пароля и заменяют поле пароля в /etc/passwd со звездочкой (*). Вы должны копировать /etc/passwd файл, чтобы записать на ленту перед преобразованием.
c. Вынуждает всех пользователей использовать пароли
d. Создает audit ID для каждого пользователя.я.
e. Устанавливает audit флажок на для всех существующих пользователей
f. Конвертирует at,batch и crontab файлы, чтобы использовать установлные audit ID
Для аудитинга используют следующие команды: audsys(1M) установка/отмена фудитинга и показывает ревезионные файли audusr(1M) выбор ползователя для аудита audevent(1M) просмотр и изменения событий и системеных вызовов audomon(1M) устанавливает аудит файл и размер для мониторинга audisp(1M) показывает аудит установки (записи)
Также все это можно сделать визуально в SAM разделе Auditing and Security
Управление паролями и системным доступом
Пароль - наиболее важный индивидуальный код (символы) идентификации
пользователя. Этим, система подтверждает подлинность пользователя, чтобы
позволить доступ к системе. Администратор и обычный пользователь в системе
долженй совместно использовать ответственность за защиту пароля.
Администратор исполняет следующие задачи защиты:
. Генерирует ID и для системы новым пользователям. Чтобы поддерживать секретность пароля, SAM генерирует Номер Разрешения для каждого нового пользователя. Этот номер должен использоваться для первого входа в систему. Как только этот номер был проверен, новому пользователю будет дано установить свой новый пароль
. устанавливает надлежащий доступ на /etc/passwd и зашифрованом пароле, в
/tcb/files/auth/user_initial/user_name файлы.
. Устанавливает старение пароляоля.
. Удаление(стирание) паролей у каких вышел срок действия
Каждый пользователь должен выполнять следующие правила:
. Помнить пароль и держать его в секрете
. Изменять переодически пароли
. Следить за изменеием своих данных
. Для каждой машине иметь разные пароли
Управлением доступом к файлам и каталогам
ВHP-UX системе, Вы используете ls -l команду, чтобы видеть полную
распечатку разрешений файла и ls -ld, чтобы перечислить разрешения
каталога.
Chmod (1) команда позволяет Вам изменять разрешения каталогов и файлов.
Вы можете дополнительно использовать списки контроля доступа (ACLs), чтобы расширитьтрадиционный механизм разрешения, давая пользователям большeую степень управления доступом. Разрешения доступа и ограничения могут быть определены к степени детализации определенных пользователей и групп. chacl (1) создает и изменяет ACLs и lsacl (1) показывает списки ACLs файлов.
Команда chacl - подмножество команды chmod. Любые определенные разрешения, которые Вы назначаете с командой chacl, добавлены к большему количеству
общих разрешений, назначенных с командой chmod. Например, предположите, что
Вы используете команду chmod, чтобы позволить только непосредственно
разрешение записи myfile. Вы можете использовать команду chacl, чтобы
делать исключение и позволять ваше разрешение записи администратора myfile
также.
Рекомендуем скачать другие рефераты по теме: бесплатные тесты бесплатно, рефераты по медицине.
Категории:
Предыдущая страница реферата | 30 31 32 33 34 35 36 37 38 39 40 | Следующая страница реферата