Лекция: Информационн icon

Лекция: Информационн


Смотрите также:
Вводный семинар, вводная лекция, занятия по целе-полаганию, лекция-беседа...
Аналитические материалы к переговорному процессу по выработке нового соглашения «Копенгаген...
Лекция 20. 03. 12. Модели для исследования и оценки в pr лекция 27. 03. 12...
Лекция Фьючерсные контракты Лекция Фьючерсы на акции...
Об утверждении рекомендаций по проведению первоочередных мероприятий по интеграции деятельности...
Лекция Историография как научная дисциплина Лекция Исторические знания в Древней Руси...
Курс лекций Лекция Введение в земледелие. Лекция Научные основы земледелия...
Лекция Сионизм в оценке Торы Лекция Государство Израиль испытание на прочность...
Лекция Введение в социологию 6 Лекция Становление и основные этапы развития социологии. 20...
План лекционных занятий Лекция Развитие аудиальных средств информации. Лекция 2...
Курс лекций Москва 2008 Содержание Лекция Введение 4 Лекция Научные знания в средневековой Руси...
Лекция Историография как научная дисциплина Лекция Исторические знания в Древней Руси...



Загрузка...
страницы: 1   2   3   4   5   6   7   8   9   10
вернуться в начало
скачать
^

Повышение безопасности системы защитных средств


После установки операционной системы необходимо повысить ее безопасность для применения в качестве защитной системы. Этот процесс подразумевает отключение ненужных служб, ужесточение прав доступа и, как правило, минимизацию видимых извне областей компьютера. Детали выполняемых действий варьируются в зависимости от предполагаемого использования компьютера и от операционной системы.

Повышение безопасности обычно достигается напряженным ручным трудом, просмотром и модификацией всех возможных настроек. На эту тему для каждой конкретной операционной системы написано множество книг. Однако вам не придется целиком читать какую-либо другую книгу, если вы укрепляете операционную систему Linux - теперь для этого существуют автоматические средства. В результате не только экономится время, но и снижается вероятность упущений.

^ Bastille Linux: Программа повышения безопасности ОС для Linux

Bastille Linux

Автор/основной контакт: Jay Beale

Web-сайт: http://www.bastille-linux.org

Платформы: Linux (RedHat, Mandrake, Debian), HP/UX

Лицензия: GPL

Рассмотренная версия 2.1.1

Важные адреса электронной почты:

Общие вопросы: jon@lasser.org

Технические вопросы: jay@bastille-Linux.org

Списки почтовой рассылки:

Извещения Bastille Linux:

http://lists.sourceforge.net/mailman/listinfo/bastille-Linux-announce

Разработка Bastille Linux:

http://lists.sourceforge.net/mailman/listinfo/bastille-Linux-discuss

Системные требования:

Perl 5.5_003 или выше

Perl TK Module 8.00.23 или выше

Perl Curses Module 1.06 или выше

Первым защитным средством является инструмент повышения безопасности операционной системы, именуемый Bastille Linux. Несмотря на название, это не самостоятельная операционная система, а, скорее, набор командных файлов, которые просматривают и устанавливают некоторые системные параметры, основываясь на ваших подсказках. Данное средство существенно упрощает процесс повышения безопасности, сводя его к ответам на некоторые вопросы. Возможна также установка межсетевого экрана (см. следующую лекцию). Bastille Linux можно запускать в Mandrake, RedHat, Debian и HP/UX (последняя ОС даже не является вариантом Linux). Джей Бил, разработчик, продолжает выпускать версии, поддерживающие другие дистрибутивы Linux.
^

Установка Bastille Linux


Bastille написан с применением инструментального пакета Curses (вот уж действительно подходящее имечко для языка программирования!) ("curses" в переводе с английского означает "проклятие". - прим. ред.).

  1. Сначала необходимо загрузить и установить Perl Curses и модули TK, от которых зависит Bastille. Их можно получить со страницы на сайте Bastille:

http://www.bastille-Linux.org/perl-rpm-chart.html.

  1. Пользователи RedHat должны также установить пакет с именем Pwlib, который можно получить с той же страницы. Для установки пакета запустите в командной строке RPM с параметрами, заданными на этой странице.

  2. После установки требуемых модулей загрузите RPM Bastille или возьмите его с прилагаемого к книге компакт-диска. Щелкните на нем мышью, и Bastille должен установиться автоматически.

Теперь можно запустить Bastille, чтобы повысить (укрепить) безопасность вашей операционной системы.

^ Флэми Тех советует:

Сначала запустите Bastille на непроизводственной системе!

В первый раз всегда запускайте все средства на непроизводственной или тестовой системе. Эти программы могут отключать службы, необходимые для функционирования web-сервера или сервера электронной почты, вызвав тем самым перебои в работе. Только после полного тестирования всех эффектов и проверки стабильности можно запускать их в производственной среде.
^

Запуск Bastille Linux


  1. Если при установке ОС вы не задали запуск X-Window при загрузке, наберите startx в командной строке, и на экране появится графический интерфейс X-Window.

  2. Запустите Bastille в интерактивном режиме, щелкнув мышью на значке Bastille, расположенном в каталоге /usr/bin/bastille. Можно также набрать bastille в терминальном окне, открытом в Х.

  3. Если вы не хотите или в силу каких-то причин не можете использовать Bastille в X-Window, можно запустить Bastille из командной строки, используя интерфейс на основе Curses.

Наберите

bastille c

в командной строке. Оба интерфейса дадут одинаковые результаты.

Можно запустить Bastille и в неинтерактивном режиме. В этом случае Bastille выполняется автоматически, не задавая никаких вопросов и действуя согласно предварительно созданному конфигурационному файлу. Конфигурационный файл создается при каждом запуске Bastille. После этого его можно использовать для выполнения Bastille на других компьютерах в неинтерактивном режиме. Этот метод полезен для быстрого повышения безопасности множества компьютеров. Если у вас есть конфигурационный файл, который делает то, что требуется, просто загрузите Bastille на другие машины и скопируйте на них конфигурационный файл (или предоставьте им доступ к этому файлу по сети). Затем введите bastille non-interactive config-file (здесь config-file - это маршрутное имя нужного конфигурационного файла).

Чаще всего, однако, Bastille будет выполняться в интерактивном режиме. В этом режиме вы отвечаете на последовательность вопросов о том, как вы будете использовать компьютер. На основе ответов Bastille выключает ненужные службы или ограничивает привилегии пользователей и служб. Он спрашивает что-нибудь вроде: "Вы собираетесь использовать этот компьютер для доступа к машинам с Windows?" При отрицательном ответе он отключает сервер Samba, который позволяет вашему компьютеру взаимодействовать с Windows-машинами. Потенциально Samba может создать некоторые уязвимости в вашей системе, поэтому, если он не нужен, его лучше отключить. Если требуется запускать некоторые серверы (например, SSH), то Bastille будет пытаться установить их с ограниченными привилегиями или использовать сдвиг корня файловой системы. Последнее означает, что если сервер должен выполняться с привилегиями root, его возможности по воздействию на другие части системы будут ограничены. Это смягчает последствия успешных атак на службу.

Каждый вопрос сопровождается пояснением, почему эта настройка важна, так что можно решить, подходит ли она для вашей установки. Имеется также кнопка "More detail" (Подробнее) для получения дополнительной информации. Bastille использует новейший подход, пытаясь обучать администратора в процессе повышения безопасности системы. Чем больше у вас информации, тем лучше вы будете вооружены для выполнения обязанностей по защите сети.

Можно пропустить вопрос, если вы не вполне уверены в ответе, и вернуться к нему позднее. Не беспокойтесь, в конце у вас будет возможность придать окончательный вид всем настройкам. Можно также запустить Bastille позже, когда ответ будет найден, и изменить настройку в это время. Еще одна приятная особенность данного средства - предоставление в конце сеанса списка "недоделок" для всех элементов, оставшихся ненастроенными.

Теперь вы получили защищенный компьютер Linux для запуска средств безопасности. Если вы новичок в операционных системах на основе UNIX, то желательно ознакомиться с основными командами и навигацией. Если вы когда-то использовали DOS, то многие команды окажутся знакомыми, хотя их синтаксис несколько отличается. Одно из наиболее существенных различий между Windows и Linux и другими операционными системами на основе UNIX состоит в учете регистра символов в файловой системе. Приложение B содержит краткую таблицу наиболее часто используемых команд Linux и UNIX. Найдите время попрактиковаться в работе с операционной системой и убедитесь, что можете делать простые вещи, такие как смена текущего каталога, копирование файлов и т.д.

Существует несколько команд операционной системы, которые часто используются в защитной деятельности. Они не являются в полном смысле слова отдельными программами для защиты скорее - это утилиты операционной системы, которые можно применять для генерации данных безопасности. Они настолько часто используются в последующих лекциях и в целом в работе по обеспечению безопасности, что я хотел бы детально обсудить их.

ping: средство диагностики сети

ping

Автор: Mike Muus (покойный)

Web-сайт: http://ftp.arl.mil/~mike/ping.html

Платформы: Большинство платформ UNIX и Windows

Лицензии: Различные

Справочная информация в UNIX:

Наберите man ping в командной строке.

Если вы имели дело с системами в Интернете, то, вероятно, использовали ping, но в приложениях безопасности ping применяется специфическим образом и по-особому обрабатывается. ping расшифровывается как Packet Internet Groper (пакетный межсетевой щуп, звучит не вполне политкорректно) и является диагностическим средством, встроенным ныне в большинство стеков TCP/IP. Многие считают, что ping напоминает радар подводной лодки: испускается, отражается от цели и возвращается. Хотя это и хорошая общая аналогия, она не вполне точно отражает то, что происходит при эхо-тестировании. ping использует сетевой протокол, называемый ICMP (Internet Control Message Protocol - межсетевой протокол управляющих сообщений). Эти сообщения применяются для передачи информации о сетях. ping использует ICMP-сообщения типов 8 и 0, которые также известны как Echo Request (Запрос отклика) и Echo Reply (Отклик) соответственно. Когда выдается команда ping, компьютер посылает запрос отклика другому компьютеру. Если машина на другом конце доступна и поддерживает совместимый стек TCP, то она ответит откликом. Ping-коммуникации в целом выглядят следующим образом:

Система A посылает ping системе B: Echo Request, "Есть кто-нибудь?"

Система B получает запрос отклика и отправляет назад отклик, "Да, есть."

В типичном сеансе ping это повторяется несколько раз, чтобы проверить, теряют ли пакеты целевая машина или сеть. ping применяется также для определения задержки, то есть времени, которое требуется пакету для перемещения между двумя точками.

При использовании ping можно получить от хоста и другие типы ICMP-сообщений. Каждый из них имеет свой смысл, объясняемый в последующих лекциях.

  • Сеть недоступна.

  • Хост недоступен.

С помощью ping о хосте можно узнать не только то, работает он или нет, но и многое другое. Как вы увидите далее, способ, которым компьютер отвечает на ping, часто показывает, какая операционная система на нем функционирует. Можно также использовать ping для генерации поискового DNS-запроса и получения имени целевого хоста (если таковое имеется). Иногда это позволяет определить, является ли компьютер сервером, маршрутизатором или, возможно, домашним компьютером с коммутируемым или широкополосным соединением. Можно эхо-тестировать IP-адрес или полностью заданное доменное имя. В табл. 2.1 перечислены дополнительные ключи и опции команды ping, которые могут оказаться полезными.

^ Таблица 2.1. Опции ping

Опция

Описание

-c count

Посылает сообщение ping count раз. В системах Linux и UNIX по умолчанию сообщения посылаются непрерывно, в Windows - четыре раза

-f

Ping-наводнение. Посылается максимально возможное число пакетов в максимально быстром темпе. Это полезно для тестирования, чтобы увидеть, теряет ли хост пакеты, так как графически отображается, на сколько запросов поступили ответы. Будьте очень осторожны с этой командой, так как она может очень легко забить машину или сеть

-n

Не выполнять DNS на IP-адрес. Это может ускорить ответ и исключить проблемы с DNS при диагностике сетевых проблем

-s size

Посылает пакеты длины size. Это полезно при тестировании того, как машина или маршрутизатор обрабатывает большие пакеты. Ненормально большие пакеты часто используют в атаках на доступность, чтобы сбить или подавить систему

-p pattern

Посылает pattern в качестве полезной нагрузки пакета ICMP. Это также хорошая проверка того, как машина реагирует на необычные ICMP-воздействия




оставить комментарий
страница6/10
Дата02.10.2011
Размер5,46 Mb.
ТипЛекция, Образовательные материалы
Добавить документ в свой блог или на сайт

страницы: 1   2   3   4   5   6   7   8   9   10
отлично
  1
Ваша оценка:
Разместите кнопку на своём сайте или блоге:
rudocs.exdat.com

Загрузка...
База данных защищена авторским правом ©exdat 2000-2017
При копировании материала укажите ссылку
обратиться к администрации
Анализ
Справочники
Сценарии
Рефераты
Курсовые работы
Авторефераты
Программы
Методички
Документы
Понятия

опубликовать
Загрузка...
Документы

наверх