Учебное пособие Ставрополь сф мггу им. М. А. Шолохова 2009

322
Рис. 21.4 - Консоль управления групповой политикой
Group Policy Results.
Консоль управления групповой политикой предоставляет средство для определения результирующей политики для данного пользователя и/или системы. (Этот метод отличается от средства
Resultant Set of Policy
, обсуждаемого ниже) Чтобы сгенерировать запрос
Group
Policy Results (Результаты групповой политики)
для пользователя/компьютера, нужно открыть лес, щелкнуть правой кнопкой мыши на пункте
Group Policy
Results (Результаты групповой политики
) и затем выбрать
Group Policy Results
Wizard (Мастер результатов групповой политики)
. Выполните предписания мастера и введите соответствующую информацию в окнах ввода данных. На рисунке 21.5 показаны результаты запроса
Group Policy Results для администратора в IHS в домене jiloa.com.
Рис. 21.5 - Результаты групповой политики для администратора в IHS
Resultant Set of Policy (RSoP).
Утилита предназначена для облегчения процессов применения политик и устранения неполадок в них. Она предоставляет детальные сведения обо всех сконфигурированных параметрах политики и может помочь определить набор примененных

323 политик и порядок, в котором они применяются. Это очень полезно, когда несколько политик применяются на различных уровнях, таких как сайт, домен и организационное подразделение (единица).
Эта утилита используется для симуляции результатов применения параметров политики, которые вы собираетесь применить к компьютеру или пользователю, а также для определения параметров текущей политики для пользователя, находящегося в данный момент в системе компьютера. На рисунке 21.6 приведен пример
RSoP
для политики аудита системы IHS.
RSoP
находится в оснастке
MMC
и открывается в консоли управления Microsoft
(MMC)
, оснастке
Aсtive Directory Users and Computers (Пользователи и компьютеры Aсtive Directory)
или оснастке
Aсtive Directory Sites and Services
(Сайты и службы Aсtive Directory)
Рис. 21.6 - RSoP для политики аудита на IHS

324
22. ОСНОВЫ БЕЗОПАСНОСТИ ОПЕРАЦИОННЫХ СИСТЕМ
СЕМЕЙСТВА UNIX
На протяжении большей части истории интернета системы Unix обеспечивали наивысший уровень функционирования служб в сети. В данной лекции приводятся некоторые базовые соображения безопасности, связанные с построением и защитой системы Unix. Ввиду большого числа доступных на рынке Unix-систем точные местоположения файлов и команды не являются абсолютно правильными для всех версий Unix.
22.1 Настройка системы
После построения системы Unix в ней, как правило, присутствует ряд уязвимостей. Большую их часть можно устранить посредством обновления системы или внесения изменений в конфигурационные файлы.
22.1.1 Файлы загрузки
Системы Unix настраиваются при загрузке с использованием соответствующих загрузочных файлов. В зависимости от версии Unix файлы загрузки могут располагаться в различных местах. В системе Solaris файлы загрузки находятся в каталоге
/etc/rc2.d
, в системе Linux - в каталоге
/etc/rc.d/rc2.d
. В различных версиях Unix файлы могут располагаться в различных местах, это расположение действительно для Red Hat.
В файлах загрузки запускается ряд служб. Некоторые из них (сеть, монтировка файловых систем и журнал запуска) необходимы для функционирования системы, и ничто не должно препятствовать их работе.
Другие службы не являются столь критичными и запускаются в зависимости от того, каким образом используется система. Чтобы предотвратить запуск службы, просто измените имя файла. Если служба не понадобится в будущем, файл можно удалить.
Службы, обычно запускаемые при помощи файлов загрузки, включают в себя следующие сервисы:
- Inetd;
- NFS;
- NTP;
- Routed;
- RPC;
- Sendmail;
- Web servers.
22.1.2 Службы
Набор служб, выбранных для систем Unix, зависит от того, каким образом они будут использоваться. Некоторые из этих служб будут

325 запускаться с помощью файлов загрузки; ряд служб контролируется через сервис inetd и настраивается в файле
/etc/inetd.conf
Приведенный ниже текст представляет собой часть файла inetd.conf системы Solaris. Строки, начинающиеся с символа решетки
<#>
- являются комментариями.
#ident «@(#)inetd.conf 1.27 96/09/24 SMI»
/*SVr4.0 1.5 */
# Ftp and telnet are standard Internet services. ftp stream tcp nowait root
/usr/sbin/in.ftpd in.ftpd
#telnet stream tcp nowait root /usr/sbin/in.telnetd in.telnetd
#
# Shell, login, exec, comsat and talk are BSD protocols.
#shell stream tcp nowait root
/usr/sbin/in.rshd in.rshd
#login stream tcp nowait root /usr/sbin/in.rlogind in.rlogind
#exec stream tcp nowait root
/usr/sbin/in.rexecd in.rexecd
#comsat dgram udp wait root
/usr/sbin/in.comsat in.comsat
#talk dgram udp wait root
/usr/sbin/in.talkd in.talkd
#
# Solstice system and network administration class agent server
#100232/10 tli rpc/udp wait root /usr/sbin/sadmind sadmind
Файл inetd.conf не только контролирует службы типа FTP и telnet, но и некоторые службы RPC. Файл inetd.conf необходимо очень внимательно проверять на предмет того, что в нем сконфигурированы только необходимые службы. После правильной настройки файла необходимо перезапустить службу inetd посредством следующей команды:
#kill -HUP <номер процесса inetd>
Команда
-HUP
вызывает повторное считывание службой inetd ее конфигурационного файла.
Многие службы, настраиваемые по умолчанию на системах Unix, необходимо отключить. Ниже приведен перечень этих служб:
Chargen rexd
Systat
Discard
Routed
Tftp
Echo
Rquotad
Uucp
Finger
Rusersd
Walld netstat sprayd

326
Кроме того, можно отключить службы
Daytime
,
Time и
SNMP
D, если они не используются. Служба
Time может использоваться некоторыми системами синхронизации, а служба
SNMPD
- для управления системой.
Как видно из приведенного выше фрагмента содержимого файла inetd.conf
, службы telnet и
FTP
, как правило, настроены на рабочее состояние.
Эти два протокола позволяют передавать идентификаторы пользователей и пароли через сеть в открытом виде. Возможно использование шифрующих версий этих протоколов для защиты паролей. При работе через telnet рекомендуется использовать Secure Shell (SSH). Некоторые версии SSH входят в программу
Secure Copy (SCP)
для передачи файлов.
22.1.3 Сетевая файловая система NFS
Внутри организации может потребоваться использование файловой системы Network File System (NFS). Если это не так, отключите NFS на любой системе, на которой не требуется ее использование. NFS предназначена для монтирования файловой системы с одной системы на другую. Если NFS настроена неправильно, то велика вероятность того, что кто-то получит доступ к секретным файлам. Чтобы правильно настроить
NFS, следует соответствующим образом изменить файл
/etc/dfs/dfstab
Примечание. Неблагоразумно разрешать экспорт файловых систем во внешнюю среду из рассматриваемой организации.
22.1.4 Серверы и рабочие станции
В некоторых организациях операционная система Unix используется как на серверах, так и на рабочих станциях. При использовании на рабочей станции система обычно настраивается на функционирование системы
X Window System
. На системах Solaris в этом случае используется программа
ToolTalk
(RPC-программа, предназначенная для связи между приложениями).
Эти службы не нужны на серверах, а службы DNS и routed не требуются на рабочих станциях. Необходимо разработать руководство по настройке серверов и руководство для настройки рабочих станций, если система Unix используется описанным выше образом.
Примечание.
Программа
ToolTalk контролируется посредством inetd.conf на системах Solaris. Чтобы отключить эту программу, необходимо закомментировать следующую строку:
100083/1 tli rpc/tcp wait root
/usr/dt/bin/rpc.ttdbserverd/usr/dt/bin/rpc.ttdbserverd.

327
22.1.5 Использование программ TCP Wrappers
Программы
TCP
Wrappers
(доступны по адресу ftp://ftp.porcupine.org/pub/security) используются для обеспечения дополнительного уровня защиты в случае применения служб telnet или FTP.
Как видно из названия, программы
TCP Wrappers
(wrap - оболочка) создают
«оболочку» для служб telnet и FTP с целью обеспечения дополнительного контроля доступа и ведения журналов. Для использования программы TCP
Wrappers необходимо настроить файл inetd.conf так, чтобы строки telnet и
FTP
выглядели следующим образом: ftp stream tcp nowait root /usr/local/bin/tcpd /usr/sbin/in.ftpd telnet stream tcp nowait root /usr/local/bin/tcpd /usr/sbin/in.telnetd
Эти строки вызывают запуск
TCP Wrappers
(
tcpd
) службой inetd
, когда кто-либо пытается установить с системой сеанс связи через telnet или FTP.
Примечание.
TCP Wrappers можно использовать и для других служб, таких как POP и IMAP. Нужно просто внести соответствующие изменения в строки конфигурации, представленные выше.
TCP Wrappers можно настроить на блокировку или разрешение определенным узлам или сетям доступа к службам telnet и FTP. Файлы, используемые для этих действий по настройке,
- это файлы
/etc/hosts.allow и
/etc/hosts.deny
. Синтаксис для работы с этими файлами выглядит следующим образом:
<имя программы-оболочки>: /<маска сети>
Следующие файлы представляют собой примеры файлов конфигурации
TCP Wrapper hosts.allow:
#Allow telnets from my internal network (10.1.1.x) in.telnet: 10.1.1.0/255.255.255.0
#Allow ftp from the world in.ftpd: 0.0.0.0/0.0.0.0 hosts.deny:
#Deny telnets from anywhere else in.telnetd: 0.0.0.0/0.0.0.0
Файл hosts.allow оценивается в первую очередь, после чего обрабатывается файл hosts.deny
. Следовательно, можно сначала настроить все системы, которым разрешено работать с различными службами, после чего запретить все остальное в файле hosts.deny
. Кроме того, следует внести изменение в настройку журнала, чтобы разрешить
TCP Wrappers заносить данные в журнал системы.

328
22.1.6 Файлы конфигурации системы
Существует ряд изменений, которые можно внести в файлы конфигурации системы Unix, чтобы увеличить общий уровень безопасности системы. Это могут быть как предупреждающие сообщения, так и защита от переполнения буфера на некоторых системах. Любые изменения должны вноситься в конфигурацию в соответствии с политикой безопасности организации.
Внимание! Имейте в виду, что в различных версиях систем Unix файлы конфигурации располагаются в различных местах. Обратитесь к руководствам или инструкциям конкретной используемой версии Unix, чтобы удостовериться в корректности вносимых изменений в отношении рассматриваемой версии системы.
Приветственные сообщения могут использоваться для заявления о правах собственности перед входом пользователя в систему. Сообщение должно быть написано на языке, разрешенном для использования юридическим отделом организации.
Приветственное сообщение хранится в
/etc/motd
(сокр. от «message of the day» - сообщение дня). Однако это сообщение отображается не перед входом пользователя в систему, а после него. Большинство уведомлений, связанных с юридическими вопросами, необходимо отображать перед входом пользователя в систему.
Чтобы сообщение отображалось перед входом пользователя в систему, используйте следующий способ. В ОС Solaris предварительное уведомление хранится в каталоге
/etc/default/telnetd
. Можно создать сообщения входа для
FTP посредством редактирования файла
/etc/default/ftpd
. Для создания сообщения добавьте в файл строку, аналогичную следующей:
BANNER=«\n\nПараметр
\n означает новую строку. Поэкспериментируйте с символами новой строки, чтобы сообщение приняло нужный вам вид.
В системах Linux для сообщений telnet используются два файла:
/etc/issue и
/etc/issue.net
. Файл issue применяется для терминалов, подключенных напрямую, а issue.net используется в том случае, когда кто- либо устанавливает по сети соединение через telnet с рассматриваемой системой. К сожалению, только на изменении этих файлов создание сообщения не закончится, так как они создаются заново при каждой загрузке системы. Однако можно изменить сценарий загрузки, создающий эти файлы.
Файлы создаются в сценарии загрузки
/etc/rc.d/rc.local
. Чтобы предотвратить автоматическое создание
/etc/issue и
/etc/issue.net
, закомментируйте следующие строки
/etc/rc.d/rc.local
:

329
# This will overwrite /etc/issue at every boot. So, make any changes you
# want to make to /etc/issue here or you will lose them when you reboot. echo «« > /etc/issue echo «$R» > /etc/issue echo «Kernel $(uname -r) on $a $SMP$(uname -m)» >> /etc/issue
После этого можно изменить
/etc/issue и
/etc/issue.net
, введя в них соответствующий текст с заявлением о правах.
22.2 Настройки паролей
Существует три этапа процедуры управления паролями в системе Unix.
- Настройка требований к паролям.
- Запрет на вход без пароля.
- Указание требований к содержимому паролей.
22.2.1 Настройка требований к паролю
В системах Unix требования к возрасту паролей и их длине устанавливаются посредством изменения файла конфигурации. В системе
Solaris этим файлом является
/etc/default/passwd
. Файл содержит приведенные ниже строки, которые следует редактировать для соответствия политике безопасности организации.
#ident
«@(#)passwd.dfl
1.3 92/07/14 SMI»
MAXWEEKS=7
MINWEEKS=1
PASSLENGTH=8
Внимание!
Будьте внимательны при указании значений максимального и минимального срока действия паролей, так как система воспринимает вводимые значения как количество недель, а не дней.
В каждой организации должны быть разработаны процедуры конфигурации, специфичные для конкретной используемой системы; при этом необходимо руководствоваться политикой безопасности.
Эти процедуры должны определять, каким образом следует настраивать систему с использованием конкретной операционной системы, чтобы обеспечить соответствие ОС требованиям политики безопасности.
В системах Linux требования к паролям находятся в файле
/etc/login.defs
. Следующие строки файла
/etc/login.defs представляют собой настраиваемые параметры:

330
# Password aging controls:
#
# PASS_MAX_DAYS Maximum number of days a password may be used.
# PASS_MIN_DAYS Minimum number of days allowed between password changes.
# PASS_MIN_LEN Minimum acceptable password length.
# PASS_WARN_AGE Number of days warning given before a password expires.
#
PASS_MAX_DAYS 45
PASS_MIN_DAYS 1
PASS_MIN_LEN 8
PASS_WARN_AGE 7
Внимание! Имейте в виду, что в системах Linux минимальные и максимальные значения возраста паролей указываются в днях. Linux также позволяет предупреждать пользователей о том, что до окончания срока действия пароля осталось несколько дней.
22.2.2 Запрет на вход без пароля
Программы rlogin
, rsh и rexec позволяют пользователям осуществлять вход в систему с определенных систем без указания пароля вручную. Этого делать не рекомендуется, так как злоумышленник, проникший в одну из систем, может таким образом получить доступ к остальным компьютерам.
Помимо удаления служб rlogin
, rsh и rexec из
/etc/inetd.conf следует удостовериться в том, что файл
/etc/host.equiv и любые файлы
.rhost
, имеющиеся в системе, найдены и удалены. Не забудьте также проверить домашние каталоги всех пользователей.
22.2.3 Указание требований к содержимому паролей
Запрет пользователям на выбор ненадежных паролей является одним из наилучших способов повышения уровня безопасности системы. К сожалению, до недавнего времени в системах Unix существовало несколько простых способов это сделать. Программы типа passwd+
и npasswd имеются для Linux, но не для Solaris. Обе эти программы позволяют указывать требования к надежности паролей и вынуждают пользователей выбирать пароли, соответствующие установленным правилам.
С выходом Solaris 2.6 и более поздних реализаций Linux появилось более совершенное средство отслеживания надежности паролей пользователей - это
Pluggable Authentication Modules (PAM)
. Более подробная информация о PAM и о том, как создать фильтры паролей, находится по адресу http://www.sun.com/solaris/pam/; для системы Linux - по адресу ftp://ftp.kernel.org/pub/linux/libs/pam/index.html.