Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
RGZ_Anya.docx
Скачиваний:
1
Добавлен:
01.03.2025
Размер:
384.51 Кб
Скачать

5.3 Описание субд MySql

MySQL - компактный многопоточный сервер баз данных. MySQL характеризуется большой скоростью, устойчивостью и легкостью в использовании. MySQL был разработан компанией tcx для внутренних нужд, которые заключались в быстрой обработке очень больших баз данных.

MySQL является идеальным решением для малых и средних приложений. Исходники сервера компилируются на множестве платформ. Наиболее полно возможности сервера проявляются на Unix-серверах, где есть поддержка многопоточности, что дает значительный прирост производительности.

К основным преимуществам СУБД относятся: многопоточность, поддержка нескольких одновременных запросов, записи фиксированной и переменной длины, гибкая система привилегий и паролей, интерфейс с языками C и Perl, PHP, быстрая работа, масштабируемость, бесплатна в большинстве случаев.

MySQL использует защиту, основанную на Списках Управления Доступа (ACL) для всех подключений, запросов, и других операций, которые пользователь может пытаться исполнять. Для обеспечения защищённости также необходимо соблюдать конфиденциальность паролей. Не следует хранить пароли в виде открытого текста в базе данных. Если компьютер будет взломан, то вторгшийся сможет получить полный список паролей и использовать их. Вместо этого можно использовать MD5 алгоритм или любой другой на основе односторонней хеш-функции. Не следует выбирать пароли из словарей. Имеются специальные программы, чтобы подбирать их. Не стоит передавать незашифрованные данные по Internet. Эти данные доступны для каждого, кто имеет время и способность перехватить их и использовать для собственных целей. Вместо этого, лучше использовать зашифрованный протокол типа SSL или SSH. MySQL поддерживает внутренний SSL версии 3.23.9. SSH может использоваться для создания зашифрованных туннелей.

5.4 Файервол Iptables

IPTables — утилита командной строки, является стандартным интерфейсом управления работой межсетевого экрана (брандмауэра) NETFilter для ядер Linux, Принципы работы заключаются в следующем: когда пакет приходит на межсетевой экран, то он сперва попадает на сетевое устройство, перехватывается соответствующим драйвером и далее передается в ядро. Далее пакет проходит ряд таблиц и затем передается либо локальному приложению, либо переправляется на другую машину.

5.5 Linux ACLs

Иногда в процессе работы администратор сервера может столкнуться с проблемой правильной установки прав доступа. Например, возникла ситуация, когда на один файл необходимо установить право на чтение трем пользователям разных групп и право на чтение и выполнение для пользователя четвертой группы. Решение этой проблемы стандартными средствами является достаточно сложной задачей. Права доступа в Linux задаются девятью битами, что предполагает установку прав только для пользователя-владельца, группы-владельца и всех остальных. Какие-либо дополнительные возможности по установке прав доступа к файлу в стандартной конфигурации ОС Linux отсутствуют. В результате для решения задачи может потребоваться внесение пользователей в общие группы или создание дополнительных групп, что является не всегда приемлемым и помимо всего прочего создает дополнительные проблемы управления.

Оптимальным решением в ситуации такого рода может послужить программная разработка Linux ACLs. Linux ACLs (Access Control Lists) – это набор заплаток для ядра операционной системы и приложений для работы с файловой системой и несколько дополнительных программ, дающих возможность устанавливать права доступа к файлам не только для пользователя-владельца и группы-владельца файла, но и для любого пользователя и группы.

Для использования Linux ACLs необходимо получить на сайте разработчика пакет Linux ACLs и заплатки к ядру ОС Linux и некоторым программам системного окружения. Сначала необходимо наложить заплатку на исходные файлы ядра, чтобы получить поддержку листов доступа, затем собрать ядро с поддержкой расширенных атрибутов и листов контроля доступа. После сборки ядра с поддержкой листов доступа нужно наложить заплатки на некоторые системные программы и пересобрать их. Далее необходимо собрать пакет приложений ACL, который тоже находится на сайте разработчика. С помощью приложений этого пакета производится управление расширенными правами доступа. Весь процесс установки Linux ACLs, начиная наложением заплаток и заканчивая сборкой пакета ACL, подробно описан в документации программного пакета.

5.6 LIDS

LIDS (Linux Intrusion Detection/Defence System) – система обнаружения и защиты от вторжения. Эта система представляет собой дополнение к ядру операционной системы Linux, добавляющее дополнительные возможности для увеличения безопасности операционной системы. LIDS позволяет запретить или ограничить доступ к файлам, памяти, устройствам, сетевым интерфейсам и запущенным приложениям привилегированному пользователю, что дает возможность надежно оградить даже взломанную операционную систему от дальнейшего вмешательства.

В отличие от других средств защиты операционной системы Linux, эту систему невозможно отключить, не зная пароля администратора LIDS, который в зашифрованном виде хранится в специальном файле, видимом только программой администрирования LIDS. Таким же образом защищены и конфигурационные файлы LIDS. Помимо этого система имеет одно очень существенное преимущество: зная пароль администратора LIDS, систему можно отключить только с локальной консоли компьютера.

Для того, чтобы установить LIDS, необходимо включить поддержку этой системы в ядре, что требует наложения заплаток на исходные файлы ядра и включение возможностей LIDS при конфигурировании ядра до его сборки. После включения в ядре поддержки LIDS станет доступным список параметров LIDS. Также пакет LIDS включает программы для настройки этой системы.

5.7 AIDE

AIDE (Advanced Intrusion Detection Environment) – расширенное окружение обнаружения вторжений. Основное назначение программного продукта AIDE – обнаружения изменения файлов, их атрибутов, прав доступа, пользователей владельцев, размера, количества ссылок на файл и других параметров, которые присущи файлу в Linux.

Программный пакет AIDE создает базу данных всех файлов, перечисленных в основном конфигурационном файле программы aide.conf. В базу помимо стандартных атрибутов файла записывается также криптографическая контрольная сумма или хэш каждого файла, вычисленных с использованием одного или комбинации следующих алгоритмов шифрования: SHA1, MD5, RMD160, TIGER.

Сразу после установки и настройки необходимых сервисов и программ, но перед подключением системы к сети, администратор должен создать базу AIDE. Это база будет содержать информацию о файлах в их первоначальном виде. Обычно к контролируемым файлам относятся все бинарные файлы, исполняемые файлы, конфигурационные файлы системы и программ, заголовочные файлы, файлы исходного кода и другие файлы, изменение которых после установки практически не производится.

Программный пакет AIDE может служить хорошим дополнением к базовой защите в качестве средства профилактики, однако использование этого продукта в качестве основной системы защиты нежелательно. Помимо того, что взломщик может изменить саму базу данных AIDE, если сможет получить к ней доступ, он так же может произвести изменение файла с сохранением основных его атрибутов.

  1. Схема локальной сети

Согласно варианту задания, компьютерная сеть состоит из 4 компьютеров-клиентов и 1 компьютера-сервера, который также выполняет функции компьютера-клиента. Можно сделать вывод, что организация «Юридическая контора» располагается в нескольких помещениях одного здания, следовательно, рабочие станции располагаются близко и нет необходимости использовать более чем 1 коммутатор.

Рисунок 1 – схема локальной сети

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]