- •12.1. Історія створення unix
- •12-2. Архітектура системи
- •12.3. Безпека unix
- •12.3.1. Модель безпеки системи unix
- •12.3.2. Підсистема ідентифікації й автентифікації
- •12.3.3. Підсистема розмежування доступу
- •12.3.4. Підсистема реєстрації
- •12.4. Адміністрування засобів безпеки unix 12.4.1. Особливості адміністрування
- •12.4.2. Утиліти безпеки
- •12.4.3. Характерні вразливості системи unix
12.4.2. Утиліти безпеки
Безпеку системи UNIX можна суттєво підвищити завдяки використанню утиліху спеціально розроблених для виконання певних завдань адміністрування безпеки або-3 метою заміни стандартних механізмів захисту системи іншими, більш досконалими [104]. Ми розглянемо лише ті програми, які не стосуються мережної безпеки, оскільки це питання буде докладно розглянуто в розділах 15-19.
Програми, що підвищують безпеку облікових записів
Далі наведено перелік програм, які дають змогу підвищити безпеку облікових запису
Crack — популярна програма вгадування паролів розробки Алекса МЬффетта (Alex Muffett), яка, скануючи файл паролів, швидко виявляє негітійкі паролі.
CrackLib — бібліотека функцій, які можна викликати з програм типу passwd для запобігання введенню користувачами нестійких паролів.
John the Ripper — програма вгадування паролів, аналогічна Crack.
anlpasswd — активний засіб перевірки паролів розробки Argonne National Laboratory, що не дає змоги користувачам обирати нестійкі паролі.
epasswd — утиліта, розроблена Еріком Алленом Девісом (Eric Allen Davis) на зміну стандартній програмі passwd, дає змогу гнучко застосовувати вимоги до підвищення стійкості паролів (мінімальна і максимальна довжина пароля, мі-німальна кількість застосованих цифр, спеціальних символів, букв у нижньому і верхньому регістрах).
♦ npasswd — утиліта, створена Клайдом Гувером (Clyde Hoover) на зміну стандартній програмі passwd, тестує паролі на стійкість до їх вгадування.
+ passwd+ — активний перевіряльник паролів, створений Меттом Бішопом (Matt Bishop). Використовує конфігураційний файл, що визначає, які типи паролів дозволені, а які — ні. Такий файл дає змогу використовувати регулярні вирази, порівняння паролів із вмістом файлів (наприклад, словників) і виклики зовнішніх програм для перевірки.
ppgen — генератор випадкових паролів, створений Майклом Шілдсом (Miohael Shields), використовують з програмами, які підтримують довгі паролі. Може діяти як окремий засіб або бути інтегрованим у passwd та інші програми.
otp — програма, написана мовою C, яка генерує списки одноразових паролів» Змодельована за системою, що використовують швейцарські банки, ця програма генерує ключі та списки паролів для верифікації та захисту в різних форматах.
S/Key — система одноразових паролів, розроблена Bell Communications Research (Bellcore). Система OpenBSD має вбудовану реалізацію S/Key.
OPIE (One time Passwords In Everything) — система паролів (подальший розвиток S/Key) розроблена Дослідницькою лабораторією військово-морських сил США (US Naval Research Laboratory, US NRL). OPIE відповідає стандарту IETF One Time Passwords (OTP) згідно з RFC-1938, підтримує, крім MD4, алгоритм MD5 і має ще низку вдосконалень.
Програми, які відповідають за безпеку файловоїсистеми
Нижче наведено програми, покликані забезпечувати безпеку файлової системи.
Cryptographic File System (CFS) — програма, написана Меттом Блейзом (Matt Blaze), вбудовує криптографічні сервіси у файлову систему UNIX. Програма надає стандартний інтерфейс файлової системи UNIX для доступу до зашифрованих файлів.
Transparent Cryptographic File System (TCFS) — програма, яка, подібно до програми CFS, пропонує сервіси прозорого шифрування-дешифрування під час роботи з файловою системою.
Crypt Breakers Workbench (CBW) — інтегрований набір інструментальних засобів, які дають змогу криптоаналітикам читати файли, зашифровані командою crypt системи BSD 4,2. Програму було написано Робертом В. Болду-іном (Robert W. Baldwin).
libdes — цей набір, розроблений Еріком А. Янгом (Eric A. Young), утворює біб ліотеку шифрування за стандартом DES і програму, яка здійснює таке шиф рування. Набір містить також швидку реалізацію функції crypt ().
Pretfcy Good Privacy (PGP) — популярна програма Філіпа Циммермана (Ph lip Zimmerman), яка здійснює шифрування електронної дошти і файлів.
Filereaper — програма Цайго Блекселла (Zygo Blaxell), призначена для п шуку і видалення тимчасових файлів. Стандартне рішення цього завдання з використанням програми find є вразливим до деяких атак. Зазначена програма застосовує низку заходів для запобігання цим проблемам.
Hobgoblin — програма використовує шаблон з описанням файлів і каталогів, що мають відповідати еталону. Програма сканує файли і каталоги та звітує про будь-які їхні відмінності.
Tripwire — програма перевірки цілісності файлової системи, призначена для виявлення будь-яких несанкціонованих змін. Особливо корисна для виявлення порушників, які могли змінити файли з метою полегшення майбутнього несанкціонованого доступу, видалити чи змінити системні журнали реєстрації, залишити в системі віруси, хробаки, логічні бомби та інші руйнівні засоби.
Програми, що дають змогу здійснювати аудит системи
Наведемо приклади програм, які застосовують для реєстрації користувачів і проведення аналізу їхніх дій.
chklastlog — це програма, що перевіряє файл /var/adm/lastlog на наявність у ньому вилучених записів шляхом порівняння із файлом /var/adm/wtmp.
chkwtmp — маленька утиліта, яка перевіряє файл /var/adm/wtmp на наявність перезаписаної інформації. Якщо програма знаходить запис, перезаписа-ний нулями, то роздруковує мітки часу попереднього і наступного записів, демонструючи вікно часу, протягом якого було здійснено видалення.
Logcheck — програма, створена Крейгом Роуландом (Craig Rowland), призначена для пошуку порушень безпеки і незвичайної активності у файлах реєстрації та для відправлення сигналів тривоги електронною поштою. Програму можна настроїти так, щоб вона повідомляла про все, що було явно задано за допомогою ключових слів, або, навпаки, не повідомляла. Таким чином можна виявляти певні сигнатури атак та будь-які незвичайні повідомлення.
loginlog — невеличка програма, яка відстежує файл wtmp і реєструє повідомлення про входження в систему за допомогою syslogd.
Swatch (Simple WATCHer) - потужна програма, яка здійснює моніторинг файлів реєстрації. її основне призначення — активний моніторинг повідомлень під час їх записування у файли реєстрації утилітою syslog. Програму можна використовувати для аудита, тобто для одноразового перегляду та перевірки файлу реєстрації.
4- syslog-ng (Next Generation SYSLOGd) — програма-демон, розроблена на зміну стандартній syslogd, що постачається з Solaris, BSD, Linux та іншими UNIX-системами. Головною особливістю syslog-ng є те, що ця програма захищає файли реєстрації цифровими підписами. Таким чином достовірність інформації з файлів реєстрації може бути доведена, що має велике значення для розслідування інцидентів із комп'ютерними системами.
♦ tklogger — програма, написана Даугом Хьюзом (Doug Hughes), здійснює моніторинг файлів реєстрації, створених syslog та іншими програмами. Програма tklogger працює з будь-якими визначеними текстовими файлами і відслідковує їх модифікації.
♦ Watcher — дуже потужна та гнучка програма моніторингу системи, написана Кеннетом Іигамом (Kenneth Ingham), яка фіксує ряд заданих користувачем команд, аналізує потік виведення, перевіряє значущі моменти і повідомляє
про них адміністратора.
4і Zap — зручна утиліта, яка вилучає інформацію про входження в систему вказаного користувача. Це дає змогу адміністратору стежити за порушником непомітно, оскільки його присутність у системі жодним чином не демонструється. Більшість програм, які використовують для тестування вразливостей, орієнтовано на роботу з мережею. У цьому розділі буде згадано лише ті з них, що призначені для локальних перевірок або можуть їх здійснювати. (Мережні сканери вразливостей буде розглянуто в розділі 18.)
chkacct — програма, яка перевіряє облікові записи користувачів щодо їх безпечного використання. Зокрема, вона перевіряє права доступу до файлів і може їх коригувати, шукає файли, відкриті для записування всім користувачам, перевіряє приховані файли.
Tiger — програма перевірки системи, розроблена в Техаському університеті (Texas A&M University), яка, зокрема, перевіряє:
систему на наявність небезпечних дозволів доступу до важливих системних файлів і каталогів;
систему на наявність файлових систем, доступних для читання і записування всім користувачам;
і усі файли зі встановленим атрибутом SUID;
♦ файл із хеш-образами паролів на наявність записів із порожніми паролями; і файл /etc/group;
| паролі користувачів щодо легкості їх добирання;
команди в /etc/rc*, файл crontab і деякі файли користувачів, щоб жодний із них не був доступним для модифікації сторонніми користувачами;
домашні каталоги користувачів для гарантування того, що жоден із них не є доступним для модифікації сторонніми користувачами.