Общие особенности кадровой стратегии организаций бюджетной сферы (Обеспечение безопасности ОС Linux)

Содержание:

Введение

В современном обществе сложилась тенденция постоянного роста ценности информационных ресурсов. Разглашение информации часто приводит к отрицательным последствиям для ее владельца, поэтому вопрос обеспечения информационной безопасности становится все острее.

Угроз информационной безопасности становится больше с каждым годом, так как компании в своей деятельности все чаще стали использовать Интернет. В настоящее время Интернет играет ключевую роль в развитии рыночной экономики, будучи ее важным элементом: достижение многих предпринимательских, маркетинговых и рекламных целей и задач стало практически невозможным без активного использования глобальной информационной сети. Бурное развитие Интернета во всем мире и в России сделало его эффективной бизнес-средой. С помощью глобальной сети появилась возможность рекламировать, продавать и покупать продукцию, осуществлять платежи и расчеты, обмениваться и находить информацию, находить работу, путешествовать и многое другое.

Объектом исследования является операционная система Linux.

Предметом исследования является безопасность операционной системы. 

Целью данной работы является обзор средств обеспечения информационной безопасности в ОС Linux.

К числу задач, решаемых в работе, необходимо отнести:

• • • • анализ теоретических основ информационной безопасности;
      • описание операционной системы Linux;
      • описание угроз;
      • анализ методов защиты.

При выполнении работы были использованы следующие методы исследования: анализ литературных источников, обобщение материала, сравнение.

В первой главе были рассмотрены теоретические основы обеспечения информационной безопасности.

Вторая глава посвящена методам обеспечения информационной безопасности в ОС Linux.

1. Теоретические основы информационной безопасности

1.1 Основные понятия по информационной безопасности

Информация - сведения (сообщения, данные) независимо от формы их представления. Информация может быть пред­ставлена как на материальном носителе в виде символов, знаков, рисунков с возможностью ее визуального просмотра (документи­рованная информация), так и в электронном виде с возможно­стью ее просмотра только с использованием программно-технических средств. Отнесение информации к государственной тайне осуществляется в соответствии с Законом Российской Федерации «О государственной тайне».

Защита информации от несанкционированного доступа – дея­тельность (работа) должностных лиц, направ­ленная на создание и поддержание условий, установленных тре­бованиями нормативных документов, исключающих НСД к за­щищаемой (подлежащей защите) информации. Под защищаемой информацией понимаются информационные ресурсы и програм­мное обеспечение, подлежащие защите.

Защите подлежит информация любого вида, доступ к которой ограничивается. Ограничение доступа к информации устанавли­вается федеральными законами и нормативными актами для защиты основ конститу­ционного строя, здоровья, нравственности, прав и законных ин­тересов других лиц [15, с.102].

Объект – автоматизированная или компьютерная система обработки данных.

Субъект – любая сущность, которая способна инициировать выполнение операций над объектами.

Доступ – категория субъектно-объектной модели, которая описывает процесс выполнения операций субъектов над объектами.

Автоматизированная система обработки информации (АС) – это организационно-техническая система, которая включает следующие взаимосвязанные компоненты:

• технические средства передачи и обработки данных (средства вычислительной техники и связи);
• методы и алгоритмы обработки в виде соответствующего ПО;
• информация (массивы, наборы, базы данных) на различных носителях;
• персонал и пользователи системы, объединенные по тематическому, организационно-структурному, технологическому или другим признакам для выполнения автоматизированной обработки данных (информации) для удовлетворения потребности в информации субъектов информационных отношений.

Утечка защищаемой информации – ее неконтролируемое раз­глашение, несанкционированный доступ к ней, получение защи­щаемой информации разведками [12, с.89].

Хищение информации – несанкционированный доступ к ин­формации, повлекший ознакомление с ней недопущенных субъ­ектов. При этом возможно как полное хищение, когда похищае­мая информация на машинном носителе информации полностью уничтожается, так и хищение, при котором производится только копирование защищаемой информации.

Несанкционированное уничтожение защищаемой информа­ции – процесс обработки информации не допущенным к ней субъектом, в результате которого защищаемая информация уда­ляется с машинного носителя информации без возможности ее дальнейшего восстановления.

Несанкционированная модификация защищаемой информа­ции – ее несанкционированное искажение, влекущее за собой изменение смысла, состава, содержания, реквизитов и характери­стик защищаемой информации.

Несанкционированное копирование защищаемой информа­ции – производимый в нарушение правил разграничения доступа процесс переноса защищаемой информации с одного машинного носителя информации на другой.

Несанкционированное блокирование защищаемой информа­ции – процесс обработки информации, в результате которого до­ступ к защищаемой информации допущенным к ней субъектам становится невозможным.

При отсутствии средств регистрации и учета процессов копи­рования, уничтожения и модификации защищаемой информа­ции установить факт таких событий безопасности крайне за­труднительно.

Несанкционированный доступ к информации – доступ к ин­формации, нарушающий установленные (принятые) норматив­ными правовыми актами требования (правила, порядок) разграничения доступа с использованием штатных средств (механизмов, методов, способов, возможно­стей), предоставляемых средствами ВТ.

1.2 Угрозы информационной безопасности

АС, содержащие конфиденциальную информацию, подвержены достаточно большому количеству различных угроз:

1. Несанкционированный доступ к информации со стороны сотрудников и других лиц.

2. Потеря информации в результате заражения компьютерными вирусами.

3. НСД к информации через наводки кабелей АС или электромагнитное излучение средств вычислительной техники.

4. НСД к информации на съемных носителях информации (включая распечатки на бумажных носителях).

5. НСД к информации, размещенной на отказавших узлах объектов вычислительной техники (ВТ), отправляемых в ремонт.

6. Кража компьютера с конфиденциальной информацией.

Информация, хранящаяся и обрабатывае­мая на объектах ВТ, а также передаваемая по внеш­ним каналам связи АС, подвергается опасности несанкционированного воздействия со стороны ЗЛ, а также в результате непреднамеренных дей­ствий персонала, стихийных бедствий и др.

В результате несанкционированного воздейст­вия на информацию ущерб предприятию может быть на­несен за счет:

• раскрытия конфиденциальной информации;
• понуждения к принятию неверных решений;
• уничтожения части информационных ресур­сов.

Указанные виды ущерба являются последстви­ем следующих событий:

• несанкционированное ознакомление с кон­фиденциальной информацией (как хранящейся или обрабатываемой на объектах АС, так и переда­ваемой по каналам связи);
• навязывание ложной информации путем вне­сения искажений, не обнаруживаемых в момент смысловой обработки информации (неявное иска­жение), а также ввод в систему сформированной ЗЛ ложной информации, либо ввод во внешние ка­налы связи ранее переданных сообщений;
• искажение информации, факт которого хотя и обнаружен (явное искажение), но привел к поте­ре информации.

Применительно к защите информации в ПЭВМ, для них характерно все то, что относится к обеспечению защиты АС, в том числе и угрозы безопасности. Но специфика архитектурного построения и использования портативных ПЭВМ позволяет выделить конкретные каналы утечки информации.

Угрозы безопасности информации можно классифицировать по типу средств, которые используются в целях несанкционированного получения информации и которые делятся на три типа: человек, аппаратура, программа.

В первое множество угроз, где несанкционированное получение информации осуществляет человек, входят:

• чтение или фотографирование информации с экрана;
• чтение или фотографирование информации с распечаток;
• кража носителей информации (внешних накопителей информации, магнитных дисков, распечаток и т. д.).

Второе множество угроз, реализуемых с помощью аппаратуры, образуют следующие:

• перехват, модификация или уничтожение защищаемой информации за счет подключения к ПЭВМ специальной аппаратуры;
• регистрация защищаемой информации при ее обработке в ПЭВМ с помощью специальных средств электромагнитного излучения.

В третье множество угроз, реализуемых с помощью программ, включены следующие:

• копирование, модификация, уничтожение защищаемой информации с помощью программных закладок;
• несанкционированный доступ к информации, осуществляемый с помощью программ;
• чтение остаточной информации из оперативной памяти;
• копирование информации с внешних и магнитных носителей информации.

Современные ПЭВМ можно использовать изолированно (т.е. локально, без подключения к ЛВС, сетям общего пользования), так же они могут взаимодействовать с другими ЭВМ в пределах и за пределами ЛВС. Данное взаимодействие по способу реализации может быть организационным и техническим.

Таким образом, можно выделить следующие места, где может обрабатываться защищаемая информация:

• каналы связи;
• аппаратное обеспечение ПЭВМ;
• внутренне запоминающее устройство (жесткий диск);
• дисплей ПЭВМ;
• внешние носители информации (карты памяти, flash-карты, CD/DVD);
• периферийное оборудование (сканер, принтер).

При создании системы защиты конфиденциальной информации понадобятся следующие исходные характеристики элементов защиты:

• возможные угрозы информации;
• возможные средства защиты;
• предполагаемая стоимость защищаемой информации и возможный ущерб;
• возможные объемы информации;
• возможная продолжительность пребывания информации в элементе защиты.

1.3 Описание серверных операционных систем

Сетевая операционная система (англ. Network operating system) – это операционная система, которая обеспечивает обработку, хранение и передачу данных в информационной сети.

Главными задачами сетевой ОС являются разделение ресурсов сети (например, дисковые пространства) и администрирование сети. Системный администратор определяет разделяемые ресурсы, задаёт пароли, определяет права доступа для каждого пользователя или группы пользователей. Отсюда сетевые ОС делят на сетевые ОС для серверов и сетевые ОС для пользователей.

Существуют специальные сетевые ОС, которым приданы функции обычных систем (например, Windows NT) и обычные ОС (Windows XP), которым приданы сетевые функции. Практически все современные ОС имеют встроенные сетевые функции.

Сетевая операционная система составляет основу любой вычислительной сети. Каждый компьютер в сети в значительной степени автономен, поэтому под сетевой операционной системой в широком смысле понимается совокупность операционных систем отдельных компьютеров, взаимодействующих с целью обмена сообщениями и разделения ресурсов по единым правилам - протоколам. Эти протоколы обеспечивают основные функции сети: адресацию объектов, функционирование служб, обеспечение безопасности данных, управление сетью. В узком смысле сетевая ОС - это операционная система отдельного компьютера, обеспечивающая ему возможность работать в сети.

В зависимости от того, как распределены функции между компьютерами сети, сетевые операционные системы, а следовательно, и сети делятся на два класса: одноранговые и двухранговые, которые чаще называют сетями с выделенными серверами.

Если компьютер предоставляет свои ресурсы другим пользователям сети, то он играет роль сервера. При этом компьютер, обращающийся к ресурсам другой машины, является клиентом. Компьютер, работающий в сети, может выполнять функции либо клиента, либо сервера, либо совмещать обе функции.

Если выполнение серверных функций является основным назначением компьютера, то такой компьютер называется выделенным сервером. В зависимости от того, какой ресурс сервера является разделяемым, он называется файл-сервером, факс-сервером, принт-сервером, сервером приложений и т.д. Выделенный сервер не принято использовать в качестве компьютера для выполнения текущих задач, не связанных с его основным назначением, так как это может уменьшить производительность его работы как сервера.

На выделенных серверах желательно устанавливать ОС, специально оптимизированные для выполнения определенных серверных функций. Поэтому в подобных сетях с чаще всего используются сетевые операционные системы, в состав которых входит нескольких вариантов ОС, отличающихся возможностями серверных частей. Например, сетевая ОС Novell NetWare имеет серверный вариант, оптимизированный для работы в качестве файл-сервера.

В одноранговых сетях все компьютеры равны в правах доступа к ресурсам друг друга. Каждый пользователь может по своему желанию объявить какой-либо ресурс своего компьютера разделяемым, после чего другие пользователи могут его использовать. В таких сетях на всех компьютерах устанавливается одна и та же ОС.

При выборе операционных систем серверов необходимо провести сравнительный анализ, чтобы выявить достоинства и недостатки различных ОС. Условно все операционные системы можно разделить на три группы: это коммерческие операционные системы UNIX, UNIX-подобные операционные системы с открытыми кодами (Linux, FreeBSD) и семейство Windows. Коммерческие UNIX-системы - это особый класс операционных систем, которые нельзя рассматривать отдельно от серверов, где они установлены. Как правило, компании-поставщики UNIX-систем предлагают скорее варианты решения ваших задач, а не просто операционные системы. Этот вариант можно рассматривать, если необходимо хранить огромные объемы информации, потеря которых приведет к значительным убыткам, но для поставленной задачи использование такой операционной системы вряд ли окупится.

Исходя из исследований, проводимых http://netstat.ru/, наиболее распространёнными классами операционных систем, используемых в качестве серверов, являются операционные системы семейства FreeBSD, Linux, Windows, Solaris (рисунок 1).[14]

Поэтому первый принципиальный выбор будет между Windows и UNIX-подобными системами, которые можно установить на вполне доступный по цене сервер. Выбор между ними – это не просто выбор инструмента для будущей работы, это выбор стратегии дальнейшей работы.

FreeBSD 48.08%

Linux 32.11 %

Windows 8.96 %

Solaris 7.99 %

BSDi 1.46 %

SCO 0.63 %

AIX 0.41 %

OpenBSD 0.22 %

Irix 0.06 %

OS/2 0.02 %

Рисунок 1. Наиболее распространённые классы операционных систем

ОС FreeBSD

FreeBSD – мощная операционная система семейства BSD UNIX для компьютеров архитектур, совместимых с Intel (x86), DEC Alpha и PC-98. Она разрабатывается и поддерживается большой командой разработчиков.
Исключительный набор сетевых возможностей, высокая производительность, средства обеспечения безопасности и совместимости с другими ОС – вот те современные возможности FreeBSD, которые зачастую всё ещё отсутствуют в других, даже лучших коммерческих операционных системах. Эта система предоставляет надёжные сетевые службы даже при самой интенсивной нагрузке, и эффективное управление памятью, что позволяет обеспечивать приемлемое время отклика для сотен и даже тысяч одновременно работающих пользовательских задач.

Особенностями системы являются:

• вытесняющая многозадачность с динамической настройкой приоритетов, которая обеспечивает гибкое разделение ресурсов компьютера;
• многопользовательский доступ, означающий, что одновременно в системе могут работать несколько пользователей, использующих различные приложения. Такие периферийные ресурсы, как принтер, сканер также разделяются между всеми пользователями системы;
• полная сетевая поддержка TCP/IP. Это означает, что машина с операционной системой FreeBSD может легко взаимодействовать с другими операционными системами, а также работать в качестве сервера, предоставляющего различные сетевые услуги (www- или ftp-сервер, использовать как маршрутизатор и систему безопасности, защищающую корпоративную сеть от внешнего мира);
• защита и полное разделение памяти между процессами;
• двоичная совместимость со многими программами, созданными для систем SCO,BSDI, NetBSD, Linux и 386BSD. Большое число готовых к работе приложений, находящихся в коллекции переносимых пакетов (Port Packages Collection);
• исходные коды FreeBSD совместимы со многими коммерческими системами UNIX (например, Linux, SCO), и большинство приложений, если и требуют, то совсем немного изменений для их компиляции;
• страничная организация виртуальной памяти (VM) с подкачкой страниц по требованию и общий кэш для VM и буфера I/O;
• разделяемые библиотеки (Unix эквивалент MS-Windows DLL) обеспечивают эффективное использование дискового пространства и памяти;
• полный набор средств разработки для языков C, C++. В коллекции пакетов можно найти много других языков для передовых исследований и разработок.

ОС Sun Microsystems Solaris

ОС Sun Microsystems Solaris изначально создавалась, как операционная система для платформы Sparc, отличной от x86, и которая поддерживалась корпорацией Sun. Система доступна для бесплатного скачивания, однако получение лицензии и поддержки стоит денег. Система поставляется со стандартными сетевыми сервисами (Apache, ISC BIND и т.п.) и в основном используется на платформах производителя, которые из-за высокой цены не очень популярны.

Однако из-за небольшого распространения Solaris, а так же из-за платформенной архитектуры, как правило, отличной от Intel, система представляет собою более сложный объект для несанкционированного доступа из-за отсутствия опыта работы с ней у потенциального злоумышленника.

Главная сильная сторона операционной системы Windows – это интеграция с другими продуктами Microsoft. Но подобное преимущество обрекают на постоянное сотрудничество с Microsoft, создавая зависимость от маркетинговой политики этой компании. Интеграция с графической системой и использование большого количества служб, которые часто оставляются запущенными по умолчанию, сразу потребует больших физических ресурсов. Конечно, с каждой версией Windows ситуация становится все лучше, но обновление операционной системы может потребовать больших затрат.

Есть еще одно преимущество UNIX-систем перед Windows – удаленное администрирование. В то время как в UNIX-системах полноценное управление сервером осуществляется с помощью утилит командной строки telnet и ssh, то полноценное удаленное администрирование в Windows возможно только с использованием графического интерфейса, но при небольших скоростях соединения может быть очень нестабильным. Таким образом, использование серверных вариантов операционных систем Windows вполне оправданно в сетях с программным обеспечением Microsoft, где будет тесная взаимосвязь с другими коммерческими приложениями, а удаленное администрирование будет осуществляться по хорошим скоростным каналам, и финансовые затраты компенсируются.

Отталкиваясь от вышесказанного, можно сказать, что преимуществом UNIX-подобных систем будут их дешевизна, большая безопасность и удобство удаленного администрирования. Еще одним немаловажным преимуществом является и то, что в UNIX-подобных системах отсутствует используемое Microsoft деление на серверные операционные системы и пользовательские. Серверный вариант установленной операционной системы будет отличаться от клиентской машины только установленным программным обеспечением и запущенными службами. Но есть и неблагоприятные моменты: в случае UNIX-систем необходимо опираться на другие инструменты разработки, не связанными такими лицензионными ограничениями, как продукты Microsoft: скриптовые языки Perl, Python и PHP, базы данных MySQL, PostgeSQL, Oracle (практически все они могут также использоваться и под Windows).

2. Обеспечение безопасности ОС Linux

2.1 Характеристика ОС Linux

Linux – операционная система, которая была разработана Линусом Торвальдом в студенческие годы в качестве развлечения. В те времена автор работал с системой MINIX, и решил несколько расширить её стандартные возможности. Linux распространяется под лицензией GNU в исходных кодах, однако, начиная с недавнего времени, появилась тенденция распространения коммерческого ПО в бинарных кодах под эту ОС. При больших нагрузках Linux менее эффективно управляет памятью, чем FreeBSD, и может остановить работу системы в отличие от FreeBSD, которая в таких случаях на несколько минут перестаёт отвечать на системные вызовы.

Существенным преимуществом Linux является отсутствие технологических секретов, принадлежащих какой-либо одной компании, а также доступность исходного текста ядра операционной системы, которое может быть модифицировано для нужд фирмы или отдельного пользователя. Linux имеет также ряд средств обеспечения безопасности системы, предотвращающих попытки взлома. Очевидно, что каждая дополнительная функция, реализованная в системе, приводит к увеличению объема системы, что сказывается на требованиях к оперативной памяти и жестким дискам. Кроме того, чем больше объем операционной системы, тем медленнее она обычно работает. Если графический интерфейс не является необходимым, то Linux окажется наиболее компактной операционной системой, а кроме того, и самой быстрой.

Размер системы является одной из наиболее сильных характеристик Linux. система изначально проектировалась максимально компактной и производительной. С точки зрения корпоративного пользователя Linux идеально вписывается в концепцию «клиент/сервер», реализуемую на базе протоколов TCP/IP. Система отлично документирована и получает все большее распространение во всем мире.

2.2 Характеристика безопасности ОС Linux

Существует расхожее мнение о том, что Linux характеризуется слабой безопасностью, так как она бесплатно распространяется и создается огромным коллективом, разбросанным по всему миру. Так ли это на самом деле?

Linux представляет собой свободно распространяемое ядро Unix-подобной системы, написанное Линусом Торвалдсом (1991 г., Финляндия) при помощи большого числа добровольцев со всей сети Internet. Linux обладает всеми свойствами современной Unix-системы, включая настоящую многозадачность, развитую подсистему управления памятью и сетевую подсистему. Большую часть базовых системных компонентов Linux унаследовала от проекта GNU, целью которого является создание свободной микроядерной операционной системы (ОС) с лицом Unix.

ОС Linux создавалась сумбурной командой Unix-экспертов, хакеров и случайно прибившихся еще более подозрительных личностей. Хотя система невольно отражает эту тяжелую наследственность и хотя процесс создания Linux выглядел как дезорганизованные усилия добровольцев, система получилась на удивление мощной, надежной, быстрой и к тому же бесплатной.

На сегодняшний день существует множество различных поставок Linux, дистрибутивов, которые можно разделить на дистрибутивы общего назначения и специализированные (например, Linux Router - урезанная поставка Linux для создания дешевого маршрутизатора на базе старого PC и др.). В настоящей статье под словосочетанием <ОС Linux> будем понимать дистрибутивы Linux общего назначения.

Большая часть ядра Linux написана на языке С, благодаря чему система достаточно легко переносится на различные аппаратные архитектуры. Сегодня официальное ядро Linux работает на платформе Intel (начиная с i386), Digital Alpha (64-bit), Motorolla 68k, Mips, PowerPC, Sparc, Sparc64, StrongArm. Ядро Linux способно работать на многопроцессорных SMP-системах, обеспечивая эффективное использование всех процессоров. Разработчики Linux стараются соблюдать стандарты POSIX и Open Group, обеспечивая тем самым переносимость программного обеспечения (ПО) с другими Unix-платформами.

Диапазон применения Linux очень широк: от создания спецэффектов в фильме «Титаник» Джеймса Камерона до создания фирмой Intel в ближайшем будущем Internet-терминалов на базе именно этой ОС. Конечно, одной из причин огромной популярности Linux является ее бесплатность, что, безусловно, снижает себестоимость продуктов, для создания которых она применяется. Но не только в этом дело. Главная причина ее популярности состоит в том, что это действительно мощная и надежная, многопользовательская и многозадачная ОС.

Существует расхожее мнение о том, что Linux характеризуется слабой безопасностью. Но это в корне не верно. Linux – детище глобальной сети Internet и именно поэтому безопасности при ее разработке всегда уделялось огромное внимание. Не случайно в вопросах защищенности Linux всегда выгодно отличалась от многих современных ОС, в том числе многих коммерческих версий Unix.

В настоящее время существуют два основных подхода, используемых для обеспечения безопасности ОС: над слабо защищенной ОС «навешивается» для усиления защитный экран (firewall), или firewall наряду с десятком других средств защиты интегрируется на уровне ядра системы.

Первый подход использует фирма Microsoft и это подтверждает анализ последних версий Windows NT. Разработчики Linux выбрали для себя второй подход (код firewall встроен непосредственно в ядро Linux, начиная с версии 2.0). В результате была получена мощная интегрированная система защиты. Краткому знакомству с этой системой и посвящена данная статья.

При создании системы защиты для любой ОС нужно четко понимать, что реализовать на практике полностью безопасную компьютерную систему невозможно. Можно создать лишь дополнительные препятствия для злоумышленника, пытающегося проникнуть в систему. Причем объем и качество реализованных средств защиты зависят от области использования Linux. Кроме того, необходимо брать в расчет, что с ростом количества установленных средств защиты система становится все более враждебной для рядового пользователя. Поэтому главная задача при создании системы защиты - нащупать ту точку баланса, которая будет приемлемой для политики управления Linux-системой.

При использовании системы защиты необходимо выполнять простые правила: постоянно следить за активностью в системе с помощью системного журнала, поддерживать систему на самом современном уровне (установка текущих версий программного обеспечения, в которых имеются заплатки для обнаруженных в процессе эксплуатации так называемых дыр в защите). Во многих случаях этого более чем достаточно для обеспечения должного уровня безопасности.

Для того чтобы оценить эффективность системы защиты ОС Linux, необходимо четко разобраться с тем, какие же угрозы могут быть реализованы злоумышленниками на уровне ОС в той или иной конкретной ситуации.

2.3 Способы защиты, используемые ОС Linux

Традиционные способы защиты ОС в основном связаны с физической безопасностью. Физическая безопасность – это первый уровень безопасности, который необходимо обеспечить для любой компьютерной системы. Причем к очевидным методам обеспечения физической безопасности относятся замки на дверях, кабели в коробах, закрытые ящики столов, средства видеонаблюдения и т. п. Для усиления этих проверенных временем мероприятий можно использовать также компьютерные замки различных конструкций, основное назначение которых сводится к следующему:

• предотвращение хищения компьютера и его комплектующих;
• предотвращение возможности перезагрузки компьютера посторонним, а также использования собственных дисководов или иного периферийного оборудования;
• прерывание работы компьютера при вскрытии корпуса;
• блокировка работы с клавиатурой и мышью.

При установке Linux-системы необходимо внимательно ознакомиться с документацией на BIOS. BIOS представляет собой ближайший к аппаратным средствам слой ПО, и многие загрузчики Linux используют функции BIOS для защиты от перезагрузки системы злоумышленниками, а также манипулирования Linux-системой.

Некоторые загрузчики Linux позволяют установить пароль, запрашиваемый при загрузке системы. Так, при работе с LILO (Linux Loader) можно использовать параметры (позволяет установить пароль для начальной загрузки) и  (разрешает загрузку после указания определенных опций в ответ на запрос LILO).

Периодически появляется необходимость отлучаться от компьютера. В таких ситуациях полезно заблокировать консоль, чтобы исключить возможность ознакомления с вашим именем и результатами работы. Для решения этой задачи в Linux используются программы xlock и vlock. С помощью xlock блокируется доступ для X дисплея (для восстановления доступа необходимо ввести регистрационный пароль). В отличие от xlock vlock позволяет заблокировать работу отдельных (или всех) виртуальных консолей Linux-машины. При использовании этих полезных программ нужно четко понимать, что они не защищают от перезагрузки или других способов прерывания работы системы.

Большинство методов, с помощью которых злоумышленник может получить доступ к ресурсам, требуют перезагрузки или выключения питания машины. В связи с этим нужно очень серьезно относиться к любым признакам взлома как на корпусе, так и внутри компьютера, фиксировать и анализировать все странности и несоответствия в системном журнале. При этом нужно исходить из того, что любой взломщик всегда пытается скрыть следы своего присутствия. Для просмотра системного журнала обычно достаточно проверить содержимое файлов syslog, messages, faillog и maillog в каталоге /var/log. Полезно также установить скрипт ротации журнальных файлов или демона, который сохраняет журналы на заданную глубину (в последних дистрибутивах Red Hat для этого используется пакет logrotate).

Несколько слов о локальной безопасности Linux-систем. Она обычно связана с двумя моментами: защита от локальных пользователей и защита от администратора системы. Не секрет, что получение доступа к счетам локальных пользователей - это первая задача, которую ставит перед собой злоумышленник, пытаясь проникнуть в систему. Если надежные средства локальной защиты отсутствуют, то, используя ошибки в ОС и/или неверно сконфигурированные службы, злоумышленник может легко изменить полномочия в сторону увеличения, что чревато тяжелыми последствиями. Общие правила, которые необходимо соблюдать для повышения локальной защиты состоят в следующем: предоставление минимально необходимого уровня привилегий; контроль за регистрацией всех пользователей; своевременное изъятие счетов пользователей. Нужно постоянно помнить о том, что неконтролируемые счета - идеальный плацдарм для проникновения в систему.

Необдуманные и некорректные действия администратора также представляют серьезную опасность для Linux-системы. Поэтому администратор всегда должен помнить о том, что постоянная работа со счетом суперпользователя (root) - очень опасный стиль (в качестве компромисса лучше использовать команды su или sudo). Права суперпользователя он должен использовать только для решения специфических задач, в остальных случаях рекомендуется использовать обычный пользовательский счет. В дополнение к этому при выполнении сложных команд администратор должен использовать такие режимы, которые не приведут к потере данных. И последнее: администратор не должен забывать о существовании <троянских коней>, так как программы этого типа при запуске с правами суперпользователя могут внести серьезные нарушения в систему защиты. Для исключения этого необходимо тщательно контролировать процесс установки программ на компьютере (в частности, дистрибутив RedHat предусматривает использование цифровых подписей md5 и pgp для проверки целостности rmp-файлов во время установки системы).

2.4 Защита Linux с помощью паролей

Анализ рисков на уровне ОС показывает, что наибольшую опасность представляют действия злоумышленников, связанные с кражей или подбором паролей. Защита паролей поэтому должна занимать ведущее место в системе защиты любой ОС.

Защита паролей - область, в которой Linux существенно отличается от многих коммерческих версий Unix и других ОС, причем в лучшую сторону.

В большинстве современных реализаций Linux программа passwd не позволяет пользователю вводить легко разгадываемые пароли путем предупреждения о потенциальной опасности пароля (ввод пароля при этом, к сожалению, не блокируется). Для проверки устойчивости ансамбля конкретного пароля к подбору существует немало программ. Причем используются они с успехом как системными администраторами, так и взломщиками. Наиболее распространенные представители этого класса программ - Crack и John Ripper. Стоит отметить, что эти программы требуют дополнительного процессорного времени, но эта потеря вполне оправдана - замена слабых паролей значительно снижает вероятность проникновения в систему.

Linux обеспечивает защиту паролей с помощью трех основных механизмов:

1. Шифрование паролей.

2. Механизм «теневых паролей».

3. Механизм подключаемых модулей аутентификации PAM (Pluggable Authentication Modules).

Кратко рассмотрим суть этих механизмов.

Шифрование паролей.

В Linux для шифрования паролей традиционно используется алгоритм DES. Зашифрованный пароль обычно помещается в файл /etc/passwd. При попытке пользователя зарегистрироваться в системе введенный им пароль шифруется и затем сравнивается с записью в парольном файле. При совпадении система разрешает доступ. В программе шифрования паролей используется однонаправленное шифрование (достигается за счет того, что ключом для шифрования пароля является сам пароль). К сожалению, в настоящее время алгоритм DES уязвим к атаке со стороны мощных компьютеров (использование прямого перебора или подбора в большинстве случаев приводит к отгадыванию паролей). Поэтому для Linux были разработаны дополнительно к шифрованию еще два мощных механизма защиты.

Механизм «теневых паролей».

Суть этого механизма проста: парольный файл, даже зашифрованный, доступен только системному администратору. Для этого он помещается в файл /etc/shadow, права на чтение которого принадлежат только суперпользователям. Для реализации подобной схемы защиты в Linux используется набор программных средств Shadow Suite. В большинстве дистрибутивов Linux механизм «теневых паролей» по умолчанию не задействован (кроме, пожалуй, RedHat). Но именно Linux выгодно отличает наличие новейшего механизма, с помощью которого можно легко организовать мощную систему защиты. Это технология подключаемых модулей аутентификации ( PAM ).

Механизм PAM.

Модули безопасности – это набор открытых библиотек, предназначенных для выполнения набора функций (ввод пароля или проверка его подлинности). Любая программа, использующая систему защиты, может использовать PAM-модули и обеспечить в результате любой уровень безопасности. При использовании этого новейшего механизма программист концентрирует свое внимание на решении прикладной задачи. Технология PAM позволяет реализовать некоторые новые возможности при создании системы защиты: в модулях безопасности применяются нестандартные процедуры шифрования (MD5 и им подобные); установка ограничений на использование пользователями системных ресурсов (предотвращение инициализации атак типа «Отказ в обслуживании»); установка разрешения отдельным пользователям регистрации только в фиксированные промежутки времени и только с определенных терминалов или узлов.

Дополнительные средства защиты Linux

Защита данных.

Для контроля целостности данных, которая может быть нарушена в результате как локальных, так и сетевых атак, в Linux используется пакет Tripwire. При запуске он вычисляет контрольные суммы всех основных двоичных и конфигурационных файлов, после чего сравнивает их с эталонными значениями, хранящимися в специальной базе данных. В результате администратор имеет возможность контролировать любые изменения в системе. Целесообразно разместить Tripwire на закрытом от записи гибком магнитном диске и ежедневно запускать.

Безусловно, что для повышения конфиденциальности полезно хранить данные на дисках в зашифрованном виде. Для обеспечения сквозного шифрования всей файловой системы в Linux используются криптографические файловые системы CFS (Cryptographic File System) и TCFS (Transparent Cryptographic File System).

Защита дисплеев.

Защита графического дисплея - важный момент в обеспечении безопасности системы. Она направлена на исключение возможности перехвата пароля, ознакомления с информацией, выводимой на экран, и т. п. Для организации этой защиты в Linux предусмотрены следующие средства:

• программа xhost (позволяет указать, каким узлам разрешен доступ к вашему дисплею);
• регистрация с использованием xdm (x display manager) - для каждого пользователя генерируется 128-битный ключ (cookie);
• организация обмена с помощью защищенной оболочки ssh (secure shell) - в сети исключается поток незашифрованных данных.

Дополнительно к этому для организации контроля доступа к видеоподсистеме компьютера в рамках Linux разработан проект GGI (Generic Graphics Interface). Идея GGI состоит в переносе части кода, обслуживающего видеоадаптеры, в ядро Linux. С помощью GGI практически исключается возможность запуска на вашей консоли фальшивых программ регистрации.

Сетевая защита. По мере развития сетевых технологий вопросы безопасности при работе в сети становятся все более актуальными. Практика показывает, что зачастую именно сетевые атаки проходят наиболее успешно. Поэтому в современных ОС сетевой защите уделяется очень серьезное внимание. В Linux для обеспечения сетевой безопасности тоже применяется несколько эффективных средств:

• защищенная оболочка ssh для предотвращения атак, в которых для получения паролей используются анализаторы протоколов;
• программы tcp_wrapper для ограничения доступа к различным службам вашего компьютера;
• сетевые сканеры для выявления уязвимых мест компьютера;
• демон tcpd для обнаружения попыток сканирования портов со стороны злоумышленников (в дополнение к этому средству полезно регулярно просматривать файлы системного журнала);
• система шифрования PGP (Pretty Good Privacy);
• программа stelnet (защищенная версия хорошо известной программы telnet);
• программа qmail (защищенная доставка электронной почты);
• программа ipfwadm для настройки межсетевых экранов (firewall);
• режим проверки паролей входных соединений для систем, разрешающих подключение по внешним коммутируемым линиям связи или локальной сети.

Следует отметить, что многие из перечисленных средств включены в состав последних дистрибутивов Linux.

Заключение

Linux – это уникальная ОС, построенная на основе ОС Unix с двадцатипятилетней историей. На сегодняшний день это, пожалуй, единственный пример столь масштабного и плодотворного сотрудничества специалистов всего мира, объединенных сетью Internet. Именно поэтому любая подсистема этой ОС, в том числе и подсистема защиты, представляет большой практический интерес и содержит много особенностей, некоторые из них не нашли свое достаточное отражение в данной статье.

Несмотря на  пропаганду решений от Microsoft, ОС семейства Unix, к числу которых относится и Linux, получают все большее распространение и захватывают те области применения микроЭВМ, для которых важна надежность системы в целом, означающая не только безотказность работы в течение длительного времени (месяцы и годы), но также и защиту от несанкционированного доступа.

В рамках Linux разработана мощная интегрированная система защиты, способная обеспечить безопасность систем, работающих в различных условиях (от домашних компьютеров до банковских систем). Благодаря самому духу разработки Linux различные заплатки в системе защиты появляются гораздо быстрее, чем это происходит в коммерческих ОС, и это делает Linux идеальной платформой для построения надежных вычислительных систем.

Список использованной литературы

1. Аджиев В. Мифы о безопасности программного обеспечения: уроки знаменитых катастроф. / В. Аджиев,— Открытые системы, 2010. - 550 с.
2. Астахов А. Анализ защищенности корпоративных автоматизированных систем / А. Астахов, Москва, -2010. - 490с.
3. Биячуев Т.А. Безопасность корпоративных сетей. / Л.Г.Осовецкого – СПб: СПб ГУ ИТМО, 2010.- 161с.
4. Бутаев М.М. Моделирование сетей ЭВМ: учеб.-метод. Пособие/ М.М.Бутаев. - Пенза: Изд-во Пенз. гос. ун-та, 2007. - 56 с.
5. Гайкович, В.Ю., Ершов, Д.В. Основы безопасности информационных технологий / В.Ю. Гайкович, Д.В. Ершов, - М. МИФИ, 2009. – 669 с.
6. Домарев В. Безопасность информационных технологий. Методология создания систем защиты, ТИД "ДС", 2010.-688с.
7. Зима, В. Молдовян, А. Молдовян, Н. Безопасность глобальных сетевых технологий / В. Зима, А. Молдовян, Н. Молдовян, БХВ-Санкт-Петербург, 2009. - 368с.
8. Косарев В.П., Еремин Л.В. Компьютерные системы и сети. / В.П. Косарев, Л.В. Еремин - М., 2010. – 733 с.
9. Кульгин М. Технология корпоративных сетей. / М. Кульгин, Энциклопедия. СПб.: Питер, 2010.- 704с.
10. Куприянов А. И. Основы защиты информации: учеб. пособие для студ. высш. учеб. заведений / А.И.Куприянов, А.В.Сахаров, В. А. Шевцов. — М.: Издательский центр «Академия», 2007. - 256с.
11. Ларионов А.М. Вычислительные комплексы, системы и сети. / А.М. Ларионов, – Л.: Энергоатомиздат, 2010. – 364 с.
12. Лукацкий А.В. Как работает сканер безопасности. / А.В. Лукацкий, Hackzone, 2009. - 323 с.
13. Новиков Ю. Локальные сети: архитектура, алгоритмы, проектирование. / Ю. Новиков, - М.: изд-во ЭКОМ, 2006. - 568 с.
14. Норенков И.П., Трудоношин В.А. Телекоммуникационные технологии и сети. / И.П. Норенков, В.А. Трудоношин - М., 2010. – 434 с.
15. Олифер В. Г., Олифер Н. А. Компьютерные сети. Принципы, технологии, протоколы. Учебник для вузов. / В. Г.Олифер, Н. А. Олифер, 2-е изд - СПб.: Питерпресс, 2012. - 864с.
16. Пятибратов, А.П., Гудыно, Л.П., Кириченко, А.А. Вычислительные системы, Сети и телекоммуникации. / Пятибратов, А.П., Л.П., Гудыно, А.А. Кириченко, Учебник для вузов.второе. - М.:Финансы и статистика, - 2009. - 512 с.
17. Соколов А.В, Шаньгин В.Ф. Защита информации в распределенных корпоративных сетях и системах. – М.: ДМК Пресс, 2009. – 656с.
18. Стерн Монти. Сети предприятий на основе Windows NT для профессионалов / Стерн, Монти. Перев. с англ. - СПб.: Питер, 2011. – 643с.
19. Таненбаум Э. Компьютерные сети / Э. Таненбаум, - СПб.: Питер, 2009. – 343 с.
20. Фейт, Сидни. TCP/IP. Архитектура, протоколы, реализация. / Фейт, Сидни. - М.: Лори, 2009. – 565 с.
21. Хант, Крейг. Персональные компьютеры в сетях TCP/IP / Хант, Крейг Перев. с англ. - BHV-Киев, 2009. – 232 с.
22. Ховард, М., Лебланк, Д. Защищенный код / М. Ховард, Д. Лебланк, Пер. с англ. – М.: Издательско-торговый дом «Русская редакция», 2007. – 704с.
23. Челли, Дж. Перкиис, Ч., Стриб, М. Основы построения сетей. Учебное руководство для специалистов MCSE / Дж. Челли, Перкиис, Ч., Стриб, М. Перевод с англ. - Лори, 2008. – 343 с.