Исследование уровня безопасности операционной системы Linux
ы с персональным компьютером делятся на три категории:
. Эпизодическое считывание и ввод информации не более 2 часов за 8-часовую
рабочую смену.
. Считывание информации или творческая работа не более 4 часов за 8-часовую
смену.
. Считывание информации или творческая работа более 4 часов за 8-часовую
смену.
Продолжительность непрерывной работы с персональным компьютером не
должна превышать 2 часов.
Если в помещении эксплуатируется более одного компьютера, то следует
учесть, что на пользователя одного компьютера могут воздействовать
излучения от других персональных компьютеров, в первую очередь со стороны
боковых, а также и задней стенки монитора. Учитывая, что от излучения со
стороны экрана монитора можно защитить применением специальных фильтров,
необходимо, чтобы пользователь размещался от боковых и задних стенок других
дисплеев на расстоянии не менее одного метра.
На мониторы рекомендуется устанавливать защитные фильтры класса полной
защиты (Total Shield), которые обеспечивают практически полную защиту от
вредных воздействий монитора в электромагнитном спектре и позволяют
уменьшить блик от электронно-лучевой трубки, а также повысить читаемость
символов.
Вывод.
В этой главе работы рассматриваются аспекты безопасной работы за
компьютером, большей частью глава посвящена электромагнитному излучению
электронно-лучевых трубок, используемых в мониторах. В главе приводится
описание видов излучений, нормативные значения этого излучения при
различных режимах работы за компьютером, а также методы и средства,
позволяющие свести к минимуму риск облучения при работе за компьютером.
Заключение
В данной работе был выполнен обзор средств безопасности, которыми
располагает операционная система Linux для безопасного функционирования как
в качестве пользовательской системы, так и в качестве сервера.
В работе были рассмотрены следующие темы:
. Обзор основных терминов компьютерной безопасности, угроза безопасности,
уязвимость системы, атака на систему, рассмотрены основные виды атак;
. Пользовательские записи в Linux, добавление и удаление пользователей,
изменение регистрационных записей, структура файла пользовательских
регистрационных записей passwd, структура файла паролей shadow, программы
управления пользовательскими записями useradd, usermod и userdel,
программа установки пароля пользователя passwd, пример безопасной
настройки системы путем удаления ненужных регистрационных записей;
. Возможности файловой системы ext2, права доступа, программы изменения
прав доступа и владельца файла chmod и chown, атрибуты файлов, программы
работы с атрибутами chattr и lsattr, пакет lcap, пользовательские
дисковые квоты, пакет для работы с дисковыми квотами quota, пример
безопасной настройки системы с помощью прав доступа, расширенных
атрибутов и дисковых квот;
. Библиотека PAM, ее возможности, методы ограничения ресурсов с помощью
PAM, перечень модулей PAM и их описание, формат конфигурационных файлов
PAM, пример безопасной настройки системы с использованием ограничения
ресурсов;
. Безопасность на уровне ядра, межсетевой экран netfilter, обзор
возможностей брандмауэра netfilter, программный пакет iptables,
использование iptables для настройки брандмауэра Linux, пример безопасной
настройки межсетевого экрана для работы в небезопасной сети;
. Удаленное управление, протоколы Telnet, rsh, SNMP, описание протокола
SSH, программный продукт OpenSSH, описание конфигурационного файла демона
sshd, пример настройки безопасного сервера SSH;
. Программный пакет Linux ACLs, листы доступа на основе расширенных
атрибутов, программы getfacl и setfacl;
. Система обнаружения и защиты от вторжения LIDS, возможности ядер 2.4,
формат конфигурационных файлов LIDS;
. Расширенное окружение обнаружения вторжений AIDE, назначение, принцип
работы.
. Излучение монитора, нормативные значения электромагнитных полей для
нормальной работы пользователей за компьютером, а также средства и методы
уменьшения отрицательного воздействия электромагнитного излучения на
организм человека.
Помимо теоретической части к каждому разделу в приложении приводится
пример практического применения рассмотренного материала. Все примеры,
приведенные в работе, были опробованы в реальных условиях и успешно
реализованы на серверах Узбекского внешнеэкономического информационно-
коммерческого центра «Узинкомцентр» при Агентстве внешних экономических
связей Республики Узбекистан. На момент защиты работы мной были
проинсталлированы и настроены семь серверов на базе ОС Linux, четверо из
них являются серверами общего назначения, остальные трое –
специализированные сервера с ограниченным набором функций. Пять серверов
успешно функционируют по сей день. Двое упразднены за ненадобностью.
Список литературы
1. Linux. Алексей Стахнов, издательство «БХВ-Петербург», Санкт-Петербург,
2002.
2. Техническая электронная документация по операционной системе Linux.
Приложение
ПРИМЕР 1.
Исходные данные: ОС Linux RedHat 7.3 без графической оболочки.
Назначение – маршрутизатор.
Задача: удалить неиспользуемые регистрационные записи и добавить три
записи. Необходимо добавить пользователей anna и pavel, а также одного
пользователя с именем systemuser для системных нужд.
Реализация.
Изначально файл пользовательских регистрационных записей может иметь
следующий вид:
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
news:x:9:13:news:/etc/news:
uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
rpm:x:37:37::/var/lib/rpm:/bin/bash
В зависимости от установленных программ, содержание этого файла может
отличаться от приведенного.
Из соображений безопасности следует удалить следующие неиспользуемые в
данной конфигурации сервера системные записи: adm, lp, shutdown, halt,
news, operator, games, gopher, ftp. Системная запись lp используется только
в том случае, если к компьютеру подключен принтер. Настраиваемый компьютер
выполняет функции маршрутизатора, следовательно эта регистрационная запись
является лишней. Записи shutdown и halt позволяют обычным программам
выключать компьютер, что для сервера является только дополнительной брешью
в безопасности. Записи news, gopher и ftp используется в том случае, если
сервер выполняет функции службы новостей, сервера GOPHER или FTP-сервера.
Учетная запись games используется программами графического интерфейса, а
поскольку последний отсутствует на маршрутизаторе, эта учетная запись тоже
является лишней.
Для удаления пользователей необходимо для каждой учетной записи
выполнить команду
userdel <имя_пользователя>
В реализации это будет выглядеть так:
[root@gw /]# userdel adm
[root@gw /]# userdel lp
[root@gw /]# userdel shutdown
[root@gw /]# userdel halt
[root@gw /]# userdel news
[root@gw /]# userdel operator
[root@gw /]# userdel games
[root@gw /]# userdel gopher
[root@gw /]# userdel ftp
Первая часть поставленной задачи выполнена. Далее необходимо добавить
указанных пользователей.
[root@gw /]# useradd –m –s /bin/bash –c ‘Normal User’ –d /home/pavel –g
users pavel
[root@gw /]# useradd –m –s /bin/bash –c ‘Normal User’ –d /home/pavel –g
users anna
[root@gw /]# useradd –r –s /sbin/nologin –c ‘System User’ –d /var/empty
systemuser
Приведенные команды создают в системе указанных пользователей, однако,
для входа в систему обычным пользователям дополнительно ко всему следует
задать еще и пароль. Это выполняют приведенные ниже команды.
[root@gw /]# passwd anna
Changing password for user anna.
New password: <ввод_пароля>
Retype new password: <повтор_ввода_пароля>
passwd: all authentication tokens updated successfully.
[root@gw /]# passwd pavel
Changing password for user pavel.
New password: <ввод_пароля>
Retype new password: <повтор_ввода_пароля>
passwd: all authentication tokens updated successfully.
В результате произведенных действий система будет содержать все
необходимые для нормального функционирования системные регистрационные
записи, а также двух пользователей anna и pavel, которые смогут заходить и
работать в системе.
ПРИМЕР 2.
Исходные данные: ОС Linux RedHat 7.3 без графической оболочки.
Назначение – сервер приложений. Программное обеспечение – web-сервер
Apache, FTP-сервер Proftpd. Web-сервер выполняется от имени системного
пользователя nobody, FTP-сервер – от имени системного пользователя ftpuser.
Оба пользователя входят в группу nogroup. На сервере работает web-портал,
имеющий распределенную структуру. Весь портал делится на 2 части:
администрируемую часть – динамические данные и неадминистрируемую часть –
ст
| | скачать работу |
Исследование уровня безопасности операционной системы Linux |