Ранее было рассказано, как с помощью простого переполнения буфе­ра хакер может получить права пользователя root. Около 50% уязвимостей, обнаруженных в последние годы, были связаны именно с пе­реполнением буфера. Поэтому к этой проблеме можно отнестись с большим вниманием.

     Здесь будет рассказано о некоторых известных средствах защиты па­мяти, хотя ни одно из них не претендует на первенство, но они все же помогают решить проблему.

Далее...

Какой бы вы не использовали дистрибутив, нужно сразу после установки приступать к усилению защиты системы. Ранее были рассмотрены утилиты nmap и Nessus для определения сервисов, которые могут дать хакеру доступ в систему, и был описан процесс отключения ненужных сервисов.

     Можно подумать, что теперь в систему очень трудно проникнуть. Рассмотрим такой сценарий, в котором хакер все-таки получил доступ к системе (все равно какой - привилегированный или непривилегированный) и пытается захватить всю систему.

     Наиболее вероятно, что он установит rootkit или другие инструменты, которые скрывают его присутствие и дают возможность без проблем проникнуть в систему, а мо­жет, он уже поставил программу, разрешающую запускать DoS-атаку от име­ни машины...

Далее...

Создать минимальную файловую систему изрядно просто, значительно сложнее выяснить, какие файлы обязательны. Прежде всего нужно вы­яснить зависимости библиотек. Ведь сервер может требовать наличия всего двух-трех библиотек, а каждой из них надо еще 1-2-3-4 библиотеки - без них они не будут работать, и, следовательно, не будет работать сервер.

     Выяснить, какие библиотеки надобны той или иной программе, нужно с по­мощью команды ldd. Посмотрим, что надо для нормальной работы про­граммы ls:

Далее...

Небезопасные сервисы - это потенциальные дыры в системе безопасности. Взломав такой сервис, хакер часто получает возможность исполнять команды от имени пользователя, который запустил этот сервис. Если сервис ра­ботает от пользователя root, можно представить, что хакер сделает с системой.

     Идеально было бы запускать сервисы в «песочницах» - то есть задать такие ограничения для сервиса, при которых хакер не может разрушить систему или повлиять на работу прочих сервисов. Такой «песочницей» представляется chroot-окружение.

     Идея chroot-окружения крайне проста: в некотором каталоге создается минимальная структура ка­талогов, необходимая для запуска этого сервиса, которая эмулирует корневую файловую систему, то есть в этом подката­логе будут подкаталоги /bin, /lib, /etc и другие.

Далее...

Существует много специализированных дистрибутивов, которые предназначенны для решения тех или иных узконаправленных проблем. Эти дистрибутивы сделаны для серверных нужд и никогда не устанавливаются на рабо­чих станциях. Как правило, в таких дистрибутивах особое внимание удел­ено вопросам безопасности.

Далее...

Очень часто можно услышать вопрос: "Какой дистрибутив лучше?". Операционная система Linux очень многогранна, из-за этого невозможно точно ответить на этот вопрос. Можно уточнить, для чего именно «лучший»? Возможно, для конкретного случая нужен Web-сервер, может шлюз, а может только лишь система для просмотра фильмов и набора текста.

    Рассмотрим кратко особенности некоторых популярных дистрибутивов. Но нужно помнить, что Linux - это всегда Linux. Вне зависимости от того, какой дистрибутив будет выбран. Возможно, что какой-то конкретный дистрибутив представляется более защищенным, а какой-то - менее защищенным.

    Нужно понимать, что любой дистрибутив надо «заточить» под определенные нужды, то есть из самого незащищенного дистрибутива можно сделать самый защищенный серверный дистрибутив. Но на это точно уйдет больше времени, чем на то, чтобы доработать наиболее защищенный дистрибутив из рассмотренных ниже. Точно также и наоборот: если нужен именно дистрибутив для домашнего использования (прослушивания музыки, просмотра фильмов и т.д.), то понадобится много времени, чтобы доработать (напильником!) серверный дистрибутив для просмотра фильмов и прослушивания музыки.

Далее...

Раньше было написано про модель клиент/сервер, которая применяется для системы графического интерфейса Unix - X Window - X11. Система X Window представляется сетевой системой, поэтому можно свободно запустить X11-приложение на удаленной машине и видеть результат его выполнения в X11-сессии своей машины. Можно отметить, что процесс будет выполняться на удаленной машине, а вы будете видеть только результат. На удаленной машине можно:

Далее...