Усиление парольной защиты.
Рубрика: Безопасность -> Основные меры защиты Linux
Метки: AES | MySQL | passwd
Администратор должен понимать, какой пароль является «хорошим», а какой - «плохим». Но понимают ли это пользователи? Нет. Если среди них и найдется несколько человек, то это точно не показатель. Проводить часами лекции, объясняя и показывая, как правильно создать пароль и как с ним обращаться? Это не очень хорошая мысль.
Если выложить на внутреннем сайте список примеров - то у большинства пользователей будут установлены эти пароли. Нужно просто возложить оценку пароля на плечи системы, это и будет правильным решением.
Создание набора правил брандмауэра(Часть 2).
Рубрика: Безопасность -> Брандмауэр
Метки: DMZ | DNS | ICMP | IPTables | SMTP
Защита нейтральной зоны (DMZ).
Правила, заданные в сценарии nat.sh, ограничивали поток трафика в нейтральную зону, но не определяли ограничения на исходящий от DMZ-серверов трафик, который может передаваться или в локальную сеть, или в Интернет. В идеале нужно разрешить только ESTABLISED- и RELATED-трафик, так как DMZ-серверы будут только обрабатывать запросы клиентов и не будут устанавливать новых соединений.
Но есть определенная проблема, которая заключается в том, что сервисы, в частности DNS и SMTP, будут устанавливать новые соединения. Если запретить создание новых соединений для DNS-серверов, то прервется работа этих сервисов. В этом случаем нужно написать более точные правила.
Создание набора правил брандмауэра(Часть 1).
Рубрика: Безопасность -> Брандмауэр
Метки: DHCP | DMZ | DNS | forwarding | SSH
Как и в сценарии для простой реализации сети с DMZ, первоначально определяются служебные переменные, которые будут использоваться в новом сценарии - firewall.sh. Описание каждой переменной можно найти в этом же разделе. Начало сценария будет таким:
IF_DMZ="eth2"
IF_EXT="eth0"IP_LAN="192.168.1.1"
IP_DMZ="192.168.0.1"DMZ_HTTP="192.168.0.3"
DMZ_DNS="192.168.О.2" DMZ_MAIL="192.168.0.4" ## Путь к исполнимому файлу iptables. ## Может отличаться в зависимости ## от дистрибутива Linux IPT="/usr/sbin/iptables"Защита паролей (продолжение).
Рубрика: Безопасность -> Основные меры защиты Linux
Метки: brute-force | mkpasswd | passwd
Алгоритмы защиты паролей.
В Linux используется два основных алгоритма защиты паролей: DES (Data Encryption Standard) и более безопасный MD5 (Message Digest 5). Основная проблема алгоритма DES заключается в том, что он не дает использовать пароли из восьми и более символов. Учитывая возможности современных компьютеров, взлом 8-символьного DES-пароля займет мало времени. Рекомендуется использовать алгоритм MD5, дающий возможность использовать пароли длиной до 127 символов. Определить, какой метод теперь используется в системе, очень просто: нужно посмотреть на закодированные пароли в etc/passwd. Если их длина 34 символа и все они начинаются символами $1$, значит, используется MD5, если длина закодированных паролей 13 символов, то используется DES.
Защита паролей.
Рубрика: Безопасность -> Основные меры защиты Linux
Метки: brute-force | chage | passwd
Многие операционные системы для предоставления доступа пользователя к системе используют аутентификацию по имени пользователя и паролю, и Linux не является исключением.
В данный момент рассмотрим механизм /etc/passwd и все, что связано с паролями.
Файл /etc/passwd
Сердцем Linux-безопасности является файл /etc/passwd, в котором содержатся детали всех пользователей, зарегистрированных в системе. Чтобы пользователь мог войти в систему, он должен быть зарегистрирован в этом файле. Ранние версии Linux использовали следующий формат этого файла (поля разделяются двоеточием):