Что такое NIS?

     Network Information Service (NIS), известный также как Yellow Pages или YP (название было изменено из-за проблем с авторскими правами), применяется для распространения информации по машинам сети. Так как информация хранится централизованно на одном узле сети (этот узел называется мастером), NIS дает возможность легко синхронизировать данные. Чаще всего он применяется для распространения файлов /etc/passwd по сети - чтобы убедится, что на каждой машине сети одинаковые копии файла passwd.

Кроме файла passwd, NIS может употребляться для распространения прочих важных файлов, к примеру /etc/hosts, /etc/resolv.conf, /etc/exports и т.д.

Далее...

NFS позволяет предоставить общий доступ к каталогам Unix-машины. Небезопасность NFS, и в частности NIS, связана с RPC - по количеству всевозможных эксплоитов RPC представляется негласным лидером (если не считать Sendmail). Так как эти протоколы предназначены для внутренних сетей, защищать их придется от «своих» пользователей. Хотя перед их применением нужно решить, действительно ли они нужны.

     В домашней сети они могут быть достаточно полезными, но в корпоративной сети из соображений безопасности лучше найти им более безопасную альтернативу.

     Файловая система NFS.

     Сетевая файловая система (Network File System, NFS) была разработана компанией Sun как средство доступа к файлам, размещенным на прочих Unix-машинах в пределах локальной сети. При разработке NFS безопасность вообще не учитывалась, что с годами стало причиной многих уязвимостей.

     NFS может работать по протоколу TCP или UDP, она использует систему RPC, а это означает, что должны быть запущены следующие часто уязвимые приложения: portmapper, nfs, nlockmgr (lockd), rquotad, statd и mountd.

     Не надо запускать NFS - нужно найти альтернативное решение. Если же NFS все-таки нужна, здесь будет рассказано о том, как нужно минимизировать риск ее использования.

Далее...

     SSH представляется безопасной альтернативой протокола Telnet. Учитывая преимущества SSH, Telnet сейчас практически не применяется - в нем нет больше нужды. Хотя SSH считается значительно безопаснее, чем Telnet, все же есть над чем поработать. В данном пункте будет рассмотренр, как надо сделать применение SSH еще безопаснее.

     Настройка. Опции настройки SSH.

     SSHD определяется и запускается по умолчанию во многих дистрибутивах Linux. Конфигурационный файл SSHD называется /etc/sshd_config или /etc/sshd/sshd_config. Наиболее интересными в нем являются опции:Далее...

     Создание структуры каталогов.

     Первый шаг - это создание необходимой для запуска Apache структуры каталогов. Предположим, что для chroot-окружений был создан каталог /chroot. Chroot-окружение Apache будет в каталоге /chroot/httpd. Создадим в данном каталоге необходимую структуру каталогов:

     В зависимости от дистрибутива и от способа установки Apache (из пакета или из исходных кодов) структура каталогов может отличаться. Владельцем всех каталогов должен быть root, права доступа 0755:

Далее...

Проблема употребления CGI-сценариев заключается в том, что они выполняются с правами Web-сервера, а не создавшего их пользователя. Представьте, что хостинг-провайдер предоставляет Web-пространство клиентам.

     Корпоративный пользователь (какая-то компания) помещает свой Web-сайт на сервере. Он тоже записал CGI-сценарий, позволяющий пользователям его компании править свое расписание. Изменения в расписании записываются в текстовый файл, созданный CGI-сценарием. Владельцем данного файла представляется пользователь, от имени которого работает Web-сервер - обычно http, www или nobody.

     Пользователь Иванов, как часто такое бывает, «обиделся» на свою компанию (к примеру, ему не повысили зарплату, хотят уволить или уже уволили). Он регистрируется в системе, создает свой собственный CGI-сценарий, удаляющий какой угодно файл, который передан ему в качестве параметра. Потому что этот вредоносный сценарий запускается от имени того же, пользователя, который создал файл с расписанием, ничто ему не мешает удалить его.

Далее...