Чтение онлайн

ЖАНРЫ

Сетевые средства Linux

Смит Родерик В.

Шрифт:

Если вы убедитесь в том, что сервер не нужен и не понадобится в ближайшее время, удалите соответствующую программу с компьютера. Это позволит сэкономить место на диске и гарантирует, что сервер не будет случайно запущен при изменении конфигурации системы. Если же вы предполагаете, что впоследствии данный сервер может потребоваться, либо откажитесь от его деинсталляции, либо перед удалением сохраните конфигурационные файлы. Имея конфигурационные файлы, вы сэкономите время при повторной установке программы.

Использование учетных записей и паролей

Сервер, выполняющийся на компьютере, представляет собой "дверь" в систему. К сожалению, эта дверь иногда бывает открыта не только для пользователей системы, но и для "непрошеных гостей". Существуют различные способы, позволяющие закрыть эту дверь. Один из них состоит

в применении брандмауэров, для создания которых применяются такие инструменты, как
iptables
(этот инструмент будет обсуждаться в главе 25). Другой способ — это тщательный контроль за использованием учетных записей и паролей. Если на компьютере имеются неиспользуемые учетные записи, это увеличивает вероятность незаконного проникновения в систему. Пароль, попавший в руки злоумышленника, предельно упрощает его задачу. В отличие от других задач администрирования, обеспечение контроля за учетными записями и паролями возможно только в том случае, если пользователи помогут вам в этом. Расскажите им о том, какому риску они подвергают систему и свои данные, небрежно обращаясь со своими паролями.

Политика использования учетных записей

Для того чтобы обеспечить безопасность при работе с учетными записями, надо прежде всего разработать политику их использования. Продолжая аналогию между сервером и дверью в систему, учетную запись можно сравнить с ключом к одной, а возможно, и к нескольким дверям. Уменьшая число ключей, вы тем самым снижаете вероятность утери одного из них. Очевидно, что для многих серверов необходимы учетные записи пользователей. При отсутствии учетных записей появляются дополнительные ограничения на использование файловых серверов, а FTP-сервер может предоставлять лишь анонимный доступ. Таким образом, необходимо уметь определить, в каких случаях возникает реальная необходимость в создании учетных записей.

Для некоторых серверов решить данную проблему очень просто: набор учетных записей надо ограничить записями для сотрудников, выполняющих администрирование системы (а еще лучше, для одного администратора). Так можно поступить, если на компьютере выполняется сервер шрифтов, DHCP или временной сервер. При обращении к таким серверам учетные записи не нужны, поэтому не обязательно, чтобы они присутствовали на компьютере, на котором выполняется сервер. Другие серверы, например Web- и FTP-сервер, в зависимости от их конфигурации могут требовать, а могут не требовать учетные записи. Наконец, сервер регистрации обычно располагается на компьютере, на котором создано большое количество учетных записей пользователей.

Если на некотором компьютере учетные записи необходимы, вам следует разработать политику, регламентирующую их создание. Например, компьютером, находящимся на физическом факультете университета, имеют право пользоваться сотрудники факультета и студенты, изучающие физику. Они имеют право требовать от администратора создания учетных записей, и этот факт необходимо отразить при составлении политики. Наличие формальной политики позволяет избежать неоправданного увеличения числа пользователей компьютера. Если впоследствии окажется, что ограничения, накладываемые политикой, слишком строги, вы можете разработать новую политику, однако она также не должна допускать неоднозначной трактовки. В особенности это важно, если компьютер обслуживает большое количество пользователей. Неформальная политика неминуемо приведет к появлению лишних учетных записей.

Вам также следует написать сценарий, управляющий созданием новых учетных записей, или, по крайней мере, составить соответствующую инструкцию. Особенно внимательно следует подойти к разработке правил выбора пароля. Принципы использования паролей будут подробно рассмотрены далее в этой главе. Не следует упускать из виду и вопросы определения прав доступа, устанавливаемых по умолчанию. Например, если в организации ведется работа над несколькими проектами, имеет смысл создать для каждого проекта группу, поместив в нее пользователей, участвующих в работе над этим проектом. При этом устанавливать права доступа к рабочим каталогам следует так, чтобы к содержащимся в них файлам могли обращаться только пользователи, работающие над тем же проектом. Правила, задаваемые в составе политики, могут изменяться в зависимости от характера деятельности организации. Так, например, для открытой среды можно указать, что по умолчанию должны устанавливаться права 0755 или даже 0775 и соответствующее значение

umask
.
Если же пользователи работают с секретными данными, желательно задавать права 0700.

Контроль над учетными записями

Необходимо строго контролировать применение учетных записей. Действия по контролю сводятся к выявлению неиспользуемых записей и проверке правильности использования активных записей.

Выявление неиспользуемых записей

Не все пользовательские записи должны постоянно присутствовать на компьютере. После того как студенты заканчивают университет, а сотрудники организации переходят на другую работу, их учетные записи становятся ненужными. Для того чтобы снизить опасность несанкционированного доступа к системе, от таких записей необходимо избавиться. Если вы получили сообщение о том, что пользователь покинул организацию, вы должны сделать неактивной или удалить его запись. Однако далеко не всегда руководство оповещает системного администратора об увольнении сотрудников. В этом случае вы можете указать, что по прошествии некоторого времени запись должна стать недействительной. Сделать это можно с помощью команды

# usermod -e 2003-07-04 george

Данная команда сообщает системе о том, что срок действия учетной записи

george
заканчивается 4 июля 2003 года. (Ограничить срок действия записи можно также при ее создании, указав при вызове команды
useradd
опцию
– е
.) Такой подход очень удобен в тех случаях, когда вы наперед знаете время, начиная с которого учетная запись не будет использоваться. Например, администраторы знают об окончании студентами курса обучения и о завершении работы сотрудников, принятых на контрактной основе.

Менее радикальный подход состоит в ограничении срока действия пароля. При этом пользователь вынужден регулярно, например раз в месяц, задавать новый пароль. Указать, что пароль действителен лишь в течение ограниченного времени, можно с помощью следующей команды;

# chage -М 30 -W 5 george

Эта команда сообщает системе о том, что пользователь

george
должен задавать новый пароль каждые 30 дней и что за 5 дней до истечения срока действия текущего пароля он должен получать соответствующее сообщение. Если
george
забудет обновить пароль, учетная запись станет недоступной и для возобновления работы с ней необходимо будет обратиться к системному администратору.

Описанные подходы позволяют решить проблему неиспользуемых учетных записей, но они применимы не во всех ситуациях. Некоторые учетные записи не предполагают регистрацию пользователей, а применяются, например, для организации работы с файловым сервером или для доставки почты. В данном случае, чтобы пользователь увидел сообщение об окончании срока действия пароля, надо создать задание для инструмента

cron
, предусмотрев в нем определение времени, в течение которого пароль остается действительным, и оповестить пользователя по электронной почте. Существуют средства, позволяющие получить информацию об использовании учетных записей. Например, утилита
last
возвращает сведения о нескольких последних регистрациях пользователя в системе, а в некоторых дистрибутивных пакетах поддерживается файл протокола
/var/log/auth
, в который записывается информация о выполнении аутентификации. Приложив определенные усилия, вы можете написать сценарий, который проверял бы файл протокола и оповещал вас о том, что некоторые записи не используются в течение длительного времени. Периодический запуск такого сценария можно организовать с помощью инструмента
cron
. Если вы узнаете, что некоторая учетная запись давно не использовалась для регистрации в системе, выясните причины этого и, если запись больше не нужна, удалите ее.

Выполняя администрирование системы, надо также следить за учетными записями, срок действия которых истек. Ненужные записи следует удалить. Для поиска недействительных записей можно написать специальный сценарий. (Выявлять недействительные учетные записи можно по следующему признаку: по истечении срока действия значение третьего поля записи в файле

/etc/shadow
становится меньше, чем значение, содержащееся в восьмом поле.)

Выявление случаев незаконного использования учетных записей
Поделиться с друзьями: