<< Предыдущий раздел | /\ Содержание | >> Следующий раздел

Unix и вирусы

Когда заходит речь о компьютерной безопасности, то первым делом вспоминаются вирусы. И здесь у Unix есть огромное преимущество перед Dos/Windows: в Unix вирусов не существует.

Основная причина этого заключается в ограничении прав доступа: в Unix у программ просто нет возможности писать что угодно, куда угодно и когда угодно, что является необходимым условием для существования и распространения вирусов. Даже если какой-нибудь пользователь случайно и подхватит некую "зловредную" программу, то обычно максимум, что она сможет сделать -- это испортить файлы самого пользователя, на операционную систему же это никак не повлияет.

Кроме того, хотя во многих Unix и существуют некоторые "дыры" в защите, разнообразие систем делает создание программ, использующих эти дыры, крайне трудоемкой задачей. Даже разные версии/дистрибутивы Linux на одной и той же платформе Intel x86 могут отличаться столь сильно, что "нехорошая" программа попросту зайдет в тупик и не сможет ничего сделать.

В принципе, в Unix могут существовать "черви" -- программы, самостоятельно распространяющиеся по сети и заражающие компьютеры. Однако их разработка является не менее трудоемкой задачей, и количество известных червей крайне мало.

Даже знаменитый "Червь Морриса", который в ноябре 1988 года поразил большое количество систем в США, заражал лишь компьютеры двух типов. В настоящее же время многообразие систем несравненно выше, а таких огромных дыр в защите, какие существовали в конце 80-х, практически не осталось. (Подробно почитать про Червь Морриса можно по адресу http://www.msnbc.com/news/209745.asp.)

Таким образом, большинство атак на Unix-системы производится не автоматическими средствами, а требует участия человека.

Безопасность в Unix

Технические аспекты

С точки зрения пользователя, нарушение безопасности может принимать одну из трех форм:

• Чтение приватных данных.
• Изменение и фальсификация приватных данных.
• Помехи в работе.

Под "приватными данными" понимаются как файлы в компьютерах, так и электронная корреспонденция.

Нарушение безопасности всегда происходит по одной из двух причин. Первая -- несовершенство программных средств. Вторая -- ошибки человека.

С технической точки зрения, нарушение безопасности может включать:

• "Подглядывание" информации, передаваемой по сети (sniffing).
• "Подделка" информации, передаваемой по сети (spoofing).
• Помехи в работе различных подсистем ОС (т.н. "DOS-атаки" -- сокращение от "Denial Of Service", дословно "отказ в обслуживании").
• Приведение ОС в неработоспособное состояние -- завешивание или перезагрузка.
• Взлом пользователького эккаунта.
• Получение прав одного из специальных псевдопользователей ("bin", "daemon", "mail" и т.д.). Например, права "mail" дают возможность читать почту любого пользователя.
• Получение прав пользователя "root".

Последний случай наиболее опасен, поскольку наличие прав "root" позволяет делать с системой все, что угодно, включая первые шесть вариантов.

Атаки могут проводиться одним из трех основных способов:

• По сети (как из локальной сети организации, так и через Internet).
• При помощи т.н. "троянских коней" -- программ, в которые кроме (а то и вместо) нужной функциональности заложен код, выполняющий несанкционированные действия.
• Пользователями, зарегистрированными на компьютере -- при этом возможностей намного выше, чем при атаке через сеть.

При взломе в подавляющем числе случаев используется один и тот же прием -- программе, исполняющейся с высокими привилегиями, "скармливаются" такие данные, на которые она не рассчитана, и она или просто "падает" (получается DOS-атака), или исполняет код, "подсунутый" взломщиком.

Причем в качестве такой уязвимой программы может выступать и ядро. Например, в конце 1997-го/начале 1998-го года весьма популярны были атаки, основанные на посылке машине-жертве "неправильного" IP-пакета, так что система просто "падала замертво" (именно на этом принципе была основана программа WinNuke).

Хорошую возможность взлома дает физический доступ к компьютеру. Например, достаточно загрузить свой экземпляр системы с дискеты и с правами пользователя "root" делать все, что заблагорассудится. Хотя большинство современных BIOS дают возможность отключить загрузку с дискеты (а изменение настроек самого BIOS закрыть паролем), остается еще возможность переставить жесткий диск в другой компьютер. Впрочем, защититься от "отверточного" взлома очень трудно, и это совсем отдельная тема.

После успешного взлома злоумышленник обычно модифицирует системные файлы (например, подменяет некоторые программы своими). Обнаружить такую замену зачастую можно, регулярно выполняя команду "rpm -ya" и анализируя ее результаты.

Меры предосторожности

Основные меры предосторожности, которые следует соблюдать, достаточно просты и диктуются здравым смыслом (вести себя аккуратно, не вступать в беспорядочные связи):

• Выбирать пароли, которые нельзя угадать или подобрать. Лучше всего пароли, состоящие из 8 символов, среди которых встречаются и маленькие и заглавные буквы, и иные символы (цифры и знаки препинания). Не следует в качестве пароля использовать русское слово, набранное на латинском регистре (например, "остолоп!" -> "jcnjkjg!").
• Никогда не записывать пароли (на бумаге или в файле) и не передавать их по сети в открытом виде (в частности, не пользоваться telnet и неанонимным ftp).
• Никогда не работать как пользователь "root". При необходимости выполнить некую работу, требующую привилегий супервизора (добавление/удаление ПО и пользователей, просмотр закрытых log-файлов и т.д.) следует временно получить их при помощи команды "su", а по завершении этой работы немедленно выйти "из под" супервизора. При необходимости наличия прав супервизора в течение продолжительного времени лучше всего открыть отдельное окно, в котором выполнить "su", а не переключаться все время между обычным пользователем и "root".
• Постараться никогда не "превращаться" в супервизора при входе на компьютер по сети, а делать это только с локального терминала. Еще лучше -- не пользоваться "su" из-под X-Window, а только с консоли.
• Никогда не устанавливать ПО, полученное из непроверенных источников. В частности, следует с большим подозрением относиться к программам, поставляемым без исходных текстов.
• При установке ПО, требующего для работы прав "root", следует проверить, реально ли требуются такие права, и если да, то лучше воздержаться от использования этого ПО. Сюда относится как необходимость запуска из-под пользователя "root", так и наличие у исполняемых файлов флажка смены идентификатора пользователя (setuid) или группы (setgid).
• Никогда не устанавливать ПО "просто так", "на всякий случай". Ведь чем больше установлено программ, тем выше вероятность, что в какой-нибудь из них найдется "дыра". В основном это относится к сетевому ПО.
• Следить за появлением обновленных и исправленных версий ПО, в особенности -- ядра. В последнее время одна из основных причин появления новых версий -- исправление ошибок в security. В RedHat Linux обновленные версии доступны по адресу ftp://updates.redhat.com/, на зеркалах дистрибутива они располагаются в поддиректории updates/ (например, для RedHat 5.2 в ИЯФ это будет директория ftp://rdist.inp.nsk.su/pub/Linux/redhat-5.2/updates/). В этой директории всегда есть файл 00README.errata, содержащий комментарии к обновлениям. Html-версии файлов errata доступны по адресу http://www.redhat.com/support/docs/rhl/.
• По возможности ограничить доступ к компьютеру по сети. В частности, ограничить набор компьютеров, с которых разрешен доступ, и уменьшить до минимума количество сетевых сервисов. Так, вместо ftp, telnet и rlogin/rsh/rcp следует пользоваться пакетом ssh.

При обнаружении случаев взлома надо не пытаться разобраться самостоятельно, а немедленно связаться с компетентным персоналом. В частности, в ИЯФ следует обращаться в ОВС.

Не следует считать безопасность своего компьютера личным делом -- "пускай ломают, мне не жалко". Дело в том, что взломав чей-то личный компьютер, на порядок легче взломать другие машины в той же организации -- взлом "изнутри" всегда проще.

Где можно брать дополнительную информацию

Хорошим стартовым пособием является глава 23 книги "UNIX: руководство системного администратора".

Кроме того, многое можно почерпнуть из Internet -- см. к примеру, раздел Computers & Internet -> Security and Encryption -> Unix в Web-директории Yahoo!.

<< Предыдущий раздел | /\ Содержание | >> Следующий раздел