<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META http-equiv="Content-Type" content="text/html; charset=koi8-r">
<META NAME="GENERATOR" CONTENT="lfparser_2.3">
<META NAME="LFCATEGORY" CONTENT="System Administration">
<TITLE>lf180, System Administration: Инструменты для обеспечения безопасности системы</TITLE>
</HEAD>
<BODY bgcolor="#ffffff" text="#000000">
<!-- this is generated html code. NEVER use this file for your
translation work. Instead get the file with the same article number
and .meta.shtml in its name. Translate this meta file and then
use lfparser program to generate the final article -->
<!-- lfparser can be obtained from http://main.linuxfocus.org/~guido/dev/lfparser.html -->
<MAP name="top">
<AREA shape="rect" coords="367,9,418,30" alt="Home" href="../index.html">
<AREA shape="rect" coords="423,9,457,30" alt="Map" href="../map.html">
<AREA shape="rect" coords="463,9,508,30" alt="Index" href="../indice.html">
<AREA shape="rect" coords="514,9,558,30" alt="Search" href="../Search/index.shtml">
</MAP>
<MAP name="bottom">
<AREA shape="rect" coords="78,0,163,15" alt="News" href="../News/index.shtml">
<AREA shape="rect" coords="189,0,284,15" alt="Archives" href="../Archives/index.html">
<AREA shape="rect" coords="319,0,395,15" alt="Links" href="../Links/index.shtml">
<AREA shape="rect" coords="436,0,523,15" alt="About LF" href="../aboutus.html">
</MAP>
<!-- IMAGE HEADER -->
<CENTER>
<IMG src="../../common/images/Topbar-ru.gif" width="600" height="40" border="0" alt="[Top bar]" ismap usemap="#top" ><BR>
<IMG src="../../common/images/Bottombar-ru.gif" width="600" height="21" border="0" alt="[Bottom bar]" ismap usemap="#bottom">
</CENTER>
<!-- SSI_INFO -->
<!-- tr_staticssi include virtual -->
<!-- tr_staticssi exec cmd -->
<!-- addedByLfdynahead ver 1.4 --><TABLE ALIGN="right" border=0><TR><TD ALIGN="right"><FONT SIZE="-1" FACE="Arial,Helvetica">эта страница доступна на следующих языках: <A href="../../English/January2001/article180.shtml">English</a> <A href="../../Castellano/January2001/article180.shtml">Castellano</a> <A href="../../Deutsch/January2001/article180.shtml">Deutsch</a> <A href="../../Francais/January2001/article180.shtml">Francais</a> <A href="../../Nederlands/January2001/article180.shtml">Nederlands</a> <A href="../../Russian/January2001/article180.shtml">Russian</a> <A href="../../Turkce/January2001/article180.shtml">Turkce</a> </FONT></TD></TR></TABLE><br>
<!-- SHORT BIO ABOUT THE AUTHOR -->
<TABLE ALIGN=LEFT BORDER=0 hspace=4 vspace=4 WIDTH="30%" >
<TR>
<TD>
<!-- PALM DOC -->
<TABLE BORDER=0 hspace=4 vspace=4> <TR> <TD>
<font size=1> <a href="http://cgi.linuxfocus.org/cgi-bin/2pda"><img src="../../common/images/2doc.gif" width=34 align=left border=0 height=22 alt="convert to palm">Convert to PalmDoc</a></font>
</TD> </TR> </TABLE>
<!-- END PALM DOC -->
<br>
<IMG SRC="../../common/images/Georges-Tarbouriech.jpg" ALT="[Photo of the Author]" HEIGHT=124 WIDTH=115>
<BR>автор <A HREF="mailto:georges.t@linuxfocus.org">Georges Tarbouriech</A>
<BR><BR>
<I>Об авторе :</I><BR>
<P>
Georges давно использует Unix - системы ( коммерческие и бесплатные ). Его
интересуют инструменты для безопасности систем, качество которых он очень
высоко ценит.
<BR></P>
<P><i>Содержание</i>:
<UL>
<LI><A HREF="#lfindex0">Стандартные приложения</A></LI>
<LI><A HREF="#lfindex1">Брандмауэры</A></LI>
<LI><A HREF="#lfindex2">Сканеры портов</A></LI>
<LI><A HREF="#lfindex3">Системы обнаружения</A></LI>
<LI><A HREF="#lfindex4">Шифрование</A></LI>
<LI><A HREF="#lfindex5">Скрипты</A></LI>
<LI><A HREF="#lfindex6">Итак</A></LI>
<LI><A HREF="#lfindex7">Ссылки</A></LI>
<LI><A HREF="http://cgi.linuxfocus.org/cgi-bin/lftalkback?anum=180&lang=ru">Страница отзывов</A></LI>
</UL>
</P>
</TD></TR></TABLE>
<!-- HEAD OF THE ARTICLE -->
<H2>Инструменты для обеспечения безопасности системы</H2>
<IMG SRC="../../common/images/illustration180.gif" width=100 height=100 HSPACE=10 >
<!-- ABSTRACT OF THE ARTICLE -->
<P><i>Резюме</i>:
<P>
<p>
Безопасность системы - одна из главных задач администратора. Тем более в наше
время бурного развития Internet. Немного статистики : увеличение числа
пользователей, подключенных к Internet - увеличивает и число хакеров.
Соответственно и разработка приложений для улучшения безопасности растет
экспоненциально. Опять же, не можем не выразить благодарности сообществу
свободно распространяемого программного обеспечения за предлагаемые
приложения высокого качества и горы документации.
<br>
Интересные ссылки в конце заметки. Мы конечно не претендуем на исчерпывающий
список. Выбранные приложения относятся к ежедневно используемым или
предварительно тестированным.
<br>
Заметка предназначена как отдельным пользователям, так и системным
администраторам, так как рассматриваемые приложения применимы как к отдельным
компьютерам, так и к целым сетям.
<br>
Большинство приложений запускается на многих Unix ( если не все ) - как на
коммерческих, так и бесплатных. И наконец - смысл заметки не " как
обеспечить безопасность машины или сети ", а рассмотреть доступные
приложения, которые вы можете ( обязаны ) применять для улучшения безопасности.
</p></P>
<HR size="2" noshade align="right"><BR>
<!-- BODY OF THE ARTICLE -->
<A NAME="lfindex0"> </A>
<H2>Стандартные приложения</H2>
<p>
Назовем эту часть так - "Приложения для whitehats чтобы защитить redhat
от blackhats":-) Большинство дистрибутивов Linux ( не только RedHat! )
содержат набор подобных приложений. Их обычно и используют по своему прямому
назначению.
<br>
Среди них мы остановимся на TCPWrapper, PAM ( Pluggable Authentication
Modules ) и утилитах shadow... Так как они являются частью дистрибутивов -
можно подробнее почитать об их работе в HOWTO или man pages.
<br>
Начнем с <strong>shadow утилит</strong>. Если кратко - они предназначены для
шифрования паролей. Файл /etc/passwd заменяется на /etc/shadow.
<br>
Более сложное приложение - <strong>PAM</strong>. Как следует из названия - это
еще одна из разновидностей аутентификации. Цель - ограничить доступ пользователей
к сервисам. Настраивается через конфигурационные файлы, что упрощает использование.
Обычно данные файлы находятся в каталоге /etc/pam.d.
<br>
Цель <strong>TCPWrapper</strong> - ограничить доступ определнных компьютеров
к сервисам. Доступ определяется через /etc/hosts.allow и /etc/hosts.deny.
<br>
TCPWrapper настраивается перемещением демонов или изменением файла
/etc/inetd.conf. Если TCPWrapper не поставляется с вашей системой - можно
скачать с <a href="ftp://ftp.porcupine.org/pub/security">
ftp://ftp.porcupine.org/pub/security</a>.
<br>
А теперь вы поймете почему мы так кратко рассмотрели эти приложения -
существует одно приложение выполняющее все эти функции. Называется оно -
<strong>Bastille-Linux</strong>. Если вы хотите всего одно приложение - это
оно и есть. Скачать можно с <a href="http://bastille-linux.sourceforge.net">
http://bastille-linux.sourceforge.net</a>.
<br>
Да кстати мы ничего не сказали о нем!!! В этом нет никакого смысла, ведь мой
друг Frйdйric опубликовал прекрасную заметку в <a href="../September2000/article166.shtml">
сентябрьском</a> выпуске LinuxFocus - там обо всем рассказывается.
<br>
Могу только добавить, что Bastille-Linux - приложение без которого нельзя
работать!
<br>
Еще одно приложение <strong>xinetd</strong> ( доступно на <a href="http://www.xinetd.org/">
http://www.xinetd.org</a> ). Извините, но мы и здесь умолчим по той же причине -
Frйdйric обо всем рассказал в <a href="../November2000/article175.shtml">
ноябрьском</a> выпуске LinuxFocus.
<br>
Это была секция FredFocus...
<br>
Не беспокойся о деньгах Fred, я могу подождать...
<br>
Идем дальше.
</p>
<A NAME="lfindex1"> </A>
<H2>Брандмауэры</H2>
<p>
Бесплатные Unix предлагают приложения, способные превратить ваш компьютер в
брандмауэр. Ядро 2.2 предлагает <strong>ipchains</strong>, а 2.0 - <strong>
ipfwadm</strong>. Для того, чтобы эти приложения начали работать -
необходимо скомпилировать ядро с соответствующими опциями. Рассказывать
подробно о работе этих приложений нет смысла опять же из-за существования
множества документации на эту тему.
<br>
Общими словами - брандмауэр это приложение фильтрующее пакеты. Самый
ответственный момент при работе с ними - настройка, потому что неправильно
сконфигурированный брандмауэр представляет опасность.
<br>
Тем не менее это очень важное приложение.
<br>
Возвращаясь к Bastille-Linux - предлагает брандмауэр основанный на ipchains.
<br>
Можно сделать поиск "firewall" на сайте <a href="http://www.linuxapps.com">
http://www.linuxapps.com</a> - результатом будет примерно 40 ответов.
Большинство из них - всего GUI к ipchains или ipfwadm для администрирования.
Но попадаются и реальные приложения, такие как например T.REX ( доступно на
<a href="http://www.opensourcefirewall.com">http://www.opensourcefirewall.com
</a> ). Еще раз напоминаю - брандмауэр обязательное приложение в сети, но
безопасность не определяется ТОЛЬКО им. Хакеру достаточно 15 минут, чтобы
решить эту проблему! Вас предупредили.
</p>
<A NAME="lfindex2"> </A>
<H2>Сканеры портов</H2>
<p>
Вот мы и подошли к главному вопросу. Смысл в следующем - используйте те же
инструменты, что и хакеры для проверки надежности сети ( или отдельной
машины ).
<br>
Здесь мы рассмотрим два приложения, но это не значит, что других не
существует.
<br>
Первое - <strong>nmap</strong> ( доступно на <a href="http://www.insecure.org">
http://www.insecure.org</a> ). Кроме того, на этом сайте много интересной
информации и ссылок...
<br>
Приложение позволяет обнаружить открытые порты компьютера, находящегося
в вашей сети. Уверен, что вы можете сделать то же самое командами lsof или
netstat, но только для своего компьютера.
<br>
nmap предоставляет информацию об установленной ОС на компьютере, открытых
портах. И наконец - приложение легко использовать.
<br>
Конечно наряду с консольным вариантом существует и GUI, называется nmapfe
( основан на gtk ). Текущая версия 2.53 доступна в исходных текстах, rpm, с
GUI или без и работает на многих Unix.
<br>
nmap - еще одно приложение без которого нельзя работать!
<br>
Благодарность Mr. Fyodor и поздравления с хорошо выполненной работой.
</p>
<p>
Второе приложение - <strong>nessus</strong> ( доступно на <a href="http://www.nessus.org">
http://www.nessus.org</a> ), работает в соответствии с архитектурой клиент/
сервер, основано на Posix, существует для многих Unix и даже есть Win32
клиент ( просто для информации ).
<br>
Nessus использует nmap ( теперь вы верите! ) и gtk для своего GUI.
<br>
Текущая версия 1.06. Можно просканировать всю сеть одной командой, например
набрав адрес 192.168.1 - приложение проверит все 254 компьютера в сети.
<br>
При том, что приложение гораздо сложнее nmap - использование по - прежнему
такое же легкое. nessus обладает многими дополнительными свойствами -
составление отчетов, поиск отличий в них, предложение решения проблемы
непосредственно во время сканирования ( учитывая, что компьютер на Unix
платформе - решения предлагаются хорошие и правильные ). Что касается других
платформ - решения не всегда будут подходящими.
<br>
Вот пример одного уязвимого компьютера :
<p>
<A HREF="../../common/images/article180/nessus.jpg">
<IMG SRC="../../common/images/article180/nessusth.jpg" ALT="nessus.jpg" HEIGHT=150 WIDTH=200 ALIGN=TEXTTOP>
</A>
</p>
<p>
Еще одно достоинство приложения - оно работает с подключаемыми модулями, что
позволяет обновлять их при обнаружении очередных security hole кем - либо.
<br>
Также очень рекомендованное приложение для системного администратора!
Поздравления с хорошо выполненной работой Mr. Deraison и "Merci beaucoup".
</p>
<p>
Оба приложения проходили проверку на Linux - компьютере в сети с разными ОС : Linux RH 6.2, Irix 6.5.7,
Solaris 2.6, NeXTStep 3.3, QNX RT, BeOS 5.0, Amiga OS 3.5, Not Terminated 4.0.
Результаты впечатляют. Конечно не очень хорошо идентифицируется ОС Amiga
( появлялась как принтер или роутер ), но с другой стороны - кто все еще
использует эту ОС в сети ( кроме меня ).
<br>
В любом случае эти приложения обязательны для ежедневного использования.
<br>
В конце этой части перечислим еще некоторые приложения - SARA <a
href="http://www-arc.com/sara/">http://www-arc.com/sara/</a>, SATAN
<a href="http://www.porcupine.org/satan/">http://www.porcupine.org/satan/</a>,
SAINT <a href="http://www.wwdsi.com">http://www.wwdsi.com</a>. Они не только
являются сканерами портов, но могут выполнять и другую работу для улучшения
безопасности сети.
</p>
<A NAME="lfindex3"> </A>
<H2>Системы обнаружения</H2>
<p>
Некоторые приложения предназначены для обнаружения попыток сканирования портов
или вторжения. Системный администратор не может обойтись без них ( уже похоже
на паранойю! ).
<br>
Набор таких приложений предлагает <strong>Abacus Project</strong> ( доступны
на <a href="http://www.psionic.com">http://www.psionic.com</a> ) - logcheck,
portsentry and hostsentry.
<br>
Текущая версия Logcheck 1.1.1, portsentry - 1.0 и hostsentry - 0.0.2 alpha.
<br>
<strong>Portsentry</strong> - приложение обнаружения попыток сканирования
портов. Как следует из названия приложения - его задача при обнаружении
попытки сканирования - произвести блокировку компьютера, используя или
прекращение роутинга ( брандмауэр или переадресация на несуществующий IP -
адрес ) или добавление IP - адреса атакующего компьютера в файл /etc/hosts.deny
( при условии, что в системе установлен TCPWrapper ). Это достаточно
эффективное решение!
<br>
Приложение Porsentry настраивается через основной конфигурационный файл и
несколько специальных, которые используются для игнорирования определенных
компьютеров ( не то же самое. что и блокирование ) или блокирования некоторых
портов на компьютерах.
<br>
В конфигурационном файле вы определяете каким образом будет работать приложение :
с какими портами его связать - TCP, UDP или и те и те ( будьте осторожны при
связывании с 6000 портом, если используете X11! ).
<br>
Существует два вида мониторинга портов в зависимости от используемой Unix.
advanced mode в настоящее время доступен только для Linux.
<br>
Далее вы выбираете вид блокировки : блокируете сканер или нет, или выполняете
внешнюю команду.
<br>
Далее способ прекращения роутинга : перенаправление на неиспользуемый IP -
адрес в вашей сети или к брандмауэру.
<br>
Следующий шаг относится к TCPWrappers : вы решаете будете или нет вносить
строку DENY в файл /etc/hosts.deny.
<br>
Далее выбор выполняемой внешней команды : можете выбрать trigger value для
сканирования ( по умолчанию задан 0 ).
<br>
Вот в общем все, что вам необходимо сделать! Мы предполагаем. что вы все
знаете о протоколировании. Другими словами - вы знаете каким образом
модифицировать syslog.conf для перенаправления сообщений не в
/var/log/messages, var/log/syslog или /var/adm/messages, а в другое место...
<br>
Теперь можно запустить portsentry фоновым процессом с выбранными вами опциями,
которые зависят от используемой платформы : для большинства Unix - -tcp, -udp
и -atcp, -audp для Linux ("a" - advanced).
<br>
Посмотрим результат сканирования компьютера с запущенным portsentry.
<p>
<IMG SRC="../../common/images/article180/nmapg.jpg">
</p>
Если вы относитесь к типу системного администратора проверяющего log - файлы
раз в неделю ( поищите другую работу!!! ) вам следует обратить внимание на
следующее приложение, предлагаемое <strong>Abacus Project</strong> - <strong>
logcheck</strong>. Оно запускается через cron и посылает сообщение администратору
при обнаружении необычных записей в log - файле.
<br>
И наконец последнее приложение набора - <strong>hostsentry</strong>, выглядит
интересно, но я его не тестировал.
<br>
Если вам нужно мощное, эффективное и простое в использовании приложение -
выбирайте portsentry!
<br>
Спасибо Mr. Rowland : прекрасная работа! Да кстати, мне нравится ваш юмор.
<br>
Следующее приложение необходимое каждому системному администратору - <strong>
snort</strong>, это IDS ( Intrusion Detection System - система обнаружения
вторжений ), к слову сказать - достаточно компактное.
<br>
Текущая версия 1.6.3 ( доступна на <a href="http://www.snort.org">
http://www.snort.org</a> ). Основное требование запуска приложения - платформа,
поддерживающая libpcap. Просто информация - доступна Win32 версия.
<br>
Задача приложения - анализировать IP трафик и подробно все регистрировать.
<br>
Работа приложения основана на rules - скриптах, в которых определяются его
задачи - какой трафик контролировать : входящий, исходящий, до или после
брандмауэра...
<br>
Предлагаю регистрировать все!!! А если серьезно - вам решать, для "
обычного" администратора чем больше тем лучше...
<br>
Теперь надо определять за "чем" следить - необходимо выбрать rules.
В состав поставки <strong>snort</strong> входят разные - backdoor, ddos, finger,
ftp, но не забывайте, что вы можете взять новые или update старых на сайте.
<br>
Теперь надо запустить <strong>snort</strong> фоновым процессом ( например ),
с выбранным вами опциями - например для запуска <strong>snort</strong> демоном -
опция -D и определить место для регистрации событий ( можно даже перенаправить
на другой компьютер ).
<br>
Нет возможности рассмотреть все свойства приложения в заметке. Обратите внимание
на документацию.
<br>
В любом случае это тоже приложение без которого НЕЛЬЗЯ работать. Действительно
прекрасное приложение. Спасибо Mr Roesch.
<br>
Можно также упомянуть бесплатное приложение <strong>AIDE</strong> ( доступно
на <a href="http://www.cs.tut.fi/~rammer/aide.html">
http://www.cs.tut.fi/~rammer/aide.html</a> ).
</p>
<A NAME="lfindex4"> </A>
<H2>Шифрование</H2>
Шифрование - вопрос комплексный и обеспечение осуществляется взаимодействием
разных приложений. Мы не можем рассмотреть здесь все. Но все - таки несколько
слов надо сказать о <strong>SSH</strong>, особенно о бесплатной версии этого
приложения - <strong>OpenSSH</strong> ( доступно на <a href="http://www.openssh.com">
http://www.openssh.com</a> ). Текущая версия приложения 2.3.0. Первоначально
было разработано для OpenBSD, но в настоящее время существует для многих
Unix.
<br>
Задача приложения - заменить такие утилиты и команды как telnet, rsh, rlogin,
а также включая scp - заменить и ftp и rcp. OpenSSH шифрует данные в сети,
в отличии от таких утилит как telnet, rsh, которые пересылают их как есть,
в том числе и пароли!
<br>
Поэтому рекомендуется использовать OpenSSH вместо них. И более того - это
приложение обязательно к применению.
<br>
Единственная проблема, касающаяся таких приложений - законодательство о
шифровании государств. Времена конечно меняются, но все еще в мире есть много
мест, где нет достаточной свободы применения таких приложений. Например
некоторое время назад вас могли принять за шпиона при использовании SSH в
такой стране как Франция. К счастью такая ситуация не везде. Рекомендую
тщательно изучить документ о ситуации в этой области в разных странах -
<a
href="http://www2.epic.org/reports/crypto2000/countries.html">http://www2.epic.org/reports/crypto2000/countries.html</a>
<br>
Перечислю еще некоторые приложения, относящиеся к этой теме, заслуживающие
рассмотрения в отдельной заметке для каждого : <strong>OpenSSL</strong>
(Secure Sockets Layer) ( <a href="http://www.openssl.org">http://www.openssl.org</a> ),
или <strong>Strong Crypto</strong> ( <a href="http://www.strongcrypto.com">
http://www.strongcrypto.com</a> ).
<br>
Конечно не следует забывать о OpenPGP ( <a href="http://www.ietf.org/html.charters/openpgp-charter.html">
http://www.ietf.org/html.charters/openpgp-charter.html</a> ) или GNUpg
( <a href="http://www.gnupg.org">http://www.gnupg.org</a> ).
</p>
<A NAME="lfindex5"> </A>
<H2>Скрипты</H2>
<p>
В этой части мы поговорим о написании скриптов - основном навыке любого
системного администратора. Shell скрипты, Perl скрипты... - написание их
является частью повседневной работы людей контролирующих работу сетей.
<br>
Также скрипты создаются для автоматизации работы и мониторинга безопасности.
Каждый администратор решает свои проблемы подходящим для него способом. Но
не всегда бывает легко найти решение. Могу посоветовать подписаться на
журнал системного администратора! Этот журнал создается системными администраторами
и для системных администраторов и предлагает множество программ, скриптов...
Также можно заказать CDRom с предыдущими выпусками и конечно программами и
скриптами.
<br>
Это не реклама... Просто одно из решений для улучшения безопасности. Все это
на <a href="http://www.samag.com">http://www.samag.com</a>.
<br>
</p>
<A NAME="lfindex6"> </A>
<H2>Итак</H2>
<p>
Можно еще рассказывать и рассказывать о безопасности, но как мы сказали
раньше заметка не выходит под названием "Как обезопасить вашу сеть".
Целой книги будет недостаточно для рассмотрения этого вопроса. Безопасность
не обеспечивается только сочетанием определенных приложений, необходимо и
особое поведение. Например мне интересно когда люди наконец поймут, что
документы M$ Office в чем - то схожи с бомбами? Они не только огромных размеров,
но и могут содержать макровирусы. Пользователи Wintel - НЕ ПОСЫЛАЙТЕ документы
Word или Excel в присоединенных файлах. Кроме того, получив такой документ -
НЕ ОТКРЫВАЙТЕ его - это просто совет, но не забывайте, что вы были предупреждены.
Опасность таких документов соизмерима с опасностью, которую представляют
исполняемые файлы, получаемые или скачиваемые вами. И кстати - обычные
текстовые или html - файлы более компактны по сравнению с документами M$ Office
и что самое главное - НЕ ОПАСНЫ!
<br>
Конечно я знаю как работает мир Wintel - если вам нужен отдельно драйвер -
это обязательно будет исполняемый файл. Предположим, что можно доверять
крупным фирмам... но где гарантии насчет скачиваемых архивов? Согласен,
немного параноидальный стиль мышления, но настолько ли? Как вы думаете -
зачем архивы содержат контрольные суммы?
<br>
Следующее утверждение также может задеть некоторых, но это факт - JAVA
также опасен! Апплеты не безопасны, Java скрипты тоже. Интересно было бы
узнать - сколько вебсайтов не используют Java. Более того - Java источник
проблем посещающих эти сайты : вспомните как иногда замирает ваш браузер.
Неужели это является преимуществом вебсайта?
<br>
Об ActiveX от Redmond army не будем даже говорить!
<br>
Предложение : используйте Rebol вместо (<a href="http://www.rebol.com">http://www.rebol.com</a>)
<br>
Раз уж мы затронули эту тему - пожалуйста, начинающие Internet - разработчики
не создавайте сайты, предназначенные для мира Wintel и IE5! Я конечно
понимаю, что это все очень хорошо распространено, но тем не менее многие
используют и другие ОС и другие браузеры. Если вы и дальше будете работать
таким образом, считайте, что вы отгородите свои сайты от них. Главная цель
Internet - обмен, совместное использование. Использование частных решений -
нонсенс. По - моему мнению, первое, что должно быть принято во внимание при
разработке сайта - независимость от ОС и браузеров, но это только мое мнение.
Просто для информации : может возникнуть ситуация, когда вы, используя
Unix и Netscrape даже не сможете загрузить начальную страницу!
<br>
Извините за отступление.
<br>
Следующий важный момент - помните, что нельзя достигнуть 100% уровня
безопасности. Мы далеко от этого. Фактом является то, что мы можем улучшить
ее. Например можно установить все рассмотренные нами приложения, но оставить
черный ход настежь открытым. Не обманывайте себя - хакер не примется сразу
же за сложные вещи, он поищет маленькую лазейку где - нибудь в другом месте.
Будьте осторожны с SUID или SGID приложениями, правами доступа, работающими
ненужными приложениями.
<br>
При большом сходстве разных Unix - они достаточно серьезно отличаются в
вопросах безопасности. Некоторые из них похожи на сито! Этот момент также
не упускайте. Мы еще не упомянули о других ОС. Исправляем ошибку : очень
удобно иметь подключенный компьютер с Win* к Internet - открываем сетевое
окружение и видим компьютер хакера, возможно даже с его фотографией! Шутка...
<br>
На самом деле путь к сетевой и компьютерной безопасности очень длинный, если
вам интересна эта область - необходимо ежедневно повышать свой уровень
знаний. К счастью есть множество сайтов с подобной информацией - вот
некоторые из них.
</p>
<A NAME="lfindex7"> </A>
<H2>Ссылки</H2>
<p>
<a href="http://www.linuxsecurity.com">http://www.linuxsecurity.com</a>
- первая сокровищница. Там можно найти все!
<br><br>
<a href="http://www.sans.org">http://www.sans.org</a>
- сайт, где можно получить помощь и необходимую информацию по безопасности.
Советую регулярно посещать его.
<br><br>
<a href="http://www.infosyssec.org">http://www.infosyssec.org</a>
- еще один сайт с документацией.
<br><br>
<a href="http://www.securityfocus.com">http://www.securityfocus.com</a>
- сервер Bugtraq.
<br><br>
<a href="http://www.cs.purdue.edu/coast/hotlist/">http://www.cs.purdue.edu/coast/hotlist/</a>
- этот сайт вы просто обязаны посетить!
<br><br>
В самом верху этой страницы есть кнопка "Links" - кликните ее и там
найдете адреса большинства дистрибьюторов. Посещайте их сайты для получения
информации о новых patch'ах.
<br><br>
Также можно посоветовать заметки из предыдущих выпусков LinuxFocus, кроме
тех, о которых мы уже говорили :
<br>
<A href="../July1998/article60.html">Adding Security to Common Linux
Distributions</a>
<br>
<A href="../July1998/article61.html">TCPD and Firewalls using IPFWADM</a>
<br>
<A href="../../English/January2000/article133.shtml">VXE, a Linux security tool</a>
<p>
Невозможно упомянуть обо всех источниках информации. Можно лишь сказать, что
все сайты подобны матрешкам - на каждом множество ссылок на другие.
<br>
Если какие - либо приложения не были упомянуты - лишь потому, что я их не
тестировал. Конечно необходимо тщательно выбирать среди множества доступных.
<br>
Цель заметки - показать читателям отправные точки пути улучшения
безопасности сетей и отдельных компьютеров.
</p>
Не правда ли мы живем в великие времена?
<A NAME="talkback"> </a>
<h2>Страница отзывов</h2>
У каждой заметки есть страница отзывов. На этой странице вы можете оставить
свой комментарий или просмотреть комментарии других читателей.
<center>
<table border="0" CELLSPACING="2" CELLPADDING="1">
<tr BGCOLOR="#C2C2C2"><td align=center>
<table border="3" CELLSPACING="2" CELLPADDING="1">
<tr BGCOLOR="#C2C2C2"><td align=center>
<A href="http://cgi.linuxfocus.org/cgi-bin/lftalkback?anum=180&lang=ru"><b> talkback page </b></a>
</td></tr></table>
</td></tr></table>
</center>
<HR size="2" noshade>
<!-- ARTICLE FOOT -->
<CENTER><TABLE WIDTH="95%">
<TR><TD ALIGN=CENTER BGCOLOR="#9999AA">
<A HREF="../../common/lfteam.html">Webpages maintained by the LinuxFocus Editor team</A>
<BR><FONT COLOR="#FFFFFF">© Georges Tarbouriech, <a href="../../common/copy.html">FDL</a> <BR><a href="http://www.linuxfocus.org">LinuxFocus.org</a></FONT>
<BR><a href="http://cgi.linuxfocus.org/cgi-bin/lfcomment?lang=ru&article=article180.shtml.htm" target="_TOP">Click here to report a fault or send a comment to Linuxfocus</A><BR></TD>
<TD BGCOLOR="#9999AA"><!-- TRANSLATION INFO -->
<font size=2>Translation information:</font><TABLE>
<tr><td><font size=2>en</font></td>
<td><font size=2>-></font></td>
<td><font size=2>--</font></td>
<td><font size=2><a href="mailto:georges.t@linuxfocus.org"><FONT COLOR="#FFFFFF">Georges Tarbouriech</FONT></a></font></td>
</tr>
<tr><td><font size=2>en</font></td>
<td><font size=2>-></font></td>
<td><font size=2>ru</font></td>
<td><font size=2><a href="mailto:kirill@linuxfocus.org"><FONT COLOR="#FFFFFF">Kirill Poukhliakov</FONT></a></font></td>
</tr>
</TABLE></TD>
</TR></TABLE></CENTER>
<p><font size=1>2000-12-26, generated by lfparser version 2.3</font></p>
</BODY>
</HTML>