Глава 2. Общие правила информационной безопасности
Управление Национальной Безопасности США (National Security Agency, NSA) публикует руководства для правительственных организаций, бизнеса, и общественности вообще, помогающие повысить защищенность компьютерных систем. В дополнение к конкретным рекомендациям по настройке определенных систем разработаны общие правила информационной безопасности, применимые в любых случаях.
Общие правила
- Шифруйте все данные передаваемые по сети. Особенно важно шифрование данных аутентификации (таких, как пароли).
- Уменьшайте количество установленных и выполняющихся программ чтобы минимизировать уязвимость системы.
- По возможности используйте программное обеспечение с повышенной безопасностью (к примеру, SELinux, IPTables).
- По возможности выделяйте для каждой сетевой службы отдельный сервер. Это уменьшит риск того, что компрометация одной из служб повлечет за собой компрометацию других.
- Содержите в порядке учетные записи пользователей. Создайте сильную политику паролей и используйте ее в обязательном порядке. Удаляйте неиспользуемые учетные записи.
- Регулярно просматривайте журналы системы и приложений. Для ведения журналов используйте выделенный сервер. Это предотвратит легкий уход злоумышленника от обнаружения путем изменения локальных журналов.
- Никогда не работайте в системе с учетной записью администратора, если только в этом нет крайней необходимости. Администраторам следует использовать sudo для запуска процессов с администраторскими правами. Учетные записи пользователей имеющих право использовать sudo указываются в файле /etc/sudoers, который редактируется с помощью утилиты visudo. Соответствующие сообщения, по умолчанию, записываются в журнал /var/log/secure.
Советы, руководства, инструменты
Большинство вышеприведенных советов являются элементарными. В зависимости от вашего знания Linux и опыта настройки системы вы можете последовать некоторым из них с тем, чтобы повысить защищенность системы.
Подобно изданию руководств по безопасности систем управлением национальной безопасности, агенство по оборонным информационным системам (DISA) субсидирует программу всесторонней поддержки информационной безопасности (IASE), в рамках которой, в частности, публикуются контрольные списки и тесты для проверки уровня защищенности систем. Документы NSA будут полезны всем, кто знаком с системой Linux, информация же публикуемая DISA носит весьма конкретный характер и, соответственно, глубокие знания Unix/Linux будут большим подспорьем.
Ссылки на используемые нами документы приведены ниже. Для некоторых больших частей этих документов мы попытаемся объяснить то, как реализовать описываемое в Fedora и почему это действительно важно.
Кроме самой документации, DISA предоставляет утилиты (SRR scripts, Security Readiness Review Evaluation Scripts) позволяющие администратору быстро проверить корректность определенных настроек системы. В ходе своей работы утилиты создают отчет (в формате XML) с перечислением всех обнаруженных настроек приводящих к уязвимости системы.
Документы NSA
- Hardening Tips for the Red Hat Enterprise Linux 5 (PDF)
- Guide to the Secure Configuration of Red Hat Enterprise Linux 5 (PDF)
Документы DISA IASE
- Security Technical Implementation Guides (STIG) см. Unix STIG
- Security Checklists см. Unix Security Checklists
- Unix Security Readiness Review Evaluation Script
1. Введение | Содержание | 3. Безопасная установка |