Безопасность в Линуксе с нуля
Xakep, номер #040, стр. 040-060-1
Суперсекьюрная Ось - не проблема!
Нагорский Артем aka Cordex (cordex@real.xakep.ru)
Жизнь всякого продвинутого гика и хацкера в Инете... Несомненно, она связана со многими опасностями. И одна из таких опасностей, о которой часто забывают: плохо настроенная в плане безопасности *nix-анутая Ось. Многие ошибочно полагают, что Линукс отлично секьюрен по дефолту, но это не так. О том, как избежать этой ошибки и максимально настроить безопасность твоего любимого Линукса, не прикладывая особых усилий, мы и поговорим.
Нужна ли секьюрность тебе?
Начну с того, что свежеустановленный Линукс не безопасен сам по себе, он секьюрен только тогда, когда его безопасность в должной мере настроена. По меньшей мере наивно полагать, что безопасность требуется компам банков, всяких правительственных организаций и т.д. Так полагают только ламаки. В наше время никто не застрахован от опасности, АБСОЛЮТНО никто. Она может исходить отовсюду, как от локальных юзеров, так и от твоего соединения с Интернетом. На свете много людей, жаждущих поиметь чужие компы. Вот почему так важно правильно настроить свою Ось, больше не парясь о своей безопасности.
Составляющие безопасности
Прежде чем непосредственно перейдем к делу, позволь мне рассказать тебе о том, что, по моему мнению, и составляет секьюрность. Во-первых, это безопасность ВНУТРИ системы, то есть локальная безопасность. Во-вторых, это сетевая безопасность. В-третьих, это безопасность всех твоих важных файлов. И, наконец, в-четвертых, общая безопасность, куда отнесем все то, что является наиболее общим при настройке секьюрности и без чего тоже никак не обойтись :).
Локальная безопасность
Начал я с этого не случайно. Часто бывает, что удар приходит с той стороны, откуда его никто не ожидал: в данном случае все локальные пользователи на твоей тачке могут нанести непоправимый вред системе. Еще одной причиной является то, что любой злобный хацкер пытается вначале зайти в систему под обычным юзверем, чтобы заполучить в дальнейшем пароль рута в свои подленькие ручки, используя баги в локальной защите. Дабы этого избежать, займемся тем, что максимально наладим локальную секьюрность. Первым делом я предлагаю поставить тебе пароль на Bios. Зачем? Просто, если у тебя нет пароля на Биос, то нехороший человек может выставить в нем загрузку с CD, затем выбрать апгрейд системы и, ничего не апгрейдя, поменять пароль и войти в систему под новым пассом. Отсюда вытекает правило: ставь загрузку Линукса ВСЕГДА с жесткого диска. Если ты такой же параноик, как и я, то можешь поставить пароль и на LILO, конфиг которого валяется в etc/lilo.conf. После всего этого удостоверься в том, что для каждого из прописанных юзеров у тебя на тачке есть минимально необходимые для них привилегии, вообще - всегда старайся кому бы то ни было ставить привилегии по минимуму. Как говорится, будь параноиком, и все будет ОК :). Отсюда вытекает еще одно правило: как только видишь, что юзверь не пользуется отведенным под него аккаунтом, удаляй его сразу. Думаю, с этим ясно, и объяснять не нужно. Дальше в нашем списке идет Бог системы - рут. Во-первых, входи в его статусе только тогда, когда тебе действительно нужно что-то подправить в своей машине и настроить. Для прочих целей юзай созданный для себя user-аккаунт. Также никогда не создавай .rhost файлы для рута. Это очень опасно, например, при проведении ип-спуффинга на твой комп. Далее, что хотелось бы отметить, так это файл /etc/securetty file, который содержит все терминалы, куда может залогиниться рут. По дефолту там прописаны только виртуальные консоли, поэтому ничего туда не добавляй больше. Ну и, конечно, когда ты рут, то сначала думай, а потом делай, чтобы потом не плакать :).
