Вход на хостинг
IT-новости
20.04.2016 iPhone 2017 года поместят в водонепроницаемый корпус из стекла
Линейка iPhone в новом году серьезно поменяется. В этом уверен аналитический исследователь Мин Чи Ку......
30.07.2015 Ищем уникальный контент для сайта
Ищем уникальный контент для сайта Без уникального контента Ваш сайт обречен на то, что его страницы......
Безопасность серверов организации (реализация требований безопасности на примере ОС Linux)
На данный момент в качестве серверной платформы всё чаще и чаще выбор останавливается на операционной системе Linux, нередко забывая о том, что в качестве одного из важнейших показателей работы сервера, помимо стабильности, является безопасность.
В большинстве случаев установка по умолчанию (за исключением некоторых специализированных дистрибутивов) оставляет большое количество сервисов, доступных «всему миру», а каждый такой сервис – это потенциальная дыра в безопасности сервера, поскольку новые проблемы безопасности обнаруживаются достаточно часто и регулярно. Кроме небезопасных сервисов, нужно также помнить и о безопасности всех остальных основных компонент сервера, каковыми в данном случае являются ядро системы и правила безопасности на уровне сетевых протоколов. Эти аспекты работы сервера и будут освещены в этой статье.
Ядро системы
Операционная система Linux является плодом труда людей, а им, как известно,
свойственно ошибаться, даже в коде ядра. Отсюда первая угроза безопасности –
ошибки в ядре системы. Подобные ошибки обнаруживаются не столь часто, сколь
ошибки во всём остальном программном обеспечении, однако же такое бывает.
Защита здесь одна (одинаковая для всех подобных проблем) – постоянное
отслеживание информации безопасности (например, неплохим источником информации,
помимо списка рассылки от производителя дистрибутива, является сайт
Впрочем, существуют патчи на ядро, которые
позволяют повысить защищённость системы в целом и ядра в частности. Основное
внимание в таких патчах (в том числе кумулятивных) уделяется возможности
противостоять системе от общих атак на программы с ошибкой на переполнение
буфера, от атак на программы с некорректным созданием временных файлов и также
на возможность уменьшить количество информации, которую может получить
атакующий о системе (
Также существуют патчи, специализирующиеся на
сетевом аспекте работы ядра ОС. В их задачи входит встраивание функции защиты
от сканирования в ядро системы (
средствами таких сетевых сканеров, как nmap.
При объединении всех этих патчей получается ядро системы, которое самостоятельно сможет предохранять систему от большинства типов известных атак: атаки на переполнение буфера, атаки на программы с неправильной работой с временными файлами, сетевое сканирование машины с целью определения открытых портов и версии операционной системы.
Сетевые сервисы
В большинстве случаев, по непонятным для автора причинам, на «свежеустановленном» сервере по умолчанию запущены практически все возможные сервисы (например, совершенно не нужный на сегодняшний день 7-ой порт, сервис echo).