ОПНЦПЮЛЛЮ ЬХТПНБЮМХЕ
Linux Security HOWTO: Безопасность паролей & ШифрованиеNextPreviousContents6. Безопасность паролей & ШифрованиеОдними из наиболее важных свойств безопасности, используемых сегодня,являются пароли. Важно как вам так и вашим пользователям иметь безопасные,не очевидные пароли. Большинство из наиболее последних дистрибутивов Linuxвключают программу 'passwd', которая не позволит вам установить легкоугадываемый пароль. Убедитесь, что ваша программа 'passwd' современна иимеет это свойство.Глубокое обсуждение шифрования далеко за пределами целей этого документа,однако введение мы сделаем. Шифрование очень полезно, возможно даженеобходимо в это время и в этом месте. Существует большое количестворазных методов шифрования данных, каждый из которых имеет свой собственныйнабор характеристик.Большинство Unix (и Linux не исключение) в основном используютодносторонний алгоритм шифрования, называемый DES (стандарт шифрованияданных /Data Encription Standard/), для шифрования ваших паролей. Этизашифрованные пароли затем сохраняются (обычно) в файле /etc/passwdили (реже) в /etc/shadow. Когда вы пытаетесь зарегистрироваться, все,что вы набираете, снова шифруется и сравнивается с содержимым файла,в котором хранятся ваши пароли. Если они совпадают, должно быть этоодинаковые пароли, и вам разрешают доступ. Хотя DES являетсядвухсторонним (вы можете закодировать, а затем раскодировать сообщение,давая верный ключ), большинство Unix используют односторонний вариант.Это значит, что невозможно на основании содержания файла /etc/passwd(или /etc/shadow) провести расшифровку для получения паролей. Атаки "методом грубой силы", такие как "Взлом" или "John the Ripper"(см. ниже), могут часто угадать ваш пароль, если он не достаточнослучает (рандомизирован). PAM модули (см. ниже) позволяют вамиспользовать различные программы шифрования для ваших паролей (такиекак MD5 или подобные).Вы можете посетить http://consult.cern.ch/writeup/security/security_3.htmlдля получения информации о том, как лучше выбрать пароль.6.1 PGP и криптование открытым ключом (Public Key Cryptography)Криптование открытым ключом, подобного как для PGP, происходиттаким образом, что шифрование производится одним ключом, а расшифровка -другим. Традиционно в криптографии как для шифрования так и длярасшифровки используется один ключ. Этот "личный ключ" (private key)должны знать обе стороны - передающая и получающая - а также кто-то,кто передаст его от одной стороны другой.Криптование открытым ключом снимает необходимость секретно передаватьключ, который используется для шифрования, использованием двух различныхключей, публичного ключа и личного ключа. Публичный ключ каждого человекадоступен любому другому для выполнения шифрования, в тоже время каждыйчеловек имеет его/ее личный ключ для дешифрации сообщений, зашифрованныхправильным публичным ключом.Есть преимущества как в использовании публичного (открытого)ключа, так и криптографии личного ключа. Вы можете почитать о различияхв RSA Cryptography FAQ, приведенном в конце этого раздела.PGP (Pretty Good Privacy) довольно хорошо поддерживается в Linux. Известно,что хорошо работают версии 2.6.2 и 5.0. Чтобы увидеть хороший примерPGP и как его использовать, почитайте PGP FAQ. http://www.pgp.com/service/export/faq/55faq.cgi Убедитесь, что вы используете версию применимую в вашей стране, посколькусуществуют ограничения правительства США на экспорт - сильное шифрованиерассматривается как военное оружие и запрещено к распространению вэлектронной форме за пределами страны. /Прим. перев. - Вроде как естьсдвиги в этом направлении. Недавно читал, что кто-то там выигралпроцесс и получил разрешение на это дело - упор делался на свободу слова/.Существует также пошаговое руководство по настройке PGP в Linux, находитсяпо адресу http://mercury.chem.pitt.edu/~angel/LinuxFocus/English/November1997/article7.htmlОно написано для международной версии PGP, но оно легко адаптируемо дляверсии США. Вам также может понадобиться заплатка (patch) для некоторыхиз последних версий Linux, которая находится на ftp://sunsite.unc.edu/pub/Linux/apps/crypto.Больше информации по криптографии можно найти в RSA cryptographyFAQ, доступном на http://www.rsa.com/rsalabs/newfaq/. Здесь вы найдетеинформацию по таким терминам как "Diffie-Hellman", "public-keycryptography", "Digital Certificates", и др.6.2 SSL, S-HTTP, HTTPS и S/MIMEОчень часто пользователи спрашивают о различиях между различнымипротоколами безопасности и шифрования, и как использовать их.Поскольку это документ не о шифровании, будет неплохой идеейкратко объяснить что из себя каждый из них представляет, и где найти более детальную информацию.SSL: - SSL, или Secure Sockets Layer, является методомшифрования разработанным Netscape для обеспечения безопасности в Сети.Он поддерживает несколько различных протоколов шифрования, и обеспечиваетидентификацию (authentication) как на уровне клиента так и на уровнесервера. SSL работает на транспортном уровне, создает безопасный шифрованныйканал данных, и, таким образом, может бесшовно шифровать данные многихтипов. Наиболее часто это случается, когда вы посещаете защищенныйузел для просмотра в режиме online секретного документа с помощьюCommunicator, который обеспечивает вас базовыми услугами безопасностисвязи, а также многими другими видами шифрования данных. Больше информации можно найти на http://www.consensus.com/security/ssl-talk-faq.html.Информация о других реализациях безопасности в Netscape, а такжехорошая отправная точка по этим протоколам доступа по http://home.netscape.com/info/security-doc.html.S-HTTP: - S-HTTP является еще одним протоколом, которыйреализует в Интернете сервис безопасности. Он был разработан дляпредоставления конфиденциальности, опознавания, сохранности,а также non-repudiability [ не спутайте с чем-либо еще ], в то жевремя имея механизмы управления многими ключами икриптографические алгоритмы путем выборочного согласования междуучастниками в каждой транзакции. S-HTTP ограничен специфическимпрограммным обеспечением, которое реализует его, и шифрует каждоесообщение индивидуально. [ Из RSA Cryptography FAQ, стр. 138]S/MIME: - S/MIME, или Secure Multipurpose Internet MailExtension, является стандартом шифрования, используемым в электроннойпочте, или других типах сообщений в Интернете. Это открытый стандарт,который разработан RSA, и поэтому очень вероятно, что мы скоро увидимего в Linux. Больше информации по S/MIME можно найти по адресу http://home.netscape.com/assist/security/smime/overview.html.6.3 Реализация IPSEC в x-ядре LinuxНаряду с CIPE и другими формами шифрования данных, существует такжереализация IPSEC для Linux. IPSEC создан усилиями IETF дляобеспечения криптографически безопасных соединений на уровне IP сети,который также предоставляет опознавание, сохранность, контроль доступаи конфиденциальность. Информацию по IPSEC и черновикам Интернета можнонайти в http://www.ietf.org/html.charters/ipsec-charter.html.Там вы также можете найти ссылки на другие протоколы использующиеуправление ключами, на список рассылки и архивы IPSEC.Реализация для Linux, которая была разработана в Университете Аризоны,использует объектно-ориентированную структуру для реализации сетевогопротокола называемую х-ядро. Детальнее на http://www.cs.arizona.edu/xkernel/hpcc-blue/linux.html.В двух словах, х-ядро является методом передачи сообщений на уровнеядра, что позволяет более простую реализацию.Как и с другими формами криптографии этот метод не распространяется сядром из-за ограничений на экспорт.6.4 SSH (Secure Shell), stelnetSSH и stelnet - это программы, которые позволяют вамзарегистрироваться на удаленном сервере и иметь шифрованноесоединение. SSH является набором программ используемым как более безопасныйзаменитель для rlogin, rsh и rcp. Он использует криптографию открытогоключа для шифрования соединения между двумя машинами, а также дляопознавания пользователей. Его можно использовать для безопаснойрегистрации на удаленном сервере или копировании данных между двумямашинами, в то же время предотвращая атаки путем присоединенияпосредине (session hijacking) и обманом сервера имен (DNSspoffing). Он предоставляет компрессию данных в вашем соединение ибезопасное X11 соединение между двумя машинами. Домашнюю Web страницуSSH можно найти по адресу http://www.cs.hut.fi/ssh/Вы также можете использовать SSH с вашей рабочей станции под Windowsобращаясь к вашему Linux SSH серверу. Существует несколько бесплатныхреализаций Windows клиентов, включая http://guardian.htu.tuwien.ac.at/therapy/ssh/, а такжекоммерческую реализацию от DataFellows, на http://www.datafellows.com.SSLeay является бесплатной реализацией протокола Secure Sockets Layerот Netscape и состоит из нескольких приложений, таких как Securetelnet, модуль для Apache, нескольких баз данных, а также несколькихалгоритмов, включая DES, IDEA и Blowfish.Используя эту библиотеку был создан secure telnet, который выполняетшифрование через telnet соединение. В противовес SSH, stelnetиспользует SSL, Secure Sockets Layer протокол разработанныйNetscape. Вы можете найти Secure telnet и Secure FTP начав с SSLeayFAQ, доступного на http://www.psy.uq.oz.au/~ftp/Crypto/6.5 PAM - Pluggable Authentication ModulesНовые версии дистрибутива Red Hat распространяются с унифицированнойсхемой идентификации, называемой "PAM". PAM позволяет вам налетуизменять ваши методы идентификации, требования, инкапсулировать все вашилокальные методы идентификации без перекомпиляции вашихпрограмм. Описание настройки PAM выходит за рамки этого документа,поэтому за более детальной информацией сходите на web узел PAM.http://www.kernel.org/pub/linux/libs/pam/index.htmlВот несколько вещей, которые вы можете делать с PAM:Использовать не-DES шифрование для ваших паролей. (делая их болееустойчивыми к взлому методом "грубой силы")Устанавливать лимиты на ресурсы для ваших пользователей, чтобы они немогли выполнить сервисную атаку (количество процессов, количествопамяти, и т.п.) На лету активизировать теневые пароли (shadow password) (см. ниже)Разрешать определенным пользователям регистрироваться только вопределенное время и/или с определенного местаЗа несколько часов установки и настройки вашей системы вы можетепредотвратить много атак еще до их возниконовения. Например, используйтеPAM для запрещения широкого использования в системе файлов .rhosts вдомашних каталогах пользователей добавлением этих строк к/etc/pam.d/login:## Запретить для пользователей rsh/rlogin/rexec #login auth required pam_rhosts_auth.so no_rhosts6.6 Криптографическая IP инкапсуляция (CIPE)Главной целью этого программного обеспечения является предоставлениесредств для безопасной (против подслушивания, включая анализ трафика,и подставления поддельных сообщений) связи между подсетями через небезопасныепакетные сети, такие как Интернет.CIPE шифрует данные на сетевом уровне. Шифруются пакеты, которые передаютсямежду компьютерами в сети. Шифрующий код помещается недалеко от драйвера,который посылает и принимает пакеты.Это не схоже с SSH, который шифрует данные по соединениям - на гнездовомуровне. В этом случае шифруется логическое соединение междупрограммами, запущенными на разных машинах.CIPE можно также использовать при тунелировании (tunnelling) длясоздания Виртуальных Частных Сетей (Virtual Private Networks).Преимущество низкоуровневого шифрования состоит в том, что онопозволяет прозрачную работу между двумя сетями, соединенными в VPN,без каких-либо изменений в программном обеспечении.Выдержка из документации по CIPE:IPSEC стандарты определяют набор протоколов, которые можноиспользовать (среди прочих) для построения шифрованных VPN. Однако,IPSEC является скорее тяжеловесным и сложным с большим количествомопций, реализация полного набора протоколов все еще редко используетсяи некоторые вещи (такие как управление ключами) еще не до конца решены.CIPE использует более простой подход, в котором многие вещи, которыеможно параметризовать (такие как выбор текущего алгоритма шифрования),устанавливаются единожды во время инсталляции. Это ограничиваетгибкость, но позволяет более простую (и поэтому эффективную, простую вотладке) реализацию.Дальнейшую информацию можно найти на http://www.inka.de/~bigred/devel/cipe.htmlТакже как и с другими формами криптографии, он не распространяется сядром по умолчанию ввиду экспортных ограничений.6.7 KerberosKerberos является идентификационной системой, разработанной по проектуAthena в MIT. Во время регистрации пользователя, Kerberosидентифицирует его (используя пароль) и предоставляет пользователюспособ доказать его идентичность другим серверам и компьютерамразбросанным в сети.Эта идентификация затем используется программами, такими как rlogin,для разрешения пользователю регистрации на других компьютерах безпароля (в месте .rhosts файла). Идентификация также используетсяпочтовой системой для того чтобы гарантировать, что почта доставленаправильному адресату, а также для гарантии того, что посылающийявляется тем за кого себя выдает.Общий эффект использования Kerberos и других программ, которыепостaвляются вместе с ним, состоит в сущности в полном исключениикакой-либо возможности пользователям обмануть систему по поводу своейпринадлежности. К сожалению, установка Kerberos довольно трудоемкая,требующая модификации или замены большого количества стандартных программ.Вы можете найти больше информацию по Kerberos на http://www.veritas.com/common/f/97042301.htm а сам пакет наhttp://nii.isi.edu/info/kerberos/[From: Stein, Jennifer G., Clifford Neuman, and Jeffrey L. Schiller."Kerberos: An Authentication Service for Open Network Systems." USENIX Conference Proceedings, Dallas, Texas, Winter 1998.]6.8 Теневые пароли (Shadow passwords)Теневые пароли означают сокрытие секретной информации о вашихшифрованных паролях от обыкновенных пользователей. Обычно эти шифрованныепароли находятся у вас в /etc/passwd и открыты всем для чтения. Такимобразом на этот файл можно напустить программу-расшифровщик, чтобыпопытаться определить значения паролей. Пакет shadow записываетинформацию о паролях в файл /etc/shadow, который могут читать толькопривилегированные пользователи. Для того, чтобы активизировать теневыепароли вам необходимо убедиться, что все ваши утилиты, которымнеобходим доступ к паролям, скомпилированы с поддержкой теневыхпаролей. PAM (см. выше), кстати, позволяет вам просто подключитьshadow модуль и не требует перекомпиляции программ. Вы можете такжепочитать Shadow-Password HOWTO для получения более детальнойинформации, если это вам конечно нужно. Он доступен на http://sunsite.unc.edu/LDP/HOWTO/Shadow-Password-HOWTO.htmlСейчас он скорее условный и не требуется в дистрибутивах, поддерживающихPAM.6.9 "Crack" и "John the Ripper"Если по какой-либо причине ваша программа passwd не может отслеживатьлегко узнаваемые пароли, вы можете использовать взламывающуюпароли программу, чтобы убедиться в безопасности паролей вашихпользователей. Взламывающие пароли программы основаны на простой идее. Они перебираюткаждое слово и его вариации из словаря. Они зашифровывают это слово исравнивают его с вашим зашифрованным паролем. Если они совпадают,значит задача выполнена.Существует целый ряд таких программ... наиболее заметные из них это"Crack" and "John the Ripper"http://www.false.com/security/john/index.html . Конечно, онизаберут много вашего процессорного времени, но вы сможете суверенностью сказать, сможет ли взломщик с помощью них получить вашипароли, - сначала себе, а затем и пользователям указать слабыепароли. Заметьте, что взломщик для получения passwd должен был бы сначалаиспользовать другие дыры в системе, но это уже более широкий вопрос, чем выможете подумать.6.10 CFS - криптографическая файловая система и TCFS - прозрачнаякриптографическая файловая системаCFS - это метод шифрования всей файловой системы, который позволяетпользователям сохранять в ней зашифрованные файлы. Он использует NFSсервер, запущенный на локальной машине. RPMS доступен на http://www.replay.com/redhat/ и больше информации о том какэто работает на: ftp://ftp.research.att.com/dist/mab/ TCFS является улучшенным вариантом CFS, поскольку более интегрирован сфайловой системой, и, таким образом, прозрачен для всех пользователей,использующих зашифрованную файловую систему. Более детально на: http://edu-gw.dia.unisa.it/tcfs/6.11 X11, SVGA и экранная безопасностьX11Очень важно для вас защитить ваш графический экран, чтобыпредотвратить взломщика от действий подобных: воровству вашего пароляво время набора без вашего ведома, чтению документов или информации,оставленной вами на экране, или даже использованию дыр для полученияправ суперпользователя. Запуск удаленных ОПНЦПЮЛЛЮ ЬХТПНБЮМХЕ приложений через сеть такжеможет быть чреват опасностями, давая возможность взломщику(зд. sniffer) перехватить ваше взаимодействие с удаленнымкомпьютером. Х имеет целый ряд механизмов контроля доступа. Наиболее простой из них -машинозависимый (host based). Вы можете использовать xhost дляопределения тех машин, с которых разрешен доступ к вашему экрану. Но вобщем это не очень безопасный метод. Если кто-то имеет доступ к вашеймашине, он может выполнить xhost + его машина и, таким образом, легковойти. Также, если вам нужно разрешить доступ с ненадежной машины,любой может подвергнуть риску ваш дисплей.Если для регистрации используется xdm (x display manager), выполучаете намного лучший метод доступа: MIT-MAGIC-COOKIE-1.Генерируется 128-битный cookie и сохраняется в вашем файле.Xauthorty. Если вы хотите удаленной машине разрешить доступ к вашемудисплею, то для предоставления доступа именно этому соединению выможете использовать команду xauth и информацию из вашего файла.Xauthority. Посмотрите также Remote-X-Apps mini-howto, доступном на http://sunsite.unc.edu/LDP/HOWTO/mini/Remote-X-Apps.html.Вы можете также использовать ssh (см. ssh выше) для разрешениябезопасных ОПНЦПЮЛЛЮ ЬХТПНБЮМХЕ соединений. Это имеет также преимущество, посколькупрозрачно конечному пользователю, и означает то, что не зашифрованныеданные не передаются по сети.Загляните также в Xsecurity страничку man для более детальногоописания безопасности в Х. Безопасным будет использовать xdm длярегистрации на вашей консоли, а затем использовать ssh для перехода наудаленную машину, с которой вы хотите запустить X программу.SVGA Программы, основанные на SVGAlib, обычно являются SUID-root, для тогочтобы иметь доступ ко всем видео-ресурсам вашего компьютера. Это делаетих очень опасными. Если они дают сбой, то обычно вам нужноперезагрузить компьютер, чтобы опять получить доступ кконсоли. Убедитесь, что все SVGA программы, которые вы запускаете,подлинны, и как минимум такие, которым вы доверяете. А лучше - незапускайте их вообще.GGI (проект Общего Графического Интерфейса)Проект GGI для Linux является попыткой решить несколько проблем свидео интерфейсом в Linux. GGI будет передавать небольшие кускивидео-кода в ядро Linux, и таким образом контролировать доступ к видеосистеме. Это значит, что GGI будет способен восстановить вашу консольв любое время к известному рабочему состоянию. Он также позволитиспользовать ключ безопасности (secure attention key), так что высможете быть уверены, что на вашей консоли нет ни одного запущенного"Троянского коня", пытающегося зарегистрироваться. http://synergy.caltech.edu/~ggi/ NextPreviousContentsПЮГДЕКШ
БЕВЕПМХИ ОКЮРЭЕ
asus p505
ЮЯАЕЯР УПХГНРХКНБШИ
ОЮГК
ЩКЕЙРПНРЕКЭТЕП
АХКЕР russia music awards
ЬБЕИЖЮПХЪ ЙСКЭРСПЮ
ХМТНПЛЮЖХНММШИ БЮКЮЮЛ
ТНЯТНПМШИ ЙПЮЯЙЮ
КЕВЕМХЕ ЫХРНБХДМШИ ФЕКЕГЮ
ЯКНЕМШИ ХГДЕКХЕ
КЕВЕМХЕ ЮКЙНЦНКХГЛЮ
КЧАХЛШИ ЖБЕР
ПНРЮЖХНММШИ rvg
БЮГЮ 21102
БХУПЕБНИ РЕОКНЦЕМЕПЮРНПШ
ТНЯТНПЕЯЖХПСЧЫХИ ЙПЮЯЙЮ
ЙСОХРЭ k800i
ЦЕНПЕЬЕРЙЮ
НРОСЯЙ ЙНМЕЖ
ГСАМНИ ЙЮЛЕМЭ
ОЕПЕБНД ДЕМЕЦ
trinity hi-fi
mobil gargoyle
КЮЙ ЩЛЮКЭ
ЙЮОЯСКЮ ЛХЮНГХ
5004.10 (ЙПШЬЙЮ)
ЛХЦПЕМЭ
ЮЯАЕЯР
ЯЕПБХЯ alfa laval
ЮЩПНАХЙЮ ЛЪВНЛ
БЕВЕПМХИ ОКЮРЭЕ
ОНЦКНЫЕМХЕ ПЮДХНБНКМЮ
ЯСЬХКЭМШИ ЛЮЬХМЮ electrolux
ПЮЯЯШКЙЮ
БНЯЯРЮМНБКЕМХЕ ТЮИК
ОЕФН 407
ПНКЭ ЯРЮБЕМЭ
ЙЮПК ЦХПЪ
НРАЕКХБЮМХЕ
ЯРЕО-ЮЩПНАХЙЮ
АЮЯЕИМШ intex
ЙСОХРЭ tomb raider
ДНЯРЮБЙЮ ЮКЙНЦНКЭМШИ
ГЮЙЮГЮРЭ ТКЮЦ
ЙСКЕП ОПНЖЕЯЯНПМШИ
БНЯЯРЮМНБКЕМХЕ СДЮКЕММШИ ХМТНПЛЮЖХЪ
ЙНЯРПНЛЮ ПХЕКРНП
ЯРЕМД
ЙЮИР ЯЕПТХМЦ
ДЕЬЕБШИ УНКНДХКЭМХЙ
peg perego venezia
ДНЯРЮБЙЮ ЮКЙНЦНКЭМШИ
ЮЦЮР ЙПХЯРХ АХКЕР
БЮГЮ 2113
ЙСОХРЭ ВЕИМДФЕП
ЙСОХРЭ ЛНАХКЭМХЙ
ЮООЮПЮР ТХЦСПМШИ МЮПЕГЙЮ РЕЯР
ЮЯАЕЯР
БХМШЕ УНКНДХКЭМХЙ
ЩЙЯХЛЕП КЮГЕП
ОПНДЮРЭ ЙЮИР
ЙНКНДЕЖ ЙЮМЮКХГЮЖХНММШИ ОКЮЯРХЙНБШИ
ОПНЦПЮЛЛЮ ЬХТПНБЮМХЕ