From Fedora Project Wiki

Глава 2. Общие правила информационной безопасности

Управление Национальной Безопасности США (National Security Agency, NSA) публикует руководства для правительственных организаций, бизнеса, и общественности вообще, помогающие повысить защищенность компьютерных систем. В дополнение к конкретным рекомендациям по настройке определенных систем разработаны общие правила информационной безопасности, применимые в любых случаях.

Общие правила

  • Шифруйте все данные передаваемые по сети. Особенно важно шифрование данных аутентификации (таких, как пароли).
  • Уменьшайте количество установленных и выполняющихся программ чтобы минимизировать уязвимость системы.
  • По возможности используйте программное обеспечение с повышенной безопасностью (к примеру, SELinux, IPTables).
  • По возможности выделяйте для каждой сетевой службы отдельный сервер. Это уменьшит риск того, что компрометация одной из служб повлечет за собой компрометацию других.
  • Содержите в порядке учетные записи пользователей. Создайте сильную политику паролей и используйте ее в обязательном порядке. Удаляйте неиспользуемые учетные записи.
  • Регулярно просматривайте журналы системы и приложений. Для ведения журналов используйте выделенный сервер. Это предотвратит легкий уход злоумышленника от обнаружения путем изменения локальных журналов.
  • Никогда не работайте в системе с учетной записью администратора, если только в этом нет крайней необходимости. Администраторам следует использовать sudo для запуска процессов с администраторскими правами. Учетные записи пользователей имеющих право использовать sudo указываются в файле /etc/sudoers, который редактируется с помощью утилиты visudo. Соответствующие сообщения, по умолчанию, записываются в журнал /var/log/secure.

Советы, руководства, инструменты

Большинство вышеприведенных советов являются элементарными. В зависимости от вашего знания Linux и опыта настройки системы вы можете последовать некоторым из них с тем, чтобы повысить защищенность системы.

Подобно изданию руководств по безопасности систем управлением национальной безопасности, агенство по оборонным информационным системам (DISA) субсидирует программу всесторонней поддержки информационной безопасности (IASE), в рамках которой, в частности, публикуются контрольные списки и тесты для проверки уровня защищенности систем. Документы NSA будут полезны всем, кто знаком с системой Linux, информация же публикуемая DISA носит весьма конкретный характер и, соответственно, глубокие знания Unix/Linux будут большим подспорьем.

Ссылки на используемые нами документы приведены ниже. Для некоторых больших частей этих документов мы попытаемся объяснить то, как реализовать описываемое в Fedora и почему это действительно важно.

Кроме самой документации, DISA предоставляет утилиты (SRR scripts, Security Readiness Review Evaluation Scripts) позволяющие администратору быстро проверить корректность определенных настроек системы. В ходе своей работы утилиты создают отчет (в формате XML) с перечислением всех обнаруженных настроек приводящих к уязвимости системы.

Документы NSA

Документы DISA IASE


1. Введение Содержание 3. Безопасная установка