Ru RU/Security Guide/9/GeneralPrinciples

= Глава 2. Общие правила информационной безопасности = Управление Национальной Безопасности США (National Security Agency, NSA) публикует руководства для правительственных организаций, бизнеса, и общественности вообще, помогающие повысить защищенность компьютерных систем. В дополнение к конкретным рекомендациям по настройке определенных систем разработаны общие правила информационной безопасности, применимые в любых случаях.

Общие правила

 * Шифруйте все данные передаваемые по сети. Особенно важно шифрование данных аутентификации (таких, как пароли).
 * Уменьшайте количество установленных и выполняющихся программ чтобы минимизировать уязвимость системы.
 * По возможности используйте программное обеспечение с повышенной безопасностью (к примеру, SELinux, IPTables).
 * По возможности выделяйте для каждой сетевой службы отдельный сервер. Это уменьшит риск того, что компрометация одной из служб повлечет за собой компрометацию других.
 * Содержите в порядке учетные записи пользователей. Создайте сильную политику паролей и используйте ее в обязательном порядке. Удаляйте неиспользуемые учетные записи.
 * Регулярно просматривайте журналы системы и приложений. Для ведения журналов используйте выделенный сервер. Это предотвратит легкий уход злоумышленника от обнаружения путем изменения локальных журналов.
 * Никогда не работайте в системе с учетной записью администратора, если только в этом нет крайней необходимости. Администраторам следует использовать sudo для запуска процессов с администраторскими правами. Учетные записи пользователей имеющих право использовать sudo указываются в файле /etc/sudoers, который редактируется с помощью утилиты visudo. Соответствующие сообщения, по умолчанию, записываются в журнал /var/log/secure.

Советы, руководства, инструменты
Большинство вышеприведенных советов являются элементарными. В зависимости от вашего знания Linux и опыта настройки системы вы можете последовать некоторым из них с тем, чтобы повысить защищенность системы.

Подобно изданию руководств по безопасности систем управлением национальной безопасности, агенство по оборонным информационным системам (DISA) субсидирует программу всесторонней поддержки информационной безопасности (IASE), в рамках которой, в частности, публикуются контрольные списки и тесты для проверки уровня защищенности систем. Документы NSA будут полезны всем, кто знаком с системой Linux, информация же публикуемая DISA носит весьма конкретный характер и, соответственно, глубокие знания Unix/Linux будут большим подспорьем.

Ссылки на используемые нами документы приведены ниже. Для некоторых больших частей этих документов мы попытаемся объяснить то, как реализовать описываемое в Fedora и почему это действительно важно.

Кроме самой документации, DISA предоставляет утилиты (SRR scripts, Security Readiness Review Evaluation Scripts) позволяющие администратору быстро проверить корректность определенных настроек системы. В ходе своей работы утилиты создают отчет (в формате XML) с перечислением всех обнаруженных настроек приводящих к уязвимости системы.

Документы NSA

 * Hardening Tips for the Red Hat Enterprise Linux 5 (PDF)
 * Guide to the Secure Configuration of Red Hat Enterprise Linux 5 (PDF)

Документы DISA IASE

 * Security Technical Implementation Guides (STIG) см. Unix STIG
 * Security Checklists см. Unix Security Checklists
 * Unix Security Readiness Review Evaluation Script

{| border="1"
 * 1. Введение || Содержание || 3. Безопасная установка
 * 1. Введение || Содержание || 3. Безопасная установка