The printable version is no longer supported and may have rendering errors. Please update your browser bookmarks and please use the default browser print function instead.

Глава 2. Общие правила информационной безопасности

Управление Национальной Безопасности США (National Security Agency, NSA) публикует руководства для правительственных организаций, бизнеса, и общественности вообще, помогающие повысить защищенность компьютерных систем. В дополнение к конкретным рекомендациям по настройке определенных систем разработаны общие правила информационной безопасности, применимые в любых случаях.

Общие правила

Шифруйте все данные передаваемые по сети. Особенно важно шифрование данных аутентификации (таких, как пароли).
Уменьшайте количество установленных и выполняющихся программ чтобы минимизировать уязвимость системы.
По возможности используйте программное обеспечение с повышенной безопасностью (к примеру, SELinux, IPTables).
По возможности выделяйте для каждой сетевой службы отдельный сервер. Это уменьшит риск того, что компрометация одной из служб повлечет за собой компрометацию других.
Содержите в порядке учетные записи пользователей. Создайте сильную политику паролей и используйте ее в обязательном порядке. Удаляйте неиспользуемые учетные записи.
Регулярно просматривайте журналы системы и приложений. Для ведения журналов используйте выделенный сервер. Это предотвратит легкий уход злоумышленника от обнаружения путем изменения локальных журналов.
Никогда не работайте в системе с учетной записью администратора, если только в этом нет крайней необходимости. Администраторам следует использовать sudo для запуска процессов с администраторскими правами. Учетные записи пользователей имеющих право использовать sudo указываются в файле /etc/sudoers, который редактируется с помощью утилиты visudo. Соответствующие сообщения, по умолчанию, записываются в журнал /var/log/secure.

Советы, руководства, инструменты

Большинство вышеприведенных советов являются элементарными. В зависимости от вашего знания Linux и опыта настройки системы вы можете последовать некоторым из них с тем, чтобы повысить защищенность системы.

Подобно изданию руководств по безопасности систем управлением национальной безопасности, агенство по оборонным информационным системам (DISA) субсидирует программу всесторонней поддержки информационной безопасности (IASE), в рамках которой, в частности, публикуются контрольные списки и тесты для проверки уровня защищенности систем. Документы NSA будут полезны всем, кто знаком с системой Linux, информация же публикуемая DISA носит весьма конкретный характер и, соответственно, глубокие знания Unix/Linux будут большим подспорьем.

Ссылки на используемые нами документы приведены ниже. Для некоторых больших частей этих документов мы попытаемся объяснить то, как реализовать описываемое в Fedora и почему это действительно важно.

Кроме самой документации, DISA предоставляет утилиты (SRR scripts, Security Readiness Review Evaluation Scripts) позволяющие администратору быстро проверить корректность определенных настроек системы. В ходе своей работы утилиты создают отчет (в формате XML) с перечислением всех обнаруженных настроек приводящих к уязвимости системы.