Информационная безопасность. Макаренко С.И. - 344 стр.

UptoLike

ВУЗ: 

МГГУ им. Шолохова | Москва

Составители: 

Рубрика: 

344
Как правило, любой исполняемый файл, который может тем или иным
образом помочь злоумышленнику поддерживать доступ, является
кандидатом на замещение. Наилучший способ определить, был ли файл
заменен - использовать криптографическую контрольную сумму. Лучше
всего создавать контрольные суммы всех системных файлов при построении
системы, после чего обновлять их при установке системных обновлений.
Необходимо хранить контрольные суммы на безопасной системе, чтобы
злоумышленник не мог изменить контрольные суммы при изменении
файлов.
Если имеются подозрения нелегального проникновения в систему,
пересчитайте контрольные суммы и сопоставьте их с исходными. Если они
совпадают, то файлы изменены не были. Если же контрольные суммы
различны, рассматриваемому файлу доверять не следует; его необходимо
заменить оригиналом с установочного носителя.
Совет. По адресу http://www.chkrootkit.org/ можно найти утилиту,
которая помогает в проверке наличия в системе rootkit-ов.
22.7.3 Общий алгоритм аудита системы Unix
Этот алгоритм покажет пути проверки систему Unix на ошибки в
конфигурации или на наличие неизвестных процессов и учетных записей.
- Начните с системы Unix, к которой у вас имеется административный
доступ (то есть у вас имеется пароль к корневой учетной записи
этой системы) и на которой можно вносить изменения, не затрагивая
рабочие приложения.
- Найдите файлы загрузки и определите, какие приложения
запускаются при загрузке системы. Выявите приложения, которые
являются необходимыми для системы, и отключите все остальные.
- Просмотрите файл inetd.conf и определите, какие службы включены.
Определите службы, необходимые для системы, и отключите все
остальные. Не забудьте выполнить команду kill -HUP для процесса
inetd, чтобы перезапустить его с использованием новой
конфигурации.
- Определите, используется ли в системе NFS. Внесите
соответствующие изменения в файл dfstab.
- Если система использует telnet или FTP, загрузите TCP Wrappers и
установите программу в системе. Настройте TCP Wrappers на
разрешение доступа только к telnet и FTP, согласно требованиям
системы.
- Найдите файл приветственного сообщения. Определите,
используется ли корректное приветственное сообщение. Если это не
так, разместите в системе корректное приветственное сообщение. 
      Как правило, любой исполняемый файл, который может тем или иным
образом помочь злоумышленнику поддерживать доступ, является
кандидатом на замещение. Наилучший способ определить, был ли файл
заменен - использовать криптографическую контрольную сумму. Лучше
всего создавать контрольные суммы всех системных файлов при построении
системы, после чего обновлять их при установке системных обновлений.
Необходимо хранить контрольные суммы на безопасной системе, чтобы
злоумышленник не мог изменить контрольные суммы при изменении
файлов.
      Если имеются подозрения нелегального проникновения в систему,
пересчитайте контрольные суммы и сопоставьте их с исходными. Если они
совпадают, то файлы изменены не были. Если же контрольные суммы
различны, рассматриваемому файлу доверять не следует; его необходимо
заменить оригиналом с установочного носителя.

     Совет. По адресу http://www.chkrootkit.org/ можно найти утилиту,
которая помогает в проверке наличия в системе rootkit-ов.

              22.7.3 Общий алгоритм аудита системы Unix

     Этот алгоритм покажет пути проверки систему Unix на ошибки в
конфигурации или на наличие неизвестных процессов и учетных записей.
     - Начните с системы Unix, к которой у вас имеется административный
       доступ (то есть у вас имеется пароль к корневой учетной записи
       этой системы) и на которой можно вносить изменения, не затрагивая
       рабочие приложения.
     - Найдите файлы загрузки и определите, какие приложения
       запускаются при загрузке системы. Выявите приложения, которые
       являются необходимыми для системы, и отключите все остальные.
     - Просмотрите файл inetd.conf и определите, какие службы включены.
       Определите службы, необходимые для системы, и отключите все
       остальные. Не забудьте выполнить команду kill -HUP для процесса
       inetd, чтобы перезапустить его с использованием новой
       конфигурации.
     - Определите, используется ли в системе NFS. Внесите
       соответствующие изменения в файл dfstab.
     - Если система использует telnet или FTP, загрузите TCP Wrappers и
       установите программу в системе. Настройте TCP Wrappers на
       разрешение доступа только к telnet и FTP, согласно требованиям
       системы.
     - Найдите     файл     приветственного    сообщения.    Определите,
       используется ли корректное приветственное сообщение. Если это не
       так, разместите в системе корректное приветственное сообщение.



                                  344

Страницы