Вопросы безопасности при удаленном администрировании
Вопросы безопасности при удаленном администрировании
Удаленное администрирование само по себе создает опасность для системы, независимо от того, как оно выполняется: путем удаленной регистрации (в текстовом режиме или с использованием графического интерфейса) либо с помощью специализированных инструментов администрирования. При удаленном администрировании возникает угроза безопасности двух типов.
• Похищение пароля. Если пароль администратора станет известен пользователю, не имеющему права выполнять администрирование, этот пользователь может изменить конфигурацию системы в своих целях.
• Наличие недостатков в системе защиты. Ошибки, которые можно использовать для незаконного доступа, периодически выявляются в различных серверах. Не исключено, что подобные ошибки присутствуют и в серверах, применяемых для удаленного администрирования. В этом случае злоумышленник сможет проникнуть в систему, даже не зная пароль.
Если помимо специализированного инструмента удаленного администрирования вы также используете сервер удаленной регистрации, опасность незаконного доступа в систему посторонних лиц возрастает. Как было сказано в главе 13, при работе с некоторыми серверами удаленной регистрации пароль передается в незакодированном виде, а другие средства, например SSH, обеспечивают шифрование не только пароля, но и всех передаваемых данных. Таким образом, если вместо регистрации на удаленном компьютере посредством SSH использовать для администрирования системы Linuxconf или SWAT, уровень защиты резко снизится. Сервер Webmin может осуществлять взаимодействие с клиентом через SSL (http://www.openssl.org), в результате чего обеспечивается кодирование пароля и других данных, но это возможно только в том случае, если на компьютерах установлены и настроены средства поддержки SSL. Из сказанного выше следует, что инструменты Linuxconf и SWAT (а также Webmin при отсутствии кодирования данных) желательно использовать лишь в локальных сетях, полностью контролируемых системными администраторами.
Инструменты удаленного администрирования, рассмотренные в данной главе, предоставляют пользователю доступ к удаленному компьютеру в том случае, если он знает имя и пароль. Средства удаленной регистрации, о которых шла речь в главе 13, могут быть настроены так, что регистрация под именем root будет запрещена. Чтобы приступить к администрированию системы, пользователю приходится сначала зарегистрироваться под своим именем, а затем получить дополнительные привилегии с помощью команды su. В этом случае необходимо знать два пароля: свой и пользователя root. Среди инструментов удаленного администрирования только Webmin обеспечивает кодирование данных, но даже он предоставляет низкий уровень защиты в случае, если злоумышленнику станет известен один из паролей. (Как вы уже знаете, существуют различные способы "подслушивания" паролей, передаваемых по сети.)
Снизить риск неавторизованного доступа к данным можно, ограничив набор компьютеров, которым разрешено обращение к инструментам удаленного администрирования. Как вы уже знаете из материала данной главы, Linuxconf позволяет указать IP-адреса компьютеров и сетей, имеющих право обращаться к нему. Если в системе используется xinetd, любая программа удаленного администрирования, запускаемая с помощью данного суперсервера, может быть защищена с помощью TCP Wrappers. Запретить доступ к серверу из внешней сети можно также с помощью брандмауэра. Все эти меры не исключают возможности подслушивания пароля, а IP-адрес, как показывает опыт, может быть фальсифицирован. Поэтому действия по обеспечению защиты лишь снижают вероятность незаконного доступа к системе, но не исключают полностью такой возможности.
Чем меньше серверов выполняется в системе, тем меньше вероятность того, что злоумышленнику удастся воспользоваться недостатком в защите какого-либо из серверов. Если в системе обязательно должен присутствовать сервер удаленной регистрации, желательно использовать для этой цели SSH. Удаленное администрирование также лучше выполнять посредством SSH-соединения; в этом случае риск для системы будет минимальным. Применение специализированных инструментов удаленного администрирования оправдано в тех случаях, когда сеть надежно защищена от доступа извне, а на компьютере, подлежащем администрированию, отсутствует сервер удаленной регистрации.
На первый взгляд может показаться, что применение сервера удаленного администрирования с ограниченной сферой действия, например SWAT, создает меньшую угрозу безопасности системы, чем использование универсальных серверов, таких как Linuxconf и Webmin. На самом деле это не так. Если злоумышленник проникнет в систему посредством SWAT, он может создать новый разделяемый объект, позволяющий ему читать и записывать данные в файлы, содержащиеся в каталоге /etc. С помощью этого объекта можно изменить конфигурацию системы, обеспечив для себя доступ посредством одного из серверов удаленной регистрации, например Telnet. Таким образом, применение инструментов с ограниченной областью действия может в лучшем случае замедлить процесс незаконного проникновения в систему.
Здесь приведены лишь самые общие рассуждения, имеющие отношение к обеспечению безопасности системы. Вопросам защиты полностью посвящена часть IV.
Более 800 000 книг и аудиокниг! 📚
Получи 2 месяца Литрес Подписки в подарок и наслаждайся неограниченным чтением
ПОЛУЧИТЬ ПОДАРОКЧитайте также
Общий обзор средств безопасности: дескриптор безопасности
Общий обзор средств безопасности: дескриптор безопасности Анализ дескриптора безопасности предоставляет хорошую возможность для общего ознакомления с наиболее важными элементами системы безопасности Windows. В этом разделе речь будет идти о самых различных элементах
5.2. Место информационной безопасности экономических систем в национальной безопасности страны
5.2. Место информационной безопасности экономических систем в национальной безопасности страны В современном мире информационная безопасность становится жизненно необходимым условием обеспечения интересов человека, общества и государства и важнейшим, стержневым,
Вопросы безопасности
Вопросы безопасности Поскольку NeTAMS запускается с правами root, и отвечает за подсчет не бесплатного трафика, безопасность всей системы является очень важным фактором. Существует несколько потенциально небезопасных направлений:• Взлом всей системы через программу•
Об администрировании UNIX
Об администрировании UNIX Достаточно открыть оглавление любого "Руководства системного администратора" для UNIX, чтобы оценить то многообразие задач и проблем, с которыми приходится сталкиваться при обслуживании системы:? Настройка жизненно важных для пользователей
Центр обеспечения безопасности и компоненты безопасности
Центр обеспечения безопасности и компоненты безопасности В обеспечении безопасности компьютера участвуют специализированные службы и программы. Важнейшие из них находятся под контролем Центра обеспечения безопасности. Этот компонент Windows отслеживает стабильность
Выполнение Linuxconf на удаленном компьютере
Выполнение Linuxconf на удаленном компьютере Традиционно программа Linuxconf поставляется с Red Hat и Mandrake, однако она разрабатывалась не только для них. Данный инструмент может также использоваться в других системах, например в Caldera, Debian, Slackware и SuSE. Обратившись по адресу
Настройка Linuxconf для выполнения на удаленном компьютере
Настройка Linuxconf для выполнения на удаленном компьютере По умолчанию Linuxconf настраивается для работы в текстовом и в одном из двух графических режимов (в большинстве дистрибутивных пакетов поддерживается GNOME-Linuxconf, но Solucorp использует другой режим). Разрабатывается также
Выключение, перезагрузка и завершение сеанса на удаленном компьютере
Выключение, перезагрузка и завершение сеанса на удаленном компьютере Именно так называется последний режим, который нам предстоит освоить. Оказывается, удаленный компьютер можно не только выключить, но и перезагрузить, приостановить работу или завершить на нем сеанс
Глава 24. Заработок на администрировании групп
Глава 24. Заработок на администрировании групп С развитием соцсетей все более востребована профессия контент-менеджера: вы ведете группу и вам за это платят деньги. Чем качественнее контент выдаете, тем больше платят за работу – от 2000 до 30 тыс. рублей за группу, в среднем
1.2. Вопросы
1.2. Вопросы Имея некоторую совокупность фактов, мы можем обращаться к Прологу с вопросами о них. В Прологе вопрос записывается почти так же, как и факт, за исключением того, что перед ним ставится специальный символ. Специальный символ состоит из вопросительного знака и
Вопросы безопасности при работе с электронной почтой
Вопросы безопасности при работе с электронной почтой Простота общения с помощью электронной почты имеет и обратную сторону: легкость доставки абонентам вредоносных программ – вирусов и троянских коней, которые могут причинить вред компьютеру пользователя, а также
Вопросы
Вопросы 1. Ниже приведены группы операторов, содержащих по одному и более макроопре делений, за которыми следуют строки исходных кодов, использующих эти макро определения. Какой результат получается в каждом случае? Правилен ли он?a. #define FPM 5280 /* футов в миле */dist = FPM * miles; б.
Вопросы
Вопросы 1. Что неправильно в этом шаблоне? structure {char itible;int num [20];char *togs;};2. Вот фрагмент программы; что она напечатает? struct house { float sqft; int rooms; int stories; char *address; };main ( ) {static struct house fruzt = { 1560.0, 6, 1, " 22 Spiffo Road";struct house *sign;sign = &fruzt;printf(" %d %d " , fruzt.rooms, sign-> stories);printf(" %s ",
Вопросы безопасности сервера
Вопросы безопасности сервера Любая библиотека встроенного сервера, размещенная на машине, где находится и база данных, потенциально является Троянским конем. На уровне сервера средства безопасности оперируют в предположении, что любой пользователь, соединяющийся с
Включать вопросы безопасности в обязанности руководства
Включать вопросы безопасности в обязанности руководства Некоторые из руководителей ловят случай для продвижения по служебной лестнице. Иначе говоря, они прыгают от одних денег к другим. Для того чтобы чеки к ним поступали, им нужно их заслужить, выполняя поставленные