14.10.3. Защита
14.10.3. Защита
Защиты от подбора пароля в принципе нет и не может быть. Если хакер получит доступ к файлу /etc/shadow, то можно считать, что пароль у него в руках. Но если следовать следующим правилам, то можно избежать взлома:
? меняйте пароли каждый месяц. Если хакер взламывает систему удаленно, то это может сделать подбор невыполнимым. Если взлом происходит локально, то пока хакер подберет пароль, он уже изменится;
? проверяйте свои пароли на стойкость от подбора по словарю. Если найдено несоответствие критерию, заставьте пользователя сменить пароль;
? устанавливайте сложные и длинные пароли, чтобы подбор по словарю стал невозможным;
? защищайте файл /etc/shadow. Если файл /etc/passwd нужен для чтения всем пользователям для нормальной работы множества утилит, то /etc/shadow необходимо охранять всеми возможными средствами;
? следите за журналом безопасности на предмет появления большого количества записей о неверном входе в систему.
Соблюдая эти правила, вы понизите вероятность взлома вашей системы методом перебора паролей.
В разд. 2.6 мы говорили о необходимости создания сложных паролей и рассмотрели некоторые рекомендации по этому вопросу. А сейчас я хочу предложить вам для этого еще один интересный метод:
? создайте файл pass.txt с текстом, который нужно использовать в качестве пароля, например: echo "password" >> pass.txt;
? шифруем файл с помощью OpenSSL. Для этого выполняем команду: openssl des -in pass.txt -out pass.txt.s. Ключ, который запросит программа для шифрования, не имеет значения, можно даже использовать слово password;
? просмотрите содержимое файла pass.txt.s. В нем будет зашифрованный текст, который вы записали в файл pass.txt. Выберите читаемые символы и используйте их в качестве пароля. Такое нарочно не придумаешь, поэтому программы подбора по словарю будут бессильны, останется только полный перебор.
Отличным методом защиты от удаленного подбора может быть модульная аутентификация, которую мы рассматривали в разд. 3.3. Среди РАМ есть очень удобный в защитных целях модуль /lib/security/pam_tally.so. Он позволяет блокировать доступ после определенного количества попыток входа в систему. Рассмотрим использование модуля на примере авторизации в Linux, настройки которой находятся в файле /etc/pam.d/login. Для ограничения попыток ввода паролей добавим в этот файл следующую строку:
account required /lib/security/pam_tally.so deny=5 no_magic_root
В качестве аргумента модулю передается параметр deny, который равен 5. Это значит, что после этого количества попыток учетная запись блокируется. Число 5 является наиболее оптимальным. Меньшие значения приведут к проблемам, когда пользователи по несколько раз ошибаются при вводе своего пароля. Ну а если пяти попыток не хватило исправиться или вспомнить пароль, то далее идет уже подбор случайным образом, что надо запретить.
Более 800 000 книг и аудиокниг! 📚
Получи 2 месяца Литрес Подписки в подарок и наслаждайся неограниченным чтением
ПОЛУЧИТЬ ПОДАРОКДанный текст является ознакомительным фрагментом.
Читайте также
Защита страниц
Защита страниц С трансляцией адреса связан еще один вопрос — защита памяти. Механизм защиты памяти AS/400 обеспечивает защиту для блоков размером в одну страницу, в отличие от битов тега, защищающих указатели в 16-байтовых блоках памяти. Разница и в том, что теги не
Антивирусная защита
Антивирусная защита Каждому пользователю известно, какую опасность представляют для компьютера компьютерные вирусы. Эти создания как пробующих свои силы, так и опытных программистов могут и подшутить над пользователем, и нанести большой вред компьютеру или
Защита
Защита Как вы уже сами, наверное, понимаете, стопроцентной защиты от хакеров нет. Если взламывают сайты крупнейших фирм, занимающихся компьютерной безопасностью, то куда уж соваться нам, простым пользователям?!Но на самом деле уважающему себя хакеру нет дела до обычных
4.7. Защита служб
4.7. Защита служб В данной книге будет рассматриваться множество серверных служб. Безопасность их работы для системы в целом зависит не только от правильной настройки самой службы, но и от прав, которые вы ей дадите. Хакеры очень часто атакуют определенные сервисы и ищут в
4.13.4. Дополнительная защита
4.13.4. Дополнительная защита Помимо фильтров на основе определенных, администратором правил в сетевом экране может быть реализовано несколько дополнительных защитных механизмов, которые работают вне зависимости от вашей конфигурации или могут включаться специальными
9.5.4. Защита сети
9.5.4. Защита сети Сервис squid может быть как средством защиты сети, так и орудием проникновения хакера в сеть. Чтобы внешние пользователи не могли задействовать прокси-сервер для подключения к компьютерам локальной сети, необходимо добавить в конфигурационный файл
14.10.3. Защита
14.10.3. Защита Защиты от подбора пароля в принципе нет и не может быть. Если хакер получит доступ к файлу /etc/shadow, то можно считать, что пароль у него в руках. Но если следовать следующим правилам, то можно избежать взлома:? меняйте пароли каждый месяц. Если хакер взламывает
13.8. Защита сервера DNS
13.8. Защита сервера DNS 13.8.1. Настройка и запуск DNS-сервера в chroot-окружении Из соображений безопасности рекомендуется запускать все сетевые сервисы в так называемом chroot-окружении (change root). Это файловая система, повторяющая структуру корневой файловой системы, но содержащая
15.5. Защита FTP
15.5. Защита FTP Очень полезной, особенно, при организации виртуальных узлов, является конфигурационная директива DefaultRoot, позволяющая указать каталог, который представлялся бы пользователям как корневой. Например, значение DefaultRoot "~" настраивает сервер так, чтобы корневым
7.3.4. Вкладка Защита
7.3.4. Вкладка Защита Что такое проактивная защита, мы уже знаем. Я обещал рассказать, почему ее иногда нужно отключать. Задача проактивной защиты – блокировать различные действия программ, которые могут показаться ей подозрительными. Например, некоторые вирусы (их
2.2. Защита от ошибок
2.2. Защита от ошибок Написать программу, которая корректно работает при "разумном" использовании, — трудная задача. Написать программу, которая ведет себя "разумно" при возникновении ошибок, — еще труднее. В этом разделе описываются методики программирования, позволяющие
Защита данных
Защита данных Огромный недостаток систем файл-серверных баз данных- незащищенность данных от ошибок, повреждений и разрушения по причине их физической доступности при совместном использовании файлов клиентами и установления над ними прямого контроля со стороны
Проактивная защита
Проактивная защита Проактивная защита позволяет защитить ваш компьютер от неизвестных вирусов, защитить системный реестр Windows от несанкционированного изменения, а также заблокировать несанкционированный запуск программ (когда один процесс запускает другой без вашего
Защита от ПЭМИН
Защита от ПЭМИН Нужно помнить, что за счет побочных электромагнитных излучений и наводок (ПЭМИН) можно считывать информацию с монитора компьютера (разумеется, с помощью специальных технических средств) на расстоянии до 200 метров, а то и больше. Также можно считывать