Podstawowe zasady bezpieczeństwa

Podobne dokumenty
Bezpieczeństwo systemów informatycznych

SSH. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski

Konta użytkowników w systemie Unix

Konta użytkowników w systemie Unix

Konta użytkowników w systemie Unix

Bezpieczeństwo. Wojciech Myszka 17 listopada 2008

Wirtualne sieci prywatne

Funkcje systemu Unix

korzystania z crontaba i at, do drukowania na konkretnych drukarkach, i inne. powerdown:x:0:1:power Down User:/:/usr/local/sbin/powerdown

System operacyjny UNIX - użytkownicy. mgr Michał Popławski, WFAiIS

Interfejs GSM/GPRS LB-431

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

Kurs systemu Unix wykład wstępny. Kurs systemu Unix 1

"Klasyczna" struktura systemu operacyjnego:

Windows W celu dostępu do i konfiguracji firewall idź do Panelu sterowania -> System i zabezpieczenia -> Zapora systemu Windows.

Operacje na plikach. Organizacja systemu plików. Typy plików. Struktury plików. Pliki indeksowane. Struktura wewn etrzna

Instalacja i konfiguracja serwera SSH.

1. Konwencje przyjęte w instrukcji

Projekty Zaliczeniowe Laboratorium Sieci Komputerowych

ŚRODOWISKO KOMPUTEROWYCH SYSTEMÓW INFORMATYCZNYCH TEST PEŁNY Status obszaru: Jeszcze nie edytowany (otwarty) Opracowano 0 z 55

11. Autoryzacja użytkowników

Warstwy systemu Windows 2000

Rok szkolny 2015/16 Sylwester Gieszczyk. Wymagania edukacyjne w technikum

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

Organizacja systemu plików

MikroTik Serwer OpenVPN

4.2 Sposób korzystania z l acza

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

Podstawy Informatyki. Wykład 4 Komendy UNIXa, cd

Ćwiczenie nr 520: Metody interpolacyjne planowania ruchu manipulatorów

Protokoły zdalnego logowania Telnet i SSH

Sieciowa instalacja Sekafi 3 SQL

BlackHole. Bezpieczne Repozytorium Ważnych Zasobów.

Szyfrowanie. Tradycyjnie szyfrowanie, stosowane od starożytności, wykorzystywa lo technologie

System Kancelaris. Zdalny dostęp do danych

PROGRAMY NARZĘDZIOWE 1

Podstawy zabezpieczania serwera. Marcin Bieńkowski

Archiwizacja danych. nie jeden ale wiele dysków), jak również przed jednoczesna

us lugi katalogowe? Czym różni si e serwer katalogowy od serwera bazy danych:

Organizacja systemu plików

Domeny zaufania i zabezpieczanie usług sieciowych w systemie Linux za pomocą programu tcpd

Interfejs GSM/GPRS LB-431

Instrukcja Zarządzania Systemem Informatycznym. załącznik nr 13 do Polityki. Bezpieczeństwa Informacji Ośrodka Pomocy Społecznej w Starym Sączu

Poradnik zetula.pl. Jak założyć konto na zetula.pl. i zabezpieczyć dane na swoim komputerze?

Dystrybutor w Polsce: VigilancePro. All Rights Reserved, Copyright 2005 Hitachi Europe Ltd.

Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych

System komputerowy. Sprzęt. System komputerowy. Oprogramowanie

SZCZEGÓŁOWA INSTRUKCJA ZARZADZANIA SYSTEMEM INFORMATYCZNYM W ZESPOLE SZKÓŁ PONADGIMNAZJALNYCH W DRAWSKU POMORSKIM

Księgarnia PWN: Emmett Dulaney - Novell Certified Linux Professional (NCLP)

System operacyjny Linux

Instalacja Linuksa i podstawowa konfiguracja. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski

Pracownia komputerowa. Dariusz wardecki, wyk II

Zastosowanie Robotów. Ćwiczenie 6. Mariusz Janusz-Bielecki. laboratorium

Poziomy wymagań Konieczny K Podstawowy- P Rozszerzający- R Dopełniający- D Uczeń: - zna rodzaje sieci - zna topologie sieciowe sieci

Działanie komputera i sieci komputerowej.

Graficzny terminal sieciowy ABA-X3. część pierwsza: Opis startu systemu i jego konfiguracji

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

uplook z modułem statlook program do audytu oprogramowania i kontroli czasu pracy

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Test. Administrowanie sieciowymi systemami operacyjnymi

Pożądane lektury sposobów na bezpieczeństwo sieci.

Karta przedmiotu. obowiązuje studentów rozpoczynających studia w roku akademickim 2013/2014. Forma studiów: Stacjonarne Kod kierunku: 06.

Bezpieczeństwo w pracy zdalnej. pawel.krawczyk@hush.com

SYSTEMY OPERACYJNE I SIECI KOMPUTEROWE. Tryb konsolowy ćwiczenie b

Bezpieczeństwo danych (kradzież, nieautoryzowana edycja) Bezpieczeństwo IT (sniffing, spoofing, proxy anonimizujące, tunelowanie i przekierowanie

Usługi sieciowe systemu Linux

Zdalne logowanie do serwerów

4. Podstawowa konfiguracja

Karta przedmiotu. obowiązuje studentów rozpoczynających studia w roku akademickim 2012/2013. Forma studiów: Stacjonarne Kod kierunku: 06.

1 Implementowanie i konfigurowanie infrastruktury wdraŝania systemu Windows... 1

Program szkolenia KURS SPD i PD Administrator szkolnej pracowni internetowej Kurs MD1 Kurs MD2 Kurs MD3 (dla szkół ponadgimnazjalnych)

Uruchamianie SNNS. Po uruchomieniu. xgui & lub snns & pojawia si e okno. programu. Symulator sztucznych sieci neuronowych SNNS 1

Wstęp 5 Rozdział 1. SUSE od ręki 13

Ćwiczenie Nr 7 Instalacja oraz konfiguracja wskazanego systemu operacyjnego

Opis instalacji systemu Intranet Komunikator

Sieci komputerowe : zbuduj swoją własną sieć - to naprawdę proste! / Witold Wrotek. wyd. 2. Gliwice, cop Spis treści

Konfiguracja poczty. Konfiguracja poczty w Outlook (pakiet Microsoft Office)

Zadanie1: Odszukaj w Wolnej Encyklopedii Wikipedii informacje na temat NAT (ang. Network Address Translation).

Xopero Backup Build your private cloud backup environment. Rozpoczęcie pracy

ABC systemu Windows 2016 PL / Danuta Mendrala, Marcin Szeliga. Gliwice, cop Spis treści

Współczesne systemy komputerowe

Systemy operacyjne. Instrukcja laboratoryjna. Ćwiczenie 1: Polecenia systemu UNIX/LINUX. Opracował: dr inż. Piotr Szpryngier

VPN dla CEPIK 2.0. Józef Gawron. (wirtualna sieć prywatna dla CEPIK 2.0) Radom, 2 lipiec 2016 r.

Wieloprogramowy system komputerowy

Rozdział 6 - Z kim się kontaktować Spis treści. Wszelkie prawa zastrzeżone WiedzaTech sp. z o.o Kopiowanie bez zezwolenia zabronione.

Polityka bezpieczeństwa. przetwarzania danych osobowych. w Urzędzie Miejskim w Węgorzewie

Licencja SEE Electrical zabezpieczona kluczem lokalnym

1. Zakres modernizacji Active Directory

BEZPIECZEŃSTWO W SIECIACH

Cyberbezpieczeństwo w Obiektach Przemysłowych na Przykładzie Instalacji Nuklearnych. Monika Adamczyk III FBST

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

Zdalny pulpit i system LINUX

Nazwa przedmiotu: ADMINISTRACJA SIECIOWYMI SYSTEMAMI OPERACYJNYMI

Karta przedmiotu. obowiązuje studentów rozpoczynających studia w roku akademickim 2012/2013. Forma studiów: Stacjonarne Kod kierunku: 11.

PORADNIK KORZYSTANIA Z SERWERA FTP ftp.architekturaibiznes.com.pl

Wykład Nr Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

SYSTEM ARCHIWIZACJI DANYCH

ep Podstawy j Wst ezyka Tcl zaawansowany GUI-Tk Zastosowania Tcl/Tk Ireneusz So lczyk 26 kwietnia 2006

Transkrypt:

Podstawowe zasady bezpieczeństwa zasada nieuchronnego kompromisu: bezpieczeństwo jest odwrotnościa wygody możliwe podejścia do problemu zabezpieczenia: tworzenie zabezpieczeń tam gdzie sa one niezbedne monitorowanie pracy systemu wykrywanie zaistnia lych awarii i naprawianie uszkodzeń, a nast epnie śledzenie przyczyn awarii i ewentualne zatykanie dziur planowanie kryzysowe testowanie opracowanych systemów zabezpieczeń inna niepodważalna zasada: system jest bezpieczny tylko w takim stopniu, jak jego najmniej bezpieczny element Administracja Unixa zagadnienia bezpieczeństwa (niesieciowe) 1

Rodzaje zagrożeń bezpieczeństwa systemu komputerowego bezpieczeństwo fizyczne systemu: kradzież, zniszczenie, uszkodzenie, np. pożar, zalanie, skok napi ecia bezpieczeństwo danych: uszkodzenie, sabotaż, kradzież, ujawnienie ciag lość dostepu do systemu: awarie sprzetu, oprogramowania, awarie zasilania, wentylacji, klimatyzacji, ogrzewania, ciag lości dostaw (np. paliwa do generatorów awaryjnych) Administracja Unixa zagadnienia bezpieczeństwa (niesieciowe) 2

Zabezpieczenia istniejace w systemie Unix zabezpieczenia standardowe: has la bronia systemu przed dostepem osób niepowo lanych prawa dostepu do plików zabezpieczaja system przed niedozwolonymi poczynaniami użytkowników (b l edy użytkowników, b l edy oprogramowania, w lamania) has la i prawa dostepu do plików l acznie pozwalaja również użytkownikom zabezpieczyć je przed samymi soba i soba nawzajem (podobnie: b l edy lub z la wola) inne zabezpieczenia: szyfrowanie zabezpiecza poufność danych Administracja Unixa zagadnienia bezpieczeństwa (niesieciowe) 3

Ochrona kont i hase l zapewnienie hase l niepustych, nietrywialnych okresowe zmienianie hase l, starzenie hase l (ang. password aging) plik shadow niedopuszczenie do przechowywania hase l przez użytkowników go lym tekstem, nieprzesy lanie ich przez sieć niedopuszczenie do wspó lużywania jednego konta (i has la) przez różnych ludzi używanie różnych hase l na różnych komputerach (zw laszcza root) możliwość logowania si e bez podania has la (.rhosts, klucze) sieciowy system kont Yellow Pages/NIS inne, mocniejsze zabezpieczenia w razie potrzeby Administracja Unixa zagadnienia bezpieczeństwa (niesieciowe) 4

Ochrona systemu plików programy set-uid ochrona poprawnych programów set-uid (go-r) wykrywanie dzikich programów set-uid (UWAGA: NFS) zasady pisania programów set-uid niedopuszczenie do wywo lania interpretera poleceń: system, popen, execlp, execvp odwo lywanie si e do bezwzgl ednych ścieżek do plików tworzenie pseudoużytkowników gdy potrzebny jest dost ep do ograniczonych zasobów sprawdzanie plików i katalogów systemowych prawa dost epu (/etc /dev /dev/dsk) sumy kontrolne (/etc /sbin /bin /lib) sprawdzanie plików i katalogów użytkowników (niebezpieczne lub niezgodne z zasadami prawa dost epu) Administracja Unixa zagadnienia bezpieczeństwa (niesieciowe) 5

Monitorowanie pracy systemu i wykrywanie awarii rejestry wydarzeń systemowych, przeglad rejestrów, syslog rejestr nieudanych po l aczeń (lokalnych i sieciowych) /var/adm/loginlog rejestr prób wejścia na konto root a przez su /var/adm/sulog rejestr wszystkich wejść do systemu /var/adm/wtmp (/var/adm/wtmpx) wykrywanie niepoprawnych kont (puste has la, UID=0) analiza bieżacej pracy systemu (top, ps) sumy kontrolne krytycznych plików systemowych wyszukiwanie plików set-uid 0, zabezpieczenie NFS system accounting (System V): rejestr wszystkich wywo lań wszystkich programów czasy ostatniej modyfikacji i ostatniego dost epu do plików wydarzenia sieciowe Administracja Unixa zagadnienia bezpieczeństwa (niesieciowe) 6

Us lugi r Nastepuj ace polecenia pozwalaja użytkownikowi posiadajacemu konto na innej maszynie unixowej (lub Unixo-podobnej) na wykonywanie operacji bez konieczności logowania sie, o ile zdalna maszyna realizuje odpowiednie us lugi, i uważa maszyne lokalna za równoważna sobie: rcp kopiowanie plików rlogin w l aczanie sie na zdalna maszyne rsh wykonywanie poleceń na zdalnej maszynie przez interpreter poleceń Us lugi te wykorzystuja koncepcje równoważności maszyn (ang. host equivalence) zak ladajac a, że użytkownik prawid lowo wlogowany na jednej z równoważnych maszyn, może być wpuszczony na druga bez autoryzacji. Równoważność maszyn może zdefiniować administrator w pliku /etc/hosts.equiv. Może ja również zdefiniować użytkownik dla swojego konta za pomoca pliku ~/.rhosts. $HOME/.rhosts /etc/hosts.equiv hostname username hostname + username -hostname Administracja Unixa zagadnienia bezpieczeństwa (niesieciowe) 7

Us lugi r zagrożenia Równoważność maszyn jest uznawana za niebezpieczna i niepożadan a w lasność, a ze wzgledu na brak kontroli nad jej stosowaniem przez użytkowników, normalna praktyka jest wy l aczanie us lug r, zwykle obs lugiwanych przez inetd. Jedna z przyczyn, dla których równoważność maszyn jest zagrożeniem, z którego administrator może nie zdawać sobie sprawy, jest niezrozumienie zasad interpretowania plików.rhosts i /etc/hosts.equiv: jeśli administrator wy l aczy jakiś zdalny komputer lub użytkownika w pliku /etc/hosts.equiv to indywidualni użytkownicy i tak moga udzielić im zezwoleń w swoich plikach.rhosts pozycja hostname username wpisana w pliku /etc/hosts.equiv jest interpretowana w ten sposób, że pozwala zdalnemu użytkownikowi username w l aczać sie na konto dowolnego użytkownika lokalnego Administracja Unixa zagadnienia bezpieczeństwa (niesieciowe) 8

Szyfrowane po l aczenia miedzy systemami: ssh Ze wzgledu na te zagrożenia programy r nie powinny być w ogóle używane. Jednak us lugi takie sa wygodne i potrzebne. W ich miejsce można stosować bezpieczniejsze programy eliminujace powyższe zagrożenia i stosujace szyfrowanie. Programy ssh i scp można stosować jako bezpieczne zamienniki rsh i rcp, i można wrecz pod lożyć programy s w miejsce programów r w systemie. W ten sposób efektywnie eliminujemy programy r i ich odpowiadajace us lugi sieciowe, ale jednocześnie jakby zachecamy użytkowników do stosowania bardziej bezpiecznych programów. Należy tylko pamietać o wy l aczeniu obs lugi starych us lug r w systemie. Administracja Unixa zagadnienia bezpieczeństwa (niesieciowe) 9

Us lugi ssh/scp oparte sa na szyfrowaniu kluczem publicznym. Wymagaja one wygenerowania pary kluczy szyfrowania dla komputera, które potrzebne sa do wstepnego nawiazywania po l aczenia. Ponadto, każdy użytkownik musi mieć wygenerowana w lasna pare kluczy szyfrowania: > ssh-keygen > ls -l /home/witold/.ssh: total 90 drwxr-xr-x 2 witold gurus 512 gru 28 11:13./ drwxr-xr-x 115 witold gurus 24576 mar 20 09:43../ -rw------- 1 witold gurus 604 gru 28 11:12 authorized_keys -rw-r--r-- 1 witold gurus 31 kwi 13 2005 config -rw------- 1 witold gurus 668 kwi 10 2005 id_dsa -rw-r--r-- 1 witold gurus 603 kwi 10 2005 id_dsa.pub -rw------- 1 witold gurus 887 kwi 10 2005 id_rsa -rw-r--r-- 1 witold gurus 223 kwi 10 2005 id_rsa.pub -rw------- 1 witold gurus 528 kwi 10 2005 identity -rw-r--r-- 1 witold gurus 332 kwi 10 2005 identity.pub -rw------- 1 witold gurus 8228 mar 14 23:47 known_hosts -rw-r--r-- 1 witold gurus 609 lis 11 2004 known_hosts2 -rw------- 1 witold gurus 1024 kwi 5 2005 prng_seed -rw------- 1 witold gurus 512 paź 31 2001 random_seed Administracja Unixa zagadnienia bezpieczeństwa (niesieciowe) 10

Nawiazywanie po l aczeń Korzystanie z programów ssh/scp wymaga podawania has la przy nawiazywaniu każdego po l aczenia: shasta-3184> scp -p ~/mozilla.ps sierra:/tmp witold@sierra s password: mozilla.ps 100% ***************************** 937 KB 00:01 Każdorazowe podawanie has la jest czesto niewygodne i istnieja sposoby jego unikniecia:.shosts /etc/hosts.equiv albo /etc/shosts.equiv instalacja kluczy na zdalnym komputerze: $HOME/.ssh/authorized_keys ssh-agent Na szczeście administrator może kontrolować użycie dwóch pierwszych możliwości za pomoca systemowych plików konfiguracyjnych. Administracja Unixa zagadnienia bezpieczeństwa (niesieciowe) 11

Tunelowanie po l aczeń przez ssh Dodatkowa przydatna w lasnościa programu ssh jest zdolność tunelowania po l aczeń, czyli zainstalowania pary portów sieciowych na komputerach po obu stronach po l aczenia ssh, w celu uruchamiania przez użytkownika w lasnych programów komunikacyjnych, wykorzystujacych bezpieczne, szyfrowane l acze ssh zamiast samodzielnego nawiazywania po l aczeń sieciowych. Na przyk lad, jeśli chcemy (z jakichś powodów) zapewnić dostep do zdalnego komputera przez program ftp, który jest przestarza lym protoko lem komunikacyjnym wymagajacym przesy lania przez sieć informacji autoryzacyjnej otwartym tekstem, to możemy zainstalować w lasny serwer ftp na tunelu ssh, i komunikować sie w sposób bezpieczny. (Takie ćwiczenie bedzie wykonywane na laboratorium.) Innym przyk ladem zastosowania tuneli ssh jest przekazywanie po l aczeń X Window. Jest to przydatne nie tylko dla zabezpieczenia tych po l aczeń, ale czesto z jakichś powodów nie możemy na danym komputerze odbierać po l aczeń X Window na porcie 6000 (na przyk lad komputer jest za firewall-em, albo w sieci prywatnej z translacja adresów NAT). Administracja Unixa zagadnienia bezpieczeństwa (niesieciowe) 12

Narz edzia przydatne do zapewnienia bezpieczeństwa systemu md5sum obliczanie sygnatur plików tripwire program do sprawdzania poprawności plików systemowych crypt program do szyfrowania, g lównie hase l crack program do lamania hase l cops program do kompleksowego sprawdzania systemu i wykrywania dziur w zabezpieczeniach Administracja Unixa zagadnienia bezpieczeństwa (niesieciowe) 13

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres