Безопасность серверов организации (реализация требований безопасности на примере ОС Linux)

На данный момент в качестве серверной платформы всё чаще и чаще выбор останавливается на операционной системе Linux, нередко забывая о том, что в качестве одного из важнейших показателей работы сервера, помимо стабильности, является безопасность.

В большинстве случаев установка по умолчанию (за исключением некоторых специализированных дистрибутивов) оставляет большое количество сервисов, доступных «всему миру», а каждый такой сервис – это потенциальная дыра в безопасности сервера, поскольку новые проблемы безопасности обнаруживаются достаточно часто и регулярно. Кроме небезопасных сервисов, нужно также помнить и о безопасности всех остальных основных компонент сервера, каковыми в данном случае являются ядро системы и правила безопасности на уровне сетевых протоколов. Эти аспекты работы сервера и будут освещены в этой статье.

Ядро системы

Операционная система Linux является плодом труда людей, а им, как известно, свойственно ошибаться, даже в коде ядра. Отсюда первая угроза безопасности – ошибки в ядре системы. Подобные ошибки обнаруживаются не столь часто, сколь ошибки во всём остальном программном обеспечении, однако же такое бывает. Защита здесь одна (одинаковая для всех подобных проблем) – постоянное отслеживание информации безопасности (например, неплохим источником информации, помимо списка рассылки от производителя дистрибутива, является сайт www.securityfocus.com и его списки рассылки) и показания сервера.

Впрочем, существуют патчи на ядро, которые позволяют повысить защищённость системы в целом и ядра в частности. Основное внимание в таких патчах (в том числе кумулятивных) уделяется возможности противостоять системе от общих атак на программы с ошибкой на переполнение буфера, от атак на программы с некорректным созданием временных файлов и также на возможность уменьшить количество информации, которую может получить атакующий о системе (http://www.openwall.com).

Также существуют патчи, специализирующиеся на сетевом аспекте работы ядра ОС. В их задачи входит встраивание функции защиты от сканирования в ядро системы (http://www.lids.org), а также функции затруднения определения версии ОС

средствами таких сетевых сканеров, как nmap.

При объединении всех этих патчей получается ядро системы, которое самостоятельно сможет предохранять систему от большинства типов известных атак: атаки на переполнение буфера, атаки на программы с неправильной работой с временными файлами, сетевое сканирование машины с целью определения открытых портов и версии операционной системы.

Сетевые сервисы

В большинстве случаев, по непонятным для автора причинам, на «свежеустановленном» сервере по умолчанию запущены практически все возможные сервисы (например, совершенно не нужный на сегодняшний день 7-ой порт, сервис echo).