"Никакой firewall не защитит вас от хакерской атаки!" -- этими словами Bob Toxen, консультант по вопросам безопасности, начал свой семинар по вопросам безопасной работы в системе Линукс. Каждый сисадмин или IT менеджер, совершивший любой из нижепреведенных смертных грехов, рано или поздно станет жертвой хакера. Когда -- лишь вопрос времени. Грех номер 1: использование простых или дефолтовых паролей. Убедитесь, что в вашей системе нет ни одного дефолтового или пустого пароля. Не храните незашифрованные пароли на диске. Если возможно, давайте каждому пользователю уникальный пароль по умолчанию. Избегайте компьютерных терминов и не подставляйте 1 вместо l. Используйте CrackLib для тестирования паролей.
Грех номер 2: открытые порты. Если вы не используете сервис, отключите его! Даже если у вас самый надежный firewall. NFS, portmap, mountd, telnet, FTP, ldp/cups, sendmail были многократно использованы при атаках в прошлом.
Грех номер 3: использование старых версий программ. Да, патчи трудно отследить, они содержат ошибки и могут повредить системе. Автоматические апгрейды тоже не подарок. А что делать?
Грех номер 4: Использование дырявых и плохо сконфигурированных программ. Не используйте PHP, хотя это и удобно. Не запускайте Apache, DNS, auth (indent) из-под root'а. Используйте suEXEC в Apache чтобы позволить пользователям разрабатывать их собственные CGI и SSI программы.
Грех номер 5: Недостаточные ресурсы и неверные приоритеты. Это не технический вопрос, но часто -- самое слабое место в корпоративных сетях. Сисадмин обязан убедить своих начальников, что безопасность -- абсолютно необходимая и недешевая часть бюджета. Если надо, продемонстрируйте своим начальникам пару жутких историй из книг, покажите, как необходимо улучшить безопасность вашей системы.
Грех номер 6: Сохранение старых неиспользуемых аккаунтов. Это -- широко открытая дверь для классической "Ну так я вам щас устрою!" атаки уволенного служащего. Не выдавайте один и тот же дефолтовый пароль всем служащим -- большинство пользователей так никогда и не изменяют его. Установите "горячую линию" с отделом кадров -- это спасет вас, если увольняемый сотрудник имел административные привилегии.
Грех номер 7: Лень матушка! Большинство сисадминов, ставших жертвой хакеров, знали заранее, что их система уязвима, но откладывали решение проблемы на потом, пока не стало слишком поздно."
© (comp.soft.linux.nixp)
|