Linux HOWTO


Часто задаваемые вопросы ЧАВО (FAQ)


  1. Не будет ли более безопасно вкомпилировать поддержку драйверов непосредственно в ядро нежели представлять их модулями?

Ответ: Некоторые полагают, что лучше не использовать возможность загрузки драйверов устройств в виде модулей, поскольку взломщик (или они сами) может загрузить троянский модуль, который повредит систему безопасности.

Однако, для того чтобы загрузить модуль, вы должны быть администратором. Объектные файлы модулей разрешают запись тоже только администратору. Это значит, что взломщик должен иметь права администратора, чтобы загрузить модуль. Если взломщик заполучит права администратора, то есть намного более серьезные вещи, о которых нужно будет беспокоится, нежели загрузка какого-то модуля.

Модули созданы для динамической загрузки драйверов поддержки определенных устройств, которые обычно редко используются. Для серверов или систем, выполняющих роль щита (firewall), это маловероятно. По этой причине будет разумно для таких машин вкомпилировать поддержку устройств прямо в ядро. Модули к тому же медленнее нежели код в ядре.

  • Почему всегда запрещена регистрация администратором с удаленной машины?
  • Ответ: Смотрите раздел "безопасность администратора". Это сделано намеренно, чтобы предотвратить попытки пользователей зарегистрироваться на вашей машине через telnet как администратор, что очень уязвимо. Не забывайте потенциальный взломщик имеет время запустить автоматическую программу для получения вашего пароля.

  • Как мне включить теневые пароли в моем Red Hat 4.2 или 5.0 Linux?
  • Ответ: Теневые пароли это механизм сохранения ваших паролей в отличном от обычного /etc/passwd файле. Это имеет несколько преимуществ. Первое это то, что теневой файл /etc/shadow доступен для чтения только администратору, в отличие от /etc/passwd, который должен быть доступен для чтения всем. Другое преимущество в том, что вы как администратор можете включать или блокировать счета и никто не будет знать статус счетов других пользователей.

    Тогда файл /etc/passwd используется только для хранения имен пользователей и групп, а также используется программами наподобие `/bin/ls' для связывания пользовательских ID с определенным именем пользователя в списке каталога.

    Тогда файл /etc/shadow содержит только имя пользователя и его/ее пароль, и возможно информацию о счете, типа времени окончания действия и т.п.

    Чтобы включить теневые пароли, запустите 'pwconv' будучи администратором - теперь /etc/shadow существует и будет использоваться приложениями. Если вы используете Red Hat 4.2 или выше, то PAM модули автоматически перестроятся на использование теневых паролей без какого-либо вмешательства с вашей стороны.

    Если вы заинтересовались безопасностью ваших паролей, вероятно вас заинтересует методы генерирования хороших паролей. Для этого вы можете использовать модуль `pam_cracklib', который является частью PAM. Он сравнивает ваши пароли с Crack библиотеками, чтобы вы знали легко ли угадываются ваши пароли программами, которые занимаются подбором паролей.




    Начало  Назад  Вперед



    Книжный магазин