Пароль и безопасность аккаунта
Данная глава может использоваться как составная часть вашей стратегии обеспечения безопасности пароля и аккаунта.
Убедитесь, что стратегия пароля для вашего сайта уже разработана.
Проверьте, что у вас есть заполненные регистрационные формы на каждого пользователя каждого сегмента системы. Удостоверитесь, что эта форма включает графу «Подпись клиента». Таким образом пользователями вашей системы будет подтверждено, что они ознакомлены с вашими условиями предоставления аккаунта и возможными санкциями за их нарушение.
Используйте команду anlpasswd для проверки паролей при вводе.
Эта программа выполняет ряд проверок вводимых паролей и помогает установить неверные пароли. Программа работает с обычной, теневой и NIS (или ур) системами паролей.
Проверяйте периодически пароли при помощи команды Crack.
Применяйте выдерживание пароля (если
Входы NIS, NIS+ и /etc/passwd
Не выполняйте NIS или NIS+ без особой надобности.
Если требуются функции NIS, то старайтесь по возможности использовать NIS+.
Проверьте, что только те компьютеры, которые имеют вход в файлах /etc/passwd, являются клиентами NIS (YP); то есть, не главный NIS-сервер! Иначе может быть создана конфликтная ситуация, где в противоречии окажутся документация и функции обеспечения формата входа («+»). Общего для всех решения нет. Самое лучшее в такой ситуации обратиться к прилагавшейся к ваше машине документации. Иногда здесь предлагается поместить символ «*» в поле пароля, который не препятствует выполнению команд NIS. Мы рекомендуем пошагово проверить ваши системы для тлго, чтобы посмотреть, все ли команды правильно воспринимают «*» в поле пароля.
Проверьте, что файл или эквивалентный ему сконфигу
Рирован так, чтобы начать процедуру запуска с выполнения команды ypbind с опцией - s.
Это применимо не на всех системах. Обратитесь к своей документации.
Используйте безопасный Теневые пароли
Используйте встроенную программу затенения пароля или любую другую со стороны.
Затенение пароля ограничивает доступ к шифрованным паролям пользователей.
Периодически проводите проверку реального и теневых файлов пароля для того, чтобы вовремя обнаружить чужие добавления или иное вмешательство.
Проводите регулярные проверки системы на предмет выявления неиспользуемых аккаунтов и отключайте те из них, к которым не было обращений в течение заранее оговоренного периода, скажем, в течении трех месяцев. Уведомления об отключении и о возможности возобновления аккаунт отправляйте по почте и спокойно удаляйте всех не откликнувшихся пользователей.
Обратите внимание: Для отправки уведомлений пользуйтесь обычной, а не электронной почтой, потому что от взломанного аккаунта вы наверняка получите надлежащий ответ, и, следовательно, злоумышленники не будут обнаружены.
Убедитесь, что все аккаунты имеют пароли. Проверьте также имеющиеся теневые или NIS пароли. Иными словами, проверьте, нет ли пустых полей пароля.
Удостоверьтесь, что все области пользователей адекватно копируются и архивируются.
Регулярно просматривайте регистрируемые успешные и неуспешные попытки использования su(l).
Регулярно проверяйте повторные отказы входа в систему.
Регулярно проверяйте сообщения LOGIN REFUSED.
Обдумайте, не ввести ли вам квоты по пользовательским аккаунтам.
Продумайте, не включить ли вам в условия предоставления услуг требование личного присутствия или подтверждения клиента перед предоставлением любых запросов относительно аккаунта (например, перед созданием пользовательского аккаунта).
Убедитесь, что в соответствии с общей стратегией
Защиты сайта, нет ни одного общедоступного аккаунта, кроме пользователя root. To есть только один человек знает пароль входа в систему.
Отключите гостевой аккаунт.
А еще лучше не создавайте его вообще!
Обратите внимание: Некоторые системы изначально поставляются с отконфигурированными гостевыми аккаунтами.
Используйте специальные группы (типа группы «wheel» под SunOS) для четкого отграничения пользователей, имеющих право использовать su для получения права пользователя root.
Отключить все заданные по умолчанию аккаунты, поставленные с операционной системой.
Наличие подобных должно проверяться после каждого
Обновления или установки новой операционной среды.
Отключите аккаунты, не имеющие пароля и выполняющие какую - либо команду, например, sync.
Удалите или смените принадлежность всех файлов такого аккаунта. Особо проверьте, что эти аккаунты не используют Сгоп и в данный момент не включены. Самое же лучшее вообще удалить эти аккаунты.
Назначьте нефункциональные оболочки (типа /bin/false) к таким системным аккаунтам как bin и daemon и, если он почти не используется, к аккаунту синхр онизации.
Поместите системные аккаунты в файл /etc/ftpusers, таким образом, использование ftp для них будет недоступно. Этот файл должен включать, как минимум, следующие входы: root, bin, uucp, ingres, daemon, news, nobody и все аккаунты, поставленные с компьютером при покупке.
Ограничьте количество людей, знающих пароль пользователя root.
Это могут быть те же пользователи, которые зарегистрированы в groupid 0 (например, wheel group в SunOS). Обычно их число ограничивается 3 или 4 людьми.
В соответствии с общими принципами безопасности сайта, не входите как root в сеть.
Предпочтительно использовать su из пользовательских аккаунтов, а не при регистрации привилегий root. Это обеспечит большую ответственность.
Убедитесь, что в корне нет файла
Проверьте, что символа нет в пути поиска файлов корня.
Удостоверьтесь, что файлы входа в систему корня не являются исходными для других, не принадлежащих корню или свободно перезаписывающихся файлов.
Гарантировать, что корневые рабочие файлы сгоп'а не являются исходными для других, не принадлежащих корню или свободно-перезаписывающихся файлов.
Используйте абсолютные имена пути от корня. Например, /bin/su, /bin/find, /bin/passwd. Этим вы предотвратите случайный запуск под корнем «троянского коня». Для выполнения команд в текущем каталоге под корнем самой команде должно предшествовать сочетание «./», например, ./command.
Файлы .netrc
Не используйте файлы. netrc без особой на то надобности. Если все же файлы. netrc вами используются, то в них не должна содержаться информация о паролях.
Поле GCOS
Введите информацию в поле GCOS файла пароля. Она может быть использована для идентификации вашего сайта в случае захвата файла пароля. Например:
Joe: *: 10:10:Joe Bloggs, Organisation X:/home/joe:/bin/sh