Неблагоразумно разрешать экспорт файловых систем
Неблагоразумно разрешать экспорт файловых систем во внешнюю среду из рассматриваемой организации.
Программа ToolTalk контролируется посредством inetd. conf на системах Solaris. Чтобы отключить эту программу, необходимо закомментировать следующую строку:
100083/1 tli rpc/tcp wait root /usr/dt/bin/rpc.ttdbserverd/usr/dt/bin/rpc.ttdbserverd.
TCP Wrappers можно использовать и для других служб, таких как POP и IMAP. Нужно просто внести соответствующие изменения в строки конфигурации, представленные выше.
TCP Wrappers можно настроить на блокировку или разрешение определенным узлам или сетям доступа к службам telnet и FTP. Файлы, используемые для этих действий по настройке, - это файлы /etc/hosts.allow и /etc/hosts.deny. Синтаксис для работы с этими файлами выглядит следующим образом:
<имя программы-оболочки>: <ip-адрес>/<маска сети>
Следующие файлы представляют собой примеры файлов конфигурации TCP Wrapper.
hosts.allow: #Allow telnets from my internal network (10.1.1.x) in.telnet: 10.1.1.0/255.255.255.0 #Allow ftp from the world in.ftpd: 0.0.0.0/0.0.0.0 hosts.deny: #Deny telnets from anywhere else in.telnetd: 0.0.0.0/0.0.0.0
Файл hosts.allow оценивается в первую очередь, после чего обрабатывается файл hosts.deny. Следовательно, можно сначала настроить все системы, которым разрешено работать с различными службами, после чего запретить все остальное в файле hosts.deny. Кроме того, следует внести изменение в настройку журнала, чтобы разрешить TCP Wrappers заносить данные в журнал системы. Это изменение описано в разделе "Файлы журнала" далее в лекции.
Некоторые версии Unix, в особенности HPUX, поставляются с настройками по умолчанию надежности паролей для обеспечения безопасности. В них указывается набор блокировок для учетных записей на случай слишком большого числа неудачных попыток входа в систему.
При загрузке обновлений для систем Solaris имейте в виду, что Sun размещает многие обновления в кластере обновлений. Однако кластер обновлений может не содержать некоторых обновлений безопасности. Может понадобиться загрузить их в отдельном порядке и установить вручную.
Большая часть систем содержит утилиты по добавлению пользователей для обеспечения автоматического выполнения этой задачи. В Linux для этого предназначена программа adduser. В системе Solaris эта утилита называется useradd.
Solaris не выдает соответствующего отчета о том, что интерфейс находится в смешанном режиме. Причиной этому является ошибка в программном обеспечении ядра. Чтобы корректным образом проверить, находится ли интерфейс Solaris в смешанном режиме, необходимо использовать команду ifstatus, доступную по адресу ftp://ftp.cerias.purdue.edu/pub/tools/unix/sysutils/iftatus/.
lsof заменяет номер порта в столбце справа именем порта, если оно присутствует в файле /etc/services.
Неблагоразумно разрешать экспорт файловых систем во внешнюю среду из рассматриваемой организации.
Программа ToolTalk контролируется посредством inetd. conf на системах Solaris. Чтобы отключить эту программу, необходимо закомментировать следующую строку:
100083/1 tli rpc/tcp wait root /usr/dt/bin/rpc.ttdbserverd/usr/dt/bin/rpc.ttdbserverd.
TCP Wrappers можно использовать и для других служб, таких как POP и IMAP. Нужно просто внести соответствующие изменения в строки конфигурации, представленные выше.
TCP Wrappers можно настроить на блокировку или разрешение определенным узлам или сетям доступа к службам telnet и FTP. Файлы, используемые для этих действий по настройке, - это файлы /etc/hosts.allow и /etc/hosts.deny. Синтаксис для работы с этими файлами выглядит следующим образом:
<имя программы-оболочки>: <ip-адрес>/<маска сети>
Следующие файлы представляют собой примеры файлов конфигурации TCP Wrapper.
hosts.allow: #Allow telnets from my internal network (10.1.1.x) in.telnet: 10.1.1.0/255.255.255.0 #Allow ftp from the world in.ftpd: 0.0.0.0/0.0.0.0 hosts.deny: #Deny telnets from anywhere else in.telnetd: 0.0.0.0/0.0.0.0
Файл hosts.allow оценивается в первую очередь, после чего обрабатывается файл hosts.deny. Следовательно, можно сначала настроить все системы, которым разрешено работать с различными службами, после чего запретить все остальное в файле hosts.deny. Кроме того, следует внести изменение в настройку журнала, чтобы разрешить TCP Wrappers заносить данные в журнал системы. Это изменение описано в разделе "Файлы журнала" далее в лекции.
Некоторые версии Unix, в особенности HPUX, поставляются с настройками по умолчанию надежности паролей для обеспечения безопасности. В них указывается набор блокировок для учетных записей на случай слишком большого числа неудачных попыток входа в систему.
При загрузке обновлений для систем Solaris имейте в виду, что Sun размещает многие обновления в кластере обновлений. Однако кластер обновлений может не содержать некоторых обновлений безопасности. Может понадобиться загрузить их в отдельном порядке и установить вручную.
Большая часть систем содержит утилиты по добавлению пользователей для обеспечения автоматического выполнения этой задачи. В Linux для этого предназначена программа adduser. В системе Solaris эта утилита называется useradd.
Solaris не выдает соответствующего отчета о том, что интерфейс находится в смешанном режиме. Причиной этому является ошибка в программном обеспечении ядра. Чтобы корректным образом проверить, находится ли интерфейс Solaris в смешанном режиме, необходимо использовать команду ifstatus, доступную по адресу ftp://ftp.cerias.purdue.edu/pub/tools/unix/sysutils/iftatus/.
lsof заменяет номер порта в столбце справа именем порта, если оно присутствует в файле /etc/services.
