КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Замкнутая среда chroot
|
|
|
|
Пароли пользователя и группы
Сервер Apache предоставляет возможность реализации доступа к отдельным каталогам по паролю. Это осуществляется при помощи установок в глобальном файле конфигурации, либо в пользовательских файлах.htaccess. Чтобы защитить каталог паролем, необходимо задать значения в трех различных директивах: AuthName, AuthType и AuthUserFile. Использование четвертой директивы, AuthGroupFile, не является обязательным.
Директива AuthName должна представлять собой короткую строку, в которой задается пароль, запрашиваемый у пользователя.
Формат второй парольной директивы, AuthType выглядит следующим образом: в директиве AuthType задается метод идентификации пользователя, используемый сервером. В директиве AuthType разрешается указывать только два значения, Basic и Digest. Если установить значение Basic, то будет использоваться стандартный для ОС UNIX механизм парольной защиты, а также директива AuthUserFile.
Если задать в директиве AuthType значение Digest,
то будет задействована более надежная система шифрования, алгоритм MD5.
В директиве AuthUserFile, используемой только при выбранном методе Basic, задается полный путь в файловой системе сервера Apache к файлу паролей пользователей для данного каталога. Для создания файла паролей применяется программа htpasswd, которую можно найти в каталоге /usr/local/etc/httpd/support. Например, новый файл паролей для пользователя mdw создается при помощи следующей команды:
$htpasswd -с /html/secured/.htpasswd mdw
Adding password for mdw.
New password:
Re-type new password:
Опция -с указывает программе htpasswd, что следует создать новый файл паролей. Если эта опция опущена, программа пытается отредактировать существующий файл паролей. Если выбран метод Digest,
то список паролей нужно указывать в директиве AuthDigestFile.
|
|
|
После того, как задан требуемый метод идентификации пользователей, для парольной защиты каталога можно воспользоваться директивой, AuthGroupFile. Файл, указанный в этой директиве, должен содержать список групп и пользователей, перечисленных в файле AuthUserFile, являющихся членами этих групп, например, следующая строка создает на сервере парольную группу smers с пятью членами:
smers: mdw ewt jem merry mgd
Дополнительным средством обеспечения безопасности прикладных сервисов является возможность изменения корневого каталога, который доступен для конкретного процесса. Это позволяет ограничить зону действия программ частью общего дерева каталогов. Изменение корневого каталога затрагивает только текущий процесс (то есть, процесс, сделавший системный зов chroot) и всех его потомков.
Одна из проблем при использовании утилиты chroot заключается в том, что все программы и библиотеки, необходимые для работы защищаемой программы, должны быть скопированы в chroot-каталог (в замкнутую среду chroot). При запуске в замкнутой среде утилиты /bin/ls невозможно получить доступ к реальному каталогу /bin. Поэтому необходимо в самой замкнутой среде создать этот каталог и скопировать в него программный код ls, а также еще несколько необходимых библиотек. Для упрощения работы с замкнутыми средами chroot разработано несколько программ, таких как Jail и Cell.
Jail – это набор программ на языках C и Perl. Программа addjailsw автоматически устанавливает необходимые каталоги и файлы. Также в набор входят программы для создания новых пользователей в замкнутой среде chroot и программы для установки других часто используемых файлов из каталога /dev, например /dev/null. Однако, программы Jail копируют слишком много файлов в замкнутую среду chroot, поэтому необходима отладка и удаление лишней информации. В частности, это касается файлов из каталогов /bin и /usr/bin и реальных записей в файле /etc/passwd.
|
|
|
Контрольные вопросы
1. От каких факторов зависит безопасность web-сервера Apache?
2. Каким образом можно ограничить доступ к серверу Apache?
3. Можно ли определить, какие компьютеры получали доступ к серверу Apache?
4. В каком случае суперпользователю будут предоставлены расширенные полномочия по отношению к серверу Apache?
5. Какие модули Apache влияют на его безопасность?
6. Почему необходимо разделить дерево подкаталогов защищенного и незащищенного сервера Apache?
7. Для чего используется установка псевдонимов?
8. Что нужно сделать для усиления защиты Apache с помощью chroot?
9. Какие недостатки утилиты chroot вы можете назвать?
10. Какими факторами обосновано появление программы Jail?
Лекция 17.
КОНТРОЛЬ ЗАЩИЩЕННОСТИ ОС
Инсталляция типичного Unix-сервера включает в среднем около 30400 файлов. Администратор не в состоянии проконтролировать целостность всех системных файлов. Для решения этих проблем было создано несколько программ, наиболее распространенная из которых Tripwire.
|
|
|
|
|
Дата добавления: 2014-12-07; Просмотров: 494; Нарушение авторских прав?; Мы поможем в написании вашей работы!