Безопасность по умолчанию в Solaris, часть 1

8 Август 2009

Перевод статьи Glenn Brunette Solaris Secure by Default – Part 1

Добро пожаловать в первый выпуск – Узнаем: Solaris Secure by Default (SBD)

Проект безопасность по умолчанию в Solaris (Solaris Secure by Default, или проще SBD) появился в build 42 Nevada. Он запланирован к включению в обновление Solaris очень скоро (Прим. перев. SBD включена в Solaris 10 11/06). Цель проекта SBD – уменьшить количество целей для сетевых атак на Solaris путем (1) отключения тех сервисов, которые не являются абсолютно необходимыми по умолчанию и (2) настройки остальных сервисов так, чтобы они принимали запросы только с локальной системы. Единственным исключением из этого правила является Secure Shell, который запущен и работает. Это очень похоже на сетевую конфигурацию, обычно генерируемую Solaris Security Toolkit, но значительным отличием является то, что SBD встроен в Solaris.

SBD уже реализована для ON, X11, CDE и Admin/Install. Продолжается работа над обеспечением JDS/Gnome поддержки SBD. До настоящего времени, однако, SBD выглядит чертовски здорово!
Давайте посмотрим на пример. Ниже вывод netstat с недавно установленной Ultra 10:

# netstat -f inet -P tcp -a
TCP: IPv4
   Local Address        Remote Address    Swind Send-Q Rwind Recv-Q    State
-------------------- -------------------- ----- ------ ----- ------ -----------
      *.*                  *.*                0      0 49152      0 IDLE
      *.sunrpc             *.*                0      0 49152      0 LISTEN
      *.*                  *.*                0      0 49152      0 IDLE
      *.ssh                *.*                0      0 49152      0 LISTEN
localhost.smtp             *.*                0      0 49152      0 LISTEN
localhost.submission       *.*                0      0 49152      0 LISTEN

Обратите внимание, что эта система не имеет монитора, и поэтому не запущен никакой менеджер окон. Как видите, остались запущенными только ssh, rpcbind и sendmail. Очевидно, что sendmail может принимать запросы только с localhost. Кажется, что rpcbind может принимать запросы по сети, но на самом деле это не так.
Большой побочный эффект SBD в том, что теперь меньше сетевых сервисов запускаются с помощью скриптов автозапуска, т.к. многие сервисы были переведены на использование SMF. Некоторые сервисы по умолчанию выключены с помощью SMF, а другие поддерживают свойства SMF для определения работать в режиме «local only» или нет. В примере выше prcbind управляется именно с помощь свойства SMF «local only».
В Nevada SBD будет использоваться по умолчанию при установке Solaris – вопросов задаваться не будет. В Solaris 10 будет предложен выбор, но SBD будет вариантом по умолчанию. SBD никак не влияет на обновляемые системы. Только новые установки позволят использовать преимущества SBD без настроек.
Вы можете включить SBD или вернуться обратно к традиционным настройкам Solaris в любое время после установки с помощью команды netservices. Находящаяся в каталоге /usr/sbin эта команда предоставляет возможность за одно действие переключить сетевые сервисы из традиционного (открытого) состояния в SBD и обратно:

# /usr/sbin/netservices
netservices: usage: netservices [ open | limited ]

Как Вы видите, команда netservices предоставляет две опции. Опция open изменит состояние и свойства сервисов для перевода системы в традиционное состояние. Опция limited переведет систему в состояние SBD. Обратите внимание, что эти команды подобны молотку, который принудительно перемещает вашу систему между двумя состояниями. Если Вы изменяли настройки сервисов (например, запускали или останавливали некоторые сервисы), то можете заметить, что Ваши настройки поменялись.
СОВЕТ: лучше использовать команду netservices сразу после установки (если нужно поменять значение, выбранное при установке системы). Во время жизни системы, лучше использовать команды cfgadm или svcadm, чтобы точно указать изменения. Действуя таким образом, вы не получите неприятных «сюрпризов».
На этом выпуск заканчивается. В следующем выпуске Узнаем: Solaris Secure by Default, я более подробно расскажу об изменениях в некоторых сервисах, так что Вы сможете не только увидеть, как все было сделано, но и изменить настройки в зависимости от Ваших требований и политик безопасности.

Похожие записи:

  1. Безопасность по умолчанию в Solaris, часть 2
  2. Безопасность по умолчанию в Solaris, часть 3
  3. Top 5 средств безопасности Solaris 10, которые следует использовать
  4. Мониторинг производительности Solaris с помощью sar
  5. Конвертируем пользователя root в роль

Рубрики: Безопасность, Полезные команды

Метки: , , , Оставить комментарий

Оставить комментарий

Feed

http://solarisblog.ru / Безопасность по умолчанию в Solaris, часть 1