Top 5 средств безопасности Solaris 10, которые следует использовать
30 Июнь 2009
Перевод статьи Glenn Brunette «Top 5 Solaris 10 Security Features You Should Be Using». Оригинал: http://blogs.sun.com/gbrunett/entry/top_5_solaris_10_security
Впечатленный списком достоинств, с которым Solaris 10 выиграл награду InfoWorld 2008 Technology of the Year Award, я решил составить свой собственный список. Надеюсь, Вы меня простите, но просто я не мог удержаться…
Top 5 средств безопасности Solaris 10, которые следует использовать
Список предназначен для выделения пяти средств безопасности Solaris 10, которые принесут самую большую и быструю выгоду Вам и Вашей организации. Я остановился на пяти характерных особенностях, но Solaris может предложить гораздо больше, как показано в презентации. Во всяком случае, давайте перейдем к списку… (барабанная дробь, пожалуйста)…
5. Аудит.
Да, в Solaris есть аудит начиная с версии 2.3, но я не могу сосчитать сколько раз я говорил с людьми, которые не знают об этом. Аудит в Solaris – это хорошая возможность понять, что происходит с вашей системой. Аудит встроен в ядро, поэтому может видеть и записывать все, что происходит – это критично для организаций, которым необходимо соответствовать требованиям законодательства. Мартин опубликовал конфигурацию аудита, отвечающую требованиям безопасности индустрии платежных карт. У нас также есть статья о том, как Solaris в целом выглядит в этой области, но я отклоняюсь от темы… Идем дальше.
4. Привилегии
Скорее всего, Вы используете привилегии, даже не зная об этом, и это хорошо. В Solaris реализован принцип наименьшего уровня привилегий, который действует в сервисах и set-uid приложениях. По-умолчанию в Solaris многим сервисам назначены только те привилегии, которым им нужны (или сервисы просто сбрасывают ненужные привилегии). Но на этом польза привилегий не заканчивается. В статье Sun BluePrint описывается, как интегрировать привилегии в стороннее приложение, или в Ваше собственное. Далее, для тех, кто занимается разработкой, эта статья рассказывает, как включить привилегии прямо в код, чтобы использовать технику privilege bracketing, еще сильнее ограничивая выполнение кода с высокими привилегиями. Не знаете, какие привилегии Вам нужны? Попробуйте наш отладчик привилегий – он Вам покажет. Вы можете существенно снизить риск повреждений, используя только те привилегии, которые нужны – и все мы согласимся, что это хорошо.
3. Управление доступом на основе ролей
Вам нужно ограничить доступ к функциям администратора? Вам нужно иногда выполнять привилегированные операции? Ответ – управление доступом на основе ролей (Role Base Access Control, RBAC). Изначально появившийся в Solaris 8, механизм RBAC все более тесно интегрируется с остальной операционной системой. Например, если Вы хотите разрешить операторам перезапускать, но не изменять сервисы системы, RBAC сможет Вам помочь. Барт разработал очень хороший тур по RBAC для новичков в этой технологии. Те, кто хочет чего-то более сложного, могут реализовать сценарий управления доступом «две персоны» (или «четыре глаза»). Независимо от того, хотите ли Вы просто делегировать некоторые функции суперпользователя, или реализовать сложную политику управления доступом, RBAC может предоставить средства для всех Ваших потребностей.
2. Зоны
Вы знали, что я доберусь до зон, не так ли? ИМХО, зоны являются одним из важнейших средств безопасности в Solaris 10. Работающие в режиме ядра, и почти все, работающие в режиме пользователя вредоносные программы, по-существу выполняются без эффекта, когда приложение работает в не глобальной зоне sparse-root. Зоны выполняются с меньшим уровнем привилегий, чем их глобальный аналог, из-за этого атаки, ориентированные на привилегии, реализуются гораздо сложнее. Более того, основные исполняемые файлы ОС, библиотеки и модули ядра в конфигурации по-умолчанию являются неизменяемыми, т.к. они подключаются в режиме только для чтения из глобальной зоны. Что это означает? Проще говоря, Вы не можете изменить их. Это огромная победа для безопасности, управления изменениями, управления ИТ. Вы можете назначить доступ приложению так, чтобы оно работало в безопасном окружении, без риска изменения основной ОС. А если Вы хотите внести изменения, Solaris достаточно гибка, чтобы обеспечить это. Вы можете добавлять устройства, файловые системы, сетевые интерфейсы, даже привилегии зонам. Вы можете использовать различные механизмы управления ресурсами, чтобы предотвратить несправедливое использование ресурсов Solaris. Еще вы можете персонализировать свою зону с помощью укрепления безопасности, сервисов имен и аутентификации, политики аудита и многого другого. Более интересные вещи можно делать с взаимодействующими зонами. Зоны предоставляют такие непреодалимые возможности безопасности, что (совместно с аудитом, привилегиями и RBAC) служат основой Solaris Trusted Extensions, многоуровневой операционной системой Sun, реализующей мандатное управление доступом.
1. Сетевая безопасность по-умолчанию
Последнее, но определенно не худшее в этом списке средство – сетевая безопасность по умолчанию (Secure by Default, SBD). SBD введена в Solaris 10 11/06 в целях существенного уменьшения области, доступной для сетевых атак, особенно в новых конфигурациях. Что? Это означает, что когда SBD включена во время установки, единственным сервисом, доступным по сети, будет Secure Shell (в отличие от обычного длинного списка сервисов, которые могут использоваться, или не использоваться в Вашем окружении). SBD может быть включена во время установки (для новых инсталляций), или после установки (во время обновления или просто когда Вы захотите ее включить). SBD либо выключит сервисы, которые считает некритичными, либо переведет критичные сервисы в режим локальной работы, при котором они будут отвечать на запросы только с локальной машины. Это позволяет Вам начать с более защищенной установки и включать только те сервисы, которые Вам действительно нужны. SBD может быть сконфигурирована в глобальной зоне, или в любом количестве неглобальных зон (т.к. все они могут иметь свою собственную конфигурацию). Те, кому нужны более гибкие настройки (какие сервисы могут быть разрешены, запрещены, установлен локальный режим и т.д.), могут рассмотреть возможность использования Solaris Security Toolkit, где можно задавать политики, описывающие допустимые конфигурации системы. Независимо от выбранных инструментов, сейчас Вы можете гораздо проще защитить свою инсталляцию ОС Solaris.
Надеюсь, Вы получили удовольствие от просмотра список Top 5 средств безопасности Solaris 10, которые следует использовать. Если вы хотите узнать больше о возможностях, которые предоставляет Solaris 10, есть много вариантов действий:
- Домашняя страница безопасности в Solaris 10
- Учебный центр безопасности в Solaris 10
- Установившаяся практика безопасности в Solaris 10
- Библиотека безопасности Solaris
- Презентации по безопасности Solaris
- Сообщество безопасности OpenSolaris
- Блоги Sun (метки Solaris+Security)
До следующего раза…
Глен.
Оригинал статьи: http://blogs.sun.com/gbrunett/entry/top_5_solaris_10_security
Похожие записи:
- Безопасность по умолчанию в Solaris, часть 1
- Конвертируем пользователя root в роль
- pfexec – удобная утилита Solaris
- Безопасность по умолчанию в Solaris, часть 3
- Обновление Solaris 10 Security Deep Dive для релиза 10/09
Рубрики: Безопасность
