Počítačová ochrana
BEZPEČNOST V UNIXU A INTERNETU V PRAXI
Q'REILLY' .
Simson Gmfinkel Gene Spafford
Ir
.
I
i ,
I
Obsah Úvod
...
.xv
POČiTAVÉ
L. ZÁKLADY
BEZPČNOSTI
1
1: Úvod.
3
Co je to počítačová bezpečnost? Co je to operační systém? Historie
6
.0000
oo
oo.. oo.oo
. oooo.
.. . oo. oo7
Unixu
8
Unix a bezpečnost
oo
Úloha této knihy
o
oo
o
oo
..15
oo
.20 0"0""""""""""""""""""""""""'"
2: Strategie
a dopor-učen{
23
Plánování bezpečnostních potreb Odhad
rizika
o.o.. ooooo.. 00'0' oo
oo
o o""""""""""""
o
..27
Analýza pomeru nákladit a efektu
Strategie . ... o'o """"""""'" ""'" Bezpečnost a zatemňování
ll:
ZODPovENST
.24
oo
...
... .
oo oo.
...
... o..
oo ...
oo oo.
oo oo oo
.. ... ... ..
47
3: Uživatelé a hesltt o..
Hesla o.. ... oo..
oo
49 o
.oo
o"o... oo.oo
49
0
o"""",,,""""",,,,""""""",
.
35
40
0
UŽIVATELU Uživatelskájména
30
oo
oooooo.oooo... .oO.... ..oo
...
51
viii
Obsah
Zadávání hesla Zmena hesla Overení nového hesla Volba hesla ]ednorázová hesla Shrnutí
57 58 59 .61 6 .68
...
4: Uživatelé, skupiny a superu*ivatel
71
Uživatelé a skupiny Speciální uživatelská jména su: Zmena identity Shrnutí
71 78 .84 .90
5: Souborový systém Unixu
91
Soubory Použití pnstupových práv
,..
...
umask""'''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' Použití prístupových práv adresáiU SUlO Soubory zanzení ... chown: Zmena vlastníka souboru chgrp: Zmena skupiny souboru Neobvyklé a nedobré nápady
.113
.115 .118 ... .129 .132 134 "
"""'"''''''''''
Shrnutí
..134
.137
6: Kryptografie Stručná historie kryptografie Co je to šifrování? Šifrovací systém Enigma Obvyklé šifrovací algoritmy Výtahy zpráv a digitální podpisy Šifrovací programy na Unixu des: Data Encryption Standard Šifrování a zákonné ~pravy v USA
.91 100
139 ",,,,,,,,,,,,,,,,,,,,,,, """""""""""""""""
.139 ..142 147 .149
.167 174 178 ..190
ix
Obsah
IL.
:
SYSTÉMU BEZPČNOST
195
7: Zálohy
197
Z aloh uJte ,
I
\
'
I
,
'
..198
Príklady zálohovacích
strategií
21 O
1
Zálohování systémových souboru
,..
..,..
215
I
I
Zálohovací
software.
''''''''''''''''''''
218
""'"
8: Ochrana účtu
I
Nebezpečné Sledování
účty fonnátu
225 ,..",..."..,..."
Omezení piihlášení Správa
,
,
souboru..., "
nevyužívaných
,
..225
,
.235
,
.236
účtu"..",.."..,
Ochrana superuživatelského
,
účtu
,...,...,
,
,.",
,.,
,
"..,
,
Systém šifrování hesel v Unixu
I
]ednorázová
hesla
"
"
Slovo
,
,
.250
hesel
255
271 ,
"
záverem
10: Auditing
,
integrity
Prevence ",." Detekce zmen..."..,
,..,..., ,
,
,
I
I
I I
,
,
a logging
I
I
277 286
2 89
,." ,...,.., Účtování procesu vsouborech acct/pacct Logovací soubory jednotlivých príkazu Záznamy práce uživatelu se souborovým systémem Systémový log Unixu (syslog) Swatch: sledování logovacích souboru , ,
.290 299 302 307 ..309
Ručne vedené záznamy Správa logovacích souboru
..321 324
11: Ochrana proti programovému I
273
,
Základnílogovací soubory
I
.243
..246
Metody pro správu konvenčních
9: Kontrola
,.237
Programové ohrožení definice Paškazen; -
ohrožení
318
327 327
337
x Obsah Auton
338
Vstup Ochrana Ochrana
""'"
""
vašeho
systému.
...
"""
12: Fyzická Často
""'" ''''''
hrozba.
...
""
Ochrana počítačového Ochrana
""
357
""'"
hardwaru
"''''''''
"""
""'"
nevydarená
"'"''''
.
"""""
bezpečnost
Pritzkum minulosti..
384
'"
"."".""..."
...
389
"''''''
V práci
lV:.
"""""
.390
"""'"
.391
""''''''
z vnejŠku
BEZPČNOST
...359
374
inspekce
"'"
Lidé
.357
""""'"
dat...
13: Personálnt
.340 353
""'"
" ""'"
"'"
.339 """
bezpečnost..""".."".".".."
opomíjená
Pňbeh:
""'"
"'"
395
SiTE A INTERNETU 397 399
""
14: Telefonnt bezpečnost."" Teorie funkce modernu
Sériová
rozhraní
Sériový
protokol
""'" "''''''
""..."."..".." """'"
"""" "'"
Zvýšení
1 401
a Unix
''''''
"''''''
bezpečnosti
"'"
modernU.
15: UUCP ""'" ""'"
UUCP a bezpečnost
"'"''
""''''
.418
.422 "''''''
""'"
Bezpečnost v UUCP Version 2 Bezpečnost
""'"
421
Popis UUCP UUCP
...405
.411 "'"''
""'"
Verze
40
RS-232
Modemy a bezpečnost Modemy
.399
.426
427 430
na DNU UUCP ''''
Další bezpečnostní úvahy Bezpečnostní problémy prvních verzí UUCP UUCP na sítích Shrnutí
.437
445 446 .447 .448
I
Obsah
xi
16: Síte na bázi TCP/IP [
:
449
Síte
.449
IPv4 - Internet Protocol Version 4 Bezpečnost lP
453 .470
Další síťové protokoly..
,
477
Shrnutí
,
.478
17: Služby TCP /IP
479
Základy unixovských internetových serveru Rízení prístupu k serverum
,
"
480
...,
".,
"
Primární unixové síťové služby
.484
485
Bezpečnostní dopady síťových služeb
530
Sledování síte programem netstat
Hlídání síte
,
535
WWW
537
Bezpečnost a World Wide Web
537
Provoz bezpečného
539
servem
Rízení prístupu k souborum na servem
i
531 534
,
18: Bezpečnost
,
,,
,
Shrnutí (
,
,.,
549
Vyloučení možnosti odposlechu
555
,
Rizika na strane prohlížeče
560
Závislost na tretích stranách
563
Shrnutí
,
564
,
\
I
19: RPC, NIS, NIS+ a Kerberos
565
Zabezpečenísíťovýchslužeb I I
,
Remote Procedure CalI (RPC) Secure RPC (AUTH_DES)
566
...,
567 570
,
Network Information Service (NIS) NIS+ ,. ,
..,
,
, ,.,
579 ,
,..
1
I
Kerberos
I
Ostatní síťové autentifikačníslužby
I
l
,
587
594 603
xii
Obsah
20.8 NFS
605
Úvod do NFS NFS bezpečnost
.605 na strane serveru
616
Bezpečnost na strane NFS klienta
621
Záverem
.631
v:' POKROČILÁ
TÉMATA
21: Firewally
635 637
Co je to firewall?
.638
Vytvorení vlastního firewallu ..
..648
Príklad: Cisco router jako propust
652
Nastavení brány
.658
Další doporučení
.664
Záverečné poznámky""''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''"""
.465
22: Wrappery a proxy
669
Proč wrappery?
.669
Wrapper programu sendmail (smapjsmapd)
670
tcpwrapper
..674
SOCKS
.687
UDP Relayer
.697
Tvorba vlastních wrapperu
.697
23: Tvorba bezpečných SUID a síťových programu
701
Jedna chyba vám mu že zkazit celý den Tipy pro omezení bezpečnostních chyb
701 705
Tipy pn tvorbe síťových programu
713
Tipy pro tvorbu SUIDjSGID programu
716
Tipy pro práci shesly
719
Tipy pro práci s generátory náhodných čísel
720
VI: POSTUP PRI NAPADENÍ .
729
~
~
~
r
24: Odhalení pruniku
I
I
I
731 733
Logovací soubory - odhalení stop po útočníkovi Úklid po útočníkovi Príklad Fáze obnovení Ošetrení škod
745 746 752 754 755
25: Útok zablokovánim Útoky pretížením
759
Síťové útoky zablokováním služeb
773
bezpečnost a legislativa USA
777
Zákonné možnosti po primiku
777
Trestní stíhání Občanské spory
778 787
Další zodpovednost..
788
27: Ko",u mužete vent?
797
Mužete vent počítači? Mužete vent dodávce? Mužete vent lidem? Co z toho všeho plyne
797 ..801 808 ...812
B: Duležité
,..
,.
...
kuchar
soubory
Soubory a zanzení související s bezpečností Duležité soubory v domovských adresánch SUlO a SGID soubory
I
757 758
A: Bezpečnostní
l,
služeb a možná ochrana..
Destruktivní útoky
VII: P BiLOHY
! I
731
Úvod Odhalení útočníka
26: Počitačová I
:
813 815 837 837 844 ..844
xiv
Obsah
C: Procesy v U.ixu o procesech
855 o..
""'"
"'" """"""
Vytváčení procesu Signály
Pčíkaz
o
oo
kill
"""'"
o
.865
o
"'"''''''''''
...867
Spuštení Unixu a pčihlášení se
869
D: Tištené inj'ormace BezpečnostUnixu
o
855 .864
873 ...
... .873
Další počítačová literatura
.874
Bezpečnostní
.885
periodika
E: Elektronické
prame"y
889
Mailing listy Usenetové skupiny Stránky WWW Software
.890 .894 .895
oo
.896
F: Organizace Profesní organizace Americké vládní instituce Organizace první pomoci
G: Tabulka lP služeb
RejstHk
905 "'"
'"''''''''''''''''''''''''''
o
.905
.909
...
.91 O
921
X9 33X
