- Не будет ли более безопасно вкомпилировать поддержку драйверов
непосредственно в ядро нежели представлять их модулями?
Ответ: Некоторые полагают, что лучше не использовать возможность
загрузки драйверов устройств в виде модулей, поскольку взломщик (или
они сами) может загрузить троянский модуль, который повредит систему
безопасности.
Однако, для того чтобы загрузить модуль, вы должны быть
администратором. Объектные файлы модулей разрешают запись тоже только
администратору. Это значит, что взломщик должен иметь права
администратора, чтобы загрузить модуль. Если взломщик заполучит права
администратора, то есть намного более серьезные вещи, о которых нужно
будет беспокоится, нежели загрузка какого-то модуля.
Модули созданы для динамической загрузки драйверов поддержки
определенных устройств, которые обычно редко используются. Для серверов
или систем, выполняющих роль щита (firewall), это маловероятно. По
этой причине будет разумно для таких машин вкомпилировать поддержку
устройств прямо в ядро. Модули к тому же медленнее нежели код в ядре.
- Почему всегда запрещена регистрация администратором с удаленной
машины?
Ответ: Смотрите раздел "безопасность администратора". Это сделано
намеренно, чтобы предотвратить попытки пользователей
зарегистрироваться на вашей машине через telnet как администратор, что
очень уязвимо. Не забывайте потенциальный взломщик имеет время
запустить автоматическую программу для получения вашего пароля.
- Как мне включить теневые пароли в моем Red Hat 4.2 или 5.0 Linux?
Ответ: Теневые пароли это механизм сохранения ваших паролей в отличном
от обычного /etc/passwd файле. Это имеет несколько преимуществ. Первое
это то, что теневой файл /etc/shadow доступен для чтения только
администратору, в отличие от /etc/passwd, который должен быть доступен
для чтения всем. Другое преимущество в том, что вы как администратор
можете включать или блокировать счета и никто не будет знать статус
счетов других пользователей.
Тогда файл /etc/passwd используется только для хранения имен пользователей и
групп, а также используется программами наподобие `/bin/ls' для связывания
пользовательских ID с определенным именем пользователя в списке каталога.
Тогда файл /etc/shadow содержит только имя пользователя и его/ее
пароль, и возможно информацию о счете, типа времени окончания действия
и т.п.
Чтобы включить теневые пароли, запустите 'pwconv' будучи администратором
- теперь /etc/shadow существует и будет использоваться
приложениями. Если вы используете Red Hat 4.2 или выше, то PAM модули
автоматически перестроятся на использование теневых паролей без
какого-либо вмешательства с вашей стороны.
Если вы заинтересовались безопасностью ваших паролей, вероятно вас
заинтересует методы генерирования хороших паролей. Для этого вы можете
использовать модуль `pam_cracklib', который является частью PAM. Он
сравнивает ваши пароли с Crack библиотеками, чтобы вы знали легко ли
угадываются ваши пароли программами, которые занимаются подбором
паролей.
- Как мне включить SSL расширение для Apache?
Ответ:
1.Скачайте SSLeay 0.8.0 или выше из ftp://ftp.psy.uq.oz.au/pub/Crypto/SSL
2.Соберите, протестируйте и установите его!
3.Скачайте исходники Apache 1.2.5 или выше
4.Скачайте SSLeay расширение для Apache
отсюда
5.Разархивируйте его в каталог исходников Apache и исправьте Apache
как написано в README.
6.Настройте и соберите его.
Вы можете также сходить на
Replay Associates, где есть много уже скомпилированных пакетов и за
пределами США.
- Как мне манипулировать счетами пользователей не нарушая при
этом безопасности?
Ответ: Дистрибутив Red Hat, особенно RH5.0, содержит огромное
количество инструментов, с помощью которых можно работать со счетами
пользователей.
- pwconv и unpwconv можно использовать для конвертирования
паролей из обыкновенных в теневые и обратно, соответственно
- pwck и grpck можно использовать для верификации правильности
организации файлов passwd и group.
- программы useradd, usermod и userdel можно использовать для
добавления, удаления и модификации счетов
пользователей. Программы groupadd, groupmod и groupdel делают
тоже самое для групп.
- групповые пароли можно создавать с помощью gpasswd.
Все эти программы совместимы с теневыми паролями - т.е. если вы
установили теневые пароли, они будут использовать файл /etc/shadow.
Для более детального ознакомления смотрите соответствующие страницы man.
- Как мне поставить пароли на определенные HTML документы
используя Apache?
Я так думаю вы и не догадываетесь о
http://www.apacheweek.org, не правда ли?
Информацию по идентификации пользователей вы можете найти на
http://www.apacheweek.com/features/userauth, а также на
web узле по вопросам безопасности
http://www.apache.org/docs/misc/security_tips.html