Раздел: Документация

0 ... 36 37 38 39 40 41 42 ... 125

«стандартизованные» копии файла inetd. conf, чтобы гарантировать их идентичность в системах определенных типов, например рабочих станциях или серверах. В этом случае вам следует загрузить этот файл и пересмотреть его, оставляя в нем только службы, абсолютно необходимые, с тем чтобы укрепленный компьютер был способен выполнять свои функции по защите сети. Удобные или интересные службы должны быть перенесены на другие системы, размещенные в более защищенной среде. Укрепленный компьютер находится на переднем крае вашей обороны и не должен выполнять никаких других функций.

Некоторые службы, такие как NFS (Network File System), запускаются при старте системы, обычно из файлов /etc/гс. *. NFS имеет сложное устройство и пользуется удаленными вызовами процедур (Remote Procedure Calls, RPC). Для подключения к удаленной файловой системе служит протокол Mount. Изучите структуру каталогов файлов начальной загрузки и их содержимое, обратившись к документации системы.

Как быть, если вам требуется NFS на узле, непосредственно подключенном к Jnfernef?

NFS - это распределенная сетевая файловая система. Она очень удобна в локальной сети, благодаря чему многие пользователи могут совместно работать с сетевыми файлами. Но хотите ли вы, чтобы эти файлы были доступны и из Internet? Средства защиты, существующие в различных реализациях NFS, недостаточны для того, чтобы разрешить доступ к этой службе по незащищенным каналам.

RPC представляет собой простой протокол взаимодействия клиента и сервера. Первоначально он разрабатывался для NFS, но сейчас широко применяется и многими другими службами. И на клиенте, и на сервере, использующем RPC, работает демон rpcbind.

NFS - это протокол без памяти (stateless). Это означает, что сервер не отслеживает последовательность клиентских запросов. NFS даже не выполняет такие функции, как открытие и закрытие файлов, наличия которых следовало бы ожидать в распределенной сетевой файловой системе. NFS делает это с помощью протокола Mount. Это означает, что и на клиентском, и на серверном компьютере должен также присутствовать демон mountd.

Из сказанного здесь ясно, что при работе NFS на компьютере на самом деле выполняется несколько фоновых процессов. Наиболее проблематичным из них, возможно, является демон RPC, поскольку с его помощью реализовано множество других служб. Следует тщательно проверять файлы начальной загрузки вашей системы UNIX (или Linux) и удалить все службы, кроме абсолютно необходимых. Установка по умолчанию содержит разнообразные дополнительные средства, о которых вы, возможно, не подозреваете. Хакеры знают, как их искать, и находят способы для их включения или какого-либо другого злоупотребления оставленными файлами. Изучите документацию по установке вашей системы UNIX (или Linux) и отыщите компоненты ядра, которые могут быть

---

безопасно удалены. Перекомпилируйте ядро (ни в коем случае не оставляйте его старую версию на компьютере!), протестируйте работу системы и убедитесь, что внесенные изменения работают так, как ожидалось.

.,

Дополнительная информация о NFS

С тех пор, как компания SUN Microsystems разработала протокол NFS, эта технология была улучшена и перенесена в различные операционные системы. Чтобы больше узнать о работе протоколов NFS, обратитесь к документу RFC 1094, описывающему наиболее распространенную вторую версию NFS. В RFC 1813 документирована версия 3, в которой улучшена поддержка глобальных сетей.

Другие сетевые файлы UNIX

После завершения редактирования файлов, предназначенных для запуска или настройки сетевых служб, следует проконтролировать еще несколько файлов. Если по каким-либо причинам вы еще работаете с файлом /etc/hosts, проверьте, не скопирован ли он с одной из других систем и не содержит ли информацию об узлах, не нужных для работы укрепленного компьютера. В случае проникновения на укрепленный компьютер хакера любая найденная им информация о сети или компьютерах в ней только облегчит его дальнейшее внедрение.

Необходимо проверить и другие стандартные файлы сетевых настроек UNIX, в том числе:

О /etc/networks. Этот файл аналогичен файлу /etc/hosts, но сопоставляет IP-адресам не имена компьютеров, а имена сетей. Хотя к удаленным компьютерам удобнее обращаться по имени, подобная функция не слишком нужна большинству конечных пользователей, которые обычно имеют слабое представление о том, к каким сетям они в действительности подключены. Данный файл служит всего лишь для трансляции имен компьютеров в локальной сети в их адреса, но обязательно проверьте, не содержит ли он ненужных или странных записей;

О /etc/protocols. Позволяет сопоставить номер имени протокола. Например, заголовок IP-пакета содержит поле, обозначающее протокол - TCP или UDP - при помощи его номера. Убедитесь, что при установке приложений или во время других процедур настройки в этот файл не были добавлены новые ненужные вам протоколы;

О /etc/services. Устанавливает соответствие номера порта и протокола (UDP или TCP), который она обычно применяет, имени службы. Вам может понадобиться отредактировать этот файл, чтобы использовать несколько proxy-серверов для одной службы. Например, при помощи пакета TIS Internet Firewall Toolkit создаются две версии демона Telnet на двух различных портах.

---

Как определить, какие службы запущены?

Чтобы определить, какие из служб запущены, воспользуйтесь командой ps, которая выводит список выполняющихся процессов. Результат ее работы зависит от версии UNIX, но обычно каждому из процессов соответствует одна строка с именем выполняемой команды и другой информацией, например с идентификатором процесса и запустившего процесс пользователя. Перезагрузите компьютер после удаления ненужных служб и удостоверьтесь при помощи этой команды, что не пропустили какую-либо лишнюю службу в файлах начальной загрузки или настройках ядра. При мониторинге системы проверяйте, не были ли запущены бесполезные службы демоном inetd.

система windows nt

Проверить, какие службы выполняются на Windows NT Server 4.0, позволяет приложение Services (Службы) из Control Panel (Панели управления). При этом выводится диалоговое окно (рис. 6.1) со списком всех служб. Для перемещения по списку вверх и вниз служит полоса прокрутки.

I Services ffll

Service	Status	Startup
Remote Procedure Call (RFC) Locator		Manual	a
Remote Procedure Call (RPC) Service	Started	Automatic
Schedule		Manual
Server	Started	Automatic
Spooler	Started	Automatic
TCP/IP NetBIOS Helper	Started	Automatic
Telephony Service	Started	Manual
UPS		Manual
Workstation	Started	Automatic
World Wide Web Publishing Service	Started	Automatic	T

Profiles... I

s Startup Parameters:........................ 1

Ihelp [

Рис. 6.1. Приложение Services позволяет управлять службами, запущенными на Windows NT Server

Эта утилита предоставляет возможность запускать, останавливать и приостанавливать работу служб. Имейте в виду, что лучше не просто остановить ненужные службы, а полностью удалить их из системы. Например, из рис. 6.1 видно, что в системе запущена служба TCP/IP NetBIOS Helper. Поскольку сервер взаимодействует и с Internet, и с клиентами только посредством протокола TCP/IP, протокол NetBIOS на нем вообще не требуется. Перепишите ненужные службы, отключите их, а затем уберите из системы.

0 ... 36 37 38 39 40 41 42 ... 125