Контроль безопасности сети (networks)
Сетевые системы более узяввымие в палне защищености чем без нее (standalone). Сеть увеличивает системны доступ а так же добавляет большой риск в безопасности системы. Если вы не можете управлять всей защитой сети то вам необходимо защищать каждую станцию отдельно. Ниже приведены основые механизмы контроля доступом по сети
1. Перечинь экспортиртируемыз файловых систем /etc/exports. /etc/exports содержит входы, которые состоят из имени пути файловой системы, сопровождаемой списком компьютеров или групп компьютеров, позволенных доступ к файловой системе. Любой вход, состоящий из только имя пути без того, чтобы следоваться компьютерным названием- файловая система, доступная каждому компьютеру на сети. /etc/exports входы могли бы содержать названия групп компьютеров. Вы можете выяснять то, какие индивидуальные машины включены в группу, проверяя /etc/netgroup.
2. Перечислить узлов, которые имеют эквивалентные базы паролей в /etc/hosts. equiv. 3. Проверить, что каждый узел в административном домене не расширяет привилегии на любых невключенных узлов. Вы должны повторить шаги 1 и 2 для каждого узла в домене(области).
4. Конролируйте root и локальную защиту на каждом узле в вашем административном домене Пользователь с привилегиями суперпользователя на любой машине в домене может приобретать те привилегии на каждой машине в домене. !!!
5. Поддержать последовательность названий пользователей, uid, и gid среди файлов пароля в вашем административном домене.
6.Поддержать последовательность файлов группы на всех узлах в вашем административном домене.
Режимы, владельцы, и группы на всех системных файлах должы быть установлены тщательно. Все отклонения от этих значений должны быть отмечены и исправлены.
Обратите внимание на файлы которые находяться в /etc. Ниже приведен список наиболее употребляемых файлов
networks название сетей и их адреса hosts название станций а также их адреса hosts.equiv название и адреса станций в которые эквивалентны даной станции services база данных сервисов exports список экспорта файловых систем, экспортируемых в NFS клиенту protocols база данныз протоколов inetd.conf файл конфигурации Internet netgroup Список сетевых групп.
Использують indetd.sec для контроля внешнего доступа. Файл находиться в /var/adm/inetd.sec По следующему формату : <service name> <allow/deny> <host/net addresses, host/net names>
Мониторинг системы
Имееться набор команд для мониторинга системы. Ниже приведены краткие возможности и характеристики наиболее часто используемых: SAR – показывает активные ресурсы сиситемы (system activity reporter)
Запуск команды возможен в 2х вариантах: sar [-ubdycwaqvmAMS] [-o file] t [n] и sar [-ubdycwaqvmAMS] [-s time] [-e time] [-i sec] [-f file] Первая форма показывает октивность комапьютера n раз с периодом t секунд. Если указана опция –o то информацию скидывает в файл. По умолчанию n = 1. Другая форма без осуществления выборки указанного интервала, sar извлекает данные от предварительно зарегистрированного файла, или тот, указанный -f опцией или, по умолчанию, стандартные действия операционной системы ежедневный файл данных /var/adm/sa/sadd в течение текущего дня dd. Начальные и конечные времена сообщения могут быть ограничены через -s и -e параметры времени формы hh [:mm [:ss]]. -i опция выбирает отчеты в секундных интервалах. Иначе, все интервалы, найденные в файле данных сообщены.
Расмотрим опции: -u использование CPU.(значение по умолчанию); часть времени, выполняющегося в одном из нескольких режимов. На многопроцессорной системе, если -M опция используется вместе с -u опцией, для каждого -CPU использование также как среднее использование CPU всех процессоров. Если -M опция не используется,тогда показывает среднее использование CPU всех процессоров: cpu номер CPU(только на многопроцессорной системе с -M опцией); %usr использование пользователем (непgjrfривигильованый режим); %sys системный режим; %wio простой с некоторым процессом, ожидающим Ввод - вывод (только блочных I/O, необработанный ввод /вывод, или VM обозначенные загрузки/выгрузки свопа); %idle “простой» проссора. -b показывает использования буфера bread/s- количество физический чтений на секунду с буф. на диск.(или устройсва) -bwrit/s количество физический записей на секунду с буф. на диск.(или устройсва) lread/s - lwrit/s количество байт чтения записи на устройства. %rcache отношения буфера- bread/lread %wcache bwrit/lwrit pread/s Количество чтений не с блочного устройства pwrit/s Количество записей не с блочного устройства -d показывает информацию о каждом block устройстве, к которому процесор имел отношение за определенный интервал времени -y ------- для non-block устройств --- -с системные вызовы -w свопинг и переключения системы -a использование файлов -q показывает среднюю длину сообщения и процент от занятого времени -v более детальная информация об использовании файлов,inode, процессов. -m информация о семафорах
-A показывает всю информацию -M информация для индивидуального CPU в много-процесорных машинах
VMSTAT- показывает статистику виртуальной памяти Параметры запуска комманды: vmstat [-dnS] [interval [count]] vmstat -f | -s | -z -d сообщает количество обменов между диском -n выводин информацию в 80 колоночном представлени. -S количество прцессов которые свопяттся interval период отображения count количество повторов -f количество fork ( деления процесса) -s количество paging сообщений -z очищает все sum структуры ядра.
IOSTAT мониторинг I|O устройств Параметры запуска: iostat [-t] [interval [count]] interval период отображения count количество повторов -t отображает статистику для терминалов. Для каждого диска статистика предоставляеться форматом: device имя устройства bps количество передаваемых байт за секунду sps количество seekов за секунду msps в мс. средний seek
TOP отображает состояние “горячих” процесов. Параметры запуска: top [-s time] [-d count] [-q] [-u] [-n number] -s timе время между обновлениями -d count отображает количество и после этого выходит -n number количество «верхних» процесов -q запускает с самым большим приоритетом (nice –20) -u мвесто username показывает userID (для экономии проц. времени)
Популярное: Генезис конфликтологии как науки в древней Греции: Для уяснения предыстории конфликтологии существенное значение имеет обращение к античной... Как построить свою речь (словесное оформление):
При подготовке публичного выступления перед оратором возникает вопрос, как лучше словесно оформить свою... Как выбрать специалиста по управлению гостиницей: Понятно, что управление гостиницей невозможно без специальных знаний. Соответственно, важна квалификация... ©2015-2024 megaobuchalka.ru Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. (177)
|
Почему 1285321 студент выбрали МегаОбучалку... Система поиска информации Мобильная версия сайта Удобная навигация Нет шокирующей рекламы |