Контроль безопасности сети (networks)

 

Сетевые системы более узяввымие в палне защищености чем без нее (standalone). Сеть увеличивает системны доступ а так же добавляет большой риск в безопасности системы.

Если вы не можете управлять всей защитой сети то вам необходимо защищать каждую станцию отдельно.

Ниже приведены основые механизмы контроля доступом по сети

 

1. Перечинь экспортиртируемыз файловых систем /etc/exports.

/etc/exports содержит входы, которые состоят из имени пути файловой системы, сопровождаемой списком компьютеров или групп компьютеров, позволенных доступ к файловой системе. Любой вход, состоящий из только имя пути без того, чтобы следоваться компьютерным названием- файловая система, доступная каждому компьютеру на сети. /etc/exports входы могли бы содержать названия групп компьютеров. Вы можете выяснять то, какие индивидуальные машины включены в группу,  проверяя /etc/netgroup.

 

2. Перечислить узлов, которые имеют эквивалентные базы паролей в /etc/hosts. equiv.

3. Проверить, что каждый узел в административном домене не расширяет привилегии на любых невключенных узлов.

Вы должны повторить шаги 1 и 2 для каждого узла в домене(области).

 

4. Конролируйте root и локальную защиту на каждом узле в вашем административном домене Пользователь с привилегиями суперпользователя на любой машине в домене может приобретать те привилегии на каждой машине в домене. !!!

 

5. Поддержать последовательность названий пользователей, uid, и gid среди файлов пароля в вашем административном домене.

 

 6.Поддержать последовательность файлов группы на всех узлах в вашем административном домене.

 

 

Режимы, владельцы, и группы на всех системных файлах должы быть  установлены тщательно. Все отклонения от этих значений должны быть отмечены и исправлены.

 

Обратите внимание на файлы которые находяться в /etc. Ниже приведен список наиболее употребляемых файлов

 

networks        название сетей  и их адреса

hosts                 название станций а также их адреса

hosts.equiv      название и адреса станций в которые эквивалентны даной станции

services            база данных сервисов

exports             список экспорта файловых систем, экспортируемых в NFS клиенту

protocols          база данныз протоколов

inetd.conf        файл конфигурации Internet

netgroup          Список сетевых групп.

 

 

Использують indetd.sec для контроля внешнего доступа. Файл находиться в /var/adm/inetd.sec

По следующему формату : <service name> <allow/deny> <host/net addresses, host/net names>

 

 

 

Мониторинг системы

 

 

Имееться набор команд для мониторинга системы. Ниже приведены краткие возможности и характеристики наиболее часто используемых:

SAR – показывает активные ресурсы сиситемы (system activity reporter)

 

Запуск команды возможен в 2х вариантах:

sar [-ubdycwaqvmAMS] [-o file] t [n]

и

sar [-ubdycwaqvmAMS] [-s time] [-e time] [-i sec] [-f file]

Первая форма показывает октивность комапьютера n  раз с периодом t секунд. Если указана опция –o то информацию скидывает в файл. По умолчанию n = 1.

Другая форма без осуществления выборки указанного интервала, sar извлекает данные от предварительно зарегистрированного файла, или тот, указанный -f опцией или, по умолчанию, стандартные действия операционной системы ежедневный файл данных /var/adm/sa/sadd в течение текущего дня dd. Начальные и конечные времена сообщения могут быть ограничены через -s и -e параметры времени формы hh [:mm [:ss]]. -i опция выбирает отчеты в секундных интервалах. Иначе, все интервалы, найденные в файле данных сообщены.

 

Расмотрим опции:

-u        использование CPU.(значение по умолчанию); часть времени, выполняющегося в одном из нескольких режимов. На многопроцессорной системе, если -M опция используется вместе с -u опцией, для каждого -CPU использование также как среднее использование CPU всех процессоров. Если -M опция не используется,тогда показывает среднее использование CPU всех процессоров:

                          cpu    номер CPU(только на многопроцессорной системе с -M опцией);

%usr использование пользователем (непgjrfривигильованый режим);

 %sys системный режим;

%wio простой с некоторым процессом, ожидающим Ввод - вывод (только блочных I/O, необработанный ввод /вывод, или VM обозначенные загрузки/выгрузки свопа);

                          %idle “простой» проссора.

-b       показывает использования буфера

bread/s-            количество физический чтений на секунду с буф. на диск.(или устройсва)

-bwrit/s              количество физический записей на секунду с буф. на диск.(или устройсва)

                          lread/s - lwrit/s количество байт чтения записи на устройства.

                          %rcache                          отношения буфера- bread/lread

                          %wcache         bwrit/lwrit

                          pread/s             Количество чтений не с блочного устройства

                          pwrit/s              Количество записей не с блочного устройства

-d       показывает информацию о каждом block устройстве, к которому процесор имел отношение за определенный интервал времени

-y       ------- для non-block устройств ---

-с        системные вызовы

-w       свопинг и переключения системы

-a       использование файлов

-q       показывает среднюю длину сообщения и процент от занятого времени

-v       более детальная информация об использовании файлов,inode, процессов.

-m      информация о семафорах

 

-A       показывает всю информацию

-M      информация для индивидуального CPU в много-процесорных машинах

 

 

VMSTAT- показывает статистику виртуальной памяти

Параметры запуска комманды:

vmstat [-dnS] [interval [count]]

vmstat -f | -s | -z

-d       сообщает количество обменов между диском

-n       выводин информацию в 80 колоночном представлени. 

-S       количество прцессов которые свопяттся

interval период отображения

count количество повторов

-f        количество fork ( деления процесса)

-s        количество paging сообщений

-z       очищает все sum структуры ядра.

 

IOSTAT   мониторинг I|O устройств

Параметры запуска:

           iostat [-t] [interval [count]]

interval период отображения

count количество повторов

-t        отображает статистику для терминалов.

Для каждого диска статистика предоставляеться форматом:

           device               имя устройства

bps                    количество передаваемых байт за секунду

sps                    количество seekов за секунду

msps                 в мс. средний seek

 

TOP отображает состояние “горячих” процесов.

Параметры запуска:

           top [-s time] [-d count] [-q] [-u] [-n number]

-s timе              время между обновлениями

-d count           отображает количество и после этого выходит

-n number        количество «верхних» процесов

-q                       запускает с самым большим приоритетом (nice –20)

-u                       мвесто username показывает userID (для экономии проц. времени)