Linux и безопасность: семь смертных грехов сисадмина

«Никакой firewall не защитит вас от хакерской атаки!» — этими словами Bob Toxen, консультант по вопросам безопасности, начал свой семинар по вопросам безопасной работы в системе Линукс. Каждый сисадмин или IT менеджер, совершивший любой из нижепреведенных смертных грехов, рано или поздно станет жертвой хакера. Когда — лишь вопрос времени.

Грех номер 1: использование простых или дефолтовых паролей. Убедитесь, что в вашей системе нет ни одного дефолтового или пустого пароля. Не храните незашифрованные пароли на диске. Если возможно, давайте каждому пользователю уникальный пароль по умолчанию. Избегайте компьютерных терминов и не подставляйте 1 вместо l. Используйте CrackLib для тестирования паролей.

Грех номер 2: открытые порты. Если вы не используете сервис, отключите его! Даже если у вас самый надежный firewall. NFS, portmap, mountd, telnet, FTP, ldp/cups, sendmail были многократно использованы при атаках в прошлом.

Грех номер 3: использование старых версий программ. Да, патчи трудно отследить, они содержат ошибки и могут повредить системе. Автоматические апгрейды тоже не подарок. А что делать?

Грех номер 4: Использование дырявых и плохо сконфигурированных программ. Не используйте PHP, хотя это и удобно. Не запускайте Apache, DNS, auth (indent) из-под root’а. Используйте suEXEC в Apache чтобы позволить пользователям разрабатывать их собственные CGI и SSI программы.

Грех номер 5: Недостаточные ресурсы и неверные приоритеты. Это не технический вопрос, но часто — самое слабое место в корпоративных сетях. Сисадмин обязан убедить своих начальников, что безопасность — абсолютно необходимая и недешевая часть бюджета. Если надо, продемонстрируйте своим начальникам пару жутких историй из книг, покажите, как необходимо улучшить безопасность вашей системы.

Грех номер 6: Сохранение старых неиспользуемых аккаунтов. Это — широко открытая дверь для классической «Ну так я вам щас устрою!» атаки уволенного служащего. Не выдавайте один и тот же дефолтовый пароль всем служащим — большинство пользователей так никогда и не изменяют его. Установите «горячую линию» с отделом кадров — это спасет вас, если увольняемый сотрудник имел административные привилегии.

Грех номер 7: Лень матушка! Большинство сисадминов, ставших жертвой хакеров, знали заранее, что их система уязвима, но откладывали решение проблемы на потом, пока не стало слишком поздно.

Постоянная ссылка к новости: http://www.nixp.ru/news/1909.html. Uncle Theodore по материалам searchenterpriselinux.techtarget.com.