Linux-система не хранит пароли в текстовом виде, используя для их валидации простое сравнение введенного текста с сохраненным образцом. Если бы это было так, то все аккаунты системы были бы под угрозой при получении кем-либо доступа к соответствующему файлу. Именно поэтому все сохраненные пароли зашифрованы, перед сравнением введенный текст также шифруется, после чего сравниваются две зашифрованных строки. Этот метод будет более безопасным только в том случае, если зашифрованный пароль не может быть восстановлен в оригинальную текстовую строку.

Это достигается при помощи алгоритма особого рода, так же называемого алгоритмом с потайным ходом, поскольку он работает только в одном направлении. Злоумышленник, заполучив Ваш пароль в зашифрованном виде, не сможет восстановить его используя этот алгоритм повторно. Вместо этого ему придется перебирать все возможные комбинации символов до тех пор, пока он не получит комбинацию, которая после шифрования совпадет с зашифрованным паролем. При длине пароля в восемь символов ему прийдется перебрать значительное количество таких комбинаций.

В семидесятых годах прошлого века утверждалось, что данный метод безопаснее других, поскольку алгоритм работал довольно медленно и на шифрование одного пароля требовалось несколько секунд. Однако в настоящее время компьютеры стали достаточно мощными для шифрования сотен тысяч или даже миллионов паролей в секунду. Поэтому даже зашифрованные пароли не должны быть доступны обычному пользователю (обычные пользователи не должны иметь доступа к файлу /etc/shadow). Еще более важным является невозможность угадать пароль в случае, если файл паролей доступен по ошибке. Следовательно, «перевод» пароля вида «tantalize» в «t@nt@1lz3» не повышает уровня безопасности.

Недостаточно заменть нескольких букв в слове похожими на них цифрами (наподобие записи «tantalize» как «t@nt@1lz3»). Программы, использующие словари для взлома паролей, также могут производить такие замены. Гораздо лучший способ — составить слово не имеющее смысла ни для кого, кроме Вас лично, например из первых букв предложения или названия книги. Возьмем к примеру фразу о книге «Имя Розы» Умберто Эко - «The Name of the Rose» by Umberto Eco. В результате получится следующий безопасный пароль: «TNotRbUE9». Напротив, пароли наподобие «beerbuddy» или «jasmine76» могут быть легко подобраны кем-либо, кто знает Вас хоть немного.

Настройте свою систему так, чтобы ее нельзя было загрузить с дискеты или компакт-диска - либо физически удалив эти устройства, либо разрешив в BIOS загрузку только с жесткого диска и установив пароль на BIOS. Linux-системы обычно запускаются при помощи системного загрузчика, позволяющего передать дополнительные параметры загружаемому ядру. Заблокируйте эту возможность для посторонних, установив дополнительный пароль в файле /boot/grub/menu.lst ( Глава 6, The Boot Loader GRUB (↑Содержание)). Это необходимо для безопасности вашей системы: поскольку ядро стартует с привилегиями root, существует возможность получить привилегии root при старте системы.

Основным правилом является установка максимально строгих привилегий достаточных для выполнения конкретной задачи. Например, нет никакой необходимости использовать пользователя root для чтения и отправки электронной почты. Любой баг почтовой программы можно использовать для атаки, которая будет произведена с правами доступа этой программы. Изложенное выше правило сводит к минимуму потенциальный урон, нанесенный системе подобной атакой.

Права доступа ко всем файлам входящим в состав дистрибутива openSUSE были выбраны очень тщательно. При установке дополнительного программного обеспечения или других файлов системный администратор должен быть очень внимателен, особенно при установке битов доступа. Опытные системные администраторы уделяющие внимание безопасности системы, всегда используют опцию -l команды ls для получения дополнительной информации о файлах и обнаружении неверно заданных привилегий. Неправильно установленные биты доступа не просто позволяют изменять или удалять файлы. Модифицированные файлы могут быть выполнены пользователем root или, если это конфигурационные файлы, программа может использовать эти файлы с привилегиями root, что значительно увеличивает уязвимость системы. Подобные атаки носят название "кукушкино яйцо", поскольку программа (яйцо) выполняется (появляется на свет из скорлупы) у другого пользователя (птицы), в точности как кукушка дурачит остальных птиц, подбрасывая им свои яйца.

Система openSUSE® включает в себя файлы permissions, permissions.easy, permissions.secure и permissions.paranoid, расположенные в директории /etc. Эти файлы нужны для задания особых привилегий, таких как разрешение всем пользователям изменять директории и установка бита setuser ID (программы с битом setuser ID запускаются не с привилегиями пользователя, а с привилегиями владельца данной программы, в большинсте случаев им является root). Администратор системы может использовать файл /etc/permissions.local для установки собственных настроек.

Чтобы задать какие из вышеперечисленных файлов используются программами конфигурации openSUSE для установки битов доступа, выберите пункт Локальная безопасность в секции Безопасность и пользователи YaST. Для получения дополнительной информации обратитесь к комментариям /etc/permissions или справочному руководству по команде chmod (man chmod).

Следует быть особенно осторожным в случае, если программе необходимо обрабатывать данные, доступные пользователю для изменения. Это правило адресовано в первую очередь разработчику программы, а не рядовым пользователям. Разработчик должен быть уверен, что его приложение корректно обрабатывает данные и не пытается их сохранить в участки памяти недостаточного размера. Помимо этого, приложение должно проверять целостность данных, используя определенные для этих целей интерфейсы.

Переполнение буфера может произойти, если реальный размер буфера памяти не учитывается при записи в буфер. Возможна ситуация, когда эти данные (созданные пользователем) используют требуют больше памяти, чем ее доступно в буфере. В результате при некоторых обстоятельствах вместо обычной обработки введенных пользователем данных их часть, записанная за пределы буфера, может быть выполнена. Это может быть использовано для выполнения кода, заданного пользователем, а не программистом. Такой баг может иметь очень серьезные последствия, особенно при выполнении программ с особыми правами доступа (см Раздел 1.1.1.3, «Права доступа к файлам»).

Баги формата строки немного отличаются, но суть их по-прежнему в том, что ввод пользователя способен ввести программу в заблуждение. В большинстве случаев эти ошибки могут быть использованы для программ, обладающими особыми привилегиями —setuid и setgid — таким образом, для защиты системы и данных Вы можете отменить соответствующие привилегии для программ. Повторимся, политика предоставления наименьших возможных привилегий является наилучшей (см. Раздел 1.1.1.3, «Права доступа к файлам»).

Поскольку баги переполнения буфера и строки формата относятся к обработке пользовательских данных, они могут быть использованы не только пользователем, имеющим локальный доступ. Множество известных багов можно было воспроизвести как локально, так и по сети (например, используя особым образом сформированную ссылку). Соответственно, баги строки формата и переполнения буфера следует классифицировать как относящиеся и к локальной и к сетевой безопасности.

Вопреки распространенному мнению, существуют вирусы работающие под Linux. Однако, известные вирусы были написаны своими авторами в качестве доказательства концепции, что техника работает по назначению. До настоящего времени ни один из этих вирусов не был обнаружен в дикой природе.

Вирусы не могут существовать и распространяться без своего хозяина. Хозяином может быть программа или важное хранилище системы, такое как основная загрузочная запись, для записи в которую код вируса должен иметь соответствующие привилегии. Благодаря своим многопользовательским возможностям, Linux позволяет ограничить доступ на запись к пределенным файлам (это особенно важно для файлов системы). Таким образом, если Вы имеете привычку работать с привилегиями root, вы увеличиваете шансы системы быть зараженной вирусом. И напротив, следование упомянутому выше принципу наименьших возможных привилегий, значительно снижает такую возможность.

Кроме того, никогда не торопитесь запускать программу, скачанную с первого попавшегося интернет-сайта. RPM пакеты openSUSE содержать криптографическую подпись, как знак того, что они были собраны с должным вниманием. Наличие вирусов является типичным признаком того, что администратор или пользователь не обладают достаточными знаниями о безопасности, поскольку им удалось подвергнуть риску систему, изначально спроектированную с высоким уровнем безопасности.

Не следует путать вирусы с червями, принадлежащими исключительно к миру сетей. Отличие состоит в том, что червю не нужен хозяин для распространения.

Как упоминалось в самом начале, сетевая прозрачность - одна из центральных характеристик систем семейства UNIX. X, оконная система UNIX систем, пользуется этой собенностью для достижения довольно внушительного эффекта. С помощью X абсолютно несложно подключиться к удаленному компьютеру и запустить программу с графическим интерфейсом, которая затем будет отправлена по сети и отображена на Вашем компьютере.

Когда клиенту X требуется отобразить удаленно используя X сервер, последний должен защищать свои ресурсы (экран) от несанкционированного доступа. Точнее, клиентская программа должна обладать строго заданными правами доступа. С помощью системы X Window это может быть реализовано двумя способами: доступ, основанный на хосте или доступ, основанный на cookie. Первый полагается на IP адрес хоста, где запущена клиентская программа. Для управления им используется программа xhost. xhost сохраняет IP адреса имеющих доступ клиентов, в базу данных X сервера. Однако полагаться на IP адреса для авторизации не слишком безопасно. К примеру, если на клиентском компьютере работает еще один пользователь, то он также получит доступ к X серверу — точно также, как любой, кто присвоит себе IP этого компьютера. Вследствие изложенных выше недостатков этот метод не будет детально описан в данном руководстве, однако Вы можете воспользоваться man xhost для получения более подробной информации.

В случае управления доступом при помощи cookie, генерируется строка символов, известная только X серверу и авторизованному пользователю, подобно любой идентификационной карте. Эта cookie сохраняется после логина в файле .Xauthority в домашнем каталоге пользователя и доступна любому X клиенту, желающему воспользоваться X сервером для отображения окна. Файл .Xauthority может быть исследован пользователем при помощи утилиты xauth. Если Вы переименуете .Xauthority, или удалите этот файл из Вашей домашней директории, то больше не сможете открыть новых окон или X клиентов.

SSH (безопасная оболочка) может быть использована для полного шифрования сетевого соединения и прозрачной переадресации его X серверу, без вмешательства пользователя в механизм шифрования. Также это называется X forwarding. X forwarding достигается имитацией X сервера на серверной стороне и установкой переменной DISPLAY для оболочки на удаленном компьютере. Больше информации о SSH можно найти в главе Глава 12, SSH: Безопасная работа в сети.

Если Вы не считаете безопасным удаленный компьютер, к которому подключаетесь, не используйте X forwarding. Будучи включенным, он позволяет авторизоваться используя Ваше SSH соединения для проникновения на Ваш X сервер и произвести различные манипуляции (чтение или сниффинг, например того, что Вы печатаете на клавиатуре).

Как обсуждалось в Раздел 1.1.1.4, «Баги переполнения буфера и строки формата», баги переполнения буфера и строки формата должны классифицироваться, как имеющие отношение и к локальной, и к сетевой безопасности. Подобно локальному варианту, переполнение буфера в сетевых программах преимущественно может быть использовано злоумышленником для получения привилегий root. Даже если эта попытка не будет успешна, атакующий может использовать баг для получения доступа к непривилегированному локальному аккаунту и дальнейшего поиска других уязвимостей, которые возможно присутствуют в системе.

Использование багов переполнения буфера и строки формата по сети — наиболее часто встречающаяся разновидность удаленных атак. Эксплоиты — программы, использующие вновь найденные уязвимости — часто публикуются в почтовых рассылках посвященных безопасности. Они могут быть использованы для попытки проникновения в систему без знания подробностей конкретной уязвимости. Опыт многих лет доказал, что доступность кода эксплоитов помогла операционным системам стать более безопасными, очевидно благодаря тому, что именно они принуждают создателей операционных систем исправлять проблемы в своих программах. В свободном программном обеспечении каждый, кто имеет доступ к исходным кодам (openSUSE поставляется со всеми доступными исходными кодами) и каждый, кто найдет уязвимость и код, ее эксплуатирующий, могут предложить патчи для исправления соответствующего бага.

Целью атаки типа отказ в обслуживании (DoS) является блокирование программы-сервера или всей системы, что может быть достигнуто разными путями: повышенной нагрузкой на сервер, удержанием его в состоянии занятости путем отправки пакетов с мусором или использованием переполнения его буфера. Чаще всего единственной целью DoS атаки является прекращение обслуживания сервером. Тем не менее, поскольку сервер становится недоступным, появляется возможность также использовать другие виды атак:  «человек посередине» (прослушивание, перехват TCP соединения, спуфинг) и подмена DNS.

Любая сетевая атака, при которой атакующий находится между взаимодействующими устройствами, называется атакой типа «человек посередине» (a man-in-the-middle). Общим между ними является то, что жертва атаки обычно ничего не подозревает. Существует много вариантов — например, атакующий может принять запрос на соединение и затем перенаправить его адресату. В результате жертва непреднамеренно устанавливает соединение не с тем компьютером, поскольку другая сторона ведет себя как компьютер, с которым изначально предполагалось соединение.

Простейшая форма атаки «человек посередине» называется сниффер (атакующий «просто» прослушивает проходящий сетевой траффик). В качестве более сложного вида, атаки «человек посередине» может попробовать перехватить уже установленное соединение (это называется hijacking). Для этого атакующему необходимо некоторое время анализировать пакеты некоторое время, чтобы ему удалось предсказать последовательность чисел TCP принадлежащих соединению. Когда атакующий окончательно берет на себя роль целевой машины, жертвы узнают это, поскольку они получают сообщение говорящее о прекращении соединения из-за ошибки. Факт существования не защищенных от перехвата путем шифрования протоколов (производящих только обычную процедуру авторизации при установлении соединения) только упрощает задачу злоумышленника.

Спуфинг (spoofing) это атака при которой в пакетах подменяются первоначальные данные, обычно IP адрес. Наиболее активные формы атаки полагаются на рассылку таких поддельных пакетов (на Linux-машине, это может быть сделано только суперпользователем (root)).

Многие из упомянутых атак используются в сочетании с DoS. Если атакующий видит возможность внезапно положить определенный хост, даже на короткий промежуток времени, это может помочь ему в проведении активной атаки, т.к. этот хост не будет вмешиваться в трафик некоторое время.

Подмена DNS (также называемая атакой Каминского) производится путем повреждения целостности данных в кеше DNS сервера. Отвечая на запросы DNS сервера подмененными пакетами, можно заставить его послать определенные данные жертве, которая запрашивает информацию с этого сервера. Многие из серверов доверяют другим хостам, основываясь на именах или IP адресах. Атакующему необходимы знания о структуре доверительных отношений между хостами, для того, чтобы замаскироваться под авторитетный хост. Обычно для получения этой информации анализируются некоторые пакеты, полученные от сервера. Помимо этого, атакующему часто необходима хорошо спланированная по времени DoS атака на сервер имен. Для защиты используйте зашифрованные соединения с проверкой подлинности хоста, к которому происходит подключение.

Несмотря на очевидную разницу, червей часто путают с вирусами. В отличие от вируса, червю для распространения не требуется заражение находящейся на хосте программы. Они специализируются на максимально быстром распространении в сетевых структурах. Черви прошлого, такие как Ramen, Lion и Adore использовали известные дыры безопасности серверных программ, таких как bind8 и lprNG. Защититься от червей относительно легко. При условии что между обнаружением проблемы в безопасности и моментом, когда червь достигнет Вашего сервера, должно пройти некоторое время, шансы получить обновленную версию программы до этого момента весьма высоки. Поэтому важно регулярно устанавливать обновления безопасности.