ASET — средство проверки корректности конфигурации системы

Операционная система Solaris имеет большое количество настроек и конфигурационных файлов, что позволяет гибко адаптировать ОС для нужд конкретных пользователей информационной системы. Это, однако, создает опасность появления слабых мест с точки зрения информационной безопасности. Для проверки целостности и корректности текущей конфигурации ОС Solaris предусмотрена специальная утилита — ASET.

ASET запускает семь различных задач, каждая из которых выполняет набор специфических проверок, подправляет права доступа к файлам, корректирует содержимое критичных с точки зрения безопасности конфигурационных файлов, а также осуществляет мониторинг критических областей ОС. Кроме собственно системного уровня, одна из задач проверяет допустимость использования машины в качестве входного компьютера в сеть предприятия (firewall).

ASET может быть настроен на один из трех уровней безопасности. На каждом последующем уровне доступ к ресурсам сокращается, делая систему более безопасной. На низшем уровне ASET проводит ряд проверок и только предупреждает о потенциально слабых местах в конфигурации ОС. На этом уровне не производится каких-либо корректировок. На следующем, промежуточном уровне, ASET модифицирует некоторые системные файлы и параметры, ограничивая доступ в систему для уменьшения риска преодоления защиты. На самом высоком уровне ставится цель максимально ограничить возможности доступа в систему. При этом возможно изменение работы ряда системных сервисов.

При запуске программа ASET сначала проводит верификацию прав доступа к системным файлам.

Следующая задача проверяет системные файлы и сравнивает их с описанием в мастер-файле программы ASET. Мастер-файл содержит установки, соответствующие избранному уровню безопасности. В ходе выполнения задачи для системных файлов проверяются владелец и группа, права доступа, размер и контрольная сумма, количество ссылок и время последней модификации.

Список проверяемых программой ASET файлов находится в мастер файле /usr/aset/masters/chklist и содержит более 1000 элементов. Указанный список может быть расширен по желанию системного администратора.

Затем проводится проверка корректности списка пользователей и пользовательских групп. В процессе выполнения этой задачи контролируются дублирование имен и идентификаторов пользователей, формат файлов /etc/passwd и /etc/group , наличие паролей у всех пользователей и т.п., плюс аналогичные параметры в NIS и NIS+.

Далее проверяются записи в конфигурационных файлах директории /etc с выявлением потенциально слабых мест в текущих настройках ОС. К числу таких файлов относятся:

/etc/default/login,

/etc/hosts.equiv,

/etc/inetd.conf,

/etc/aliases,

/etc/hosts,

/etc/vfstab,

/etc/dfs/dfstab,

/etc/ftpusers

и некоторые другие.

На следующем этапе проверяются установки PATH и umask для пользователя root, находящиеся в файлах /.profile , /.login , /.cshrc .

Дополнительно можно проверить, годится ли текущая конфигурация для экранирующей машины между локальной сетью предприятия и открытой глобальной сетью.

Результаты выполнения программы ASET записываются в текстовом виде в файлах директории /usr/aset/reports .

Все корректировки, проводимые программой ASET, протоколируются, и систему можно в любой момент вернуть к прежнему состоянию, что страхует администратора от необратимых действий.

Программу ASET рекомендуется запускать раз в сутки. Условия запуска ASET задаются переменной PERIODIC_SCHEDULE конфигурационного файла /usr/aset/asetenv .

Как видно из вышеизложенного, утилита ASET является весьма полезной. Ее целесообразно использовать как на регулярной основе, так и после проведения значительных изменений в конфигурации системы. К сожалению, программа работает исключительно на системном уровне, поэтому нуждается в дополнениях, к примеру, для сетевого уровня защиты, естественным образом расширяющих встроенные средства ОС.


Разграничение доступа пользователей к ресурсам Содержание BSM SunSHIELD — инструмент системного аудита
Copyright ╘ 1993-2000, Jet Infosystems