Операционная система Solaris имеет большое количество настроек и конфигурационных файлов, что позволяет гибко адаптировать ОС для нужд конкретных пользователей информационной системы. Это, однако, создает опасность появления слабых мест с точки зрения информационной безопасности. Для проверки целостности и корректности текущей конфигурации ОС Solaris предусмотрена специальная утилита — ASET.
ASET запускает семь различных задач, каждая из которых выполняет набор специфических проверок, подправляет права доступа к файлам, корректирует содержимое критичных с точки зрения безопасности конфигурационных файлов, а также осуществляет мониторинг критических областей ОС. Кроме собственно системного уровня, одна из задач проверяет допустимость использования машины в качестве входного компьютера в сеть предприятия (firewall).
ASET может быть настроен на один из трех уровней безопасности. На каждом последующем уровне доступ к ресурсам сокращается, делая систему более безопасной. На низшем уровне ASET проводит ряд проверок и только предупреждает о потенциально слабых местах в конфигурации ОС. На этом уровне не производится каких-либо корректировок. На следующем, промежуточном уровне, ASET модифицирует некоторые системные файлы и параметры, ограничивая доступ в систему для уменьшения риска преодоления защиты. На самом высоком уровне ставится цель максимально ограничить возможности доступа в систему. При этом возможно изменение работы ряда системных сервисов.
При запуске программа ASET сначала проводит верификацию прав доступа к системным файлам.
Следующая задача проверяет системные файлы и сравнивает их с описанием в мастер-файле программы ASET. Мастер-файл содержит установки, соответствующие избранному уровню безопасности. В ходе выполнения задачи для системных файлов проверяются владелец и группа, права доступа, размер и контрольная сумма, количество ссылок и время последней модификации.
Список проверяемых программой ASET файлов находится в мастер файле /usr/aset/masters/chklist и содержит более 1000 элементов. Указанный список может быть расширен по желанию системного администратора.
Затем проводится проверка корректности списка пользователей и пользовательских групп. В процессе выполнения этой задачи контролируются дублирование имен и идентификаторов пользователей, формат файлов /etc/passwd и /etc/group , наличие паролей у всех пользователей и т.п., плюс аналогичные параметры в NIS и NIS+.
Далее проверяются записи в конфигурационных файлах директории /etc с выявлением потенциально слабых мест в текущих настройках ОС. К числу таких файлов относятся:
/etc/default/login,
/etc/hosts.equiv,
/etc/inetd.conf,
/etc/aliases,
/etc/hosts,
/etc/vfstab,
/etc/dfs/dfstab,
/etc/ftpusers
и некоторые другие.
На следующем этапе проверяются установки PATH и umask для пользователя root, находящиеся в файлах /.profile , /.login , /.cshrc .
Дополнительно можно проверить, годится ли текущая конфигурация для экранирующей машины между локальной сетью предприятия и открытой глобальной сетью.
Результаты выполнения программы ASET записываются в текстовом виде в файлах директории /usr/aset/reports .
Все корректировки, проводимые программой ASET, протоколируются, и систему можно в любой момент вернуть к прежнему состоянию, что страхует администратора от необратимых действий.
Программу ASET рекомендуется запускать раз в сутки. Условия запуска ASET задаются переменной PERIODIC_SCHEDULE конфигурационного файла /usr/aset/asetenv .
Как видно из вышеизложенного, утилита ASET является весьма полезной. Ее целесообразно использовать как на регулярной основе, так и после проведения значительных изменений в конфигурации системы. К сожалению, программа работает исключительно на системном уровне, поэтому нуждается в дополнениях, к примеру, для сетевого уровня защиты, естественным образом расширяющих встроенные средства ОС.
Разграничение доступа пользователей к ресурсам | Содержание | BSM SunSHIELD — инструмент системного аудита |
Copyright ╘ 1993-2000, Jet Infosystems |