Модуль Securelnetd

Мы уже рассматривали супердемоны inetd и xinetd. Программа Bastille позволяет отклонять запросы на подключение от служб, запущенных через демон inetd, и контролировать доступ с помощью демона xinetd, а не файла /etc/hosts . allow программы TCP_Wrappers.

Отклонение всех запросов через демоны inetd/xinetd и программу TCP_Wrappers

Задавая соответствующий вопрос, программа Bastille хочет узнать, следует ли по умолчанию отклонять запросы на подключение от всех служб, которые могут быть включены через демон inetd или xinetd. Если ответить Yes, программа внесет соответствующие изменения в файлы /etc/xinetd.d/*, а также в файл /etc/hosts.allow, запретив все службы, контролируемые программой TCP Wrappers. В этом случае доступ со стороны нужных узлов придется разрешать явно.

Стандартным ответом на запрос будет No (не отключать по умолчанию службы, контролируемые демонами inetd/xinetd и программой TCP_Wrappers).

Запрет утилиты telnet

Утилита telnet передает пароль пользователя по сети в текстовом виде, что может привести к краже пароля. Если запретить утилиту telnet, программа Bastille внесет соответствующие изменения в файл /etc/xinetd.d/telnet или /etc/inetd. conf.

Стандартным ответом на запрос будет Yes (запретить утилиту telnet).

Запрет протокола FTP

Как и в случае утилиты telnet, утилита ftp передает пароль пользователя в текстовом виде. Безопасной ее альтернативой является программа scp пакета SSH. Если отключить службу FTP, программа Bastille внесет соответствующие изменения в файл /etc/xinetd.d/ftp или /etc/inetd.conf. Следует сказать, что некоторые FTP- серверы можно сконфигурировать на использование одноразовых паролей.

Стандартным ответом на запрос будет Yes (запретить утилиту ftp).

Отображение предупреждающего сообщения перед приглашением на регистрацию

Многие эксперты в области безопасности сходятся во мнении, что перед выдачей приглашения на регистрацию следует отображать сообщение, предупреждающее пользователей о недопустимости несанкционированного доступа в систему. Предполагается, что это послужит веским аргументом, если дело о несанкционированном доступе будет рассматриваться в суде. Текст сообщения хранится в файле /etc/banners/prototype и копируется в файл /etc/issue, чтобы его можно было поменять. Предупреждающие сообщения широко применяются в программе TCP_Wrappers.

Стандартным ответом на запрос будет Yes (отображать предупреждающее сообщение перед регистрацией в системе).

Включение в предупреждающее сообщение информации о владельце системы

Если ответить Yes на предыдущий запрос, появится поле, в котором можно ввести название компании или имя и фамилию ответственного лица. Эта информация включается в текст предупреждающего сообщения.

По умолчанию в сообщение включается строка "its owner".

Напоминание о демоне inetd

В HP-UX программа Bastille спрашивает, следует ли напоминать о необходимости просмотра конфигурационного файла демона inetd и отключения ненужных служб. Это хорошая идея в любой операционной системе, если ставится задача максимально защитить систему.

Стандартным ответом на запрос будет Yes (добавить в список TODO напоминание о необходимости просмотра конфигурационного файла демона inetd и отключения ненужных служб).

Запрос


Ведете ли вы блог?

Да
Нет
Планирую


Результаты опроса

Новостной блок