Next Previous Contents

3. Физическая безопасность

Первым "уровнем" безопасности, который вы должны принять во внимание, является физическая безопасность систем вашего компьютера. Кто имеет прямой физический доступ к вашей машине? Должен ли он/она его иметь? Можете ли вы защитить вашу машину от их возможно вредного действия? Должны ли вы это делать?

Степень физической безопасности, которая нужна в вашей системе, очень сильно зависит от вашей ситуации и/или бюджета.

Если вы домашний пользователь, вероятно вам не нужна сильная защита (хотя вам может понадобиться защитить вашу машину от вредных детей или надоедливых родственником). Если вы в лаборатории, то вам нужна уже значительно большая защита, но пользователям все еще будет нужна возможность работать на машинах. Многие из последующих разделов помогут в этом. Если вы в офисе, вам может понадобиться, а может и нет, обезопасить вашу машину на несколько часов или пока вы вышли. В некоторых компаниях оставить терминал незащищенным считается непростительным проступком.

Обычные методы физической безопасности, такие как запирание дверей, кабелей, шкафов, а также видео сопровождение, являются хорошей идеей, но выходят за рамки этого документа.

3.1 Запирание компьютера

Многие современные компьютерные корпуса содержат "замок". Обычно это гнездо на передней панели корпуса, вставив ключ в которое вы можете запереть либо отпереть компьютер. Запирание корпуса может помочь предупредить воровство вашего ПК, или вскрытие корпуса и прямое манипулирование/воровство компонентов вашего ПК. Это также может иногда предотвратить загрузку кем-либо компьютера со своей дискеты или другого оборудования.

Эти замки делают различные вещи в зависимости от установленной материнской платы и конструкции корпуса. На многих ПК они устроены так, что если замок заперт, то вы должны фактически сломать корпус, чтобы попасть внутрь. На некоторых других они сделаны так, что вы не сможете подключить новую клавиатуру и мышь. Посмотрите в инструкцию к вашей материнской плате или корпусу для более детальной информации. Это иногда может быть очень полезным качеством, даже если замки обычно очень низкого качества и легко могут быть вскрыты взломщиком с помощью отмычек.

Некоторые корпуса (по большей мере спарки/sparcs/ и маки/macs/) имеют dongle на задней стенке и если вы через него пропустите кабель, то взломщик будет вынужден либо его отрезать, либо сломать корпус, чтобы попасть внутрь. Использование с этим висячего или комбинированного замка является хорошим средством устрашения для желающих своровать ваш компьютер.

3.2 Безопасность BIOS

BIOS является самым нижним уровнем программного обеспечения, которое конфигурирует или управляет вашим х86 оборудованием. LILO и другие методы загрузки Linux обращаются к BIOS, чтобы узнать как загружать ваш компьютер. Другое оборудование, на котором можно запускать Linux, имеет подобное программное обеспечение (OpenFirmware на маках/macs/ и новых санах/suns/, sun boot prom и другие). Вы можете использовать ваш BIOS для предотвращения взломщиком перезапуска компьютера и управления вашей Linux системой.

Многие BIOSы ПК, работающих под Linux/x86, позволяют установить стартовый пароль. Это не предоставляет полной безопасности (BIOS может быть перезаписан или удален, если кто-нибудь заберется внутрь корпуса), но может быть хорошим сдерживающим фактором (например, это заберет время и оставит следы взлома).

Многие x86 BIOSы позволяют вам установить различные другие меры безопасности. Посмотрите в руководство по вашему BIOSу или загляните в него во время очередного перезапуска. Некоторыми примерами являются: запрет загрузки с дискеты, а также назначение пароля некоторым пунктам BIOSа.

На Linux/Sparc ваш SPARC EEPROM может быть установлен так, чтобы при запуске спрашивать пароль. Это должно задержать взломщика.

Примечание: если у вас сервер и вы установили загрузочный пароль, то ваша машина не сможет без вмешательства загрузиться. Помните, что вы должны войти в ввести пароль после сбоев электропитания. ;(

3.3 Безопасность стартового загрузчика (boot loader)

Различные загрузчики Linux также имеют возможность установки стартового пароля. Используя lilo обратите внимание на свойства "restricted" и "password". "password" позволит вам установить стартовый пароль. "restricted" позволит загружать систему до тех пор пока не встретиться установленная опция lilo: сообщение (подобно 'single').

Помните, что когда вы устанавливаете все эти пароли - вы должны помнить их. :) Также помните, что все эти пароли задержат определенного взломщика. Однако это может не помешать кое-кому загрузиться с дискеты и примонтировать ваш корневой каталог. Если вы скомбинируете средства безопасности вместе с возможностями стартового загрузчика, вы можете предотвратить загрузку с дискеты в вашем BIOSе, а также назначить пароль в BIOSe.

Если кто-либо имеет информацию о мерах безопасности в различных стартовых загрузчиках, мы бы с удовольствием услышали о них (grub, silo, milo, linload, и др.).

3.4 xlock и vlock

Если вы время от времени покидаете ваше рабочее место, было бы неплохо иметь возможность "запереть" вашу консоль так, чтобы никакой злоумышленник не мог подсмотреть вашу работу. Есть две программы, которые решают эту задачу: xlock and vlock.

Xlock это замок X экрана. Скорее всего он включен во все Linux дистрибутивы, которые поддерживают Х. Чтобы узнать о нем и его опциях больше, посмотрите man страницы, но в общем вы можете запустить xlock с любого xterm на вашей консоли, при этом он "запрет" дисплей и запросит пароль, если вы захотите продолжить работу.

vlock простая маленькая программа, которая позволяет вам "запереть" некоторые или все виртуальные консоли вашей Linux системы. Вы можете "запереть" только ту, на которой работаете, или их все. Если вы "запрете" только одну, кто-то может войти и использовать консоль, он просто не сможет использовать вашу vty, пока вы не отопрете ее. vlock распространяется с RedHat Linux, но ваш дистрибутив может отличаться.

Конечно, запирание вашей консоли помешает кое-кому прямо нанести вред вашей работе, однако не помешает перезагрузить вашу машину или каким- либо другим образом разрушить вашу работу. Оно также не предотвратит попыток доступа к вашей машине с других машин в сети и последующих проблем.

3.5 Определение нарушений физической безопасности

Первое, что сразу замечается,- это то, что машина была перегружена. Поскольку Linux надежная и стабильная система, то перегружаться она должна только когда ВЫ ее выключаете для обновления ОС, манипуляций с компонентами ПК, или подобных случаях. Если ваша машина была перегружена без вас, включайте сигнал тревоги. Многие из способов, которыми ваша защита может быть сломана, требуют от взломщика перегрузки или выключения атакуемой машины.

Проверьте наличие следов взлома на корпусе и ближнем окружении. Хотя многие взломщики скрывают за собой всякие следы присутствия стирая системные журналы, все таки будет неплохо все осмотреть на предмет каких-либо нарушений.

Вот некоторые вещи, которые нужно проверить в ваших системных журналах:

  • Короткие или незаконченные системные журналы.
  • Системные журналы содержат странные временные метки.
  • Системные журналы содержат неверные права доступа или права собственности.
  • Присутствуют записи перегрузки или перезапуска сервисов.
  • Отсутствуют системные журналы.
  • Точка входа или регистрация su со странного места.

Мы обсудим содержание системных журналов позже.


Next Previous Contents

Наш баннер
Вы можете установить наш баннер на своем сайте или блоге, скопировав этот код:
RSS новости