Domů

Nejzákladnější bezpečnostní prvky Solarisu

  • : Function split() is deprecated in /home/web/vydrar.net/subdomains/www/modules/filter/filter.module on line 1206.
  • : Function split() is deprecated in /home/web/vydrar.net/subdomains/www/modules/filter/filter.module on line 1206.
  • : Function split() is deprecated in /home/web/vydrar.net/subdomains/www/modules/filter/filter.module on line 1206.
  • : Function split() is deprecated in /home/web/vydrar.net/subdomains/www/modules/filter/filter.module on line 1206.
  • : Function split() is deprecated in /home/web/vydrar.net/subdomains/www/modules/filter/filter.module on line 1206.
  • : Function split() is deprecated in /home/web/vydrar.net/subdomains/www/modules/filter/filter.module on line 1206.
  • : Function split() is deprecated in /home/web/vydrar.net/subdomains/www/modules/filter/filter.module on line 1206.
  • : Function split() is deprecated in /home/web/vydrar.net/subdomains/www/modules/filter/filter.module on line 1206.
  • : Function split() is deprecated in /home/web/vydrar.net/subdomains/www/modules/filter/filter.module on line 1206.
  • : Function split() is deprecated in /home/web/vydrar.net/subdomains/www/modules/filter/filter.module on line 1206.
  • : Function split() is deprecated in /home/web/vydrar.net/subdomains/www/modules/filter/filter.module on line 1206.
  • : Function split() is deprecated in /home/web/vydrar.net/subdomains/www/modules/filter/filter.module on line 1206.
3. Únor 2006 - 7:55 od Honza

Bezpečnost operačního systému je často diskutované téma. V tomto článku je něco málo o tom, jak zaznamenávat/kontorlovat přístup do systému.

Záznam pokusů o přihlášení
V každém opračním systému je třeba zaznamenávat pokusy uživatelů o přihlášení do systému. I Solaris má tuto funkcionalitu, i když je defaultně vypnutá.

Aby jste mohli zaznamenávat chybné pokusy uživatelů, je třeba vytvořit soubor loginlog v adresáři /var/adm/. Tento soubor musí vlastnit uživatel root (s právem zápisu a čtení) a skupina sys.

tj jako root provedete následující:

touch /var/adm/loginlog
chgrp sys /var/adm/loginlog
chmod 700 /var/adm/loginlog

Standardně se pokud o chybné přihlášení loguje jakmile dojde k pátému špatnému pokusu.
Po pátém pokusu vás také systém definitivně vykopne, tj neobjeví se dotaz na login:.

Pokud chcete nastavit vykopnutí dříve, můžete tak udělat v souboru /etc/default/login a to změnou parametru RETRIES=počet, kde počet je počtem chybných pokusů.

Kdo je přilogován do systému?
Chcete-li zjistit kdo je do systému přilogován, použijte příkaz who.
výsledkem příkazu je následující výpis:

root       pts/1        Jan 24 18:59    (draslik.iforce.cz)

pts/1 reprezentuje vzdálený login do systému.
Místo pts může také být console nebo term.
Console znamená že tento uživatel je do systému přihlášen přes zařízení, na které je posílán výpis z boot a chybové zprávy.
Pokud je zařízení označeno jako term, jedná se o fyzické zařízení jako seriový port, nebo modem.

Zobrazení informací o lokálně nebo vzdáleně přilogovaném uživateli
Příkaz finger zobrazuje login, domácí adresář, čas loginu, atd...
použití:

finger -m username
finger -m username@remotehostname

Pokud se Vám uživatel již odlogoval, najdete ho pomocí příkazu last. Toto je výsledek:

root     pts/0        notebook.iforce.cz  Wed Jan 25 07:51   still logged in   
root     pts/1        192.168.1.14        Tue Jan 24 19:58 - 21:06  (01:08)    
reboot   system boot  2.6.11-1-k7         Wed Jan 18 14:48         (6+17:05) 
root     pts/3        bigbook.iforce.cz   Tue Jan 24 11:08 - 19:19  (08:11)    
root     pts/3        bigbook.iforce.cz   Tue Jan 24 11:05 - 11:05  (00:00)

Pomocí last user nebo last reboot můžete vybrat jen informace, které vás zajmají.

Zobrazení přilogovaných uživatelů na vzdálených systémech

Příkaz rusers využívá démona rpc.rusersd, který je po instalaci Solarisu standardně nastartován. Pokud zavoláte příkaz rusers, tak ten pošle broadcast rusersd protokolu a pokud je někde na stejném segmentu sítě stroj s tímto démonem, tak vám zpět odpoví. (Výpis rusers -l).

root         stroj-151.iforce.:console  Jan 23 14:33   40:58
root         stroj-253:pts/1            Jan 25 07:46         (notebook.iforce.)
root         server.iforce.c:console    Dec 27 14:44  689:20

Jak se přepnout z jednoho uživatele na jiného.

Na serveru by mělo být zakázáno přímé přihlášení uživatele root, protože se jedná o uživatele se všemi právy. Tento zákaz je především v zájmu bezpečnosti serveru. Také je celkem jasné, že pokud spustím program pod neprivilegovaným uživatelem, mohu tak napáchat méně škody :). Pro přepnutí uživatele slouží příkaz su. Pokud se z normálního uživatele chcete stát rootem, napíšete su, zadáte správné heslo a systém vás přehlásí na roota. Pokud se chcete z roota stát jiným uživatelem, napíšete su loginuživatele a protože jste root, heslo zadávat nemusíte.
Pokud použijete su - loginuživatele, tak se pomlčka zde speckifikuje kompletní login, včetně nastavení proměnných uživatele.
Pro ověření kdo jste použijte příkaz /usr/ucb/whoami
pzn.: V adresáři /usr/ucb/ jsou umístěny programy, které Sun označil za " deprecated".
Aby jste se odhlásili zpět do svého původního účtu použijte příkaz exit.

Monitorovaní přihlašování přes su
Změna uživatele přes příkaz su lze logovat.
Vytvořte soubor /var/adm/sulog a pak v /etc/default/su zkontrolujte nastaveni parametru SULOG. Pokud bude vše ok, tak po použití příkazu su bude v logu asi takovýto záznam:

SU 02/01 18:44 + pts/1 root-userr
SU 02/01 18:47 + console userr-root

Závěr
Jistě jste si všimli, že se přes defaultně zapnuté služby dostanete k informacím, které mohou uškodit bezpečnosti vašeho systému. Proto nezapomeňte démony těchto služeb na produkčních systémech vypnout :)
tak to je pro dnešek vše přátelé.....