Гальвин Питер. The Solaris Security

Подождите немного. Документ загружается.

Первая строка предотвратит выполнение стека. Необходимо учесть, что некоторые

программы, могут законно пробовать выполнить код в стеке. Эти программы перестанут

работать. В принципе, если система установлена для одной цели например Web-сервер,

Вы можете без опаски использовать эту установку. Вторая строка заставляет систему

записывать все события, когда кто-то пробует запустить порграмму для взлома.

3) Какие программы я должен заменить или добавить?

3.1) inetd?

inetd может быть заменен на ftp://qiclab.scn.rain.com/pub/security/xinetd* для

того, чтобы записывать события. (Эта программа не поставляется с Solaris-ом)

3.2) ifstatus?

ifstatus может определить, находятся ли ваши сетевые интерфейсы в прослушивающем

режиме. Проблема в том, что для Solaris-а, она не годится, так как он не устанавливает

статус прослушивания сетевой карты.

3.3) xntp?

xntp более защищенная версия службы сетевого времени - ntp(network time protocol).

Начиная с Solaris 2.6, SUN поставляет xntpd вместе с операционной системой.

3.4) sendmail?

Самый современная (и обычно наиболее безопасная) версия sendmail всегда доступна из

Berkeley. Она включает в себя пакет smrsh. В этот пакет включена так же программа smrsh

(sendmail restricted shell), которая вызывается sendmail-ом для обработки любых

вызываемых программ.

Предупреждение: в оригинальной версии SUN-a, имеются специфические изменения,

который будут потеряны, если Вы установите Berkeley sendmail. Также, SUN-овские

заплаты для sendmail-а имеют обыкновение заменять все чужие версии своим кодом.

После установки заплат, всегда проверяйте, остался ли на месте установленный Вами

sendmail.

SUN поставляет версию sendmail-а 8.9.1b с системами Solaris 7.

3.5) rpcbind?

Желательно поставить более защищенный rpcbind вместо стандартного. Эта версия

предоставляет tcpwrapper-подобную функциональность и отключают пересылку

запросов NFS через rpcbind. Последние SUN-овские заплаты также решают эту

проблему.

3.6) Программы проверки паролей?

К сожалению, passwd+ и npasswd еще не выпущены для Solaris-а. Они заменяют простые

программы установки паролей, которые не проверяют сложность вводимых слов.

Имеется программа, подобная npasswd но только для NIS-сервиса: ftp://autoinst.acs.uci.edu/

pub/uci-yppasswd . Согласно автору (Дэну Стромбергу), код для проверки плохих паролей

маленький и можно просто скопировать его в другие программы.

Начиная с Solaris 2.6 и выше, можно улучшить или заменить механизм аутентификации,

используемый Solaris-ом с помощью средств PAM(ПАМ). За дополнительной

информацией можно обратиться по адресам: http://www.sun.com/solaris/pam/,

http://www.sun.com/software/events/presentations/ENP2.Lai/ENP2.Lai.html, и Pete's Wicked

World.

Довольно просто установить модуль PAM, который будет проверять вводимые пароли,

чтобы пользователи не использовали слова из словаря (так же можно установить свои

правила).

Для использования модулей PAM, нет необходимости заменять какие-либо компоненты

ОС, включая passwd, login и т.д.

3.7) crack?

Программа crack может быть использована для того, чтобы подобрать пароли используя

информацию из Вашего файла /etc/shadow. Она требует очень много машинного времени,

но зато сообщит 10% паролей после первого же запуска.

3.8) ftp?

wu-ftpявляется наиболее распространенной заменой для стандартного ftpd-сервиса. Этот

пакет обеспечивает оличную запись событий и управление доступом.

3.9) fix_modes?

fix-modes, это shell-скрипт, который корректирует права на файлы и каталоги, после

установки системы Solaris.

3.10) noshell?

Программа noshellможет быть использованна как оболочка для пользователей, которые

никогда не должны входить в систему. Так же она записывает все попытки их

использовать. (не входит в стандартную поставку Solaris-a)

3.11) bind?

Стандартный bind для Solaris-а содержал в себе некоторые проблемы безопасности (См.

CERT в разделе 4) Эти проблемы были исправленны, но Solaris-овский bind всегда

содержит какие-либо недостатки. Последняя версия альтернативного bind-а всегда

доступна здесь: ISC.

3.12) netcat?

NetCat, это инструмент, который может оказаться полезным как для руководителей

службы безопасности, так и для хакеров. Это - гибкий "создатель" сетевых подключений,

который позволяет исследовать произвольные порты на различных системах.

4) Какие еще полезные ресурсы я должен знать?

4.1) Списки рассылки компании Sun?

SUN обеспечивает рассылку бюллетеня по вопросам безопасности, посредством

электронной почты. Чтобы подписаться, пошлите email по адресу "security-alert@sun.com"

с полем Subject, содержащим фразу "subscribe CWS Ваш_обратный_e-mali_адрес" Старые

выпуски бюллетеня доступны здесь: ftp://ftp.uu.net/systems/sun/sun-dist. Телефон

контактной службы: (415) 688-9081

4.2) Обновления от Sun-а?

Заплатки, связанные с безопасностью систем доступны по адресам:

http://sunsolve1.sun.com (для людей, имеющих договор с SUN-ом)и ftp:// ftp.uu.net/systems/

sun/sun-dist (для всех остальных). А так же через http-интерфейс: http://sunsolve.Sun.COM/

pub-cgi/patchpage.pl

4.3) Другие ответы на вопросы по системам Solaris?

Отличный Solaris FAQ можно найти здесь:

http://www.wins.uva.nl/pub/solaris/solaris2/Разумеется, он на английском.

4.4) Полезные группы новостей?

Полезными можно считать все группы новостей, содержащие слова "sun" в своих

названиях :-)

comp.security.announce

4.5) Полезные списки рассылки?

SUN поддерживает список рассылки о последних обновлениях "patch club" в котором

рассылается детальная информация по последним заплаткам. Так же, каждую неделю

рассылаются краткие сводки. Все, кто подписаны на этот список рассылки получают т.н.

"EarlyNotifier Alerts" - важную информацию об этих обновлениях. Для того, чтобы

подписаться на этот список рассылки, пошлите письмо по адресу SunSolve-

EarlyNotifier@Sun.COM

Если Вы хотите подписаться на списки рассылки связанные с защитой информации,

подпишитесь на список рассылки best-of-security: best-of-security-request@suburbia.net. Так

же можно получать краткие версии этих рассылок: best-of-security-d-request@suburbia.net.

Большинство проблем защиты возникает из-за ошибок в операционных системах или

прикладных программах. Для того, чотбы быть всегда в курсе событий, подпишитесь на

список рассылки Bugtraq. В этом списке обсуждаются последние найденные дырки. Скотт

Часин был первым организатором этого списка. Чтобы подписаться на bugtraq, пошлите

письмо по адресу send mail to listserv@netspace.org содержащее фразу "subscribe bugtraq".

Архив списка адресатов доступен в http://www.geek-girl.com/bugtraq/index.html.

"Florida SunFlash" - закрытый список рассылки, только для владельцев систем SUN.

Обычно по нему рассылаются официальные сообщения для прессы от SNU-a и его

партнеров. Чтобы получить информацию относительно доступности этих сообщений из

Вашей страны, пошлите запрос в infosunflash@Sun.COM Для того, чтобы подписаться,

пошлите запрос по адресу sunflash-request@Sun.COM Архивы можно найти на сайтах

solar.nova.edu, ftp.uu.net, sunsite.unc.edu, src.doc.ic.ac.uk и ftp.adelaide.edu.au

Так же имеется список рассылки для администраторов систем. Он немодерируемый и

служит обычно для срочных сообщений. Перед тем как посылать туда сообщения,

подпишитесь и немного почитайте, о чем там пишут. Так же необходимо прочесь правила

работы списка. Подписаться можно по адресу: sun-managers@sunmanagers.ececs.uc.edu

Список расслыки "Sneakers" создан для обсуждения ЗАКОННЫХ продуктов и

экспериментов в тестировании различного рода брандмауэров Internet, а так же других

программ защиты TCP/IP.

Вы можете подписаться на список рассылки CIAC, заполнив эту форму.

Список рассылки по брандмауэрамсоздан для дискуссий, отсносящихся только к его теме.

Для того, чтобы узнать об остальных списках рассылки, посетите Security Mailing Lists

FAQ на сайте ISS. Здесь вы найдете аннотируемый список многих списков рассылки,

связанных с защитой систем и информацию о том, как на них подписаться.

4.6) Полезные статьи?

Прошлые выпуски статей питера Гальвина в бюллетене SunWorld Solaris Security

известные как "Pete's Wicked World", можно найти по адресу

http://www.sunworld.com/sunworldonline/common/swol-backissues-columns.html#security

Еще некоторые статьи Кэролин Феннели: Wizard's Guide to Security.

4.7) Полезные WWW-сайты?

Возможно, наибольшее количество информации можно найти на сайте COAST.

Компания ISS продает сканеры безопасности, а так же предоставляет полезную

информацию на своем сайте. Особенно полезным является страница Security FAQs.

The Computer Security Institute публикует обзоры в которых отслеживается текущая

информация используемая профессионалами в области защиты данных.

Группа Qualix публикует полезную информацию о Firewall-1 FAQ

Компания Memco продает программное обеспечение, обеспечивающее улучшение защиты

компьютеров.

Университет Хьюстона предоставляет свой собственный Информационный справочник по

безопасности. Особенно рекомендуется тем, кто составляет политику безопасности для

своего сайта.

Если Вам интересна тема защиты Web-сервиса, почитайте WWW Security FAQ. Так же

может показаться интересным страница Security Issues in WWW.

Bellcore продает некоторые программы для защиты.

Trusted Systems проводит консультирование и обучение по безопасности.

V-One продает продукты аутентификации и шифрования.

Информация о PGP.

Лучший сервис по обнаружению дырок и по рекомендациям защиты предоставляет CERT.

Там же можно найти иPhrack Newsletter

Еще один полезный крякерский сайт: http://www.geocities.com/Area51/5537/.

Неплохой список сравнений брандмауэров доступен в свободном и коммерческом виде.

Интересная коллекция ссылок по безопасности: http://www.fish.com/security/.

5) Как я могу сделать свою станцию Solaris более защищенной?

Имеются несколько шагов для установки "защищенного" Web-сервера. Но что можно

считать "защищенным"? Любая машина, которая доступна извне - не может считаться

защищенной на 100% Подсоединяя ее к сети Internet, Вы открываете дверь и позволяете

любому зайти и посмотреть. Зато, можно защитить дверь, обить ее железом, поставить

горилл и наблюдать за тем, чтобы посетители находились только в одной комнате.

Устанавливая систему со всеми предосторожностями, добавляя системы мониторинга и

аудитинга, Вы можете сделать свой WWW-сервер намного более защищенным.

Предыдущая версия этого документа была создана из двух статей Питера Галвина и Хала

Померанза - SunWorld, Апрель 1996 и SunWorld, Май 1996

Насколько должен быть защищен web-сервер? Ответ - "очень защищен!". Постоянно

происходят неприятные инциденты с заменой информации на популярных серверах.

Некоторое количество существующих инструментальных средств могут позволить

любителям стать настоящими террористами. Хорошей новостью для вас может быть тот

факт, что, если Вы сможете отразить атаки популярных средств взлома, то 90 процентов

хакеров пойдут искать другой, менее защищенный сервер.

Следующие методы могут сделать Solaris-систему, очень защищенной, но они должны

объединяться с продуманной сетевой архитектурой, использующей брандмауэры или

фильтрующие маршрутизаторы (нет никакого смысла в управлении доступом по IP-

адресу, если хакер может послать Вам пакеты с подделанными адресами). Подобная

архитектура может только надежно существовать только вместе со всесторонней

стратегией защиты, покрывающей всю Вашу организацию.

Кроме того, никакая система не может считаться полностью защищенной. Любые услуги

для пользователей (web-сервера и анонимный FTP), которые Вы запустили на своем

серере, уменьшают общую защиту системы. Не устанавливайте другое программное

обеспечение, не перечисленное в нижеследующем списке. Эта машина, как

предполагается, должна быть именно защищенной, а не удобной в управлении.

5.0) Список мер по защите WWW-сервера

Используйте этот список, чтобы убедиться, что ваша станция установлена настолько

надежно насколько это возможно. Не стесняйтесь добавлять к контрольному списку

специфические для Вашего сайта меры, и присылайте нам свои дополнения, если они

касаются общего сервиса.

 Отключите систему от сети, пока она не готова для использования.

 Установите только основную операционную систему и добавьте только

необходимые программные пакеты.

 Установите рекомендуемые заплатки защиты.

 Уменьшите количество запускаемых сервисов, удалив ненужные файлы запуска

(только осторожно!)

 Запретите перенаправление IP-пакетов в /etc/init.d/inetinit.

 Добавьте скрипт в системные файлы начальной загрузки, для исправления прав на

/tmp (кроме Solaris 2.5).

 Посмотрите, какие процессы запущены, с помощью програмы ps.

 Запускайте sendmail из cron-а, чтобы иногда проверять список отправляемых

писем.

 Установите и отконфигурируйте tcp_wrappers, S/Key, wu-ftp, и tripwire как

необходимо для вашей работы.

 Удалите всё, кроме wu-ftp и telnet из /etc/inetd.conf, и отредактируйте

/etc/hosts.allow для ограничения машин, разрешенных использовать этот сервис.

 С помощью syslog-а, включите запись всех событий, касающихся доступа к

компьютеру через telnet.

 Где возможно, монтируйте файловые системы в режиме read-only и no-suid.

 Сделайте /noshell входом по умолчанию для всех пользователей, исключая

пользователей root и access (см. ниже).

 Удалите /etc/auto_*, /etc/dfs/dfstab, /var/spool/cron/crontabs/* (кроме файла root).

 Используйте статическую маршрутизацию.

 Протестируйте свою систему, включая разрешенный и запрещенный доступ а так

же запись событий.

 Рассмотрите замену продуктов sendmail, syslog, bind, и crontab на более

защищенные версии.

 Установите xntp для точного определения времени.

 Рассмотрите разрешения доступа в систему.

 Продолжайте наблюдать и тестировать www-сервер.

Даже если Вы выполните только некоторые из этих шагов защиты, ваш Web-сервер будет

намного более защищен, нежели после стандартной установки. Но, для того, чтобы он был

действительно защищен, доделайте до конца работу и используйте все рекомендованные

инструментальные средствам и методы.

5.1) Настройка оборудования

Не подключите систему к сети прежде, чем она установлена и защищена. Теоретически,

некоторые хакеры могут войти и оставить черный ход, пока Вы пытаетесь защитить

сервер. Есть зарегистрированные случаи, когда хакеры взламывали систему за те пять

минут, пока она была подключена к сети Internet.

Вам будет необходим CD-ROM, чтобы установить систему и ленточное устройство или

дисковод, для копирования программ и файлов, созданных Вами, на другие сервера. Эти

инструкции подходят для систем Solaris 2.5. Если Вы используете другую версию ОС,

процесс защиты может отличаться.

5.2) Установка операционной системы

Начните с последней версии Solaris 2.X. Каждая версия Solaris-а делается более

защищенной, чем предыдущая.

Solaris довольно гибкая система и предоставляет большое количество удобств, которые

делают вашу работу проще. К сожалению, все эти дополнительные функциональные

возможности также делают проще и работу хакера. Когда Вы пытаетесь создать

защищенную систему, самый лучший способ - установить минимум, а потом

устанавливать заплатки одну за другой, настолько, насколько это необходимо. Такая

упорщенная конфигурация ОС позволит загружаться и работать компьютеру быстрее, а

так же оставит меньше возможностей для аварийной остановки.

При установке Solaris, минимальная версия OS, которую Вы можете выбрать - кластер

установки Core SPARC. Фактически, даже этот кластер имеет слишком много лишних

свойств. Этот кластер - то, что Вы должны сначала установить на своей станции. После

того, как Вы выбрали Core SPARC в меню установки, выберите Customize и добавьте

Terminal Information пакет, который обеспечивает поддержу виртуальных терминалов,

таких как xterm.

Одно из преимуществ установки Core SPARC состоит в том, что требуется намного

меньше дискового пространства чем при остальных типах установки. Следующая таблица

разделов соответствует машинам, с загруженным кластером Core SPARC:

s0: / 256 megabytess1: swap 256 megabytes

s2: overlap

s3:

s4:

s5:

s6: /local ??? megabytes (rest of the drive)

s7:

/var достаточно большой, чтобы хранить логи и информацию аудитинга. Swap подходит

для Вашего оборудования, но дополнительное место в нем, позволит избежать атак типа

"denial of service" (отказ в обслуживании).

Теперь, используя другой компьютер зайдите по FTP сюда: sunsolve.sun.com/pub/patches и

заберите "рекомендованные" обновления и заплатки для Solaris 2.x

(2.X_Recommended.tar.Z). Запишите этот пакет на ленту, вставьие ее в "защищаемый"

сервер и установите заплатки. Некоторые заплаты не будут установленны, так как

программное обеспечение, которое они заменяют, не включено в кластер Core SPARC.

5.3) Изменение настроек

При работе с Solaris-ом, Вы управляете порядком запуска программ при начальной

загрузке, добавляя и удаляя файлы /etc/rc[S0-3].d (файлы в /etc/rc[S0-3].d являются ничем

иным, как ссылками на файлы в /etc/init.d). Многие из этих скриптов запуска выполняют

процессы, которые Вам абсолютно не нужны. Например, сервер NFS.

Займитесь удалением всех посторонних файлов запуска из /etc/rc2.d. Мы советуем Вам

удалить всё из /etc/init.d, за исключением следующих файлов:

K15rrcd S05RMTMPFILES K15solved S20sysetup

S72inetsvc S99audit S21perf

S99dtlogin K25snmpd S30sysid.net S99netconfig

K50pop3 S74syslog S75cron S92rtvc-config

K60nfs.server K65nfs.client S69inet

K92volmgt README S95SUNWmd.sync

S01MOUNTFSYS S71sysid.sys S88utmpd S95rrcd

Этот список будет больше или меньше, в зависимости от того, имеете лы Вы графическую

плату в машине, используете ли Solstice DiskSuite, и так далее. Удалите эти файлы и в /etc/

rc3.d

Для Solaris 2.4, отредактируйте /etc/init.d/inetinit и добавьте следующие строки ближе к

концу файла:

ndd -set /dev/ip ip_forward_directed_broadcasts 0ndd -set /dev/ip

ip_forward_src_routed 0

ndd -set /dev/ip ip_forwarding 0

Эти строки выключают свойство, называемое IP forwarding. Практически каждая машина,

которая использует работу с сетями, основанными на IP, способна действовать как

маршрутизатор. Это означает, что нехорошие товарищи могут перенаправить пакеты

через вашу машину во внутренюю сеть или на другие защищенные сервера, которые

"доверяют" Вашему! Отключите это свойтсво и спите спокойно.

Так же, установите переменную ядра "ip_strict_dst_multihoming": ndd -set /dev/ip

ip_strict_dst_multihoming 1

Тогда Solaris будет просто выбрасывать пакеты, которые пришли с одного интерфейса, но

предназначены для другого. Это предотвратит атаку типа "host spoofing".

* Для Solaris 2.5, создав файл /etc/notrouter, Вы выключите пересылку IP-пакетов.Для

обратного включения маршрутизации просто удалите /etc/notrouter и перегрузите сервер.

Важно обратить внимание на то, что между тем, как Вы создали файл и фактическим

запрещением маршрутизации остается немного времени, в течении которого, система

может пересылать пакеты.

Для Solaris 2.4, добавьте новый скрипт, с названием /etc/init.d/tmpfix:

#!/bin/sh#ident "@(#)tmpfix 1.0 95/08/14"

if [ -d /tmp ]

then

/usr/bin/chmod 1777 /tmp

/usr/bin/chgrp sys /tmp

/usr/bin/chown root /tmp

и затем выполните: ln /etc/init.d/tmpfix /etc/rc2.d/S79tmpfix. Таким образом, этот

скрипт будет запускаться при загрузке. Он предотвращает атаки, которые могут позволить

хакеру получить права администратора на сервере. Для Solaris 2.5 этот скрипт не нужен.

(См. "Re-tooling" SunWorld Октябрь 1995.)

Хороший совет от Каспера Дика. Удостоверьтесь что все скрипты запуска, выполняются с

соответствующими значениями umask, чтобы файлы, которые они создают, не были

доступны на запись группе или всем подряд. Вот самый легкий метод сделать это:

umask 022 # make sure umask.sh gets created with the proper mode

echo "umask 022" > /etc/init.d/umask.sh

for d in /etc/rc?.d

ln /etc/init.d/umask.sh $d/S00umask.sh

done

Обратите внимание: расширение ".sh", после имени скрипта, важно. Если Вы не

определите это расширение, то скрипт будет выполнен в т.н. "sub-shell" (вторичная

оболочка), а не в основной оболочке, которая выполняет все другие скрипты.

Удалите /etc/auto_*. Удаление /etc/init.d/autofs должно предотвратить авто-монтирование

при загрузке и нет смысла сохранять эти файлы.

Удалите /etc/dfs/dfstab. И еще раз: очистка /etc/init.d должна предотвратить запуск NFS-

сервера на машине, но все же лучше удалить и dfstab.

Удалите файлы crontab. Вы должны удалить все файлы из

директории/var/spool/cron/crontabs, кроме файла root.

Используйте статическую маршрутизацию. Создайте файл /etc/defaultrouter вместо того,

чтобы полагаться на информацию от routed (который может быть обманут хакером).

Если Вам необходимо использовать различные маршрутизаторы, лучше запускайте

/usr/bin/route из /etc/init.d/inetinit, а не routed.

Когда Вы закончили - перегрузите машину. Всегда проверяйте изменения файла

начальной загрузки. Когда машина загрузится, просмотрите загруженные процессы ps -

ef. Экран должен выглядеть примерно так:

UID PID PPID C STIME TTY TIME COMD root 0 0 55

Mar 04 ? 0:01 sched

root 1 0 80 Mar 04 ? 22:44 /etc/init -

root 2 0 80 Mar 04 ? 0:01 pageout

root 3 0 80 Mar 04 ? 33:18 fsflush

root 9104 1 17 Mar 13 console 0:00 /usr/lib/saf/ttymon -g -h -p

myhost console login: -T sun -d /dev/console -l co

root 92 1 80 Mar 04 ? 5:15 /usr/sbin/inetd -s

root 104 1 80 Mar 04 ? 21:53 /usr/sbin/syslogd

root 114 1 80 Mar 04 ? 0:11 /usr/sbin/cron

root 134 1 80 Mar 04 ? 0:01 /usr/lib/utmpd

root 198 1 25 Mar 04 ? 0:00 /usr/lib/saf/sac -t 300

root 201 198 33 Mar 04 ? 0:00 /usr/lib/saf/ttymon

root 6915 6844 8 13:03:32 console 0:00 ps -ef

root 6844 6842 39 13:02:04 console 0:00 -sh

Заметьте, что сервис /usr/lib/sendmail не загружен - это специальное свойство. Процессы,

которым понадобится послать почту из системы могут и будут вызывать sendmail

непосредственно (возможно, через некоторую другую программу, типа mailx). Но Вы не

должны запускать сервис sendmail, который "вешается" на 25-й порт и обеспечивает

немедленную доставку почты. Вам нужно добавить в crontab файл пользователя root

следующую строку:

0 * * * * /usr/lib/sendmail -q > /var/adm/sendmail.log 2>&1

Эта строка будет вызывать sendmail каждый час, для того, чтобы он обработал всю

очередь писем, ждущих его.

5.4) Установка программного обеспечения других производителей

Вам понадобятся следующие три программы, для того, чтобы защитить сервер и для того,

чтобы им управлять без опасений за перехват Вашего пароля. Из-за того, что на

защищенном сервере не должно быть никакого компилятора, Вам необходимо

скомпилировать эти программы на каком-либо другом копьютере, после чего, перенести

их на Ваш сервер.

Первый программный пакет это TCP Wrappers, написанный Витсом Венемой. Из

исходного кода необходимо скомпилировать маленький бинарник, называющийся tcpd.

Он может использоваться для контролирования доступа к различным службам (наподобие

telnet и ftp). tcpd запускается из /etc/inetd.conf. Контроль доступа может быть

реализован по IP-адресу, доменному имени и по различным другим параметрам. tcpd

может оповестить Вас о различных ситуациях (например, о неавторизованных

соединениях) с помощью syslog-а или электронной почты.

Затем, сконфигурируйте S/Key для удаленного защищенного доступа. См Q5.6 о

подробностях конфигурирования S/Key.

Если Вы планируете разрешить ftp-доступ на Ваш защищенный сервер (все равно, для

публичного или административного доступа), Вы должны получить копию WU-Archive

ftp -сервиса . Необходимо взять версию 2.4 или больше, так как предыдущие версии

имеют дыры в защите. Если Вы собираетесь использовать ftp для административного

доступа, (а не только для anonymous ftp), Вы должны добавить поддержку S/Key в

бинарник ftp-сервера. На Crimelabs S/Key distribution, Вы найдете файл

skey/misc/ftpd.c, который покажет Вам, как сделать поддержку S/Key для предыдущей

версии ftp. Вы должны сделать изменения в своей версии, по их образу и подобию. Так

же можете почитать wu-ftp FAQ

Скомпилируйте и установите пакеты (tcpd, wu-ftpd, и keyinit, keysu, keysh из

S/Key) в/usr/local/bin. При компилировании wu-ftpd, Вы должны указать каталоги для

конфигурации и для логов: мы рекомендуем Вам установить конфигурационную

директорию в /etc и файлы записи событий в /var (так как они имеют обыкновение быстро

расти). См Q5.7 с более точными инструкциями по конфигурированию wu-ftp.

Используйте /noshell для всех пользователей, которые не должны "входить" в систему. Эта

неработающая оболочка запрещает вход пользователя. Ура, товарищи! Теперь-то хакеры

никогда не смогут получить доступ через этих пользователей! :)

5.5) Ограничение доступа к системе

Когда Ваша машина наконец будет подкючена в сеть, наверно, Вы захотите использовать

telnet и ftp для доступа к ней. Заметьте, что для того, чтобы сделать машину более

защищенной, Вы не должны разрешать эти сервисы. Это значит, что Вы сможете

зарегистрироваться на сервере только с консоли и переносить файлы на ленте или

дискете.

Сервисы telnet и ftp запускаются процессом inetd. Его конфигурационный файл

/etc/inet/inetd.confсодержит много других сервисов, кроме telnet и ftp. Лучше, просто

удалите это файл и создайте новый, содержащий только следующие строки: