Как защитить супер-пользователя в Linux

При постоянном росте количества электронных преступлений, наблюдаемом на сегодняшний день, для обеспечения электронной безопасности компании любого размера требуются значительные инвестиции.

При постоянном росте количества электронных преступлений, наблюдаемом на сегодняшний день, для обеспечения электронной безопасности компании любого размера требуются значительные инвестиции. Новые угрозы требуют предпринимателей держать руку на пульсе и постоянно вкладывать в использование новейших решений и методик, для того, чтобы надежно защитить себя.

Однако, не все предприниматели готовы к таким инвестициям, в результате чего некоторые виды угроз игнорируются. В то время как минимальные средства защиты от внешних атак и вредоносного программного обеспечения, такие как анти-вирус и брандмауэр, используются в каждой компании, не многие предприниматели готовы инвестировать в профессиональные инструменты для борьбы с внутренними угрозами, предпочитая полагаться в этом на встроенные средства системы.

В частности, широко распространено мнение, что система Linux менее уязвима к различным угрозам, однако даже здесь плохо защищенная привилегированная учетная запись представляет серьезную опасность. В этой статье мы рассмотрим, какие инструменты Linux предлагает для управления и защиты привилегированных учетных записей, как этими инструментами пользоваться и насколько они эффективны на практике.

Виды учетных записей

Linux использует несколько разных видов учетных записей:

  • Root пользователь (Супер-пользователь) — эта учетная запись похожа на администратора в Windows. Она предоставляет полный административный контроль над системой, включая возможность запускать любые команды, создавать пользователей, добавлять их в группы и управлять их полномочиями, и т.д.
  • Стандартный пользователь – эта учетная запись имеет ограниченный доступ к критическим системным ресурсам и важным административным командам. Для запуска определенных команд и приложений стандартному пользователю может потребоваться разрешение от супер-пользователя.
  • Системный пользователь – учетные записи, создающиеся специально для определенных приложений. По умолчанию они имеют тот же набор привилегий, что и стандартный пользователь. Такие учетные записи часто используются для того, чтобы изолировать процесс и тем самым защитить его, или же чтобы дать приложению определенные полномочия.

Linux предоставляет большую свободу при работе с учетными записями. Можно создать несколько супер-пользователей, назначить разным пользователям или их группам различные наборы привилегий по записи, чтению и выполнению файлов и папок, изменить владельцев этих объектов, и т.д. Однако, подобная широта возможностей также предоставляет большую свободу действий для злоумышленников, особенно если эти злоумышленники – ваши собственные системные администраторы.

Учетная запись супер-пользователя является наиболее уязвимым элементом системы, так как без нее невозможно запустить определенные программ и получить доступ к защищенной информации и настройкам. Поэтому в Linux существуют определенные способы защиты таких учетных записей, о которых мы поговорим ниже.

Защита привилегированных учетных записей в Linux

Любая учетная запись супер-пользователя в Linux должна быть защищена паролем. Операционная система попросит вас указать пароль к такой учетной записи при установке или при первом использовании. Тем не менее, само использование этой учетной записи несет в себе определенный риск безопасности и должно избегаться, особенно если у вас в компании работает несколько системных администраторов.

Гораздо безопаснее делегировать полномочия супер-пользователя учетной записи обычного пользователя. Сделать это можно с помощью двух команд – su и sudo. Несмотря на похожесть обоих команд с точки зрения функций, которые они выполняют, работают они по-разному.

Команда su предоставляет дополнительный слой защиты, требуя от пользователя знать два пароля для активации – пароль от своей собственной учетной записи и пароль от учетной записи супер-пользователя. Такой подход хорошо работает против внешних атак, но не очень эффективен против внутренних угроз.

Команда sudo не требует пароля от учетной записи супер-пользователя, достаточно просто знать пароль от учетной записи, используемой в данный момент. Вместо этого, супер-пользователь напрямую определяет какие пользователи могут использовать команду sudo. Данная команда также автоматически блокирует дополнительные полномочия, если пользователь остается неактивен в течении более чем 5 минут, предлагая дополнительную защиту на случай, если системный администратор отлучился, забыв завершить сессию.

Делегирование административных полномочий обычным пользователям позволяет ограничить контроль администратора над системой, а также дает возможность осуществлять мониторинг его действий. Например, так как каждый администратор имеет свою собственную учетную запись, легко обнаружить, когда администратор авторизуется в необычное время, что может свидетельствовать о взломе учетной записи или вредоносных действиях с его стороны.

Однако, по-настоящему эффективная защита от внутренних угроз невозможна без полноценного представления о всех действиях пользователя. Далее мы рассмотрим инструменты мониторинга, которые существуют в системе Linux и оценим их эффективность для обнаружения и предотвращения внутренних угроз.

Инструменты мониторинга

В Linux существует ряд команд, позволяющих супер-пользователям просмотреть данные об утилизации системных ресурсов, а также системные логи. Одним из примеров этого является популярная команда top, которая дает возможность просматривать информацию обо всех запущенных процессах в реальном времени. С помощью этой команды можно проверить какие системные ресурсы используются и какие процессы запущенны всеми пользователями системы, что позволяет получить определенное представление об их действиях.

Также Linux имеет встроенные инструменты по мониторингу сетевой активности, позволяющие не только перехватывать траффик, но и сохранять его для того, чтобы в дальнейшем провести более детальный анализ. Такой инструмент значительно эффективнее, чем стандартные средства Windows, позволяющие осуществлять мониторинг, но не позволяющие сохранять траффик.

Средства мониторинга, встроенные в Linux в целом достаточно эффективны и дают хорошее представление о состоянии системы. Тем не менее, они все-же, прежде всего, разработаны с целью поиска и устранения ошибок и эффективного администрирования системы, и не очень хорошо подходят для борьбы с внутренними угрозами. Данные средства не дают достаточного количества информации для надежного выявления внутренних атак.

Несмотря на большое количество встроенных возможностей по контролю и мониторингу привилегированных пользователей в Linux, организовать надежную защиту супер-пользователей, ограничившись только встроенными ресурсами системы практически невозможно. Если вы хотите действительно надежно защитить свои компьютеры на базе Linux как от внешних, так и от внутренних угроз, то вы обязаны использовать профессиональные системы контроля привилегированных пользователей, а также системы по мониторингу их действий. Используя комбинацию этих решений, вы сможете не только своевременно обнаружить и предотвратить взлом учетной записи, но и вредоносные действия со стороны своего собственного сотрудника.

Источник https://www.ekransystem.com/en

25.07.2016



Про инновации и не только


Net&IT



6 необычных материалов, используемых в 3D-печати6 необычных материалов, используемых в 3D-печати

Если вы интересуетесь 3D-технологией, вы&...

ARM разрабатывает универсальные процессоры для ускорения искусственного интеллектаARM разрабатывает универсальные процессоры для ус...

Быстрыми темпами продолжает развиваться индуст

Как устроена квантовая связь?Как устроена квантовая связь?

Обеспечение квантовой защиты для систем с

Виртуальные стены, реальные столкновения – как система виртуальной реальности симулирует физические барьерыВиртуальные стены, реальные столкновения – как си...

Что происходит, когда вы идете прямо в&nb...

Росатом создает инновационный 3D-принтерРосатом создает инновационный 3D-принтер

На IV Международном форуме высоких технологий ...

Ученые придумали технологию для создания голографических дисплеевУченые придумали технологию для создания голограф...

Разработки в сфере голографических диспле...

Withings Home Plus - смарт-камера, совместимая с Apple HomeKitWithings Home Plus - смарт-камера, совместимая с ...

Withings — компания, принадлежащая ...

Маленькие, да удаленькие: мобильник стоматолога и другие микроустройстваМаленькие, да удаленькие: мобильник стоматолога и...

Китайские ученые, работающие в США, созда...

NAS N2000 - доступное хранение данныхNAS N2000 - доступное хранение данных

Сложно представить себе предприятия без к...

Выгодная стратегия: SEO + PRВыгодная стратегия: SEO + PR

Одной оптимизации уже давно не доста...

Создан быстрый и экономичный процессор с 1000 ядерСоздан быстрый и экономичный процессор с 1000 яде

Ученые из Калифорнийского университета в&...

Микроволнам прочат большое будущее в квантовых компьютерахМикроволнам прочат большое будущее в квантовых ко...

Исследователи из университета Аалто проде...

Создан уникальный игровой контроллер: эластичный и прозрачный, как вторая кожаСоздан уникальный игровой контроллер: эластичный ...

Команда во главе с исследователем Чж...

Сервер HP ML350 Gen9 непринужденно справится с массивами данныхСервер HP ML350 Gen9 непринужденно справится с ма...

Серверы компании Нewlett-Рackard заслуженно сч...

HPE D3600 Disk Enclosure: инновации уже на порогеHPE D3600 Disk Enclosure: инновации уже на пороге

Многоуровневые хранилища информации работают к...

Ремонт iPhone и самостоятельное решение проблемыРемонт iPhone и самостоятельное решение проблемы

Телефоны Apple – одни из самых наде...

Разрушить, чтобы сохранитьРазрушить, чтобы сохранить

В западной науке набирает популярность тема ис...

HP ProLiant ML150 Gen9 — находка для бизнесаHP ProLiant ML150 Gen9 — находка для бизнеса

Новый высокопроизводительный сервер HP ProLian...

Инновационный фототранзистор сделает интернет быстрее и дешевлеИнновационный фототранзистор сделает интернет быс...

С каждым днем все больше людей выходит в&...

SIP-телефония - лучший выбор для малого бизнесаSIP-телефония - лучший выбор для малого бизнеса

Как обеспечить своей компании максимальный при...

Как защитить супер-пользователя в LinuxКак защитить супер-пользователя в Linux

При постоянном росте количества электронных пр...

Стоечный сервер IBM System x3650 M5Стоечный сервер IBM System x3650 M5

Результатом объединения научных и техниче...

Мультимедийная система “Mitsubishi Connect” — современное управление навигацией для владельцев смартфонов на базе AndroidМультимедийная система “Mitsubishi Connect” — сов...

Знаменитое детище компании Mitsubishi &md...

Smart телевизоры Panasonic — идеальная передача цвета и интеллектуальное управление настройкамиSmart телевизоры Panasonic — идеальная передача ц...

Высокие технологии развиваются все стреми...

Полезные черви защитят компьютеры от сетевых атакПолезные черви защитят компьютеры от сетевых атак

Компьютерные черви — это враги...

Эффективно экономить с комфортом – это ПЗКЭффективно экономить с комфортом – это ПЗК

Сама по себе идея использования для ...

Биомедицинские устройства когда-нибудь сделают наблюдение пациентов полностью удаленнымБиомедицинские устройства когда-нибудь сделают на...

Потребительский рынок сегодня наводняет широки...

Пополнение личного баланса WebMoney проще, чем кажетсяПополнение личного баланса WebMoney проще, чем ка...

WebMoney по справедливости может похваста...

Поиск на сайте

Магазин

  
Silicon Power Slim S55 120GB (SP120GBSS3S55S25) SSD-накопитель4290.00 руб.

Знатоки клуба инноваций



ТОП - Новости мира, инновации

Наземные беспилотные роботы: будущее или настоящее?Наземные беспилотные роботы: будущее или настоящее?
Мастерские инноваций открылись в Казани на три дняМастерские инноваций открылись в Казани на три дня
Достаточно ли часа зарядки для нормального веса?Достаточно ли часа зарядки для нормального веса?
Незнание языков – не помеха для успехаНезнание языков – не помеха для успеха
Инвестиции в инновации: инертность преодоленаИнвестиции в инновации: инертность преодолена
Новости науки в массы следует нести в упрощенном форматеНовости науки в массы следует нести в упрощенном форма
В Татарстане на базе КФУ открылся инновационный центр Cisco. На очереди еще одинВ Татарстане на базе КФУ открылся инновационный центр
«Загадочный для многих медийщиков ресурс» снова в строю«Загадочный для многих медийщиков ресурс» снова в стро
Спасти Тасманского ДьяволаСпасти Тасманского Дьявола
Британский ученый выяснил, кому реже одобряют кредитБританский ученый выяснил, кому реже одобряют кредит
Исследована галактика с активным формирование звездИсследована галактика с активным формирование звезд
Классическая музыка полезна для новорожденныхКлассическая музыка полезна для новорожденных
Шизофреники непредсказуемы и способны на убийствоШизофреники непредсказуемы и способны на убийство
Щепотка калия позволит лучше сохранять водородЩепотка калия позволит лучше сохранять водород
Солнечная угроза наталкивает на мысли о переселении на МарсСолнечная угроза наталкивает на мысли о переселении на

Новости компаний, релизы

Торговые стратегии Форекс, механизм работы и экономическая эффективностьТорговые стратегии Форекс, механизм работы и экономиче
Выбор видеокарты зависит от потребностей и целиВыбор видеокарты зависит от потребностей и цели
Почему перфекционистам сложно получать стабильную прибыль на форекс?Почему перфекционистам сложно получать стабильную приб
Микрофинансовая организация Vivus: доверие надо заслужитьМикрофинансовая организация Vivus: доверие надо заслуж
Тестирование ПО: необходимость и польза услугиТестирование ПО: необходимость и польза услуги