Как защитить супер-пользователя в Linux

При постоянном росте количества электронных преступлений, наблюдаемом на сегодняшний день, для обеспечения электронной безопасности компании любого размера требуются значительные инвестиции.

При постоянном росте количества электронных преступлений, наблюдаемом на сегодняшний день, для обеспечения электронной безопасности компании любого размера требуются значительные инвестиции. Новые угрозы требуют предпринимателей держать руку на пульсе и постоянно вкладывать в использование новейших решений и методик, для того, чтобы надежно защитить себя.

Однако, не все предприниматели готовы к таким инвестициям, в результате чего некоторые виды угроз игнорируются. В то время как минимальные средства защиты от внешних атак и вредоносного программного обеспечения, такие как анти-вирус и брандмауэр, используются в каждой компании, не многие предприниматели готовы инвестировать в профессиональные инструменты для борьбы с внутренними угрозами, предпочитая полагаться в этом на встроенные средства системы.

В частности, широко распространено мнение, что система Linux менее уязвима к различным угрозам, однако даже здесь плохо защищенная привилегированная учетная запись представляет серьезную опасность. В этой статье мы рассмотрим, какие инструменты Linux предлагает для управления и защиты привилегированных учетных записей, как этими инструментами пользоваться и насколько они эффективны на практике.

Виды учетных записей

Linux использует несколько разных видов учетных записей:

• Root пользователь (Супер-пользователь) — эта учетная запись похожа на администратора в Windows. Она предоставляет полный административный контроль над системой, включая возможность запускать любые команды, создавать пользователей, добавлять их в группы и управлять их полномочиями, и т.д.
• Стандартный пользователь – эта учетная запись имеет ограниченный доступ к критическим системным ресурсам и важным административным командам. Для запуска определенных команд и приложений стандартному пользователю может потребоваться разрешение от супер-пользователя.
• Системный пользователь – учетные записи, создающиеся специально для определенных приложений. По умолчанию они имеют тот же набор привилегий, что и стандартный пользователь. Такие учетные записи часто используются для того, чтобы изолировать процесс и тем самым защитить его, или же чтобы дать приложению определенные полномочия.

Linux предоставляет большую свободу при работе с учетными записями. Можно создать несколько супер-пользователей, назначить разным пользователям или их группам различные наборы привилегий по записи, чтению и выполнению файлов и папок, изменить владельцев этих объектов, и т.д. Однако, подобная широта возможностей также предоставляет большую свободу действий для злоумышленников, особенно если эти злоумышленники – ваши собственные системные администраторы.

Учетная запись супер-пользователя является наиболее уязвимым элементом системы, так как без нее невозможно запустить определенные программ и получить доступ к защищенной информации и настройкам. Поэтому в Linux существуют определенные способы защиты таких учетных записей, о которых мы поговорим ниже.

Защита привилегированных учетных записей в Linux

Любая учетная запись супер-пользователя в Linux должна быть защищена паролем. Операционная система попросит вас указать пароль к такой учетной записи при установке или при первом использовании. Тем не менее, само использование этой учетной записи несет в себе определенный риск безопасности и должно избегаться, особенно если у вас в компании работает несколько системных администраторов.

Гораздо безопаснее делегировать полномочия супер-пользователя учетной записи обычного пользователя. Сделать это можно с помощью двух команд – su и sudo. Несмотря на похожесть обоих команд с точки зрения функций, которые они выполняют, работают они по-разному.

Команда su предоставляет дополнительный слой защиты, требуя от пользователя знать два пароля для активации – пароль от своей собственной учетной записи и пароль от учетной записи супер-пользователя. Такой подход хорошо работает против внешних атак, но не очень эффективен против внутренних угроз.

Команда sudo не требует пароля от учетной записи супер-пользователя, достаточно просто знать пароль от учетной записи, используемой в данный момент. Вместо этого, супер-пользователь напрямую определяет какие пользователи могут использовать команду sudo. Данная команда также автоматически блокирует дополнительные полномочия, если пользователь остается неактивен в течении более чем 5 минут, предлагая дополнительную защиту на случай, если системный администратор отлучился, забыв завершить сессию.

Делегирование административных полномочий обычным пользователям позволяет ограничить контроль администратора над системой, а также дает возможность осуществлять мониторинг его действий. Например, так как каждый администратор имеет свою собственную учетную запись, легко обнаружить, когда администратор авторизуется в необычное время, что может свидетельствовать о взломе учетной записи или вредоносных действиях с его стороны.

Однако, по-настоящему эффективная защита от внутренних угроз невозможна без полноценного представления о всех действиях пользователя. Далее мы рассмотрим инструменты мониторинга, которые существуют в системе Linux и оценим их эффективность для обнаружения и предотвращения внутренних угроз.

Инструменты мониторинга

В Linux существует ряд команд, позволяющих супер-пользователям просмотреть данные об утилизации системных ресурсов, а также системные логи. Одним из примеров этого является популярная команда top, которая дает возможность просматривать информацию обо всех запущенных процессах в реальном времени. С помощью этой команды можно проверить какие системные ресурсы используются и какие процессы запущенны всеми пользователями системы, что позволяет получить определенное представление об их действиях.

Также Linux имеет встроенные инструменты по мониторингу сетевой активности, позволяющие не только перехватывать траффик, но и сохранять его для того, чтобы в дальнейшем провести более детальный анализ. Такой инструмент значительно эффективнее, чем стандартные средства Windows, позволяющие осуществлять мониторинг, но не позволяющие сохранять траффик.

Средства мониторинга, встроенные в Linux в целом достаточно эффективны и дают хорошее представление о состоянии системы. Тем не менее, они все-же, прежде всего, разработаны с целью поиска и устранения ошибок и эффективного администрирования системы, и не очень хорошо подходят для борьбы с внутренними угрозами. Данные средства не дают достаточного количества информации для надежного выявления внутренних атак.

Несмотря на большое количество встроенных возможностей по контролю и мониторингу привилегированных пользователей в Linux, организовать надежную защиту супер-пользователей, ограничившись только встроенными ресурсами системы практически невозможно. Если вы хотите действительно надежно защитить свои компьютеры на базе Linux как от внешних, так и от внутренних угроз, то вы обязаны использовать профессиональные системы контроля привилегированных пользователей, а также системы по мониторингу их действий. Используя комбинацию этих решений, вы сможете не только своевременно обнаружить и предотвратить взлом учетной записи, но и вредоносные действия со стороны своего собственного сотрудника.

Источник https://www.ekransystem.com/en

25.07.2016