diff options
Diffstat (limited to 'documentation/content/ru/books/handbook/security/_index.adoc')
| -rw-r--r-- | documentation/content/ru/books/handbook/security/_index.adoc | 22 |
1 files changed, 11 insertions, 11 deletions
diff --git a/documentation/content/ru/books/handbook/security/_index.adoc b/documentation/content/ru/books/handbook/security/_index.adoc index c2faf73ac1..882ad1312b 100644 --- a/documentation/content/ru/books/handbook/security/_index.adoc +++ b/documentation/content/ru/books/handbook/security/_index.adoc @@ -76,11 +76,11 @@ endif::[] [[security-intro]] == Введение -Безопасность — это ответственность каждого. Слабое звено в любой системе может позволить злоумышленникам получить доступ к важной информации и нанести ущерб всей сети. Один из основных принципов информационной безопасности — триада КИД, которая означает Конфиденциальность, Целостность и Доступность информационных систем. +Безопасность — это ответственность каждого. Слабое звено в любой системе может позволить злоумышленникам получить доступ к важной информации и нанести ущерб всей сети. Один из основных принципов информационной безопасности — триада КЦД, которая означает Конфиденциальность, Целостность и Доступность информационных систем. -Триада КИД (конфиденциальность, целостность, доступность) — это фундаментальная концепция безопасности в компьютерных системах, так как клиенты и пользователи ожидают, что их данные будут защищены. Например, клиент ожидает, что информация о его кредитной карте хранится безопасно (конфиденциальность), что его заказы не будут изменены без его ведома (целостность) и что он в любое время сможет получить доступ к информации о своих заказах (доступность). +Триада КЦД (конфиденциальность, целостность, доступность) — это фундаментальная концепция безопасности в компьютерных системах, так как клиенты и пользователи ожидают, что их данные будут защищены. Например, клиент ожидает, что информация о его кредитной карте хранится безопасно (конфиденциальность), что его заказы не будут изменены без его ведома (целостность) и что он в любое время сможет получить доступ к информации о своих заказах (доступность). -Для обеспечения КИД специалисты по безопасности применяют стратегию "глубокой эшелонированной защиты". Идея глубокой эшелонированной защиты заключается в добавлении нескольких уровней безопасности, чтобы предотвратить отказ одного уровня и полный крах всей системы безопасности. Например, системный администратор не может просто включить межсетевой экран и считать сеть или систему безопасными. Необходимо также проводить аудит учетных записей, проверять целостность бинарных файлов и убеждаться, что вредоносные инструменты не установлены. Для реализации эффективной стратегии безопасности необходимо понимать угрозы и способы защиты от них. +Для обеспечения КЦД специалисты по безопасности применяют стратегию "глубокой эшелонированной защиты". Идея глубокой эшелонированной защиты заключается в добавлении нескольких уровней безопасности, чтобы предотвратить отказ одного уровня и полный крах всей системы безопасности. Например, системный администратор не может просто включить межсетевой экран и считать сеть или систему безопасными. Необходимо также проводить аудит учетных записей, проверять целостность бинарных файлов и убеждаться, что вредоносные инструменты не установлены. Для реализации эффективной стратегии безопасности необходимо понимать угрозы и способы защиты от них. Что такое угроза в контексте компьютерной безопасности? Угрозы не ограничиваются удаленными злоумышленниками, которые пытаются получить доступ к системе без разрешения из удаленного местоположения. Угрозы также включают сотрудников, вредоносное программное обеспечение, несанкционированные сетевые устройства, стихийные бедствия, уязвимости безопасности и даже конкурирующие компании. @@ -100,7 +100,7 @@ endif::[] [TIP] ==== -Убедитесь, что у пользователя `root` установлен надежный пароль и что этот пароль не используется совместно. +Убедитесь, что у пользователя `root` установлен надёжный пароль и что этот пароль не используется совместно. ==== Для запрета входа в учетные записи существуют два метода. @@ -124,7 +124,7 @@ endif::[] [[security-passwords]] === Хеши паролей -Пароли — это неизбежное зло в мире технологий. Когда их использование необходимо, они должны быть сложными, а для хранения зашифрованной версии в базе данных паролей следует использовать надежный механизм хеширования. FreeBSD поддерживает несколько алгоритмов, включая SHA256, SHA512 и Blowfish, в своей библиотеке `crypt()`. Подробности можно найти в man:crypt[3]. +Пароли — это неизбежное зло в мире технологий. Когда их использование необходимо, они должны быть сложными, а для хранения зашифрованной версии в базе данных паролей следует использовать надёжный механизм хеширования. FreeBSD поддерживает несколько алгоритмов, включая SHA256, SHA512 и Blowfish, в своей библиотеке `crypt()`. Подробности можно найти в man:crypt[3]. По умолчанию используется SHA512, и его не следует заменять на менее безопасный алгоритм хеширования, но можно перейти на более безопасный алгоритм Blowfish. @@ -377,7 +377,7 @@ FreeBSD предоставляет встроенную поддержку ба Рекомендуется создавать спецификации для каталогов, содержащих исполняемые файлы и конфигурационные файлы, а также для любых каталогов с чувствительными данными. Обычно спецификации создаются для [.filename]#/bin#, [.filename]#/sbin#, [.filename]#/usr/bin#, [.filename]#/usr/sbin#, [.filename]#/usr/local/bin#, [.filename]#/etc# и [.filename]#/usr/local/etc#. ==== -Следующий пример создает набор хешей `sha512` — по одному для каждого системного бинарного файла в [.filename]#/bin# — и сохраняет эти значения в скрытый файл в домашней директории пользователя [.filename]#/home/user/.bin_chksum_mtree#: +Следующий пример создает набор хешей `sha512` — по одному для каждого системного бинарного файла в [.filename]#/bin# — и сохраняет эти значения в скрытый файл в домашнем каталоге пользователя [.filename]#/home/user/.bin_chksum_mtree#: [source, shell] .... @@ -1048,7 +1048,7 @@ U2FsdGVkX18idooW6e3LqWeeiKP76kufcOUClh57j8U= [[kerberos5]] == Kerberos -Kerberos — это сетевой протокол аутентификации, изначально созданный Массачусетским технологическим институтом (MIT) для безопасной аутентификации в потенциально враждебной сети. Протокол Kerberos использует надежное шифрование, позволяя как клиенту, так и серверу подтверждать свою подлинность без передачи незашифрованных секретов по сети. Kerberos можно охарактеризовать как систему проверки подлинности через посредника (прокси) и как систему аутентификации с доверенным третьим лицом. После аутентификации пользователя в Kerberos его передаваемые данные могут шифроваться для обеспечения конфиденциальности и целостности информации. +Kerberos — это сетевой протокол аутентификации, изначально созданный Массачусетским технологическим институтом (MIT) для безопасной аутентификации в потенциально враждебной сети. Протокол Kerberos использует надёжное шифрование, позволяя как клиенту, так и серверу подтверждать свою подлинность без передачи незашифрованных секретов по сети. Kerberos можно охарактеризовать как систему проверки подлинности через посредника (прокси) и как систему аутентификации с доверенным третьим лицом. После аутентификации пользователя в Kerberos его передаваемые данные могут шифроваться для обеспечения конфиденциальности и целостности информации. Единственная функция Kerberos — обеспечение безопасной аутентификации пользователей и серверов в сети. Он не предоставляет функций авторизации или аудита. Рекомендуется использовать Kerberos вместе с другими методами безопасности, которые обеспечивают сервисы авторизации и аудита. @@ -1227,7 +1227,7 @@ Aug 27 15:37:58 2013 Aug 28 01:37:58 2013 krbtgt/EXAMPLE.ORG@EXAMPLE.ORG Первым шагом в настройке сервера для использования аутентификации Kerberos является проверка правильности конфигурации в файле [.filename]#/etc/krb5.conf#. Версию с KDC можно использовать как есть или пересоздать на новой системе. -Затем создайте файл [.filename]#/etc/krb5.keytab# на сервере. Это основная часть процесса "керберизации" службы — она соответствует созданию общего секрета между службой и KDC. Секрет представляет собой криптографический ключ, хранящийся в "keytab". Keytab содержит хост-ключ сервера, который позволяет ему и KDC проверять подлинность друг друга. Этот файл должен быть передан на сервер безопасным способом, так как если ключ станет общедоступным, безопасность сервера может быть нарушена. Обычно [.filename]#keytab# генерируется на доверенной машине администратора с помощью `kadmin`, а затем безопасно передается на сервер, например, с помощью man:scp[1]; его также можно создать непосредственно на сервере, если это соответствует выбранной политике безопасности. Очень важно, чтобы keytab был передан на сервер безопасным способом: если ключ станет известен третьей стороне, эта сторона сможет выдавать себя за любого пользователя на сервере! Использование `kadmin` непосредственно на сервере удобно, так как запись для хостового принципала в базе данных KDC также создается с помощью `kadmin`. +Затем создайте файл [.filename]#/etc/krb5.keytab# на сервере. Это основная часть процесса "керберизации" службы — она соответствует созданию общего секрета между службой и KDC. Секрет представляет собой криптографический ключ, хранящийся в "keytab". Keytab содержит хост-ключ сервера, который позволяет ему и KDC проверять подлинность друг друга. Этот файл должен быть передан на сервер безопасным способом, так как если ключ станет общедоступным, безопасность сервера может быть нарушена. Обычно [.filename]#keytab# генерируется на доверенной машине администратора с помощью `kadmin`, а затем безопасно передаётся на сервер, например, с помощью man:scp[1]; его также можно создать непосредственно на сервере, если это соответствует выбранной политике безопасности. Очень важно, чтобы keytab был передан на сервер безопасным способом: если ключ станет известен третьей стороне, эта сторона сможет выдавать себя за любого пользователя на сервере! Использование `kadmin` непосредственно на сервере удобно, так как запись для хостового принципала в базе данных KDC также создается с помощью `kadmin`. Конечно, `kadmin` — это керберизованный сервис; для аутентификации в сетевой службе необходим билет Kerberos, но чтобы убедиться, что пользователь, запускающий `kadmin`, действительно присутствует (и его сеанс не был захвачен), `kadmin` запросит пароль для получения нового билета. Учётная запись, аутентифицирующаяся в службе kadmin, должна иметь разрешение на использование интерфейса `kadmin`, как указано в [.filename]#/var/heimdal/kadmind.acl#. Подробнее о создании списков контроля доступа см. в разделе «Удалённое администрирование» в `info heimdal`. Вместо включения удалённого доступа к `kadmin` администратор может безопасно подключиться к KDC через локальную консоль или man:ssh[1] и выполнять администрирование локально с помощью `kadmin -l`. @@ -1304,7 +1304,7 @@ jdoe@example.org Основное различие между реализациями MIT и Heimdal заключается в том, что `kadmin` имеет разные, но эквивалентные наборы команд и использует разные протоколы. Если KDC — MIT, то версия `kadmin` от Heimdal не может использоваться для удалённого администрирования KDC, и наоборот. -Клиентские приложения также могут использовать немного другие параметры командной строки для выполнения тех же задач. Рекомендуется следовать инструкциям на сайте http://web.mit.edu/Kerberos/www/[http://web.mit.edu/Kerberos/www/]. Обратите внимание на пути: порт MIT по умолчанию устанавливается в [.filename]#/usr/local/#, а системные приложения FreeBSD будут запускаться вместо версий MIT, если `PATH` указывает на системные директории в первую очередь. +Клиентские приложения также могут использовать немного другие параметры командной строки для выполнения тех же задач. Рекомендуется следовать инструкциям на сайте http://web.mit.edu/Kerberos/www/[http://web.mit.edu/Kerberos/www/]. Обратите внимание на пути: порт MIT по умолчанию устанавливается в [.filename]#/usr/local/#, а системные приложения FreeBSD будут запускаться вместо версий MIT, если `PATH` указывает на системные каталоги в первую очередь. При использовании MIT Kerberos в качестве KDC на FreeBSD выполните следующие команды, чтобы добавить необходимые конфигурации в [.filename]#/etc/rc.conf#: @@ -1356,7 +1356,7 @@ Kerberos позволяет пользователям, хостам и служ TCP Wrappers — это система контроля сетевого доступа на основе хоста. Перехватывая входящие сетевые запросы до их поступления к реальному сетевому сервису, TCP Wrappers определяет, разрешен или запрещен доступ для исходного IP-адреса, на основе предопределенных правил в конфигурационных файлах. -Однако, хотя TCP Wrappers обеспечивают базовый контроль доступа, их не следует рассматривать как замену более надежным мерам безопасности. Для всесторонней защиты рекомендуется использовать передовые технологии, такие как межсетевые экраны, вместе с надлежащими методами аутентификации пользователей и системами обнаружения вторжений. +Однако, хотя TCP Wrappers обеспечивают базовый контроль доступа, их не следует рассматривать как замену более надёжным мерам безопасности. Для всесторонней защиты рекомендуется использовать передовые технологии, такие как межсетевые экраны, вместе с надлежащими методами аутентификации пользователей и системами обнаружения вторжений. [[tcpwrappers-initial-configuration]] === Начальная настройка @@ -1521,7 +1521,7 @@ Capsicum можно использовать для разделения при [NOTE] ==== -Если требуется более детальный учёт, обратитесь к crossref:audit[audit,Аудит событий безопасности]. +Если требуется более детальный учёт, обратитесь к разделу crossref:audit[audit,Аудит событий безопасности]. ==== === Включение и использование учёта процессов |