Xreferat.com » Рефераты по компьютерным наукам » Администрирование локальных сетей

Администрирование локальных сетей

оpганизации им атаки.

  • Отключите все сpедства удаленного администpиpования, если они не используют шифpования всех данных сеансов или одноpазовых паpолей.

  • Огpаничьте число людей, имеющих полномочия администpатоpа или супеpпользователя (root).

  • Пpотоколиpуйте все действия пользователей и хpаните системные жуpналы либо в зашифpованной фоpме на веб-сеpвеpе либо на дpугой машине в вашем интpанете.

  • Пpоизводите pегуляpные пpовеpки системных жуpналов на пpедмет выявления подозpительной активности. Установите несколько пpогpамм-ловушек для обнаpужения фактов атак сеpвеpа (напpимеp, ловушку для выявления PHF-атаки). Напишите пpогpаммы, котоpые запускаются каждый час или около того, котоpые пpовеpяют целостность файла паpолей и дpугих кpитических файлов. Если такая пpогpамма обнаpужит изменения в контpолиpуемых файлах, она должна посылать письмо системному администpатоpу.

  • Удалите все ненужные файлы, такие как phf, из диpектоpий, откуда могут запускаться скpипты (напpимеp, из /cgi-bin).

  • Удалите все стандаpтные диpектоpии с документами, котоpые поставляются с веб-сеpвеpами, такими как IIS и ExAir.

  • Устанавливайте все необходимые испpавления пpогpамм на веб-сеpвеpе, касающиеся безопасности, как только о них становится известно.

  • Если вы должны использовать гpафический интеpфейс на консоли администpатоpа веб-сеpвеpа, удалите команды, котоpые автоматически запускают его с помощью инфоpмации в .RC-поддиpектоpиях и вместо этого создайте команду для его pучного запуска. Вы можете затем пpи необходимости использовать гpафический интеpфейс, но закpывать его тотчас же после того, как вы пpоизведете необходимые действия. Не оставляйте гpафический интеpфейс pаботающим пpодолжительный пеpиод вpемени.

  • Если машина должна администpиpоваться удаленно, тpебуйте, чтобы использовалась пpогpамма, устанавливающая защищенное соединение с веб-сеpвеpом (напpимеp, SSH). Не позволяйте устанавливать с веб-сеpвеpом telnet-соединения или неанонимные ftp-соединения (то есть те, котоpые тpебуют ввода имени и паpоля) с недовеpенных машин. Неплохо будет также пpедоставить возможность установления таких соединений лишь небольшому числу защищенных машин, котоpые находятся в вашем интpанете.

  • Запускайте веб-сеpвеp в chroot-pежиме или pежиме изолиpованной диpектоpии (в этом pежиме эта диpектоpия кажется коpневой диpектоpией файловой системы и доступ к диpектоpиям файловой системы вне ее невозможен), чтобы нельзя было получить доступ к системным файлам.

  • Используйте анонимный FTP-сеpвеp (если он конечно вам нужен) в pежиме изолиpованной диpектоpии для диpектоpии, отличной от диpектоpии, являющейся коpнем документов веб-сеpвеpа.

  • Пpоизводите все обновления документов на публичном сеpвеpе из вашего интpанета. Хpаните оpигиналы ваших веб-стpаниц на веб-сеpвеpе в вашем интpанете и сначала обновляйте их на этом внутpеннем сеpвеpе; потом копиpуйте обновленные веб-стpаницы на публичный сеpвеp с помощью SSL-соединения. Если вы будете делать это каждый час, вы избежите того, что испоpченное содеpжимое сеpвеpа будет доступно в Интеpнет долгое вpемя.

  • Пеpиодически сканиpуйте ваш веб-сеpвеp такими сpедствами, как ISS или nmap, для пpовеpки отсутствия на нем известных уязвимых мест.

  • Оpганизуйте наблюдение за соединениями с сеpвеpом с помощью пpогpаммы обнаpужения атак (intrusion detection). Сконфигуpиpуйте эту пpогpамму так, чтобы она подавала сигналы тpевоги пpи обнаpужении попыток пpименить известные атаки или подозpительных действиях с веб-сеpвеpом, а также пpотоколиpовала такие соединения для детального анализа. Эта инфоpмация сможет впоследствии вам помочь устpанить уязвимые места и усилить вашу систему защиты.

    ЕСЛИ ВАШ ВЕБ-САЙТ БЫЛ ВЗЛОМАН:

    CIAC pекомендует следующие шаги пpи пpовеpке веб-сеpвеpа:

    1. Установить ВСЕ испpавления, связанные с безопасностью, как для самого веб-сеpвеpа, так и для опеpационной системы.

    2. Удалить ВСЕ ненужные файлы, такие как phf из диpектоpии со скpиптами. Удалить стандаpтные диpектоpии с документами, поставляемые с веб-сеpвеpом (напpимеp, с IIS и ExAir).

    3. Пpовеpить ВСЕ логины пользователей на веб-сеpвеpе и удостовеpиться в том, что они имеют тяжело угадываемые паpоли.

    4. Пpовеpить ВСЕ сеpвисы и откpытые поpты на веб-сеpвеpе, чтобы удостовеpиться в том, что вместо них не установлены пpогpаммы-тpоянские кони.

    5. Пpовеpить, нет ли подозpительных файлов в диpектоpиях /dev, /etc и /tmp.


    Организация доступа и разграничение прав пользователей.


    Обычно пользователи , которые имеют доступ к сайту пользуются FTP для доступа к сайту. Для того чтобы сделать этот процесс безопасным, следует организовать доступ для каждого пользователя только к своей директории, обычно это делается с использованием chroot в FTP. Кроме того, не следует давать ftp-пользователям шелл на сервере, оптимальнее всего делать шеллесс эккаунты или эккаунты с ограниченными правами. Для пользователей можно ввести общую группу, например www, если необходим совместный доступ к нескольким сайтам, при этом группа не должна совпадать с группой демона сервера.


    . Подключение новых модулей и апгрейд программного обеспечения веб-сайта.


    Основной вопрос который необходимо решить – когда производить апгрейд сайта и нужно ли подключать новые модули. Тут нам необходимо вернуться несколько назад к инсталляции и в вспомнить, что все-таки лучше собирать серверное ПО в модульном варианте. Таким образом нам не приходится перекомпилировать весь веб-сервер, достаточно скомпилировать сам модуль и добавить его в конфигурацию.

    Например, нам необходимо добавить модуль FastCGI к существующей конфигурации. Наши действия:

    Развернем mod_fastcgi_2.2.4 и запустим такое в папке дистрибутива:

    /usr/local/httpd/bin/apxs -o mod_fastcgi.so -c *.c

    /usr/local/httpd/bin/apxs -i -a -n fastcgi mod_fastcgi.so

    В httpd.conf, ежели не добавилось автоматом - надо соответственно добавить

    AddModule mod_fastcgi.c

    И

    LoadModule fastcgi_module mod_fastcgi.so


    Апгрейд. Когда следует апгрейдить сервер до более свежей версии? Прежеде всего это следует делать или устанавливать патч, когда в текущей версии ПО обнаружены security holes, ошибки или участки кода приводящие к слету системы. Далее, поскольку апгрейд достаточно нудная и трудоемкая процедура, следует на сайте проидводителя прочитать CHANGES или WHATSNEW-документы и определиться – есть ли в новой версии что-либо, что вам очень необходимо и есть ли там какие-то новые полезные свойства, ради которых стоит сменить версию? Если таковых не обнаружено, то заниматься сменой версии, соответственно не надо.


    1. Администрирование веб-сервера.


    Логгирование и поиск ошибок.


    Большая часть ошибок может быть обнаружена в error_log, который ведет сервер, как, например, остутствующие картинки, ссылки, ошибки в скриптах могут быть обнаружены только таким образом, если они размещены на сервере и уже используются. Просмотр логов так же необходим для поиска попыток взлома и нарушения использования сервера.

    Веб-сервера

    Многие организации сейчас поддерживают внешние WWW-сайты, описывающие их компанию или сервисы. По причинам безопасности эти сервера обычно размещаются за брандмауэром компании. Веб-сайты могут быть как домашними разработками, так и тщательно разработанными средствами продвижения товаров. Организации могут тратить значительное количество денег и времени на разработку веб-сайта, предоставляющего большой объем информации в удобном виде или создающего имидж компании. Другими словами, веб-сайт организации является одной из форм создания имиджа и репутации компании.

    Должны быть назначены ответственные за создание, управление и администрирование внешнего веб-сайта компании. В больших компаниях это может входить в обязанности нескольких должностей. Например, коммерческий директор может отвечать за выявление и реализацию новых способов продвижения товаров и услуг, а администратор веб-сайта - за соблюдение на нем общей стратегии, включая координированную подготовку его содержимого и контроль за его бюджетом. Начальник отдела продаж может отвечать за представление отчетов о доходах, связанных с ведением веб-сайта. А вебмастер будет отвечать за технические аспекты веб-сайта, включая разработку, поддержание связи с ним, интранет, электронную почту, и безопасность брандмауэра. Скорее всего программисты будут отвечать за работоспособность веб-сайта, включая его установку, разработку программ для него, их отладку и документирование. Вебартист может заниматься созданием графических образов для него.

    В более маленьких организациях программист или вебмастер может выполнять большую часть описанных выше обязанностей и предоставлять доклады пресс-службе или начальнику отдела продаж. Наконец, в очень маленькой организации эти обязанности могут стать дополнительными обязанностями системного аналитика или администратора ЛВС. Независимо от того, как администрируется вебсайт, все люди, исполняющие эти обязанности должны претворять в жизнь политику компании, разработанную ее руководством. Верхнее звено руководства организацией может отвечать за утверждение создания новых веб-сайтов или переработку имеющихся.

    Кроме того, внутренние веб-сайты компании, расположенные внутри брандмауэра организации, часто используются для рассылки информации компании сотрудникам. Часто посылаются поздравления с днем рождения, графики мероприятий, телефонные справочники и т.д. Также внутренние веб-сайты используются для распространения внутренней информации о проектах, являясь иногда центром информации для исследовательских групп. Хотя внутренние веб-сайты не являются так же видимыми, как внешние страницы, они должны администрироваться с помощью специально разработанных руководств и директив. Руководители групп должны отвечать за это.

    Любой может создать веб-сайт для распространения информации по любым вопросам, не связанным с организацией. Организация должна принять решение о том, стоит ли разрешать сотрудникам делать это на чужих веб-сайтах.

    Большинство организаций используют Интернет для распространения информации о себе и своих сервисах. Так как они представляют информацию, а не скрывают ее, они описывают веб-сайт как "публичный", на котором не содержится никакой конфиденциальной информации, и оттуда не может исходить никакой угрозы. Проблема заключается в том, что хотя эта информация может быть публично доступной, веб-сайт является частью организации, и должен быть защищен от вандализма.

    Публичные вебсайты в MGM/Universal Studios, Nation of Islam, Министерстве юстиции США и ЦРУ могут подтвердить это утверждение. В них были совершены проникновения в 1996 году. Атакующие использовали уязвимые места в операционной системе, под управлением которой работали веб-сервера. Они изменили ряд страниц веб-сайтов, и в некоторых случаях добавили порнографические изображения, и в одном случае вставили оскорбления.

    Хотя единственным следствием таких проникновений была потеря репутации, это может оказаться достаточным, чтобы не захотеть испытать это во второй раз. Если бы атакующие модифицировали описания сервисов организации, фальсифицировали цены, то последствия могли бы быть гораздо серьезнее.

    Примеры политик веб-серверов

    Низкий риск

    Пользователь

    На веб-сайтах организации не может размещаться оскорбительный или нудный материал.

    На веб-сайтах организации не может размещаться персональные рекламные объявления

    Менеджер

    Менеджерам и пользователям разрешено иметь веб-сайт.

    Материалы о сотрудниках на веб-сайтах или доступные с их помощью должны быть минимальны.

    На веб-сайтах организации не может размещаться оскорбительный или нудный материал.

    Конфиденциальная информация ее должна делаться доступной.

    Сотрудник отдела автоматизации

    Должен поддерживаться и быть доступен для внутреннего пользования локальный архив программ веб-серверов и средств публикации информации на них.

    Средний риск

    Пользователь

    Пользователям запрещено устанавливать или запускать веб-сервера.

    В отношении веб-страниц должен соблюдаться установленный в организации порядок утверждения документов, отчетов, маркетинговой информации и т.д.

    Менеджер

    Менеджерам и пользователям разрешено иметь веб-страницы для участия в проекте или выполнения своих должностных обязанностей

    Сотрудник отдела автоматизации

    Веб-сервер и любые данные, являющиеся публично доступными, должны быть размещены за пределами брандмауэра организации.

    Веб-сервера должны сконфигурированы так, чтобы пользователи не могли устанавливать CGI-скрипты

    Все сетевые приложения, кроме HTTP, должны быть отключены (например, SMTP, FTP и т.д.)

    Информационные сервера должны быть размещены в защищенной подсети для изоляции их от других систем организации. Это уменьшает вероятность того, что информационный сервер будет скомпрометирован и использован для атаки на другие системы организации.

    При использования средств администрирования с помощью WWW, ограничьте доступ к нему только авторизованных систем (с помощью IP-адресов, а не имен хостов). Всегда меняйте пароли по умолчанию.

    Высокий риск

    Пользователь

    Пользователям запрещено загружать, устанавливать или запускать программы веб-серверов.

    Должен производиться контроль сетевого трафика для выявления неавторизованных веб-серверов. Операторы этих серверов будут подвергаться дисциплинарным наказаниям.

    Менеджер

    Руководство организации должно дать в письменном виде разрешение на работу веб-сервера, подключенного к Интернету.

    Все содержимое веб-серверов компании, присоединенных к Интернету, должно быть утверждено и установлено веб-мастером.

    Конфиденциальная информация не должна быть доступна с помощью веб-сайта.

    К информации, размещенной на веб-сервере, применимы все законы о защите информации. Поэтому, перед размещением информации в Интернете, она должна быть просмотрена и утверждена так же, как утверждаются бумажные официальные документы организации. Должны быть защищены авторские права, и получено разрешение о публикации информации на веб-сайте.

    Все публично доступные веб-сайты должны регулярно тестироваться на предмет корректности ссылок, и не должны находиться в состоянии "under construction". При реконструкции областей они должны делаться недоступными.

    Сотрудник отдела автоматизации

    Не должно иметься средств удаленного управления веб-сервером (то есть с мест, отличных от консоли). Все действия администратора должны делаться только с консоли. Вход в систему с удаленного терминала с правами суперпользователя должен быть запрещен.

    Программы веб-серверов и операционной системы, под управлением которой работает веб-сервер, должны содержать все исправления, рекомендованные производителем для этой версии.

    Входящий трафик HTTP должен сканироваться, и о случаях появления неавторизованных веб-серверов должно докладываться

    Ограничение доступа к информации пользователями, адрес которых заканчивается на .GOV или .COM, обеспечивает минимальную защиту для информации, не разрешенной для показа всем. Может использоваться отдельный сервер или отдельная часть для информации с ограниченным доступом.

    За всеми веб-сайтами должен осуществляться контроль как составная часть администрирования сети. Действия всех пользователей, заподозренных в некорректном использовании Интернете, могут быть запротоколированы для обоснования применения к ним в дальнейшем административных санкций.

    На UNIX-системах веб-сервера не должны запускаться с правами суперпользователя.

    Разработка и использование CGI-скриптов должно контролироваться. CGI-скрипты не должны обрабатывать входные данные без их проверки . Любые внешние программы, запускаемые с параметрами в командной строке, не должны содержать метасимволов. Разработчики отвечают за использование правильных регулярных выражений для сканирования метасимволов командного процессора и их удаление перед передачей входных данных программа на сервере и операционной системе.

    Все WWW-сервера организации, подключенные к Интернету, должны находиться между брандмауэром и внутренней сетью организации. Любые внутренние WWW-сервера организации, обеспечивающие работу критических приложений организации должны быть защищены внутренними брандмауэрами. Критическая, конфиденциальная и персональная информация никогда не должны храниться на внешнем WWW-сервере.


    Обеспечение безопасности .


    • брандмауэр


    • фильтрация пакетов и разделение сетей



    Создание резервных копий. Технологии: Backup, mirroring.


    Необходимость создания резервных копий становится очевидной после первого слета системы, как, например, когда вы теряете практически все данные и на их восстановление уходит несколько суток, стоит задуматься об избежании таких ситуаций.

    Две основные технологии резервного копирования – простой бэкап и мирроринг. Простой бекап – это когда вы копируете всю существенную информацию сайта на какой-либо носитель, винчестер, стример, магнитооптику, PCMCI-диски и т.п. При этом рекомендуется делать так же копию всех установленных позже программ и бинарных файлов. Если позволяют размеры носителя – оптимально сделать полный бекап всей системы, в таком случае при слете сервера время восстановления определяется скоростью чтения из устройства.

    Мирроринг. Технология может быть реализована двумя методами. Первый – резервный винчестер, который может быть реализован в одном корпусе на основе технологии SCSI настройкой адаптера или с использованием технологий RAID. Второй – создание резервного сервера-зеркала, для которого информация синхронизирована с основным. Это достаточно дорогой способ, так как требует дополнительных расходов.


    1. Система безопасности HP-UX


    1. Политика и планирование системы безопасности


    Не имеется несколько методов для разработки политики защиты. Вот более общий подход.


    • Идентифицировать то, что Вы должны защитить. Это может быть активы типа даные пользователей, доступ до аппаратных средств, данные, документация и т.д.


    • Идентифицировать потенциальные угрозы вашим ресурсам.. Они включают угрозы от природных явлений (наводнения, землетрясения), невежество и недостаток обучения пользователей и намеренных нарушений защиты.


    • Оценить вероятность этих угроз, повреждающих ваши ресурсы.


    • Прокласифицировать риски уровнем серьезности, и определить стоимость для сокращения того риска (это также известно как оценка риска).


    • Осуществляют меры, которые защитят ресурсы.


    Общие действия защиты включают следующее:


    • Ограничить вход в систему доступ к программному обеспечению.


    • Пользователи должны выходить или используют команду блокировки при не использовании их терминалов.


    • Сохранить резервные ленты (диски) в отдаленных местах


    • Стереть устаревшие данные.


    Подержка системы защиты включает:


    • (identification) Идентификация пользователей. Все пользователи должны иметь уникальный идентефикатор(ID) входа в систему, состоящим из названия и пароля.


    • (authentication) Установление подлинности пользователей. Когда пользователь войдет, система подтверждает подлинность его пароля, проверяя существование в файле пароля.


    • (authorization) Разрешение пользователей. На системном уровне, HP-UX обеспечивает два вида компьютерного использования – обычный и суперпользователь. Индивидуальным пользователям можно предоставлять или ограниченный доступ к системным файлам через традиционные разрешения файла, списки контроля доступа, и запретить SAM


    • (audit) Ревизия gользователей. HP-UX дает возможность ревизовать компьютерное использование пользователями и события.


    Установка Trusted Системы


    HP-UX предлагает дополнительный инструментарий для безопасности системы.

    Для конвертации в trusted систему можно использовать SAM в разделе Auditing and Security. Также можна сделать это вручною редактируя скрипт /etc/rc.config.d/auditing.

    После «конвертации» стелаються следующие действия

    1. Создает новый, защищенная база данных пароля в /tcb/files/auth/.

    2. Зашифровка паролей с /etc/passwd файла до защищенной базы данных пароля и заменяют поле пароля в /etc/passwd со звездочкой (*). Вы должны копировать /etc/passwd файл, чтобы записать на ленту перед преобразованием.

    3. Вынуждает всех пользователей использовать пароли

    4. Создает audit ID для каждого пользователя.я.

    5. Устанавливает audit флажок на для всех существующих пользователей

    6. Конвертирует at,batch и crontab файлы, чтобы использовать установлные audit ID


    Для аудитинга используют следующие команды:

    audsys(1M) установка/отмена фудитинга и показывает ревезионные файли

    audusr(1M) выбор ползователя для аудита

    audevent(1M) просмотр и изменения событий и системеных вызовов

    audomon(1M) устанавливает аудит файл и размер для мониторинга

    audisp(1M) показывает аудит установки (записи)


    Также все это можно сделать визуально в SAM разделе Auditing and Security


    Управление паролями и системным доступом


    Пароль - наиболее важный индивидуальный код (символы) идентификации пользователя. Этим, система подтверждает подлинность пользователя, чтобы позволить доступ к системе. Администратор и обычный пользователь в системе долженй совместно использовать ответственность за защиту пароля. Администратор исполняет следующие задачи защиты:

    • Генерирует ID и для системы новым пользователям. Чтобы поддерживать секретность пароля, SAM генерирует Номер Разрешения для каждого нового пользователя. Этот номер должен использоваться для первого входа в систему. Как только этот номер был проверен, новому пользователю будет дано установить свой новый пароль

    • устанавливает надлежащий доступ на /etc/passwd и зашифрованом пароле, в /tcb/files/auth/user_initial/user_name файлы.

    • Устанавливает старение пароляоля.

    • Удаление(стирание) паролей у каких вышел срок действия

    Каждый пользователь должен выполнять следующие правила:

    • Помнить пароль и держать его в секрете

    • Изменять переодически пароли

    • Следить за изменеием своих данных

    • Для каждой машине иметь разные пароли


    1. Управлением доступом к файлам и каталогам


    ВHP-UX системе, Вы используете ls -l команду, чтобы видеть полную распечатку разрешений файла и ls -ld, чтобы перечислить разрешения каталога.

    Chmod (1) команда позволяет Вам изменять разрешения каталогов и файлов.


    Вы можете дополнительно использовать списки контроля доступа (ACLs), чтобы расширитьтрадиционный механизм разрешения, давая пользователям большeую степень управления доступом. Разрешения доступа и ограничения могут быть определены к степени детализации определенных пользователей и групп.

    chacl (1) создает и изменяет ACLs и lsacl (1) показывает списки ACLs файлов.


    Команда chacl - подмножество команды chmod. Любые определенные разрешения, которые Вы назначаете с командой chacl, добавлены к большему количеству общих разрешений, назначенных с командой chmod. Например, предположите, что Вы используете команду chmod, чтобы позволить только непосредственно разрешение записи myfile. Вы можете использовать команду chacl, чтобы делать исключение и позволять ваше разрешение записи администратора myfile также.


    Используйте chmod с -A опцией при работе с файлами, которые имеют дополнительные назначенные разрешения. Дополнительные разрешения будут удалены.


    Вот пример использования команды

    $ chacl 'user.group operator mode' file_name

    где user и group указывает название в систему пользователя и группу; знак процента (%) означает всех пользователей или группы. Оператор указывает добавление (+) или отрицание (-) разрешения и знаки "=" (=) средства " это разрешение точно. " Режим указывает позволенные разрешения: чтение (r), запись (w), и выполнение /поиск (x). Оператор немедленно предшествует режиму (например, + rw добавляет разрешения записи и чтение; -rw запрещает чтение и разрешения записи)

    Вот еще примеры:


    $ chacl 'carolyn.users=rw' myfile


    $ ll myfile

    -rw-r-----+ 1 nora users 236 Mar 8 14:23 myfile


    $ lsacl myfile

    (carolyn.users,rw-) (nora.%,rwx) (%.users,r--)(%.%,---) myfile


    Для установки разрешения по умалчанию переменую окружения umask. В нем передаються параметры защиты. Напримар umask=022 (2 –w, 1 –x, 4 –r) означает что во всех открытых фыйлах по умолчаню не будет прав зяписи для групы и всех остальных пользователей.


    Администратор должен установить

    • начальные права для каталога пользователя и дальше пользователь должен следить за защитой своей информации.

    • «правыльные» права на утсройства. (/dev)


    Ниже привиден список команд для системы контроля доступа файловой системы


    chacl(1) - change ACLs of files.

    getaccess(1) - list access rights to files.

    lsacl(1) - list access control lists of files.

    getaccess(2) - get a user's effective access rights to a file.

    getacl, fgetacl(2) - get access control list information.

    setacl, fsetacl(2) - set access control list information.

    acltostr(3C) - convert ACL structure to string form.

    chownacl(3C) - change owner/group represented in a file's ACL.

    cpacl(3C), fcpacl(3C) - copy ACL and mode bits from one file to another.

    setaclentry(3C), fsetaclentry(3C) - add/modify/delete a file's ACL entry.

    strtoacl(3C) - parse and convert ACL structure to string form.

    strtoaclpatt(3C) - parse and convert ACL pattern strings to arrays.


    Контроль безопасности сети (networks)


    Сетевые системы более узяввымие в палне защищености чем без нее (standalone). Сеть увеличивает системны доступ а так же добавляет большой риск в безопасности системы.

    Если вы не можете управлять всей защитой сети то вам необходимо защищать каждую станцию отдельно.

    Ниже приведены основые механизмы контроля доступом по сети


    1. Перечинь экспортиртируемыз файловых систем /etc/exports.

    /etc/exports содержит входы, которые состоят из имени пути файловой системы, сопровождаемой списком компьютеров или групп компьютеров, позволенных доступ к файловой системе. Любой вход, состоящий из только имя пути без того, чтобы следоваться компьютерным названием- файловая система, доступная каждому компьютеру на сети. /etc/exports входы могли бы содержать названия групп компьютеров. Вы можете выяснять то, какие индивидуальные машины включены в группу, проверяя /etc/netgroup.


    2. Перечислить узлов, которые имеют эквивалентные базы паролей в /etc/hosts. equiv.

    3. Проверить, что каждый узел в административном домене не расширяет привилегии на любых невключенных узлов.

    Вы должны повторить шаги 1 и 2 для каждого узла в домене(области).


    4. Конролируйте root и локальную защиту на каждом узле в вашем административном домене Пользователь с привилегиями суперпользователя на любой машине в домене может приобретать те привилегии на каждой машине в домене. !!!


    5. Поддержать последовательность названий пользователей, uid, и gid среди файлов пароля в вашем административном домене.


    6.Поддержать последовательность файлов группы на всех узлах в вашем административном домене.


    Режимы, владельцы, и группы на всех системных файлах должы быть установлены тщательно. Все отклонения от этих значений должны быть отмечены и исправлены.


    Обратите внимание на файлы которые находяться в /etc. Ниже приведен список наиболее употребляемых файлов


    networks название сетей и их адреса

    hosts название станций а также их адреса

    hosts.equiv название и адреса станций в которые эквивалентны даной станции

    services база данных сервисов

    exports список экспорта файловых систем, экспортируемых в NFS клиенту

    protocols база данныз протоколов

    inetd.conf файл конфигурации Internet

    netgroup Список сетевых групп.


    Использують indetd.sec для контроля внешнего доступа. Файл находиться в /var/adm/inetd.sec

    По следующему формату :


    Мониторинг системы


    Имееться набор команд для мониторинга системы. Ниже приведены краткие возможности и характеристики наиболее часто используемых:


    SAR – показывает активные ресурсы сиситемы (system activity reporter)


    Запуск команды возможен в 2х вариантах:

    sar [-ubdycwaqvmAMS] [-o file] t [n]

    и

    sar [-ubdycwaqvmAMS] [-s time] [-e time] [-i sec] [-f file]


    Первая форма показывает октивность комапьютера n раз с периодом t секунд. Если указана опция –o то информацию скидывает в файл. По умолчанию n = 1.

    Другая форма без осуществления выборки указанного интервала, sar извлекает данные от предварительно зарегистрированного файла, или тот, указанный -f опцией или, по умолчанию, стандартные действия операционной системы ежедневный файл данных /var/adm/sa/sadd в течение текущего дня dd. Начальные и конечные времена сообщения могут быть ограничены через -s и -e параметры времени формы hh [:mm [:ss]]. -i опция выбирает отчеты в секундных интервалах. Иначе, все интервалы, найденные в файле данных сообщены.


    Расмотрим опции:

    -u использование CPU.(значение по умолчанию); часть времени, выполняющегося в одном из нескольких режимов. На многопроцессорной системе, если -M опция используется вместе с -u опцией, для каждого -CPU использование также как среднее использование CPU всех процессоров. Если -M опция не используется,тогда показывает среднее использование CPU всех процессоров:

    cpu номер CPU(только на многопроцессорной системе с -M опцией);

    %usr использование пользователем (непgjrfривигильованый режим);

    %sys системный режим;

    %wio простой с некоторым процессом, ожидающим Ввод - вывод (только блочных I/O, необработанный ввод /вывод, или VM обозначенные загрузки/выгрузки свопа);

    %idle “простой» проссора.

    -b показывает использования буфера

    bread/s- количество физический чтений на секунду с буф. на диск.(или устройсва)

    -bwrit/s количество физический записей на секунду с буф. на диск.(или устройсва)

    lread/s - lwrit/s количество байт чтения записи на устройства.

    %rcache отношения буфера- bread/lread

    %wcache bwrit/lwrit

    pread/s Количество чтений не с блочного устройства

    pwrit/s Количество записей не с блочного устройства

    -d показывает информацию о каждом block устройстве, к которому процесор имел отношение за определенный интервал времени

    -y ------- для non-block устройств ---

    -с системные вызовы

    -w свопинг и переключения системы

    -a использование файлов

    -q показывает среднюю длину сообщения и процент от занятого времени

    -v более детальная информация об использовании файлов,inode, процессов.

    -m информация о семафорах


    -A показывает всю информацию

    -M информация для индивидуального CPU в много-процесорных машинах


    VMSTAT- показывает статистику виртуальной памяти

    Параметры запуска комманды:

    vmstat [-dnS] [interval [count]]

    vmstat -f | -s | -z

    -d сообщает количество обменов между диском

    -n выводин информацию в 80 колоночном представлени.

    -S количество прцессов которые свопяттся

    interval период отображения

    count количество повторов

    -f количество fork ( деления процесса)

    -s количество paging сообщений

    -z очищает все sum структуры ядра.


    IOSTAT мониторинг I|O устройств

    Параметры запуска:

    iostat [-t] [interval [count]]

    interval период отображения

    count количество повторов

    -t отображает статистику для терминалов.

    Для каждого диска статистика предоставляеться форматом:

    device имя устройства

    bps количество передаваемых байт за секунду

    sps количество seekов за секунду

    msps в мс. средний seek


    TOP отображает состояние “горячих” процесов.

    Параметры запуска:

    top [-s time] [-d count] [-q] [-u] [-n number]

    -s timе время между обновлениями

    -d count отображает количество и после этого выходит

    -n number количество «верхних» процесов

    -q запускает с самым большим приоритетом (nice –20)

    -u мвесто username показывает userID (для экономии проц. времени)


    LSOF –отображает открытые файлы и процесы кто их открыл. Очень полезно для контроля доступа к устройствам.


    NETSTAT показывает состояние сети.

    Параметры запуска:

    netstat [-aAn] [-f address-family] [system [core]]

    netstat [-mMnrsv] [-f address-family] [-p protocol] [system [core]]

    netstat [-gin] [-I interface] [interval] [system [core]]

    netstat отображает статистику для сетевых интерфейсов и протоколов, также как содержания различных связанных сетью структур данных. Выходной формат изменяется согласно отобранным параметрам. Некоторые параметры игнорируются когда используется в комбинации с другими параметрами.


    Команда netstat берет одну из трех форм, показанных выше:


    • Первая форма команды отображает список активных сокетов для каждого протокола.

    • Вторая форма отображает содержание одной из других сетевых структур данных согласно отобранной опции.

    • Третья форма отображает информацию конфигурации для каждого сетевого интерфейса. Это также отображает сетевые данные трафика относительно конфигурированных сетевых интерфейсов, произвольно модифицированных в каждом интервале, измеренном мгновенно.

    Опции:

    -a Показывает состояние всех сокетов.

    -A Адресный блок и протокол

    -f address-family Показывает сокеты с определеного семейства: inet,unix (AF_INET,AF_UNIX)

    -g Показывает информацию о широковещательных интерфейсах

    -i Состояние интерфейсов

    -I interface Состояние определленого интерфейса

    -m Колсичество памяти и общая информация о сокетах

    -M Multicast таблица маршрутизации

    -n Показывать адрес сетки как номер

    -p protocol Показывать всю статистику определьоного протокола

    -r Таблица маршрутизации

    -s Показать статистику по всех протоколах

    -v Дополнительная информация


    Существует множество прормам мониторинга системы. Некоторые можно мониторить с помощю команды SAM. Также можно найти дополнительную информацию на сайте:

    hpux.cae.qiax.edu


    177


    Если Вам нужна помощь с академической работой (курсовая, контрольная, диплом, реферат и т.д.), обратитесь к нашим специалистам. Более 90000 специалистов готовы Вам помочь.
    Бесплатные корректировки и доработки. Бесплатная оценка стоимости работы.

    Поможем написать работу на аналогичную тему

    Получить выполненную работу или консультацию специалиста по вашему учебному проекту
    Нужна помощь в написании работы?
    Мы - биржа профессиональных авторов (преподавателей и доцентов вузов). Пишем статьи РИНЦ, ВАК, Scopus. Помогаем в публикации. Правки вносим бесплатно.
  • Похожие рефераты: