подключать компьютер к сети.
• Восстановить файлы с данными. Если на предыдущем этапе вы удалили всю информацию с жесткого диска, вам надо восстановить данные, резервные копии которых были созданы на третьем этапе. Если вы инсталлировали систему с нуля, следует также восстановить содержимое конфигурационных файлов.
• Устранить недостатки в защите. Если на втором этапе вам удалось выяснить причины, позволившие злоумышленнику поникнуть в систему, следует устранить их. Целесообразно также принять меры общего характера для повышения уровня защиты, например, инсталлировать в системе инструмент Tripwire (если он не был инсталлирован ранее) или установить и настроить брандмауэр.
• Подключить компьютер к сети. После устранения всех проблем надо подключить компьютер к сети и возобновить его работу.
Помимо описанных выше действий, желательно также принять дополнительные меры. Вы можете, например, проследить маршрут к удаленному узлу, с которого была предпринята попытка атаки, и передать сообщение системному администратору. Хакеры часто взламывают систему, зарегистрировавшись на компьютере, который был взломан ранее. Если вы сообщите администратору о том, что с его машины была предпринята атака на ваш компьютер, он, вероятнее всего, займется проверкой системы. Если взломщик нанес вам большой урон, вы можете также обратиться за помощью к органам правопорядка.
Источники информации о защите систем
Поскольку подготовка книги к публикации занимает достаточно длительное время, я не могу сообщить последние сведения о методах взлома и борьбе с ними, информацию о недостатках в системе защиты и другие данные. К тому моменту, как книга попадет в руки читателя, они, безусловно, устареют. Поэтому в данной главе были приведены лишь общие сведения о некоторых способах, позволяющих выявить факты взлома, об инструментах, с помощью которых можно контролировать текущее состояние системы, и о действиях, которые необходимо предпринять в случае, если ваш компьютер подвергся атаке. Однако, чтобы успешно осуществлять администрирование системы, вам необходимо быть в курсе последних новостей, связанных с защитой. Существует целый ряд Web- серверов, списков рассылки и групп новостей, содержащих сведения по этим вопросам; ссылки на эти источники приводятся в данном разделе.
Web-узлы, посвященные вопросам защиты
В Internet поддерживаются Web-узлы, информирующие практически обо всех вопросах, связанных с использованием компьютеров, и защита системы не является исключением. Многие Web-узлы предоставляют самую новую информацию по этой теме. Ниже перечислены Web-узлы, содержимое которых должен периодически просматривать каждый системный администратор.
• Web-узел, посвященный используемой версии Linux. Практически для каждого дистрибутивного пакета Linux в Internet создан Web-узел, содержащий информацию о данной версии системы. Немалую часть этой информации составляют вопросы защиты. Как правило, на таких узлах публикуются сведения о вновь обнаруженных недостатках в защите программ и ссылки на версии программ, в которых эти проблемы устранены.
• Web-узел CERT/CC. Computer Emergency Response Team Coordination Center (CERT/CC) — одна из ведущих организаций, занимающаяся проблемами защиты. Web-узел CERT/CC находится по адресу http://www.cert.org.
• Web-узел CIAC. Организация Computer Incident Advisory Capability (CIAC) поддерживает Web-узел, расположенный по адресу http://www.ciac.org/ciac/. На нем публикуются сведения такого же характера, как и на узле CERT/CC.
• Раздел Linux Weekly News, посвященный защите системы. Linux Weekly News (http://lwn.net) — сетевая газета, посвященная использованию Linux. В одном из ее разделов публикуются сведения о способах повышения безопасности различных дистрибутивных пакетов Linux. (URL раздела часто изменяется. Для того, чтобы попасть на соответствующую Web-страницу, надо активизировать ссылку Security на главной странице Linux Weekly News.)
• Web-узел SecurityFocus. На этом узле (http://www.securityfocus.com) публикуются новости о вопросах защиты. Информация на этом сервере представляет собой своеобразный дайджест, составленный на основе данных, представленных на узлах CERT/CC и CIAC.
На перечисленных выше узлах вы найдете сведения о средствах, используемых хакерами, и противодействии различным способам атаки, о выявленных недостатках в защите различных программных продуктов, о дополнительных модулях для различных программ, информацию о вирусах и борьбе с ними, а также другие данные подобного рода. Вам, как системному администратору, следует периодически просматривать содержимое одного-двух из этих узлов (желательно делать это ежедневно или, по крайней мере, раз в неделю).
Списки рассылки и группы новостей, посвященные вопросам защиты
Чтобы получать информацию с Web-узлов, к ним надо периодически обращаться; иногда это не совсем удобно. В качестве альтернативы Web-узлам можно рассматривать списки рассылки и группы новостей. Списки рассылки позволяют передавать новые сведения со скоростью распространения электронных писем. Среди множества списков рассылки существуют и такие, которые посвящены вопросам защиты. Некоторые из списков не позволяют подписчикам передавать сообщения; они представляют собой лишь информационную среду, применяемую для распространения новых сведений. Если вы привыкли регулярно просматривать поступающую почту, подпишитесь на один или несколько списков рассылки. В этом случае новые сведения, касающиеся защиты, будут приходить вам практически сразу же после того, как они поступят в список.
Если вы хотите просматривать сообщения, касающиеся защиты, как только они окажутся в вашем почтовом ящике, установите фильтр Procmail, настроив его для просмотра сообщений и запуска специальной программы, которая информировала бы вас о новых сообщениях по вопросам защиты. Для привлечения вашего внимания эта программа может отображать диалоговое окно с сообщением или воспроизводить звуковой сигнал.
Группы новостей во многом напоминают списки рассылки. Подобно спискам, они доставляют данные подписчикам. Подписавшись на группы, посвященные защите, вы можете периодически просматривать их и даже написать специальный сценарий, который информировал бы вас о поступлении сообщения, содержащего заданные ключевые слова.
Ниже перечислены списки рассылки и группы новостей, в которых публикуются сведения, имеющие отношение к защите системы Linux.
• Список рассылки CERT/CC. Помимо Web-узла, CERT/CC поддерживает также список рассылки, посвященный вопросам защиты. Для того чтобы подписаться на этот список, надо отправить почтовое сообщение по адресу [email protected], включив в него строку
