Журнал LinuxFormat - перейти на главную

LXF160:Рубрика сисадмина

Материал из Linuxformat
Перейти к: навигация, поиск


По рецептам доктора Брауна

(thumbnail)
Д-р Крис Браун. Доктор обучает, пишет и консультирует по Linux. Ученая степень по физике элементарных частиц ему в этом совсем не помогает.


Содержание

За­щи­та че­ло­ве­ка

Обезо­па­сить сер­ве­ры недоста­точ­но. Нуж­но по­за­бо­тить­ся и о поль­зо­ва­те­лях.

Итак, вы от­вет­ст­вен­но от­но­си­тесь к за­щи­те сво­их сер­ве­ров: ре­гу­ляр­но вы­пол­няе­те об­нов­ления безо­пас­но­сти, на­строи­ли бранд­мау­эр, от­клю­чи­ли вход в сис­те­му от имени root и за­да­ли слож­ные па­ро­ли.

Но за­кру­чи­вание га­ек на сер­ве­рах не гаранти­ру­ет безо­пас­но­сти кор­по­ра­тив­ных дан­ных, если со­трудники ва­шей ком­пании те­кут как ре­шето. В детстве ма­ма не ве­ле­ла вам брать кон­фе­ты у незна­ко­мцев. Но мно­гие ор­ганиза­ции не да­ют это­го про­сто­го со­ве­та, что­бы обезо­па­сить сво­их со­трудников в ки­бер­про­стран­ст­ве. Ес­ли у ва­шей ком­пании нет про­грам­мы обу­чения осно­вам безо­пас­но­сти, не убе­дить ли босса на­чать ее?

Ин­сти­тут SANS (www.sans.org) – ча­ст­ная аме­ри­кан­ская ком­пания, и у нее нема­ло ре­сур­сов вам в по­мощь. В верхней час­ти диа­па­зо­на – боль­шое порт­фо­лио кур­сов (и с пре­по­да­ва­те­лем, и он­лайн) для про­фес­сио­на­лов в сфере безо­пас­но­сти, обыч­но стои­мо­стью в 4000 дол­ла­ров. Но у это­го сай­та есть родич (www.securingthehuman.org), где масса бес­плат­ных ма­те­риа­лов: на­при­мер, оп­рос для со­трудников по те­ме безо­пас­но­сти из 25 пунктов (ти­пич­ный во­прос: «Как час­то вы бе­ре­те ин­фор­ма­цию из офи­са и ра­бо­тае­те с ней на до­машнем ПК?»), или при­ме­ры пре­зен­та­ций, вво­дящих в курс обу­чения поль­зо­ва­те­лей осно­вам безо­пас­но­сти (в т. ч. про­грам­ма для де­тей), и удоб­ная таб­ли­ца па­ра­мет­ров для оценки, есть ли от про­грам­мы прок – час­то это про­стые во­про­сы вро­де «Сколь­ко со­трудников за­пи­ра­ют свой ком­пь­ю­тер пе­ред ухо­дом с ра­бо­ты?» А ес­ли вам нуж­но на­пу­гать свое на­чаль­ст­во, что­бы оно под­дер­жа­ло вас, на сай­те SANS есть ссыл­ки на стра­шилки из но­во­стей.

На­конец, на сай­те www.sans.org/tip_of_the_day.php вы по­лу­чите со­вет безо­пас­но­сти дня; на 1 мая 2012 го­да он был «За­кры­вай­те доступ к ком­пь­ю­те­ру пе­ред тем, как кон­тракт с ра­ботником за­кан­чи­ва­ет­ся или вы го­во­ри­те ему, что он уво­лен».

Па­ро­ли и по­ли­ти­ки

Во мно­гих ор­ганиза­ци­ях ис­поль­зу­ют­ся стран­ные ри­туа­лы управ­ления па­ро­ля­ми и по­ли­ти­ка­ми. Вот несколь­ко про­стых прак­ти­че­­ских со­ве­тов.

(thumbnail)
> Про­стая мет­ри­ка для оцен­ки слож­но­сти па­ро­ля на ос­но­ве дли­ны па­ро­ля и ко­ли­че­ст­ва групп ис­поль­зуе­мых сим­во­лов.

Сколь­ко у вас па­ро­лей? Один на до­машнем но­ут­бу­ке, дру­гой на ра­бо­чем ком­пь­ю­те­ре. За­тем – учет­ная запись ва­шей поч­ты и на кор­по­ра­тив­ном поч­то­вом сер­ве­ре. Па­ра учет­ных за­пи­сей в со­ци­аль­ных се­тях, Amazon, ebay, PayPal, ин­тернет-бан­ке и этой шту­ке под на­званием “verified by Visa”. Это по мень­шей ме­ре дю­жи­на, да­же не счи­тая все сер­ве­ры, ко­то­ры­ми вы управ­ляе­те. Об­щее ко­ли­че­­ст­во вполне мо­жет быть в два раза боль­ше. Для мно­гих из этих учет­ных за­пи­сей в ка­че­­ст­ве ло­ги­на ис­поль­зу­ет­ся поч­то­вый ад­рес, ко­то­рый не яв­ля­ет­ся сек­ре­том. По­это­му от заб­вения вас от­де­ля­ет толь­ко па­роль.

Вы­би­ра­ем на­деж­ные па­ро­ли

Вы­бор хо­ро­ше­го, на­деж­но­го па­ро­ля – по­жа­луй, един­ст­вен­ная важ­ная вещь, ко­то­рую мож­но сде­лать, что­бы со­хранить учет­ную запись в безо­пас­но­сти. Хо­ро­ший па­роль дол­жен быть:

» Доста­точ­но длин­ным и слож­ным, что­бы про­ти­во­сто­ять и сло­вар­ным ата­кам, и ата­кам ме­то­дом гру­бо­го пе­ре­бо­ра

» За­по­ми­нае­мым

» Та­ким, что его мож­но пра­виль­но на­брать с пер­вой по­пыт­ки

Удов­ле­тво­рить всем трем пунк­там до­воль­но слож­но. Не­ко­то­рые прак­ти­че­­ские со­ве­ты вы можете най­ти во врез­ке «Четыре шага к хорошему паролю». На­деж­ность па­ро­ля оценива­ет­ся по его длине и у­потреблению сим­во­лов раз­лич­ных групп. Возь­мем средний па­роль из вось­ми сим­во­лов. Ес­ли он со­сто­ит толь­ко из строч­ных букв, ком­би­на­ций будет око­ло 200 мил­ли­ар­дов. Ес­ли ис­поль­зу­ют­ся бу­к­вы в верхнем и нижнем ре­ги­ст­рах, циф­ры и спе­ци­аль­ные сим­во­лы (все­го око­ло 96 сим­во­лов), это 7 квад­рил­лио­нов ком­би­на­ций. На сай­те www.passwordmeter.com находится при­ло­жение, ко­то­рое оценивает прочность произволь­ного па­ро­ля.

Са­мые отъявленные па­ра­нои­ки из нас, конеч­но, два­ж­ды по­ду­ма­ют, пре­ж­де чем от­пра­вить свой на­де­ж­дый па­роль недо­ве­рен­но­му сай­ту, осо­бен­но та­ко­му, ко­то­рый не ис­поль­зу­ет HTTPS. В Linux есть мо­ду­ли PAM, ко­то­рые по­мо­гут уве­ли­чить на­деж­ность па­ро­ля. pam_cracklib об­на­ру­жит па­ро­ли, под­даю­щие­ся сло­вар­ным ата­кам, а pam_passwdqc за­даст минималь­ную дли­ну па­ро­ля на осно­ве ко­ли­че­­ст­ва раз­лич­ных групп сим­во­лов, ис­поль­зуе­мых па­ро­лем.

По­ли­ти­ки

Есть мнение, что сле­ду­ет взять один на­деж­ный па­роль и поль­зо­вать­ся им вез­де. Я бы не на­звал это хо­ро­шей иде­ей. Есть сай­ты, ко­то­рым вы до­ве­ряе­те и ко­то­рые за­бо­тят­ся о со­хранении па­ро­ля в сек­ре­те (на­при­мер, ин­тернет-банк). Но соз­да­вать учет­ные за­пи­си при­хо­дит­ся и на мно­гих дру­гих сай­тах. Где га­ран­тия от­вет­ст­вен­но­сти их под­хо­да, и уме­ют ли они обес­пе­чи­вать за­щи­ту от SQL-инъ­ек­ции и дру­гих атак? На­вер­ня­ка у вас есть учет­ные за­пи­си, в ко­то­рых в ка­че­­ст­ве ло­ги­на ис­поль­зу­ет­ся ад­рес элек­трон­ной поч­ты. Ес­ли одни и те же ло­гин и па­роль ис­поль­зу­ют­ся на некри­тич­ном сай­те и их кра­дут, по­то­му что вы под­клю­чи­лись со взло­ман­но­го кли­ен­та или взло­ма­ли их сер­вер, это ком­про­ме­ти­ру­ет все осталь­ные учет­ные за­пи­си.

Ме­ня так­же слег­ка нер­ви­ру­ют сай­ты, пред­ла­гаю­щие за­дать кон­троль­ные во­про­сы для восста­нов­ления па­ро­ля. Это по­лез­ная воз­мож­ность, но, на­сколь­ко я знаю, слож­ность во­про­са не про­ве­ря­ет­ся. По­это­му в об­щем надежнее иметь как минимум два па­ро­ля: один для вся­кой ерун­ды, и вто­рой – для дей­ст­ви­тель­но важ­ных сай­тов.

К со­жа­лению, вы­бо­ром двух слож­ных па­ро­лей ис­то­рия не за­кан­чи­ва­ет­ся. Во мно­гих ор­ганиза­ци­ях при­ме­ня­ет­ся по­ли­ти­ка воз­рас­та па­ро­ля, и поль­зо­ва­те­лей за­став­ля­ют пе­рио­ди­че­­ски ме­нять па­ро­ли. Ло­ги­ка из­на­чаль­но со­стоя­ла в том, что­бы ме­нять па­ро­ли ча­ще, чем их мож­но бы­ло бы взло­мать ме­то­дом гру­бо­го пе­ре­бо­ра. Мо­жет, 30 лет на­зад в ми­ре мейн­фрей­мов это и име­ло смысл. Но с тех пор ком­пь­ю­те­ры ста­ли мощнее, и вре­мя ата­ки ме­то­дом гру­бо­го пе­ре­бо­ра зна­чи­тель­но со­кра­ти­лось. В лю­бом слу­чае, есть и дру­гие тех­но­ло­гии, с ко­то­ры­ми пло­хие парни мо­гут уз­нать ваш па­роль, на­при­мер, фи­шинг. Мне ка­жет­ся, что ес­ли вы бу­де­те ме­нять па­роль ка­ж­дые 30 дней, а взла­мы­ва­ют его три неде­ли, тот факт, что у зло­де­ев останет­ся все­го неде­ля на раз­граб­ление ва­шей жизни, пре­ж­де чем вы сно­ва смените па­роль – сла­бое уте­шение. Ес­ли вы дей­ст­ви­тель­но хо­ти­те реа­ли­зо­вать ме­ханизм воз­рас­та па­ро­ля в Linux, мож­но восполь­зо­вать­ся по­ля­ми из /etc/shadow для за­дания сро­ка служ­бы па­ро­ля и аб­со­лют­ной да­ты ис­те­чения учет­ной за­пи­си. Луч­ший спо­соб за­дать эти па­ра­мет­ры – ко­ман­да change; де­та­ли мож­но уз­нать на странице ру­ко­во­дства. Впро­чем, знай­те, что са­мая по­пу­ляр­ная сре­ди со­трудников ре­ак­ция на требование сме­ны па­ро­ля – до­бав­ление циф­ры в конец па­ро­ля и уве­ли­чение этой циф­ры.

Гру­бый пе­ре­бор...

Ес­ли у зло­умыш­ленника есть доступ к сверт­ке па­ро­ля (в Linux это доступ к /etc/shadow), то он смо­жет вы­полнить ата­ку ме­то­дом гру­бо­го пе­ре­бо­ра в оф­флайн-ре­жи­ме. Мо­же­те оценить, сколь­ко вре­мени по­на­до­бит­ся на взлом па­ро­ля по его длине, длине на­бо­ра сим­во­лов, из ко­то­рых он со­став­лен, и вы­чис­ли­тель­ной мощ­но­сти в рас­по­ря­жении взлом­щи­ка.

Что­бы дать вам пред­став­ление о циф­рах, для па­ро­ля из вось­ми сим­во­лов нижнего и верхнего ре­ги­ст­ра существует 53 трил­лио­на ком­би­на­ций, и на бы­ст­ром ком­пь­ю­те­ре его мож­но взло­мать за 62 дня, а на су­пер­ком­пь­ю­те­ре – за 15 ча­сов. Под­роб­но­сти име­ют­ся на сай­те www.lockdown.co.uk/?pg=combi.

Конеч­но, вряд ли кто-то разорится на арен­ду 15 ча­сов су­пер­ком­пь­ю­тера, что­бы взло­мать ваш па­роль в Facebook. Бо­лее ве­ро­ят­но, что па­ро­ли бу­дут ук­ра­де­ны с по­мо­щью монито­рин­га на­жа­тий кла­виш на ском­про­ме­ти­ро­ван­ном ком­пь­ю­те­ре или пере­хва­че­ны со взло­ман­но­го сай­та. Про­ве­дение та­кой ата­ки пу­тем по­пы­ток вхо­да в сис­те­му вряд ли за­вер­шит­ся успеш­но, осо­бен­но по се­ти. С од­ной сто­ро­ны, это го­раз­до мед­леннее, чем сгенери­ро­вать па­роль, по­лу­чить сверт­ку и сравнить ее со сверт­кой в /etc/shadow. С дру­гой сто­ро­ны, это остав­ля­ет об­шир­ный след в фай­лах сис­тем­ных жур­на­лов. А в Linux есть ути­ли­ты во­оде fail2ban – с их по­мо­щью мож­но за­бло­ки­ро­вать IP-ад­ре­са, от­ку­да про­из­во­дят­ся неудач­ные по­втор­ные по­пыт­ки вхо­да в сис­те­му.

...и гру­бое неве­же­ст­во

В ре­аль­но­сти лю­ди час­то вы­би­ра­ют в ка­че­­ст­ве па­ро­лей клич­ки со­бак, и ста­но­вят­ся лег­кой до­бы­чей зло­умыш­ленников, поль­зую­щих­ся сло­вар­ны­ми ата­ка­ми. Про­грам­мы, вы­пол­няю­щие эту ра­бо­ту, ста­но­вят­ся все умнее, обыч­но ис­поль­зуя со­че­тания “root” (сло­вар­но­го сло­ва) и ко­рот­ко­го суф­фик­са, та­ко­го как “!” или “123”. Не­ко­то­рые так­же про­ве­ря­ют за­ме­ну букв на циф­ры, с ко­то­рой “hotel” ста­но­вит­ся “h0t3l”. А неко­то­рые пы­та­ют­ся по­лу­чить за­пи­си из ад­рес­ной книги, поч­то­во­го ар­хи­ва или дру­гие тек­сто­вые стро­ки с же­ст­ко­го дис­ка.

На­при­мер, Брюс Шнай­ер [Bruce Schneier] про­ана­ли­зо­вал 100 000 па­ро­лей, по­лу­чен­ных фи­шин­го­вым сай­том MySpace. Он об­на­ру­жил, что 12 % па­ро­лей со­стоя­ли из сло­вар­ных слов с циф­рой – са­мым по­пу­ляр­ным был “password1” (см. www.schneier.com/essay-144.html). Это сво­его ро­да про­гресс: де­сять лет на­зад са­мым по­пу­ляр­ным па­ро­лем был “password”. Шнай­ер на­пи­сал о на­деж­но­сти па­ро­лей, по­жа­луй, боль­ше чем кто-ли­бо дру­гой. В 2006 го­ду он ска­зал, что лю­бой па­роль, доста­точ­но про­стой для за­по­ми­нания, мож­но взло­мать на со­вре­мен­ных ком­пь­ю­те­рах.

Но взглянем прав­де в гла­за: вы­брать и за­помнить раз­ные слож­ные па­ро­ли для ка­ж­до­го сай­та поч­ти невоз­мож­но, осо­бен­но ес­ли вы бу­де­те ме­нять их ка­ж­дый ме­сяц (кто-нибудь на са­мом де­ле это де­ла­ет?). Од­но из ре­шений – восполь­зо­вать­ся «бу­мажником па­ро­лей», про­грам­мой, ко­то­рая хранит все па­ро­ли в за­шиф­ро­ван­ном ви­де под одним глав­ным па­ро­лем.

Не­сколь­ко лет на­зад ме­ня всерьез обес­по­кои­ло то, что дан­ные всех мо­их учет­ных за­пи­сей хра­нят­ся в ма­лень­кой чер­ной книжеч­ке, и я на­пи­сал для это­го неболь­шую ути­ли­ту. По су­ти, это скрипт-оберт­ка gpg и grep, но ей я хо­тя бы до­ве­ряю. Соб­ст­вен­ную про­грам­му пи­сать не при­шлось, по­то­му что гра­фи­че­­ских менед­же­ров па­ро­лей Linux боль­ше, чем вы мо­же­те пред­ста­вить.

На­при­мер, KeePassx (www.keepasx.org) мо­жет хранить име­на поль­зо­ва­те­лей, URL-ад­ре­са, вло­жения и ком­мен­та­рии в ба­зе дан­ных, за­шиф­ро­ван­ной 256-бит­ным TwoFish или AES. Для досту­па к ба­зе дан­ных требуется про­сто ука­зать глав­ный па­роль; вы можете на­стро­ить KeePassx так, что для ау­тен­ти­фи­ка­ции, кро­ме па­ро­ля, по­тре­бу­ет­ся и файл. Файл сго­дится лю­бой, но ес­ли соз­дать файл с длин­ной слу­чай­ной стро­кой и за­пи­сать его на USB-брелок, то фак­ти­че­­ски вы обзаведетесь двух­фак­тор­ной ау­тен­ти­фи­кацией.

Че­ты­ре ша­га к хо­ро­ше­му па­ро­лю

Рис­куя причинить вам оби­ду за ваш ин­тел­лект, при­ве­ду че­ты­ре спо­со­ба вы­бо­ра на­деж­но­го па­ро­ля.

» Пер­вый способ. Возь­ми­те два не свя­зан­ных друг с дру­гом сло­ва, на­при­мер, “goat” и “cleaner”. Вставь­те ме­ж­ду ними какой-нибудь спец­сим­вол, на­при­мер, “goat=cleaner”. Смени­те пару сим­во­лов на за­глав­ны­е, на­при­мер, “Goat=cleaneR”, и, на­конец, пре­вра­ти­те од­ну бу­к­ву в циф­ру, на­при­мер, “G0at=cleaneR”.

» Дру­гой спо­соб – взять вы­ра­жение и «сжать» его, часть букв сде­лав за­глав­ны­ми, а часть пре­вра­тив в циф­ры. На­при­мер, “I wish that I was out in the sunshine” мож­но пре­вра­тить в “Iwsht1w0itSs”.

» Тре­тий спо­соб – пе­ре­ме­шать сло­во с по­сле­до­ва­тель­но­стью цифр. На­при­мер, из “treacle” и “654321” мож­но по­лу­чить “t6r5e4a3c2l1e”.

» На­конец, для тех, у кого не хва­та­ет фан­та­зии ни на один из этих спо­со­бов, предусмотрены раз­ные ко­ман­ды, генери­рую­щие па­ро­ли. Обыч­но нуж­но что-то про­де­лать с вы­во­дом /dev/urandom – на­при­мер, ко­ман­да:

tr -dc a-zA-Z0-9 < /dev/urandom | head -c 10

сгенери­ру­ет па­роль из сим­во­лов из на­бо­ра a – zA-Z0 – 9. Он бу­дет дли­ной 10 сим­во­лов и до ужа­са слу­чай­ным, так что его на­вер­ня­ка при­дет­ся за­пи­сать.

Есть бо­лее слож­ные ути­ли­ты, наподобие apg, ко­то­рые уме­ря­ют свой пыл до че­го-то удобопро­из­но­си­мо­го, ес­ли, конеч­но, вы смо­же­те про­изнести вслух “ghavTi9graf”. И, ра­зу­ме­ет­ся, су­ще­ст­ву­ют такие сай­ты, как freepasswordgenerator.com, ко­то­рые сгенери­ру­ют для вас па­роль ука­зан­ной дли­ны из предложен­но­го на­бо­ра сим­во­лов.

Персональные инструменты
купить
подписаться
Яндекс.Метрика