تبلیغات
تبلیغات متنی
محبوبترینها
قیمت انواع دستگاه تصفیه آب خانگی در ایران
نمایش جنگ دینامیت شو در تهران [از بیوگرافی میلاد صالح پور تا خرید بلیط]
9 روش جرم گیری ماشین لباسشویی سامسونگ برای از بین بردن بوی بد
ساندویچ پانل: بهترین گزینه برای ساخت و ساز سریع
خرید بیمه، استعلام و مقایسه انواع بیمه درمان ✅?
پروازهای مشهد به دبی چه زمانی ارزان میشوند؟
تجربه غذاهای فرانسوی در قلب پاریس بهترین رستورانها و کافهها
دلایل زنگ زدن فلزات و روش های جلوگیری از آن
خرید بلیط چارتر هواپیمایی ماهان _ ماهان گشت
سیگنال در ترید چیست؟ بررسی انواع سیگنال در ترید
بهترین هدیه تولد برای متولدین زمستان: هدیههای کاربردی برای روزهای سرد
صفحه اول
آرشیو مطالب
ورود/عضویت
هواشناسی
قیمت طلا سکه و ارز
قیمت خودرو
مطالب در سایت شما
تبادل لینک
ارتباط با ما
مطالب سایت سرگرمی سبک زندگی سینما و تلویزیون فرهنگ و هنر پزشکی و سلامت اجتماع و خانواده تصویری دین و اندیشه ورزش اقتصادی سیاسی حوادث علم و فناوری سایتهای دانلود گوناگون
مطالب سایت سرگرمی سبک زندگی سینما و تلویزیون فرهنگ و هنر پزشکی و سلامت اجتماع و خانواده تصویری دین و اندیشه ورزش اقتصادی سیاسی حوادث علم و فناوری سایتهای دانلود گوناگون
آمار وبسایت
تعداد کل بازدیدها :
1833195815
هفت گناه نابخشودنی راهبر لینوكس
واضح آرشیو وب فارسی:تبیان: هفت گناه نابخشودنی راهبر لینوكسبه منظور كنترل دسترسیها و سایر مسائل امنیتی در زمینه كامپیوتر بعضی از مسئولین سایتها و سایر عوامل ذینفع، هزینههای بسیار گزافی را صرف تهیه و خرید نرمافزار و سختافزار مینمایند. ولی غافل از اینكه از كنار مسائل بسیار ساده و پیش افتاده امنیتی جهت محفوظ نگه داشتن اطلاعات میگذرند.در این مقاله كوتاه سعی شده كه به 7 مطلب ساده و پیش پاافتاده در زمینه حفاظت اطلاعات پرداخته شود. 7 مطلب ساده و پیش پاافتادهای كه با عدم رعایت آنها امكان به خطر افتادن سیستم اطلاعاتی یك سازمان وجود دارد.خطاهای هفتگانه1- انتخاب اسم رمز ساده و یا اسامی رمز پیش فرض2- باز گذاشتن درگاههای(port) شبكه3- استفاده از نرمافزارهای قدیمی4- استفاده از برنامههای ناامن و یا پیكربندی شده بهصورت نادرست5- ناكافی بودن منابع و یا نامناسب بودن ارجحیتها6- نگهداری UserIDهای قدیمی و غیرلازم و تهیه شناسههای عمومی7 - به تعویق انداختن فعالیتهای مهم در زمینه ایجاد امنیت1. انتخاب اسم رمز ساده و یا اسامی رمز پیش فرضبا توجه به سریع شدن پردازندهها و امكان دسترسی به نرمافزارهایی كه اسامی رمز را كشف مینمایند، حتی با انتخاب اسامی رمز پیچیده نیز، رمز میتواند شكسته شود.با استفاده از ابزارهایی كه در سیستمعامل Unix/Linux پیشبینی شده است مسئول سیستم میتواند اجازه تولید اسامی رمز و سایر مسائل مرتبط را كنترل نماید.در بعضی از سیستمعاملهای یونیكس فایلی با نام passwd تحت /etc/default وجود دارد كه راهبر یونیكس میتواند با ایجاد تغییراتی در آن به كاربر اجازه ندهد كه اسامی رمز ساده را انتخاب نماید. اما در لینوكس به اندازه كافی كنترل بر روی اسم رمز انجام میگردد و میتوان تا حدی مطمئن بود كه كاربر نمیتواند اسامی رمز ساده انتخاب نماید.فراموش نگردد كه مسئول سایت (راهبر سیستم) این اختیار را دارد كه اسامی رمز سادهای را برای كاربران تهیه نماید، كه این كار خطای مسلم راهبر میباشد. چرا كه هر اسم رمز ساده دروازهای برای ورود افراد مهاجم بوده و فرد مهاجم پس از وارد شدن به سیستم میتواند با استفاده از نقاط ضعف دیگر احتمالی و بهوجود آوردن سر ریز بافر(Buffer Overflow) كنترل سیستم را در دست بگیرد. در بسیاری از سیستمهای فعلی Unix/Linux مجموعه امكانات PAM(Pluggable Authentication Modules) نصب بوده و توصیه اكید میگردد كه مجموعه زیر را برای بالا بردن امنیت سیستم تحت /etc/pam.d و در فایل passwd قرار گیرد.passwd password requisite usr/lib/security/pamcraklib.so retry=3passwd password required /usr/lib/security/pam_pwdb.so use_authtokدر زمان اجرای برنامه passwd، كتابخانههای پویا(Dynamic) با نامهای pamcraklib.so و pam_pwdb.so به برنامه متصل شده و كنترلهای لازم را انجام خواهند داد.مجموعه نرمافزارهای craklib این امكان را به سیستم اضافه مینماید تا كنترل نماید كه آیا اسم رمز تهیه شده توسط كاربر شكستنی است یا خیر. فراموش نگردد كه فرمان passwd تابع راهبر سیستم بوده و راهبر سیستم میتواند اسم رمز ساده را انتخاب نماید و این عمل گناهی نابخشودنی را برای مسئول سیستم ثبت خواهد نمود. در مورد اسامی رمز پیش فرض كه در نصب بعضی سوئیچها و مسیریابها وجود دارد، راهبر سیستم میبایست در اسرع وقت (زمان نصب) اسامی رمز از پیش تعیین شده را تعویض نماید.2. باز گذاشتن درگاههای شبكههر درگاه باز در TCP/IP میتواند یك دروازه ورودی برای مهاجمین باشد. باز گذاشتن درگاههایی كه محافظت نشده و یا بدون استفاده میباشند، به مهاجمین اجازه میدهد به نحوی وارد سیستم شده و امنیت سیستم را مخدوش نمایند. فرمانهای زیادی مانند finger وrwho و غیره وجود دارند كه افراد مهاجم میتوانند با اجرای آنها در شبكه و قرار دادن آدرس كامپیوتر مقصد، اسامی كاربران و تعداد زیادی از قلمهای اطلاعاتی مربوط به كاربران را بهدست آورده و با حدس زدن اسم رمز وارد سیستم گردند. به وسیلهی ابزارهاییی كه در سیستمعامل Unix/Linux وجود دارد میتوان درگاههای باز را پیدا نموده و تمهیدات لازم را انجام داد. یكی از این فرمانها nmap است كه با اجرای این فرمان و قرار دادن optionهای لازم و وارد نمودن آدرس IP، درگاههای كامپیوتر مورد نظر را پیدا نموده و فعالیتهای اخلال گونه را انجام داد. راهبر سیستم با اجرای فرمان netstat –atuv میتواند سرویسهایی كه در حال اجرا هستند را مشخص نموده و به وسیله انواع روشهایی كه وجود دارد سرویس را غیر فعال نماید و شاید یك روش مناسب پاك كردن برنامه های سرویس دهنده و یا تغییر مجوز آن به 000(بهوسیله فرمان chmod) باشد. در هرحال میتوان با فرمان chkconfig اجرای بعضی از سرویسها را در زمان بالا آمدن سیستم متوقف نمود. به عنوان مثال با فرمان chkconfigg –del portmap میتوان سرویس portmap را غیرفعال نمود.3- استفاده از نرمافزارهای قدیمیتوصیه میشود كه از نرمافزارهایی كه نسخههای جدید آن به دلیل وجود اشكالات امنیتی در نسخههای قدیمی روانه بازار شده است، استفاده شود و گناهی بس نابخشودنی است كه راهبر سیستم با استفاده از نرمافزارهای قدیمی راه را برای سوءاستفاده كنندهگان باز بگذارد.به عنوان مثال فرمان ls دارای مشكلی بوده كه با قرار دادن آرگومانی خاص میتوان سرریز بافر به وجود آورده و كنترل سیستم را بهدست گرفت. شاید در ماه گذشته بود كه مجموعه نرمافزار مربوط به نمایش اسامی فایلها و شاخهها(ls , lx , lr ,….) در سایتهای مهم قرار داده شد تا استفاده كنندهگان لینوكس آن را بر روی سیستم خود نصب نمایند.4- استفاده ازبرنامههای ناامن و یا پیكربندی شده به صورت نادرستبه دلیل مسائل خاصی بعضی از سیستمها نیاز به مجوزهای خاص داشته و اعمال مجوزها میتواند مسائل غیرقابل پیشبینی را بهوجود آورد و ضمناً با پیكربندی نامناسب نرمافزار، راه برای سوءاستفاده كنندگان باز خواهد شد.به عنوان مثال نرمافزارهایی وجود دارد كه برای اجرا شدن، مجوز s (Set UserID) را لازم داشته و این مجوز در حالتی كه صاحب فایل اجرایی root باشد، بسیار خطرناك است. فرمانی كه این اجازه را دارد با اجرای فراخوانهای سیستم(System call) مانندsetid تغییر مالكیت داده و قدرتroot را كسب مینماید و راهبر سیستم میبایست تاوان این گناه نابخشودنی را نیز بدهد.به عنوان مثال استفاده از FTP و telnet كه اطلاعات را عیناً بر روی شبكه منتقل مینمایند، میتواند نگرانیهایی را برای مسئول سایت به وجود آورده و شاید راهاندازیsshd(secure shell daemon) بتواند كمی از گناهان مسئول سیستم بكاهد و در مورد پیكربندی نادرست فایلها بتوان نامی از فایل .rhosts برد كه مجوز نادرست میتواند باعث لو رفتن اسم رمز گردد. بد نیست به وسیله فرمان find اسامی فایلهایی كه مجوز s را داشته كنترل نموده تا خدای ناكرده برنامه اجرایی با مجوز s در سیستم اضافه نگردد.ضمناً مسئول سیستم در اجرای دستور mount نیز میبایست دقت فراوان داشته باشد تا برنامههایی كه مجوز s بر روی سیدی و فلاپی وجود دارد، اجرا نگردد.5- ناكافی بودن منابع و یا اختصاص دادن ارجحیت نامناسبكم نمودن هزینههای مربوط به امنیت و عدم آموزشهای لازم و تهیه ننمودن نرمافزارهای بازدارنده میتواند تعدادی مسائل غیرقابل پیشبینی به وجود آورد. مخصوصاً جابجایی اولویتهای هزیه نمودن اعتبارات میتواند امنیت سیستم را خدشتهدار نماید. لازم به یادآوری است كه این مطلب فنی نبوده و مدیریتی میباشد ولی راهبر سیستم میبایست مرتباً نكات لازم را در این زمینه به مقامات مسئول گوشزد نماید تا مدیریت ارشد سازمان بیش از بیش به اهمیتِ امنیت پی برده و هزینههای لازم را تامین نمایند. عدم اطلاع رسانی مسؤول سایت دراین زمینه به مدیریتهای مافوق كه احتمالاً در این زمینه نیز تخصصی ندارند، گناهی نابخشودنی است.6- نگهداری UserIDهای قدیمی و غیرلازم و تهیه شناسههای عمومینگهداری UserIDهای قدیمی و شناسههایی مانند TEST میتواند معضلات زیادی را به وجود آورده و امكان سوء استفاده را بالا برد. تهیهی شناسههای عمومی نیز به دلیل نامشخص بودن هویت اصلی كاربر میتواند مشكلزا باشد.مسؤول سایت میبایست رویهای را برای كشف UserID های غیر فعال اتخاذ نماید و به وسیلهی هر روشی كه صلاح میداند پس از تهیه فایل پشتیبان لازم، UserIDهای غیرفعال را در مقاطع معینی متوقف نماید و شاید یكی از بهترین روشها برای این كار عوض نمودن اسم رمز باشد. به عنوان مثال به وسیله دستور زیر میتوان UserID با نام someone را غیر فعال نمود: chmod 000 /home/someone تولید UserID های عمومی مانند test و guest و غیره كه مورد علاقه بسیاری از مهاجمین است، یكی از گناهان غیرقابل بخشش راهبر سیستم میباشد.7- به تعویق انداختن فعالیتهای مهم در زمینه ایجاد امنیت با كم اهمیت دادن مسائل حفاظتی از جمله عدم نصب ترمیمها(Patch) و عدم تهیه فایلهای پشتیبان، میتوان گفت كه مسئول سیستم تیر خلاص را به كامپیوتر تحت الحفظ خود شلیك نموده است و چنان گناهكار خواهد بود كه بخشش جایز نمیباشد.جلال حاجی غلامعلینشریه امن
این صفحه را در گوگل محبوب کنید
[ارسال شده از: تبیان]
[مشاهده در: www.tebyan.net]
[تعداد بازديد از اين مطلب: 394]
-
گوناگون
پربازدیدترینها