[ Pobierz całość w formacie PDF ]
.Rozdział 4.Użytkownicy, grupy i superużytkownikD Upewnij się, że żadnych dwóch użytkowników nie ma wspólnego konta.D Nie nadawaj nigdy żadnym użytkownikom (oprócz użytkowników UUCP) tego samegoidentyfikatora UID.D Pomyśl o tym, jak rozplanować identyfikatory grup, aby promować prawidłowe współużywanie iochronę bez współużywania kont.D Unikaj używania konta root do rutynowych operacji, które można wykonać ze zwykłymidentyfikatorem UID.D Pomyśl o tym, jak ochronić szczególnie ważne pliki na wypadek włamania na konto root.Ochrona ta obejmuje używanie nośników wyjmowanych i szyfrowania.D Ograniczaj dostęp do polecenia su lub możliwość używania go do przełączania na konto root.D Podczas śledzenia raportów o błędach przełączaj się na konta innych użytkowników za pomocąpolecenia su i nie używaj konta root.D Regularnie przeglądaj pliki /varadm/messages, /var/adm/sulog i inne odpowiednie plikirejestrów w poszukiwaniu przyczyn nieprawidłowych prób używania polecenia su.Rozdział 5.System plikówD Poznawaj użyteczne opcje polecenia ls.D Jeśli w systemie funkcjonują listy kontroli dostępu, dowiedz się, jak ich używać.Pamiętaj, abynie opierać się na nich w zakresie ochrony plików i partycji NFS.D Ustaw umask na odpowiednią wartość (np.027 lub 077).D Nie pisz nigdy skryptów SUID/SGID.D Okresowo przeglądaj swój system pod kątem plików SUID/SGID.D Zablokuj opcję SUID dla montowania partycji dysków (lokalnych lub zdalnych), jeśli nie jestona potrzebna.D Sprawdz, czy operacje write, chmod, chown i chgrp zerują w plikach bity SUID/SGID.Wyróbsobie nawyk sprawdzania plików w zależności od tej informacji.D Przeglądaj pliki urządzeń w systemie.Sprawdzaj właścicieli i uprawnienia.D Jeśli system używa światów" lub plików zależnych od kontekstu (CDF), pamiętaj, abywszystkie działania administracyjne dotyczyły wszystkich plików i katalogów systemu.Rozdział 6.KryptografiaD Poznaj restrykcje, jakie rząd nakłada na używanie, eksport i sprzedaż kryptografii.Rozważmożliwość skontaktowania się z legislatorami i przedstawienia im swoich opinii na temat tychpraw, zwłaszcza jeśli prawa te mają negatywny wpływ na możliwość ochrony systemów.D Nigdy nie używaj szyfru rot!3 jako metody ochrony danych.D Nie polegaj na poleceniu crypt w zakresie ochrony szczególnie ważnych danych, jeśli są onedłuższe niż 1024 bajty.D Jeśli do szyfrowania danych używasz algorytmu DES (Data Encryption System), rozważmożliwość stosowania szyfru potrójnego (Triple-DES).D Przed szyfrowaniem plików używaj polecenia compress (lub podobnego programu).D Poznaj zasady używania skrótów wiadomości.Zdobądz i zainstaluj program generowaniaskrótów wiadomości (taki jak MD5).D Nigdy nie używaj hasła logowania jako klucza szyfrowania.Wybieraj klucze szyfrowania tak jakhasła, ale unikaj oczywistych i łatwych do odgadnięcia wyrazów i wzorów.D Chroń klucze szyfrujące tak jak hasła - nie zapisuj ich, nie umieszczaj w skryptach ani nieprzesyłaj przez sieć.D Chroń swoje programy szyfrujące przed modyfikacjami.D Unikaj amatorskich metod szyfrowania, których moc nie jest znana.D Rozważ możliwość uzyskania kopii oprogramowania PGP i udostępnienia go użytkownikomsystemu.Używaj PGP do szyfrowania plików przesyłanych za pomocą poczty elektronicznej orazdo tworzenia i weryfikacji elektronicznych podpisów dla ważnych plików.Rozdział 7.Kopie zapasoweD Regularnie sporządzaj kopie zapasowe.D Pamiętaj, aby na kopii zapasowej znalazło się wszystko.D Pamiętaj o aktualizacji swojego algorytmu w przypadku zmian konfiguracji i zawartościsystemu.D Wykonuj papierowe kopie ważnych plików w celu porównania i odbudowania systemu (np./etc/passwd, /etc/rc czy /etc/fstab).D Przynajmniej kolejne kopie zapisuj na różnych nośnikach, aby uchronić dane na wypadek ichuszkodzenia.D Nie używaj zbyt wiele razy taśmy archiwalnej, gdyż w końcu taśma może sięuszkodzić.D Regularnie próbuj odzyskiwać po kilka plików z każdej z taśm archiwalnych.D Okresowo archiwizuj cały system i zachowaj kopię zapasową na zawsze.D Spróbuj odbudować system od podstaw z taśm archiwalnych i upewnij się, że proceduryarchiwizacji są kompletne.D Trzymaj kopie zapasowe pod kluczem.D Nie przechowuj swoich kopii zapasowych w tym samym pomieszczeniu co systemkomputerowy.Rozważ możliwość przechowywania ich w innym budynku.D Zadbaj, aby dostęp do taśm podczas ich transportu i przechowywania był ograniczony doupoważnionych i zaufanych osób.D Jeśli masz odpowiednie fundusze, rozważ możliwość wykonywania archiwizacji przez sieć iutrzymywania systemu zapasowego, który automatycznie przejmie kontrolę w przypadku awariisystemu podstawowego.D Szyfruj dane archiwalne, ale zdeponuj klucz na wypadek jego zgubienia.D W przypadku używania programu korzystającego z urządzeń w trybie surowym (z ominięciemsystemu plików) rozważ możliwość zamontowania systemu plików w trybie tylko do odczytu, abyzabezpieczyć się przed zmianami w parametrach czasu dostępu do plików.D Okresowo wykonuj kopie papierowe ważnych plików.Rozdział 8.Ochrona kontD Pamiętaj, aby każde konto miało hasło.D Pamiętaj, aby zmieniać hasło każdego domyślnego" konta dostarczonego w zainstalowanymUnixie
[ Pobierz całość w formacie PDF ]