Недостатки в программе mountd
Mountd – программа, обеспечивающая работу NFS, оказалась чувствительной к атаке посредством переполнения буфера, в результате чего злоумышленник мог получить доступ в систему с правами root. Ошибку обнаружили вскоре после того, как данная версия mountd была разработана и включена в состав Red Hat 5.1. Сведения о появившейся возможности проникновения в чужую систему и программы, позволяющие воспользоваться этой возможностью, быстро распространились по Internet. Практически немедленно поставщики Linux опубликовали дополнения, позволяющие устранить ошибку. Подробно об этом вы можете прочитать в документе http//www.cert.org/advisories/CA-98.12.mountd.html.
За время, прошедшее между обнаружением ошибки и появлением дополнения, практически все сети, использовавшие mountd и не защищенные брандмауэрами, подверглись нападению.
Приведенный пример еще раз подтверждает следующее.
Необходимо своевременно устанавливать дополнительные модули.
Некоторые программы до сих пор чувствительны к переполнению буферов.
Нельзя предоставлять доступ из Internet к серверам, предназначенным для внутреннего использования. Даже если ни одна файловая система не будет смонтирована с помощью NFS, демон mountd сам по себе может стать орудием взлома.
P.S. Сериал Настоящая Кровь производится в Америке и относится к драматическим сериалам с элементами чёрного юмора.
Итог
Ни одно отдельно взятое средство само по себе не обеспечит достаточный уровень защиты системы. Даже при наличии брандмауэра с фильтрацией пакетов система может быть взломана, если администратор не предпримет дополнительных мер для обеспечения безопасности. В данной главе рассматривались возможности конфигурации серверов, а также инструменты, доступные системным администраторам.
Администратор должен уделить внимание самым различным аспектам функционирования системы. Так, например, для безопасной работы необходимо обеспечить аутентификацию пользователя; при этом администратор должен решить, следует ли применять традиционный механизм, при котором закодированные пароли размешаются в файле passwd, либо надо отдать предпочтение затененным паролям или MD5-паролям. Кроме аутентификации, администратору необходимо решить вопросы авторизации доступа. В данной главе рассматривался ТСР-анализатор, применяемый для контроля доступа к различным службам. Кроме того, вы узнали, какую опасность представляют каталоги, открытые для записи, и каким образом можно уменьшить эту опасность. Для многих серверов, работающих в системе, должны предприниматься специфические меры защиты. Вы ознакомились с особенностями таких серверов, как Telnet, SMTP, FTP, POP и DNS.