Безопасность информационных систем Виктор Ашик Куратор практик Лекция КИТ, Москва, 11 апреля 2011 г #yakit КИТ План курса — Операционные системы — Архитектура ЭВМ — Устройство GNU/Linux — Системы хранения данных — Файловые системы — Сети и протоколы — Виртуализация — Безопасность Что такое безопасность? Безопасность - состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз (Федеральный закон «О безопасности) Безопасность — такое состояние сложной системы, когда действие внешних и внутренних факторов не приводит к ухудшению системы или к невозможности еѐ функционирования и развития (Заплатинский В М Терминология науки о безопасности) Информационная безопасность Защита информации и информационных систем от угроз: – неправомерные доступ и использование – раскрытие – сбой – ознакомление – исследование – запись/копирование – уничтожение Цели защиты информации Целостность Конфиденциальность Доступность 10 RFC2196 Site Security Handbook Объекты – оборудование – программы – данные – люди – документация – носители (в т.ч бумажные) 11 Матрица доступа /etc/passwd /etc/shadow user O_RDONLY - root O_RDWR O_RDWR 24 Управление доступом Дискреционное (избирательное) Мандатное (принудительное) 25 Дискреционное управление доступом Разрешения Списки управления доступом 26 Дополнительные средства Атрибуты (lsattr, chattr) Capabilities (getcap, setcap) 27 Атрибуты ext2/3/4 lsattr / chattr – append only (a), compressed (c), no dump (d), extent format (e), immutable (i), data journalling (j), secure deletion (s), no tail-merging (t), undeletable (u), no atime updates (A), synchronous directory updates (D), synchronous updates (S), and top of directory hierarchy (T) 28 Разрешения *nix: ls -l Классы доступа – владелец (user) – группа (group) – остальные (other) r — чтение (read) w — запись (write) x — исполнение (eXecute) 29 Модификаторы разрешений SUID — Set User ID SGID — Set Group ID sTicky — липкий бит 30 Двоичная/восьмеричная запись 421 rwx 000 001 010 011 100 101 110 111 31 Двоичная / восьмеричная запись rwxr-x x 32 POSIX ACL getfacl setfacl mount tune2fs tar dump 33 SELinux Метки для процессов и файлов Политика как матрица доступа 34 Средства SELinux ls -Z ; ps -Z getenforce ; setenforce semanage /etc/sysconfig/selinux 35 Apparmor Мандатное управление доступом на основе правил – apparmor_status – aa-complain /bin/ping – aa-complain /etc/apparmor.d/* – aa-enforce /bin/ping – aa-enforce /etc/apparmor.d/* – ln -s /etc/apparmor.d/bin.ping /etc/apparmor.d/disable/ – apparmor_parser -r /etc/apparmor.d/bin.ping 36 – aa-logprof КИТ План курса — Операционные системы — Архитектура ЭВМ — Устройство GNU/Linux — Системы хранения данных — Файловые системы — Сети и протоколы — Виртуализация — Безопасность 37 Виктор Ашик Куратор практик 119021, Россия, Москва, ул Льва Толстого, д 16 +7 (495) 739-70-00 +7 (495) 739-70-70 — факс vashik@yandex-team.ru ... Конфиденциальность Доступность 10 RFC2196 Site Security Handbook Объекты – оборудование – программы – данные – люди – документация – носители (в т.ч бумажные) 11 RFC2196 Site Security Handbook Угрозы – неправомерный... неправомерное раскрытие информации – отказ в обслуживании 12 ISECOM OSSTMM Institute for Security and Open Methodologies Open Source Security Testing Methodology Manual 13 Пористость Видимость Доступ Доверие... PAM / NSS Модульные средства аутентификации и авторизации – /etc/nsswitch.conf – /etc/pam.d/ – /etc /security/ – /lib /security/ 22 Управление доступом 23 Матрица доступа /etc/passwd /etc/shadow