diff options
Diffstat (limited to 'documentation/content/ru/books/handbook/security/_index.adoc')
| -rw-r--r-- | documentation/content/ru/books/handbook/security/_index.adoc | 2653 |
1 files changed, 1158 insertions, 1495 deletions
diff --git a/documentation/content/ru/books/handbook/security/_index.adoc b/documentation/content/ru/books/handbook/security/_index.adoc index f295d8c0be..a5ff6753f2 100644 --- a/documentation/content/ru/books/handbook/security/_index.adoc +++ b/documentation/content/ru/books/handbook/security/_index.adoc @@ -1,12 +1,14 @@ --- -title: Глава 14. Безопасность -part: Часть III. Системное администрирование +description: 'Описаны сотни стандартных практик о том, как защитить системы и сети, и для пользователя FreeBSD понимание того, как защититься от атак и злоумышленников, является обязательным' +next: books/handbook/jails +params: + path: /books/handbook/security/ +part: 'Часть III. Администрирование системы' prev: books/handbook/boot -next: books/handbook/mac showBookMenu: true -weight: 18 -params: - path: "/books/handbook/security/" +tags: ["security", "TCP Wrappers", "Kerberos", "OpenSSL", "OpenSSH", "ACL", "NFSv4 ACLs", "advisories", "sudo", "doas", "capsicum", "monitoring"] +title: 'Глава 16. Безопасность' +weight: 20 --- [[security]] @@ -17,7 +19,7 @@ params: :icons: font :sectnums: :sectnumlevels: 6 -:sectnumoffset: 14 +:sectnumoffset: 16 :partnums: :source-highlighter: rouge :experimental: @@ -48,1152 +50,883 @@ include::../../../../../shared/asciidoctor.adoc[] endif::[] [[security-synopsis]] -== Краткое описание - -Эта глава представляет введение в основные концепции безопасности системы, некоторые эмпирические правила и более подробно обращается к отдельным темам, касающимся FreeBSD. Большая часть затрагиваемых тем может быть применена к безопасности системы и безопасности в интернет вообще. Интернет больше не то "дружественное" место, где каждый хочет быть вам добрым соседом. Защита системы необходима для сохранения ваших данных, интеллектуальной собственности, времени и всего остального от хакеров и им подобных. +== Обзор -FreeBSD предоставляет массу утилит и механизмов для обеспечения целостности и безопасности системы и сети. +Сотни стандартных практик написаны о том, как защитить системы и сети, и, как пользователю FreeBSD, понимание того, как защититься от атак и злоумышленников, является обязательным. -После прочтения этой главы вы узнаете: +В этой главе будут рассмотрены несколько основополагающих принципов и методов. Система FreeBSD включает в себя несколько уровней безопасности, а также множество сторонних утилит, которые могут быть добавлены для её усиления. -* Основные концепции безопасности системы, специфику FreeBSD. -* О различных механизмах шифрования в FreeBSD, таких как DES и MD5. -* Как настроить аутентификацию с использованием одноразовых паролей. -* Как настроить TCP Wrappers для использования с `inetd`. -* Как настроить KerberosIV в релизах FreeBSD до 5.0. -* Как настроить Kerberos5 в FreeBSD. -* Как настроить IPsec и создать VPN между компьютерами на FreeBSD/Windows(R). -* Как настроить и использовать OpenSSH, реализацию SSH в FreeBSD. -* Что такое ACL и как их использовать. -* Как использовать утилиту Portaudit для проверки пакетов сторонних разработчиков, установленных из Коллекции Портов. -* Как работать с сообщениями безопасности FreeBSD. -* Что такое Process Accounting и как активировать его во FreeBSD. +Эта глава охватывает: -Перед чтением этой главы вам потребуется: +* Основные концепции безопасности системы FreeBSD. +* Доступные в FreeBSD механизмы шифрования. +* Как настроить TCP Wrappers для использования с man:inetd[8]. +* Как настроить Kerberos на FreeBSD. +* Как настроить и использовать OpenSSH на FreeBSD. +* Как использовать OpenSSL в FreeBSD. +* Как использовать ACL файловых систем. +* Как использовать pkg для аудита сторонних программных пакетов, установленных из Коллекции портов. +* Как использовать рекомендации по безопасности FreeBSD. +* Что такое учёт процессов и как его включить в FreeBSD. +* Как управлять ресурсами пользователей с помощью классов входа или базы данных ограничений ресурсов. +* Что такое Capsicum и базовый пример. -* Понимание основных концепций FreeBSD и интернет. - -В этой книге рассмотрены и другие вопросы безопасности. Например, принудительный контроль доступа (Mandatory Access Control) рассматривается в crossref:mac[mac, Принудительный контроль доступа (MAC)], а брандмауэры в crossref:firewalls[firewalls, Межсетевые экраны]. +Некоторые темы из-за их сложности рассматриваются в отдельных главах, таких как crossref:firewalls[firewalls,Межсетевые экраны], crossref:mac[mac,Принудительное управление доступом], и статьях, например extref:{vpn-ipsec}[VPN через IPsec]. [[security-intro]] == Введение -Безопасность это первая и основная функция системного администратора. Хотя все многопользовательские системы BSD UNIX(R) уже снабжены некоторой защитой, работа по созданию и поддержке дополнительных механизмов безопасности, обеспечивающих защищенную работу пользователей, это одна из самых серьезных задач системного администратора. Компьютеры безопасны настолько, насколько вы сделаете их безопасными и требования безопасности всегда находятся в противоречии с удобством работы пользователей. Системы UNIX(R) способны одновременно работать с огромным количеством процессов и многие из этих процессов серверные - это означает, что с ними могут взаимодействовать внешние программы. Сегодня десктопы заменили мини-компьютеры и мэйнфрэймы, и поскольку компьютеры в наши дни подключены к сети интернет, безопасность важна как никогда. - -Наилучшая реализация системы безопасности представима в виде "послойной" системы. Вообще говоря все, что нужно сделать, это создать столько слоев безопасности, сколько необходимо и затем внимательно следить за вторжениями в систему. Не переусердствуйте в настройке системы безопасности, иначе она сделает невозможной обнаружение вторжений, являющееся одним из наиболее важных аспектов механизма безопасности. Например, нет большого смысла в установке флага `schg` (man:chflags[1]) на каждый исполняемый файл системы, поскольку хотя таким способом можно временно защитить исполняемые файлы, это помешает обнаружению факта взлома системы. +Безопасность — это ответственность каждого. Слабое звено в любой системе может позволить злоумышленникам получить доступ к важной информации и нанести ущерб всей сети. Один из основных принципов информационной безопасности — триада КИД, которая означает Конфиденциальность, Целостность и Доступность информационных систем. -Безопасность системы также относится к различным формам атак, имеющих своей целью вызвать крах системы, или сделать систему недоступной другим способом, но не пытающихся получить доступ к учётной записи `root` ("break root"). Угрозы безопасности могут быть поделены на несколько категорий: +Триада КИД (конфиденциальность, целостность, доступность) — это фундаментальная концепция безопасности в компьютерных системах, так как клиенты и пользователи ожидают, что их данные будут защищены. Например, клиент ожидает, что информация о его кредитной карте хранится безопасно (конфиденциальность), что его заказы не будут изменены без его ведома (целостность) и что он в любое время сможет получить доступ к информации о своих заказах (доступность). -. Отказ в обслуживании (Denial of service, DoS). -. Взлом пользовательских учётных записей. -. Взлом учётной записи root через доступные сервисы. -. Взлом учётной записи root через учётные записи пользователей. -. Создание backdoor. +Для обеспечения КИД специалисты по безопасности применяют стратегию "глубокой эшелонированной защиты". Идея глубокой эшелонированной защиты заключается в добавлении нескольких уровней безопасности, чтобы предотвратить отказ одного уровня и полный крах всей системы безопасности. Например, системный администратор не может просто включить межсетевой экран и считать сеть или систему безопасными. Необходимо также проводить аудит учетных записей, проверять целостность бинарных файлов и убеждаться, что вредоносные инструменты не установлены. Для реализации эффективной стратегии безопасности необходимо понимать угрозы и способы защиты от них. -Атака "отказ в обслуживании" отбирает у машины необходимые ресурсы. Обычно DoS атаки используют грубую силу, чтобы попытаться обрушить систему или сделать ее недоступной другим способом, превысив лимиты ее сервисов или сетевого стека. Некоторые DoS атаки пытаются использовать ошибки в сетевом стеке для обрушения системы одним пакетом. Эту проблему можно решить только исправив ядро системы. Атаки зачастую можно предотвратить правильной установкой параметров, ограничивающих нагрузку на систему в неблагоприятных условиях. С атаками, использующими грубую силу, бороться сложно. Например, атака с использованием пакетов с поддельными адресами, которую почти невозможно остановить, может быстро отключить вашу систему от интернет. Возможно, она не приведет к отказу системы, но сможет переполнить соединение с интернет. +Что такое угроза в контексте компьютерной безопасности? Угрозы не ограничиваются удаленными злоумышленниками, которые пытаются получить доступ к системе без разрешения из удаленного местоположения. Угрозы также включают сотрудников, вредоносное программное обеспечение, несанкционированные сетевые устройства, стихийные бедствия, уязвимости безопасности и даже конкурирующие компании. -Взлом учётной записи пользователя обычно встречается чаще, чем DoS атаки. Многие системные администраторы все еще используют стандартные сервисы telnetd, rlogind и ftpd на своих серверах. Эти сервисы по умолчанию не работают с зашифрованными соединениям. В результате при среднем количестве пользователей пароль одного или нескольких пользователей, входящих в систему через внешнее соединение (это обычный и наиболее удобный способ входа в систему), будет перехвачен. Внимательный системный администратор должен анализировать логи удаленного доступа на предмет подозрительных адресов пользователей даже в случае успешного входа. +Системы и сети могут быть доступны без разрешения, иногда случайно, или удаленными злоумышленниками, а в некоторых случаях — посредством корпоративного шпионажа или действий бывших сотрудников. Как пользователю, важно быть готовым признать, когда ошибка привела к нарушению безопасности, и сообщить о возможных проблемах команде безопасности. Как администратору, важно знать об угрозах и быть готовым к их устранению. -Кто-то может предположить, что атакующий при наличии доступа к учётной записи пользователя может взломать учётную запись `root`. Однако, реальность такова, что в хорошо защищенной и поддерживаемой системе доступ к учётной записи пользователя не обязательно даст атакующему доступ к `root`. Разница между доступом к обычной учётной записи и к `root` важна, поскольку без доступа к `root` атакующий обычно не способен скрыть свои действия, и в худшем случае сможет лишь испортить файлы пользователя или вызвать крах системы. Взлом пользовательских учётных записей встречается очень часто, поскольку пользователи заботятся о безопасности так, как системные администраторы. +Применяя меры безопасности к системам, рекомендуется начать с защиты базовых учетных записей и конфигурации системы, а затем обеспечить безопасность сетевого уровня, чтобы он соответствовал политике системы и процедурам безопасности организации. Многие организации уже имеют политику безопасности, которая охватывает конфигурацию технологических устройств. Эта политика должна включать настройки безопасности рабочих станций, настольных компьютеров, мобильных устройств, телефонов, производственных серверов и серверов разработки. Во многих случаях уже существуют стандартные операционные процедуры (СОП). Если возникают сомнения, обратитесь к команде безопасности. -Системные администраторы должны помнить, что существует множество потенциальных способов взлома учётной записи `root`. Атакующий может узнать пароль `root`, найти ошибку в сервисе, работающем с привилегиями и взломать учётную запись `root` через сетевое соединение с этим сервисом, или узнать об ошибке в suid-root программе, позволяющей атакующему взлом `root` с помощью взломанной учётной записи пользователя. Если атакующий нашел способ взлома `root`, ему может не понадобиться установка backdoor. Многие из обнаруженных и закрытых на сегодняшний день брешей в системе, позволяющие взлом `root`, требуют от атакующего серьезной работы по заметанию следов, поэтому большинство атакующих устанавливают backdoor. Backdoor предоставляет атакующему простой способ восстановления доступа к системе с привилегиями `root`, но также дает системному администратору удобный способ обнаружения вторжения. Устранение возможности установки backdoor возможно повредит безопасности системы, поскольку это не устранит брешь, позволившую проникнуть в систему. +[[sec-accounts]] +== Защита учетных записей -Меры безопасности всегда должны реализовываться на нескольких уровнях, которые могут быть классифицированы следующим образом: +Поддержание безопасных учетных записей в FreeBSD крайне важно для конфиденциальности данных, целостности системы и разделения привилегий, так как это предотвращает несанкционированный доступ, вредоносное ПО и утечки данных, обеспечивая соответствие требованиям и защищая репутацию организации. -. Защита `root` и служебных учётных записей. -. Защита работающих под `root` сервисов и suid/sgid исполняемых файлов. -. Защита учётных записей пользователей. -. Защита файла паролей. -. Защита ядра, raw устройств и файловых систем. -. Быстрое обнаружение несанкционированных изменений в системе. -. Паранойя. +[[security-accounts]] +=== Предотвращение входов в систему -В следующем разделе этой главы эти темы изложены более подробно. +При обеспечении безопасности системы хорошей отправной точкой является аудит учетных записей. Отключите все учетные записи, которым не требуется доступ для входа. -[[securing-freebsd]] -== Защита FreeBSD - -[NOTE] -.Команда и протокол +[TIP] ==== -В этом документе мы будет использовать выделенный текст, упоминая приложение, и `моноширинный` шрифт, упоминая определенные команды. Для протоколов используется обычный шрифт. Это типографическое отличие полезно для таких случаев, как ssh, поскольку это и команда и протокол. +Убедитесь, что у пользователя `root` установлен надежный пароль и что этот пароль не используется совместно. ==== -В последующем разделе будут рассмотрены методы защиты системы FreeBSD, упомянутые в <<security-intro,предыдущем разделе>> этой главы. - -[[securing-root-and-staff]] -=== Защита учётной записи `root` и служебных учётных записей - -Во-первых, не беспокойтесь о защите служебных учётных записей, если не защищена учётная запись `root`. В большинстве систем у учётной записи `root` есть пароль. Использование пароля `root` опасно _всегда_. Это не означает, что вы должны удалить пароль. Пароль почти всегда необходим для доступа по консоли. Но это означает, что вы должны сделать невозможным использование пароля не из консоли или может быть даже с помощью команды man:su[1]. Например, убедитесь, что псевдо-терминалы в файле [.filename]#/etc/ttys# перечислены с параметром `insecure`, что делает невозможным вход на них под `root` напрямую с помощью `telnet` или `rlogin`. При использовании других средств входа, таких как sshd, убедитесь что вход под `root` напрямую отключен и в них. Сделайте это, открыв файл [.filename]#/etc/ssh/sshd_config#, и убедившись, что параметр `PermitRootLogin` установлен в `NO`. Проверьте каждый метод доступа - сервис FTP и ему подобные часто подвержены взлому. Прямой вход под `root` должен быть разрешен только с системной консоли. - -Конечно, как системный администратор вы должны иметь доступ `root`, поэтому потребуется открыть несколько "лазеек". Но убедитесь, что для доступа к ним необходим дополнительный пароль. Одним из способов доступа к `root` является добавление соответствующих учётных записей к группе `wheel` (в файле [.filename]#/etc/group#). Это позволяет использовать `su` для доступа к `root`. Вы никогда не должны давать таким учётным записям доступ к `wheel` непосредственно, помещая их в группу `wheel` в файле паролей. Служебные учётные записи должны помещаться в группу `staff`, а затем добавляться к группе `wheel` в файле [.filename]#/etc/group#. Только те члены группы staff, которым действительно нужен доступ к `root`, должны быть помещены в группу `wheel`. При работе с такими методами аутентификации как Kerberos, возможно также использование файла [.filename]#.k5login# в каталоге пользователя `root` для доступа к учётной записи `root` с помощью man:ksu[1] без помещения кого-либо в группу `wheel`. Это решение возможно лучше, поскольку механизм `wheel` все еще позволяет взлом `root`, если злоумышленник получил копию файла паролей и смог взломать служебную учётную запись. Хотя использование механизма `wheel` лучше, чем работа через `root` напрямую, это не обязательно самый безопасный способ. +Для запрета входа в учетные записи существуют два метода. -Непрямой способ защиты служебных учётных записей и конечно `root` это использование альтернативных методов доступа и замена зашифрованных паролей на символ "`*`". Используя команду man:vipw[8], замените каждый зашифрованный пароль служебных учётных записей на этот символ для запрета входа с аутентификацией по паролю. Эта команда обновит файл [.filename]#/etc/master.passwd# и базу данных пользователей/паролей. +Первый способ — заблокировать учетную запись, в этом примере показано, как заблокировать учетную запись `imani`: -Служебная учётная запись вроде этой: - -[.programlisting] +[source, shell] .... -foobar:R9DT/Fa1/LV9U:1000:1000::0:0:Foo Bar:/home/foobar:/usr/local/bin/tcsh +# pw lock imani .... -Должна быть заменена на такую: +Второй способ — запретить вход в систему, изменив оболочку на [.filename]#/usr/sbin/nologin#. Оболочка man:nologin[8] предотвращает назначение оболочки пользователю при попытке входа в систему. -[.programlisting] +Только суперпользователь может изменить оболочку для других пользователей: + +[source, shell] .... -foobar:*:1000:1000::0:0:Foo Bar:/home/foobar:/usr/local/bin/tcsh +# chsh -s /usr/sbin/nologin imani .... -Это изменение предотвратит обычный вход, поскольку зашифрованный пароль никогда не совпадет с "`\*`". После этого члены группы staff должны использовать другой механизм аутентификации, например man:kerberos[1] или man:ssh[1] с парой ключей: публичным и приватным. При использовании такой системы как Kerberos, потребуется защитить сервер Kerberos и рабочую станцию. При использовании пары публичного/приватного ключей с ssh, потребуется защитить компьютер, _с_ которого происходит вход (обычно это рабочая станция). Дополнительных слой защиты может быть добавлен путем защиты пары ключей при создании их с помощью man:ssh-keygen[1]. Возможность заменить пароли служебных учётных записей на "`*`" гарантирует также, что вход может быть осуществлен только через защищенные методы доступа, которые вы настроили. Это принуждает всех членов staff использовать защищенные, шифрованные соединения для всех входов, что закрывает большую брешь, используемую многими нарушителями: перехват паролей с другого, слабо защищенного компьютера. - -Более непрямой механизм безопасности предполагает, что вы входите с более защищенного сервера на менее защищенный. Например, если главный сервер работает со всеми сервисами, рабочая станция не должна работать ни с одним. Для поднятия уровня безопасности до приемлемого уровня, число запущенных на ней сервисов необходимо сократить до минимума, вплоть до отключения их всех, кроме того необходимо использовать защищенный паролем хранитель экрана. Конечно, при наличии физического доступа к рабочей станции атакующий может взломать любую систему безопасности. Это определенно проблема, которую вы должны учитывать, но учтите также тот факт, что большинство взломов совершаются удаленно, через сеть, людьми, которые не имеют физического доступа к вашим рабочим станциям или серверам. - -Использование такой системы как Kerberos дает возможность заблокировать или изменить пароль в одном месте, что сразу отразиться на всех компьютерах, где существует служебная учётная запись. Если эта учётная запись будет взломана, возможность немедленно изменить пароль на всех компьютерах нельзя недооценивать. Без этой возможности изменение паролей на N машинах может стать проблемой. Вы можете также наложить ограничения на смену паролей с помощью Kerberos: не только установить значения timeout в Kerberos, но и добавить требование смены пароля пользователем после определенного периода времени (скажем, раз в месяц). - -=== Защита работающих под root сервисов и suid/sgid исполняемых файлов - -Предусмотрительный системный администратор запускает только те сервисы, в которых нуждается, ни больше ни меньше. Учитывайте, что сервисы сторонних разработчиков наиболее подвержены ошибкам. К примеру, работа со старыми версиями imapd или popper это все равно что раздача доступа `root` всему миру. Никогда не запускайте сервисы, которые вы не проверили достаточно внимательно. Многим сервисам не требуется работа под `root`. Например, даемоны ntalk, comsat, и finger могут быть запущены в так называемых _песочницах_ (_sandboxes_). Песочница это не идеальное решение, поскольку вызывает много проблем, но она подходит под модель послойной безопасности: если кто-то сможет взломать сервис, работающий в песочнице, ему потребуется взломать еще и саму песочницу. Чем больше уровней ("слоев") потребуется пройти атакующему, тем меньше вероятность его успеха. Ошибки, позволяющие получать root доступ, находили фактически во всех сервисах, запускаемых под `root`, включая основные системные сервисы. Если вы обслуживаете машину, на которую входят только через sshd и никогда не входят через telnetd, rshd или rlogind, отключите эти сервисы! - -В FreeBSD сервисы ntalkd, comsat и finger теперь по умолчанию работают в "песочнице". Другая программа, которая может быть кандидатом на запуск в "песочнице" это man:named[8]. [.filename]#/etc/defaults/rc.conf# включает необходимые для запуска named в "песочнице" аргументы в закомментированой форме. В зависимости от того, устанавливаете ли вы новую систему, или обновляете старую, учётные записи пользователей, используемые этими "песочницами" могут не быть созданы. Предусмотрительный системный администратор должен узнать о "песочницах" для сервисов и установить их если есть возможность. +[[security-passwords]] +=== Хеши паролей -Есть множество других сервисов, которые обычно не работают в "песочницах": sendmail, popper, imapd, ftpd, и другие. Некоторым из этих сервисов есть альтернативы, но их установка может потребовать больше работы, чем вы готовы выполнить (фактор удобства). Вы можете запустить эти сервисы под `root` и положиться на другие механизмы обнаружения вторжений, которые могут пройти через них. +Пароли — это неизбежное зло в мире технологий. Когда их использование необходимо, они должны быть сложными, а для хранения зашифрованной версии в базе данных паролей следует использовать надежный механизм хеширования. FreeBSD поддерживает несколько алгоритмов, включая SHA256, SHA512 и Blowfish, в своей библиотеке `crypt()`. Подробности можно найти в man:crypt[3]. -Другая большая потенциальная `root` брешь в системе это suid-root и sgid исполняемые файлы. Большинство этих исполняемых файлов, таких как rlogin, установлены в [.filename]#/bin#, [.filename]#/sbin#, [.filename]#/usr/bin#, или [.filename]#/usr/sbin#. Хотя ничто не может быть безопасно на 100%, находящиеся по умолчанию в системе suid и sgid исполняемые файлы могут быть признаны достаточно безопасными. Но `root` бреши все еще обнаруживаются в этих исполняемых файлах. `root` брешь, обнаруженная в `Xlib` в 1998 делала xterm (который обычно suid) подверженным взлому. Лучше сразу принять меры предосторожности, чем сожалеть потом. Предусмотрительный системный администратор ограничит права запуска suid исполняемых файлов, которые должны запускаться пользователями группы staff, только этой группой, а также запретит доступ (`chmod 000`) к тем исполняемым файлам suid, которые никем не используются. Серверу без монитора обычно не требуется исполняемый файл xterm. Исполняемые sgid исполняемые файлы могут быть почти так же опасны. Если нарушитель сможет взломать sgid-kmem исполняемый файл, он возможно сможет прочесть [.filename]#/dev/kmem# и таким образом получить файл зашифрованных паролей, что потенциально делает возможным взлом любой защищённой паролем учётной записи. Аналогично нарушитель, проникший в группу `kmem`, может отслеживать последовательности клавиш, отправляемые через псевдо-терминалы, включая те, что используют защищённые соединения. Нарушитель, вошедший в группу `tty` может сделать вывод почти на любой пользовательский терминал. Если пользователь работает с терминальной программой или эмулятором с возможностью эмуляции клавиатуры, взломщик может потенциально сгенерировать поток данных, который заставит терминал пользователя ввести команду, и она будет запущена с правами этого пользователя. +По умолчанию используется SHA512, и его не следует заменять на менее безопасный алгоритм хеширования, но можно перейти на более безопасный алгоритм Blowfish. -[[secure-users]] -=== Защита учётных записей пользователей - -Учетные записи пользователей обычно сложнее всего защитить. Вы можете ввести драконовские ограничения доступа к служебным учётным записям, заменив их пароли на символ "`*`", но возможно не сможете сделать то же с обычными учётными записями пользователей. Если есть такая возможность, вы возможно сможете защитить учётные записи пользователей соответствующим образом. Если нет, просто более бдительно отслеживайте эти учётные записи. Использование ssh и Kerberos для учётных записей пользователей более проблематично, поскольку требует дополнительной административной работы и технической поддержки, но все же это решение лучше, чем файл с шифрованными паролями. - -=== Защита файла паролей - -Единственный абсолютно надежный способ это замена на `*` максимально возможного количества паролей и использование ssh или Kerberos для доступа к таким учётным записям. Хотя файл с шифрованными паролями ([.filename]#/etc/spwd.db#) доступен для чтения только `root`, возможно, что нарушитель сможет получить доступ на чтение к этому файлу, даже если не получит права `root` на запись. - -Ваши скрипты безопасности должны всегда проверять и составлять отчет об изменениях файла паролей (обратитесь к разделу <<security-integrity,Проверка целостности файлов>> ниже по тексту). - -=== Защита ядра, raw устройств и файловых систем - -Если атакующий взломает `root`, он сможет сделать практически все, но есть способы усложнить его задачу. Например, в большинстве современных ядер встроено устройство перехвата пакетов. В FreeBSD оно называется [.filename]#bpf#. Нарушитель обычно пытается запустить перехват пакетов на взломанной машине. Вы не должны предоставлять ему такой возможности, на большинстве систем устройство [.filename]#bpf# не должно быть встроено в ядро. - -Но даже если вы выключите устройство [.filename]#bpf#, все еще остаются проблемы, связанные с устройствами [.filename]#/dev/mem# и [.filename]#/dev/kmem#. Нарушитель все еще может писать на дисковые raw устройства. Есть также другая возможность ядра, загрузка модулей, man:kldload[8]. Активный нарушитель может использовать KLD модуль для установки собственного устройства [.filename]#bpf# или другого перехватывающего устройства на работающее ядро. Для решения этих проблем запускайте ядро с большим уровнем безопасности, как минимум 1. Уровень безопасности может быть установлен с помощью `sysctl` через переменную `kern.securelevel`. После установки уровня безопасности в 1 доступ на запись в raw устройства будет запрещена и полностью заработают специальные флаги `chflags`, такие как `schg`. Убедитесь также, что флаг `schg` установлен на критически важных загрузочных исполняемых файлах, каталогах и файлах скриптов - на всем, что запускается до установке уровня безопасности. Это требует большого объема работы, и обновление системы на более высоком уровне безопасности может стать гораздо сложнее. Вы можете пойти на компромисс и запускать систему на высоком уровне безопасности, но не устанавливать флаг `schg` для каждого существующего системного файла и каталога. Другая возможность состоит в монтировании [.filename]#/# и [.filename]#/usr# только для чтения. Необходимо заметить, что такие правила слишком жесткие и могут помешать обнаружению вторжения. - -[[security-integrity]] -=== Проверка целостности файлов: исполняемые, конфигурационные файлы и т.д. - -Вы можете защищать только ядро, файлы настройки и управления системой только до тех пор, пока эта защита не вступит в конфликт с удобством работы в системе. Например, использование `chflags` для установки бита `schg` на большинство файлов в [.filename]#/# вероятно может только навредить, поскольку хотя и может защитить файлы, препятствует обнаружению. Последний слой системы безопасности, возможно, наиболее важный - обнаружение. Остальные меры безопасности практически бесполезны (или, что еще хуже, могут дать вам ложное ощущение безопасности) если вы не обнаружите потенциальное вторжение. Половина функций системы безопасности направлена на замедление атакующего, а не на его остановку, для того, чтобы дать системе обнаружения возможность поймать нарушителя на месте преступления. +[NOTE] +==== +Blowfish не является частью AES и не соответствует Федеральным стандартам обработки информации (FIPS). Его использование может быть запрещено в некоторых средах. +==== -Лучший способ обнаружения вторжения - отслеживание измененных, отсутствующих, или неожиданно появившихся файлов. Для наблюдения за измененными файлами лучше всего использовать другую (зачастую централизованную) систему с ограниченным доступом. Добавление написанных вами скриптов к этой дополнительно защищенной системе с ограниченным доступом делает ее практически невидимой для потенциальных взломщиков, и это важно. В целях достижения максимального эффекта вам может потребоваться предоставить этой системе доступ к другим машинам в сети, обычно с помощью NFS экспорта только для чтения или сгенерировав пары ключей ssh для доступа к другим машинам по ssh. Помимо большого объема сетевого трафика, NFS более скрытый метод - он позволяет контролировать файловые системы на каждом клиентском компьютере практически незаметно. Если ваш сервер с ограниченным доступом подключен к клиентским компьютерам через коммутатор, NFS метод это зачастую лучший выбор. При соединении через концентратор, или через несколько маршрутизаторов, NFS метод может стать слишком небезопасным и использование ssh может стать лучшим выбором даже несмотря на то, что ssh оставляет следы своей работы. +Для определения того, какой алгоритм хеширования используется для шифрования пароля пользователя, суперпользователь может просмотреть хеш пользователя в базе данных паролей FreeBSD. Каждый хеш начинается с символа, который указывает на тип механизма хеширования, использованного для шифрования пароля. -Как только у вас появился сервер с ограниченным доступом, и как минимум доступ на чтение в клиентских системах, потребуется написать скрипты для выполнения мониторинга. При наличии доступа по NFS вы можете написать скрипты с помощью простых системных утилит, таких как man:find[1] и man:md5[1]. Лучше всего подсчитывать md5 файлов на клиентском компьютере как минимум один раз в день, а файлы, контролирующие запуск из [.filename]#/etc# и [.filename]#/usr/local/etc# даже более часто. При обнаружении расхождений в md5, контролирующий компьютер должен просигналить системному администратору проверить изменившиеся файлы. Хороший скрипт безопасности проверит также наличие несоответствующих исполняемых suid файлов и новых или измененных файлов в системных разделах [.filename]#/# и [.filename]#/usr#. +Если используется DES, начальный символ отсутствует. Для MD5 символ — `$`. Для SHA256 и SHA512 символ — `$6$`. Для Blowfish символ — `$2a$`. В этом примере пароль для `imani` хеширован с использованием алгоритма SHA512 по умолчанию, так как хеш начинается с `$6$`. Обратите внимание, что в базе данных паролей хранится зашифрованный хеш, а не сам пароль: -При использовании ssh вместо NFS, написать скрипты безопасности гораздо сложнее. Вам обязательно потребуется скопировать (`scp`) скрипты на клиентский компьютер, сделать из невидимыми, и для безопасности потребуется также скопировать исполняемые файлы (такие как find), которые будут использоваться скриптом. Приложение ssh на клиентском компьютере может быть уже взломано. В конечном итоге, без ssh не обойтись при работе через небезопасные соединения, но его гораздо сложнее использовать. +[source, shell] +.... +# grep imani /etc/master.passwd +.... -Хороший скрипт безопасности проверит также изменения в файлах настройки, работающих при подключении пользователей и служебных учётных записей: [.filename]#.rhosts#, [.filename]#.shosts#, [.filename]#.ssh/authorized_keys# и так далее... файлы, которые могли не попасть в область проверки `MD5`. +Вывод должен быть похож на следующий: -Если для пользователей выделен большой объем дискового пространства, проверка каждого файла на таких разделах может занять слишком много времени. В таком случае установка флагов монтирования для запрета suid исполняемых файлов и устройств на таких разделах это хорошая идея. Примените параметры man:mount[8] `nodev` и `nosuid`. Проверяйте эти разделы в любом случае, хотя бы раз в неделю, поскольку необходимо обнаруживать попытки взлома, независимо от того, эффективны они или нет. +[.programlisting] +.... +imani:$6$pzIjSvCAn.PBYQBA$PXpSeWPx3g5kscj3IMiM7tUEUSPmGexxta.8Lt9TGSi2lNQqYGKszsBPuGME0:1001:1001::0:0:imani:/usr/home/imani:/bin/sh +.... -Учет процессов (man:accton[8]) это относительно несложная возможность операционной системы, которая может помочь как механизм обнаружения состоявшихся вторжений. Она особенно полезна для обнаружения пути проникновения нарушителя в систему, если файл не был затронут проникновением. +Механизм хеширования задается в классе входа пользователя. -Наконец, скрипты безопасности должны обработать лог файлы, которые необходимо создавать настолько защищенным способом, насколько это возможно - подключение syslog удаленно может быть очень полезным. Злоумышленник попытается уничтожить следы взлома, и лог файлы критически важны для системного администратора, пытающегося отследить время и метод первого проникновения. Один из надежных способов получения лог файлов является подключение системной консоли к последовательному порту и постоянный сбор информации через защищенную машину, отслеживающую консоли. +Следующая команда позволяет проверить, какой механизм хеширования используется в данный момент: -=== Паранойя +[source, shell] +.... +% grep passwd_format /etc/login.conf +.... -Немного паранойи никогда не повредит. Как правило, системный администратор может добавлять элементы безопасности в любом количестве, пока это не влияет на удобство, а также некоторое количество элементов безопасности, _влияющих_ на удобство. Что даже более важно, системный администратор должен немного изменить их - если вы используете рекомендации, например те, что даны в этом документе, они становятся известны атакующему, который также имеет доступ к этому документу. +Вывод должен быть похож на следующий: -=== Атаки DoS +[.programlisting] +.... +:passwd_format=sha512:\ +.... -Этот раздел охватывает DoS атаки. DoS атаки это обычно пакетные атаки. Хотя против современной атаки с подделкой пакетов, которая перегружает сеть, мало что можно сделать, вы можете ограничить повреждения, убедившись, что атака не может обрушить ваши сервера. +Например, чтобы изменить алгоритм на Blowfish, измените эту строку следующим образом: -. Ограничение количества порождаемых процессов. -. Уменьшение последствий springboard атак (ICMP ответ, широковещательный ping и т.д.). -. Кэш маршрутизации ядра. +[.programlisting] +.... +:passwd_format=blf:\ +.... -Обычная DoS атака против порождающего процессы сервера пытается исчерпать ресурсы сервера по процессам, файловым дескрипторам и памяти до тех пор, пока машина не "повиснет". У inetd (обратитесь к man:inetd[8]) есть несколько параметров, позволяющих ограничить такие атаки. Необходимо учесть, что хотя можно предотвратить падение системы, в общем случае невозможно предотвратить прекращение работы сервиса. Внимательно прочтите страницу справочника и обратите особое внимание на параметры `-c`, `-C`, и `-R`. Учтите, что параметр `-C` не работает в случае атак с использованием поддельных IP пакетов, поэтому как правило необходимо использование комбинации параметров. Некоторые standalone сервисы используют собственные параметры, ограничивающие порождение процессов. +Затем необходимо выполнить man:cap_mkdb[1] для обновления базы данных login.conf: -У Sendmail есть собственный параметр `-OMaxDaemonChildren`, которая работает гораздо лучше, чем параметр sendmail, ограничивающий нагрузку. Вам необходимо задать параметр запуска sendmail`MaxDaemonChildren` достаточно большим, чтобы обслуживать ожидаемую нагрузку, но так, чтобы компьютер мог обслужить такое количество приложений sendmail без падения системы. Хорошей мерой является запуск sendmail в режиме очереди (`-ODeliveryMode=queued`) и запуск даемона (`sendmail -bd`) отдельно от очереди (`sendmail -q15m`). Если вы все же хотите организовать доставку в режиме реального времени, запускайте очередь с меньшим интервалом `-q1m`, но убедитесь в правильной установке параметра sendmail `MaxDaemonChildren` для предотвращения ошибок. +[source, shell] +.... +# cap_mkdb /etc/login.conf +.... -Syslogd может быть атакован непосредственно, настоятельно рекомендуется использовать параметр `-s` если это возможно и параметр `-a` в остальных случаях. +Обратите внимание, что это изменение не затронет существующие хэши паролей. Это означает, что все пароли должны быть перехэшированы, для чего пользователям необходимо запустить `passwd`, чтобы изменить свой пароль. -Вы также должны быть очень осторожны с сервисами, совершающими обратное подключение, например, с TCP Wrapper и его обратным identd-запросом, который может быть атакован напрямую. По этой причине возможность TCP Wrapper генерировать обратный ident обычно не следует использовать. +[[security-pwpolicy]] +=== Политика применения паролей -Правильным будет запрет доступа к внутренним сервисам из внешней сети путем соответствующей настройки брандмауэра на внешнем маршрутизаторе. Идея в том, чтобы предотвратить перегрузку сервисов атаками из внешней сети, а кроме того защитить `root` от взлома через сеть. Всегда настраивайте исключающий брандмауэр, т.е. "закрыть все _кроме_ портов A, B, C, D, и M-Z". Этим способом вы можете закрыть все порты нижнего диапазона, кроме явно указанных, таких как named (если вы поддерживаете интернет-зону), ntalkd, sendmail, и других сервисов, доступных из интернет. Если вы попробуете настроить брандмауэр другим способом - включающий, или разрешающий брандмауэр, есть большой шанс забыть "закрыть" пару сервисов, или добавить новый внутрисетевой сервис и забыть обновить брандмауэр. Вы можете открыть диапазон портов с большими номерами для обычных приложений без угрозы портам нижнего диапазона. Учтите также, что FreeBSD позволяет вам контролировать диапазоны портов, используемые для динамической привязки через различные переменные `sysctl``net.inet.ip.portrange` (`sysctl -a | fgrep portrange`), что позволяет упростить настройку брандмауэра. Например, вы можете использовать обычный диапазон портов со значениями от 4000 до 5000, и диапазон портов с большими номерами от 49152 до 65535, а затем заблокировать все до 4000 порта (конечно оставив доступ из интернет к определенным портам. +Обеспечение строгой политики паролей для локальных учетных записей является основополагающим аспектом безопасности системы. В FreeBSD длина пароля, его стойкость и сложность могут быть реализованы с использованием встроенных подключаемых модулей аутентификации (Pluggable Authentication Modules - PAM). -Другой распространенный тип DoS атак называется springboard - сервер атакуется таким образом, что генерируемые ответы перегружают его, локальную сеть или какие-то другие компьютеры. Наиболее распространенная атака этого вида это _широковещательная ICMP ping атака_. Атакующий подделывает пакеты ping, подставляя IP адрес машины, которую он намеревается атаковать, и отправляет их на широковещательный адрес вашей локальной сети. Если ваш внешний маршрутизатор не настроен на отбрасывание пакетов ping на широковещательные адреса, ваша сеть начинает генерировать соответствующие ответы на поддельный адрес, что приводит к перегрузке хоста-жертвы, особенно если атакующий использует этот же трюк с множеством широковещательных адресов в множестве сетей одновременно. Были зарегистрированы широковещательные атаки свыше ста двадцати мегабит. Другая распространенная springboard атака направлена на ICMP систему сообщения об ошибках. Конструируя пакеты, вызывающие ICMP сообщения об ошибках, атакующий может нагрузить входящее соединение сервера и вынудить сервер нагрузить исходящее соединение ICMP ответами. Этот тип атаки может также обрушить сервер, когда тот исчерпает mbuf, обычно если сервер не может ограничить число ответов ICMP, когда они генерируются слишком быстро. Используйте переменную sysctl`net.inet.icmp.icmplim`. Последний основной класс springboard атак относится к определенным внутренним сервисам inetd, таким как сервис udp echo. Атакующий просто подделывает адрес источника и адрес назначения UDP пакетов, устанавливая в их качестве соответственно echo порт сервера A и B, оба этих сервера принадлежат вашей локальной сети. Эти два сервера начинают перебрасываться этим пакетом друг с другом. Атакующий может вызвать перегрузку обеих серверов и их сетей, просто отправив несколько пакетов таким способом. Аналогичные проблемы существуют с портом chargen. Компетентный системный администратор должен отключить эти тестовые сервисы inetd. +Этот раздел демонстрирует, как настроить минимальную и максимальную длину пароля, а также принудительное использование смешанных символов с помощью модуля man:pam_passwdqc[8]. Данный модуль применяется при изменении пользователем своего пароля. -Атаки с поддельными пакетами могут также использоваться для переполнения кэша маршрутизации ядра. Обратитесь к параметрам `sysctl``net.inet.ip.rtexpire`, `rtminexpire`, и `rtmaxcache`. Атака с поддельными пакетами, использующая произвольный IP адрес источника, заставит ядро сгенерировать временный кэшированный маршрут в таблице маршрутизации, который можно увидеть с помощью `netstat -rna | fgrep W3`. Эти маршруты обычно удаляются через 1600 секунд или около того. Если ядро определит, что кэшированная маршрутная таблица стала слишком большой, оно динамически уменьшит `rtexpire`, но никогда не станет делать его меньше чем `rtminexpire`. С этим связаны две проблемы: +Для настройки этого модуля станьте суперпользователем и раскомментируйте строку с `pam_passwdqc.so` в [.filename]#/etc/pam.d/passwd#. -. Ядро не отреагирует достаточно быстро, когда легко нагруженный сервер будет внезапно атакован. -. Значение `rtminexpire` недостаточно мало для поддержки работоспособности в условиях продолжительной атаки. +Затем отредактируйте эту строку в соответствии с политикой паролей: -Если ваши серверы подключены к интернет через линию T3 или более быструю, предусмотрительно будет изменить оба значения `rtexpire` и `rtminexpire` с помощью man:sysctl[8]. Никогда не устанавливайте ни один из этих параметров в нуль (если только вы не хотите обрушить систему). Установка обеих параметров в значение 2 секунды должна предотвратить таблицу маршрутизации от атак. +[.programlisting] +.... +password requisite pam_passwdqc.so min=disabled,disabled,disabled,12,10 similar=deny retry=3 enforce=users +.... -=== Проблемы, связанные с доступом к Kerberos и SSH +Описание параметров можно найти в man:pam_passwdqc[8]. -При использовании Kerberos и ssh необходимо учесть несколько возможных проблем. Kerberos V это отличный протокол аутентификации, но в адаптированных к нему приложениях telnet и rlogin есть несколько ошибок, которые могут сделать их непригодными к работе с бинарными потоками. К тому же, по умолчанию Kerberos не шифрует сессию, если вы не используете параметр `-x`. ssh шифрует все по умолчанию. +После сохранения этого файла пользователь, изменяющий свой пароль, увидит сообщение, похожее на следующее: -ssh работает очень хорошо во всех ситуациях, но пересылает ключи по умолчанию. Это означает, что если вы работаете с защищенной рабочей станции, ключи на которой дают доступ к остальной сети, и заходите по ssh на незащищенный компьютер, эти ключи могут быть использованы для взлома. Атакующему не удастся получить сами ключи, но поскольку ssh открывает порт во время входа в систему, то если на незащищенной машине взломан `root`, эти ключи могут быть использованы для доступа к другим компьютерам, на которых они действуют. +[source, shell] +.... +% passwd +.... -Мы рекомендуем использовать ssh в комбинации с Kerberos для служебных учётных записей если это возможно. ssh может быть собран с поддержкой Kerberos. Это уменьшает зависимость от потенциально подверженных взлому ssh ключей, и в то же время защищает пароли через Kerberos. Ключи ssh должны использоваться только для работы скриптов на защищенных компьютерах (там, где Kerberos использовать не получится). Мы также рекомендуем или выключить передачу ключей в настройках ssh, или использовать параметр `from=IP/DOMAIN`, поддерживаемый ssh в файле [.filename]#authorized_keys#, который позволяет использовать ключи только с определенных компьютеров. +Вывод должен быть похож на следующий: -[[crypt]] -== DES, MD5, и шифрование +[.programlisting] +.... +Changing local password for user +Old Password: -У каждого пользователя UNIX(R) системы есть пароль, связанный с его учётной записью. Очевидно, что эти пароли должны быть известны только пользователю и соответствующей операционной системе. Для защиты паролей они шифруются способом, известным как "односторонний хэш", то есть их можно легко зашифровать, но нельзя расшифровать. Другими словами, то, что мы сказали чуть раньше было очевидно, но не совсем верно: операционной системе _сам пароль_ неизвестен. Ей известен только пароль в _зашифрованной_ форме. Единственный способ получить "обычный" пароль это простой перебор всех возможных паролей. +You can now choose the new password. +A valid password should be a mix of upper and lower case letters, +digits and other characters. You can use a 12 character long +password with characters from at least 3 of these 4 classes, or +a 10 character long password containing characters from all the +classes. Characters that form a common pattern are discarded by +the check. +Alternatively, if no one else can see your terminal now, you can +pick this as your password: "trait-useful&knob". +Enter new password: +.... -К сожалению, единственный способ шифрования пароля при появлении UNIX(R) был основан на DES, Data Encryption Standard. Это не было проблемой для пользователей, живущих в США, но поскольку исходный код DES нельзя было экспортировать из США, FreeBSD нашла способ одновременно не нарушать законов США и сохранить совместимость со всеми другими вариантами UNIX(R), где все еще использовался DES. +Если вводится пароль, не соответствующий политике, он будет отклонён с предупреждением, и пользователю будет предоставлена возможность попробовать снова, но не более установленного количества попыток. -Решение было в разделении библиотек шифрования, чтобы пользователи в США могли устанавливать и использовать библиотеки DES, а у остальных пользователей был метод шифрования, разрешенный к экспорту. Так FreeBSD пришла к использованию MD5 в качестве метода шифрования по умолчанию. MD5 считается более безопасным, чем DES, поэтому установка DES рекомендуется в основном из соображений совместимости. +Если политика вашей организации требует, чтобы пароли имели срок действия, FreeBSD поддерживает параметр `passwordtime` в классе пользователя в [.filename]#/etc/login.conf# -=== Определения механизма шифрования +Класс входа `default` содержит пример: -На данный момент библиотека поддерживает хэши DES, MD5 и Blowfish. По умолчанию FreeBSD использует для шифрования паролей MD5. +[.programlisting] +.... +# :passwordtime=90d:\ +.... -Довольно легко определить какой метод шифрования используется в FreeBSD. Один из способов это проверка файла [.filename]#/etc/master.passwd#. Пароли, зашифрованные в хэш MD5 длиннее, чем те, что зашифрованы с помощью DES и начинаются с символов `$1$`. Пароли, начинающиеся с символов `$2a$` зашифрованы с помощью Blowfish. Пароли, зашифрованные DES не содержат каких-то определенных идентифицирующих символов, но они короче, чем пароли MD5 и закодированы в 64-символьном алфавите, не содержащем символа `$`, поэтому относительно короткая строка, не начинающаяся с этого символа это скорее всего DES пароль. +Итак, чтобы установить срок действия в 90 дней для этого класса входа, удалите символ комментария (#), сохраните изменения и выполните следующую команду: -Формат паролей, используемых для новых паролей, определяется параметром `passwd_format` в [.filename]#/etc/login.conf#, которое может принимать значения `des`, `md5` или `blf`. Обратитесь к странице справочника man:login.conf[5] за дополнительной информацией о параметрах login. +[source, shell] +.... +# cap_mkdb /etc/login.conf +.... -[[one-time-passwords]] -== Одноразовые пароли +Чтобы установить срок действия для отдельных пользователей, передайте дату истечения срока или количество дней до истечения и имя пользователя в `pw`: -FreeBSD использует для одноразовых паролей OPIE (One-time Passwords In Everything). OPIE по умолчанию использует MD5. +[source, shell] +.... +# pw usermod -p 30-apr-2025 -n user +.... -Есть три различных вида паролей, о которых мы поговорим ниже. Первый вид это ваш обычный пароль UNIX(R) или пароль Kerberos; мы будем называть его "пароль UNIX(R)". Второй вид это одноразовый пароль, сгенерированный программой OPIE man:opiekey[1] и принимаемый командой man:opiepasswd[1] и в приглашении login; мы будем называть их "одноразовыми паролями". Последний вид паролей это защищенные пароли, которые вы передаете программам `opiekey` (и иногда `opiepasswd`), и которые эти программы используют для создания одноразовых паролей; мы будем называть его "защищенными паролями" или просто "паролями". +Как показано здесь, срок действия устанавливается в виде дня, месяца и года. Для получения дополнительной информации см. man:pw[8]. -Защищенный пароль не имеет никакого отношения к вашему паролю UNIX(R); они могут быть одинаковыми, но это не рекомендуется. Защищенные пароли OPIE не ограничены 8-ю символами, как старые UNIX(R) пароли, они могут быть настолько длинными, насколько вы захотите. Очень часто используются пароли длиной в шесть или семь символов. По большей части система OPIE работает полностью независимо от системы паролей UNIX(R). +[[security-sudo]] +=== Совместное администрирование с помощью sudo -Помимо паролей, есть два других вида данных, важных для OPIE. Первый, известный как "seed" или "ключ", состоит из двух букв и пяти цифр. Другой, называемый "счетчиком цикла", это номер от 1 до 100. OPIE создает одноразовый пароль, соединяя ключ и защищенный пароль, а затем применяя MD4 столько раз, сколько указано счетчиком цикла и выдает результат в виде шести коротких слов на английском. Эти шесть слов на английском и есть ваш одноразовый пароль. Система аутентификации (как правило PAM) хранит последний использованный одноразовый пароль, и пользователь аутентифицируется если хэш вводимого пользователем пароля совпадает с предыдущим паролем. Поскольку используется односторонний хэш, невозможно сгенерировать следующий одноразовый пароль если получен предыдущий; счетчик цикла уменьшается после каждого успешного входа для поддержки синхронизации пользователя с программой login. Когда счетчик цикла уменьшается до 1, набор OPIE должен быть переинициализирован. +Системные администраторы часто сталкиваются с необходимостью предоставления пользователям расширенных прав для выполнения привилегированных задач. Идея о том, что члены команды получают доступ к системе FreeBSD для выполнения своих конкретных задач, создает уникальные проблемы для каждого администратора. Этим сотрудникам требуется лишь ограниченный набор прав, выходящий за рамки обычного уровня пользователя; однако они почти всегда заявляют руководству, что не могут выполнять свои задачи без прав суперпользователя. К счастью, нет необходимости предоставлять такие права конечным пользователям, так как существуют инструменты для управления этим требованием. -В каждой из обсуждаемых ниже систем задействованы три программы. Программа `opiekey` получает счетчик цикла, ключ и защищенный пароль и создает одноразовый пароль или последовательный список одноразовых паролей. Программа `opiepasswd` используется для инициализации OPIE соответственно, и для смены паролей, счетчиков цикла, или ключей; она принимает защищенный пароль или счетчик цикла, ключ и одноразовый пароль. Программа `opieinfo` проверяет соответствующий файл ([.filename]#/etc/opiekeys#) и печатает текущий счетчик цикла и ключ вызывающего пользователя. +[TIP] +==== +Даже администраторы должны ограничивать свои привилегии, когда в них нет необходимости. +==== -Мы рассмотрим четыре вида операций. Первая это использование `opiepasswd` через защищенное соединение для первоначальной настройки системы одноразовых паролей, или для изменения пароля или ключа. Вторая операция это использование в тех же целях `opiepasswd` через незащищенное соединение, в сочетании с `opiekey` через защищенное соединение. Третья это использование `opiekey` для входа через незащищенное соединение. Четвертая это использование `opiekey` для генерации набора ключей, которые могут быть записаны или распечатаны для соединения из места, где защищенное соединение недоступно. +До этого момента в главе о безопасности рассматривались вопросы предоставления доступа авторизованным пользователям и попытки предотвратить несанкционированный доступ. Однако возникает другая проблема, когда авторизованные пользователи получают доступ к системным ресурсам. Во многих случаях некоторым пользователям может потребоваться доступ к скриптам запуска приложений, или команде администраторов необходимо обслуживать систему.. Традиционно для управления таким доступом использовались стандартные пользователи и группы, права доступа к файлам и даже команда man:su[1]. Однако по мере того, как приложениям требовалось больше прав, а большему числу пользователей нужно было использовать системные ресурсы, потребовалось лучшее решение. В настоящее время наиболее часто используемым приложением для этих целей является Sudo. -=== Защищенная установка соединения +Sudo позволяет администраторам настраивать более строгий доступ к системным командам и обеспечивать дополнительные функции ведения журналов. Этот инструмент доступен в коллекции портов как package:security/sudo[] или с помощью утилиты man:pkg[8]. -Для первоначальной настройки OPIE используется команда `opiepasswd`: +Выполните следующую команду для установки: -[source,shell] +[source, shell] .... -% opiepasswd -c -[grimreaper] ~ $ opiepasswd -f -c -Adding unfurl: -Only use this method from the console; NEVER from remote. If you are using -telnet, xterm, or a dial-in, type ^C now or exit with no password. -Then run opiepasswd without the -c parameter. -Using MD5 to compute responses. -Enter new secret pass phrase: -Again new secret pass phrase: -ID unfurl OTP key is 499 to4268 -MOS MALL GOAT ARM AVID COED +# pkg install sudo .... -В приглашениях `Enter new secret pass phrase:` или `Enter secret password:`, введите пароль или фразу. Запомните, это не тот пароль, с которым вы будете входить, он используется для генерации одноразовых паролей. Строка "ID" содержит информацию для вашего конкретного случая: имя пользователя, счетчик цикла и ключ. При входе система запомнит эти параметры и отправит их вам, поэтому их не надо запоминать. В последней строке находится одноразовый пароль, соответствующий этим параметрам и секретному паролю; если вы войдете в систему сразу, используйте этот одноразовый пароль. +После завершения установки установленный `visudo` откроет файл конфигурации в текстовом редакторе. Настоятельно рекомендуется использовать `visudo`, так как он содержит встроенную проверку синтаксиса для подтверждения отсутствия ошибок перед сохранением файла. -=== Незащищенная установка соединения +Файл конфигурации состоит из нескольких небольших разделов, которые позволяют проводить детальную настройку. В следующем примере администратору веб-приложения, user1, требуется запускать, останавливать и перезапускать веб-приложение с именем _webservice_. Чтобы предоставить этому пользователю права на выполнение данных задач, добавьте следующую строку в конец файла [.filename]#/usr/local/etc/sudoers#: -Для инициализации или изменения защищенного пароля через незащищенное соединение, вам потребуется существующее защищенное соединение куда-то, где вы сможете запустить `opiekey`; это может быть shell на компьютере, которому вы доверяете. Вам потребуется также установить значение счетчика цикла (100 возможно подойдет), и задать ключ или использовать сгенерированный. Через незащищенное соединение (к компьютеру, на котором производится настройка), используйте команду `opiepasswd`: - -[source,shell] +[.programlisting] .... -% opiepasswd - -Updating unfurl: -You need the response from an OTP generator. -Old secret pass phrase: - otp-md5 498 to4268 ext - Response: GAME GAG WELT OUT DOWN CHAT -New secret pass phrase: - otp-md5 499 to4269 - Response: LINE PAP MILK NELL BUOY TROY - -ID mark OTP key is 499 gr4269 -LINE PAP MILK NELL BUOY TROY +user1 ALL=(ALL) /usr/sbin/service webservice * .... -Чтобы принять ключ по умолчанию нажмите kbd:[Enter]. Затем, перед вводом пароля доступа введите те же параметры в вашем защищенном соединении или средстве доступа OPIE: +Пользователь может теперь запустить _webservice_ с помощью следующей команды: -[source,shell] +[source, shell] .... -% opiekey 498 to4268 -Using the MD5 algorithm to compute response. -Reminder: Don't use opiekey from telnet or dial-in sessions. -Enter secret pass phrase: -GAME GAG WELT OUT DOWN CHAT +% sudo /usr/sbin/service webservice start .... -Теперь переключитесь на незащищенное соединение и скопируйте одноразовый пароль, сгенерированный соответствующей программой. - -=== Создание одного одноразового пароля +Хотя данная конфигурация предоставляет одному пользователю доступ к службе `webservice`, в большинстве организаций управление этой службой доверено целой команде веб-разработчиков. Одной строкой можно также предоставить доступ всей группе. Следующие шаги позволят создать группу `web`, добавить в неё пользователя и разрешить всем членам группы управлять службой: -Как только вы настроите OPIE, во время входа появится приглашение вроде этого: - -[source,shell] +[source, shell] .... -% telnet example.com -Trying 10.0.0.1... -Connected to example.com -Escape character is '^]'. - -FreeBSD/i386 (example.com) (ttypa) - -login: <username> -otp-md5 498 gr4269 ext -Password: +# pw groupadd -g 6001 -n webteam .... -Кроме того, у OPIE есть полезная особенность (не показанная здесь): если вы нажмете kbd:[Enter] в приглашении на ввод пароля, включится эхо, и вы сможете увидеть то, что вводите. Это может быть очень полезно, если вы пытаетесь ввести пароль вручную, например с распечатки. - -В этот момент вам потребуется сгенерировать одноразовый пароль, чтобы ввести его в приглашение. Это должно быть выполнено на защищенной системе, в которой вы можете запустить `opiekey` (есть версии для DOS, Windows(R) и Mac OS(R)). Им требуются значения счетчика цикла и ключ в качестве параметров командной строки. Вы можете скопировать и вставить их прямо из приглашения login компьютера, на который входите. +Используя ту же команду man:pw[8], пользователь добавляется в группу webteam: -В защищенной системе: - -[source,shell] +[source, shell] .... -% opiekey 498 to4268 -Using the MD5 algorithm to compute response. -Reminder: Don't use opiekey from telnet or dial-in sessions. -Enter secret pass phrase: -GAME GAG WELT OUT DOWN CHAT +# pw groupmod -m user1 -n webteam .... -Теперь, когда у вас есть одноразовый пароль, можете продолжить вход в систему. - -=== Создание нескольких одноразовых паролей +Наконец, эта строка в [.filename]#/usr/local/etc/sudoers# разрешает любому члену группы webteam управлять _webservice_: -Иногда вы отправляетесь туда, где нет доступа к защищенному компьютеру или защищенному соединению. В этом случае, можно использовать команду `opiekey` для создания нескольких одноразовых паролей, которые вы сможете распечатать и забрать с собой. Например: - -[source,shell] +[.programlisting] .... -% opiekey -n 5 30 zz99999 -Using the MD5 algorithm to compute response. -Reminder: Don't use opiekey from telnet or dial-in sessions. -Enter secret pass phrase: <secret password> -26: JOAN BORE FOSS DES NAY QUIT -27: LATE BIAS SLAY FOLK MUCH TRIG -28: SALT TIN ANTI LOON NEAL USE -29: RIO ODIN GO BYE FURY TIC -30: GREW JIVE SAN GIRD BOIL PHI +%webteam ALL=(ALL) /usr/sbin/service webservice * .... -Параметр `-n 5` запрашивает пять паролей, `30` указывает значение последнего счетчика цикла. Обратите внимание, что пароли печатаются в _обратном_ по сравнению с обычным использованием порядке. Если вы действительно параноик, перепишите результат вручную; иначе скопируйте и передайте его `lpr`. Обратите внимание, что каждая линия содержит как счетчик цикла, так и одноразовый пароль; вам может показаться удобным отрывать пароль после использования. +В отличие от man:su[1], man:sudo[8] требует только пароль конечного пользователя. Это позволяет избежать совместного использования паролей, что является небезопасной практикой. -=== Ограничение использования UNIX(R) паролей +Пользователи, которым разрешено запускать приложения с помощью man:sudo[8], вводят только свои собственные пароли. Это более безопасно и обеспечивает лучший контроль, чем man:su[1], где вводится пароль `root` и пользователь получает все права `root`. -OPIE может ограничивать использование паролей UNIX(R) на основе IP адреса. Соответствующий файл называется [.filename]#/etc/opieaccess#, он существует по умолчанию. Обратитесь к man:opieaccess[5] за более подробной информацией об этом файле и о предосторожностях, которые вы должны предпринять при использовании этого файла. +[TIP] +==== +Большинство организаций переходят или уже перешли на модель двухфакторной аутентификации. В таких случаях у пользователя может не быть пароля для ввода. -Вот пример файла [.filename]#opieaccess#: +man:sudo[8] можно настроить для поддержки двухфакторной модели аутентификации с использованием переменной `NOPASSWD`. Добавление её в приведённую выше конфигурацию позволит всем членам группы _webteam_ управлять службой без требования пароля: [.programlisting] .... -permit 192.168.0.0 255.255.0.0 +%webteam ALL=(ALL) NOPASSWD: /usr/sbin/service webservice * .... +==== -Эта строка позволяет пользователям, чей IP адрес (который подвержен подделке) соответствует указанному значению и маске, входить с паролем UNIX(R). - -Если ни одно из правил в [.filename]#opieaccess# не сработало, поведением по умолчанию является запрет всех не-OPIE входов. - -[[tcpwrappers]] -== TCP Wrappers - -Каждый, кто знаком с man:inetd[8], возможно когда-то слышал о TCP Wrappers. Но немногие полностью понимают их полезность в сетевой среде: большинство используют брандмауэр. Хотя его применимость очень широка, есть вещи, с которыми брандмауэр не может работать, такие как отправка текста обратно вызывающей стороне. Программное обеспечение уровня TCP может делать это и многое другое. В следующих нескольких разделах обсуждаются многие возможности TCP Wrappers, и, когда это необходимо, даются примеры настроек. - -Программное обеспечение TCP Wrappers расширяет возможность `inetd` по поддержке каждого даемона. С ним становится возможным протоколирование, возврат сообщений вызывающей стороне, ограничение подключений внутренней сетью и т.п. Хотя некоторые из этих возможностей могут быть реализованы брандмауэром, TCP Wrappers не только предоставляют дополнительный уровень защиты, но и дают больше контроля над системой, чем это возможно с брандмауэром. - -Расширенная функциональность обработчиков TCP не может заменить хороший сетевой экран. Тем не менее, обработчики TCP могут использоваться совместно с сетевым экраном и другими средствами обеспечения информационной безопасности, обеспечивая тем самым дополнительный уровень защиты системы. +[[security-doas]] +=== Совместное администрирование с Doas -Поскольку рассматривается расширение к настройкам `inetd`, предполагается, что читатель ознакомился с разделом о crossref:network-servers[network-inetd,настройке inetd]. +man:doas[1] - это утилита командной строки, портированная из OpenBSD. Она служит альтернативой широко используемой команде man:sudo[8] в Unix-подобных системах. -[NOTE] -==== -Хотя программы, запускаемые из man:inetd[8], на самом деле не соответствуют термину "даемоны", существует традиция называть их именно так. Этот термин и используется в данном разделе. -==== +С помощью `doas` пользователи могут выполнять команды с повышенными привилегиями, обычно от имени пользователя `root`, сохраняя при этом простой и безопасный подход. В отличие от man:sudo[8], `doas` делает акцент на простоте и минимализме, предлагая лаконичное делегирование полномочий без избыточного количества настройки. -=== Начальная настройка +Выполните следующую команду для установки: -Единственное требование для использования TCP Wrappers в FreeBSD это наличие в [.filename]#rc.conf# параметров запуска `inetd``-Ww`; это настройки по умолчанию. Конечно, ожидается также наличие правильной настройки [.filename]#/etc/hosts.allow#, но man:syslogd[8] отправит сообщения в системный протокол если что-то не так. +[source, shell] +.... +# pkg install doas +.... -[NOTE] -==== -В отличие от других реализаций TCP Wrappers, использование [.filename]#hosts.deny# не поддерживается. Все параметры настройки должны быть помещены в [.filename]#/etc/hosts.allow#. -==== +После установки необходимо настроить [.filename]#/usr/local/etc/doas.conf#, чтобы предоставить пользователям доступ к определенным командам или ролям. -В простейшей конфигурации, политика подключения сводится к разрешению или блокированию в зависимости от параметров в [.filename]#/etc/hosts.allow#. Настройка в FreeBSD по умолчанию заключается в разрешении подключения к любому даемону, запущенному из `inetd`. Изменение этого поведения будет обсуждаться только после рассмотрения базовой настройки. +Самый простой вариант может выглядеть следующим образом, который предоставляет пользователю `local_user` права `root` без запроса пароля при выполнении команды doas. -Базовая настройка обычно принимает форму `daemon : address : action`, где `daemon` это имя даемона, который запускается `inetd`. В поле `address` может находиться имя хоста, IP адрес, или IPv6 адрес, заключенный в квадратные скобки ([ ]). Поле action может принимать значения allow или deny, чтобы соответственно разрешать или запрещать доступ. Помните, что поиск правил производится до первого совпадения. При обнаружении совпадения применяется соответствующее правило и поиск прерывается. +[.programlisting] +.... +permit nopass local_user as root +.... -Существуют и другие параметры, но они будут описаны в следующих разделах. Простая конфигурация может быть, например, такой: для разрешения соединений по протоколу POP3 к даемону package:mail/qpopper[], в [.filename]#hosts.allow# необходимо добавить следующие строки: +После установки и настройки утилиты `doas` команда теперь может быть выполнена с повышенными привилегиями, например: -[.programlisting] +[source, shell] .... -# This line is required for POP3 connections: -qpopper : ALL : allow +$ doas vi /etc/rc.conf .... -После добавления этой строки, `inetd` необходимо перезапустить. Это можно выполнить командой man:kill[1] или скриптом [.filename]#/etc/rc.d/inetd# с параметром [parameter]#restart#. +Для дополнительных примеров конфигурации обратитесь к man:doas.conf[5]. -=== Расширенная конфигурация +[[security-ids]] +== Система обнаружения вторжений (IDS) -У TCP Wrappers имеются дополнительные параметры; они дают дополнительные возможности контроля над соединениями. Иногда бывает полезно возвращать комментарий определенным хостам или при подключении к определенным даемонам. В других случаях может быть необходимо добавить запись в лог файл, или отправить письмо администратору. В определенных ситуациях сервис должен использоваться только для локальных соединений. Все это возможно с использованием параметров c шаблонами, символами подстановки и путем выполнения внешних команд. Следующие два раздела посвящены этим типам настроек. +Проверка системных файлов и двоичных файлов важна, поскольку предоставляет администраторам системы и командам безопасности информацию об изменениях в системе. Программное приложение, которое отслеживает изменения в системе, называется системой обнаружения вторжений (Intrusion Detection System — IDS). -==== Внешние команды +FreeBSD предоставляет встроенную поддержку базовой системы IDS под названием man:mtree[8]. Хотя ежедневные письма с информацией о безопасности уведомят администратора об изменениях, эти данные хранятся локально, и существует вероятность, что злоумышленник может изменить их, чтобы скрыть свои изменения в системе. Поэтому рекомендуется создать отдельный набор бинарных сигнатур и хранить их в предназначенном только для чтения каталоге, принадлежащем root, или, предпочтительно, на съёмном USB-диске или удалённом сервере. -Предположим ситуацию, в которой соединение должно быть запрещено, а о причине необходимо сообщить вызывающей стороне. Как это можно сделать? Соответствующую возможность предоставляет параметр `twist`. При попытке подключения выполняется команда или скрипт, заданный этим параметром. Пример дан в файле [.filename]#hosts.allow#: +Также рекомендуется запускать `freebsd-update IDS` после каждого обновления. -[.programlisting] -.... -# The rest of the daemons are protected. -ALL : ALL \ - : severity auth.info \ - : twist /bin/echo "You are not welcome to use %d from %h." -.... +[[security-ids-generate-spec-file]] +=== Генерация файла спецификации -В этом примере сообщение, "You are not allowed to use `daemon` from `hostname`." будет возвращено от всех даемонов, которые не были предварительно настроены в файле доступа. Обратите внимание, что возвращаемое сообщение _должно_ быть заключено в кавычки; из этого правила нет исключений. +Встроенная утилита man:mtree[8] может использоваться для создания спецификации содержимого каталога. Спецификация генерируется с использованием начального значения (seed) — числовой константы, которая также необходима для проверки неизменности спецификации. Это позволяет определить, был ли изменён файл или бинарный файл. Поскольку злоумышленник не знает начальное значение, подделать или проверить контрольные суммы файлов будет крайне сложно или невозможно. -[WARNING] +[TIP] ==== - -Возможна реализация DoS атаки, когда группа атакующих производит множество запросов на подключение. +Рекомендуется создавать спецификации для каталогов, содержащих исполняемые файлы и конфигурационные файлы, а также для любых каталогов с чувствительными данными. Обычно спецификации создаются для [.filename]#/bin#, [.filename]#/sbin#, [.filename]#/usr/bin#, [.filename]#/usr/sbin#, [.filename]#/usr/local/bin#, [.filename]#/etc# и [.filename]#/usr/local/etc#. ==== -Возможно также использование параметра `spawn`. Как и параметр `twist`, параметр `spawn` подразумевает запрет соединения и может использоваться для запуска команд или скриптов. В отличие от `twist`, `spawn` не отправляет ответ вызывающей стороне. Например, следующая конфигурация: +Следующий пример создает набор хешей `sha512` — по одному для каждого системного бинарного файла в [.filename]#/bin# — и сохраняет эти значения в скрытый файл в домашней директории пользователя [.filename]#/home/user/.bin_chksum_mtree#: -[.programlisting] +[source, shell] .... -# We do not allow connections from example.com: -ALL : .example.com \ - : spawn (/bin/echo %a from %h attempted to access %d >> \ - /var/log/connections.log) \ - : deny +# mtree -s 123456789 -c -K cksum,sha512 -p /bin > /home/user/.bin_chksum_mtree .... -отклонит все попытки соединения из домена `*.example.com`; имя хоста, IP адрес и даемон протоколируются в файл [.filename]#/var/log/connections.log#. - -Помимо приведенных выше символов подстановки, например %a, существует еще несколько символов. Обратитесь к странице man:hosts_access[5] справочной системы за полным списком. - -==== Параметры - шаблоны - -До этого момента в примерах использовался шаблон `ALL`. Существуют и другие параметры, функциональность которых в дальнейшем может быть расширена. `ALL` соответствует любому даемону, домену или IP адресу. Другой доступный шаблон это `PARANOID`, который соответствует хосту, IP адрес которого может быть подделан. Другими словами, `paranoid` может быть использован для определения действия с хостами, IP адрес которых не соответствует имени хоста. Вот пример применения этого параметра: +Вывод должен быть похож на следующий: [.programlisting] .... -# Block possibly spoofed requests to sendmail: -sendmail : PARANOID : deny +mtree: /bin checksum: 3427012225 .... -В этом примере все запросы на подключения к `sendmail` от хостов, IP адрес которых не соответствует имени хоста, будут отклонены. - -[CAUTION] +[WARNING] ==== +Значение `123456789` представляет собой зерно (seed) и должно быть выбрано случайным образом. Этот параметр необходимо запомнить, *но не раскрывать*. -Использование `PARANOID` невозможно, если у клиента или сервера неправильно настроен DNS. В таких случаях необходимо вмешательство администратора. +Важно скрывать начальное значение и контрольную сумму от злоумышленников. ==== -Более подробная информация о шаблонах и их возможностях дана на странице man:hosts_access[5] справочной системы. +[[security-ids-spec-file-structure]] +=== Структура Файла Спецификации -Для того, чтобы любая выбранная конфигурация заработала, в [.filename]#hosts.allow# необходимо закомментировать первую строку настройки. В начале раздела об этом не упоминалось. +Формат `mtree` — это текстовый формат, описывающий набор объектов файловой системы. Такие файлы обычно используются для создания или проверки иерархий каталогов. -[[kerberosIV]] -== KerberosIV +Файл mtree состоит из серии строк, каждая из которых содержит информацию об отдельном объекте файловой системы. Начальные пробельные символы всегда игнорируются. -Kerberos это сетевая дополнительная система/протокол, которая делает возможной аутентификацию пользователей через сервисы на защищенном сервере. Такие сервисы, как удаленный вход, удаленное копирование, защищенное копирование файлов между системами и другие задачи с высоким риском становятся допустимо безопасными и более контролируемыми. +Созданный выше файл спецификации будет использоваться для объяснения формата и содержания: -Последующие инструкции могут использоваться в качестве руководства по настройке поставляемого с FreeBSD Kerberos. Тем не менее, вам могут потребоваться страницы справочника полного дистрибутива. +[.programlisting] +.... +# user: root <.> +# machine: machinename <.> +# tree: /bin <.> +# date: Thu Aug 24 21:58:37 2023 <.> -=== Установка KerberosIV +# . +/set type=file uid=0 gid=0 mode=0555 nlink=1 flags=uarch <.> +. type=dir mode=0755 nlink=2 time=1681388848.239523000 <.> + \133 nlink=2 size=12520 time=1685991378.688509000 \ + cksum=520880818 \ + sha512=5c1374ce0e2ba1b3bc5a41b23f4bbdc1ec89ae82fa01237f376a5eeef41822e68f1d8f75ec46b7bceb65396c122a9d837d692740fdebdcc376a05275adbd3471 + cat size=14600 time=1685991378.694601000 cksum=3672531848 \ <.> + sha512=b30b96d155fdc4795432b523989a6581d71cdf69ba5f0ccb45d9b9e354b55a665899b16aee21982fffe20c4680d11da4e3ed9611232a775c69f926e5385d53a2 + chflags size=8920 time=1685991378.700385000 cksum=1629328991 \ + sha512=289a088cbbcbeb436dd9c1f74521a89b66643976abda696b99b9cc1fbfe8b76107c5b54d4a6a9b65332386ada73fc1bbb10e43c4e3065fa2161e7be269eaf86a + chio size=20720 time=1685991378.706095000 cksum=1948751604 \ + sha512=46f58277ff16c3495ea51e74129c73617f31351e250315c2b878a88708c2b8a7bb060e2dc8ff92f606450dbc7dd2816da4853e465ec61ee411723e8bf52709ee + chmod size=9616 time=1685991378.712546000 cksum=4244658911 \ + sha512=1769313ce08cba84ecdc2b9c07ef86d2b70a4206420dd71343867be7ab59659956f6f5a458c64e2531a1c736277a8e419c633a31a8d3c7ccc43e99dd4d71d630 +.... -Kerberos это опциональный компонент FreeBSD. Простейший способ установки этой программы это выбор `krb4` или `krb5` из sysinstall во время первой установки FreeBSD. Будет установлен "eBones" (KerberosIV) или "Heimdal" (Kerberos5) вариант Kerberos. Включение этих реализаций объясняется тем, что они разработаны вне США/Канады и доступны вне этих стран, поскольку на них не влияют ограничения на экспорт криптографического кода из США. +<.> Пользователь, создавший спецификацию. +<.> Имя хоста машины. +<.> Путь к каталогу. +<.> Дата и время создания спецификации. +<.> `/set` специальные команды, определяют некоторые настройки, полученные из проанализированных файлов. +<.> Ссылается на разобранный каталог и указывает такие параметры, как его тип, режим доступа, количество жёстких ссылок и время изменения в формате UNIX. +<.> Ссылается на файл и показывает его размер, время и список хешей для проверки целостности. -Кроме того, реализация MIT Kerberos доступна из Коллекции Портов в виде пакета package:security/krb5[]. +[[security-ids-verify-specification-file]] +=== Проверка файла спецификации -=== Создание базы данных +Для проверки неизменности бинарных сигнатур сравните текущее содержимое каталога с ранее созданной спецификацией и сохраните результаты в файл. -Это необходимо сделать только на сервере Kerberos. Во-первых, убедитесь что не осталось старой базы данных Kerberos. Войдите в каталог [.filename]#/etc/kerberosIV# и убедитесь, что в нем находятся только эти файлы: +Эта команда требует начальное значение, которое использовалось для создания исходной спецификации: -[source,shell] +[source, shell] .... -# cd /etc/kerberosIV -# ls -README krb.conf krb.realms +# mtree -s 123456789 -p /bin < /home/user/.bin_chksum_mtree >> /home/user/.bin_chksum_output .... -Если присутствуют еще какие-то файлы (такие как [.filename]#principal.*# или [.filename]#master_key#), используйте команду `kdb_destroy` для удаления старой базы данных Kerberos, или, если Kerberos не запущен, просто удалите эти файлы. +Это должно дать такую же контрольную сумму для [.filename]#/bin#, какая была получена при создании спецификации. Если в каталоге не было изменений бинарных файлов, выходной файл [.filename]#/home/user/.bin_chksum_output# будет пустым. -Затем отредактируйте файлы [.filename]#krb.conf# и [.filename]#krb.realms#, введя ваши данные. В этом примере уникальный идентификатор `EXAMPLE.COM`, сервер `grunt.example.com`. Отредактируем или создадим файл [.filename]#krb.conf#: +Для имитации изменения измените дату файла [.filename]#/bin/cat# с помощью man:touch[1] и снова выполните команду проверки: -[source,shell] +[source, shell] .... -# cat krb.conf -EXAMPLE.COM -EXAMPLE.COM grunt.example.com admin server -CS.BERKELEY.EDU okeeffe.berkeley.edu -ATHENA.MIT.EDU kerberos.mit.edu -ATHENA.MIT.EDU kerberos-1.mit.edu -ATHENA.MIT.EDU kerberos-2.mit.edu -ATHENA.MIT.EDU kerberos-3.mit.edu -LCS.MIT.EDU kerberos.lcs.mit.edu -TELECOM.MIT.EDU bitsy.mit.edu -ARC.NASA.GOV trident.arc.nasa.gov +# touch /bin/cat .... -В этом примере другие идентификаторы введены для иллюстрации настройки c несколькими хостами. С целью упрощения настройки вы можете не включать их. - -Первая строка содержит идентификатор, под которым работает эта система. Остальные строки связывают идентификаторы с именами хостов. Сначала указывается идентификатор, затем хост под этим идентификатором, работающий как "центр распространения ключей". Слова `admin server` с последующим именем хоста означают, что этот хост также является сервером администрирования базы данных. За дальнейшей информацией об этих терминах обратитесь к страницам справочника по Kerberos. +Выполните команду проверки еще раз: -Мы добавили `grunt.example.com` к идентификатору `EXAMPLE.COM` и кроме того сопоставили всем хостам в домене `.example.com` идентификатор `EXAMPLE.COM`. Файл [.filename]#krb.realms# будет выглядеть так: - -[source,shell] +[source, shell] .... -# cat krb.realms -grunt.example.com EXAMPLE.COM -.example.com EXAMPLE.COM -.berkeley.edu CS.BERKELEY.EDU -.MIT.EDU ATHENA.MIT.EDU -.mit.edu ATHENA.MIT.EDU +# mtree -s 123456789 -p /bin < /home/user/.bin_chksum_mtree >> /home/user/.bin_chksum_output .... -Как и в предыдущем примере, другие идентификаторы добавлены только для примера. С целью упрощения настройки вы можете не включать их. - -В первой строке _определенная_ система сопоставляется с идентификатором. В остальных строках показано, сопоставить идентификатору остальные системы определенного поддомена. +И затем проверьте содержимое выходного файла: -Теперь мы готовы к созданию базы данных. Потребуется всего лишь запустить сервер Kerberos (или центр распространения ключей). Используйте для этого `kdb_init`: - -[source,shell] +[source, shell] .... -# kdb_init -Realm name [default ATHENA.MIT.EDU ]: EXAMPLE.COM -You will be prompted for the database Master Password. -It is important that you NOT FORGET this password. - -Введите главный ключ Kerberos: +# cat /root/.bin_chksum_output .... -Теперь мы должны сохранить ключ, чтобы сервера на локальных компьютерах могли его взять. Используйте для этого команду `kstash`: - -[source,shell] -.... -# kstash +Вывод должен быть похож на следующий: -Enter Kerberos master key: - -Current Kerberos master key version is 1. - -Master key entered. BEWARE! +[.programlisting] .... - -Этой командой зашифрованный главный пароль сохранен в [.filename]#/etc/kerberosIV/master_key#. - -=== Запуск Kerberos - -Для каждой системы, защищаемой Kerberos, в базу данных должны быть добавлены две записи. Это `kpasswd` и `rcmd`. Они добавляются вместе с именем системы. - -Эти даемоны, kpasswd и rcmd позволяют другим системам изменять пароли Kerberos и запускать такие команды как man:rcp[1], man:rlogin[1], man:rsh[1]. - -Теперь добавим эти записи: - -[source,shell] +cat: modification time (Fri Aug 25 13:30:17 2023, Fri Aug 25 13:34:20 2023) .... -# kdb_edit -Opening database... -Enter Kerberos master key: +[WARNING] +==== +Это просто пример того, что будет отображено при выполнении команды, чтобы показать изменения, которые произойдут в метаданных. +==== -Current Kerberos master key version is 1. +[[security-secure-levels]] +== Уровни безопасности -Master key entered. BEWARE! -Previous or default values are in [brackets] , -enter return to leave the same, or new value. +securelevel — это механизм безопасности, реализованный в ядре. Когда securelevel имеет положительное значение, ядро ограничивает выполнение определенных задач; даже суперпользователь (root) не может их выполнять. -Principal name: passwd -Instance: grunt +Механизм securelevel ограничивает возможность: -<Not found>, Create [y] ? y +* Снять определенные флаги файлов, такие как `schg` (флаг системной неизменяемости). +* Записать в память ядра через [.filename]#/dev/mem# и [.filename]#/dev/kmem#. +* Загрузить модули ядра. +* Изменить правила межсетевого экрана. -Principal: passwd, Instance: grunt, kdc_key_ver: 1 -New Password: <---- enter RANDOM here -Verifying password +[[security-secure-levels-definitions]] +=== Определения уровней безопасности -New Password: <---- enter RANDOM here +Ядро работает с пятью различными уровнями безопасности. Любой процесс с правами суперпользователя может повысить уровень, но ни один процесс не может его понизить. -Random password [y] ? y +Определения безопасности следующие: -Principal's new key version = 1 -Expiration date (enter yyyy-mm-dd) [ 2000-01-01 ] ? -Max ticket lifetime (*5 minutes) [ 255 ] ? -Attributes [ 0 ] ? -Edit O.K. -Principal name: rcmd -Instance: grunt +-1:: +*Permanently insecure mode* - always run the system in insecure mode. This is the default initial value. -<Not found>, Create [y] ? +0:: +*Insecure mode* - immutable and append-only flags may be turned off. All devices may be read or written subject to their permissions. -Principal: rcmd, Instance: grunt, kdc_key_ver: 1 -New Password: <---- enter RANDOM here -Verifying password +1:: +*Secure mode* - the system immutable and system append-only flags may not be turned off; disks for mounted file systems, [.filename]#/dev/mem# and [.filename]#/dev/kmem# may not be opened for writing; [.filename]#/dev/io# (if your platform has it) may not be opened at all; kernel modules (see man:kld[4]) may not be loaded or unloaded. The kernel debugger may not be entered using the debug.kdb.enter sysctl. A panic or trap cannot be forced using the debug.kdb.panic, debug.kdb.panic_str and other sysctl's. -New Password: <---- enter RANDOM here +2:: +*Highly secure mode* - same as secure mode, plus disks may not be opened for writing (except by man:mount[2]) whether mounted or not. This level precludes tampering with file systems by unmounting them, but also inhibits running man:newfs[8] while the system is multiuser. -Random password [y] ? +3:: +*Network secure mode* - same as highly secure mode, plus IP packet filter rules (see man:ipfw[8], man:ipfirewall[4] and man:pfctl[8]) cannot be changed and man:dummynet[4] or man:pf[4] configuration cannot be adjusted. -Principal's new key version = 1 -Expiration date (enter yyyy-mm-dd) [ 2000-01-01 ] ? -Max ticket lifetime (*5 minutes) [ 255 ] ? -Attributes [ 0 ] ? -Edit O.K. -Principal name: <---- null entry here will cause an exit -.... +[TIP] +==== +Вкратце, ключевое различие между `Режимом постоянной незащищённости` и `Незащищённым режимом` в уровнях безопасности FreeBSD заключается в степени предоставляемой защиты. `Режим постоянной незащищённости` полностью снимает все ограничения безопасности, тогда как `Незащищённый режим` ослабляет некоторые ограничения, но сохраняет определённый уровень контроля и защиты. +==== -=== Создание файла настройки сервера +[[security-modify-secure-levels]] +=== Изменение уровней безопасности -Теперь необходимо создать все записи сервисов, которые были определены для каждого компьютера. Используем для этого команду `ext_srvtab`. Будет создан файл, который должен быть скопирован или перемещен _безопасным способом_ в каталог [.filename]#/etc/kerberosIV# каждого Kerberos клиента. Этот файл должен присутствовать на каждом сервере и клиенте, он необходим для работы Kerberos. +Для изменения securelevel системы необходимо активировать `kern_securelevel_enable`, выполнив следующую команду: -[source,shell] +[source, shell] .... -# ext_srvtab grunt -Enter Kerberos master key: - -Current Kerberos master key version is 1. - -Master key entered. BEWARE! -Generating 'grunt-new-srvtab'.... +# sysrc kern_securelevel_enable="YES" .... -Эта команда создаст временный файл, который должен быть переименован в [.filename]#srvtab#, чтобы серверы смогли обратиться к нему. Используйте команду man:mv[1] для перемещения его в исходной системе: +И установите значение `kern_securelevel` на желаемый уровень безопасности: -[source,shell] +[source, shell] .... -# mv grunt-new-srvtab srvtab +# sysrc kern_securelevel=2 .... -Если файл предназначен для клиентской системы, и сеть не безопасна, скопируйте [.filename]#client-new-srvtab# на съемный носитель и перенесите файл с его помощью. Убедитесь, что переименовали его в [.filename]#srvtab# в каталоге [.filename]#/etc/kerberosIV# клиента, и что режим доступа к нему 600: +Для проверки уровня безопасности (securelevel) в работающей системе выполните следующую команду: -[source,shell] +[source, shell] .... -# mv grumble-new-srvtab srvtab -# chmod 600 srvtab +# sysctl -n kern.securelevel .... -=== Пополнение базы данных - -Теперь необходимо добавить в базу данных пользователей. Во-первых, создадим запись для пользователя `jane`. Используйте команду `kdb_edit`: +Вывод содержит текущее значение уровня securelevel. Если оно больше 0, значит, включена по крайней мере часть защит securelevel. -[source,shell] -.... -# kdb_edit -Opening database... +[[security-file-flags]] +== Флаговые атрибуты файлов -Enter Kerberos master key: +Флаги файлов позволяют пользователям добавлять дополнительные метаданные или атрибуты к файлам и каталогам, помимо базовых прав доступа и владения. Эти флаги предоставляют способ управления различными поведениями и свойствами файлов без необходимости создавать специальные каталоги или использовать расширенные атрибуты. -Current Kerberos master key version is 1. +Флаги файлов могут использоваться для достижения различных целей, таких как предотвращение удаления файла, разрешение только дополнения файла, синхронизация обновлений файлов и многое другое. Некоторые часто используемые флаги файлов в FreeBSD включают флаг "immutable", который запрещает изменение или удаление файла, и флаг "append-only", который разрешает только добавление данных в конец файла, но не их изменение или удаление. -Master key entered. BEWARE! -Previous or default values are in [brackets] , -enter return to leave the same, or new value. +Эти флаги можно управлять с помощью команды man:chflags[1] в FreeBSD, что предоставляет администраторам и пользователям больший контроль над поведением и характеристиками их файлов и каталогов. Важно отметить, что флаги файлов обычно управляются root или пользователями с соответствующими привилегиями, так как они могут влиять на доступ и манипуляции с файлами. Некоторые флаги доступны для использования владельцем файла, как описано в man:chflags[1]. -Principal name: jane -Instance: +[[security-work-file-flag]] +=== Работа с флагами файлов -<Not found>, Create [y] ? y +В этом примере файл с именем [.filename]#~/important.txt# в домашнем каталоге пользователя необходимо защитить от удаления. -Principal: jane, Instance: , kdc_key_ver: 1 -New Password: <---- enter a secure password here -Verifying password +Выполните следующую команду, чтобы установить флаг файла `schg`: -New Password: <---- re-enter the password here -Principal's new key version = 1 -Expiration date (enter yyyy-mm-dd) [ 2000-01-01 ] ? -Max ticket lifetime (*5 minutes) [ 255 ] ? -Attributes [ 0 ] ? -Edit O.K. -Principal name: <---- null entry here will cause an exit +[source, shell] .... - -=== Тестирование всей системы - -Во-первых, запустите даемоны Kerberos. При правильном редактировании файла [.filename]#/etc/rc.conf# они запустятся автоматически при перезагрузке. Это необходимо только на сервере Kerberos. Клиенты Kerberos получат все необходимые данные из каталога [.filename]#/etc/kerberosIV#. - -[source,shell] +# chflags schg ~/important.txt .... -# kerberos & -Kerberos server starting -Sleep forever on error -Log file is /var/log/kerberos.log -Current Kerberos master key version is 1. - -Master key entered. BEWARE! -Current Kerberos master key version is 1 -Local realm: EXAMPLE.COM -# kadmind -n & -KADM Server KADM0.0A initializing -Please do not use 'kill -9' to kill this job, use a -regular kill instead +Когда любой пользователь, включая пользователя `root`, пытается удалить файл, система отобразит сообщение: -Current Kerberos master key version is 1. - -Master key entered. BEWARE! +[.programlisting] +.... +rm: important.txt: Operation not permitted .... -Теперь для получения доступа через созданного пользователя `jane` используйте `kinit`: +Чтобы удалить файл, необходимо сначала удалить его флаги, выполнив следующую команду: -[source,shell] +[source, shell] .... -% kinit jane -MIT Project Athena (grunt.example.com) -Kerberos Initialization for "jane" -Password: +# chflags noschg ~/important.txt .... -Попробуйте просмотреть имеющиеся данные с помощью `klist`: +Список поддерживаемых флагов файлов и их функциональность можно найти в man:chflags[1]. -[source,shell] -.... -% klist -Ticket file: /tmp/tkt245 -Principal: jane@EXAMPLE.COM +[[openssh]] +== OpenSSH - Issued Expires Principal -Apr 30 11:23:22 Apr 30 19:23:22 krbtgt.EXAMPLE.COM@EXAMPLE.COM -.... +OpenSSH — это набор сетевых инструментов для подключения, которые используются для обеспечения безопасного доступа к удаленным машинам. Кроме того, TCP/IP-соединения могут быть туннелированы или перенаправлены через SSH-соединения с обеспечением безопасности. OpenSSH шифрует весь трафик, чтобы исключить прослушивание, перехват соединений и другие атаки на сетевом уровне. -Теперь попробуйте изменить пароль с помощью man:passwd[1], чтобы убедиться, что даемон kpasswd может получить информацию из базы данных Kerberos: +OpenSSH разрабатывается проектом OpenBSD и устанавливается по умолчанию в FreeBSD. -[source,shell] -.... -% passwd -realm EXAMPLE.COM -Old password for jane: -New Password for jane: -Verifying password -New Password for jane: -Password changed. -.... +Когда данные передаются по сети в незашифрованном виде, снифферы где-либо между клиентом и сервером могут украсть информацию о пользователе/пароле или данные, передаваемые во время сеанса. OpenSSH предлагает различные методы аутентификации и шифрования, чтобы предотвратить это. -=== Включение `su` +Дополнительная информация о OpenSSH доступна на link:https://www.openssh.com/[веб-сайте]. -Kerberos позволяет назначить _каждому_ пользователю, который нуждается в привилегиях `root`, свой _собственный_ пароль man:su[1]. Необходимо добавить учётную запись, которой разрешено получать `root` доступ через man:su[1]. Это делается путем связывания учётной записи `root` с пользовательской учётной записью. Создадим в базе данных Kerberos запись `jane.root` с помощью `kdb_edit`: +В этом разделе представлен обзор встроенных клиентских утилит для безопасного доступа к другим системам и безопасной передачи файлов с системы FreeBSD. Затем описывается, как настроить SSH-сервер на системе FreeBSD. -[source,shell] -.... -# kdb_edit -Opening database... +[TIP] +==== +Как уже упоминалось, в этой главе будет рассмотрена базовая версия OpenSSH. Также доступна версия OpenSSH в пакете package:security/openssh-portable[], которая предоставляет дополнительные параметры конфигурации и регулярно обновляется с новыми функциями. +==== -Enter Kerberos master key: +=== Использование клиентских утилит SSH -Current Kerberos master key version is 1. +Для входа на SSH-сервер используйте man:ssh[1], указав имя пользователя, существующее на этом сервере, и IP-адрес или имя хоста сервера. Если подключение к указанному серверу выполняется впервые, пользователю будет предложено сначала подтвердить его отпечаток: -Master key entered. BEWARE! -Previous or default values are in [brackets] , -enter return to leave the same, or new value. +[source, shell] +.... +# ssh user@example.com +.... -Principal name: jane -Instance: root +Вывод должен быть похож на следующий: -<Not found>, Create [y] ? y +[.programlisting] +.... +The authenticity of host 'example.com (10.0.0.1)' can't be established. +ECDSA key fingerprint is 25:cc:73:b5:b3:96:75:3d:56:19:49:d2:5c:1f:91:3b. +Are you sure you want to continue connecting (yes/no)? yes +Permanently added 'example.com' (ECDSA) to the list of known hosts. +Password for user@example.com: user_password +.... -Principal: jane, Instance: root, kdc_key_ver: 1 -New Password: <---- enter a SECURE password here -Verifying password +SSH использует систему отпечатков ключей для проверки подлинности сервера при подключении клиента. Когда пользователь принимает отпечаток ключа, введя `yes` при первом подключении, копия ключа сохраняется в файле [.filename]#~/.ssh/known_hosts# в домашнем каталоге пользователя. Последующие попытки входа проверяются по сохранённому ключу, и man:ssh[1] выведет предупреждение, если ключ сервера не совпадает с сохранённым. В таком случае пользователю следует сначала проверить, почему изменился ключ, прежде чем продолжать подключение. -New Password: <---- re-enter the password here +[NOTE] +==== +Как выполнить эту проверку, выходит за рамки данной главы. +==== -Principal's new key version = 1 -Expiration date (enter yyyy-mm-dd) [ 2000-01-01 ] ? -Max ticket lifetime (*5 minutes) [ 255 ] ? 12 <--- Keep this short! -Attributes [ 0 ] ? -Edit O.K. -Principal name: <---- null entry here will cause an exit -.... +Используйте man:scp[1] для безопасного копирования файла на удалённую машину или с неё. -Теперь проверим работоспособность этой записи: +Этот пример копирует файл `COPYRIGHT` на удалённой системе в файл с тем же именем в текущем каталоге локальной системы: -[source,shell] +[source, shell] .... -# kinit jane.root -MIT Project Athena (grunt.example.com) -Kerberos Initialization for "jane.root" -Password: +# scp user@example.com:/COPYRIGHT COPYRIGHT .... -Необходимо добавить пользователя к `root` файлу [.filename]#.klogin#: +Вывод должен быть похож на следующий: -[source,shell] +[.programlisting] .... -# cat /root/.klogin -jane.root@EXAMPLE.COM +Password for user@example.com: ******* +COPYRIGHT 100% |*****************************| 4735 .... -Теперь попробуйте выполнить man:su[1]: +Поскольку отпечаток этого узла уже был проверен, ключ сервера автоматически проверяется перед запросом пароля пользователя. -[source,shell] -.... -% su -Password: -.... +Аргументы, передаваемые в man:scp[1], аналогичны аргументам man:cp[1]. Первым аргументом указывается файл или файлы для копирования, а вторым — место назначения. Поскольку файл передаётся по сети, один или несколько аргументов с файлами имеют вид `user@host:<путь_к_удалённому_файлу>`. Обратите внимание, что при рекурсивном копировании каталогов man:scp[1] использует `-r`, тогда как man:cp[1] использует `-R`. -и посмотрите на имеющиеся данные: +Чтобы открыть интерактивную сессию для копирования файлов, используйте man:sftp[1]. -[source,shell] -.... -# klist -Ticket file: /tmp/tkt_root_245 -Principal: jane.root@EXAMPLE.COM +Обратитесь к man:sftp[1] для получения списка доступных команд во время сеанса man:sftp[1]. - Issued Expires Principal -May 2 20:43:12 May 3 04:43:12 krbtgt.EXAMPLE.COM@EXAMPLE.COM -.... +[[security-ssh-keygen]] +=== Аутентификация на основе ключей -=== Использование других команд +Вместо использования паролей клиент может быть настроен для подключения к удалённой машине с использованием ключей. В целях безопасности это предпочтительный метод. -В примере выше мы создали запись (principal) `jane` с доступом к `root` (instance). Она основана на пользователе с таким же именем, как и идентификатор, что принято Kerberos по умолчанию; `<principal>.<instance>` в форме `<username>.``root` позволяет использовать man:su[1] для доступа к `root`, если соответствующие записи находятся в файле [.filename]#.klogin# домашнего каталога `root`: +man:ssh-keygen[1] можно использовать для генерации ключей аутентификации. Чтобы создать пару из открытого и закрытого ключей, укажите тип ключа и следуйте инструкциям. Рекомендуется защитить ключи запоминающейся, но трудной для угадывания парольной фразой. -[source,shell] +[source, shell] .... -# cat /root/.klogin -jane.root@EXAMPLE.COM +% ssh-keygen -t rsa -b 4096 .... -Подобно этому, если в файле [.filename]#.klogin# из домашнего каталога пользователя есть строки в форме: +Вывод должен быть похож на следующий: -[source,shell] -.... -% cat ~/.klogin -jane@EXAMPLE.COM -jack@EXAMPLE.COM +[.programlisting] .... +Generating public/private rsa key pair. +Enter file in which to save the key (/home/user/.ssh/id_rsa): +Created directory '/home/user/.ssh/.ssh'. +Enter passphrase (empty for no passphrase): +Enter same passphrase again: +Your identification has been saved in /home/user/.ssh/id_rsa. +Your public key has been saved in /home/user/.ssh/id_rsa.pub. +The key fingerprint is: +SHA256:54Xm9Uvtv6H4NOo6yjP/YCfODryvUU7yWHzMqeXwhq8 user@host.example.com +The key's randomart image is: ++---[RSA 2048]----+ +| | +| | +| | +| . o.. | +| .S*+*o | +| . O=Oo . . | +| = Oo= oo..| +| .oB.* +.oo.| +| =OE**.o..=| ++----[SHA256]-----+ +.... + +Закрытый ключ хранится в [.filename]#~/.ssh/id_rsa#, а открытый ключ — в [.filename]#~/.ssh/id_rsa.pub#. _Открытый_ ключ должен быть скопирован в файл [.filename]#~/.ssh/authorized_keys# на удалённой машине, чтобы аутентификация по ключу работала. -это позволит любому с идентификатором `EXAMPLE.COM`, кто аутентифицировался как `jane` или `jack` (с помощью команды `kinit`, см. выше) получить доступ к учётной записи пользователя `jane` или файлам этой системы (`grunt`) через man:rlogin[1], man:rsh[1] или man:rcp[1]. +[WARNING] +==== +Использование парольной фразы для ключей OpenSSH является важной практикой безопасности, обеспечивающей дополнительный уровень защиты от несанкционированного доступа и повышающей общую кибербезопасность. -Например, `jane` может входить в другую систему используя Kerberos: +В случае утери или кражи это добавляет дополнительный уровень защиты. +==== -[source,shell] -.... -% kinit -MIT Project Athena (grunt.example.com) -Password: -% rlogin grunt -Last login: Mon May 1 21:14:47 from grumble -Copyright (c) 1980, 1983, 1986, 1988, 1990, 1991, 1993, 1994 - The Regents of the University of California. All rights reserved. +[[security-ssh-tunneling]] +=== Туннелирование SSH -FreeBSD BUILT-19950429 (GR386) #0: Sat Apr 29 17:50:09 SAT 1995 -.... +OpenSSH обладает возможностью создания туннеля для инкапсуляции другого протокола в зашифрованном сеансе. -Или `jack` входит в учётную запись `jane`'s на этом же компьютере (файл [.filename]#.klogin#`jane` настроен как показано выше, и в Kerberos настроена учётная запись _jack_): +Следующая команда указывает man:ssh[1] создать туннель: -[source,shell] +[source, shell] .... -% kinit -% rlogin grunt -l jane -MIT Project Athena (grunt.example.com) -Password: -Last login: Mon May 1 21:16:55 from grumble -Copyright (c) 1980, 1983, 1986, 1988, 1990, 1991, 1993, 1994 - The Regents of the University of California. All rights reserved. -FreeBSD BUILT-19950429 (GR386) #0: Sat Apr 29 17:50:09 SAT 1995 +% ssh -D 8080 user@example.com .... -[[kerberos5]] -== Kerberos5 - -Все релизы FreeBSD после FreeBSD-5.1 включают поддержку только Kerberos5. Таким образом, Kerberos5 это единственная включаемая в поставку версия и его конфигурация похожа на KerberosIV во многих аспектах. Эта информация применима только к Kerberos5 из релизов после FreeBSD-5.0. Пользователи, желающие использовать пакет KerberosIV, могут установить его из порта package:security/krb4[]. +Этот пример использует следующие параметры: -Kerberos это дополнительная сетевая система/протокол, позволяющая пользователям авторизоваться через защищенные сервисы на защищенном сервере. Такие сервисы как удаленный вход, удаленное копирование, защищенное копирование файлов между системами и другие задачи с высоким риском становятся допустимо безопасными и более контролируемыми. +-D:: +Указывает локальное "динамическое" перенаправление портов на уровне приложений. -Kerberos может быть описана как прокси система идентификации-проверки. Она также может быть описана как защищенная внешняя система аутентификации. Kerberos предоставляет только одну функцию - защищенную аутентификацию пользователей сети. Он не предоставляет функций авторизации (что разрешено делать пользователям) или функций аудита (какой пользователь что делает). После того, как клиент и сервер использовали Kerberos для идентификации, они могут зашифровать все соединения для гарантирования собственной безопасности и целостности данных. +user@foo.example.com:: +Имя пользователя для входа на указанный удаленный SSH-сервер. -Следовательно крайне рекомендуется использовать Kerberos с другими методами безопасности, предоставляющими сервисы авторизации и аудита. +Туннель SSH работает путем создания сокета для прослушивания на `localhost` на указанном `localport`. -Последующие инструкции могут использоваться в качестве руководства по настройке Kerberos, поставляемого с FreeBSD. Тем не менее, вам потребуется обратиться к соответствующим страницам справочника за полным описанием. +Этот метод можно использовать для защиты любого количества незащищённых TCP-протоколов, таких как SMTP, POP3 и FTP. -В целях демонстрации установки Kerberos, будут применены следующие обозначения: +=== Включение сервера SSH -* DNS домен ("зона") example.org. -* Уникальный идентификатор Kerberos EXAMPLE.ORG. +В дополнение к встроенным клиентским утилитам SSH, система FreeBSD может быть настроена как SSH-сервер, принимающий подключения от других SSH-клиентов. -[NOTE] +[TIP] ==== -Используйте действующие имена доменов при настройке Kerberos даже если вы будете использовать его во внутренней сети. Это позволит избежать проблем с DNS и гарантирует возможность связи с Kerberos под другими идентификаторами. +Как уже было сказано, в этой главе рассматривается базовая версия OpenSSH. *Не* путайте её с package:security/openssh-portable[], версией OpenSSH, которая поставляется с коллекцией портов FreeBSD. ==== -=== История +Чтобы включить сервер SSH для автоматического запуска после перезагрузки, выполните следующую команду: -Kerberos был создан MIT в качестве решения проблем с безопасностью сети. Протокол Kerberos использует стойкую криптографию, так что клиент может идентифицироваться на сервере (и обратно) через незащищенное сетевое соединение. +[source, shell] +.... +# sysrc sshd_enable="YES" +.... -Kerberos это и имя сетевого протокола аутентификации и общий термин для описания программ, где он реализован (например, Kerberos telnet). Текущая версия протокола 5 описана в RFC 1510. +Затем выполните следующую команду, чтобы включить службу: -Доступно несколько свободных реализаций этого протокола, работающих на множестве операционных систем. Massachusetts Institute of Technology (MIT), где Kerberos был первоначально разработан, продолжает разрабатывать собственный пакет Kerberos. Он обычно использовался в США как криптографический продукт, и в этом качестве попадал под действие ограничений на экспорт. MITKerberos доступен в виде порта (package:security/krb5[]). Heimdal Kerberos это другая реализация версии 5, которая разрабатывалась исключительно вне США для обхода экспортных ограничений (и поэтому часто включалась в некоммерческие реализации UNIX(R)). Heimdal Kerberos доступен в виде порта (package:security/heimdal[]), его минимальный комплект включен в базовую установку FreeBSD. +[source, shell] +.... +# service sshd start +.... -В целях получения наибольшей аудитории, в этих инструкциях предполагается использование Heimdal включаемого в FreeBSD. +При первом запуске `sshd` в системе FreeBSD автоматически создаются ключи хоста системы, и их отпечаток выводится на консоль. Предоставьте пользователям этот отпечаток, чтобы они могли проверить его при первом подключении к серверу. -=== Настройка Heimdal KDC +Обратитесь к man:sshd[8] для получения списка доступных параметров при запуске sshd, а также полного описания аутентификации, процесса входа и различных конфигурационных файлов. -Центр распространения ключей (Key Distribution Center, KDC) это централизованный сервис аутентификации, предоставляемый Kerberos - это компьютер, который предоставляет доступ через Kerberos. KDC считается доверяемым всеми другими компьютерами с определенным идентификатором Kerberos и поэтому к нему предъявляются высокие требования безопасности. +На этом этапе `sshd` должен быть доступен всем пользователям системы, имеющим имя пользователя и пароль. -Имейте ввиду, что хотя работа сервера Kerberos требует очень немного вычислительных ресурсов, из соображений безопасности для него рекомендуется отдельный компьютер, работающий только в качестве KDC. +[[config-publickey-auth]] +=== Настройка метода аутентификации по открытому ключу -Перед началом настройки KDC, убедитесь что в файле [.filename]#/etc/rc.conf# содержатся правильные настройки для работы в качестве KDC (вам может потребоваться изменить пути в соответствии с собственной системой): +Настройка OpenSSH для использования аутентификации по открытому ключу повышает безопасность за счёт применения асимметричной криптографии. Этот метод устраняет риски, связанные с паролями, такие как слабые пароли или их перехват при передаче, а также предотвращает различные атаки, основанные на паролях. Однако важно обеспечить надёжную защиту закрытых ключей, чтобы предотвратить несанкционированный доступ. -[.programlisting] -.... -kerberos5_server_enable="YES" -kadmind5_server_enable="YES" -.... +Первым шагом будет настройка man:sshd[8] для использования требуемого метода аутентификации. -Затем приступим к редактированию файла настройки Kerberos, [.filename]#/etc/krb5.conf#: +Отредактируйте файл [.filename]#/etc/ssh/sshd_config# и раскомментируйте следующую настройку: [.programlisting] .... -[libdefaults] - default_realm = EXAMPLE.ORG -[realms] - EXAMPLE.ORG = { - kdc = kerberos.example.org - admin_server = kerberos.example.org - } -[domain_realm] - .example.org = EXAMPLE.ORG +PubkeyAuthentication yes .... -Обратите внимание что в файле [.filename]#/etc/krb5.conf# подразумевается наличие у KDC полного имени `kerberos.example.org`. Вам потребуется добавить CNAME (синоним) к файлу зоны, если у KDC другое имя. +После завершения настройки пользователям необходимо отправить системному администратору свой *открытый ключ*, и эти ключи будут добавлены в [.filename]#.ssh/authorized_keys#. Процесс генерации ключей описан в crossref:security[security-ssh-keygen,Аутентификация на основе ключей]. -[NOTE] -==== -Для больших сетей с правильно настроенным сервером BINDDNS пример выше может быть урезан до: +Затем перезапустите сервер, выполнив следующую команду: -[.programlisting] +[source, shell] .... -[libdefaults] - default_realm = EXAMPLE.ORG +# service sshd reload .... -Со следующими строками, добавленными в файл зоны `example.org`: +Настоятельно рекомендуется выполнить указанные улучшения безопасности, приведенные в crossref:security[security-sshd-security-options, Параметры безопасности SSH-сервера]. -[.programlisting] -.... -_kerberos._udp IN SRV 01 00 88 kerberos.example.org. -_kerberos._tcp IN SRV 01 00 88 kerberos.example.org. -_kpasswd._udp IN SRV 01 00 464 kerberos.example.org. -_kerberos-adm._tcp IN SRV 01 00 749 kerberos.example.org. -_kerberos IN TXT EXAMPLE.ORG -.... +[[security-sshd-security-options]] +=== Параметры безопасности сервера SSH -==== +В то время как `sshd` является наиболее широко используемым средством удалённого администрирования в FreeBSD, атаки методом грубой силы и сканирование уязвимостей распространены для любой системы, доступной из публичных сетей. -[NOTE] +В этом разделе описаны дополнительные параметры, которые помогают предотвратить успех подобных атак. Все настройки выполняются в файле [.filename]#/etc/ssh/sshd_config# + +[TIP] ==== -Чтобы клиенты могли найти сервисы Kerberos, _необходимо_ наличие или полностью настроенного [.filename]#/etc/krb5.conf# или минимально настроенного [.filename]#/etc/krb5.conf#_и_ правильно настроенного DNS сервера. +Не путайте [.filename]#/etc/ssh/sshd_config# с [.filename]#/etc/ssh/ssh_config# (обратите внимание на дополнительную букву `d` в первом имени файла). Первый файл настраивает сервер, а второй — клиент. Список доступных настроек клиента приведён в man:ssh_config[5]. ==== -Создадим теперь базу данных Kerberos. Эта база данных содержит ключи всех основных хостов, зашифрованных с помощью главного пароля. Вам не требуется помнить этот пароль, он хранится в файле ([.filename]#/var/heimdal/m-key#). Для создания главного ключа запустите `kstash` и введите пароль. - -Как только будет создан главный ключ, вы можете инициализировать базу данных с помощью программы `kadmin` с ключом `-l` (означающим "local"). Этот ключ сообщает `kadmin` обращаться к файлам базы данных непосредственно вместо использования сетевого сервиса `kadmind`. Это помогает решить "проблему курицы и яйца", когда обращение идет к еще не созданной базе данных. Как только вы увидите приглашение `kadmin`, используйте команду `init` для создания базы данных идентификаторов. - -Наконец, оставаясь в приглашении `kadmin`, создайте первую запись с помощью команды `add`. Оставьте неизменными параметры по умолчанию, вы всегда сможете изменить их позже с помощью команды `modify`. Обратите внимание, что вы всегда можете использовать команду `?` для просмотра доступных параметров. - -Пример создания базы данных показан ниже: +По умолчанию аутентификация может выполняться как по открытому ключу, так и по паролю. Чтобы разрешить *только* аутентификацию по открытому ключу, *что настоятельно рекомендуется*, измените переменную: -[source,shell] +[.programlisting] .... -# kstash -Master key: xxxxxxxx -Verifying password - Master key: xxxxxxxx - -# kadmin -l -kadmin> init EXAMPLE.ORG -Realm max ticket life [unlimited]: -kadmin> add tillman -Max ticket life [unlimited]: -Max renewable life [unlimited]: -Attributes []: -Password: xxxxxxxx -Verifying password - Password: xxxxxxxx +PasswordAuthentication no .... -Теперь пришло время запустить сервисы KDC. Выполните команды `/etc/rc.d/kerberos start` и `/etc/rc.d/kadmind start` для запуска сервисов. Заметьте, что ни один из поддерживающих Kerberos даемонов на этот момент запущен не будет, но у вас должна быть возможность убедиться в том, что KDC функционирует путем получения списка доступа для пользователя, которого вы только что самостоятельно создали из командной строки самого KDC: +Хорошей практикой является ограничение пользователей, которые могут подключаться к SSH-серверу, а также мест, откуда они могут это делать, с помощью ключевого слова `AllowUsers` в конфигурационном файле сервера OpenSSH. Например, чтобы разрешить вход только пользователю `user` с адреса `192.168.1.32`, добавьте следующую строку в файл [.filename]#/etc/ssh/sshd_config#: -[source,shell] +[.programlisting] .... -% k5init tillman -tillman@EXAMPLE.ORG's Password: - -% k5list -Credentials cache: FILE:/tmp/krb5cc_500 - Principal: tillman@EXAMPLE.ORG - - Issued Expires Principal -Aug 27 15:37:58 Aug 28 01:37:58 krbtgt/EXAMPLE.ORG@EXAMPLE.ORG +AllowUsers user@192.168.1.32 .... -=== Сервер Kerberos с сервисами Heimdal - -Для начала нам потребуется копия файла настройки Kerberos, [.filename]#/etc/krb5.conf#. Просто скопируйте его с KDC на клиентский компьютер безопасным способом (используя сетевые утилиты, такие как man:scp[1], или физически, с помощью дискеты). - -Затем вам понадобится файл [.filename]#/etc/krb5.keytab#. Это основное различие между сервером, поддерживающим Kerberos и рабочими станциями - на сервере должен быть файл [.filename]#keytab#. В этом файле находится центральный ключ сервера, который позволяет KDC проверять все другие идентификаторы. Он должен быть помещен на сервер безопасным способом, поскольку безопасность сервера может быть нарушена, если ключ станет общедоступен. Это означает, что его передача через прозрачный канал, такой как FTP - очень плохая идея. - -Обычно перенос файла [.filename]#keytab# на сервер производится с помощью программы `kadmin`. Это удобно, поскольку вам потребуется также создать запись хоста (KDC часть [.filename]#krb5.keytab#) с помощью `kadmin`. +Чтобы разрешить пользователю `user` входить из любого места, укажите этого пользователя без указания IP-адреса: -Обратите внимание, что должны быть уже зарегистрированы в системе и необходимо наличие прав на использование интерфейса `kadmin` в файле [.filename]#kadmind.acl#. Обратитесь к разделу "Remote administration" в info страницах Heimdal (`info heimdal`) за деталями по составлению списка доступа. Если вы не хотите включать удаленный доступ `kadmin`, можете просто подключиться к KDC через защищенное соединение (локальную консоль, man:ssh[1] или Kerberos man:telnet[1]) и выполнять администрирование локально с помощью `kadmin -l`. +[.programlisting] +.... +AllowUsers user +.... -После добавления файла [.filename]#/etc/krb5.conf#, вы можете использовать `kadmin` с сервера Kerberos. Команда `add --random-key` позволит вам добавить запись для сервера, а команда `ext` позволит перенести эту запись в собственный keytab файл сервера. Например: +Несколько пользователей следует перечислять в одной строке, например: -[source,shell] +[.programlisting] .... -# kadmin -kadmin> add --random-key host/myserver.example.org -Max ticket life [unlimited]: -Max renewable life [unlimited]: -Attributes []: -kadmin> ext host/myserver.example.org -kadmin> exit +AllowUsers root@192.168.1.32 user .... -Обратите внимание, что команда `ext` (сокращение от "extract") сохраняет полученный ключ в файле [.filename]#/etc/krb5.keytab# по умолчанию. - -Если на KDC не запущен `kadmind` (возможно по соображениям безопасности) и вы не можете получить доступ к `kadmin` удаленно, возможно добавление записи хоста (`host/myserver.EXAMPLE.ORG`) непосредственно на KDC с последующим извлечением ее во временный файл (и перезаписью [.filename]#/etc/krb5.keytab# на KDC) примерно так: +После внесения всех изменений и перед перезапуском службы рекомендуется проверить правильность конфигурации, выполнив следующую команду: -[source,shell] +[source, shell] .... -# kadmin -kadmin> ext --keytab=/tmp/example.keytab host/myserver.example.org -kadmin> exit +# sshd -t .... -Затем вы можете скопировать keytab на сервер защищенным способом (например, используя `scp` или дискету). Убедитесь, что используемое имя keytab не совпадает с именем по умолчанию во избежание перезаписывания keytab на KDC. - -Теперь ваш сервер может связываться с KDC (добавлен файл [.filename]#krb5.conf#) и идентифицировать себя (добавлен файл [.filename]#krb5.keytab#). Теперь вы готовы к включению некоторых сервисов Kerberos. В этом примере мы включим сервис `telnet`, поместив в [.filename]#/etc/inetd.conf# нижеприведенную строку и перезапустив сервис man:inetd[8] командой `/etc/rc.d/inetd restart`: +Если файл конфигурации верен, вывод не будет отображен. В случае, если файл конфигурации содержит ошибки, будет показано примерно следующее: [.programlisting] .... -telnet stream tcp nowait root /usr/libexec/telnetd telnetd -a user +/etc/ssh/sshd_config: line 3: Bad configuration option: sdadasdasdasads +/etc/ssh/sshd_config: terminating, 1 bad configuration options .... -Очень важно установить ключ `-a` (тип аутентификации) в user. Обратитесь к странице справочника man:telnetd[8] за подробной информацией. - -=== Клиент Kerberos с Heimdal - -Настройка клиентского компьютера почти тривиально проста. Как только настройка Kerberos закончена, вам потребуется только файл настройки Kerberos, [.filename]#/etc/krb5.conf#. Просто скопируйте его безопасным способом на клиентский компьютер с KDC. - -Протестируйте клиентский компьютер, попытавшись использовать `kinit`, `klist`, и `kdestroy` для получения, отображения и удаления списка доступа. Соединитесь с Kerberos севером используя клиент Kerberos, если соединение не работает и получение доступа является проблемой, это скорее всего проблема сервера, а не клиента или KDC. - -При тестировании приложения вроде `telnet`, попробуйте использовать программу перехвата пакетов (такую как man:tcpdump[1]), чтобы убедиться, что ваш пароль не передается незашифрованным. Попробуйте использовать `telnet` с параметром `-x`, чтобы зашифровать весь поток данных (подобно `ssh`). +После внесения изменений и проверки корректности файла конфигурации, дайте команду `sshd` перезагрузить файл конфигурации, выполнив: -Основные клиентские приложения Kerberos (традиционно называющиеся `kinit`, `klist`, `kdestroy`, и `kpasswd`) находятся в базовой установке FreeBSD. Обратите внимание, что в FreeBSD версий до 5.0 они были переименованы в `k5init`, `k5list`, `k5destroy`, `k5passwd`, и `k5stash` (хотя их обычно использовали лишь однократно). - -Различные неосновные клиентские приложения Kerberos также устанавливаются по умолчанию. Здесь проявляется "минимальность" базовой установки Heimdal: `telnet` это единственное приложение, поддерживающее Kerberos. - -Порт Heimdal добавляет некоторые отсутствующие клиентские приложения: поддерживающие Kerberos версии `ftp`, `rsh`, `rcp`, `rlogin`, и некоторые другие реже используемые программы. Порт MIT также содержит полный пакет клиентских приложений Kerberos. - -=== Пользовательские файлы настройки: [.filename]#.k5login# и [.filename]#.k5users# - -Учётные записи пользователя в Kerberos (например `tillman@EXAMPLE.ORG`) обычно связаны с локальными учётными записями (например с локальной учётной записью6 `tillman`). Клиентские приложения, такие как `telnet`, обычно не требуют указания имени пользователя или учётной записи. - -Тем не менее, время от времени вам может потребоваться дать доступ к локальной учётной записи кому-то, у кого нет соответствующей учётной записи Kerberos. Например, пользователю `tillman@EXAMPLE.ORG` может потребоваться доступ к локальной учётной записи `webdevelopers`. Другим учётным записям также может потребоваться доступ к этой локальной учётной записи. - -Файлы [.filename]#.k5login# и [.filename]#.k5users#, помещенные в домашний каталог пользователя, могут быть использованы подобно действенной комбинации [.filename]#.hosts# и [.filename]#.rhosts# для решения этой проблемы. Например, файл [.filename]#.k5login# со следующим содержанием: - -[source,shell] +[source, shell] .... -tillman@example.org -jdoe@example.org +# service sshd reload .... -помещен в домашний каталог локального пользователя `webdevelopers`, то обе упомянутые учётные записи получат доступ к этой учётной записи без необходимости наличия общего пароля. - -Рекомендуется прочитать страницу справочника по этим командам. Обратите внимание, что страница справочника о `ksu` содержит информацию по [.filename]#.k5users#. - -=== Подсказки, советы и решение проблем с Kerberos - -* При использовании портов как Heimdal так и MITKerberos убедитесь, что в `PATH` версии Kerberos клиентов указаны перед их версиями в базовой системе. -* Все ли компьютеры в пределах данного realm синхронизированы по времени? Если нет, аутентификация может завершиться неудачно. crossref:network-servers[network-ntp,Синхронизация часов через NTP] описывает как синхронизировать часы с использованием NTP. -* MIT и Heimdal успешно взаимодействуют. За исключением `kadmin`, протокол для которого не стандартизован. -* Если вы изменяете hostname, потребуется также изменить учётную запись `host/` и обновить keytab. Это также необходимо для специальных записей в keytab, таких как `www/` запись модуля Apache package:www/mod_auth_kerb[]. -* Все хосты под общим идентификатором должны разрешаться DNS (прямое и обратное разрешение), или как минимум через [.filename]#/etc/hosts#. Записи CNAME будут работать, но записи A и PTR должны быть корректны и находиться на своем месте. Сообщение об ошибке не всегда интуитивно понятно: `Kerberos5 refuses authentication because Read req failed: Key table entry not found`. -* Некоторые операционные системы, способные работать в качестве клиентов KDC не устанавливают права для `ksu` в setuid `root`. Это означает, что `ksu` не работает, что хорошо является хорошей идеей для безопасности, но неудобно. Это не ошибка KDC. -* С MITKerberos, если вы хотите продлить действие доступа до значения большего, чем десять часов по умолчанию, используйте команду `modify_principal` в `kadmin` для изменения maxlife доступа к самой учётной записи и к учётной записи `krbtgt`. Затем возможно использование `kinit` с параметром `-l` для запроса доступа с большим временем действия. -* -[NOTE] -==== -Если вы запускаете перехватчик пакетов на KDC для разрешения проблем, а затем запускаете `kinit` с рабочей станции, то увидите, что TGT посылается непосредственно при запуске `kinit` - даже до того, как вы введете пароль! Объяснение в том, что сервер Kerberos свободно распространяет TGT (Ticket Granting Ticket) на каждый неавторизованный запрос; однако, каждый TGT зашифрован ключом, полученным из пароля пользователя. Следовательно, когда пользователь вводит свой пароль, он не отправляется на KDC, а используется для расшифровка TGT, который уже получен `kinit`. Если в процессе расшифровки получается правильный билет с правильным значением времени, у пользователя есть действующее "удостоверение". Это удостоверение содержит ключ сессии для установления безопасного соединения с сервером Kerberos, как и действующий TGT, зашифрованный ключом сервера Kerberos. Второй уровень шифрования недоступен пользователю, но позволяет серверу Kerberos проверять правильность каждого TGT. -==== - -* Если вы хотите установить большое время жизни доступа (например, неделю), и используете OpenSSH для соединения с компьютером, где хранится "билет", убедитесь, что параметр Kerberos`TicketCleanup` установлен в `no` в файле [.filename]#sshd_config#, или билеты будут уничтожены при выходе из сеанса. -* Запомните, что время жизни билетов хостов больше. Если время жизни билета для учётной записи пользователя составляет неделю, а время жизни учётной записи хоста, к которому вы подсоединяетесь девять часов, учётная запись хоста в кэше устареет и кэш билетов будет работать не так, как ожидается. -* При настройке файла [.filename]#krb5.dict# на предотвращение использования определенных плохих паролей (страница справочника для `kadmind` кратко рассказывает об этом), запомните, что это применимо только к учётным записям, для которых действует политика паролей. Формат файла [.filename]#krb5.dict# прост: одно слово на строку. Может помочь создание символической ссылки на [.filename]#/usr/shared/dict/words#. - -=== Отличия от порта MIT - -Основное различие между установками MIT и Heimdal относится к программе `kadmin`, которая имеет другой (но эквивалентный) набор команд и использует другой протокол. Если ваш KDC работает на MIT, вы не сможете использовать `kadmin` для удаленного администрирования KDC (и наоборот, по этой же причине). - -Опции командной строки клиентов также могут немного отличаться для одинаковых задач. Рекомендуется следование инструкциям на MITKerberos Web-сайте (http://web.mit.edu/Kerberos/www/[http://web.mit.edu/Kerberos/www/]). Будьте внимательны при определении `PATH`: порт MIT устанавливается по умолчанию в [.filename]#/usr/local/#, и если в `PATH` вначале указаны системные каталоги, вместо приложений MIT могут быть запущены системные приложения. - -[NOTE] -==== -С портом MITpackage:security/krb5[], предоставляемым FreeBSD, убедитесь что файл [.filename]#/usr/local/shared/doc/krb5/README.FreeBSD# установлен портом, если вы хотите понять почему вход через `telnetd` и `klogind` иногда происходит так странно. Наиболее важно, исправление "incorrect permissions on cache file" требует использования бинарного файла `login.krb5` для аутентификации, чтобы права на переданное удостоверение передавались правильно. -==== - -=== Преодоление ограничений, обнаруженных в Kerberos - -==== Kerberos это все или ничего - -Каждый сервис, работающий в сети, должен быть модифицирован для работы с Kerberos (или другим способом защищен от атак по сети) или удостоверения пользователей могут быть украдены или использованы повторно. В качестве примера может быть приведено использование Kerberos версий оболочек для удаленной работы (например через `rsh` и `telnet`), при наличии POP3 сервера, получающего пароли в незашифрованном виде. - -==== Kerberos предназначен для однопользовательских рабочих станций - -В многопользовательской среде Kerberos менее безопасен. Это потому, что он хранит билеты в каталоге [.filename]#/tmp#, которая доступна для чтения всем. Если пользователь работает с несколькими другими пользователями одновременно на одном компьютере (т.е. в многопользовательской среде), возможна кража (копирование) билета другим пользователем. +[[openssl]] +== OpenSSL -Решить проблему можно с помощью параметра командной строки `-c` или (предпочтительно) с помощью переменной окружения `KRB5CCNAME`, но это делается редко. Для преодоления ограничения достаточно сохранять билет в домашнем каталоге пользователя и использовать простые ограничения на доступ к файлам. +OpenSSL — это набор криптографических инструментов, реализующий сетевые протоколы Secure Sockets Layer (SSL) и Transport Layer Security (TLS), а также множество криптографических функций. -==== От KDC зависит вся система +Программа `openssl` — это инструмент командной строки для использования различных криптографических функций криптобиблиотеки OpenSSL из оболочки. Она может быть использована для -Архитектура системы такова, что KDC должен быть максимально защищен, поскольку главный пароль базы данных содержится в нем. На KDC не должно быть запущено никаких других сервисов и он должен быть защищен физически. Опасность велика, поскольку Kerberos хранит все пароли зашифрованными одним ключом ("главным" ключом), который хранится в файле на KDC. +* Создания и управления закрытыми ключами, открытыми ключами и параметрами +* Криптографических операций с открытым ключом +* Создания сертификатов X.509, запросов на подпись сертификатов (CSR) и списков отозванных сертификатов (CRL) +* Вычисления дайджестов сообщений +* Шифрования и дешифрования с использованием шифров +* Тестирования SSL/TLS клиента и сервера +* Обработки почты с подписью или шифрованием S/MIME +* Запросов, генерации и проверки временных меток +* Бенчмаркинга криптографических процедур -Хорошей новостью является то, что кража главного ключа не станет такой проблемой, как может показаться. Главный ключ используется только для шифрования базы данных Kerberos и в качестве seed для генератора случайных чисел. Поскольку доступ к KDC защищен, атакующий мало что сможет сделать с главным ключом. +Для получения дополнительной информации о OpenSSL ознакомьтесь с бесплатной книгой https://www.feistyduck.com/books/openssl-cookbook/[OpenSSL Cookbook]. -Кроме того, если KDC станет недоступен (возможно по причине атак DoS или проблем в сети) сетевые сервисы будет невозможно использовать, поскольку аутентификация не может быть выполнена. Уменьшить последствия можно при наличии нескольких KDC (один главный и один или несколько резервных) и с аккуратно реализованной резервной аутентификацией (отлично подойдет PAM). +[[generating-certificates]] +=== Генерация сертификатов -==== Недостатки Kerberos +OpenSSL поддерживает создание сертификатов как для проверки link:https://en.wikipedia.org/wiki/Certificate_authority[ЦС], так и для собственного использования. -Kerberos позволяет пользователям, хостам и сервисам производить аутентификацию друг друга. В нем нет механизма аутентификации KDC для пользователей, хостов или сервисов. Это означает, что поддельный `kinit` (например) может записывать все имена пользователей и паролей. Помочь решить проблему может package:security/tripwire[] или другой инструмент проверки целостности файловой системы. +Выполните команду man:openssl[1] для генерации действительного сертификата для link:https://en.wikipedia.org/wiki/Certificate_authority[центра сертификации (CA)] с указанными аргументами. Эта команда создаст два файла в текущем каталоге. Запрос на сертификат, [.filename]#req.pem#, можно отправить в link:https://en.wikipedia.org/wiki/Certificate_authority[центр сертификации (CA)], который проверит введённые данные, подпишет запрос и вернёт подписанный сертификат. Второй файл, [.filename]#cert.key#, является закрытым ключом для сертификата и должен храниться в безопасном месте. Если он попадёт в чужие руки, его можно использовать для выдачи себя за пользователя или сервер. -=== Ресурсы и информация для дальнейшего изучения +Выполните следующую команду для создания сертификата: -* http://www.faqs.org/faqs/Kerberos-faq/general/preamble.html[ Kerberos FAQ] -* http://web.mit.edu/Kerberos/www/dialogue.html[Разработка системы аутентификации: диалог в четырех сценах] -* http://www.ietf.org/rfc/rfc1510.txt?number=1510[RFC 1510, Kerberos Network Authentication Service (V5)] -* http://web.mit.edu/Kerberos/www/[Домашняя страница MIT Kerberos] -* http://www.pdc.kth.se/heimdal/[Домашняя страница Heimdal Kerberos] - -[[openssl]] -== OpenSSL - -Одной из программ, требующих особого внимания пользователей, является набор программ OpenSSL, включенный в FreeBSD. OpenSSL предоставляет уровень шифрования поверх обычных уровней соединения; следовательно, он может быть использован многими сетевыми приложениями и сервисами. +[source, shell] +.... +# openssl req -new -nodes -out req.pem -keyout cert.key -sha3-512 -newkey rsa:4096 +.... -OpenSSL может использоваться для шифрования соединений почтовых клиентов, транзакций через интернет, например для кредитных карт, и многого другого. Многие порты, такие как package:www/apache13-ssl[] и package:mail/sylpheed-claws[] собираются с OpenSSL. +Вывод должен быть похож на следующий: -[NOTE] -==== -В большинстве случаев в Коллекции Портов будет сделана попытка построения порта package:security/openssl[], если только переменная `WITH_OPENSSL_BASE` не установлена явно в "yes". -==== +[.programlisting] +.... +Generating a RSA private key +..................................................................................................................................+++++ +......................................+++++ +writing new private key to 'cert.key' +----- +You are about to be asked to enter information that will be incorporated +into your certificate request. +What you are about to enter is what is called a Distinguished Name or a DN. +There are quite a few fields but you can leave some blank +For some fields there will be a default value, +If you enter '.', the field will be left blank. +----- +Country Name (2 letter code) [AU]:ES +State or Province Name (full name) [Some-State]:Valencian Community +Locality Name (eg, city) []:Valencia +Organization Name (eg, company) [Internet Widgits Pty Ltd]:My Company +Organizational Unit Name (eg, section) []:Systems Administrator +Common Name (e.g. server FQDN or YOUR name) []:localhost.example.org +Email Address []:user@FreeBSD.org -Версия OpenSSL, включаемая в FreeBSD, поддерживает сетевые протоколы безопасности Secure Sockets Layer v2/v3 (SSLv2/SSLv3), Transport Layer Security v1 (TLSv1) и может быть использована в качестве основной криптографической библиотеки. +Please enter the following 'extra' attributes +to be sent with your certificate request +A challenge password []:123456789 +An optional company name []:Another name +.... -[NOTE] -==== -Хотя OpenSSL поддерживает алгоритм IDEA, по умолчанию он отключен из-за патентных ограничений Соединенных Штатов. Для его использования необходимо ознакомиться с лицензией, и, если ограничения приемлемы, установить в [.filename]#make.conf# переменную `MAKE_IDEA`. -==== +В качестве альтернативы, если подпись от link:https://ru.wikipedia.org/wiki/Центр_сертификации[центра сертификации] не требуется, можно создать самоподписанный сертификат. Это приведёт к созданию двух новых файлов в текущем каталоге: файла закрытого ключа [.filename]#cert.key# и самого сертификата [.filename]#cert.crt#. Эти файлы следует поместить в каталог, желательно в [.filename]#/etc/ssl/#, с доступом только для пользователя `root`. Для этих файлов подходят права доступа `0700`, которые можно установить с помощью команды `chmod`. -Наиболее часто OpenSSL используется для создания сертификатов, используемых программными пакетами. Эти сертификаты подтверждают, что данные компании или частного лица верны и не подделаны. Если рассматриваемый сертификат не был проверен одним из нескольких сертификационных центров ("Certificate Authorities" - CA), обычно выводится предупреждение. Центр сертификации представляет собой компанию, такую, как http://www.verisign.com[ VeriSign], которая подписывает сертификаты для подтверждения данных частных лиц или компаний. Эта процедура не бесплатна и не является абсолютно необходимой для использования сертификатов; однако может успокоить некоторых особо осторожных пользователей. +Выполните следующую команду для создания сертификата: -=== Генерирование сертификатов +[source, shell] +.... +# openssl req -new -x509 -days 365 -sha3-512 -keyout /etc/ssl/private/cert.key -out /etc/ssl/certs/cert.crt +.... -Для генерирования сертификатов доступна следующая команда: +Вывод должен быть похож на следующий: -[source,shell] +[.programlisting] .... -# openssl req -new -nodes -out req.pem -keyout cert.pem -Generating a 1024 bit RSA private key -................++++++ -.......................................++++++ -writing new private key to 'cert.pem' +Generating a RSA private key +........................................+++++ +...........+++++ +writing new private key to '/etc/ssl/private/cert.key' +Enter PEM pass phrase: +Verifying - Enter PEM pass phrase: ----- You are about to be asked to enter information that will be incorporated into your certificate request. @@ -1202,1080 +935,1010 @@ There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- -Country Name (2 letter code) [AU]:US -State or Province Name (full name) [Some-State]:PA -Locality Name (eg, city) []:Pittsburgh +Country Name (2 letter code) [AU]:ES +State or Province Name (full name) [Some-State]:Valencian Community +Locality Name (eg, city) []:Valencia Organization Name (eg, company) [Internet Widgits Pty Ltd]:My Company Organizational Unit Name (eg, section) []:Systems Administrator -Common Name (eg, YOUR name) []:localhost.example.org -Email Address []:trhodes@FreeBSD.org - -Please enter the following 'extra' attributes -to be sent with your certificate request -A challenge password []:SOME PASSWORD -An optional company name []:Another Name +Common Name (e.g. server FQDN or YOUR name) []:localhost.example.org +Email Address []:user@FreeBSD.org .... -Ввод после приглашения "Common Name" содержит имя домена. Здесь вводится имя сервера для верификации; помещение в это поле чего-либо кроме этого имени приведет к созданию бесполезного сертификата. Доступны и другие параметры, например срок действия, альтернативные алгоритмы шифрования и т.д. Полный список находится на странице справочного руководства man:openssl[1]. +[[fips-provider]] +=== Настройка поставщика FIPS -В текущем каталоге, из которого была вызвана вышеуказанная команда, должны появиться два файла. Файл [.filename]#req.pem# с запросом на сертификацию может быть послан в центр выдачи сертификатов, который проверит введённые вами подтверждающие данные, подпишет запрос и возвратит сертификат вам. Второй созданный файл будет иметь название [.filename]#cert.pem# и содержать приватный сертификационный ключ, который необходимо тщательно защищать; если он попадёт в руки посторонних лиц, то может быть использован для имитации лично вас (или вашего сервера). +С внедрением OpenSSL 3 в базовую систему (на FreeBSD 14 и новее) в систему была добавлена новая концепция модулей-провайдеров. Помимо модуля по умолчанию, встроенного в библиотеку, модуль _legacy_ реализует теперь необязательные устаревшие криптографические алгоритмы, а модуль _fips_ ограничивает реализацию OpenSSL криптографическими алгоритмами, присутствующими в наборе стандартов link:https://en.wikipedia.org/wiki/Federal_Information_Processing_Standards[FIPS]. Эта часть OpenSSL получает link:https://www.openssl.org/docs/fips.html[особое внимание], включая link:https://www.openssl.org/news/fips-cve.html[список соответствующих проблем безопасности], и регулярно проходит link:https://github.com/openssl/openssl/blob/master/README-FIPS.md[процесс валидации FIPS 140]. Также доступен link:https://www.openssl.org/source/[список версий, прошедших валидацию FIPS]. Это позволяет пользователям обеспечивать соответствие FIPS при использовании OpenSSL. -Когда подпись CA не требуется, может быть создан самоподписанный сертификат. Сначала создайте ключ RSA: +Важно отметить, что модуль man:fips_module[7] защищен дополнительной мерой безопасности, предотвращающей его использование без прохождения проверки целостности. Эта проверка может быть настроена системным администратором, что позволяет каждому пользователю OpenSSL 3 загружать этот модуль. Если настройка выполнена некорректно, ожидается, что модуль FIPS завершит работу следующим образом: -[source,shell] +[source, shell] .... -# openssl dsaparam -rand -genkey -out myRSA.key 1024 +# echo test | openssl aes-128-cbc -a -provider fips -pbkdf2 .... -Теперь создайте ключ CA: +Вывод должен быть похож на следующий: -[source,shell] +[.programlisting] .... -# openssl gendsa -des3 -out myca.key myRSA.key +aes-128-cbc: unable to load provider fips +Hint: use -provider-path option or OPENSSL_MODULES environment variable. +00206124D94D0000:error:1C8000D5:Provider routines:SELF_TEST_post:missing config data:crypto/openssl/providers/fips/self_test.c:275: +00206124D94D0000:error:1C8000E0:Provider routines:ossl_set_error_state:fips module entering error state:crypto/openssl/providers/fips/self_test.c:373: +00206124D94D0000:error:1C8000D8:Provider routines:OSSL_provider_init_int:self test post failure:crypto/openssl/providers/fips/fipsprov.c:707: +00206124D94D0000:error:078C0105:common libcrypto routines:provider_init:init fail:crypto/openssl/crypto/provider_core.c:932:name=fips .... -Используйте этот ключ при создании сертификата: +Проверка может быть настроена путем создания файла [.filename]#/etc/ssl/fipsmodule.cnf#, который затем будет указан в основном конфигурационном файле OpenSSL [.filename]#/etc/ssl/openssl.cnf#. OpenSSL предоставляет утилиту man:openssl-fipsinstall[1] для помощи в этом процессе, которую можно использовать следующим образом: -[source,shell] +[source, shell] .... -# openssl req -new -x509 -days 365 -key myca.key -out new.crt +# openssl fipsinstall -module /usr/lib/ossl-modules/fips.so -out /etc/ssl/fipsmodule.cnf .... -В каталоге должно появиться два новых файла: подпись сертификата, [.filename]#myca.key# и сам сертификат, [.filename]#new.crt#. Они должны быть помещены в каталог, доступный для чтения только `root`, желательно внутри [.filename]#/etc#. Права на каталог можно изменить `chmod` с параметрами 0700. - -=== Использование сертификатов, пример +Вывод должен быть похож на следующий: -Итак, что могут сделать эти файлы? Хорошим применением может стать шифрование соединений для SendmailMTA. Это сделает ненужным использование простой текстовой аутентификации для тех, кто отправляет почту через локальный MTA. +[.programlisting] +.... +INSTALL PASSED +.... -[NOTE] -==== -Это не лучшее из возможных использований, поскольку некоторые MUA выдадут ошибку, если сертификат не установлен локально. Обратитесь к поставляемой с программой документации за информацией по установке сертификата. -==== +Файл [.filename]#/etc/ssl/openssl.cnf# затем следует изменить, чтобы: -Следующие строки должны быть помещены в локальный файл [.filename]#.mc#: +* Включить файл [.filename]#/etc/ssl/fipsmodule.cnf#, созданный выше, +* Предоставить доступ к модулю FIPS для возможного использования, +* И явно активировать модуль по умолчанию. [.programlisting] .... -dnl SSL Options -define(`confCACERT_PATH',`/etc/certs')dnl -define(`confCACERT',`/etc/certs/new.crt')dnl -define(`confSERVER_CERT',`/etc/certs/new.crt')dnl -define(`confSERVER_KEY',`/etc/certs/myca.key')dnl -define(`confTLS_SRV_OPTIONS', `V')dnl +[...] +# For FIPS +# Optionally include a file that is generated by the OpenSSL fipsinstall +# application. This file contains configuration data required by the OpenSSL +# fips provider. It contains a named section e.g. [fips_sect] which is +# referenced from the [provider_sect] below. +# Refer to the OpenSSL security policy for more information. +.include /etc/ssl/fipsmodule.cnf + +[...] + +# List of providers to load +[provider_sect] +default = default_sect +# The fips section name should match the section name inside the +# included fipsmodule.cnf. +fips = fips_sect + +# If no providers are activated explicitly, the default one is activated implicitly. +# See man 7 OSSL_PROVIDER-default for more details. +# +# If you add a section explicitly activating any other provider(s), you most +# probably need to explicitly activate the default provider, otherwise it +# becomes unavailable in openssl. As a consequence applications depending on +# OpenSSL may not work correctly which could lead to significant system +# problems including inability to remotely access the system. +[default_sect] +activate = 1 .... -Где [.filename]#/etc/certs/# это каталог для локального хранения сертификата и ключей. После настройки необходимо собрать локальный файл [.filename]#.cf#. Это легко сделать, набрав `make`[parameter]#install# в каталоге [.filename]#/etc/mail#. Затем выполните команду `make`[parameter]#restart#, которая должна запустить даемон Sendmail. +После этого можно убедиться, что модуль FIPS действительно доступен и работает: -Если все пройдет нормально, в файле [.filename]#/var/log/maillog# не появятся сообщения об ошибках и запустится процесс Sendmail. +[source, shell] +.... +# echo test | openssl aes-128-cbc -a -provider fips -pbkdf2 +.... -Для проведения простого теста подключитесь к почтовому серверу программой man:telnet[1]: +Вывод должен быть похож на следующий: -[source,shell] +[.programlisting] .... -# telnet example.com 25 -Trying 192.0.34.166... -Connected to example.com. -Escape character is '^]'. -220 example.com ESMTP Sendmail 8.12.10/8.12.10; Tue, 31 Aug 2004 03:41:22 -0400 (EDT) -ehlo example.com -250-example.com Hello example.com [192.0.34.166], pleased to meet you -250-ENHANCEDSTATUSCODES -250-PIPELINING -250-8BITMIME -250-SIZE -250-DSN -250-ETRN -250-AUTH LOGIN PLAIN -250-STARTTLS -250-DELIVERBY -250 HELP -quit -221 2.0.0 example.com closing connection -Connection closed by foreign host. +enter AES-128-CBC encryption password: +Verifying - enter AES-128-CBC encryption password: +U2FsdGVkX18idooW6e3LqWeeiKP76kufcOUClh57j8U= .... -Если в выводе появилась строка "STARTTLS", все работает правильно. +Эта процедура должна повторяться каждый раз, когда модуль FIPS изменяется, например, после выполнения обновлений системы или после применения исправлений безопасности, затрагивающих OpenSSL в базовой системе. -[[ipsec]] -== VPN через IPsec +[[kerberos5]] +== Kerberos -Создание VPN между двумя сетями, соединенными через интернет, с использованием шлюзов FreeBSD. +Kerberos — это сетевой протокол аутентификации, изначально созданный Массачусетским технологическим институтом (MIT) для безопасной аутентификации в потенциально враждебной сети. Протокол Kerberos использует надежное шифрование, позволяя как клиенту, так и серверу подтверждать свою подлинность без передачи незашифрованных секретов по сети. Kerberos можно охарактеризовать как систему проверки подлинности через посредника (прокси) и как систему аутентификации с доверенным третьим лицом. После аутентификации пользователя в Kerberos его передаваемые данные могут шифроваться для обеспечения конфиденциальности и целостности информации. -=== Принципы работы IPsec +Единственная функция Kerberos — обеспечение безопасной аутентификации пользователей и серверов в сети. Он не предоставляет функций авторизации или аудита. Рекомендуется использовать Kerberos вместе с другими методами безопасности, которые обеспечивают сервисы авторизации и аудита. -Этот раздел послужит вам руководством по настройке IPsec и его использованию в среде FreeBSD и Microsoft(R) Windows(R) 2000/XP, соединяемых безопасным способом. Для настройки IPsec необходимо ознакомиться с процессом сборки ядра (crossref:kernelconfig[kernelconfig, Настройка ядра FreeBSD]). +Текущая версия протокола — версия 5, описанная в RFC 4120. Существует несколько свободных реализаций этого протокола, охватывающих широкий спектр операционных систем. MIT продолжает развивать свой пакет Kerberos. Он широко используется в США как криптографический продукт и исторически подпадал под экспортные ограничения США. В FreeBSD MITKerberos доступен в виде пакета package:security/krb5[] или порта. Реализация Heimdal Kerberos была разработана за пределами США специально, чтобы избежать экспортных ограничений. Дистрибутив Heimdal Kerberos включён в базовую установку FreeBSD, а другая версия с более гибкими настройками доступна в коллекции портов как package:security/heimdal[]. -_IPsec_ это протокол, расположенный поверх слоя Internet Protocol (IP). Он позволяет двум или более хостам связываться защищенным способом (отсюда и название протокола). "Сетевой стек" FreeBSD IPsec основан на реализации http://www.kame.net/[KAME], поддерживающей оба семейства протоколов, IPv4 и IPv6. +В Kerberos пользователи и службы идентифицируются как «принципалы», которые входят в административную группу, называемую «реалмом». Типичный принципал пользователя имеет вид `_пользователь_@_РЕАЛМ_` (реалмы традиционно пишутся в верхнем регистре). -[NOTE] -==== -FreeBSD содержит "аппаратно поддерживаемый" стек IPsec, известный как "Fast IPsec", заимствованный из OpenBSD. Для оптимизации производительности IPsec он задействует криптографическое оборудование (когда оно доступно) через подсистему man:crypto[4]. Это новая подсистема и она не поддерживает всех возможностей, доступных в KAME версии IPsec. Для включения IPsec с аппаратной поддержкой необходимо добавить в файл настройки ядра следующий параметр: +Эта часть руководства содержит инструкции по настройке Kerberos с использованием дистрибутива Heimdal, включённого в FreeBSD. -[source,shell] -.... -options FAST_IPSEC # new IPsec (cannot define w/ IPSEC) -.... +Для демонстрации установки Kerberos пространства имен будут следующими: -Обратите внимание, что на данный момент невозможно использовать подсистему "Fast IPsec" вместе с KAME реализацией IPsec. Обратитесь к странице справочника man:fast_ipsec[4] за дальнейшей информацией. -==== +* Доменная зона DNS будет `example.org`. +* Realm Kerberos будет `EXAMPLE.ORG`. [NOTE] ==== -Для того, чтобы применять к туннелям man:gif[4] межсетевые экраны, вам потребуется включить в ядро опцию `IPSEC_FILTERGIF`: - -[source,shell] -.... -options IPSEC_FILTERGIF #filter ipsec packets from a tunnel -.... - +Используйте настоящие доменные имена при настройке Kerberos, даже если он будет работать внутри сети. Это позволяет избежать проблем с DNS и обеспечивает взаимодействие с другими доменами Kerberos. ==== -IPsec состоит из двух подпротоколов: - -* _Encapsulated Security Payload (ESP)_, защищающей данные IP пакета от вмешательства третьей стороны путем шифрования содержимого с помощью симметричных криптографических алгоритмов (таких как Blowfish,3DES). -* _Authentication Header (AH)_, защищающий заголовок IP пакета от вмешательства третьей стороны и подделки путем вычисления криптографической контрольной суммы и хеширования полей заголовка IP пакета защищенной функцией хеширования. К пакету добавляется дополнительный заголовок с хэшем, позволяющий аутентификацию информации пакета. +=== Настройка Heimdal KDC -ESP и AH могут быть использованы вместе или по отдельности, в зависимости от обстоятельств. +Центр распределения ключей (Key Distribution Center — KDC) — это централизованная служба аутентификации, предоставляемая Kerberos, «доверенная третья сторона» системы. Это компьютер, который выдает билеты Kerberos, используемые клиентами для аутентификации на серверах. Поскольку KDC считается доверенным для всех остальных компьютеров в области Kerberos, к нему предъявляются повышенные требования безопасности. Прямой доступ к KDC должен быть ограничен. -IPsec может быть использован или для непосредственного шифрования трафика между двумя хостами (_транспортный режим_); или для построения "виртуальных туннелей" между двумя подсетями, которые могут быть использованы для защиты соединений между двумя корпоративными сетями (_туннельный режим_). Последний обычно называют _виртуальной частной сетью_ (Virtual Private Network, VPN). За детальной информацией о подсистеме IPsec в FreeBSD обратитесь к странице справочника man:ipsec[4]. +При работе KDC требуется мало вычислительных ресурсов, однако по соображениям безопасности рекомендуется выделить отдельный компьютер, который будет использоваться исключительно в качестве KDC. -Для включения поддержки IPsec в ядре, добавьте следующие параметры к файлу настройки ядра: +Для начала установите пакет package:security/heimdal[] следующим образом: -[source,shell] +[source, shell] .... -options IPSEC #IP security -options IPSEC_ESP #IP security (crypto; define w/ IPSEC) +# pkg install heimdal .... -Если желательна поддержка отладки IPsec, должна быть также добавлена следующая строка: +Далее обновите [.filename]#/etc/rc.conf# с помощью `sysrc` следующим образом: -[source,shell] +[source, shell] .... -options IPSEC_DEBUG debug for IP security +# sysrc kdc_enable=yes +# sysrc kadmind_enable=yes .... -=== Проблема - -Не существует стандарта VPN. Они могут быть реализованы множеством различных технологий, каждая из которых имеет свои сильные и слабые стороны. Этот раздел представляет сценарий и стратегию реализации VPN для этого сценария. - -=== Сценарий: Две сети, подключенных к интернет, работающие как одна - -Исходные условия таковы: - -* Существует как минимум две сети -* Внутри обеих сетей используется IP -* Обе сети соединены через интернет через шлюз, работающий на FreeBSD. -* У шлюза каждой из сетей есть как минимум один публичный IP адрес. -* Внутренние IP адреса двух сетей могут быть публичными или приватными, не имеет значения. На шлюзе может работать NAT, если это необходимо. -* Внутренние IP адреса двух сетей _не должны пересекаться_. Хотя вероятно теоретически возможно использование комбинации VPN технологии и NAT для настройки такой конфигурации, эта конфигурация будет кошмарна. - -Если две сети, которые вы пытаетесь соединить, используют один и тот же диапазон приватных адресов (например, обе используют `192.168.1.x`), номера в одной из сетей необходимо изменить. - -Топология сети может выглядеть примерно так: - -image::ipsec-network.png[] - -Заметьте, что здесь присутствуют два публичных IP-адреса. В дальнейшем для их обозначения будут использоваться буквы. Если вы увидите эти буквы, замените их на свои публичные IP адреса. Также обратите внимание, что у обеих шлюзов внутренний адрес заканчивается на .1 и диапазоны приватных адресов двух сетей различны (`192.168.1.x` и `192.168.2.x` соответственно). Все компьютеры локальных сетей настроены на использование в качестве шлюза по умолчанию компьютера с адресом, оканчивающимся на `.1`. - -С сетевой точки зрения замысел в том, чтобы каждая сеть видела компьютеры из другой сети так, как если бы они были непосредственно подключены к тому же самому маршрутизатору - хотя и немного медленному маршрутизатору, иногда теряющему пакеты. - -Это означает, что (например) компьютер `192.168.1.20` может запустить +Далее отредактируйте файл [.filename]#/etc/krb5.conf# следующим образом: [.programlisting] .... -ping 192.168.2.34 +[libdefaults] + default_realm = EXAMPLE.ORG +[realms] + EXAMPLE.ORG = { + kdc = kerberos.example.org + admin_server = kerberos.example.org + } +[domain_realm] + .example.org = EXAMPLE.ORG .... -и это будет прозрачно работать. Компьютеры с Windows(R) должны видеть компьютеры в другой сети, просматривать сетевые ресурсы, и так далее, точно так же, как и для компьютеров в локальной сети. - -И все это безопасным способом. Это означает, что трафик между сетями зашифрован. - -Создание VPN между этими двумя сетями это многошаговый процесс. Этапы создания VPN таковы: - -. Создание "виртуального" сетевого подключения между двумя сетями через интернет. Тестирование подключения с помощью таких инструментов как man:ping[8], чтобы убедиться, что оно работает. -. Применение политики безопасности чтобы убедиться, что трафик между двумя сетями прозрачно шифруется и расшифровывается если необходимо. Тестирование с помощью таких инструментов как man:tcpdump[1], чтобы убедиться, что трафик шифруется. -. Настройка дополнительных программ на шлюзах FreeBSD, чтобы компьютеры Windows(R) из одной сети видели компьютеры в другой через VPN. - -==== Шаг 1: Создание и тестирование "виртуального" сетевого подключения - -Предположим, что вы работаете на шлюзе сети #1 (с публичным адресом `A.B.C.D`, приватным адресом `192.168.1.1`) и запускаете `ping 192.168.2.1`, т.е. на приватный адрес машины с IP адресом `W.X.Y.Z`. Что должно произойти, чтобы это сработало? - -. Шлюз должен знать, как достичь `192.168.2.1`. Другими словами, у него должен быть маршрут к `192.168.2.1`. -. Приватные IP адреса, такие как диапазон `192.168.x` не адресуются в интернет. Каждый пакет, отправляемый на `192.168.2.1` должен быть "завернут" в другой пакет. Исходным адресом пакета должен быть `A.B.C.D`, а адресом назначения `W.X.Y.Z`. Этот процесс называется _инкапсуляцией_. -. Как только этот пакет достигнет `W.X.Y.Z`, необходимо будет "декапсулировать" его и доставить к `192.168.2.1`. - -Как вы можете увидеть, это требует "туннеля" между двумя сетями. Два конца "туннеля" это IP адреса `A.B.C.D` и `W.X.Y.Z`. Туннель используется для передачи трафика с приватными IP адресами через интернет. +В этом примере KDC будет использовать полное доменное имя `kerberos.example.org`. Имя хоста KDC должно разрешаться в DNS. -В FreeBSD этот туннель создается с помощью устройства generic interface, или [.filename]#gif#. Как вы можете догадаться, интерфейс [.filename]#gif# на каждом хосте должен быть настроен с четырьмя IP адресами; два для публичных IP адресов и два для приватных IP адресов. - -В ядро обеих компьютеров FreeBSD должна быть встроена поддержка устройства gif. Вы можете сделать это, добавив строку: +Kerberos также может использовать DNS для поиска KDC вместо раздела `[realms]` в [.filename]#/etc/krb5.conf#. Для крупных организаций, имеющих собственные DNS-серверы, приведённый выше пример можно сократить до: [.programlisting] .... -device gif +[libdefaults] + default_realm = EXAMPLE.ORG +[domain_realm] + .example.org = EXAMPLE.ORG .... -к файлу настройки ядра на обеих компьютерах, с последующей компиляцией, установкой и перезагрузкой. - -Настройка туннеля это двухшаговый процесс. Во-первых, необходимо задать сведения о внешнем (или публичном) IP адресе с помощью man:ifconfig[8]. Затем о приватном IP адресе, также с помощью man:ifconfig[8]. - -На шлюзе сети #1 для настройки туннеля вам потребуется запустить следующие две команды. +Со следующими строками, включёнными в файл зоны `example.org`: [.programlisting] .... -ifconfig gif0 A.B.C.D W.X.Y.Z -ifconfig gif0 inet 192.168.1.1 192.168.2.1 netmask 0xffffffff +_kerberos._udp IN SRV 01 00 88 kerberos.example.org. +_kerberos._tcp IN SRV 01 00 88 kerberos.example.org. +_kpasswd._udp IN SRV 01 00 464 kerberos.example.org. +_kerberos-adm._tcp IN SRV 01 00 749 kerberos.example.org. +_kerberos IN TXT EXAMPLE.ORG .... -На другом шлюзе подобные команды, но с IP адресами в обратном порядке. +[NOTE] +==== +Чтобы клиенты могли найти службы Kerberos, они _должны_ иметь либо полностью настроенный файл [.filename]#/etc/krb5.conf#, либо минимально настроенный [.filename]#/etc/krb5.conf# _и_ правильно настроенный DNS-сервер. +==== -[.programlisting] +Далее создайте базу данных Kerberos, которая содержит ключи всех принципалов (пользователей и хостов), зашифрованные мастер-паролем. Нет необходимости запоминать этот пароль, так как он будет храниться в [.filename]#/var/heimdal/m-key#; разумно использовать для этого случайный пароль длиной 45 символов. Чтобы создать мастер-ключ, выполните `kstash` и введите пароль: + +[source, shell] .... -ifconfig gif0 W.X.Y.Z A.B.C.D -ifconfig gif0 inet 192.168.2.1 192.168.1.1 netmask 0xffffffff +# kstash .... -Затем вы можете запустить: +Вывод должен быть похож на следующий: [.programlisting] .... -ifconfig gif0 +Master key: xxxxxxxxxxxxxxxxxxxxxxx +Verifying password - Master key: xxxxxxxxxxxxxxxxxxxxxxx .... -для просмотра настройки. Например, на шлюзе сети #1 вы увидите: +После создания мастер-ключа следует инициализировать базу данных. Утилита администрирования Kerberos man:kadmin[8] может быть использована на KDC в режиме, который работает напрямую с базой данных, без использования сетевого сервиса man:kadmind[8], как `kadmin -l`. Это решает проблему курицы и яйца, когда попытка подключения к базе данных происходит до её создания. В командной строке `kadmin` используйте `init` для создания начальной базы данных realm: -[source,shell] +[source, shell] .... -# ifconfig gif0 -gif0: flags=8011<UP,POINTTOPOINT,MULTICAST> mtu 1280 -inet 192.168.1.1 --> 192.168.2.1 netmask 0xffffffff -physical address inet A.B.C.D --> W.X.Y.Z +# kadmin -l +kadmin> init EXAMPLE.ORG +Realm max ticket life [unlimited]: .... -Как вы можете видеть, был создан туннель между физическими адресами `A.B.C.D` и `W.X.Y.Z`, для туннелирования разрешен трафик между `192.168.1.1` и `192.168.2.1`. - -Это также добавляет запись к таблице маршрутизации на обеих машинах, вы можете проверить запись командой `netstat -rn`. Вот вывод этой команды на шлюзе сети #1. +Наконец, оставаясь в `kadmin`, создайте первый принципал с помощью команды `add`. Пока придерживайтесь стандартных настроек для принципала, так как их можно изменить позже с помощью команды `modify`. Введите `?` в командной строке, чтобы увидеть доступные опции. -[source,shell] +[source, shell] .... -# netstat -rn -Routing tables - -Internet: -Destination Gateway Flags Refs Use Netif Expire -... -192.168.2.1 192.168.1.1 UH 0 0 gif0 -... +kadmin> add tillman .... -Как показывает значение поля "Flags", это маршрут к хосту, что означает, что каждый шлюз знает, как достичь другого шлюза, но не знает как достичь остальной части соответствующей сети. Эта проблема будет быстро решена. - -Вероятно, на обеих машинах запущен брандмауэр. VPN должен обходить его. Вы можете разрешить весь трафик между двумя сетями, или включить правила, защищающие каждый конец соединения от другого. - -Это сильно упрощает тестирование настройки брандмауэра, если вы разрешаете весь трафик через VPN. Вы всегда можете усилить защиту позже. Если вы используете на шлюзах man:ipfw[8], команда вроде этой +Вывод должен быть похож на следующий: [.programlisting] .... -ipfw add 1 allow ip from any to any via gif0 +Max ticket life [unlimited]: +Max renewable life [unlimited]: +Principal expiration time [never]: +Password expiration time [never]: +Attributes []: +Password: xxxxxxxx +Verifying password - Password: xxxxxxxx .... -разрешит весь трафик между двумя концами VPN без влияния на другие правила брандмауэра. Очевидно, вам потребуется запустить эту команду на обеих шлюзах. - -Этого достаточно для включения ping с одного шлюза на другой. На `192.168.1.1`, вы сможете запустить +Далее запустите службы KDC, выполнив: -[.programlisting] +[source, shell] .... -ping 192.168.2.1 +# service kdc start +# service kadmind start .... -и получить ответ, и аналогично на другом шлюзе. +Хотя на этом этапе не будет запущено никаких сервисов с поддержкой Kerberos, можно убедиться, что KDC функционирует, получив билет для только что созданного принципала: -Однако, машины в другой сети пока недоступны. Это из-за маршрутизации - хотя шлюзы знают, как связаться друг с другом, они не знают, как связаться с сетью за другим шлюзом. +[source, shell] +.... +% kinit tillman +.... -Для решения этой проблемы вы должны добавить статический маршрут на каждом шлюзе. Команда на первом шлюзе будет выглядеть так: +Вывод должен быть похож на следующий: [.programlisting] .... -route add 192.168.2.0 192.168.2.1 netmask 0xffffff00 +tillman@EXAMPLE.ORG's Password: .... -Она говорит "Для достижения хостов в сети `192.168.2.0`, отправляйте пакеты хосту `192.168.2.1`". Вам потребуется запустить похожую команду на другом шлюзе, но с адресами `192.168.1.x`. +Подтвердите успешное получение билета с помощью `klist`: -IP трафик с хостов в одной сети теперь может достичь хосты в другой сети. +[source, shell] +.... +% klist +.... -Теперь создано две трети VPN между двумя сетями, поскольку это "виртуальная (virtual)""сеть (network)". Она еще не приватная (private). Вы можете протестировать ее с помощью man:ping[8] и man:tcpdump[1]. Войдите на шлюз и запустите +Вывод должен быть похож на следующий: [.programlisting] .... -tcpdump dst host 192.168.2.1 +Credentials cache: FILE:/tmp/krb5cc_1001 + Principal: tillman@EXAMPLE.ORG + + Issued Expires Principal +Aug 27 15:37:58 2013 Aug 28 01:37:58 2013 krbtgt/EXAMPLE.ORG@EXAMPLE.ORG .... -В другой сессии на этом же хосте запустите +Временный билет можно уничтожить после завершения теста: -[.programlisting] +[source, shell] .... -ping 192.168.2.1 +% kdestroy .... -Вы увидите примерно такие строки: +=== Настройка сервера для использования Kerberos -[.programlisting] -.... +Первым шагом в настройке сервера для использования аутентификации Kerberos является проверка правильности конфигурации в файле [.filename]#/etc/krb5.conf#. Версию с KDC можно использовать как есть или пересоздать на новой системе. -16:10:24.018080 192.168.1.1 > 192.168.2.1: icmp: echo request -16:10:24.018109 192.168.1.1 > 192.168.2.1: icmp: echo reply -16:10:25.018814 192.168.1.1 > 192.168.2.1: icmp: echo request -16:10:25.018847 192.168.1.1 > 192.168.2.1: icmp: echo reply -16:10:26.028896 192.168.1.1 > 192.168.2.1: icmp: echo request -16:10:26.029112 192.168.1.1 > 192.168.2.1: icmp: echo reply -.... +Затем создайте файл [.filename]#/etc/krb5.keytab# на сервере. Это основная часть процесса "керберизации" службы — она соответствует созданию общего секрета между службой и KDC. Секрет представляет собой криптографический ключ, хранящийся в "keytab". Keytab содержит хост-ключ сервера, который позволяет ему и KDC проверять подлинность друг друга. Этот файл должен быть передан на сервер безопасным способом, так как если ключ станет общедоступным, безопасность сервера может быть нарушена. Обычно [.filename]#keytab# генерируется на доверенной машине администратора с помощью `kadmin`, а затем безопасно передается на сервер, например, с помощью man:scp[1]; его также можно создать непосредственно на сервере, если это соответствует выбранной политике безопасности. Очень важно, чтобы keytab был передан на сервер безопасным способом: если ключ станет известен третьей стороне, эта сторона сможет выдавать себя за любого пользователя на сервере! Использование `kadmin` непосредственно на сервере удобно, так как запись для хостового принципала в базе данных KDC также создается с помощью `kadmin`. -Как вы видите, ICMP сообщения пересылаются вперед и назад незашифрованными. Если вы использовали с man:tcpdump[1] параметр `-s` для получения большего объема данных пакета, то увидите больше информации. +Конечно, `kadmin` — это керберизованный сервис; для аутентификации в сетевой службе необходим билет Kerberos, но чтобы убедиться, что пользователь, запускающий `kadmin`, действительно присутствует (и его сеанс не был захвачен), `kadmin` запросит пароль для получения нового билета. Учётная запись, аутентифицирующаяся в службе kadmin, должна иметь разрешение на использование интерфейса `kadmin`, как указано в [.filename]#/var/heimdal/kadmind.acl#. Подробнее о создании списков контроля доступа см. в разделе «Удалённое администрирование» в `info heimdal`. Вместо включения удалённого доступа к `kadmin` администратор может безопасно подключиться к KDC через локальную консоль или man:ssh[1] и выполнять администрирование локально с помощью `kadmin -l`. -Конечно же это неприемлемо. В следующем разделе мы обсудим защиту соединения между двумя сетями, так что весь трафик будет автоматически шифроваться. +После установки [.filename]#/etc/krb5.conf# используйте `add --random-key` в `kadmin`. Это добавит главный серверный принципал в базу данных, но не извлечет копию ключа главного принципала в keytab. Чтобы сгенерировать keytab, используйте `ext` для извлечения ключа главного серверного принципала в его собственный keytab: -.Резюме: -* Настройте оба ядра с "device gif". -* Отредактируйте [.filename]#/etc/rc.conf# на шлюзе #1 и добавьте следующие строки (подставляя IP адреса где необходимо). -+ -[.programlisting] +[source, shell] .... -gifconfig_gif0="A.B.C.D W.X.Y.Z" -ifconfig_gif0="inet 192.168.1.1 192.168.2.1 netmask 0xffffffff" -static_routes="vpn" -route_vpn="192.168.2.0 192.168.2.1 netmask 0xffffff00" +# kadmin .... -* Отредактируйте скрипт брандмауэра ([.filename]#/etc/rc.firewall#, или подобный) на обеих хостах и добавьте -+ +Вывод должен быть похож на следующий: + [.programlisting] .... -ipfw add 1 allow ip from any to any via gif0 +kadmin> add --random-key host/myserver.example.org +Max ticket life [unlimited]: +Max renewable life [unlimited]: +Principal expiration time [never]: +Password expiration time [never]: +Attributes []: +kadmin> ext_keytab host/myserver.example.org +kadmin> exit .... -* Выполните соответствующие изменения в [.filename]#/etc/rc.conf# на шлюзе #2, меняя порядок IP адресов. - -==== Шаг 2: Защита соединения +Обратите внимание, что `ext_keytab` по умолчанию сохраняет извлечённый ключ в [.filename]#/etc/krb5.keytab#. Это удобно при выполнении на сервере, который керберизируется, но следует использовать аргумент `--keytab _путь/к/файлу_`, когда извлечение keytab происходит на другом устройстве: -Для защиты соединения мы будем использовать IPsec. IPsec предоставляет хостам механизм определения ключа для шифрования и для последующего использования этого ключа для шифрования данных между двумя хостами. - -Здесь будут рассмотрены два аспекта настройки. - -. У хостов должен быть способ согласования используемого алгоритма шифрования. Как только хосты договорятся об этом, можно говорить об установленном между ними "безопасном соединении". -. Должен быть механизм определения, какой трафик необходимо шифровать. Конечно, вам не требуется шифровать весь исходящий трафик - достаточно шифровать только трафик, идущий через VPN. Правила, определяющие то, какой трафик необходимо шифровать, называются "политикой безопасности". +[source, shell] +.... +# kadmin +.... -Безопасное соединение и политика безопасности поддерживаются ядром, и могут быть изменены программами пользователя. Однако перед тем, как вы сможете сделать это, необходимо настроить поддержку протоколов IPsec и Encapsulated Security Payload (ESP) в ядре. Это делается добавлением в настройку ядра параметров: +Вывод должен быть похож на следующий: [.programlisting] .... -options IPSEC -options IPSEC_ESP +kadmin> ext_keytab --keytab=/tmp/example.keytab host/myserver.example.org +kadmin> exit .... -с последующим перекомпилированием, переустановкой и перезагрузкой. Как и прежде вам потребуется сделать это с ядрами на обеих шлюзах. +Затем файл keytab можно безопасно скопировать на сервер с помощью man:scp[1] или съемного носителя. Убедитесь, что указано нестандартное имя keytab, чтобы избежать добавления ненужных ключей в системный keytab. -При настройке параметров безопасности (security associations) у вас есть два варианта. Вы можете настроить их вручную для обеих хостов, задав алгоритм шифрования, ключи для шифрования и так далее, или использовать даемоны, реализующие Internet Key Exchange protocol (IKE), который сделает это за вас. +На этом этапе сервер может читать зашифрованные сообщения от KDC, используя свой общий ключ, хранящийся в [.filename]#krb5.keytab#. Теперь он готов к включению служб, использующих Kerberos. Одна из самых распространённых таких служб — man:sshd[8], которая поддерживает Kerberos через GSS-API. В файле [.filename]#/etc/ssh/sshd_config# добавьте строку: -Рекомендуется последнее. Помимо прочего, этот способ более прост. +[.programlisting] +.... +GSSAPIAuthentication yes +.... -Редактирование и отображение политики безопасности выполняется с помощью man:setkey[8]. По аналогии, `setkey` используется для настройки таблиц политики безопасности ядра так же, как man:route[8] используется для настройки таблиц маршрутизации ядра. `setkey` также может отображать текущие параметры безопасности, и продолжая аналогию дальше, это соответствует `netstat -r`. +После внесения этого изменения необходимо перезапустить `man:sshd[8]`, чтобы новая конфигурация вступила в силу: `service sshd restart`. -Существует множество даемонов для управления параметрами безопасности в FreeBSD. Здесь будет описано использование одного из них, racoon - он доступен в составе порта package:security/ipsec-tools[] в Коллекции Портов FreeBSD. +=== Настройка клиента для использования Kerberos -Даемон racoon должен работать на обеих шлюзах. На каждом из хостов он настраивается с IP адресом другого конца VPN, и секретным ключом (по вашему выбору, должен быть одним и тем же на обеих шлюзах). +Как и для сервера, клиенту требуется настройка в [.filename]#/etc/krb5.conf#. Скопируйте файл (безопасным способом) или введите его заново при необходимости. -Эти два даемона подключаются друг к другу, подтверждают, что они именно те, за кого себя выдают (используя секретный ключ, заданный вами). Затем даемоны генерируют новый секретный ключ и используют его для шифрования трафика через VPN. Они периодически изменяют этот ключ, так что даже если атакующий сломает один из ключей (что теоретически почти невозможно) это не даст ему слишком много - он сломал ключ, который два даемона уже сменили на другой. +Проверьте клиент, используя `kinit`, `klist` и `kdestroy` на клиенте, чтобы получить, отобразить, а затем удалить билет для существующего принципала. Приложения Kerberos также должны иметь возможность подключаться к серверам с поддержкой Kerberos. Если это не работает, но получение билета проходит успешно, проблема, скорее всего, на стороне сервера, а не клиента или KDC. В случае с kerberized man:ssh[1], GSS-API по умолчанию отключен, поэтому проверьте с помощью `ssh -o GSSAPIAuthentication=yes _имя_хоста_`. -Настройки racoon сохраняются в файле [.filename]#${PREFIX}/etc/racoon#. Этот файл не требует слишком больших изменений. Другим компонентом настройки racoon, который потребуется изменить, является "предварительный ключ". +При тестировании приложения с поддержкой Kerberos попробуйте использовать анализатор трафика, например `tcpdump`, чтобы убедиться, что конфиденциальная информация не передаётся в открытом виде. -В настройке по умолчанию racoon ищет его в файле [.filename]#${PREFIX}/etc/racoon/psk.txt#. Необходимо отметить, что предварительный ключ _не_ используется для шифрования трафика через VPN соединение это просто маркер, позволяющий управляющим ключами даемонам доверять друг другу. +Доступны различные клиентские приложения Kerberos. С появлением моста, позволяющего приложениям, использующим SASL для аутентификации, также применять механизмы GSS-API, широкий спектр клиентских приложений — от клиентов Jabber до клиентов IMAP — может использовать Kerberos для аутентификации. -[.filename]#psk.txt# содержит строку для каждого удаленного сервера, с которым происходит соединение. В этом примере два сервера, каждый файл [.filename]#psk.txt# будет содержать одну строку (каждый конец VPN общается только с другим концом. +Пользователи в пределах realm обычно имеют свой Kerberos-принципал, сопоставленный с локальной учетной записью. Иногда необходимо предоставить доступ к локальной учетной записи пользователю, у которого нет соответствующего Kerberos-принципала. Например, `tillman@EXAMPLE.ORG` может потребоваться доступ к локальной учетной записи `webdevelopers`. Другие принципалы также могут нуждаться в доступе к этой локальной учетной записи. -На шлюзе #1 эта строка будет выглядеть примерно так: +Файлы [.filename]#.k5login# и [.filename]#.k5users#, размещённые в домашнем каталоге пользователя, могут быть использованы для решения этой проблемы. Например, если следующий [.filename]#.k5login# поместить в домашний каталог пользователя `webdevelopers`, оба указанных принципала получат доступ к этой учётной записи без необходимости использования общего пароля: [.programlisting] .... -W.X.Y.Z secret +tillman@example.org +jdoe@example.org .... -То есть _публичный_ IP-адрес противоположной стороны, пробел и текстовая строка c секретной фразой. Конечно, вам не стоит использовать в качестве ключевой фразы слово "secret" -- здесь применяются обычные правила выбора паролей. +Обратитесь к man:ksu[1] для получения дополнительной информации о [.filename]#.k5users#. -На шлюзе #2 строка будет выглядеть примерно так: +=== Различия MIT -[.programlisting] -.... -A.B.C.D secret -.... +Основное различие между реализациями MIT и Heimdal заключается в том, что `kadmin` имеет разные, но эквивалентные наборы команд и использует разные протоколы. Если KDC — MIT, то версия `kadmin` от Heimdal не может использоваться для удалённого администрирования KDC, и наоборот. -То есть публичный IP адрес удаленной стороны и та же секретная фраза. Перед запуском racoon режим доступа к файлу [.filename]#psk.txt# должен быть установлен в `0600` (т.е. запись и чтение только для `root`). +Клиентские приложения также могут использовать немного другие параметры командной строки для выполнения тех же задач. Рекомендуется следовать инструкциям на сайте http://web.mit.edu/Kerberos/www/[http://web.mit.edu/Kerberos/www/]. Обратите внимание на пути: порт MIT по умолчанию устанавливается в [.filename]#/usr/local/#, а системные приложения FreeBSD будут запускаться вместо версий MIT, если `PATH` указывает на системные директории в первую очередь. -Вы должны запустить racoon на обоих шлюзах. Вам также потребуется добавить правила для включения IKE трафика, передающегося по UDP через порт ISAKMP (Internet Security Association Key Management Protocol). Опять же, они должны быть расположены насколько возможно ближе к началу набора правил. +При использовании MIT Kerberos в качестве KDC на FreeBSD выполните следующие команды, чтобы добавить необходимые конфигурации в [.filename]#/etc/rc.conf#: -[.programlisting] +[source, shell] .... -ipfw add 1 allow udp from A.B.C.D to W.X.Y.Z isakmp -ipfw add 1 allow udp from W.X.Y.Z to A.B.C.D isakmp +# sysrc kdc_program="/usr/local/sbin/krb5kdc" +# sysrc kadmind_program="/usr/local/sbin/kadmind" +# sysrc kdc_flags="" +# sysrc kdc_enable="YES" +# sysrc kadmind_enable="YES" .... -Как только racoon будет запущен, вы можете попробовать выполнить ping с одного шлюза на другой. Соединение все еще не зашифровано, но racoon установит параметры безопасности между двумя хостами - это может занять время и вы можете заметить небольшую задержку перед началом ответа команды ping. +=== Советы, хитрости и устранение неполадок Kerberos -Как только параметры безопасности установлены, вы можете просмотреть их используя man:setkey[8]. Запустите +При настройке и устранении неполадок Kerberos учитывайте следующие моменты: -[.programlisting] -.... -setkey -D -.... +* При использовании Heimdal или MITKerberos из портов убедитесь, что в `PATH` версии клиентских приложений из портов указаны перед системными версиями. +* Если временные настройки всех компьютеров в домене не синхронизированы, аутентификация может завершиться неудачей. crossref:network-servers[network-ntp,“Синхронизация часов с помощью NTP”] описывает, как синхронизировать часы с использованием NTP. +* Если имя хоста изменено, необходимо изменить принципал `host/` и обновить keytab. Это также относится к особым записям keytab, таким как принципал `HTTP/`, используемый для пакета Apache package:www/mod_auth_kerb[]. +* Все узлы в области должны разрешаться как в прямом, так и в обратном направлении через DNS или, как минимум, присутствовать в [.filename]#/etc/hosts#. CNAME-записи будут работать, но A- и PTR-записи должны быть корректными и присутствовать. Сообщение об ошибке для неразрешимых узлов неочевидно: `Kerberos5 refuses authentication because Read req failed: Key table entry not found`. +* Некоторые операционные системы, выступающие в роли клиентов KDC, не устанавливают для `ksu` права setuid `root`. Это означает, что `ksu` не работает. Это проблема прав доступа, а не ошибка KDC. +* С использованием MITKerberos, чтобы разрешить принципалу иметь билет сроком действия больше стандартных десяти часов, используйте `modify_principal` в командной строке man:kadmin[8], чтобы изменить `maxlife` как для нужного принципала, так и для принципала `krbtgt`. После этого принципал может использовать `kinit -l` для запроса билета с увеличенным сроком действия. +* При запуске сниффера пакетов на KDC для устранения неполадок во время выполнения `kinit` с рабочей станции, билет на получение билетов (TGT) отправляется немедленно, даже до ввода пароля. Это происходит потому, что сервер Kerberos свободно передаёт TGT на любой неавторизованный запрос. Однако каждый TGT зашифрован с использованием ключа, производного от пароля пользователя. Когда пользователь вводит свой пароль, он не отправляется на KDC, а вместо этого используется для расшифровки TGT, который `kinit` уже получил. Если процесс расшифровки приводит к действительному билету с корректной временной меткой, пользователь получает действительные учётные данные Kerberos. Эти учётные данные включают в себя сеансовый ключ для установления безопасного соединения с сервером Kerberos в будущем, а также сам TGT, зашифрованный собственным ключом сервера Kerberos. Этот второй уровень шифрования позволяет серверу Kerberos проверять подлинность каждого TGT. +* Принципалы хостов могут иметь более длительное время жизни билета. Если принципал пользователя имеет время жизни в неделю, а у хоста, к которому происходит подключение, время жизни составляет девять часов, кэш пользователя будет содержать просроченный принципал хоста, и кэш билетов не будет работать должным образом. +* При настройке файла [.filename]#krb5.dict# для запрета использования определённых слабых паролей, как описано в man:kadmind[8], помните, что он применяется только к принципалам, для которых назначена политика паролей. Формат файла [.filename]#krb5.dict# предполагает одну строку на каждую запись. Может быть полезно создать символическую ссылку на [.filename]#/usr/share/dict/words#. -на любом из хостов для просмотра информации о параметрах безопасности. +=== Смягчение ограничений Kerberos -Это одна сторона проблемы. Другая сторона это настройка политики безопасности. +Поскольку Kerberos — это подход «всё или ничего», каждая служба, включённая в сети, должна быть либо изменена для работы с Kerberos, либо защищена от сетевых атак другим способом. Это необходимо для предотвращения кражи и повторного использования учётных данных пользователей. Например, если Kerberos включён для всех удалённых оболочек, но не поддерживающий Kerberos POP3-сервер передаёт пароли в открытом виде. -Для создания разумной политики безопасности давайте вспомним, что уже было настроено. Это рассмотрение относится к обеим концам соединения. +KDC представляет собой единую точку отказа. По замыслу, KDC должен быть таким же защищенным, как и его главная база данных паролей. На KDC не должно быть запущено никаких других служб, и он должен быть физически защищен. Риск очень высок, поскольку Kerberos хранит все пароли, зашифрованные одним главным ключом, который хранится в виде файла на KDC. -Каждый отправляемый IP пакет имеет заголовок, содержащий информацию о пакете. Заголовок включает IP адреса источника и назначения. Как мы уже знаем, приватные IP адреса, такие как `192.168.x.y`, не могут появиться в интернет. Они должны быть сначала включены внутрь другого пакета. В этом пакете приватные IP адреса источника и назначения заменяются публичными IP адресами. +Скомпрометированный мастер-ключ не так страшен, как может показаться. Мастер-ключ используется только для шифрования базы данных Kerberos и в качестве затравки для генератора случайных чисел. Пока доступ к KDC защищен, злоумышленник не сможет сделать многое с мастер-ключом. -То есть исходящий пакет, который выглядит примерно так: +Если KDC недоступен, сетевые службы становятся непригодными к использованию, так как аутентификация не может быть выполнена. Это можно смягчить, используя один основной KDC и один или несколько подчинённых, а также тщательно реализовав вторичную или резервную аутентификацию с помощью PAM. -image::ipsec-out-pkt.png[] +Kerberos позволяет пользователям, хостам и службам аутентифицироваться между собой. Однако у него нет механизма для аутентификации KDC перед пользователями, хостами или службами. Это означает, что троянская версия `kinit` может записывать все имена пользователей и пароли. Инструменты проверки целостности файловой системы, такие как package:security/tripwire[], могут помочь смягчить эту проблему. -будет инкапсулирован в другой пакет, выглядящий примерно так: +=== Ресурсы и дополнительная информация -image::ipsec-encap-pkt.png[] +* http://www.faqs.org/faqs/Kerberos-faq/general/preamble.html[Часто задаваемые вопросы Kerberos] +* http://web.mit.edu/Kerberos/www/dialogue.html[Проектирование системы аутентификации: диалог в четырех сценах] +* https://www.ietf.org/rfc/rfc4120.txt[RFC 4120, The Kerberos Network Authentication Service (V5)] +* http://web.mit.edu/Kerberos/www/[Домашняя страница MIT Kerberos] +* https://github.com/heimdal/heimdal/wiki[Wiki страница проекта Heimdal Kerberos] -Этой инкапсуляцией занимается устройство [.filename]#gif#. Как вы можете видеть, теперь у пакета есть реальный IP адрес, исходный пакет был включен в этот пакет в виде данных, которые передаются через интернет. +[[tcpwrappers]] +== TCP Wrappers -Конечно, мы хотим зашифровать весь трафик между VPN. Вы можете сформулировать это на словах так: +TCP Wrappers — это система контроля сетевого доступа на основе хоста. Перехватывая входящие сетевые запросы до их поступления к реальному сетевому сервису, TCP Wrappers определяет, разрешен или запрещен доступ для исходного IP-адреса, на основе предопределенных правил в конфигурационных файлах. -"Если пакет отправляется с `A.B.C.D`, и предназначен для `W.X.Y.Z`, расшифровать его, используя необходимые параметры безопасности." +Однако, хотя TCP Wrappers обеспечивают базовый контроль доступа, их не следует рассматривать как замену более надежным мерам безопасности. Для всесторонней защиты рекомендуется использовать передовые технологии, такие как межсетевые экраны, вместе с надлежащими методами аутентификации пользователей и системами обнаружения вторжений. -"Если пакет отправляется с `W.X.Y.Z`, и предназначен для `A.B.C.D`, расшифровать его, используя необходимые параметры безопасности." +[[tcpwrappers-initial-configuration]] +=== Начальная настройка -Это похоже на желаемое, но не совсем то. Если вы сделаете это, весь трафик от и к `W.X.Y.Z`, даже если он не является частью VPN, будет зашифрован. Правильная политика такова: +TCP Wrappers включены по умолчанию в man:inetd[8]. Первым шагом будет включение man:inetd[8] выполнением следующих команд: -"Если пакет отправляется с `A.B.C.D`, в нем инкапсулирован другой пакет и адрес назначения `W.X.Y.Z`, зашифровать его, используя необходимые параметры безопасности." +[source, shell] +.... +# sysrc inetd_enable="YES" +# service inetd start +.... + +Затем правильно настройте [.filename]#/etc/hosts.allow#. -"Если пакет отправляется с `W.X.Y.Z`, в нем инкапсулирован другой пакет и адрес назначения `A.B.C.D`, зашифровать его, используя необходимые параметры безопасности." +[WARNING] +==== +В отличие от других реализаций TCP Wrappers, использование [.filename]#hosts.deny# в FreeBSD считается устаревшим. Все параметры конфигурации должны размещаться в [.filename]#/etc/hosts.allow#. +==== -Тонкое, но необходимое различие. +В простейшей конфигурации политики подключения к демонам устанавливаются на разрешение или блокировку в зависимости от параметров в [.filename]#/etc/hosts.allow#. Конфигурация по умолчанию в FreeBSD разрешает все подключения к демонам, запущенным через inetd. -Политика безопасности также устанавливается с использованием man:setkey[8]. В man:setkey[8] предусмотрен язык определения политики man:setkey[8]. Вы можете или ввести инструкции по настройке со стандартного ввода, или использовать параметр `-f` для задания файла, содержащего эти инструкции. +Базовая конфигурация обычно имеет вид `daemon : address : action`, где `daemon` — это демон, запущенный inetd, `address` — допустимое имя хоста, IP-адрес или адрес IPv6, заключённый в квадратные скобки ([ ]), а `action` — либо `allow`, либо `deny`. TCP Wrappers использует семантику первого совпадения, то есть файл конфигурации сканируется с начала до первого совпадающего правила. При обнаружении совпадения правило применяется, и процесс поиска прекращается. -Настройка на шлюзе #1 (где есть публичный IP адрес `A.B.C.D`) для включения шифрования всего предназначенного `W.X.Y.Z` трафика: +Например, чтобы разрешить соединения POP3 через демон package:mail/qpopper[], в файл [.filename]#/etc/hosts.allow# следует добавить следующие строки: [.programlisting] .... - -spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P out ipsec esp/tunnel/A.B.C.D-W.X.Y.Z/require; +# This line is required for POP3 connections: +qpopper : ALL : allow .... -Поместите эти команды в файл (например, [.filename]#/etc/ipsec.conf#) и запустите +Всякий раз, когда редактируется этот файл, перезапустите inetd: -[source,shell] +[source, shell] .... -# setkey -f /etc/ipsec.conf +# service inetd restart .... -`spdadd` указывает man:setkey[8] добавить правило к базе данных политики безопасности. Остальная часть строки указывает какие пакеты будут соответствовать политике. `A.B.C.D/32` и `W.X.Y.Z/32` это IP адреса и сетевые маски, определяющие сети или хосты, к которым будет применяться данная политика. В данном случае мы хотим применить их к трафику между этими двумя хостами. Параметр `ipencap` сообщает ядру, что эта политика должна применяться только к пакетам, инкапсулирующим другие пакеты. Параметр `-P out` сообщает, что эта политика применяется к исходящим пакетам, и `ipsec` - то, что пакеты будут зашифрованы. +[[tcpwrappers-advanced-config]] +=== Расширенная Настройка -Оставшаяся часть строки определяет, как эти пакеты будут зашифрованы. Будет использоваться протокол `esp`, а параметр `tunnel` показывает, что пакет в дальнейшем будет инкапсулирован в IPsec пакет. Повторное использование `A.B.C.D` и `W.X.Y.Z` предназначено для выбора используемых параметров безопасности, и наконец параметр `require` разрешает шифрование пакетов, попадающих под это правило. +TCP Wrappers предоставляет расширенные возможности для более тонкого управления обработкой соединений. В некоторых случаях может быть уместно отправить сообщение определённым хостам или демонам при подключении. В других ситуациях может потребоваться сделать запись в журнал или отправить письмо администратору. Также бывают случаи, когда сервис должен быть доступен только для локальных соединений. Всё это возможно благодаря использованию параметров конфигурации, известных как шаблоны (wildcards), символы подстановки и выполнение внешних команд. Для получения дополнительной информации о шаблонах и связанной с ними функциональности обратитесь к man:hosts_access[5]. -Это правило соответствует только исходящим пакетам. Вам потребуется похожее правило, соответствующее входящим пакетам. +[[fs-acl]] +== Списки контроля доступа -[.programlisting] -.... -spdadd W.X.Y.Z/32 A.B.C.D/32 ipencap -P in ipsec esp/tunnel/W.X.Y.Z-A.B.C.D/require; -.... +Списки контроля доступа (Access Control Lists — ACL) расширяют традиционные права доступа UNIX(R), позволяя детально управлять доступом пользователей и групп к отдельным файлам или каталогам. Каждая запись ACL определяет пользователя или группу и связанные с ними права, такие как чтение, запись и выполнение. FreeBSD предоставляет команды, такие как man:getfacl[1] и man:setfacl[1], для управления ACL. -Обратите внимание, что вместо `in` используется `out` и IP адреса переставлены. +ACL полезны в сценариях, требующих более детального контроля доступа, чем стандартные разрешения, обычно используемые в многопользовательских средах или на shared-хостингах. Однако сложность может быть неизбежной, но требуется тщательное планирование, чтобы обеспечить желаемые свойства безопасности -Другому шлюзу (с публичным IP адресом `W.X.Y.Z`) потребуются похожие правила. +[NOTE] +==== +FreeBSD поддерживает реализацию NFSv4 ACL как в UFS, так и в OpenZFS. Обратите внимание, что некоторые аргументы команды man:setfacl[1] работают только с POSIX ACL, а другие — с NFSv4 ACL. +==== -[.programlisting] -.... -spdadd W.X.Y.Z/32 A.B.C.D/32 ipencap -P out ipsec esp/tunnel/W.X.Y.Z-A.B.C.D/require; -spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P in ipsec esp/tunnel/A.B.C.D-W.X.Y.Z/require; -.... +[[acl-enabling-support-ufs]] +=== Включение поддержки ACL в UFS -Наконец, вам потребуется добавить правила к брандмауэру для включения прохождения пакетов ESP и IPENCAP в обе стороны. На обеих хостах потребуется добавить следующие правила: +ACL включаются с помощью административного флага при монтировании `acls`, который может быть добавлен в [.filename]#/etc/fstab#. + +Следовательно, необходимо получить доступ к [.filename]#/etc/fstab# и в разделе опций добавить флаг `acls` следующим образом: [.programlisting] .... -ipfw add 1 allow esp from A.B.C.D to W.X.Y.Z -ipfw add 1 allow esp from W.X.Y.Z to A.B.C.D -ipfw add 1 allow ipencap from A.B.C.D to W.X.Y.Z -ipfw add 1 allow ipencap from W.X.Y.Z to A.B.C.D +# Device Mountpoint FStype Options Dump Pass# +/dev/ada0s1a / ufs rw,acls 1 1 .... -Поскольку правила симметричны, можно использовать их без изменения на обеих хостах - -Исходящие пакеты теперь будут выглядеть примерно так: - -image::ipsec-crypt-pkt.png[] +[[security-acl-info]] +=== Получение информации об ACL -Когда эти пакеты будут получены на удаленном конце VPN соединения, они будут расшифрованы (используя параметры безопасности, о которых договорился racoon). Затем они будут переданы интерфейсу [.filename]#gif#, который "развернет" второй слой, оставив пакет с внутренними адресами, который сможет попасть во внутреннюю сеть. +Можно проверить ACL файла или каталога с помощью man:getfacl[1]. -Вы можете проверить безопасность тем же man:ping[8], который использовался ранее. Сначала войдите на шлюз `A.B.C.D` и запустите: +Например, чтобы просмотреть настройки ACL для файла [.filename]#~/test#, выполните следующую команду: -[.programlisting] +[source, shell] .... -tcpdump dst host 192.168.2.1 +% getfacl test .... -В другой сессии на том же хосте запустите +Вывод должен быть похож на следующий в случае использования NFSv4 ACL: [.programlisting] .... -ping 192.168.2.1 +# file: test +# owner: freebsduser +# group: freebsduser + owner@:rw-p--aARWcCos:-------:allow + group@:r-----a-R-c--s:-------:allow + everyone@:r-----a-R-c--s:-------:allow .... -В этот момент вы должны увидеть примерно это: +И вывод должен быть похож на следующий в случае использования POSIX.1e ACL: [.programlisting] .... -XXX tcpdump output +# file: test +# owner: freebsduser +# group: freebsduser +user::rw- +group::r-- +other::r-- .... -Теперь, как видите, man:tcpdump[1] показывает ESP пакеты. Если вы попытаетесь просмотреть их с параметром `-s`, то вероятно увидите нечто непонятное, поскольку применяется шифрование. +[[security-working-acls]] +=== Работа с ACL -Поздравляем. Вы только что настроили VPN между двумя удаленными сетями. +`man:setfacl[1]` можно использовать для добавления, изменения или удаления ACL из файла или каталога. -.Резюме -* Настройте оба ядра с: -+ -[.programlisting] +Как упоминалось выше, некоторые аргументы man:setfacl[1] не работают с ACL NFSv4, и наоборот. В этом разделе описывается, как выполнять команды для POSIX ACL и для ACL NFSv4, а также приводятся примеры для обоих типов. + +Например, чтобы установить обязательные элементы ACL по умолчанию POSIX.1e: + +[source, shell] .... -options IPSEC -options IPSEC_ESP +% setfacl -d -m u::rwx,g::rx,o::rx,mask::rwx directory .... -* Установите package:security/ipsec-tools[]. Отредактируйте [.filename]#${PREFIX}/etc/racoon/psk.txt# на обеих шлюзах, добавив запись для каждого IP адреса удаленного хоста и секретный ключ, который будет известен им обеим. Убедитесь, что режим доступа к файлу 0600. -* Добавьте к [.filename]#/etc/rc.conf# на каждом хосте следующие строки: -+ -[.programlisting] +Этот другой пример устанавливает права на чтение, запись и выполнение для записи POSIX.1e ACL владельца файла, а также права на чтение и запись для группы mail в файле: + +[source, shell] .... -ipsec_enable="YES" -ipsec_file="/etc/ipsec.conf" +% setfacl -m u::rwx,g:mail:rw file .... -* Создайте [.filename]#/etc/ipsec.conf# на каждом хосте с необходимыми строками spdadd. На шлюзе #1 он будет таким: -+ -[.programlisting] -.... +Чтобы сделать то же самое, что и в предыдущем примере, но с использованием ACL NFSv4: -spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P out ipsec - esp/tunnel/A.B.C.D-W.X.Y.Z/require; -spdadd W.X.Y.Z/32 A.B.C.D/32 ipencap -P in ipsec - esp/tunnel/W.X.Y.Z-A.B.C.D/require; +[source, shell] .... - -+ -А на шлюзе #2 таким: -+ -[.programlisting] +% setfacl -m owner@:rwxp::allow,g:mail:rwp::allow file .... -spdadd W.X.Y.Z/32 A.B.C.D/32 ipencap -P out ipsec - esp/tunnel/W.X.Y.Z-A.B.C.D/require; -spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P in ipsec - esp/tunnel/A.B.C.D-W.X.Y.Z/require; -.... +Чтобы удалить все записи ACL, кроме трех обязательных, из файла в POSIX.1e ACL: -* Добавьте правила к брандмауэрам обеих хостов для включения IKE, ESP и IPENCAP трафика: -+ -[.programlisting] +[source, shell] +.... +% setfacl -bn file .... -ipfw add 1 allow udp from A.B.C.D to W.X.Y.Z isakmp -ipfw add 1 allow udp from W.X.Y.Z to A.B.C.D isakmp -ipfw add 1 allow esp from A.B.C.D to W.X.Y.Z -ipfw add 1 allow esp from W.X.Y.Z to A.B.C.D -ipfw add 1 allow ipencap from A.B.C.D to W.X.Y.Z -ipfw add 1 allow ipencap from W.X.Y.Z to A.B.C.D +Чтобы удалить все записи ACL в NFSv4 ACL: + +[source, shell] +.... +% setfacl -b file .... -Двух приведенных шагов должно быть достаточно для настройки и включения VPN. Машины в каждой сети смогут обращаться друг к другу по IP адресам, и весь трафик через соединение будет автоматически надежно зашифрован. +Обратитесь к man:getfacl[1] и man:setfacl[1] для получения дополнительной информации о доступных опциях этих команд. -[[openssh]] -== OpenSSH +[[capsicum]] +== Capsicum -OpenSSH это набор сетевых инструментов, используемых для защищенного доступа к удаленным компьютерам. Он может быть использован в качестве непосредственной замены `rlogin`, `rsh`, `rcp` и `telnet`. Кроме того, через SSH могут быть безопасно туннелированы и/или перенаправлены произвольные TCP/IP соединения. OpenSSH шифрует весь трафик, эффективно предотвращая кражу данных, перехват соединения и другие сетевые атаки. +Capsicum — это легковесная платформа возможностей ОС и песочницы, реализующая гибридную модель системы возможностей. Возможности (capabilities) являются не подделываемыми токенами авторизации, которые могут быть делегированы и должны быть предъявлены для выполнения действия. Capsicum преобразует файловые дескрипторы в возможности. -OpenSSH поддерживается проектом OpenBSD, он основан на SSH v1.2.12 со всеми последними исправлениями и обновлениями, совместим с протоколами SSH версий 1 и 2. +Capsicum можно использовать для разделения приложений и библиотек на изолированные компоненты (песочницы), что позволяет реализовать политики безопасности и снизить последствия уязвимостей в программном обеспечении. -=== Преимущества использования OpenSSH +[[security-accounting]] +== Учет процессов -Обычно при использовании man:telnet[1] или man:rlogin[1] данные пересылаются по сети в незашифрованной форме. Перехватчик пакетов в любой точке сети между клиентом и сервером может похитить информацию о пользователе/пароле или данные, передаваемые через соединение. Для предотвращения этого OpenSSH предлагает различные методы шифрования. +Учёт процессов — это метод безопасности, при помощи которого администратор может отслеживать использование системных ресурсов и их распределение между пользователями, обеспечивать мониторинг системы и минимально фиксировать выполняемые пользователями команды. -=== Включение sshd +Учет процессов имеет как положительные, так и отрицательные стороны. Один из плюсов заключается в том, что вторжение может быть локализовано до точки входа. Минус — это объем журналов, генерируемых учетом процессов, и дисковое пространство, которое они могут занять. В этом разделе рассматриваются основы учета процессов для администратора. -В FreeBSD даемон sshd должен быть разрешен в процессе инсталляции. За запуск ответственна следующая строка в файле [.filename]#rc.conf#: +[NOTE] +==== +Если требуется более детальный учёт, обратитесь к crossref:audit[audit,Аудит событий безопасности]. +==== -[source,shell] -.... -sshd_enable="YES" -.... +=== Включение и использование учёта процессов -При следующей загрузке системы будет запущен man:sshd[8], даемон для OpenSSH. Вы можете также воспользоваться скриптом [.filename]#/etc/rc.d/sshd# системы man:rc[8] для запуска OpenSSH: +Прежде чем использовать учёт процессов, его необходимо включить с помощью следующих команд: -[.programlisting] +[source, shell] .... -/etc/rc.d/sshd start +# sysrc accounting_enable=yes +# service accounting start .... -=== SSH клиент +Информация учёта хранится в файлах, расположенных в [.filename]#/var/account#, который автоматически создаётся при необходимости при первом запуске службы учёта. Эти файлы содержат конфиденциальную информацию, включая все команды, выполненные всеми пользователями. Право записи в файлы ограничено для `root`, а право чтения — для `root` и членов группы `wheel`. Чтобы также запретить членам `wheel` читать эти файлы, измените режим доступа к каталогу [.filename]#/var/account#, разрешив доступ только для `root`. + +После включения учёт начнёт собирать информацию, такую как статистика использования CPU и выполненные команды. Все журналы учёта хранятся в нечитаемом формате, который можно просмотреть с помощью man:sa[8]. Если команда запущена без параметров, man:sa[8] выводит информацию о количестве вызовов для каждого пользователя, общем затраченном времени в минутах, общем времени CPU и пользователя в минутах, а также среднем количестве операций ввода-вывода. Полный список доступных параметров, управляющих выводом, смотрите в man:sa[8]. -Утилита man:ssh[1] работает подобно man:rlogin[1]. +Для отображения команд, выполненных пользователями, используйте `lastcomm`. -[source,shell] +Например, эта команда выводит все случаи использования `ls` пользователем `trhodes` на терминале `ttyp1`: + +[source, shell] .... -# ssh user@example.com -Host key not found from the list of known hosts. -Are you sure you want to continue connecting (yes/no)? yes -Host 'example.com' added to the list of known hosts. -user@example.com's password: ******* +# lastcomm ls trhodes ttyp1 .... -Вход продолжится так же, как если бы сессия была инициирована с использованием `rlogin` или `telnet`. SSH использует систему опознавательных ключей для проверки подлинности сервера при подключении клиента. Пользователю предлагается `yes` только при первом подключении. Дальнейшие попытки входа предваряются проверкой сохраненного ключа сервера. SSH клиент сообщит вам, если сохраненный ключ будет отличаться от только что полученного. Ключи серверов сохраняются в [.filename]#~/.ssh/known_hosts#, или в [.filename]#~/.ssh/known_hosts2# для SSH v2. +Существует множество других полезных опций, которые описаны в man:lastcomm[1], man:acct[5] и man:sa[8]. -По умолчанию современные серверы OpenSSH настроены на приём только соединений SSH v2. Клиент будет использовать версию 2 там, где это возможно, а затем версию 1. Также, клиент можно заставить использовать конкретную версию при помощи опций `-1` и `-2` для указания соответствующей версии протокола. Версия 1 поддерживается ради совместимости со старыми серверами. +[[security-resourcelimits]] +== Ограничения ресурсов -=== Безопасное копирование +В FreeBSD ограничения ресурсов относятся к механизмам, которые контролируют и управляют выделением различных системных ресурсов процессам и пользователям. Эти ограничения предназначены для предотвращения ситуации, когда один процесс или пользователь потребляет чрезмерное количество ресурсов, что может привести к снижению производительности или нестабильности системы. Ограничения ресурсов помогают обеспечить справедливое распределение ресурсов между всеми активными процессами и пользователями в системе. -Команда man:scp[1] работает подобно man:rcp[1]; она копирует файл с удаленного компьютера, но делает это безопасным способом. +FreeBSD предоставляет несколько методов, позволяющих администратору ограничивать объем системных ресурсов, которые может использовать отдельный пользователь. -[source,shell] -.... -# scp user@example.com:/COPYRIGHT COPYRIGHT -user@example.com's password: ******* -COPYRIGHT 100% |*****************************| 4735 00:00 -# -.... +Традиционный метод определения классов входа в систему предполагает редактирование файла [.filename]#/etc/login.conf#. Хотя этот метод по-прежнему поддерживается, любые изменения требуют многоэтапного процесса: правки этого файла, пересборки базы данных ресурсов, внесения необходимых изменений в [.filename]#/etc/master.passwd# и пересборки базы данных паролей. Это может быть затратным по времени в зависимости от количества настраиваемых пользователей. -Поскольку в предыдущем примере ключ сервера уже был сохранен, в этом примере он проверяется при использовании man:scp[1]. +man:rctl[8] может использоваться для более детального управления ограничениями ресурсов. Эта команда поддерживает не только пользовательские ограничения, так как также может применяться для установки ограничений ресурсов на процессы и jail. -Параметры, передаваемые man:scp[1], похожи на параметры man:cp[1], с файлом или файлами в качестве первого аргумента и приемником копирования во втором. Поскольку файлы передаются по сети через SSH, один или более аргументов принимают форму `user@host:<path_to_remote_file>`. +Этот раздел демонстрирует оба метода управления ресурсами, начиная с традиционного метода. -=== Настройка +[[security-resource-limits-types]] +=== Типы ресурсов -Системные файлы настройки для даемона и клиента OpenSSH расположены в каталоге [.filename]#/etc/ssh#. +FreeBSD устанавливает ограничения для различных типов ресурсов, включая: -Файл [.filename]#ssh_config# используется для настройки клиента, а [.filename]#sshd_config# для даемона. +.Типы ресурсов +[options="header", cols="1,1"] +|=== +| Тип | Описание -Кроме того, параметры `sshd_program` (по умолчанию [.filename]#/usr/sbin/sshd#), и `sshd_flags`[.filename]#rc.conf# дают дополнительные возможности настройки. +| Время процессора +| Ограничивает количество процессорного времени, которое может использовать процесс -[[ssh-keygen]] -=== ssh-keygen +| Память +| Управляет количеством физической памяти, которое может использовать процесс -Вместо использования паролей, с помощью man:ssh-keygen[1] можно создать ключи DSA или RSA, которыми пользователи могут аутентифицироваться: +| Открытые файлы +| Ограничивает количество файлов, которые процесс может открыть одновременно -[source,shell] -.... -% ssh-keygen -t dsa -Generating public/private dsa key pair. -Enter file in which to save the key (/home/user/.ssh/id_dsa): -Created directory '/home/user/.ssh'. -Enter passphrase (empty for no passphrase): -Enter same passphrase again: -Your identification has been saved in /home/user/.ssh/id_dsa. -Your public key has been saved in /home/user/.ssh/id_dsa.pub. -The key fingerprint is: -bb:48:db:f2:93:57:80:b6:aa:bc:f5:d5:ba:8f:79:17 user@host.example.com -.... +| Процессы +| Управляет количеством процессов, которые пользователь или процесс может создать -man:ssh-keygen[1] создаст пару публичного и приватного ключей, используемых для аутентификации. Приватный ключ сохраняется в [.filename]#~/.ssh/id_dsa# или [.filename]#~/.ssh/id_rsa#, а публичный в [.filename]#~/.ssh/id_dsa.pub# или [.filename]#~/.ssh/id_rsa.pub# (для ключей DSA и RSA соответственно). Для включения аутентификации по ключам публичный ключ должен быть помещен в файл [.filename]#~/.ssh/authorized_keys# на удаленном компьютере. +| Размер файла +| Ограничивает максимальный размер файлов, которые процесс может создать -Это позволяет соединяться с удаленным компьютером с помощью SSH-ключей вместо паролей. +| Дампы памяти +| Управляет возможностью процессов создавать файлы дампа памяти -Если при генерации ключей был использован пароль, каждый раз при использовании приватного ключа он будет запрашиваться у пользователя. Для того, чтобы избежать непрерывного набора кодовой фразы, можно использовать утилиту man:ssh-agent[1], как описано в разделе <<security-ssh-agent>> ниже. +| Сетевые ресурсы +| Ограничивает количество сетевых ресурсов (например, сокетов), которые может использовать процесс -[WARNING] -==== +|=== -Параметры и имена файлов могут различаться для разных версий OpenSSH, установленных в системе, для решения проблем обратитесь к странице справочника man:ssh-keygen[1]. -==== - -[[security-ssh-agent]] -=== Утилиты ssh-agent и ssh-add +Для полного списка типов см. man:login.conf[5] и man:rctl[8]. -Утилиты man:ssh-agent[1] и man:ssh-add[1] позволяют сохранять ключи SSH в памяти, чтобы не набирать кодовые фразы при каждом использовании ключа. +[[users-limiting]] +=== Настройка классов входа -Утилита man:ssh-agent[1] обеспечивает процесс аутентификации загруженными в нее секретными ключами; для этого утилита man:ssh-agent[1] должна запустить внешний процесс. В самом простом случае это может быть шелл-процесс; в чуть более продвинутом - оконный менеджер. +В традиционном методе классы входа и ограничения ресурсов, применяемые к классу входа, определяются в файле [.filename]#/etc/login.conf#. Каждой учётной записи пользователя может быть назначен класс входа, где `default` является классом входа по умолчанию. Каждый класс входа имеет набор связанных с ним возможностей входа. Возможность входа — это пара `_имя_=_значение_`, где _имя_ — это общеизвестный идентификатор, а _значение_ — произвольная строка, которая обрабатывается соответствующим образом в зависимости от _имени_. -Для использования man:ssh-agent[1] совместно с шеллом, man:ssh-agent[1] должен быть запущен с именем этого шелла в качестве аргумента. После этого в его память при помощи утилиты man:ssh-add[1] могут быть добавлены необходимые ключи; при этом будут запрошены соответствующие кодовые фразы. Добавленные ключи могут затем использоваться для man:ssh[1] на машины, на которых установлены соответствующие публичные ключи: +Первым шагом для настройки ограничения ресурсов будет открытие файла [.filename]#/etc/login.conf# с помощью следующей команды: -[source,shell] +[source, shell] .... -% ssh-agent csh -% ssh-add -Enter passphrase for /home/user/.ssh/id_dsa: -Identity added: /home/user/.ssh/id_dsa (/home/user/.ssh/id_dsa) -% +# ee /etc/login.conf .... -Для того чтобы использовать man:ssh-agent[1] в X11, вызов man:ssh-agent[1]должен быть помещен в файл [.filename]#~/.xinitrc#. Это обеспечит поддержкой man:ssh-agent[1] все программы, запущенные в X11. Файл [.filename]#~/.xinitrc# может выглядеть, например, так: +Затем найдите раздел для изменяемого класса пользователей. В этом примере предположим, что класс пользователей называется `limited`; создайте его, если он не существует. [.programlisting] .... -exec ssh-agent startxfce4 +limited:\ <.> + :maxproc=50:\ <.> + :tc=default: <.> .... -При этом будет запущен man:ssh-agent[1], который, в свою очередь, вызовет запуск XFCE, при каждом старте X11. После запуска X11, выполните команду man:ssh-add[1] для добавления ваших SSH-ключей. - -[[security-ssh-tunneling]] -=== Туннелирование SSH - -OpenSSH поддерживает возможность создания туннеля для пропуска соединения по другому протоколу через защищенную сессию. +<.> Имя класса пользователя. +<.> Устанавливает максимальное количество процессов (maxproc) равным 50 для пользователей в классе `limited`. +<.> Указывает, что этот класс пользователя наследует настройки по умолчанию из класса "default". -Следующая команда указывает man:ssh[1] создать туннель для telnet: +После изменения файла [.filename]#/etc/login.conf# выполните команду man:cap_mkdb[1] для создания базы данных, которую FreeBSD использует для применения этих настроек: -[source,shell] +[source, shell] .... -% ssh -2 -N -f -L 5023:localhost:23 user@foo.example.com -% +# cap_mkdb /etc/login.conf .... -Команда `ssh` используется со следующими параметрами: - -`-2`:: -Указывает `ssh` использовать версию 2 протокола (не используйте этот параметр, если работаете со старыми SSH серверами). - -`-N`:: -Означает использование в не-командном режиме, только для туннелирования. Если этот параметр опущен, `ssh` запустит обычную сессию. - -`-f`:: -Указывает `ssh` запускаться в фоновом режиме. - -`-L`:: -Означает локальный туннель в стиле _localport:remotehost:remoteport_. - -`user@foo.example.com`:: -Удаленный сервер SSH. - -Туннель SSH создается путем создания прослушивающего сокета на определенном порту `localhost`. Затем все принятые на локальном хосту/порту соединения переправляются через SSH на определенный удаленный хост и порт. - -В этом примере, порт _5023_ на `localhost` перенаправляется на порт _23_ на `localhost` удаленного компьютера. Поскольку _23_ это порт telnet, будет создано защищенное соединение telnet через туннель SSH. +man:chpass[1] может быть использован для изменения класса пользователя на желаемый, выполнив следующую команду: -Этот метод можно использовать для любого числа небезопасных протоколов, таких как SMTP, POP3, FTP, и так далее. - -.Использование SSH для создания защищенного туннеля на SMTP -[example] -==== - -[source,shell] +[source, shell] .... -% ssh -2 -N -f -L 5025:localhost:25 user@mailserver.example.com -user@mailserver.example.com's password: ***** -% telnet localhost 5025 -Trying 127.0.0.1... -Connected to localhost. -Escape character is '^]'. -220 mailserver.example.com ESMTP +# chpass username .... -Этот метод можно использовать вместе с man:ssh-keygen[1] и дополнительными пользовательскими учётными записями для создания более удобного автоматического SSH туннелирования. Ключи могут быть использованы вместо паролей, и туннели могут запускаться от отдельных пользователей. -==== - -==== Практические примеры SSH туннелирования -===== Защищенный доступ к серверу POP3 +Это откроет текстовый редактор, где нужно добавить новый класс `limited` следующим образом: -На работе находится SSH сервер, принимающий соединения снаружи. В этой же офисной сети находится почтовый сервер, поддерживающий протокол POP3. Сеть или сетевое соединение между вашим домом и офисом могут быть или не быть полностью доверяемыми. По этой причине вам потребуется проверять почту через защищенное соединение. Решение состоит в создании SSH соединения к офисному серверу SSH и туннелирование через него к почтовому серверу. - -[source,shell] +[.programlisting] .... -% ssh -2 -N -f -L 2110:mail.example.com:110 user@ssh-server.example.com -user@ssh-server.example.com's password: ****** +#Changing user information for username. +Login: username +Password: $6$2H.419USdGaiJeqK$6kgcTnDadasdasd3YnlNZsOni5AMymibkAfRCPirc7ZFjjv +DVsKyXx26daabdfqSdasdsmL/ZMUpdHiO0 +Uid [#]: 1001 +Gid [# or name]: 1001 +Change [month day year]: +Expire [month day year]: +Class: limited +Home directory: /home/username +Shell: /bin/sh +Full Name: User & +Office Location: +Office Phone: +Home Phone: +Other information: .... -Когда туннель включен и работает, вы можете настроить почтовый клиент для отправки запросов POP3 на `localhost`, порт 2110. Соединение будет безопасно переправлено через туннель на `mail.example.com`. +Теперь пользователь, назначенный классу `limited`, будет иметь ограничение на максимальное количество процессов в 50. Помните, что это лишь один пример настройки ограничения ресурсов с помощью файла [.filename]#/etc/login.conf#. -===== Прохождение через Драконовский Брандмауэр +Имейте в виду, что после внесения изменений в файл [.filename]#/etc/login.conf# пользователю необходимо выйти из системы и снова войти, чтобы изменения вступили в силу. Кроме того, всегда соблюдайте осторожность при редактировании системных конфигурационных файлов, особенно при использовании привилегированного доступа. -Некоторые сетевые администраторы устанавливают на брандмауэрах драконовские правила, фильтруя не только входящие соединения, но и исходящие. Вам может быть разрешен доступ к удаленным компьютерам только по портам 22 и 80, для SSH и просмотра сайтов. +[[security-rctl]] +=== Включение и настройка ограничений ресурсов -Вам может потребоваться доступ к другому (возможно, не относящемуся к работе) сервису, такому как Ogg Vorbis для прослушивания музыки. Если этот сервер Ogg Vorbis выдает поток не с портов 22 или 80, вы не сможете получить к нему доступ. +Система man:rctl[8] предоставляет более детализированный способ установки и управления ограничениями ресурсов для отдельных процессов и пользователей. Она позволяет динамически назначать ограничения ресурсов конкретным процессам или пользователям, независимо от их класса. -Решение состоит в создании SSH соединения с компьютером вне брандмауэра и использование его для туннелирования сервера Ogg Vorbis. +Первым шагом для использования man:rctl[8] будет его включение путем добавления следующей строки в [.filename]#/boot/loader.conf# и перезагрузки системы: -[source,shell] +[.programlisting] .... -% ssh -2 -N -f -L 8888:music.example.com:8000 user@unfirewalled-system.example.org -user@unfirewalled-system.example.org's password: ******* +kern.racct.enable=1 .... -Клиентскую программу теперь можно настроить на `localhost` порт 8888, который будет перенаправлен на `music.example.com` порт 8000, успешно обойдя брандмауэр. - -=== Параметр ограничения пользователей `AllowUsers` - -Зачастую хорошие результаты даёт ограничение того, какие именно пользователи и откуда могут регистрироваться в системе. Задание параметра `AllowUsers` является хорошим способом добиться этого. К примеру, для разрешения регистрации только пользователю `root` с машины `192.168.1.32`, в файле [.filename]#/etc/ssh/sshd_config# нужно указать нечто вроде следующего: +Затем включите и запустите службу man:rctl[8], выполнив следующие команды: -[.programlisting] +[source, shell] .... -AllowUsers root@192.168.1.32 +# sysrc rctl_enable="YES" +# service rctl start .... -Для разрешения регистрации пользователя `admin` из любой точки, просто укажите имя пользователя: +Затем man:rctl[8] может быть использован для установки правил в системе. + +Синтаксис правил (man:rctl.conf[5]) определяется с использованием субъекта, идентификатора субъекта, ресурса и действия, как показано в следующем примере правила: [.programlisting] .... -AllowUsers admin +subject:subject-id:resource:action=amount/per .... -Несколько пользователей должны перечислять в одной строке, как здесь: +Например, чтобы ограничить пользователя не более чем 10 процессами, выполните следующую команду: -[.programlisting] +[source, shell] .... -AllowUsers root@192.168.1.32 admin +# rctl -a user:username:maxproc:deny=10/user .... -[NOTE] -==== -Важно, чтобы бы перечислили всех пользователей, которые должны регистрироваться на этой машине; в противном случае они будут заблокированы. -==== - -После внесения изменений в [.filename]#/etc/ssh/sshd_config# вы должны указать man:sshd[8] на повторную загрузку конфигурационных файлов, выполнив следующую команду: +Для проверки установленных ограничений ресурсов можно выполнить команду man:rctl[8]: -[source,shell] +[source, shell] .... -# /etc/rc.d/sshd reload +# rctl .... -=== Дополнительная литература - -http://www.openssh.com/[OpenSSH] - -man:ssh[1] man:scp[1] man:ssh-keygen[1] man:ssh-agent[1] man:ssh-add[1] man:ssh_config[5] +Вывод должен быть похож на следующий: -man:sshd[8] man:sftp-server[8] man:sshd_config[5] - -[[fs-acl]] -== Списки контроля доступа файловой системы (ACL) - -В дополнение к другим расширениям файловой системы, таким как снимки (snapshots), FreeBSD 5.0 и более поздние версии системы предлагают защиту с помощью списков контроля доступа файловой системы (File System Access Control Lists, ACLs). - -Списки контроля доступа расширяют стандартную модель прав UNIX(R) высоко совместимым (POSIX(R).1e) способом. Эта возможность позволяет администратору получить преимущество от использования более интеллектуальной модели безопасности. +[.programlisting] +.... +user:username:maxproc:deny=10 +.... -Для включения поддержки ACL в файловой системе UFS, следующая строка: +Правила сохранятся после перезагрузки, если они добавлены в [.filename]#/etc/rctl.conf#. Формат записи — это правило без указания команды в начале. Например, предыдущее правило можно добавить так: [.programlisting] .... -options UFS_ACL +user:username:maxproc:deny=10 .... -должна быть добавлена в файл настройки ядра. Если параметр не добавлен, при попытке монтирования систем, поддерживающих ACL, появится предупреждающее сообщение. Этот параметр включен в ядро [.filename]#GENERIC#. ACL основывается на дополнительных атрибутах, встроенных в файловую систему. Дополнительные атрибуты поддерживаются по умолчанию следующим поколением файловых систем UNIX(R), UFS2. +[[security-pkg]] +== Мониторинг проблем безопасности приложений сторонних разработчиков -[NOTE] -==== -Для включения дополнительных атрибутов в UFS1 требуется больше усилий по сравнению с UFS2. Производительность дополнительных атрибутов в UFS2 также существенно выше. По этим причинам для работы с списками контроля доступа предпочтительно использование UFS2 -==== +В последние годы в сфере безопасности было внесено множество улучшений в методы оценки уязвимостей. Угроза взлома системы возрастает по мере установки и настройки сторонних утилит практически для любой доступной сегодня операционной системы. -ACL включаются во время монтирования флагом `acls`, который добавляется к [.filename]#/etc/fstab#. Этот флаг также можно сделать постоянным с помощью man:tunefs[8], изменив флаг ACL в заголовке файловой системы. Вообще говоря, использование флага в суперблоке предпочтительно по нескольким причинам: +Оценка уязвимостей является ключевым фактором в обеспечении безопасности. Хотя FreeBSD выпускает рекомендации для базовой системы, делать это для каждой сторонней утилиты выходит за рамки возможностей проекта FreeBSD. Существует способ снизить риски уязвимостей стороннего ПО и предупредить администраторов о известных проблемах безопасности. Дополнительная утилита FreeBSD, известная как `pkg`, включает возможности, предназначенные именно для этой цели. -* Постоянный ACL флаг не может быть изменен путем перемонтирования системы (man:mount[8] `-u`), а только через man:umount[8] и man:mount[8]. Это означает, что ACL нельзя включить на корневой файловой системе после загрузки. Это также означает, что вы не можете изменить флаг на используемой файловой системе. -* Установка флага в суперблоке приводит к постоянному монтированию файловой системы с включенным ACL, даже если нет записи в [.filename]#fstab# или при смене порядка устройств. Это предотвращает случайное монтирование файловой системы без ACL, которое может повлечь за собой проблемы с безопасностью. +pkg опрашивает базу данных на наличие уязвимостей безопасности. База данных обновляется и поддерживается командой FreeBSD Security Team и разработчиками портов. -[NOTE] -==== -Мы можем изменить поведение ACL для включения флага без полного перемонтирования, но считаем, что желательно исключить случайное монтирование без ACL, поскольку вы можете попасть в неприятную ситуацию, если включите ACL, затем выключите их, затем опять включите без сброса расширенных атрибутов. Обычно, как только вы включили ACL в файловой системе, они не должны быть выключены, поскольку получающаяся защита файлов может быть не совместима с той, что применяется пользователями системы, и повторное включение ACL может подключить предыдущие списки контроля доступа к файлам, права на которые изменены, что приведет к непредсказуемому поведению. -==== +Установка предоставляет файлы конфигурации man:periodic[8] для поддержания базы данных pkg audit и предлагает программный метод её обновления. -Файловые системы с включенными ACLs показывают знак `+` при просмотре прав на файлы. Например: +После установки, а также для проверки сторонних утилит из Коллекции портов в любое время, администратор может обновить базу данных и просмотреть известные уязвимости установленных пакетов, выполнив: -[.programlisting] +[source, shell] .... -drwx------ 2 robert robert 512 Dec 27 11:54 private -drwxrwx---+ 2 robert robert 512 Dec 23 10:57 directory1 -drwxrwx---+ 2 robert robert 512 Dec 22 10:20 directory2 -drwxrwx---+ 2 robert robert 512 Dec 27 11:57 directory3 -drwxr-xr-x 2 robert robert 512 Nov 10 11:54 public_html +% pkg audit -F .... -Здесь мы видим, что каталоги [.filename]#directory1#, [.filename]#directory2#, и [.filename]#directory3# используют преимущества ACL. Каталог [.filename]#public_html# их не использует. +Вывод должен быть похож на следующий: -=== Использование ACL +[.programlisting] +.... +vulnxml file up-to-date +chromium-116.0.5845.96_1 is vulnerable: + chromium -- multiple vulnerabilities + CVE: CVE-2023-4431 + CVE: CVE-2023-4427 + CVE: CVE-2023-4428 + CVE: CVE-2023-4429 + CVE: CVE-2023-4430 + WWW: https://vuxml.FreeBSD.org/freebsd/5fa332b9-4269-11ee-8290-a8a1599412c6.html -ACL файловой системы можно просмотреть с помощью утилиты man:getfacl[1]. Например, для просмотра настроек ACL файла [.filename]#test#, может использоваться команда: +samba413-4.13.17_5 is vulnerable: + samba -- multiple vulnerabilities + CVE: CVE-2023-3347 + CVE: CVE-2023-34966 + CVE: CVE-2023-34968 + CVE: CVE-2022-2127 + CVE: CVE-2023-34967 + WWW: https://vuxml.FreeBSD.org/freebsd/441e1e1a-27a5-11ee-a156-080027f5fec9.html -[source,shell] -.... -% getfacl test - #file:test - #owner:1001 - #group:1001 - user::rw- - group::r-- - other::r-- +2 problem(s) in 2 installed package(s) found. .... -Для изменения ACL этого файла, вызовите утилиту man:setfacl[1]. Выполните: +Направив веб-браузер по указанному URL, администратор может получить дополнительную информацию об уязвимости. -[source,shell] -.... -% setfacl -k test -.... +Это будет включать затронутые версии, указанные по версии порта FreeBSD, а также другие веб-сайты, которые могут содержать рекомендации по безопасности. -Параметр `-k` удалит все установленные на данный момент ACL из файла или файловой системы. Более предпочтительный метод это использование параметра `-b`, который оставит необходимые для работы ACL поля. +[[security-advisories]] +== Рекомендации по безопасности FreeBSD -[source,shell] -.... -% setfacl -m u:trhodes:rwx,group:web:r--,o::--- test -.... +Как и многие разработчики качественных операционных систем, проект FreeBSD имеет команду безопасности, которая отвечает за определение даты окончания срока службы (EoL) для каждого выпуска FreeBSD и предоставляет обновления безопасности для поддерживаемых выпусков, которые ещё не достигли своего EoL. Дополнительная информация о команде безопасности FreeBSD и поддерживаемых выпусках доступна на странице link:https://www.FreeBSD.org/security[безопасности FreeBSD]. -В вышеприведенной команде параметр `-m` использован для изменения записей ACL по умолчанию. Поскольку предустановленных записей не было (они были удалены предыдущей командой), эта команда восстановит параметры по умолчанию и задаст приведенные параметры. Имейте ввиду, при добавлении пользователя или группы, которых нет в системе, на [.filename]#stdout# будет выведена ошибка `Invalid argument`. +Одна из задач команды безопасности — реагировать на сообщения об уязвимостях в операционной системе FreeBSD. После подтверждения уязвимости команда безопасности проверяет шаги, необходимые для её устранения, и обновляет исходный код с исправлением. Затем она публикует подробности в виде «Рекомендации по безопасности» (Security Advisory). Рекомендации по безопасности публикуются на сайте link:https://www.FreeBSD.org/security/advisories/[FreeBSD] и рассылаются в списки рассылки {freebsd-security-notifications}, {freebsd-security} и {freebsd-announce}. -[[security-portaudit]] -== Мониторинг вопросов безопасности в ПО сторонних разработчиков +=== Формат рекомендации по безопасности -В последние годы в области информационной безопасности произошло много улучшений, касающихся выработки оценки уязвимости. Угроза проникновения в систему увеличивается вместе с установкой и настройкой утилит сторонних разработчиков, какой бы современной операционной системы это ни касалось. +Вот пример рекомендации по безопасности FreeBSD: -Оценка уязвимости является ключевым фактором обеспечения защиты, и хотя для базового комплекта FreeBSD выпускаются бюллетени безопасности, но делать это для каждой сторонней утилиты выше возможностей участников Проекта FreeBSD. Существует способ смягчения уязвимостей программного обеспечения сторонних разработчиков и предупреждения администраторов об известных проблемах с безопасностью. Во FreeBSD существует утилита под названием Portaudit, которая служит исключительно этой цели. +[.programlisting] +.... +-----BEGIN PGP SIGNED MESSAGE----- +Hash: SHA512 -Порт package:security/portaudit[] обращается к базе данных, обновляемой и поддерживаемой Группой информационной безопасности FreeBSD и разработчиками портов, для получения информации об известных проблемах с защитой. +============================================================================= +FreeBSD-SA-23:07.bhyve Security Advisory + The FreeBSD Project -Для того, чтобы приступить к использованию Portaudit, необходимо установить его из Коллекции Портов: +Topic: bhyve privileged guest escape via fwctl -[source,shell] -.... -# cd /usr/ports/security/portaudit && make install clean -.... +Category: core +Module: bhyve +Announced: 2023-08-01 +Credits: Omri Ben Bassat and Vladimir Eli Tokarev from Microsoft +Affects: FreeBSD 13.1 and 13.2 +Corrected: 2023-08-01 19:48:53 UTC (stable/13, 13.2-STABLE) + 2023-08-01 19:50:47 UTC (releng/13.2, 13.2-RELEASE-p2) + 2023-08-01 19:48:26 UTC (releng/13.1, 13.1-RELEASE-p9) +CVE Name: CVE-2023-3494 -В процессе установки будут обновлены конфигурационные файлы для man:periodic[8], в которые будет добавлена выдача Portaudit при ежедневном её запуске. Проверьте, что ежедневные сообщения электронной почты, касающиеся безопасности, которые посылаются на адрес `root`, прочитываются. Другой дополнительной настройки больше не понадобится. +For general information regarding FreeBSD Security Advisories, +including descriptions of the fields above, security branches, and the +following sections, please visit <URL:https://security.FreeBSD.org/>. -После установки администратор может обновить базу данных и посмотреть список известных уязвимостей в установленных пакетах при помощи команды +I. Background -[source,shell] -.... -# portaudit -Fda -.... +bhyve(8)'s fwctl interface provides a mechanism through which guest +firmware can query the hypervisor for information about the virtual +machine. The fwctl interface is available to guests when bhyve is run +with the "-l bootrom" option, used for example when booting guests in +UEFI mode. -[NOTE] -==== -База данных будет автоматически обновлена при запуске man:periodic[8]; таким образом, предыдущая команду можно полностью опустить. Она требуется только для следующих примеров. -==== +bhyve is currently only supported on the amd64 platform. -Для аудита утилит сторонних разработчиков, установленных как часть Коллекции Портов, администратору достаточно запускать только следующую команду: +II. Problem Description -[source,shell] -.... -# portaudit -a -.... +The fwctl driver implements a state machine which is executed when the +guest accesses certain x86 I/O ports. The interface lets the guest copy +a string into a buffer resident in the bhyve process' memory. A bug in +the state machine implementation can result in a buffer overflowing when +copying this string. -Утилита portaudit выдаст примерно следующее: +III. Impact -[.programlisting] -.... -Affected package: cups-base-1.1.22.0_1 -Type of problem: cups-base -- HPGL buffer overflow vulnerability. -Reference: <http://www.FreeBSD.org/ports/portaudit/40a3bca2-6809-11d9-a9e7-0001020eed82.html> +A malicious, privileged software running in a guest VM can exploit the +buffer overflow to achieve code execution on the host in the bhyve +userspace process, which typically runs as root. Note that bhyve runs +in a Capsicum sandbox, so malicious code is constrained by the +capabilities available to the bhyve process. -1 problem(s) in your installed packages found. +IV. Workaround -You are advised to update or deinstall the affected package(s) immediately. -.... +No workaround is available. bhyve guests that are executed without the +"-l bootrom" option are unaffected. -Перейдя в Web-браузере по показанному URL, администратор может получить более подробную информацию о показанной уязвимости. В неё войдёт перечисление версий, затронутых соответствующей версией порта FreeBSD, а также другие Web-сайты, которые могут содержать бюллетени безопасности. +V. Solution -Если описывать вкратце, то Portaudit является мощной и, при использовании вместе с портом Portupgrade, чрезвычайно полезной утилитой. +Upgrade your vulnerable system to a supported FreeBSD stable or +release / security branch (releng) dated after the correction date. -[[security-advisories]] -== Сообщения безопасности FreeBSD +Perform one of the following: -Как многие и высококачественные операционные системы, FreeBSD публикует "Сообщения безопасности" ("Security Advisories"). Эти сообщения обычно отправляются по почте в списки рассылки, посвященные безопасности и публикуются в списке проблем только после выхода исправлений к соответствующим релизам. В этом разделе разъясняется, что такое сообщения безопасности, как их читать и какие меры принимать для исправления системы. +1) To update your vulnerable system via a binary patch: -=== Как выглядит сообщение? +Systems running a RELEASE version of FreeBSD on the amd64, i386, or +(on FreeBSD 13 and later) arm64 platforms can be updated via the +freebsd-update(8) utility: -Сообщение безопасности FreeBSD выглядит подобно сообщению ниже, взятому из списка рассылки {freebsd-security-notifications}. +# freebsd-update fetch +# freebsd-update install -[.programlisting] -.... -============================================================================= -FreeBSD-SA-XX:XX.UTIL Security Advisory - The FreeBSD Project +Restart all affected virtual machines. -Topic: denial of service due to some problem<.> - -Category: core<.> -Module: sys<.> -Announced: 2003-09-23<.> -Credits: Person@EMAIL-ADDRESS<.> -Affects: All releases of FreeBSD<.> - FreeBSD 4-STABLE prior to the correction date -Corrected: 2003-09-23 16:42:59 UTC (RELENG_4, 4.9-PRERELEASE) - 2003-09-23 20:08:42 UTC (RELENG_5_1, 5.1-RELEASE-p6) - 2003-09-23 20:07:06 UTC (RELENG_5_0, 5.0-RELEASE-p15) - 2003-09-23 16:44:58 UTC (RELENG_4_8, 4.8-RELEASE-p8) - 2003-09-23 16:47:34 UTC (RELENG_4_7, 4.7-RELEASE-p18) - 2003-09-23 16:49:46 UTC (RELENG_4_6, 4.6-RELEASE-p21) - 2003-09-23 16:51:24 UTC (RELENG_4_5, 4.5-RELEASE-p33) - 2003-09-23 16:52:45 UTC (RELENG_4_4, 4.4-RELEASE-p43) - 2003-09-23 16:54:39 UTC (RELENG_4_3, 4.3-RELEASE-p39)<.> -CVE Name: CVE-XXXX-XXXX<.> +2) To update your vulnerable system via a source code patch: -For general information regarding FreeBSD Security Advisories, -including descriptions of the fields above, security branches, and the -following sections, please visit -http://www.FreeBSD.org/security/. +The following patches have been verified to apply to the applicable +FreeBSD release branches. -I. Background<.> +a) Download the relevant patch from the location below, and verify the +detached PGP signature using your PGP utility. -II. Problem Description<.> +[FreeBSD 13.2] +# fetch https://security.FreeBSD.org/patches/SA-23:07/bhyve.13.2.patch +# fetch https://security.FreeBSD.org/patches/SA-23:07/bhyve.13.2.patch.asc +# gpg --verify bhyve.13.2.patch.asc -III. Impact<.> +[FreeBSD 13.1] +# fetch https://security.FreeBSD.org/patches/SA-23:07/bhyve.13.1.patch +# fetch https://security.FreeBSD.org/patches/SA-23:07/bhyve.13.1.patch.asc +# gpg --verify bhyve.13.1.patch.asc -IV. Workaround<.> +b) Apply the patch. Execute the following commands as root: -V. Solution<.> +# cd /usr/src +# patch < /path/to/patch -VI. Correction details<.> +c) Recompile the operating system using buildworld and installworld as +described in <URL:https://www.FreeBSD.org/handbook/makeworld.html>. -VII. References<.> -.... +Restart all affected virtual machines. -<.> Поле `Topic` показывает в чем именно заключается проблема. Это обычно введение в сообщение безопасности, упоминающее утилиту, в которой возникла ошибка. -<.> Поле `Category` относится к затронутой части системы и может быть выбрана из `core`, `contrib`, или `ports`. Категория `core` означает, что уязвимость затрагивает основной компонент операционной системы FreeBSD. Категория `contrib` означает, что уязвимость затрагивает программы, предоставленные проекту FreeBSD, например sendmail. Наконец, категория `ports` означает, что уязвимость затрагивает программное обеспечение, доступное из Коллекции Портов. -<.> Поле `Module` указывает на местоположение компонента, например `sys`. В этом примере мы видим, что затронут модуль `sys`, следовательно, эта уязвимость относится к компоненту, используемому в ядре. -<.> Поле `Announced` отражает дату публикации сообщения безопасности, или его анонсирования. Это означает, что команда обеспечения безопасности убедилась, что проблема существует и что патч помещён в хранилище исходных текстов FreeBSD. -<.> Поле `Credits` упоминает частное лицо или организацию, обнаружившую уязвимость и сообщившую о ней. -<.> Поле `Affects` дает информацию о релизах FreeBSD, к которым относится данная уязвимость. Для базовой системы, просмотр вывода команды `ident` для файлов, затронутых уязвимостью, поможет определить ревизию. Номер версии портов приведен после имени порта в каталоге [.filename]#/var/db/pkg#. Если система не синхронизируется с CVS-хранилищем FreeBSD и не пересобирается ежедневно, высок шанс, что она затронута уязвимостью. -<.> Поле `Corrected` показывает дату, время, смещение во времени и релиз, в котором исправлена ошибка. -<.> Зарезервировано для идентификации уязвимости в общей базе данных CVD (Common Vulnerabilities Database). -<.> Поле `Background` дает информацию именно о той утилите, для которой выпущено сообщение. Как правило информация о том, зачем утилита присутствует в FreeBSD, для чего она используется, и немного информации о том, как появилась эта утилита. -<.> Поле `Problem Description` дает более глубокие разъяснения возникшей проблемы. Оно может включать информацию об ошибочном коде, или даже о том, как утилита может быть использована для создания бреши в системе безопасности. -<.> Поле `Impact` описывает тип воздействия, который проблема может оказать на систему. Это может быть все, что угодно, от атаки на отказ в обслуживании до получения пользователями дополнительных привилегий, или даже получения атакующим прав суперпользователя. -<.> Поле `Workaround` предлагает тем, системным администраторам, которые не могут обновить систему, обходной путь решения проблемы. Он может пригодиться при недостатке времени, отсутствии подключения к сети или по массе других причин. В любом случае, к безопасности нельзя относиться несерьезно, и необходимо либо применить указанный обходной путь, либо исправить систему. -<.> Поле `Solution` предлагает инструкции по исправлению затронутой системы. Это пошаговое руководство, протестированный метод восстановления безопасности системы. -<.> Поле `Correction Details` показывает ветвь CVS (имя релиза с точками, замененными на символы подчеркивания). Здесь также показан номер ревизии каждого файла из каждой ветви. -<.> Поле `References` обычно упоминает другие источники информации. Это могут быть Web-страницы, книги, списки рассылки и группы новостей. +VI. Correction details -[[security-accounting]] -== Учёт используемых ресурсов +This issue is corrected by the corresponding Git commit hash or Subversion +revision number in the following stable and release branches: -Учёт используемых процессами ресурсов представляет собой метод защиты, при котором администратор может отслеживать использование системных ресурсов и их распределение между пользователями для нужд системного мониторинга и минимального отслеживания команд пользователей. +Branch/path Hash Revision +- ------------------------------------------------------------------------- +stable/13/ 9fe302d78109 stable/13-n255918 +releng/13.2/ 2bae613e0da3 releng/13.2-n254625 +releng/13.1/ 87702e38a4b4 releng/13.1-n250190 +- ------------------------------------------------------------------------- -На самом деле здесь есть свои положительный и отрицательные моменты. Положительной стороной является то, что проникновение может быть отслежено до первоначальной точки входа. Отрицательной стороной является объём протоколов, который генерируется при мониторинге, и соответствующие требования к дисковому пространству. В этом разделе администратору даются основы учёта ресурсов процессов. +Run the following command to see which files were modified by a +particular commit: -=== Активация и использование учёта ресурсов +# git show --stat <commit hash> -Прежде чем использовать систему учёта ресурсов, её необходимо активировать. Для этого выполните следующие команды: +Or visit the following URL, replacing NNNNNN with the hash: -[source,shell] -.... -# touch /var/account/acct +<URL:https://cgit.freebsd.org/src/commit/?id=NNNNNN> -# accton /var/account/acct +To determine the commit count in a working tree (for comparison against +nNNNNNN in the table above), run: -# echo 'accounting_enable="YES"' >> /etc/rc.conf -.... +# git rev-list --count --first-parent HEAD -После активации система учёта ресурсов начнёт отслеживать статистику CPU, команд и так далее. Все протоколы учёта ведутся в формате, недоступном для чтения человеком, и могут просматриваться при помощи утилиты man:sa[8]. Запущенная без параметров, `sa` выдаст информацию, относящуюся к количеству вызовов в расчёте на каждого пользователя, общее затраченное время в минутах, общее время CPU и пользователя в минутах, среднее количество операций ввода/вывода и так далее. +VII. References -Для просмотра информации о запущенных командах, необходимо воспользоваться утилитой man:lastcomm[1]. Команду `lastcomm` можно использовать, например, для выдачи списка директив, выданных пользователями определённого терминала man:ttys[5]: +<URL:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-3494> -[source,shell] -.... -# lastcomm ls trhodes ttyp1 +The latest revision of this advisory is available at +<URL:https://security.FreeBSD.org/advisories/FreeBSD-SA-23:07.bhyve.asc> +-----BEGIN PGP SIGNATURE----- + +iQIzBAEBCgAdFiEEthUnfoEIffdcgYM7bljekB8AGu8FAmTJdsIACgkQbljekB8A +Gu8Q1Q/7BFw5Aa0cFxBzbdz+O5NAImj58MvKS6xw61bXcYr12jchyT6ENC7yiR+K +qCqbe5TssRbtZ1gg/94gSGEXccz5OcJGxW+qozhcdPUh2L2nzBPkMCrclrYJfTtM +cnmQKjg/wFZLUVr71GEM95ZFaktlZdXyXx9Z8eBzow5rXexpl1TTHQQ2kZZ41K4K +KFhup91dzGCIj02cqbl+1h5BrXJe3s/oNJt5JKIh/GBh5THQu9n6AywQYl18HtjV +fMb1qRTAS9WbiEP5QV2eEuOG86ucuhytqnEN5MnXJ2rLSjfb9izs9HzLo3ggy7yb +hN3tlbfIPjMEwYexieuoyP3rzKkLeYfLXqJU4zKCRnIbBIkMRy4mcFkfcYmI+MhF +NPh2R9kccemppKXeDhKJurH0vsetr8ti+AwOZ3pgO21+9w+mjE+EfaedIi+JWhip +hwqeFv03bAQHJdacNYGV47NsJ91CY4ZgWC3ZOzBZ2Y5SDtKFjyc0bf83WTfU9A/0 +drC0z3xaJribah9e6k5d7lmZ7L6aHCbQ70+aayuAEZQLr/N1doB0smNi0IHdrtY0 +JdIqmVX+d1ihVhJ05prC460AS/Kolqiaysun1igxR+ZnctE9Xdo1BlLEbYu2KjT4 +LpWvSuhRMSQaYkJU72SodQc0FM5mqqNN42Vx+X4EutOfvQuRGlI= +=MlAY +-----END PGP SIGNATURE----- .... -Эта команда выдаст все зафиксированные использования команды `ls` пользователем `trhodes` на терминале ttyp1. +Каждый бюллетень безопасности использует следующий формат: -Существует многие другие полезные параметры, которые описаны на соответствующих справочных страницах man:lastcomm[1], man:acct[5] и man:sa[8]. +* Каждое уведомление о безопасности подписано PGP-ключом офицера безопасности. Открытый ключ офицера безопасности можно проверить в crossref:pgpkeys[pgpkeys,OpenPGP Keys]. +* Название рекомендации по безопасности всегда начинается с `FreeBSD-SA-` (для FreeBSD Security Advisory), за которым следует год в двузначном формате (`23:`), затем номер рекомендации за этот год (`07.`), а затем название затронутого приложения или подсистемы (`bhyve`). +* Поле `Topic` содержит краткое описание уязвимости. +* `Category` относится к затронутой части системы, которая может быть одной из следующих: `core`, `contrib` или `ports`. Категория `core` означает, что уязвимость затрагивает основной компонент операционной системы FreeBSD. Категория `contrib` означает, что уязвимость затрагивает программное обеспечение, включённое в состав FreeBSD, например BIND. Категория `ports` указывает, что уязвимость затрагивает программное обеспечение, доступное через Коллекцию портов. +* Поле `Module` указывает на расположение компонента. В данном примере затронут модуль `bhyve`; следовательно, эта уязвимость затрагивает приложение, установленное вместе с операционной системой. +* Поле `Announced` указывает дату публикации уведомления о безопасности. Это означает, что команда безопасности подтвердила наличие проблемы и что исправление было добавлено в репозиторий исходного кода FreeBSD. +* Поле `Credits` указывает на человека или организацию, которые обнаружили уязвимость и сообщили о ней. +* Поле `Affects` указывает, какие выпуски FreeBSD подвержены данной уязвимости. +* Поле `Corrected` указывает дату, время, смещение времени и версии, в которых была исправлена ошибка. Раздел в скобках показывает каждую ветку, в которую было внесено исправление, и номер версии соответствующего выпуска из этой ветки. Идентификатор выпуска включает номер версии и, если необходимо, уровень патча. Уровень патча обозначается буквой `p` с последующим числом, указывающим порядковый номер патча, что позволяет пользователям отслеживать, какие патчи уже были применены к системе. +* Поле `CVE Name` содержит номер рекомендации, если он существует, в публичной базе данных уязвимостей безопасности http://cve.mitre.org[cve.mitre.org]. +* Поле `Background` содержит описание затронутого модуля. +* Поле `Описание проблемы` поясняет уязвимость. Оно может содержать информацию о проблемном коде и о том, как утилита может быть использована злоумышленниками. +* Поле `Impact` описывает, какой тип воздействия проблема может оказать на систему. +* Поле `Workaround` указывает, доступно ли временное решение для системных администраторов, которые не могут немедленно установить исправление. +* Поле `Solution` содержит инструкции по исправлению уязвимости на затронутой системе. Это пошаговый проверенный метод, позволяющий обновить систему и обеспечить её безопасную работу. +* Поле `Correction Details` отображает каждую затронутую ветку Subversion или Git с номером ревизии, содержащей исправленный код. +* Поле `References` содержит источники дополнительной информации об уязвимости. |