diff --git a/ru_RU.KOI8-R/books/handbook/security/chapter.sgml b/ru_RU.KOI8-R/books/handbook/security/chapter.sgml index 095ef69047..344d8a4dcf 100644 --- a/ru_RU.KOI8-R/books/handbook/security/chapter.sgml +++ b/ru_RU.KOI8-R/books/handbook/security/chapter.sgml @@ -2,9 +2,9 @@ The FreeBSD Documentation Project $FreeBSD$ - $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/security/chapter.sgml,v 1.28 2004/10/21 13:44:42 den Exp $ + $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/security/chapter.sgml,v 1.42 2005/05/21 07:36:12 andy Exp $ - Original revision: 1.229 + Original revision: 1.272 --> @@ -41,7 +41,7 @@ ваших данных, интеллектуальной собственности, времени и всего остального от хакеров и им подобных. - FreeBSD предоставляет массу утилит и механизмов для обеспечения + &os; предоставляет массу утилит и механизмов для обеспечения целостности и безопасности системы и сети. После прочтения этой главы вы узнаете: @@ -76,11 +76,6 @@ после 5.0. - - Как создать межсетевые экраны с помощью - IPFW. - - Как настроить IPsec и создать VPN между компьютерами на &os;/&windows;. @@ -95,10 +90,20 @@ Что такое ACL и как их использовать. + + Как использовать утилиту Portaudit для + проверки пакаджей сторонних разработчиков, установленных из Коллекции + Портов. + + Как работать с сообщениями безопасности &os;. + + Что такое Process Accounting и как активировать его во + &os;. + Перед чтением этой главы вам потребуется: @@ -108,6 +113,12 @@ Понимание основных концепций &os; и интернет. + + В этой книге рассмотрены и другие вопросы безопасности. + Например, принудительный контроль доступа (Mandatory Access + Control) рассматривается в , а брандмауэры в . @@ -142,7 +153,7 @@ Безопасность системы также относится к различным формам атак, имеющих своей целью вызвать крах системы, или сделать систему - недоступной другим способом, но не пытающихся получить доступ к учетной + недоступной другим способом, но не пытающихся получить доступ к учётной записи root (break root). Угрозы безопасности могут быть поделены на несколько категорий: @@ -152,15 +163,15 @@ - Взлом пользовательских учетных записей. + Взлом пользовательских учётных записей. - Взлом учетной записи root через доступные сервисы. + Взлом учётной записи root через доступные сервисы. - Взлом учетной записи root через учетные записи + Взлом учётной записи root через учётные записи пользователей. @@ -196,10 +207,10 @@ безопасность - взлом учетных записей + взлом учётных записей - Взлом учетной записи пользователя обычно встречается чаще, чем DoS + Взлом учётной записи пользователя обычно встречается чаще, чем DoS атаки. Многие системные администраторы все еще используют стандартные сервисы telnetd, rlogind и ftpd на @@ -212,15 +223,15 @@ пользователей даже в случае успешного входа. Кто-то может предположить, что атакующий при наличии доступа к - учетной записи пользователя может взломать учетную запись + учётной записи пользователя может взломать учётную запись root. Однако, реальность такова, что в хорошо - защищенной и поддерживаемой системе доступ к учетной записи пользователя + защищенной и поддерживаемой системе доступ к учётной записи пользователя не обязательно даст атакующему доступ к root. - Разница между доступом к обычной учетной записи и к + Разница между доступом к обычной учётной записи и к root важна, поскольку без доступа к root атакующий обычно не способен скрыть свои действия, и в худшем случае сможет лишь испортить файлы пользователя или - вызвать крах системы. Взлом пользовательских учетных записей + вызвать крах системы. Взлом пользовательских учётных записей встречается очень часто, поскольку пользователи заботятся о безопасности так, как системные администраторы. @@ -230,12 +241,12 @@ Системные администраторы должны помнить, что существует множество - потенциальных способов взлома учетной записи root. + потенциальных способов взлома учётной записи root. Атакующий может узнать пароль root, найти ошибку в - сервисе, работающем с привилегиями и взломать учетную запись + сервисе, работающем с привилегиями и взломать учётную запись root через сетевое соединение с этим сервисом, или узнать об ошибке в suid-root программе, позволяющей атакующему взлом - root с помощью взломанной учетной записи + root с помощью взломанной учётной записи пользователя. Если атакующий нашел способ взлома root, ему может не понадобиться установка backdoor. Многие из обнаруженных и закрытых на сегодняшний день брешей @@ -254,7 +265,7 @@ - Защита root и служебных учетных + Защита root и служебных учётных записей. @@ -264,7 +275,7 @@ - Защита учетных записей пользователей. + Защита учётных записей пользователей. @@ -291,10 +302,10 @@ - Защита FreeBSD + Защита &os; безопасность - защита FreeBSD + защита &os; @@ -308,19 +319,19 @@ В последующем разделе будут рассмотрены методы защиты системы - FreeBSD, упомянутые в предыдущем разделе этой главы. - Защита учетной записи <username>root</username> и служебных - учетных записей + Защита учётной записи <username>root</username> и служебных + учётных записей su - Во-первых, не беспокойтесь о защите служебных учетных записей, - если не защищена учетная запись root. В - большинстве систем у учетной записи root есть + Во-первых, не беспокойтесь о защите служебных учётных записей, + если не защищена учётная запись root. В + большинстве систем у учётной записи root есть пароль. Использование пароля root опасно всегда. Это не означает, что вы должны удалить пароль. Пароль почти всегда необходим для доступа @@ -348,13 +359,13 @@ root, поэтому потребуется открыть несколько лазеек. Но убедитесь, что для доступа к ним необходим дополнительный пароль. Одним из способов доступа к - root является добавление соответствующих учетных + root является добавление соответствующих учётных записей к группе wheel (в файле /etc/group). Это позволяет использовать su для доступа к root. - Вы никогда не должны давать таким учетным записям доступ + Вы никогда не должны давать таким учётным записям доступ к wheel непосредственно, помещая их в группу - wheel в файле паролей. Служебные учетные + wheel в файле паролей. Служебные учётные записи должны помещаться в группу staff, а затем добавляться к группе wheel в файле /etc/group. Только те члены группы staff, @@ -362,12 +373,12 @@ должны быть помещены в группу wheel. При работе с такими методами аутентификации как Kerberos, возможно также использование файла .k5login в каталоге - пользователя root для доступа к учетной записи + пользователя root для доступа к учётной записи root с помощью &man.ksu.1; без помещения кого-либо в группу wheel. Это решение возможно лучше, поскольку механизм wheel все еще позволяет взлом root, если злоумышленник - получил копию файла паролей и смог взломать служебную учетную запись. + получил копию файла паролей и смог взломать служебную учётную запись. Хотя использование механизма wheel лучше, чем работа через root напрямую, это не обязательно самый безопасный способ. @@ -378,16 +389,16 @@ need of a rewrite, but we'll have to wait and see. ceri@ --> - Непрямой способ защиты служебных учетных записей и конечно + Непрямой способ защиты служебных учётных записей и конечно root это использование альтернативных методов доступа и замена зашифрованных паролей на символ *. Используя команду - &man.vipw.8;, замените каждый зашифрованный пароль служебных учетных + &man.vipw.8;, замените каждый зашифрованный пароль служебных учётных записей на этот символ для запрета входа с аутентификацией по паролю. Эта команда обновит файл /etc/master.passwd и базу данных пользователей/паролей. - Служебная учетная запись вроде этой: + Служебная учётная запись вроде этой: foobar:R9DT/Fa1/LV9U:1000:1000::0:0:Foo Bar:/home/foobar:/usr/local/bin/tcsh @@ -406,7 +417,7 @@ происходит вход (обычно это рабочая станция). Дополнительных слой защиты может быть добавлен путем защиты пары ключей при создании их с помощью &man.ssh-keygen.1;. Возможность заменить пароли служебных - учетных записей на * гарантирует + учётных записей на * гарантирует также, что вход может быть осуществлен только через защищенные методы доступа, которые вы настроили. Это принуждает всех членов staff использовать защищенные, шифрованные соединения для всех входов, @@ -429,8 +440,8 @@ Использование такой системы как Kerberos дает возможность заблокировать или изменить пароль в одном месте, что сразу - отразиться на всех компьютерах, где существует служебная учетная - запись. Если эта учетная запись будет взломана, возможность + отразиться на всех компьютерах, где существует служебная учётная + запись. Если эта учётная запись будет взломана, возможность немедленно изменить пароль на всех компьютерах нельзя недооценивать. Без этой возможности изменение паролей на N машинах может стать проблемой. Вы можете также наложить ограничения на смену паролей @@ -494,7 +505,7 @@ rshd или rlogind, отключите эти сервисы! - В FreeBSD сервисы + В &os; сервисы ntalkd, comsat и finger теперь по умолчанию работают в @@ -504,7 +515,7 @@ необходимые для запуска named в песочнице аргументы в закомментированой форме. В зависимости от того, устанавливаете ли вы новую систему, или - обновляете старую, учетные записи пользователей, используемые + обновляете старую, учётные записи пользователей, используемые этими песочницами могут не быть созданы. Предусмотрительный системный администратор должен узнать о песочницах для сервисов и установить их если есть @@ -545,11 +556,11 @@ Если нарушитель сможет взломать sgid-kmem исполняемый файл, он возможно сможет прочесть /dev/kmem и таким образом получить файл зашифрованных паролей, что потенциально - делает возможным взлом любой защищенной паролем учетной записи. + делает возможным взлом любой защищённой паролем учётной записи. Аналогично нарушитель, проникший в группу kmem, - может отслеживать последовательности клавиш, отправленные через - псевдотерминалы, включая псевдотерминалы, используемые через - безопасные соединения. Нарушитель, вошедший в группу + может отслеживать последовательности клавиш, отправляемые через + псевдотерминалы, включая те, что используют защищённые соединения. + Нарушитель, вошедший в группу tty может сделать вывод почти на любой пользовательский терминал. Если пользователь работает с терминальной программой или эмулятором с возможностью эмуляции @@ -559,17 +570,17 @@ - Защита учетных записей пользователей + Защита учётных записей пользователей Учетные записи пользователей обычно сложнее всего защитить. - Вы можете ввести драконовские ограничения доступа к служебным учетным + Вы можете ввести драконовские ограничения доступа к служебным учётным записям, заменив их пароли на символ *, но возможно не сможете сделать - то же с обычными учетными записями пользователей. Если есть - такая возможность, вы возможно сможете защитить учетные записи + то же с обычными учётными записями пользователей. Если есть + такая возможность, вы возможно сможете защитить учётные записи пользователей соответствующим образом. Если нет, просто - более бдительно отслеживайте эти учетные записи. Использование - ssh и Kerberos для учетных записей пользователей более + более бдительно отслеживайте эти учётные записи. Использование + ssh и Kerberos для учётных записей пользователей более проблематично, поскольку требует дополнительной административной работы и технической поддержки, но все же это решение лучше, чем файл с шифрованными паролями. @@ -580,7 +591,7 @@ Единственный абсолютно надежный способ это замена на * максимально возможного количества паролей и - использование ssh или Kerberos для доступа к таким учетным записям. + использование ssh или Kerberos для доступа к таким учётным записям. Хотя файл с шифрованными паролями (/etc/spwd.db) доступен для чтения только root, возможно, что нарушитель сможет получить доступ на чтение к этому файлу, даже если @@ -599,7 +610,7 @@ Если атакующий взломает root, он сможет сделать практически все, но есть способы усложнить его задачу. Например, в большинстве современных ядер встроено устройство - перехвата пакетов. В FreeBSD оно называется + перехвата пакетов. В &os; оно называется bpf. Нарушитель обычно пытается запустить перехват пакетов на взломанной машине. Вы не должны предоставлять ему такой возможности, на большинстве систем устройство @@ -703,7 +714,7 @@ но его гораздо сложнее использовать. Хороший скрипт безопасности проверит также изменения в файлах - настройки, работающих при подключении пользователей и служебных учетных + настройки, работающих при подключении пользователей и служебных учётных записей: .rhosts, .shosts, .ssh/authorized_keys и так далее… @@ -815,35 +826,36 @@ в остальных случаях. Вы также должны быть очень осторожны с сервисами, совершающими - обратное подключение, такими как tcpwrapper - с reverse-identd, который может быть атакован непосредственно. - По этой причине возможность tcpwrappers - reverse-ident обычно не следует использовать. + обратное подключение, например, с TCP + Wrapper и его обратным identd-запросом, который может + быть атакован напрямую. По этой причине возможность TCP + Wrapper генерировать обратный ident обычно не следует + использовать. Правильным будет запрет доступа к внутренним сервисам из внешней - сети путем соответствующей настройки межсетевого экрана на внешнем + сети путем соответствующей настройки брандмауэра на внешнем маршрутизаторе. Идея в том, чтобы предотвратить перегрузку сервисов атаками из внешней сети, а кроме того защитить root от взлома через сеть. Всегда настраивайте - исключающий межсетевой экран, т.е. закрыть все + исключающий брандмауэр, т.е. закрыть все кроме портов A, B, C, D, и M-Z. Этим способом вы можете закрыть все порты нижнего диапазона, кроме явно указанных, таких как named (если вы поддерживаете интернет-зону), ntalkd, sendmail, и других сервисов, доступных - из интернет. Если вы попробуете настроить межсетевой экран другим - способом — включающий, или разрешающий межсетевой экран, есть + из интернет. Если вы попробуете настроить брандмауэр другим + способом — включающий, или разрешающий брандмауэр, есть большой шанс забыть закрыть пару сервисов, или - добавить новый внутрисетевой сервис и забыть обновить межсетевой - экран. Вы можете открыть диапазон портов с большими номерами + добавить новый внутрисетевой сервис и забыть обновить брандмауэр. + Вы можете открыть диапазон портов с большими номерами для обычных приложений без угрозы портам нижнего диапазона. - Учтите также, что FreeBSD позволяет вам контролировать диапазоны + Учтите также, что &os; позволяет вам контролировать диапазоны портов, используемые для динамической привязки через различные переменные sysctl net.inet.ip.portrange (sysctl -a | fgrep portrange), что позволяет упростить настройку - межсетевого экрана. Например, вы можете использовать обычный + брандмауэра. Например, вы можете использовать обычный диапазон портов со значениями от 4000 до 5000, и диапазон портов с большими номерами от 49152 до 65535, а затем заблокировать все до 4000 порта (конечно оставив доступ из интернет к определенным @@ -872,7 +884,7 @@ ICMP ответами. Этот тип атаки может также обрушить сервер, когда тот исчерпает mbuf, обычно если сервер не может ограничить число ответов ICMP, когда они генерируются слишком быстро. В ядре - FreeBSD есть новая опция сборки, , + &os; есть новая опция сборки, , которая ограничивает эффективность этого типа атак. Последний основной класс springboard атак относится к определенным внутренним сервисам inetd, таким как @@ -948,7 +960,7 @@ для доступа к другим компьютерам, на которых они действуют. Мы рекомендуем использовать ssh в комбинации с Kerberos - для служебных учетных записей если это возможно. + для служебных учётных записей если это возможно. ssh может быть собран с поддержкой Kerberos. Это уменьшает зависимость от потенциально подверженных взлому ssh ключей, и в то же время защищает пароли через @@ -985,7 +997,7 @@ MD5 У каждого пользователя &unix; системы есть пароль, связанный с его - учетной записью. Очевидно, что эти пароли должны быть известны только + учётной записью. Очевидно, что эти пароли должны быть известны только пользователю и соответствующей операционной системе. Для защиты паролей они шифруются способом, известным как односторонний хэш, то есть их можно легко зашифровать, но нельзя расшифровать. Другими @@ -999,30 +1011,30 @@ К сожалению, единственный способ шифрования пароля при появлении &unix; был основан на DES, Data Encryption Standard. Это не было проблемой для пользователей, живущих в США, но поскольку исходный код - DES нельзя было экспортировать из США, FreeBSD нашла способ одновременно + DES нельзя было экспортировать из США, &os; нашла способ одновременно не нарушать законов США и сохранить совместимость со всеми другими вариантами &unix;, где все еще использовался DES. Решение было в разделении библиотек шифрования, чтобы пользователи в США могли устанавливать и использовать библиотеки DES, а у остальных пользователей был метод шифрования, разрешенный к экспорту. Так - FreeBSD пришла к использованию MD5 в качестве метода шифрования по + &os; пришла к использованию MD5 в качестве метода шифрования по умолчанию. MD5 считается более безопасным, чем DES, поэтому установка DES рекомендуется в основном из соображений совместимости. Определения механизма шифрования - До FreeBSD 4.4 libcrypt.a была + До &os; 4.4 libcrypt.a была символической ссылкой на библиотеку, используемую для шифрования. - В FreeBSD 4.4 libcrypt.a была изменена + В &os; 4.4 libcrypt.a была изменена для предоставления настраиваемой библиотеки аутентификации по хэшу пароля. На данный момент библиотека поддерживает хэши DES, MD5 и - Blowfish. По умолчанию FreeBSD использует для шифрования паролей + Blowfish. По умолчанию &os; использует для шифрования паролей MD5. Довольно легко определить какой метод шифрования используется - в FreeBSD. Один из способов это проверка файла + в &os;. Один из способов это проверка файла /etc/master.passwd. Пароли, зашифрованные в хэш MD5 длиннее, чем те, что зашифрованы с помощью DES и начинаются с символов $1$. Пароли, начинающиеся @@ -1053,13 +1065,13 @@ S/Key это схема с одноразовыми паролями, основанная на одностороннем - хэше. FreeBSD использует хэш MD4 для совместимости, но другие системы - используют MD5 и DES-MAC. S/Key была частью базовой системы FreeBSD + хэше. &os; использует хэш MD4 для совместимости, но другие системы + используют MD5 и DES-MAC. S/Key была частью базовой системы &os; начиная с версии 1.1.5 и используется также во все большем числе операционных систем. S/Key это зарегистрированная торговая марка Bell Communications Research, Inc. - Начиная с FreeBSD версии 5.0, S/Key была замещена на функциональный + Начиная с &os; версии 5.0, S/Key была замещена на функциональный эквивалент — OPIE (One-time Passwords In Everything). OPIE по умолчанию использует MD5. @@ -1097,7 +1109,7 @@ выдает результат в виде шести коротких слов на английском. Эти шесть слов на английском и есть ваш одноразовый пароль. Система аутентификации (как правило PAM) хранит последний использованный - одноразовый пароль, и пользователь аутентифицитуется если хэш вводимого + одноразовый пароль, и пользователь аутентифицируется если хэш вводимого пользователем пароля совпадает с предыдущим паролем. Поскольку используется односторонний хэш, невозможно сгенерировать следующий одноразовый пароль если получен предыдущий; счетчик цикла уменьшается @@ -1376,7 +1388,7 @@ Enter secret pass phrase: <secret password> безопасности на этот файл. Если файла /etc/skey.access нет (это - ситуация по умолчанию в системах FreeBSD 4.X), всем пользователям + ситуация по умолчанию в системах &os; 4.X), всем пользователям будет разрешено входить с паролями &unix;. Если файл существует, использование S/Key станет обязательно для всех, если только параметры настройки в файле skey.access не @@ -1414,7 +1426,7 @@ permit port ttyd0 OPIE может ограничивать использование паролей &unix; на основе IP адреса как и S/Key. Соответствующий файл называется /etc/opieaccess, он существует по умолчанию в - FreeBSD 5.0 и более современных системах. Обратитесь к + &os; 5.0 и более современных системах. Обратитесь к &man.opieaccess.5; за более подробной информацией об этом файле и о предосторожностях, которые вы должны предпринять при использовании этого файла. @@ -1469,13 +1481,13 @@ permit port ttyd0 Wrappers не только предоставляют дополнительный уровень защиты, но и дают больше контроля над системой, чем это возможно с брандмауэром. - + + Расширенная функциональность обработчиков TCP + не может заменить хороший сетевой экран. Тем не менее, обработчики + TCP могут использоваться совместно с сетевым экраном + и другими средствами обеспечения информационной безопасности, обеспечивая + тем самым дополнительный уровень защиты системы. + Поскольку рассматривается расширение к настройкам inetd, предполагается, что читатель ознакомился с разделом о настройке @@ -1686,28 +1698,30 @@ sendmail : PARANOID : deny контролируемыми. Последующие инструкции могут использоваться в качестве руководства - по настройке поставляемого с FreeBSD Kerberos. Тем не менее, вам + по настройке поставляемого с &os; Kerberos. Тем не менее, вам могут потребоваться страницы справочника полного дистрибутива. Установка <application>KerberosIV</application> MIT + KerberosIV установка + Kerberos это опциональный компонент &os;. Простейший способ установки этой программы это выбор krb4 или krb5 из sysinstall - во время первой установки FreeBSD. Будет установлен + во время первой установки &os;. Будет установлен eBones (KerberosIV) или Heimdal (Kerberos5) вариант Kerberos. Включение этих реализаций объясняется тем, что они разработаны вне США/Канады и доступны вне этих стран, поскольку на них не влияют ограничения на экспорт криптографического кода из США. - Кроме того, реализация MIT Kerberos доступна из коллекции портов + Кроме того, реализация MIT Kerberos доступна из Коллекции Портов в виде пакета security/krb5. @@ -1816,6 +1830,7 @@ Master key entered. BEWARE! KerberosIV + первый запуск @@ -2020,10 +2035,10 @@ Password changed. Kerberos позволяет назначить каждому пользователю, который нуждается в привилегиях root, свой собственный - пароль &man.su.1;. Необходимо добавить учетную запись, которой + пароль &man.su.1;. Необходимо добавить учётную запись, которой разрешено получать root доступ через &man.su.1;. - Это делается путем связывания учетной записи root - с пользовательской учетной записью. Создадим в базе данных Kerberos + Это делается путем связывания учётной записи root + с пользовательской учётной записью. Создадим в базе данных Kerberos запись jane.root с помощью kdb_edit: @@ -2112,7 +2127,7 @@ jack@EXAMPLE.COM EXAMPLE.COM, кто аутентифицировался как jane или jack (с помощью команды kinit, см. выше) - получить доступ к учетной пользователя jane + получить доступ к учётной записи пользователя jane или файлам этой системы (grunt) через &man.rlogin.1;, &man.rsh.1; или &man.rcp.1;. @@ -2129,10 +2144,10 @@ Copyright (c) 1980, 1983, 1986, 1988, 1990, 1991, 1993, 1994 FreeBSD BUILT-19950429 (GR386) #0: Sat Apr 29 17:50:09 SAT 1995 - Или jack входит в учетную запись + Или jack входит в учётную запись jane's на этом же компьютере (файл .klogin jane - настроен как показано выше, и в Kerberos настроена учетная + настроен как показано выше, и в Kerberos настроена учётная запись jack): &prompt.user; kinit @@ -2187,7 +2202,7 @@ FreeBSD BUILT-19950429 (GR386) #0: Sat Apr 29 17:50:09 SAT 1995 прокси система идентификации-проверки. Она также может быть описана как защищенная внешняя система аутентификации. Kerberos предоставляет только одну функцию - — защищенную аутентификацию пользователей сети. Он не предоставляет + — защищенную аутентификацию пользователей сети. Он не предоставляет функций авторизации (что разрешено делать пользователям) или функций аудита (какой пользователь что делает). После того, как клиент и сервер использовали @@ -2275,7 +2290,7 @@ FreeBSD BUILT-19950429 (GR386) #0: Sat Apr 29 17:50:09 SAT 1995 Настройка Heimdal <acronym>KDC</acronym> Kerberos5 - настройка центра распространения ключей + центр распространения ключей Центр распространения ключей (Key Distribution Center, @@ -2317,6 +2332,7 @@ kerberos_stash="YES" [realms] EXAMPLE.ORG = { kdc = kerberos.example.org + admin_server = kerberos.example.org } [domain_realm] .example.org = EXAMPLE.ORG @@ -2344,6 +2360,16 @@ _kpasswd._udp IN SRV 01 00 464 kerberos.example.org. _kerberos-adm._tcp IN SRV 01 00 749 kerberos.example.org. _kerberos IN TXT EXAMPLE.ORG. + + Чтобы клиенты могли найти сервисы + Kerberos, + необходимо наличие или полностью + настроенного /etc/krb5.conf или минимально + настроенного /etc/krb5.conf + и правильно настроенного DNS + сервера. + + Создадим теперь базу данных Kerberos. Эта база данных содержит ключи всех основных хостов, зашифрованных с помощью главного пароля. Вам не требуется помнить этот пароль, @@ -2388,7 +2414,8 @@ Verifying password - Password: xxxxxxxx Теперь пришло время запустить сервисы KDC. Выполните команды /etc/rc.d/kerberos start и /etc/rc.d/kadmind start для запуска сервисов. - Ни один из поддерживающих Kerberos + Заметьте, что ни один из поддерживающих + Kerberos даемонов на этот момент запущен не будет, но у вас должна быть возможность убедиться в том, что KDC функционирует путем получения списка доступа для пользователя, которого вы только @@ -2514,7 +2541,7 @@ kadmin> exit Kerberos5 - настройка клиента + настройка клиентов Настройка клиентского компьютера почти тривиально проста. @@ -2575,25 +2602,28 @@ kadmin> exit и .k5users - Kerberos5 - пользовательские файлы настройки + .k5login + + + + .k5users - Учетные записи пользователя в + Учётные записи пользователя в Kerberos (например tillman@EXAMPLE.ORG) обычно связаны с - локальными учетными записями (например с локальной учетной записью6 + локальными учётными записями (например с локальной учётной записью6 tillman). Клиентские приложения, такие как telnet, обычно не требуют указания имени - пользователя или учетной записи. + пользователя или учётной записи. Тем не менее, время от времени вам может потребоваться дать - доступ к локальной учетной записи кому-то, у кого нет - соответствующей учетной записи Kerberos. + доступ к локальной учётной записи кому-то, у кого нет + соответствующей учётной записи Kerberos. Например, пользователю tillman@EXAMPLE.ORG - может потребоваться доступ к локальной учетной записи - webdevelopers. Другим учетным записям - также может потребоваться доступ к этой локальной учетной + может потребоваться доступ к локальной учётной записи + webdevelopers. Другим учётным записям + также может потребоваться доступ к этой локальной учётной записи. Файлы .k5login и @@ -2608,8 +2638,8 @@ kadmin> exit jdoe@example.org помещен в домашний каталог локального пользователя - webdevelopers, то обе упомянутые учетные - записи получат доступ к этой учетной записи без необходимости + webdevelopers, то обе упомянутые учётные + записи получат доступ к этой учётной записи без необходимости наличия общего пароля. Рекомендуется прочитать страницу справочника по этим командам. @@ -2651,9 +2681,9 @@ jdoe@example.org не стандартизован. - Если вы изменяете hostname, потребуется также изменить - учетную запись host/ и обновить keytab. + учётную запись host/ и обновить keytab. Это также необходимо для специальных записей в keytab, таких как www/ запись модуля Apache www/mod_auth_kerb. @@ -2686,7 +2716,7 @@ jdoe@example.org умолчанию, используйте команду modify_principal в kadmin для изменения maxlife доступа к самой - учетной записи и к учетной записи krbtgt. + учётной записи и к учётной записи krbtgt. Затем возможно использование kinit с параметром -l для запроса доступа с большим временем действия. @@ -2732,9 +2762,9 @@ jdoe@example.org Запомните, что время жизни билетов хостов больше. - Если время жизни билета для учетной записи пользователя - составляет неделю, а время жизни учетной записи хоста, к - которому вы подсоединяетесь девять часов, учетная запись хоста + Если время жизни билета для учётной записи пользователя + составляет неделю, а время жизни учётной записи хоста, к + которому вы подсоединяетесь девять часов, учётная запись хоста в кэше устареет и кэш билетов будет работать не так, как ожидается. @@ -2744,7 +2774,7 @@ jdoe@example.org предотвращение использования определенных плохих паролей (страница справочника для kadmind кратко рассказывает об этом), запомните, что это применимо только - к учетным записям, для которых действует политика паролей. + к учётным записям, для которых действует политика паролей. Формат файла krb5.dict прост: одно слово на строку. Может помочь создание символической ссылки на /usr/share/dict/words. @@ -2767,7 +2797,7 @@ jdoe@example.org Опции командной строки клиентов также могут немного отличаться для одинаковых задач. Рекомендуется следование инструкциям на MIT Kerberos - веб сайте (). + Web-сайте (). Будьте внимательны при определении PATH: порт MIT устанавливается по умолчанию в /usr/local/, и если в PATH @@ -2927,933 +2957,6 @@ jdoe@example.org - - - - - Gary - Palmer - Предоставили - - - Alex - Nash - - - - - Межсетевые экраны - firewall - - безопасность - межсетевые экраны - - - Интерес к межсетевым экранам (брандмауэр, firewall) со стороны людей, - подключенных к интернет, все возрастает и появились даже приложения - для локальной сети, предоставляющие повышенный уровень безопасности. - В этом разделе мы надеемся изложить что такое межсетевые экраны, как - их использовать, и как использовать возможности, предоставляемые - ядром FreeBSD для их реализации. - - - Люди часто думают, что наличие межсетевого экрана между - внутренней сетью и Большим плохим интернетом решит все - их проблемы безопасности. Это может помочь, но плохо настроенный - межсетевой экран представляет более серьезную угрозу безопасности, - чем его полное отсутствие. Межсетевой экран добавляет еще один - уровень безопасности вашим системам, но не может остановить - проникновение решительно настроенного взломщика в вашу сеть. Если - вы снижаете внутреннюю безопасность системы, поскольку верите в - надежность межсетевого экрана, это существенно упрощает работу - взломщика. - - - - Что такое межсетевой экран? - - Есть два четко различающихся типа межсетевых экранов, повседневно - используемых в современном интернет. Первый тип правильнее называть - маршрутизатор с фильтрацией пакетов. Этот тип - межсетевого экрана работает на машине, подключенной к нескольким сетям - и применяет к каждому пакету набор правил, определяющий переправлять - ли этот пакет или блокировать. Второй тип, известный как - прокси сервер, реализован в виде даемонов, - выполняющих аутентификацию и пересылку пакетов, возможно на - машине с несколькими сетевыми подключениями, где пересылка - пакетов в ядре отключена. - - Иногда эти два типа межсетевых экранов используются вместе, так - что только определенной машине (известной как защитный - хост (bastion host)) позволено отправлять пакеты через - фильтрующий маршрутизатор во внутреннюю сеть. Прокси сервисы работают - на защитном хосте, что обычно более безопасно, чем обычные механизмы - аутентификации. - - FreeBSD поставляется с встроенным в ядро фильтром пакетом - (известным как IPFW), ему будет посвящена оставшаяся часть раздела. - Прокси серверы могут быть собраны на FreeBSD из программного - обеспечения сторонних разработчиков, но их слишком много и невозможно - описать их в этом разделе. - - - Маршрутизаторы с фильтрацией пакетов - - Маршрутизатор это машина, пересылающая пакеты между двумя или - несколькими сетями. Маршрутизатор с фильтрацией пакетов - запрограммирован на сравнение каждого пакета со списком правил - перед тем как решить, пересылать его или нет. Большинство - современного программного обеспечения маршрутизации имеет - возможности фильтрации, и по умолчанию пересылаются все пакеты. - Для включения фильтров, вам потребуется определить набор - правил. - - Для определения того, должен ли быть пропущен пакет, межсетевой - экран ищет в наборе правило, совпадающее с содержимым заголовков - пакета. Как только совпадение найдено, выполняется действие, - присвоенное данному правилу. Действие может заключаться в - отбрасывании пакета, пересылке пакета, или даже в отправлении - ICMP сообщения в адрес источника. Учитывается только первое - совпадение, поскольку правила просматриваются в определенном - порядке. Следовательно, список правил можно назвать - цепочкой правил. - - Критерий отбора пакетов зависит от используемого программного - обеспечения, но обычно вы можете определять правила, зависящие от - IP адреса источника пакета, IP адреса назначения, номера порта - источника пакета, номера порта назначения (для протоколов, - поддерживающих порты), или даже от типа пакета (UDP, TCP, ICMP, - и т.д.). - - - - Прокси серверы - - Прокси серверы это компьютеры, где обычные системные даемоны - (telnetd, - ftpd, и т.д.) заменены специальными - серверами. Эти серверы называются прокси - серверами, поскольку они обычно работают только с - входящими соединениями. Это позволяет запускать (например) - telnet прокси сервер на межсетевом - экране, и делать возможным вход по telnet - на межсетевой экран, прохождение механизма аутентификации, - и получение доступа к внутренней сети (аналогично, прокси серверы - могут быть использованы для выхода во внешнюю сеть). - - Прокси серверы обычно лучше защищены, чем другие серверы, - и зачастую имеют более широкий набор механизмов аутентификации, - включая системы одноразовых паролей, так что - даже если кто-то узнает, какой пароль вы использовали, он не - сможет использовать его для получения доступа к системе, - поскольку срок действия пароля истекает немедленно после его - первого использования. Поскольку пароль не дает доступа - непосредственно к компьютеру, на котором находится прокси-сервер, - становится гораздо сложнее установить в систему - backdoor. - - Прокси серверы обычно имеют способ дополнительного ограничения - доступа, так что только определенные хосты могут получить доступ - к серверам. Большинство также позволяют администратору указывать, - пользователей и компьютеры, к которым они могут обращаться. - Опять же доступные возможности в основном зависят от используемого - программного обеспечения. - - - - - Что позволяет делать IPFW? - ipfw - - Программное обеспечение IPFW, поставляемое с - FreeBSD, это система фильтрации и учета пакетов, находящаяся в ядре - и снабженная пользовательской утилитой настройки, &man.ipfw.8;. - Вместе они позволяют определять и просматривать правила, используемые - ядром при маршрутизации. - - IPFW состоит из двух связанных частей. Межсетевой экран - осуществляет фильтрацию пакетов. Часть, занимающаяся учетом - IP пакетов, отслеживает использование маршрутизатора на основе - правил подобных тем, что используются в части межсетевого экрана. - Это позволяет администратору определять, например, объем трафика, - полученного маршрутизатором от определенного компьютера, или объем - пересылаемого WWW трафика. - - Благодаря тому, как реализован IPFW, вы можете использовать - его и на компьютерах, не являющихся маршрутизаторами для фильтрации - входящих и исходящих соединений. Это особый случай более общего - использования IPFW, и в этой ситуации используются те же команды - и техника. - - - - Включение IPFW в FreeBSD - - ipfw - включение - - - Поскольку основная часть системы IPFW находится в ядре, - вам потребуется добавить один или несколько параметров в файл - настройки ядра, в зависимости от требуемых возможностей, и пересобрать - ядро. Обратитесь к главе о пересборке ядра () за подробным описанием этой процедуры. - - - Правилом IPFW по умолчанию является deny ip from any to - any. Если вы не добавите других правил во время загрузки - для разрешения доступа, то заблокируете доступ - к серверу с включенным в ядро межсетевым экраном после перезагрузки. - Мы предлагаем указать firewall_type=open в - файле /etc/rc.conf при первоначальном - добавлении межсетевого экрана, а затем, после тестирования - его работоспособности, отредактировать правила в файле - /etc/rc.firewall. Дополнительной - предосторожностью может быть первоначальная настройка межсетевого - экрана с локальной консоли, вместо входа через - ssh. Кроме того, возможна сборка - ядра с параметрами IPFIREWALL и - IPFIREWALL_DEFAULT_TO_ACCEPT. В этом случае - правило IPFW по умолчанию будет изменено на allow ip from - any to any, что предотвратит возможную блокировку. - - - Существует четыре параметра настройки ядра, относящихся к - IPFW: - - - - options IPFIREWALL - - - Включает в ядро код для фильтрации пакетов. - - - - - options IPFIREWALL_VERBOSE - - - Включает протоколирование пакетов через &man.syslogd.8;. - Без этого параметра, даже если вы укажете в правилах фильтрации - протоколировать пакеты, это не сработает. - - - - - options IPFIREWALL_VERBOSE_LIMIT=10 - - - Ограничивает число пакетов, протоколируемых каждым правилом - через &man.syslogd.8;. Вы можете использовать этот параметр - если хотите протоколировать работу межсетевого экрана, но не - хотите делать возможной DoS атаку путем переполнения - syslog. - - Когда для одного из правил в цепочке достигается - определенный параметром предел, протоколирование для этого - правила выключается. Для включения протоколирования, - вам потребуется сбросить соответствующий счетчик с помощью - утилиты &man.ipfw.8;: - - &prompt.root; ipfw zero 4500 - где 4500 это номер правила, для которого вы хотите - возобновить протоколирование. - - - - - options IPFIREWALL_DEFAULT_TO_ACCEPT - - - Изменяет правило по умолчанию с deny на - allow. Это предотвращает возможное блокирование, - если ядро загружено с поддержкой IPFIREWALL, - но межсетевой экран еще не настроен. Этот параметр также - полезен, если вы используете &man.ipfw.8; в качестве средства - от определенных проблем по мере их возникновения. Тем не менее, - используйте параметр с осторожностью, поскольку он открывает - межсетевой экран и изменяет его поведение. - - - - - Предыдущие версии FreeBSD содержали параметр - IPFIREWALL_ACCT. Этот параметр устарел, поскольку - код автоматически включает возможность учета. - - - - - Настройка IPFW - - ipfw - настройка - - - Настройка программного обеспечения IPFW выполняется с помощью - утилиты &man.ipfw.8;. Синтаксис этой команды выглядит очень сложным, - но он становится относительно прост как только вы поймете его - структуру. - - В настоящее время утилита использует четыре различных категории - команд: добавление/удаление (addition/deletion), просмотр (listing), - сброс (flushing) и очистка (clearing). Добавление/удаление - используется для создания правил, определяющих как пакеты принимаются, - отбрасываются и протоколируются. Просмотр используется для - определения содержимого набора правил (называемого еще цепочкой) и - счетчиков пакетов (учет). Сброс используется для удаления всех - правил цепочки. Очистка используется для обнуления одного или - нескольких счетчиков. - - - Изменение правил IPFW - - Синтаксис этой формы команды такой: - - ipfw - -N - команда - номер - действие - log - протокол - адреса - параметры - - - При использовании этой формы команды доступен один - флаг: - - - - -N - - - Разрешение адресов и имен сервисов при отображении. - - - - - Задаваемая команда может быть сокращена - до более короткой уникальной формы. Существующие - команды: - - - - add - - - Добавление правила к списку фильтрации/учета - - - - - delete - - - Удаление правила из списка фильтрации/учета - - - - - Предыдущие версии IPFW использовали отдельные записи для - фильтрации и учета пакетов. Современные версии учитывают - пакеты для каждого правила. - - Если указано значение номер, оно - используется для помещения правила на определенную позицию в - цепочке. Иначе правило помещается в конец цепочки с номером - на 100 больше, чем у предыдущего правила (сюда не включается - правило по умолчанию с номером 65535). - - С параметром log соответствующие правила - выводят информацию на системную консоль, если ядро собрано с - опцией IPFIREWALL_VERBOSE. - - Существующие действия: - - - - reject - - - Отбросить пакет и отправить в адрес источникаICMP пакет, - сообщающий о недостижимости хоста или порта. - - - - - allow - - - Пропустить пакет как обычно. (синонимы: - pass, permit, и - accept) - - - - - deny - - - Отбросить пакет. Источнику не выдается ICMP сообщение - (как если бы пакет вообще не достиг цели). - - - - - count - - - Обновить счетчик пакета, но не применять по отношению к - нему правила allow/deny. Поиск продолжится со следующего - правила в цепочке. - - - - - Каждое действие может быть записано в - виде более короткого уникального префикса. - - Могут быть определены следующие - протоколы: - - - - all - - - Соответствует всем IP пакетам - - - - - icmp - - - Соответствует ICMP пакетам - - - - - tcp - - - Соответствует TCP пакетам - - - - - udp - - - Соответствует UDP пакетам - - - - - Поле адреса формируется так: - - - источник - адрес/маскапорт - цель - адрес/маскапорт - via интерфейс - - - Вы можете указать port только - вместе с протоколами, поддерживающими - порты (UDP и TCP). - - Параметр опционален и может содержать IP - адрес или имя домена локального IP интерфейса, или имя интерфейса - (например ed0), он настраивает правило - на соответствие только тем пакетам, которые проходят через этот - интерфейс. Номера интерфейсов могут быть заменены на опциональную - маску. Например, ppp* будет соответствовать - PPP интерфейсам ядра. - - Синтаксис, используемый для указания - адреса/маски: - - адрес - - или - - адрес/маска-биты - - или - - адрес:маска-шаблон - - - Вместо IP адреса возможно указание существующего имени хоста. - это - десятичный номер, указывающий количество бит, которые должны быть - установлены в маске адреса. Например, - 192.216.222.1/24 создаст маску, - соответствующую всем адресам подсети класса C (в - данном случае, 192.216.222). -A valid hostname may be specified in place of the IP address. - это - IP, который будет логически перемножен с заданным адресом. - Ключевое слово any может использоваться для - обозначения любого IP адреса. - - Номера портов указываются в следующем формате: - - - порт,порт,порт - - - для указания одного порта или списка портов, или - - - порт-порт - - - для указания диапазона портов. Вы можете также комбинировать - указание одного диапазона со списком портов, но диапазон всегда - должен указываться первым. - - Доступные параметры: - - - - frag - - - Срабатывает, если пакет не является первым пакетом - дейтаграммы. - - - - - in - - - Соответствует входящим пакетам. - - - - - out - - - Соответствует исходящим пакетам. - - - - - ipoptions spec - - - Срабатывает, если заголовок IP содержит перечисленный - через запятую список параметров, указанных в - spec. Поддерживаемые параметры IP: - ssrr (strict source route), - lsrr (loose source route), - rr (record packet route), и - ts (time stamp). Действие отдельных - параметров может быть изменено путем указания префикса - !. - - - - - established - - - Срабатывает, если пакет является частью уже установленного - TCP соединения (т.е. если установлены биты RST или ACK). - Вы можете поднять производительность межсетевого экрана, - поместив правило с established близко - к началу цепочки. - - - - - setup - - - Соответствует, если пакет является попыткой установки - TCP соединения (установлен бит SYN, а бит ACK не - установлен). - - - - - tcpflags флаги - - - Срабатывает, если заголовок TCP содержит список - перечисленных через запятую флагов. - Поддерживаемые флаги: - fin, syn, - rst, psh, - ack, и urg. Действие - правил по отдельным флагам может быть изменено указанием - префикса !. - - - - - icmptypes типы - - - Срабатывает, если тип пакета ICMP находится в списке - типы. Список может быть указан - в виде любой комбинации диапазонов и/или отдельных типов, - разделенных запятыми. Обычно используемые типы ICMP: - 0 - echo reply (ping reply), 3 destination - unreachable, 5 redirect, - 8 echo request (ping request), и - 11 time exceeded (используется для - обозначения истечения TTL, как с &man.traceroute.8;). - - - - - - - Просмотр правил IPFW - - Синтаксис этой формы команды такой: - - ipfw - -a - -c - -d - -e - -t - -N - -S - list - - - Для этой формы команды существует семь флагов: - - - - -a - - - Показывать значения счетчиков. Этот параметр — - единственный путь для просмотра значений счетчиков. - - - - - -c - - - Просмотр правил в компактной форме. - - - - - -d - - - Показывать динамические правила в дополнение к - статическим. - - - - - -e - - - Если определен параметр , показывать - также динамические правила с истекшим сроком действия. - - - - - -t - - - Отображать последнее время срабатывание для каждого - правила в цепочке. Этот список несовместим с синтаксисом, - принимаемым &man.ipfw.8;. - - - - - -N - - - Попытаться разрешить заданные адреса и имена - сервисов. - - - - - -S - - - Отображать набор, к которому принадлежит каждое правило. - Если этот флаг не указан, заблокированные правила не будут - отображены. - - - - - - - Сброс правил IPFW - - Синтаксис для сброса правил: - - ipfw - flush - - - Все правила в цепочке будут удалены, за исключением правила - по умолчанию, устанавливаемого ядром (номер 65535). Будьте - осторожны при сбросе правил; правило, отбрасывающее пакеты по - по умолчанию отключит систему от сети, пока разрешающие правила - не будут добавлены в цепочку. - - - - Очистка счетчиков пакетов IPFW - - Синтаксис для очистки одного или нескольких счетчиков - пакетов: - - ipfw - zero - index - - - При использовании без аргумента номер - будут очищены все счетчики пакетов. Если - index указан, операция очистки - применяется только к указанному правилу цепочки. - - - - - Примеры команд для <application>ipfw</application> - - Следующая команда запретит все пакеты с хоста evil.crackers.org на telnet порт хоста - nice.people.org: - - &prompt.root; ipfw add deny tcp from evil.crackers.org to nice.people.org 23 - - Следующий пример запрещает и протоколирует весь TCP трафик из - сети crackers.org (класса C) - к компьютеру nice.people.org - (на любой порт). - - &prompt.root; ipfw add deny log tcp from evil.crackers.org/24 to nice.people.org - - Если вы хотите запретить организацию X сессий в вашу сеть - (часть сети класса C), следующая команда осуществит необходимую - фильтрацию: - - &prompt.root; ipfw add deny tcp from any to my.org/28 6000 setup - - Для просмотра записей учета: - - &prompt.root; ipfw -a list - - или в краткой форме - - &prompt.root; ipfw -a l - - - Вы можете также просмотреть время последнего срабатывания правил - с помощью команды: - - &prompt.root; ipfw -at l - - - - Создание межсетевого экрана с фильтрацией пакетов - - - Следующие рекомендации означают только одно: рекомендации. - Требования к каждому межсетевому экрану различаются, и мы не - можем рассказать вам, как создать межсетевой экран, отвечающий - вашим потребностям. - - - При первоначальной настройке межсетевого экрана, до тестирования - производительности и введения сервера в строй, настоятельно - рекомендуется использовать версии команд с протоколированием и - включить протоколирование в ядре. Это позволит вам быстро выявить - проблемные области и исправить настройку без больших усилий. - Даже после завершения первоначальной настройки рекомендуется - использовать протоколирование для `deny', поскольку это позволяет - отслеживать возможные атаки и изменять правила межсетевого экрана, - если требования к нему изменятся. - - - Если вы используете версию команды accept - с протоколированием, будьте осторожны, поскольку она может - создать большой объем протокольных данных. - Будет произведено протоколирование каждого пакета, проходящего - через межсетевой экран, поэтому большие объемы FTP/http и другого - трафика существенно замедлят систему. Это также увеличит задержку - таких пакетов, поскольку ядру требуется выполнить дополнительную - работу перед тем, как пропустить пакет. - syslogd также будет использовать гораздо - больше времени процессора, поскольку он отправит все дополнительные - данные на диск, и раздел /var/log может быть - быстро заполнен. - - - Вам потребуется включить межсетевой экран в - /etc/rc.conf.local или - /etc/rc.conf. Соответствующая страница - справочника разъясняет что именно необходимо сделать и содержит - примеры готовых настроек. Если вы не используете предустановленную - настройку, команда ipfw list может поместить - текущий набор правил в файл, откуда он может быть помещен в - стартовые файлы системы. Если вы не используете - /etc/rc.conf.local или - /etc/rc.conf для включения межсетевого экрана, - важно убедиться в том, что он включается после настройки - интерфейсов. - - Далее необходимо определить, что именно - делает ваш межсетевой экран! Это в основном зависит от того, - насколько широкий доступ вы хотите открыть снаружи к вашей сети. - Вот несколько общих правил: - - - - Заблокируйте доступ снаружи к портам TCP с номерами ниже 1024. - Здесь расположена большая часть критичных для безопасности - сервисов, таких как finger, SMTP (почта) и telnet. - - - - Заблокируйте весь входящий трафик UDP. - Есть очень немного полезных сервисов, работающих через UDP, - но они обычно представляют угрозу безопасности (например, - Sun RPC и NFS протоколы). У этого способа есть и недостатки, - поскольку протокол UDP не поддерживает соединения, и запрещение - входящих пактов заблокирует также ответы на исходящий UDP трафик. - - Это может стать проблемой для тех, кто использует внешние серверы, - работающие с UDP. Если вы хотите открыть доступ к этим сервисам, - потребуется разрешить входящие пакеты с соответствующих портов. - К примеру, для ntp вам может - потребоваться разрешить пакеты, приходящие с порта 123. - - - - Заблокировать весь трафик снаружи к порту 6000. Порт 6000 - используется для доступа к серверам X11, и может быть угрозой - безопасности (особенно если у пользователей есть привычка - выполнять на своих рабочих станциях команду xhost - +). X11 может использовать диапазон портов, - начинающийся с 6000, верхний предел определяется количеством - X дисплеев, которые могут быть запущены на машине. Верхний - предел, определенный RFC 1700 (Assigned Numbers), равен - 6063. - - - - Проверьте порты, используемые внутренними сервисами - (например, SQL серверами и т.п.). Возможно хорошей идеей является - блокирование и этих портов, поскольку они обычно не попадают в - диапазон 1-1024, указанный выше. - - - - Еще один список для проверки настроек межсетевого экрана доступен - на CERT по адресу - - Как сказано выше, все эти правила всего лишь - руководство. Вы сами сможете решить, какие - правила фильтрации будут использованы в межсетевом экране. Мы не - можем нести НИКАКОЙ ответственности в случае взлома вашей сети, - даже если вы следовали советам, представленным выше. - - - - Накладные расходы и оптимизация IPFW - - Многие пользователи хотят знать, как сильно IPFW нагружает - систему. Ответ в основном зависит от набора правил и скорости - процессора. При небольшом наборе правил для большинства приложений, - работающих в Ethernet ответ незначительно. - Для тех, кому нужен более точный ответ, и предназначен этот - раздел. - - Последующие измерения были выполнены с 2.2.5-STABLE на - 486-66. (Хотя IPFW немного изменился в последующих релизах - FreeBSD, скорость осталась приблизительно той же.) IPFW был - модифицирован для измерения времени, затраченного - ip_fw_chk, с выводом на консоль результата - после каждого 1000–го пакета. - - Были протестированы два набора из 1000 правил. Первый - был составлен для демонстрации плохого набора правил путем повторения - правила: - - &prompt.root; ipfw add deny tcp from any to any 55555 - - Этот набор правил плох, поскольку большая часть правил IPFW - не соответствует проверяемым пакетам (из-за номера порта). - После 999–й итерации этого правила следует - правило allow ip from any to any. - - Второй набор правил был разработан для быстрейшей проверки - каждого правила: - - &prompt.root; ipfw add deny ip from 1.2.3.4 to 1.2.3.4 - - Не совпадающий IP адрес источника в правиле выше приведет к - очень быстрой проверке этих правил. Как и прежде, 1000–е - правило allow ip from any to any. - - Затраты на проверку пакета в первом случае приблизительно - 2.703 мс/пакет, или приблизительно 2.7 микросекунд на - правило. Теоретический предел скорости проверки около - 370 пакетов в секунду. Предполагая подключение через - 10 Mbps Ethernet и размер пакета приблизительно 1500 байт, - получаем только 55.5% использования пропускной способности. - - Во втором случае каждый пакет был проверен приблизительно за - 1.172 мс, или приблизительно 1.2 микросекунд на правило. - Теоретический предел скорости проверки около 853 пакетов в - секунду, что делает возможным полное использование пропускной - способности 10 Mbps Ethernet. - - Чрезмерное количество проверяемых правил и их вид не позволяет - составить картину близкую к обычным условиям — эти правила - были использованы только для получения информации о времени проверки. - Вот несколько рекомендаций, которые необходимо учесть для создания - эффективного набора правил: - - - - Поместите правило established как можно - раньше для обработки большей части TCP трафика. Не помещайте - перед ним правила allow tcp. - - - - Помещайте часто используемые правила ближе к началу набора - чем редко используемые (конечно же, без изменения - действия всего набора). Вы можете определить - наиболее часто используемые правила путем проверки счетчиков - пакетов командой ipfw -a l. - - - - - @@ -3885,8 +2988,8 @@ A valid hostname may be specified in place of the IP address. с OpenSSL. - В большинстве случаев в коллекции портов собирается - порт security/openssl, + В большинстве случаев в Коллекции Портов будет сделана попытка + построения порта security/openssl, если только переменная WITH_OPENSSL_BASE не установлена явно в yes. @@ -3895,8 +2998,7 @@ A valid hostname may be specified in place of the IP address. в &os;, поддерживает сетевые протоколы безопасности Secure Sockets Layer v2/v3 (SSLv2/SSLv3), Transport Layer Security v1 (TLSv1) и может быть использована - в качестве основной криптографической библиотеки для - приложений. + в качестве основной криптографической библиотеки. Хотя OpenSSL поддерживает алгоритм @@ -3907,14 +3009,15 @@ A valid hostname may be specified in place of the IP address. MAKE_IDEA. - Возможно наиболее часто OpenSSL - используется для предоставления сертификатов программным - пакетам. Эти сертификаты подтверждают, что данные компании + Наиболее часто OpenSSL + используется для создания сертификатов, используемых программными + пакетами. Эти сертификаты подтверждают, что данные компании или частного лица верны и не подделаны. Если рассматриваемый - сертификат не был проверен одним из нескольких Certificate - Authorities (CA), обычно выводится - предупреждение. Certificate Authority это компания, такая как - VeriSign, которая подписывает сертификаты для подтверждения + сертификат не был проверен одним из нескольких сертификационных центров + (Certificate Authorities - CA), обычно + выводится предупреждение. Центр сертификации представляет собой + компанию, такую, как + VeriSign, которая подписывает сертификаты для подтверждения данных частных лиц или компаний. Эта процедура не бесплатна и не является абсолютно необходимой для использования сертификатов; однако может успокоить некоторых особо осторожных @@ -3966,30 +3069,38 @@ An optional company name []:Another Name - Файл cert.pem должен находиться в - каталоге, из которого была выполнена вышеупомянутая команда. - Этот сертификат может быть отправлен одному из многих - CA для подписи. + В текущем каталоге, из которого была вызвана вышеуказанная + команда, должны появиться два файла. Файл + req.pem с запросом на сертификацию может быть + послан в центр выдачи сертификатов, который проверит введённые вами + подтверждающие данные, подпишет запрос и возвратит сертификат вам. + Второй созданный файл будет иметь название + cert.pem и содержать приватный сертификационный + ключ, который необходимо тщательно защищать; если он попадёт в руки + посторонних лиц, то может быть использован для имитации лично вас (или + вашего сервера). Когда подпись CA не требуется, может быть создан самоподписанный сертификат. Сначала создайте ключ - CA: + RSA: - &prompt.root; openssl gendsa -des3 -out \ -myca.key 1024 + &prompt.root; openssl dsaparam -rand -genkey -out myRSA.key 1024 + + Теперь создайте ключ CA: + + &prompt.root; openssl gendsa -des3 -out myca.key myRSA.key Используйте этот ключ при создании сертификата: - &prompt.root; openssl req -new -x509 -days 365 -key \ -myca.key -out new.crt + &prompt.root; openssl req -new -x509 -days 365 -key myca.key -out new.crt В каталоге должно появиться два новых файла: подпись сертификата, myca.key и сам сертификат, new.crt. Они должны быть помещены в каталог, доступный для чтения только root, - желательно внутри /etc. + желательно внутри /etc. Права на каталог можно изменить chmod с параметрами - 0600. + 0700. @@ -4020,12 +3131,12 @@ define(`confSERVER_CERT',`/etc/certs/new.crt')dnl define(`confSERVER_KEY',`/etc/certs/myca.key')dnl define(`confTLS_SRV_OPTIONS', `V')dnl - Где /etc/certs/ + Где /etc/certs/ это каталог для локального хранения сертификата и ключей. После настройки необходимо собрать локальный файл .cf. Это легко сделать, набрав make install - в каталоге /etc/mail. + в каталоге /etc/mail. Затем выполните команду make restart, которая должна запустить даемон Sendmail. @@ -4078,7 +3189,12 @@ Connection closed by foreign host. + + IPsec + + VPN через IPsec + Создание VPN между двумя сетями, соединенными через интернет, с использованием шлюзов FreeBSD. @@ -4113,26 +3229,41 @@ Connection closed by foreign host. FreeBSD 5.X содержит аппаратно - поддерживаемый стек IPsec, известный как Fast - IPsec, заимствованный из OpenBSD. Для оптимизации - производительности IPsec он задействует криптографическое - оборудование (когда оно доступно) через подсистему &man.crypto.4;. - Это новая подсистема и она не поддерживает всех возможностей, - доступных в KAME версии IPsec. Для включения IPsec с аппаратной - поддержкой необходимо добавить в файл настройки ядра следующий - параметр: + поддерживаемый стек IPsec, известный как Fast + IPsec, заимствованный из OpenBSD. Для оптимизации + производительности IPsec он задействует криптографическое + оборудование (когда оно доступно) через подсистему &man.crypto.4;. + Это новая подсистема и она не поддерживает всех возможностей, + доступных в KAME версии IPsec. Для включения IPsec с аппаратной + поддержкой необходимо добавить в файл настройки ядра следующий + параметр: - -options FAST_IPSEC # new IPsec (cannot define w/ IPSEC) - + + параметры ядра + + FAST_IPSEC + + + options FAST_IPSEC # new IPsec (cannot define w/ IPSEC) Обратите внимание, что на данный момент невозможно использовать подсистему Fast IPsec вместе с KAME реализацией IPsec. Обратитесь к странице справочника &man.fast.ipsec.4; за дальнейшей информацией. - + + IPsec + + ESP + + + + IPsec + + AH + + IPsec состоит из двух субпротоколов: @@ -4149,7 +3280,7 @@ options FAST_IPSEC # new IPsec (cannot define w/ IPSEC) и подделки путем вычисления криптографической контрольной суммы и хеширования полей заголовка IP пакета защищенной функцией хеширования. К пакету добавляется дополнительный заголовок - с хешем, позволяющий аутентификацию информации пакета. + с хэшем, позволяющий аутентификацию информации пакета. @@ -4157,6 +3288,16 @@ options FAST_IPSEC # new IPsec (cannot define w/ IPSEC) использованы вместе или по отдельности, в зависимости от обстоятельств. + + VPN + + + + виртуальная частная сеть + + VPN + + IPsec может быть использован или для непосредственного шифрования трафика между двумя хостами (транспортный режим); или для построения виртуальных @@ -4171,10 +3312,26 @@ options FAST_IPSEC # new IPsec (cannot define w/ IPSEC) Для включения поддержки IPsec в ядре, добавьте следующие параметры к файлу настройки ядра: - -options IPSEC #IP security -options IPSEC_ESP #IP security (crypto; define w/ IPSEC) - + + параметры ядра + + IPSEC + + + + параметры ядра + + IPSEC_ESP + + + options IPSEC #IP security +options IPSEC_ESP #IP security (crypto; define w/ IPSEC) + + + параметры ядра + + IPSEC_DEBUG + Если желательна поддержка отладки IPsec, должна быть также добавлена следующая строка: @@ -4197,6 +3354,12 @@ options IPSEC_DEBUG #debug for IP security Сценарий: Две сети, подключенных к интернет, работающие как одна + + VPN + + создание + + Исходные условия таковы: @@ -4264,7 +3427,8 @@ options IPSEC_DEBUG #debug for IP security - Здесь два публичных IP адреса. Для упоминания их в дальнейшем + Заметьте, что здесь присутствуют два публичных IP-адреса. В + дальнейшем для их обозначения будут использоваться буквы. Если вы увидите эти буквы, замените их на свои публичные IP адреса. Также обратите внимание, что у обеих шлюзов внутренний адрес заканчивается на .1 и диапазоны @@ -4313,7 +3477,7 @@ options IPSEC_DEBUG #debug for IP security - Настройка дополнительных программ на шлюзах FreeBSD, + Настройка дополнительных программ на шлюзах &os;, чтобы компьютеры &windows; из одной сети видели компьютеры в другой через VPN. @@ -4416,7 +3580,7 @@ physical address inet A.B.C.D --> W.X.Y.Z Как вы можете видеть, был создан туннель между физическими адресами A.B.C.D и - W.X.Y.Z, для тунеллирования разрешен + W.X.Y.Z, для туннелирования разрешен трафик между 192.168.1.1 и 192.168.2.1. @@ -4440,12 +3604,12 @@ Destination Gateway Flags Refs Use Netif Expire шлюза, но не знает как достичь остальной части соответствующей сети. Эта проблема будет быстро решена. - Вероятно, на обеих машинах запущен межсетевой экран. VPN + Вероятно, на обеих машинах запущен брандмауэр. VPN должен обходить его. Вы можете разрешить весь трафик между двумя сетями, или включить правила, защищающие каждый конец соединения от другого. - Это сильно упрощает тестирование настройки межсетевого экрана, + Это сильно упрощает тестирование настройки брандмауэра, если вы разрешаете весь трафик через VPN. Вы всегда можете Вы всегда можете усилить защиту позже. Если вы используете на шлюзах &man.ipfw.8;, команда вроде этой @@ -4453,7 +3617,7 @@ Destination Gateway Flags Refs Use Netif Expire ipfw add 1 allow ip from any to any via gif0 разрешит весь трафик между двумя концами VPN без влияния на - другие правила межсетевого экрана. Очевидно, вам потребуется + другие правила брандмауэра. Очевидно, вам потребуется запустить эту команду на обеих шлюзах. Этого достаточно для включения ping с одного шлюза на другой. @@ -4533,7 +3697,7 @@ route_vpn="192.168.2.0 192.168.2.1 netmask 0xffffff00" - Отредактируйте скрипт межсетевого экрана + Отредактируйте скрипт брандмауэра (/etc/rc.firewall, или подобный) на обеих хостах и добавьте @@ -4579,14 +3743,23 @@ route_vpn="192.168.2.0 192.168.2.1 netmask 0xffffff00" поддержку протоколов IPsec и Encapsulated Security Payload (ESP) в ядре. Это делается добавлением в настройку ядра параметров: - options IPSEC -options IPSEC_ESP - + + параметры ядра + + IPSEC + + + options IPSEC +options IPSEC_ESP с последующим перекомпилированием, переустановкой и перезагрузкой. Как и прежде вам потребуется сделать это с ядрами на обеих шлюзах. + + IKE + + При настройке параметров безопасности (security associations) у вас есть два варианта. Вы можете настроить их вручную для обеих хостов, задав алгоритм шифрования, ключи для шифрования и так далее, @@ -4596,6 +3769,16 @@ options IPSEC_ESP Рекомендуется последнее. Помимо прочего, этот способ более прост. + + IPsec + + политики безопасности + + + + setkey + + Редактирование и отображение политики безопасности выполняется с помощью &man.setkey.8;. По аналогии, setkey используется для настройки таблиц политики безопасности ядра так же, @@ -4606,8 +3789,13 @@ options IPSEC_ESP Существует множество даемонов для управления параметрами безопасности в FreeBSD. Здесь будет описано использование одного из - них, racoon. racoon находится в категории security/ коллекции портов - FreeBSD и устанавливается обычным способом. + них, racoon — он доступен в виде порта security/racoon в Коллекции + Портов &os;. + + + racoon + racoon должен работать на обеих шлюзах. На каждом из хостов он настраивается с IP адресом другого конца VPN, и секретным @@ -4646,11 +3834,11 @@ options IPSEC_ESP W.X.Y.Z secret - То есть публичный IP адрес удаленной - стороны, пробел и текстовая строка, секретная фраза. - + То есть публичный IP-адрес противоположной + стороны, пробел и текстовая строка c секретной фразой. Конечно, вам + не стоит использовать в качестве ключевой фразы слово + secret -- здесь применяются обычные правила + выбора паролей. На шлюзе #2 строка будет выглядеть примерно так: @@ -4844,7 +4032,7 @@ spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P out ipsec esp/tunnel/A.B.C.D-W.X.Y.Z/req spdadd W.X.Y.Z/32 A.B.C.D/32 ipencap -P out ipsec esp/tunnel/W.X.Y.Z-A.B.C.D/require; spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P in ipsec esp/tunnel/A.B.C.D-W.X.Y.Z/require; - Наконец, вам потребуется добавить правила к межсетевому экрану + Наконец, вам потребуется добавить правила к брандмауэру для включения прохождения пакетов ESP и IPENCAP в обе стороны. На обеих хостах потребуется добавить следующие правила: @@ -4920,6 +4108,7 @@ ipfw add 1 allow ipencap from W.X.Y.Z to A.B.C.D Резюме + Настройте оба ядра с: @@ -4927,6 +4116,7 @@ ipfw add 1 allow ipencap from W.X.Y.Z to A.B.C.D options IPSEC_ESP + Установите security/racoon. Отредактируйте @@ -4966,7 +4156,7 @@ spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P in ipsec - Добавьте правила к межсетевым экранам обеих хостов для + Добавьте правила к брандмауэрам обеих хостов для включения IKE, ESP и IPENCAP трафика: @@ -5013,7 +4203,7 @@ ipfw add 1 allow ipencap from W.X.Y.Z to A.B.C.D rlogin, rsh, rcp и telnet. Кроме того, любые другие TCP/IP соединения могут быть безопасно - тунеллированы/перенаправлены через SSH. + туннелированы/перенаправлены через SSH. OpenSSH шифрует весь трафик, эффективно предотвращая кражу данных, перехват соединения и другие сетевые атаки. @@ -5079,10 +4269,10 @@ user@example.com's password: ******* сохраняются в ~/.ssh/known_hosts, или в ~/.ssh/known_hosts2 для SSH v2. - По умолчанию, сервер OpenSSH настроен - для приема соединений SSH v1 и SSH v2. Клиент может выбирать между - этими двумя протоколами. Версия 2 безопаснее своего - предшественника. + По умолчанию серверы OpenSSH + настроены на приём только соединений SSH v2. Однако клиент может + выбрать между версиями 1 и 2 этого протокола. Известно, что версия 2 + надёжнее и безопаснее своего предшественника. Команде &man.ssh.1; можно указать использование определенной версии протокола, запустив ее с параметром @@ -5198,10 +4388,12 @@ Your identification has been saved in /home/user/.ssh/identity. - SSH тунеллирование + Туннелирование SSH + OpenSSH - тунеллирование + + туннелирование OpenSSH поддерживает возможность @@ -5233,7 +4425,7 @@ Your identification has been saved in /home/user/.ssh/identity. Означает использование в не-командном режиме, только для - тунеллирования. Если этот параметр опущен, + туннелирования. Если этот параметр опущен, ssh запустит обычную сессию. @@ -5295,14 +4487,14 @@ Escape character is '^]'. 220 mailserver.example.com ESMTP Этот метод можно использовать вместе с &man.ssh-keygen.1; - и дополнительными пользовательскими учетными записями для - создания более удобного автоматического SSH тунеллирования. + и дополнительными пользовательскими учётными записями для + создания более удобного автоматического SSH туннелирования. Ключи могут быть использованы вместо паролей, и туннели могут запускаться от отдельных пользователей. - Практические примеры SSH тунеллирования + Практические примеры SSH туннелирования Защищенный доступ к серверу POP3 @@ -5313,7 +4505,7 @@ Escape character is '^]'. между вашим домом и офисом могут быть или не быть полностью доверяемыми. По этой причине вам потребуется проверять почту через защищенное соединение. Решение состоит в создании - SSH соединения к офисному серверу SSH и тунеллирование + SSH соединения к офисному серверу SSH и туннелирование через него к почтовому серверу. &prompt.user; ssh -2 -N -f -L 2110:mail.example.com:110 user@ssh-server.example.com @@ -5330,7 +4522,7 @@ user@ssh-server.example.com's password: ****** Прохождение через Драконовский Брандмауэр Некоторые сетевые администраторы устанавливают - на межсетевых экранах (брандмауэрах) драконовские правила, + на брандмауэрах драконовские правила, фильтруя не только входящие соединения, но и исходящие. Вам может быть разрешен доступ к удаленным компьютерам только по портам 22 и 80, для SSH и просмотра сайтов. @@ -5342,7 +4534,7 @@ user@ssh-server.example.com's password: ****** к нему доступ. Решение состоит в создании SSH соединения с компьютером - вне межсетевого экрана и использование его для тунеллирования + вне брандмауэра и использование его для туннелирования сервера Ogg Vorbis. &prompt.user; ssh -2 -N -f -L 8888:music.example.com:8000 user@unfirewalled-system.example.org @@ -5351,18 +4543,20 @@ user@unfirewalled-system.example.org's password: *******< Клиентскую программу теперь можно настроить на localhost порт 8888, который будет перенаправлен на music.example.com порт 8000, успешно - обойдя межсетевой экран. + обойдя брандмауэр. - Для дальнейшего чтения + Дополнительная литература OpenSSH + &man.ssh.1; &man.scp.1; &man.ssh-keygen.1; - &man.ssh-agent.1; &man.ssh-add.1; - &man.sshd.8; &man.sftp-server.8; + &man.ssh-agent.1; &man.ssh-add.1; &man.ssh.config.5; + + &man.sshd.8; &man.sftp-server.8; &man.sshd.config.5; @@ -5509,6 +4703,101 @@ drwxr-xr-x 2 robert robert 512 Nov 10 11:54 public_html + + + + + Том + + Родес + + Текст предоставил + + + + + + Portaudit + + + Мониторинг вопросов безопасности в ПО сторонних + разработчиков + + В последние годы в области информационной безопасности произошло + много улучшений, касающихся выработки оценки уязвимости. Угроза + проникновения в систему увеличивается вместе с установкой и настройкой + утилит сторонних разработчиков, какой бы современной операционной + системы это ни касалось. + + Оценка уязвимости является ключевым фактором обеспечения защиты, и + хотя для базового комплекта &os; выпускаются бюллетени безопасности, но + делать это для каждой сторонней утилиты выше возможностей участников + Проекта &os;. Существует способ смягчения уязвимостей программного + обеспечения сторонних разработчиков и предупреждения администраторов об + известных проблемах с безопасностью. Во &os; существует утилита под + названием Portaudit, которая служит + исключительно этой цели. + + Порт security/portaudit обращается + к базе данных, обновляемой и поддерживаемой Группой информационной + безопасности &os; и разработчиками портов, для получения информации об + известных проблемах с защитой. + + Для того, чтобы приступить к использованию + Portaudit, необходимо установить его из + Коллекции Портов: + + &prompt.root; cd /usr/ports/security/portaudit && make install clean + + В процессе установки будут обновлены конфигурационные файлы для + &man.periodic.8;, в которые будет добавлена выдача + Portaudit при ежедневном её запуске. + Проверьте, что ежедневные сообщения электронной почты, касающиеся + безопасности, которые посылаются на адрес root, + прочитываются. Другой дополнительной настройки больше не + понадобится. + + После установки администратор должен обновить базу данных, + размещаемую в локальном каталоге + /var/db/portaudit, выполнив + следующую команду: + + &prompt.root; portaudit -F + + + База данных будет автоматически обновлена при запуске + &man.periodic.8;; таким образом, предыдущая команду можно полностью + опустить. Она требуется только для следующих примеров. + + + Для аудита утилит сторонних разработчиков, установленных как часть + Коллекции Портов, администратору достаточно запускать только следующую + команду: + + &prompt.root; portaudit -a + + Показан пример выдачи: + + Affected package: cups-base-1.1.22.0_1 +Type of problem: cups-base -- HPGL buffer overflow vulnerability. +Reference: <http://www.FreeBSD.org/ports/portaudit/40a3bca2-6809-11d9-a9e7-0001020eed82.html> + +1 problem(s) in your installed packages found. + +You are advised to update or deinstall the affected package(s) immediately. + + Перейдя в Web-браузере по показанному URL, + администратор может получить более подробную информацию о показанной + уязвимости. В неё войдёт перечисление версий, затронутых + соответствующей версией порта &os;, а также другие Web-сайты, которые + могут содержать бюллетени безопасности. + + Если описывать вкратце, то Portaudit + является мощной и, при использовании вместе с портом + Portupgrade, чрезвычайно полезной + утилитой. + + @@ -5605,8 +4894,8 @@ VII. References уязвимость затрагивает программы, предоставленные проекту &os;, например sendmail. Наконец, категория ports означает, что уязвимость - затрагивает программное обеспечение, доступное из коллекции - портов. + затрагивает программное обеспечение, доступное из Коллекции + Портов. @@ -5702,12 +4991,84 @@ VII. References Поле References обычно упоминает - другие источники информации. Это могут быть веб страницы, + другие источники информации. Это могут быть Web-страницы, книги, списки рассылки и группы новостей. + + + + + + Том + + Родес + + Текст предоставил + + + + + + Учёт используемых ресурсов + + + Учёт используемых ресурсов + + Учёт используемых процессами ресурсов представляет собой метод + защиты, при котором администратор может отслеживать использование + системных ресурсов и их распределение между пользователями для нужд + системного мониторинга и минимального отслеживания команд + пользователей. + + На самом деле здесь есть свои положительный и отрицательные моменты. + Положительной стороной является то, что проникновение может быть + отслежено до первоначальной точки входа. Отрицательной стороной + является объём протоколов, который генерируется при мониторинге, и + соответствующие требования к дисковому пространству. В этом разделе + администратору даются основы учёта ресурсов процессов. + + + Активация и использование учёта ресурсов + + Прежде чем использовать систему учёта ресурсов, её необходимо + активировать. Для этого выполните следующие команды: + + &prompt.root; touch /var/account/acct + +&prompt.root; accton /var/account/acct + +&prompt.root; echo 'accounting_enable="YES"' >> /etc/rc.conf + + После активации система учёта ресурсов начнёт отслеживать + статистику CPU, команд и так далее. Все протоколы + учёта ведутся в формате, недоступном для чтения человеком, и могут + просматриваться при помощи утилиты &man.sa.8;. Запущенная без + параметров, sa выдаст информацию, относящуюся к + количеству вызовов в расчёте на каждого пользователя, общее + затраченное время в минутах, общее время CPU и + пользователя в минутах, среднее количество операций ввода/вывода и + так далее. + + Для просмотра информации о запущенных командах, необходимо + воспользоваться утилитой &man.lastcomm.1;. Команду + lastcomm можно использовать, например, для выдачи + списка директив, выданных пользователями определённого терминала + &man.ttys.5;: + + &prompt.root; lastcomm ls trhodes ttyp1 + + Эта команда выдаст все зафиксированные использования команды + ls пользователем trhodes на + терминале ttyp1. + + Существует многие другие полезные параметры, которые описаны на + соответствующих справочных страницах &man.lastcomm.1;, &man.acct.5; и + &man.sa.8;. + + -