Sunteți pe pagina 1din 3

Securitatea se refer la meninerea sistemului n stare de funcionare n regim continuu i la parametri normali.

Securitatea nu se refer doar la protejarea mpotriva diferitelor tipuri de atacuri, ci i la protecia mpotriva cderilor hardware (a harddisk-urilor), a tergerii accidentale a datelor. Un server este supus permanent riscurilor unor atacuri de diferite feluri, aceste provenind de la distan sau chiar de pe propria main. Atacurile pot fi: atacuri de refuz al serviciilor (Denial of Service), care degradeaz sau defecteaza anumite servicii ale programului; atacuri n vederea obinerii de privilegii asupra sistemului; atacuri n vederea copierii sau distrugerii de informaii. Principalele tipuri de atacuri: Poate fi stopat prin introducerea n fiierele de configurare a accesului din cadrul MTA a unei directive de refuzare a mesajelor provenind de pe maina sau de la utilizatorul respectiv. Aceast soluie nu rezolva ns problema traficului prin reea. Spam (e-mail spamming) De obicei, adresa expeditorului este fals (pentru a nu putea fi descoperit), astfel c acest tip de atac poate fi prevenit configurnd serviciul de e-mail pentru a respinge e-mail-urile provenite de pe domenii care nu pot fi rezolvate. Falsificarea adresei expeditorului (E-mail spoofing) Serverul (sau serverele, n unele cazuri) de mail care a transmis mesajul poate fi determi-nat prin analiza antetului mesajului. Se recomand contactarea administratorului serverului respectiv i solicitarea de informaii privind originea mesajului (acestea pot fi obinute din fiierele jurnal ale sistemului)'. Abonarea nesolicitat la liste de discuii Reprezint nscrierea unei adrese e-mail pe una sau mai multe liste de discuii fr ca persoana creia i aparine adresa s fi cerut explicit acest lucru. Nu exist soluii rapide pentru stoparea acestor atacuri, ci doar trimiterea de cereri de dezabonare. : Atacuri pentru refuzul serviciilor (Denial of Service) Prevenirea atacurilor de tip DoS se poate face prin instalarea de firewalluri (care s filtreze pachetele ctre porturi care trebuie protejate, precum i pachetele ICMP) instalarea de conexiuni de siguran (backup) i dezactivarea serviciilor care nu sant necesare (pentru a diminua expunerea acestora la potenialele atacuri). Depirea zonelor tampon Acest tip de atac nu poate veni ns din afara mainii, ci din interiorul si nu poate fi prevenit. Pe msur ce asemenea erori sunt descoperite, sunt generate actualizri ale programelor. Interceptarea reelei (IP sniffing) Un asemenea atac se poate preveni doar din interiorul reelei locale. Pentru a preveni, este bine s utilizm, cel puin pentru transmiterea parolelor din protocoale sigure, criptate, cum ar fi SSH. Cai troieni (Trojan horses) Toate fiierele executabile sau arhivele coninnd programe descrcate de pe Internet (chiar i de pe iturile oficiale) trebuie verificate nainte de a fi instalate si executate. De asemenea, se recomand realizarea periodic de copii de sigurant a sistemelor de

fiiere, pentru a putea restaura fiierele executabile originale n alterrii acestora de ctre cai troieni. Ui ascunse Uile ascunse sunt cazuri particulare de cai troieni. Un asemenea program creeaz o poart" (de exemplu, un utilizator nou) care s permit accesul ulterior la calculatorul n cauz sau s acorde unui anumit utilizator privilegii speciale. Spre exemplu, un cal troian poate nlocui fiierul /bin/login, care are rolul de a autentifica utilizatorii, pentru a salva parolele tastate de acetia ntr-un fiier ascuns; Virui Viruii sunt programe care pot efectua operaiuni nedorite, de obicei distructive, i care au capacitatea de a se multiplica", adic de a infecta i alte programe. Viruii rezid n general n cadrul fiierelor executabile. Sistemele UNIX nu sunt vulnerabile la virui, datorit gestiunii stricte a memoriei i a proceselor care se execut. Este recomandat, n orice caz, s nu se execute ca root nici un fiier executabil despre care nu se cunoate ce face. Viermi (Worms) Viermii sunt programe de sine stttoare, capabile s se multiplice, s se transfere pe alte calculatoare i, eventual, s efectueze operaii distructive. Sistemele FreeBSD nu sunt afectate de viermi. Ghicirea parolelor (password guessing) Acest tip de atac se refer la folosirea unui program pentru a determina parolele prost alese, denumit n genere sprgtor de parole (cracker). Un astfel de program poate determina, printr-o analiz comparativ, o coresponden ntre variantele de presupuse parole criptate. Folosirea de anumite vulnerabiliti (bugs) a programelor / serviciilor existente pe server De obicei, problema securitii nu se pune la nivel de nucleu al sistemului de operare, ci la nivelul aplicaiilor. La anumite perioade de timp sunt descoperite vulnerabiliti n aplicaiile instalate n sistem, n servicii, unele dintre ele putnd fi folosite pentru a obine accesul n sistem. Reuita atacurilor este de cele mai multe ori cauzat de configurri slabe ale sistemului sau de neglijarea erorilor (bugs) de securitate descoperite i de lipsa update-ui la timp a programelor ce prezint vulnerabiliti. De aceea trebuie acordat o importan mare configurrilor de dup instalare. Aciuni ce trebuie ntreprinse pentru a se asigura securizarea unui sistem de operare n reea: Sigurana fizic a sistemului - Instalarea mainii trebuie realizat ntr-un loc sigur, s nu fie expus contactului cu persoane neautorizate. Acestea nu trebuie s aib posibilitatea sau timpul necesar de a nltura carcasa, de a modific configuraia hardware, de a opri i apo reporni maina (eventual n modul single), de a nlocui sau copia informaiile discuri sau de a inocula programe ruvoitoare (cai troieni). De asemenea, mediile de stocare a salvrilor de siguran trebuie s fie pstrate ntr-un loc nchis, fr posibilitate de acces (e.g., un seif). Salvrile de siguran - Se recomand salvarea periodic cel puin a fiierelor importante i, dac este posibil a ntregului coninut al sistemelor de fiiere. Drepturile de acces Ia fiierele importante - Trebuie acordat o atenie sporit drepturilor de acces la fiierele importante: fiierele de configurare ale diverselor servicii instalate n sistem, fiierele jurnal (log-uri), executabilele care nu trebuie s poat fi apelate de ctre utilizatorii obinuii, precum i alte fiiere importante (spre exemplu, baze de date MySQL, PostreSQL etc.),

executabilele i scripturile de iniializare ale sistemului nu trebuie s poat fi modificate dect de root / administrator. Execuia daemonilor / proceselor - Se recomand ca numai daemonii / procesele utilizai(te) curent s ruleze pe sistem. Mai muli(te) daemoni / servicii nseamn o ncrcare mai mare a sistemului, precum i un nivel de vulnerabilitate mai mare. De asemenea, o mare parte a daemonilor / serviciilor (care ofer diverse servicii) nu trebuie executai sub root / administrator, ci sub utilizatorii speciali (de exemplu, daemonul HTTP ruleaz sub utilizatorul www). Scripturile CGI - Scripturile CGI nu trebuie executate ca root. Acestea trebuie plasate ntrun singur director, n care nu se va permite accesul utilizatorilor, iar modificrile asupra scripturilor trebuie monitorizate. Porturile - Anumite servicii pot fi accesate prin reea, de pe alte maini. Pentru aceasta, ele ateapt conexiuni pe anumite porturi (e.g., serverul HTTP pe portul 80). Aceste porturi pot constitui puncte vulnerabile ale sistemului (datorit vulnerabilitilor care pot exista n aceste programe), putnd fi detectate de la distan cu ajutorul scanerelor. Aceste porturi trebuie protejate fie prin configurarea respectivelor servicii s accepte conexiuni doar de pe o anumit interfa de reea, considerat sigur (e.g., reeaua local), fie prin configurarea unui firewall care s nu permit accesarea din exterior a porturilor n cauz. Accesul utilizatorului root / administrator n sistem - Din principiu, nu se recomand permiterea accesului cu root / administrator dect de la consolele sistemului. Accesul de la distan (cu SSH) va fi fcut cu un utilizator obinuit, iar apoi va fi folosit comanda su. Sistemul FreeBSD nu permite accesul la distan prin SSH folosind autentificarea ca root i, de asemenea, nu permite su dect din contul utilizatorilor ce aparin grupului wheel.