Рейтинг@Mail.ru
[Войти] [Зарегистрироваться]

Наши друзья и партнеры

UnixForum
Беспроводные выключатели nooLite

Lines Club

Ищем достойных соперников.

Книги по Linux (с отзывами читателей)

Библиотека сайта или "Мой Linux Documentation Project"

Приемы работы в Ubuntu.
Глава 7: Безопасность

Оригинал: "Ubuntu Hacks: Chapter 7 - Security"
Авторы: Кайл Ранкин, Джонатан Оксер, Билл Чайлдерс (Kyle Rankin, Jonathan Oxer, Bill Childers)
Дата публикации: June 2006
Перевод: Н.Ромоданов
Дата перевода: октябрь 2010 г.

Совет # 68: Управление обновлениями системы безопасности

Установите самые последние обновления, обеспечивающие безопасность вашей системы.

Существует старая поговорка о том, что единственный надежный компьютер это тот, который отключен от сети, выключен и спрятан в подземном бункере, и даже в этом случае вы не можете быть полностью уверены в его безопасности! Если вы хотите обезопасить себя от самых последних угроз и уязвимостей, необходимо к вашему компьютеру своевременно применять самые последние патчи системы безопасности.

Политика обновлений, используемая в Ubuntu

Когда выпускается очередной релиз Ubuntu, все пакеты, имеющиеся в нем, объявляются "замороженными". К релизу не добавляются новые версии программ, которые уже есть в нем, поэтому, когда вы устанавливаете Ubuntu Dapper Drake, все версии программ, доступные в этом релизе, будут оставаться неизменными в течение неопределенно долгого срока. Новые версии отдельных пакетов не добавляются, поскольку это может сделать релиз постоянно меняющимся и непредсказуемым, и даже может быть причиной появления новых ошибок и уязвимостей.

Конечно, само программное обеспечение не стоит на месте, всегда выходят новые версии, а иногда в новой версии обнаруживаются и исправляются существующие уязвимости. Это значит, что старые версии программ будут по-прежнему уязвимы, но политика Ubuntu диктует, чтобы новые версии программного обеспечения не вставлялись в уже выпущенный дистрибутив.

Такая тупиковая ситуация разрешается путем обратного портирования исправлений, связанных с безопасностью, в версию программного обеспечения, которая была включена в дистрибутив на момент его выхода, а затем выпуска пакета "обновления системы безопасности" только для этого конкретного фрагмента программного обеспечения. После этого системные администраторы смогут установить это обновление и будут уверены, что они исправили только конкретную проблему системы безопасности, и существенным образом не изменили функции самой системы.

Получение обновлений системы безопасности

Обновления системы безопасности распространяются из специальных репозитариев пакетов, поэтому проверьте, чтобы в вашем файле /etc/apt/sources.list были записи, соответствующие вашему основному источнику получения пакетов, например, следующие:

deb http://archive.ubuntu.com/ubuntu dapper main restricted universe multiverse
deb http://security.ubuntu.com/ubuntu dapper-security main restricted

Если их нет, то смотрите раздел "Изменение списка репозитариев пакетов" [Совет # 60], чтобы узнать, как подключить репозитарий системы безопасности, но учтите, что для репозитариев universe и multiverse нет обновлений системы безопасности, т. к. эти репозитарии официально не поддерживаются командой Ubuntu, отвечающей за безопасность.

Автоматическое уведомление о наличии обновлений

Настольная система Ubuntu поставляется с апплетом с именем update-notifier, который расположен в панели уведомлений и запускает всплывающее предупреждение в тех случаях, когда после того, как к вашей машине уже были применены последние обновления, выпускаются новые пакеты. Но если вы пользуетесь сервером, у которого нет монитора, вы можете настроить очень простой скрипт, который будет отсылать вам уведомления по электронной почте непосредственно с сервера.

Добавьте в файл /etc/cron.daily/notify-updates следующие записи:

#!/bin/sh
apt-get -qq update
apt-get -qq --simulate dist-upgrade

Затем сделайте скрипт исполняемым:

$ sudo chmod +x /etc/cron.daily/notify-updates

Флаги -qq задают "тихий" режим работы apt-get, в котором никакие выходные сообщения выдаваться не будут в случае, если в них нет необходимости, т. е. команда apt-get -qq update получит список пакетов от сервера пакетов, не выдавая при этом никаких выходных сообщений. Флаг —simulate задает имитационный режим работы утилиты dist-upgrade, в котором обновления всех имеющихся пакетов реально не выполняются, а если обновлений пакетов нет, то в выходной поток ничего также выдаваться не будут.

Поскольку этот скрипт вызывается с помощью cron, он будет срабатывать каждый день, и если выходные данные не выдаются, то cron просто продолжит свою работу. Но, если есть пакеты, доступные для обновления, команда dist-upgrade выдаст список всех пакетов, которые можно обновить, а cron отошлет выданные данные системному администратору, который может затем решить, следует ли вручную выполнить обновления.

Если cron отправляет сообщение не тому, кому нужно, возможно, потребуется отредактировать файл /etc/crontab и почти в самом начале файла добавить в него следующую запись:

MAILTO=user@example.com

Сигнатуры пакетов

Пакеты, распространяемые через официальные архивы Ubuntu, имеют криптографическую подпись с тем, чтобы вы могли проверить, что пакеты не были заменены на поддельные и не будут использованы злоумышленником для атаки. Официальный ключи архивов есть в пакете ubuntu-keyring и по умолчанию устанавливаются в файл /etc/apt/trusted.gpg, который является частью Dapper. Вы можете воспользоваться утилитой apt-keys для проверки и управления ключами, которые используются системой при установке новых пакетов:

jon@jbook:~$ sudo apt-key list
/etc/apt/trusted.gpg
--------------------
pub   1024D/437D05B5 2004-09-12
uid              Ubuntu Archive Automatic Signing Key <ftpmaster@ubuntu.com>
sub   2048g/79164387 2004-09-12

pub   1024D/FBB75451 2004-12-30
uid               Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>

Если вы попытаетесь установить какие-либо пакеты, которые есть в архивах, но не подписаны каким-нибудь из этих ключей, apt выдаст предупреждающее сообщение, но если вы захотите, вы можете в любом случае продолжить установку:

WARNING: The following packages cannot be authenticated!
  myprogram lib-blah lib-foo
Install these packages without verification [y/N]?

Отслеживание рекомендаций по безопасности

Одним из наиболее важных источников самой свежей информации об угрозах и уязвимостях является группа CERT, Computer Emergency Response Team (Группа реагирования на компьютерные чрезвычайные ситуации), работающая в Институте программной инженерии Университета Карнеги-Меллон. Координационный центр CERT (CERT / CC) выступает в качестве глобального координационного центра предупреждений, касающихся компьютерной безопасности, и даже распространяет свои предупреждения в виде новостей в формате RSS и Atom с тем, чтобы вам всегда были известны самые последние проблемы, которые они освещают.

Но список рекомендаций, рассылаемый CERT, может быть огромным, т. к. в нем присутствуют уведомления, касающиеся всех операционных систем и пакетов программ. Более краткий перечень рекомендаций, непосредственно касающийся Ubuntu, доступен на сайте http://www.ubuntu.com/usn, а также в списке рассылки Ubuntu Security Announcements (Объявления по безопасности в Ubuntu) и в архивах этого списка.

Если вы считаете, что нашли в пакете Ubuntu незарегистрированную уязвимость, вы можете связаться с командой Ubuntu по безопасности по электронному адресу security@ubuntu.com.


Назад Оглавление Вперед


Эта статья еще не оценивалась
Вы сможете оценить статью и оставить комментарий, если войдете или зарегистрируетесь.
Только зарегистрированные пользователи могут оценивать и комментировать статьи.

Комментарии отсутствуют