Программные средства обеспечения безопасности
Все множество средств обеспечения безопасности можно разделить на следующие
группы или категории:
Средства управления доступом к системе (доступ с консоли, доступ по сети)
и разграничения доступа
Обеспечение контроля целостности и неизменности программного обеспечения
(сюда же я отношу средства антивирусной защиты, поскольку внедрение вируса
есть изменение ПО)
Средства криптографической защиты
Средства защиты от вторжения извне (внешнего воздействия)
Средства протоколирования действий пользователей, которые тоже служат
обеспечению безопасности (хотя и не только)
Средства обнаружения вторжений
Средства контроля состояния безопасности системы (обнаружения уязвимостей)
Соответственно я выделил и подразделы в данном разделе (хотя, учитывая
специфику вопроса, для антивирусных средств отвел отдельный подраздел):
Управление доступом к системе, разграничение доступа
Аутентификация пользователей в сети
Контроль целостности ПО
Антивирусная защита
Криптозащита
О криптографии вообще и о криптоалгоритмах
SSH
SSL
GNU Privacy Guard (GPG)
Другие вопросы криптозащиты
Защита от вторжения извне, обнаружение вторжений
Межсетевые экраны (брэндмауэры, файерволы)
Обнаружение вторжений
Контроль состояния безопасности системы
Разные статьи об обеспечении безопасности системы
А ссылки на статьи о средствах протоколирования действий пользователей ищите
в разделе Демоны системного протоколирования
Паллави Галгали, Рахул Гайтонде,
"Сравнение систем безопасности в AIX, Linux и Solaris"
jun auza, перевод: Мир Opensource,
"10 лучших хакерских программ и инструментов безопасности для
Linux"
С.А. Ермаков,
"Средства
защиты информации в ОС Linux"
Эмили Ретлиф,
"Аудит системы Linux в примерах"
В статье обсуждаются существующие средства и предлагается несколько
примеров скриптов для обеспечения функционирования системы в соответствии
с требованиями безопасности.
Crispin Cowan, перевод А.Дмитриев и В.Костромин,
"Стратегия
безопасности программы AppArmor"
Aleksandr Ivanov перевел
вводное руководство (PDF, 110Кб) по AppArmor. AppArmor - это
поддерживаемый компанией Novell более простой в настройке аналог системы
SELinux, предназначенный для определения политик безопасности для ПО.
В документе рассказано про концепцию работы AppArmor, показано как создавать
или изменять профили.
Наташа Самойленко,
"VLAN"
VLAN'ы используются для сокращения широковещательного трафика в сети, а также
для повышения безопасности сети, в частности как средство борьбы с ARP-spoofing'ом.
"Man:vconfig"
vconfig - Программа настройки VLAN (802.1q) в Linux. Эта страница является
переводом официальной man-страницы программы vconfig, предназначенной для
настройки VLAN (802.1Q) в Linux.
Наташа Самойленко, Игорь Чубин,
"VLAN"
VLAN (Virtual Local Area Network) - группа устройств, имеющих возможность
взаимодействовать между собой напрямую на канальном уровне, хотя физически
при этом они могут быть подключены к разным сетевым коммутаторам. И наоборот,
устройства, находящиеся в разных VLAN'ах, невидимы друг для друга на канальном
уровне, даже если они подключены к одному коммутатору, и связь между этими
устройствами возможна только на сетевом и более высоких уровнях.
"VLAN и Linux"
Управление доступом к системе, разграничение доступа
Серж Е. Халлин,
"Управление доступом на основе ролей в SELinux"
Управление доступом на основе ролей (Role-based access control, RBAC) - это
общая модель обеспечения безопасности, которая упрощает администрирование путем
назначения ролей пользователям и установки разрешений для этих ролей.
Сергей Богомолов,
"Механизмы доступа
DAC и MAC, SELinux в RHEL"
"Идентификаторы Rutoken теперь поддерживают ОС Linux"
Гэри Воун,
"Блокирование доступа к Linux на промышленном уровне. Часть 1:
Удаление оболочки"
Гэри Воун,
"Блокирование доступа к Linux на промышленном уровне: Часть 2.
Исполнение только подписанного кода"
"Периметр
безопасности при помощи Bluetooth"
В данном случае мы рассмотрим создание защитного периметра, защитной системы,
которая будет блокировать компьютер при удалении пользователя с телефоном на
определенное расстояние от него. Возьмем для примера скрипт из Gentoo Wiki и
дистрибутив SuSE и реализуем такую систему.
Mikhael Felker,
"Механизмы управления паролями в IE и Firefox. Часть первая."
Mikhael Felker,
"Механизмы управления паролями в IE и Firefox, часть вторая"
Роман Клочков,
"Администрирование
учетных записей пользователей и групп. Авторизация в Linux"
С.Богомолов, sudo:
выполнение программ от имени суперпользователя
"su и sudo - запуск
системных программ обычным пользователем"
"Ограничение
использования команды su"
Выбираем хорошие
пароли
Здесь описано как сделать так, чтобы Ваш пароль не могли подобрать быстро
Elli0t,
"Пароли пользователей
в Netscape Communicator"
В данной статье рассматриваются алгоритмы шифрования/дешифрования паролей
для почтового сервера (pop3) в весьма популярном браузере Netscape
Communicator.
А.Ерижоков
POSIX ACLs
для Linux.
Списки контроля доступа.
Вся система доступа к файлам в Unix-системах сводится к установке девяти бит,
три из которых определяют режим доступа к файлу пользователя-владельца
(чтение, запись, запуск), три - режим
доступа к файлу группы-владельца и три - всех остальных.
В большинстве случаев этого достаточно, но, к сожалению, не во всех...
Копия статьи - здесь.
Калошин В.
"Пароли,
как много в этом слове для сердца админского слилось..."
Пароль на почтовый ящик, пароль на диалап, пароль на "аську", наконец
... И тем не менее, мы довольно небрежно относимся к этой "последовательности
символов, индифицирующих пользователя". Причин тому много - кому лень запоминать
много паролей, а кто и просто не знает, что скрывается за этим...
Пароли
в UNIX
С.Богомолов, ACL:
фильтрация пакетов в Cisco IOS
С.Богомолов, AAA:
проверка прав доступа и учет в Cisco IOS
С.Богомолов, TACACS:
отдельный сервер проверки прав доступа и учета
Денис Шергин,
"Усиление безопасности
функционирования сервисов путем помещения их в chrooted окружение"
"Усиление безопасности
функционирования сервисов путем помещения их в chrooted окружение"
Chrooting All Services in Linux
, by
Mark Nielsen
Chrooted system services improve security by limiting damage that
someone who broke into the system can do.
Sergey Velikanov,
"Ограничение
доступа на сервере proftpd при помощи mod_wrap"
"GPW: генератор
произносимых паролей"
"Принудительный
контроль доступа (MAC)" - глава 15 из "Руководства по FreeBSD".
Аутентификация пользователей в сети
"Используем OpenID"
Роб Романс,
"Повышение безопасности с помощью многоэкземплярности директорий"
В этой статье описан способ, который позволит вам добавить ещё один уровень
в вашу стратегию безопасности: использование PAM для включения механизма
многоэкземплярности (polyinstantiation) совместно используемых директорий,
доступных на запись "всему миру".
"Аутентификация: pam_usb"
Как производить аутентификацию пользователей в системе не по паролю, а по
криптографическому ключу на флэшке.
Kirill Zabarniuk,
"Модуль full_audit в samba"
Модуль full_audit позволяет увидеть кто и к какому файлу обращался, кто создал, удалил или
переименовал конкретный файл или каталог.
"Авторизация в домене Windows через Kerberos"
Игорь Чубин,
"Host-based аутентификация в OpenSSH"
Благодаря host-based аутентификации, можно сделать так чтобы пользователи
одного хоста заходили на другой хост без пароля. Этот способ аутентификации
имеет те же преимущества, что и аутентификация через rhosts, но при этом
является намного более безопасным.
И.Чубин,
"Хранение
открытых ключей SSH в DNS"
В.Чижиков,
"Авторизация
для FreeBSD на основе доменных аккаунтов Win2K"
Антон Карпов,
"Авторизация
пользователей в сети при помощи authpf"
А.Федотов,
"Входим в Linux под
учетной записью из домена NT"
Алексей Кореньков,
"Настройка
sendmail с SASL авторизацией"
Пример настройки sendmail и cyrus для использования SMTP авторизации.
"Входим в Линукс
под учетной записью из NT-домена."
Имеется сеть, организованная в Windows NT домен.
Так же имеется PDC (Primary Domain Controller). Установив на один
(или несколько) компьютеров сети ОС Linux, мы хотим,
чтобы пользователи входили в Линукс под учетными записями, которые хранятся на PDC.
"Авторизация
доступа к Интернет на основе Windows NT\2000 авторизации."
О том, как авторизировать Windows-пользователей в SQUID на основе
их доменных аккаунтов.
С.Яремчук,
"Подключаемся по PPTP"
Настройка VPN подключения по протоколу PPTP (Point-to-Point Tunneling Protocol)
"Запасной VPN"
Если для вас потеря vpn соединения критична и работа останавливается, возможно
стоит подумать о конфигурировании некоторой избыточности.
Roman Sozinov,
"VPN-клиент для Linux Ubuntu"
Игорь Чубин,
"OpenVPN Bridge"
На этой странице описывается каким образом можно организовать перенос трафика
тегированного с помощью тега 802.1Q поверх уровня IP. Решение этой задачи
позволяет сохранить принадлежность трафика VLAN'у даже при переходе через
границу сети на канальном уровне, что, в свою очередь, позволяет создавать
сети с единым планом VLAN'ов независимо от того сколько сетей канального
уровня входит в её состав.
Перевод на русский язык man-страниц программ для работы с VLANами и
виртуальными мостами в Linux:
man brctl ,
"man vconfig".
В.Гуров,
"Настройка
VPN с помощью OpenVPN на PocketPC"
Данный материал рассказывает как настроить простейшее VPN соединение между
Linux-сервером с ПО OpenVPN и клиентом использующим версию OpenVPN для PocketPC.
"Авторизация
VPN пользователей в Win2k домене." - как организовать работу в VPN (poptop
под FreeBSD) пользователей под учетными записями Windows домена.
Misha Volodko,
"Аутентификация
пользователей в squid через доменные аккаунты Windows".
Рашид Ачилов,
"Авторизация
Windows-пользователей в SQUID на основе их доменных аккаунтов"
NKritsky,
"Аутентификация
клиентов NEC socks5 сервера в NT домене."
И.Полянский,
"SMTP аутентификаця
клиентов postfix в Activ Directory"
Билл Брант (Bill Bryant),
"Разработка
системы аутентификации: Представление в четырёх действиях"
М.Захаров,
Руководство по настройке
аутентификации пользователей посредством LDAP
Шон Волберг,
"Подготовка к экзамену LPI 301: Тема 303. Конфигурирование LDAP"
О конфигурировании сервера LDAP (Lightweight Directory Access Protocol),
включающем в себя настройку списков контроля доступов, обеспечение
безопасности и оптимизацию.
Натан Хэррингтон,
"Поиск структурированных LDAP-данных при помощи
векторно-пространственного механизма"
Поиск людей в корпоративном каталоге с автоматической корректировкой
типографских и орфографических ошибок
Михаил Кривушин,
"LDAP vs Kerberos"
Vsevolod A. Stakhov,
"Настройка сервера OpenLDAP"
В настоящее время при администрировании крупных сетей часто используется
система LDAP. Но документации на русском по ней практически нет, а документация
на английском IMHO очень размазана. Данная статья направлена на полное описание
механизмов настройки сервера openldap и взаимодействия его с уже существующими
сетевыми сервисами.
Дэвид Мертз (David Mertz),
"Управление
сетевыми клиентами"
В этом учебном пособии: Настройка DHCP-сервера; Настройка NIS-сервера;
Настройка LDAP-сервера; Настройка поддержки аутентификации PAM.
У.Прокопьев,
"Централизованная
схема управления сетью с использованием OpenLDAP"
Е.Прокопьев,
"Авторизация
пользователей Linux в OpenLDAP"
Simon Ritchie, Перевод: Дмитрий Музалевский,
"Инструкции
по настройке аутентификации с помощью LDAP"
Всеволод Стахов,
"LDAP-HOWTO по-русски"
С. Иевлев,
Начала
PAM
Статья о механизме аутентификации в Unix. Описание системы PAM
(Pluggable Authentication Modules, или Подгружаемые Модули
Аутентификации). Кроме описания, в статье рассказывается, как
сделать собственный PAM-модуль и собственное PAM-приложение.
С.Фетисов,
"PAM AUTH
в sendmail 8.12"
Настройка производилась на Red Hat Linux 9.0.
Яценко Дмитрий,
"КРАТКОЕ ВВЕДЕНИЕ В LDAP"
Алексей Федорчук,
"eDirectory - в массы
линуксоидов"
Иван Песин,
"Повесть
о Linux и аутентификации пользователей через Novell e-Directory."
Василий Шабат,
"Каталоги LDAP
и метакаталоги"
Михаил Григорьев,
"Настраиваем
OpenLDAP сервер и клиент с поддержкой SSL"
Вассилики Коуцоникола, Афина Вакали,
"LDAP: архитектура,
реализации и тенденции"
Сервисы каталогов облегчают доступ к информации в разных средах и приложениях.
Облегченная версия протокола доступа к каталогам LDAP (Lightweight Directory
Access Protocol) с помощью структур данных, подобных структурам
протокола X.500, обеспечивает доступ к хранимой в каталогах информации.
А.Капитула,
"Настройка сервера LDAP и PAM_LDAP"
Настройка и запуск LDAP-сервера под Linux, и настройка системы для
авторизации на сервере каталога.
А.Капитула,
"Совместная работа LDAP и SAMBA"
Андрей Афлетдинов,
"Электронные подписи и централизованная
адресная книга в каталоге LDAP."
Andrey Afletdinov,
"Использование LDAP совместно с DHCP,
DNS, SAMBA и sendmail."
Этот документ - попытка описать как под Linux можно упростить администрирование
системы, используя дирректории openLDAP.
Александр Кузнецов,
"Беспарольная
аутентификация по ключу через pam_usb"
"Настройка авторизации 802.1x с EAP"
В статье рассмотрена организация доступа абонентов в сеть с использованием
авторизации абонентов на портах управляемых коммутаторов методом EAP-MD5 по
протоколу RADIUS.
Dalth,
"Настройка PAM_LDAP"
PAM_LDAP (он же nss_ldap) - это модуль для подсистемы PAM (Pluggable
Authentication Modules), позволяющий хранить в каталоге LDAP единую
базу системной информации - пользователей, групп, компьютеров, сервисов
и т.д., которую могут совместно использовать множество Linux-сиситем.
А,Чеботарёв,
" LDAP:
каталог для всех" Давайте посмотрим на эти вещи внимательно и разберемся,
что там может быть полезным - как пользователям, так и администраторам.
Raj Shekhar, перевод: Юрий Прушинский,
"Kerberos: Сторожевой
пёс Эфира"
Кей P.
"Kerberos"
Kerberos - протокол аутентификации, при помощи которого компьютер, собирающийся установить
связь с другим компьютером, может подтвердить свою <личность>. После подтверждения Kerberos
снабжает оба компьютера ключами шифрования для проведения защищенного сеанса связи.
Алексей Барабанов,
"Настраиваем
Kerberos поверх LDAP"
Мы рассмотрим настройку открытой версии Kerberos Heimdal для работы с
OpenLDAP в качестве хранилища учетных данных. Такое решение позволит
вам создать однородную информационную среду для обеспечения процесса
аутентификации и авторизации пользователей в Linux.
А.Барабанов опубликовал черновой вариант (первые три главы и приложения)
находящего в разработке руководства "LDAP и Все-Все-Все"
(формат PDF), в котором всесторонне рассмотрен вопрос настройки LDAP в Linux.
Контроль целостности ПО
С.Богомолов, tripwire:
проверка целостности системы
"Проверка целостности системы
с помощью tripwire"
Антивирусная защита
С.Яремчук,
"Установка HAVP
в Ubuntu"
Большая часть вирусов загружается с различных ресурсов самими пользователями.
Поэтому давай разбираться как добавить в нашу схему проверку трафика
антивирусом.
С.Яремчук,
"Squid:
режем баннеры с Adzapper"
Несмотря на то, что кэширующий прокси-сервер Squid прекрасно справляется с
задачей ограничения доступа к различным ресурсам, проверять файлы на вирусы
и блокировать баннеры его штатными средствами крайне проблематично.
С.Яремчук,
"Настройка SquidClamAv"
Реализуем проверку трафика антивирусом. Как обычно все действия производим
в Ubuntu.
С.Яремчук,
"Дополнения к
MailScanner"
О программах, позволяющих просмотреть статистику работы системы защиты
электронной почты.
С.Яремчук,
"Защита электронной
почты при помощи MailScanner"
"Обзор антивирусных пакетов для Debian 4.0 r0"
- впечатления от антивирусных пакетов AVG, Avast, Avira и ClamAV.
Joseph Quigley, перевод А.Тарасова,
"Два
сканера с открытым кодом для выявления почтовых вирусов"
Антивирус на почтовом сервере - один из уровней защиты Windows-пользователей.
Для решения этой задачи Linux предлагает несколько антивирусных приложений
В этой статье сравнивается использование MailScanner и Anomy Sanitizer на
почтовом сервере Sendmail.
"Создание
неофициального зеркала обновлений ClamAV"
fly4life,
"ClamAV + clamsmtpd + Postfix"
ClamAV - это бесплатный антивирус распространяемый, по лицензии GPL.
В этой статье я расскажу о том, как прикрутить антивирус ClamAV к
почтовой системе postfix.
"Использование
ClamAV для проверки ресурсов Samba 3.0.x через VFS в Linux (на примере
Slackware Linux 10.1)."
Мокрушин И.В.,
"Clamav
и проверка RAR архивов версии 3"
А. Маркелов, 24.12.2003,
"Устанавливаем бесплатный
антивирус для Sendmail"
А. Маркелов,
"Броня моллюска. Обзор и
установка антивируса ClamAV."
Linux.Ramen - вирус-червь под Linux
Появилась информация о вирусе-черве под Linux - Linux.Ramen. Червь использует
незаделанные бреши в некоторых версиях Red Hat Linux. В частности: в wu-ftpd и
rpc.statd для RedHat 6.2 и LPRng для RedHat 7.0.
Крис Касперски,
"Вирусы в UNIX,
или Гибель <Титаника> II"
Что бы там ни говорили фанатики UNIX, но вирусы размножаются и на
этой платформе.
Д.Колисниченко,
"Интеграция Антивируса
Касперского с почтовой системой"
[Опубликовано 15.07.2002]
Денис Зенкин,
Три требования вирусописателей
Итак: есть ли жизнь на Мар: то есть, есть ли вирусы под
Linux? Оказывается, есть. Более того: на горизонте
маячит вполне реальная угроза Linux-эпидемий, которая
может принести практически позабывшим о вирусах
пользователям Linux все те же удовольствия, которые
практически ежедневно испытывают пользователи
Windows.
Три
требования вирусописателей
Немного о вирусах
Документация
по пакету Avp для Linux Workstation. (pdf)
А.Афанасенков
Exim+MySQL+Qpopper+DrWeb
Последнее обновление 19.04.2002.
"Антивирусная
защита UNIX-узлов в гетерогенной среде"
А.Авраменко,
"Прозрачная
проверка файлов на вирусы в Linux"
Организация прозрачной проверки файлов на вирусы при открытии, запуске или
закрытии файлов, при помощи ClamAV (clamuko) и модуля ядра Dazuko (работает
под Linux и FreeBSD).
С.Яремчук,
"Лечебный моллюск"
Проект, который занимается разработкой полностью свободного антивируса,
распространяющегося под лицензией GPL, называется Clam AntiVirus.
"Проверка Squid
трафика на вирусы используя DrWeb"
Настройка проверки трафика проходящего через прокси-сервер Squid
на вирусы с помощью антивируса Drweb for Unix.
Денис Морозов,
"Патч для ClamAV 0.86.2 и RAR 3"
Как получить работоспособную версию ClamAV 0.86.2 с поддержкой RAR 3 под
FreeBSD 4.11
Михаил Брод,
"Румынская
защита"
Есть компания в Румынии, она называется SoftWin и предлагает продукт BitDefender.
С.Яремчук,
"Лечебный моллюск"
Сегодня уже никого не надо убеждать в необходимости использования антивируса для защиты компьютера.
Андрей Шевченко, Александр Каневский,
"Особенности национальной безопасности"
Криптозащита
Юрий Трофимов,
"HOWTO: Шифруем USB flash"
Д.Чеканов,
"Системы шифрования данных LUKS, EncFS и CryptoFS под Linux"
"Продвинутый
способ шифрования разделов в Linux, или мной овладела паранойя."
Кратко, суть статьи: шифруем разделы, удаляем с винчестера загрузчик, размещаем
загрузчик на флешку, делаем чтобы при выключении стиралась таблица разделов.
Доступ: грузим линукс, который находится на флешке, восстанавливаем таблицу
разделов, перезагружаемся, грузим основную систему, с флешки считываются все
парольные фразы для монтирования зашифрованных разделов, после загрузки системы
вынимаем флешку и прячем ее от дурных глаз. В случае чего, после shutdown
системы, без флешки ни загрузить систему, ни прочитать или расшифровать
разделы будет не возможно. Если посмотреть на винчестер из какого-либо
приложения, то там будет виден один неотформатированный раздел.
Тимофей Ха,
"Безопасность в туннеле, или stunnel на страже коммуникаций"
Под редакцией В.В.Ященко,
"Введение в криптографию"
Этот учебник многократно переиздавался и пользуется заслуженной популярностью
среди студентов-математиков и специалистов по безопасности. В нем систематически
изложены практически все аспекты криптографии - от основ до самых современных
криптографических конструкций.
"Введение
в криптографию" Что такое криптография?
В.Масол,
"Математика
криптологии"
Прикладная
криптография. Протоколы, алгоритмы и исходные тексты на языке C.
Сергей Банников,
Криптография:
защищайтесь, сударь!
Алексеев A.
Криптография
и криптоанализ: вековая проблема человечества
Защита информации необходима для уменьшения вероятности утечки (разглашения),
модификации (умышленного искажения) или утраты (уничтожения) информации,
представляющей определенную ценность для ее владельца.
Руслан Коржик,
"Алгоритм
шифрования MD5"
"Разработка модуля Linux ядра,
реализующего алгоритм криптозащиты ГОСТ 28147-89"
Программы шифрования по
ГОСТ 28147-89 для Линукс.
Котельников Руслан,
"BestCrypt -
лучший"
А.Доля,
"Брюс Шнайер:
Криптография и безопасность домашнего компьютера"
Валерий Качуров,
"Использование CFS,
криптографической файловой системы."
[03.12.2002] Руководство по установке и использованию CFS.
Преимущества и недостатки различных криптографических систем.
Дмитрий Чеканов,
"Системы
шифрования данных LUKS, EncFS и CryptoFS под Linux"
Станислав Лапшанский,
"Криптография
во FreeBSD и не только. Часть 1."
"Шифрование (K)Ubuntu для домашнего и бизнес применения"
"SSH для частого использования"
Андрей Синицын,
"Advanced SSH:
строим туннели"
"Защищаем ssh"
"Оптимизация работы с SSH с помощью bash-completion"
"Краткое введение в SSH"
"Защита SSH от перебора пароля с помощью blocksshd
и iptables"
"Проброска портов
с помощью ssh"
Краткое описание как пробросить порты с удалённой локальной сети на локальную
машину при помощи ssh. Может быть полезным, когда нет VPN в удалённую сеть, а
есть ssh, и нужен доступ к какому-то сервису
Borys Musielak, перевод - Андрей Федосеев,
"Хитрости
SSH" (перевод статьи "SSH Tricks")
Не все знают, что SSH обладает рядом дополнительных мощных возможностей,
таких как вход без запроса пароля, автоматическое выполнение комманд в
удалённой системе и даже монтирование удалённых папок.
С.Богомолов,
"Реализация
VPN с помощью PPP через SSH"
Misha Volodko,
"Помещение SSH пользователей в изолированное окружение"
Как дать ограниченный доступ пользователям по протоколу ssh.
serhiy cherevko,
"SSHFS -
монтирование удаленных систем через SSH"
Михаил Конник,
"SSH для простых смертных"
"Четыре шага в защите SSH"
Неправильно сконфигурированный SSH демон может быть больше угрозой, нежели
помощью.
Вячеслав Колошин.
"Секьюрити и SSH"
Matteo Dell'Omodarme,
Использование
ssh
Matteo Dell'Omodarme,
Использование ssh
Mattheo Dell'Omodarme,
Пакет ssh: sftp, scp и ssh-agent
Ssh
(Secure Shell) FAQ.
OpenSSH FAQ.
Jose Nazario,
Использование ssh-agent от SSH1 и OpenSSH
Д.Роббинс, перевод И.Захаровой,
Управление ключами в
OpenSSH, Часть 1
Понятие RSA/DSA-аутентификации. Что это такое и как с этим работать.
[Опубликовано 08.06.2002]
Д.Роббинс, перевод И.Захаровой,
Управление ключами в OpenSSH,
Часть 2
Вторая часть статьи знакомит с ssh-agent и keychain. А так же рекомендации
по использованию и настройке. [Опубликовано 11.06.2002]
Д.Роббинс, перевод И.Захаровой,
Управление ключами
в OpenSSH, Часть 3
Третья, заключительная часть цикла статей об OpenSSH.
[Опубликовано 15.06.2002]
Арсений Чеботарeв, Николай Ткаченко,
"SSH:
безопасность - превыше всего"
Как известно, существует ряд протоколов для шифрования трафика в TCP/IP-сетях,
например, IPSec и SSL, каждый из которых имеет свои особенности и области
применения. Для администрирования сетевых устройств и сервисов все большую
популярность приобретает протокол SSH.
"Настройка
сервера SSH (теория и практика)"
Брайн Хатч.
"Локальное SSH-туннелирование."
Брайен Хатч, перевод Владимир Куксенок,
"Защита с помощью SSH ключей"
Brian Hatch, Перевод: Сгибнев Михаил,
"Аутентификация
на SSH сервере с использованием ssh-agent"
Erdal Mutlu,
"Автоматизация
системного администрирования с помощью ssh и scp"
Vsevolod A. Stakhov,
"Настройка сервера SSH (теория и практика)"
В.Стахнов,
"Настройка
сервера SSH (теория и практика)"
Vsevolod A. Stakhov,
"Настройка сервера SSH
(теория и практика)"
Руководство
по настройке и использованию SSH.
Станислав Лапшанский,
"Открытая
криптография. Использование SSH."
Станислав Лапшанский,
"Открытая
криптография. Конфигурирование SSH"
Безопасность
с ssh
ПереSSHептывание. 1 серия
ПереSSHептывание. 2 серия
"Безопасность
с ssh"
О том, что "враг не дремлет", знает каждый. Злые хакеры рыщут по Internetу, в надежде
чем-нибудь поживиться. Поэтому каждый, кто ставит UNIX (читай Linux)-сервер тайно лелеет
надежду, что его "пронесет". Но надежда - надеждой, а меры тоже надо принимать.
Михаил Кузьминский,
SSh - повседневное средство
безопасной работы
, (ОТКРЫТЫЕ СИСТЕМЫ #02, 99) В статье рассматривается ssh (secure shell),
- одно из самых распространенных программных средств повышения компьютерной
безопасности при работе Unix-систем в Internet.
Использование
ssh-agent от SSH1 и OpenSSH
Как добиться безопасной аутентификации???
Краткий обзор sftp и scp
Обзор нескольких полезных программ из пакета ssh, а именно sftp, scp,
ssh-agent и ssh-add
С.Богомолов,
Безопасное удаленное
выполнение заданий и копирование файлов с помощью SSH (OpenSSH)
Сергей Богомолов.
"SSH (security shell) принципы работы, установка и настройка"
FAQ по SSH
FAQ по OpenSSH. (пер. Андрея Лаврентьева)
"Mocert.ru/" -
сайт, который предоставляет услуги удостоверяющего центра, то есть
подтверждающего подлинность SSL-ключей. По ссылке - несколько статей о том,
как установить сертификаты в разных программах.
"Защита VNC-приложений при помощи SSL"
Хотите увидеть рабочий стол удаленно, с большим удобством, чем это возможно
при использовании проприетарных решений, и с большей безопасностью, чем при
использовании ssh? Вот хороший способ добиться этого.
Алексей Чекушкин,
"Авторизация
с помощью клиентских SSL сертификатов."
Протокол безопасной передачи данных SSL (Secure Sockets Layer) помимо
обеспечения безопасной передачи данных позволяет также реализовать
авторизацию клиентов на сервере с помощью клиентских SSL сертификатов.
Владимир Мешков,
"Используем
средства библиотеки OpenSSL для криптографической защиты данных"
Сегодня мы поговорим о библиотеке OpenSSL. Эта свободно распространяемая
библиотека предоставляет в распоряжение пользователя набор утилит, реализующих
различные криптографические алгоритмы, такие как Triple-DES, Blowfish,
AES, RSA и другие.
Денис Колисниченко,
Безопасные ракушки
и слои
В статье рассмотрено подключение SSL к Apache, использование SSH и stelnet.
[Опубликовано 22.12.2001]
"IPSEC как
протокол защиты сетевого трафика"
Геннадий Махметов,
Реализация IPsec
в свободно распространяемых UNIX
Существовало несколько проектов по реализации IPsec для
свободно распространяемых UNIX, но только некоторые из них оказались достаточно успешными для
использования их в реальной работе. В этой статье я рассмотрю три самых распространенных из них - KAME
(FreeBSD, NetBSD, OpenBSD), FreeS/WAN (Linux) и IPsec, встроенный в OpenBSD. Таким образом, для OpenBSD
существует две реализации IPsec - собственной разработки и KAME.
С.Богомолов, SSL
(OpenSSL)
И.Сысоев,
"Некоторые малоизвестные
возможности и особенности OpenSSL"
Р.Матвеенко,
Что такое SSL
Vinayak Hegde, перевод: Игорь Яровинский,
"Шифрование
с использованием библиотек OpenSSL"
Павел Хмель,
"Безопасный
доступ к Web информации, SSL c нуля на Debian и FreeBSD (Apache+OpenSSL)"
"ОХРАНЯЕМ
СВОИ СЕКРЕТЫ, или GPG на службе email"
"Шифрование
данных с помощью GnuPG"
Описание GNU
Privacy Guard.
(sgml)
(tex)
(pdf)
"ОХРАНЯЕМ
СВОИ СЕКРЕТЫ, или GPG на службе email"
"Gnuтый PGP"
G.Jenkins,
Безопасная
печать с PGP
"Защита ваших данных.
PGP & Linux." Более надежный способ закрыть данные от посторонних.
rl03,
"GNU Privacy Guard - GPG"
GnuPG - программа для шифрования и подписывания информации, совместимая с PGP.
В.Качуров,
Использование GnuPG,
часть 1
[Опубликовано 22.06.2002]
Dr.XoR,
"Использование GnuPG"
Опубликовано: 03.07.2002
Перевод 20 man-страниц утилит SELinux пакета policycoreutils
Перевод man-страницы по использованию SELinux вместе с Samba.
А.Маркелов,
"SELinux. MLS и MCS: что с чем едят. MCS"
Разберемся, что такое MCS и как ограничить пользователям (в том числе и
администратору) доступ к информации при помощи категорий SELinux.
Авинеш Кумар, Сандеш Чопдекар,
"Начало работы со службой хранения ключей в Linux"
Служба хранения ключей, включенная в ядро Linux версии 2.6, - замечательный
новый способ управления аутентификацией, шифрованием, междоменными
пользовательскими соответствиями и решения других задач, связанных
с обеспечением безопасности платформы Linux.
Victor Gurov,
"Работа с зашифрованными
дисками в Linux/FreeBSD/NetBSD/OpenBSD"
Билал Сиддикуи,
"Безопасность
Web-сервисов"
В этой статье рассматриваются три XML-стандарта безопасности:
"Подпись XML" (XML Signatures), "Шифрование XML"
(XML Encryption) и "Безопасность Web-сервисов" (Web Services Security)
Защита от вторжения извне (внешнего
воздействия), обнаружение вторжений
Владимир Попов,
"Ещё о SmoothWall
и немного идеологии"
Владимир Попов,
"Експресс полярный,
он же - "галантный медведь"" SmoothWall Express - файрвол, распространяемый
под лицензией GPL.
С.Яремчук,
"Дистрибутив для
создания межсетевого экрана - pfSense"
Евгений Коньков,
"Advanced ipfw configuring"
Учитывая тот факт, что файрвол имеет тенденцию разрастаться, со временем
количество ненужных проверок будет расти и соответственно производительность
падать. А это ненужные задержки...
С. Яремчук,
"Zorp - модульный
файервол уровня приложений"
"Фильтрация пакетов
по географическому признаку с помощью iptables и geoip"
"Проверяя
ваш файрвол"
В этой статье описывается разрешение проблем, связанных с пакетным фильтром.
Олег Воробьёв,
"Заметки об IPFW"
Рассказ о принципе построения правил пакетного фильтра IPFW.
С.Супрунов,
"Огненный
блокпост: cравнительный обзор файрволов FreeBSD"
Александр Дилевский
Кто
не спрятался, я не виноват!
Фильтрация пакетов, firewall и маскарадинг в Линуксе. (06-15.06.1999)
Фильтрация пакетов,
firewall и маскарадинг в Линуксе Кто не спрятался, я не виноват!
Кто не спрятался - я не виноват!
Фильтрация пакетов, firewall и маскарадинг в Линуксе.
"Обработка VoIP
трафика через PIX Firewall"
Aleksandr S. Goncharov,
"Защита FreeBSD
от OS Fingerprinting с использоанием PF firewall"
Описание процесса защиты от удаленного определения типа ОС (OS Fingerprinting),
используя возможности пакетного фильтра PF.
Михаил Сгибнев, Перевод первой статьи серии, написанной Дэниэлем Хартмайером.
"PF:
Оптимизация правил пакетного фильтра"
Зелинский C.
"Персональные брандмауэры"
Как известно, соединение с Internet не только обеспечивает нас коммуникационными и
информационными ресурсами, но и скрывает угрозу несанкционированного вторжения.
Для индивидуальных пользователей, работа которых не защищена сетевыми брандмауэрами
или другими средствами защиты, имеются персональные брандмауэры. Что же представляют
собой эти программные средства?
Пер. Alice D. Saemon,
"Netfilter: новые
возможности Linux-файрволла в новом ядре"
Netfilter - подсистема фильтрации пакетов в ядрах 2.4 - это первый
встроенный в ядро файрволл, обеспечивающий возможность контекстной
фильтрации пакетов.
М.Сгибнев,
"Настройка межсетевого
экрана на SOHO маршрутизаторе Cisco SB 101"
Фильтрация
пакетов, firewall и маскарадинг в Линуксе.
"Особенности настройки
iptables в RedHat-based дистрибутивах"
"Основы использования
iptables"
IPTABLES - управление пакетными фильтрами IP.
"Настройка iptables для дома и для локальных сетей
с выходом в интернет"
Ken Leyba, перевод А.Тарасова,
"Введение в Firestarter"
Firestarter - это графическая оболочка для iptables, которая упрощает
настройку простого файрволла для рабочих станций, ноутбуков и серверов.
Артем Корнеев,
"Target-модуль
для iptables своими руками"
Артем Корнеев,
"Match-модуль
для iptables своими руками"
Александр Колбасов,
Здравый
смысл брандмауэров ("Сети", #6/96)
Build
a Firewall
Вольный пересказ статей Джона Браена (John Bryan, "Byte", april 1995)
Джон Вэк и Лиза Карнахан
"Содержание сети вашей организации в безопасности при работе с Интернетом
(Введение в межсетевые экраны (брандмауэры))"
Специальная публикация NIST 800-10.
Израэль Дж. Луго и Дон Паркер, перевод Владимир Куксенок,
"Программные
межсетевые экраны: огненная стена или соломенная ширма? Часть 2"
Григорий Ситнин,
"Firewall с возможностью vpn
(freebsd + pf + mpd)"
Как обезопасить свой компьютер наиболее простым способом? В одной из версий
FreeBSD пакетный фильтр pf входит в стандартный набор. Сконфигурируем его.
А.Малащенко,
"Защищаем Линукс - файрвол за 10 минут"
А.Малащенко,
"Защищаем Линукс - файрвол за 10 минут.",
Пошаговое руководство по базовой настройке файрвола на домашнем компьютере
под управлением ОС Линукс. Пригодится пользователям, желающим сэкономить
время на прочтение подробной документации,
но не готовым мириться с наличием потенциальных дыр в своей системе.
Р.Ю.Торопов,
"Пошаговое конфигурирование iptables в
среде Linux"
"Скрипт для настройки
Iptables."
"Простое
управление iptables"
Alexey Dmitriev,
""Огненная
стена" или строим файрвол на базе iptables"
Firewalls (Брэндмауэры)
IPTables
Tutorial - Учебник по IPTables (пер. Андрея Киселева)
"Iptables
Tutorial" до версии 1.1.19. Можно скачать в виде архива. Копия есть на
CITforum.
Использование
iptables на автономной dual-up машине.
"iptables - встроенный в ядро брандмауэр"
Chris Lowth, Перевод: Андрей Киселев,
"Скрытые возможности IPTables"
С помощью этого мощного набора расширений для iptables вы сможете строить свои правила, основываясь
на анализе содержимого пакетов, диапазона портов и даже создавать ловушки для злоумышленников.
"Расширенные возможности Iptables".
В последнее время в ядре Linux появилась куча новых модулей Iptables.
О многих вы, наверное, слышали, некоторые, возможно, уже используете,
но вы даже представить себе не можете, насколько легче становится жизнь
сисадмина и сколько действительно интересных и полезных возможностей
обеспечивают эти модули
"Объединение
нескольких каналов Интернет при помощи iptables"
Andy Gorev,
"Балансировка
каналами по простому"
В статье по Advanced Routing и QoS я уже приводил некоторые способы для
балансирования трафиком между несколькими каналами. В этой статье пойдет
речь о довольно стабильно работающих каналах и простейших способах
балансирования с использованием iptables, не прибегая к маршрутизации вообще.
С.Богомолов, ipchains:
защита компьютера с помощью фильтрации пакетов
Firewall
Software -- фильтр пакетов TCP/IP для ОС Linux
Руководство Пользователя.
"SP-serv :
вводная часть по сетевым програмным пакетам iptables и iproute2
на Linux ( Fedora Core 3) ядро 2.6.12.5"
Ознакомление начинающих Linux пользователей с програмными пакетами для
обработки пакетов и управления трафиком. Знания в этой области позволяют
создавать firewall, выводить локальную сеть в интернет через один реальный
IP-адрес, ограничивать приоритет паразитного трафика, повышать скорость
WEB-серфинга для пользователей локальной сети с невысокой скоростью интернета
и многому другое.
Brendan Conoboy, Erik Fichtner, перевод на русский язык - Сгибнев Михаил,
"IP Filter Based
Firewalls HOWTO"
"Замедление
bruteforce атак на SSH с помощью PF"
Перевод: Сгибнев Михаил,
"Настройка Mandrake 10.1
в качестве межсетевого экрана"
"Linux,
Kernel, Firewall"
Джим Хаббард, перевод - Андрей Пировских,
"LEAF-Bering
uClibc: межсетевой экран средствами Linux"
Создать межсетевой экран и маршрутизатор, обладающий превосходной
гибкостью и функциональностью, на базе безбожно
устаревшего компьютера - возможно ли такое? Да, и поможет в этом Linux.
Олег Сыч,
"Один
в поле не воин: межсетевые экраны и антивирусы - братья навеки!"
"Содержимое /proc, связанное с
настройкой Firewall в Linux "
Между прочим из этой статьи можно почерпнуть полезные сведения о /proc.
А.Доля,
"Mandrake
Multi Network Firewall: интервью с создателями"
Mandrake Multi Network Firewall - известный в мире Free Software брандмауэр.
Он решает довольно много задач: фильтр пакетов и web-запросов, web proxy
и IDS (система обнаружения вторжений). Об устройстве и возможностях
данного решения нам подробнее расскажет Винсент Данен (Vincent Danen).
В компании Mandrake Винсент отвечает за security-обновления
Multi Network Firewall.
М.Картин, М.Ранум, перевод В.Кравчука,
"Internet Firewalls FAQ"
Hoang Q. Tran, перевод: Сгибнев Михаил,
"Использование ipfilter
в FreeBSD"
В.Роздобудько,
"Пингвин на воротах"
Мы поговорим сегодня о настройке файрвола (брандмауэра) в операционной системе Linux.
Vasoo Veerapen, Перевод: Иван Песин,
"Адаптируемые
межсетевые экраны на базе Linux"
David Whitmarsh,
Реализация
bridging firewall
David Whitmarsh, (перевод: А. Куприн)
Реализация bridging firewall
Руководство
Пользователя sf-Firewall
Sf Firewall
User's Guide
Виталий Лопатин
Настройка и
использование файрволла TIS FWTK
Firewall своими руками
Кое-что для работы c Firewall.
Firewall - не панацея.
Для устранения проблем, связанных с безопасностью, было разработано
много различных решений, самым известным и распространенным из
которых является применение межсетевых экранов (firewall). Их
использование - это первый шаг, который должна сделать любая
организация, подключающая свою корпоративную сеть к Internet.
Первый, но далеко не последний. Одним межсетевым экраном для
построения надежного и защищенного соединения с Internet не
обойтись. Необходимо реализовать целый ряд технических и
организационных мер, чтобы обеспечить приемлемый уровень
защищенности корпоративных ресурсов от несанкционированного доступа.
Brendan Conoboy, Erik Fichtner, перевод на русский язык - Сгибнев Михаил,
"IP Filter Based
Firewalls HOWTO"
Paul Russell,
IPChains
HOWTO, перевод Ilgiz Kalmetev, v1.0.7, 12 March 1999
Этот документ рассказывает как получить, установить и сконфигурировать программное обеспечение для IP
firewalling цепочек(chains) в Linux и предлагает некоторые приемы их использования.
Копия
тут
А
IPCHAINS
HOWTO - другой вариант перевода,
сделанный Вячеславом Калошиным [multik@istu.edu]
IPCHAINS - это замена, пришедшая на смену ipfwadm.
Копия тут
Дмитрий Коптев,
"DNAT и с чем его едят"
В статье рассказывается, как осуществить port/ip forwarding в сети,
соединенной с Интернетом посредством шлюза на базе iptables.
В.Калошин KSI работает ...
поговорим про firewall ?
"IPFW"
IPFW - это IP-firewall и программа для управления формирования трафика в сети.
Используем
IPFWADM для управления TCPD и брандмауэрами
В этой статье очень кратко описывается процесс конфигурации сервисов
inetd, позволяющий улучшить безопасность вашей системы. В качестве основного
средства администрирования и настройки сервисов inetd рассматривается IPFWADM.
"ipfw.ism.kiev.ua" -
сайт, посвящённый описанию работы и настройки ipfw - IP-firewall
и программы для управления формирования трафика в сети для OC
FreeBSD.
Игорь Чубин,
"Ipfw и управление трафиком в FreeBSD"
Майанк Шарма,
"Восстановление системы после взлома с помощью LiveCD"
Два средства обнаружения вторжения в систему и восстановления важных данных.
Raul Siles, GSE, перевод Logos,
"Sebek 3:
как отследить злоумышленника, часть 1"
Sebek - это open-source приложение, цель которого - получить как можно больше
информации об активности злоумышленника.
О.Лапонина,
"Intrusion
Detection Systems (IDS)"
Майкл Лукас (Michael Lucas), пер. С.Лапшанский,
"Демон следит за
системой"
О том, как стандартными средствами unix-подобных операционных систем
отслеживать практически любые изменения в системе.
Опубликовано: 31.01.2002.
"Intrusion Prevention Systems:
новый шаг в развитии IDS", перевод статьи Neil Desai.
При объединении возможности файерволла блокировать трафик и
глубокого исследования трафика посредством IDS'а, мы получим новый инструмент :
систему предотвращения атак (intrusion prevention systems или IPS).
Дон Паркер, перевод Владимир Куксенок,
"Аудит Брандмауэров и
Средств обнаружения вторжений (IDS). Часть первая."
Дон Паркер, перевод Владимир Куксенок,
"Аудит Брандмауэров и
Средств обнаружения вторжений (IDS). Часть вторая."
Евгений Жульков,
"Поиск уязвимостей
в современных системах IDS"
"Snort:
инструмент выявления сетевых атак"
С.Богомолов,
"Snort - система
обнаружения и предупреждения вторжений (IDS)"
" Установка snort
совместно с acid и snortsam на FreeBSD."
Snort - мощный и гибкий инструмент для обнаружения различного вида атак.
"The Snort FAQ"
Перевод на русский язык: Роман Лепешков.
Рик Николас, Перевод Алексей Антипов,
"Использование утилиты Afick для обнаружения вторжений."
Afick - это быстрая и доступная утилита, помогающая при обнаружении вторжений,
а также позволяющая контролировать общую целостность системы.
"Система
обнаружения вторжений на базе IDS Snort"
Статья описывает методы реализации механизма IDS (системы обнаружения вторжений)
на базе самой распространенной IDS в мире - Snort под Linux.
"PortSentry
для обнаружения нападения, часть вторая, установка и конфигурирование"
(Опубликовано 3 августа 2002 г.)
А.Ерижоков,
Portsentry
Portsentry - это программа для обеспечения безопастности вашей системы. Она
позволяет обнаружить и пресечь сканирование портов вашей машины, а так же
обладает еще несколькими интересными функциями. В статье подробно описывается
как установить, настроить и работать с этой программой.
Ерижоков А.
Portsentry
Ерижоков А.
LIDS:система обнаружения и
защиты от вторжения
Адлан Ерижоков
LIDS - система обнаружения и защиты от вторжения
"LIDS: патчи к ядру Linux", часть 1
"LIDS: патчи к ядру Linux", часть 2
J.Rivera,
"Обнаружение
вторжения средствами Debian GNU/Linux"
Контроль состояния безопасности системы
"Программы для рассчёта
и проверки контрольных сумм"
С.Яремчук,
"Крепость или тюрьма?"
Главная задача проекта Bastille Linux - укрепление уже установленной системы.
Bastille Linux представляет собой легкий в использовании, удобный и интуитивно
понятный инструмент, позволяющий существенно поднять защищенность компьютера,
будь то сервер или десктоп. А в придачу является неплохим пособием по изучению
защиты Linux-систем.
Дуглас Тумбс,
"Система мониторинга JFFNMS"
Статья про opensource систему сетевого мониторинга JFFNMS, написанную на PHP
и работающую под Linux, FreeBSD и Win2K/XP.
Александр Красоткин,
"Сканер безопасности
Nessus"
Бочкарев Д.
"NESSUS -
современный анализ безопасности, методы сканирования"
В середине сентября компания "Инфосистемы Джет", специализирующаяся
в области обеспечения защиты информационной безопасности объявила о начале
распространения бесплатного дистрибутива сканера сетевой безопасности Nessus.
Как работает
сканер безопасности?
В последнее время увеличилось число публикаций (в основном,
зарубежных), посвященных такому новому направлению в области защиты
информации, как адаптивная безопасность сети. Это направление
состоит из двух основных технологий - анализ защищенности (security
assessment) и обнаружение атак (intrusion detection). Именно первой
технологии и посвящена данная статья.
SATAN-1.1.1
Satan
Сначала про инсталляцию. Из дистрибутива он, в принципе, ставится для
многих платформ. Вот как назло, кроме линуха. Сам дистрибут довольно
старый, и линукс с тех пор убежал далеко вперед, а САТАН лезет довольно
глубоко в TCP/IP стек.
Разные статьи об обеспечении безопасности системы
"Безопасность и сокрытие данных в Linux"
"Соединение нескольких офисов в одну сеть с помощью OpenVPN"
Jamie Riden, перевод: Владимир Куксенок,
"Использование
Nepenthes Honeypots для обнаружения злонамеренного ПО"
Михаил Конник,
"Сокрытие данных, Эпизод 1: Стеганография"
О стеганографических утилитах, доступных по лицензии GNU GPL и имеющихся в Debian
Серж Галин,
"SELinux из наброска"
Использование SELinux в Gentoo
Фай Кокер и Рассел Кокер, Перевод - Андрей Мартынов,
"Получите преимущества
SELinux в Red Hat Enterprise Linux 4"
А.Маркелов,
"SELinux. Максимальный уровень защиты - бесплатно"
Фей Кокер (Faye Coker), Перевод: Иван Песин,
"Введение
в SE Linux: новый SE Linux"
Иван Золотухин,
"Виртуальные Туннели"
Опыт создания туннеля между ноутбуком и офисной сетью,
на расстоянии в 3 тысячи километров.
"Восстановление сервера после взлома"
Д.Матыцын,
"Настройка
FreeBSD и Planet VRT-311S для объединения сетей посредством IPSec "
М.Григорьев,
"Настраиваем
синхронизацию паролей Samba и Heimdal в OpenLDAP Server"
Russell Coker, Stephen Smalley,
"The UnOfficial
SELinux FAQ"
Перевод неофициального FAQ по SELinux. Автор перевода - Demimurych
Мариус Бурдач, перевод Владимир Куксенок,
"Обнаружение
компрометаций ядра Linux с помощью gdb"
"Защита от исполнения
в стеке (ОС Линукс)."
В данной статье речь пойдет о разработке модуля безопасности (загрузочного
модуля ядра), который будет отслеживать выполнение некоторых системных
вызовов в контексте стека процесса.
"Автоматическая блокировка злоумышленников под Linux"
Авлин Виг, перевод: Vlad_K80,
"Предотвращение DoS атак "
Нейл Десэй, перевод Владимир Куксенок,
"Использование Libwhisker"
Libwhisker это не утилита или приложение, это Perl библиотека, которая
позволяет создавать HTTP пакеты.
Cezary M. Kruk, Перевод: Андрей Романчев,
"Установка Slackware и
настройка безопасности"
Владислав Пинженин,
"Безопасность
сети (защита от подмены адресов) на основе 802.1х и SFlow,
"идеальная и недостижимая"
или здесь.
Боб Рудис, перевод Алексей Антипов,
"Ужасы войны". Защита
Microsoft Groupware Environments под Unix", (Часть первая).
В данной статье была рассмотрена комбинация Sendmail, MIMEDefang и
SpamAssassin как средств формирования MTA.
Боб Рудис, перевод Алексей Антипов,
"Ужасы войны".
Защита Microsoft Groupware Environments под Unix (Часть вторая)."
Во второй части рассматривается использование Qmail, Qmail-Scanner,
Clam Anti-Virus, и снова SpamAssassin как дополнительного средства
в войне против вирусов и спама.
Андрей Бешков,
"Сторожевой пес"
На прошлой неделе редакция нашего журнала попросила меня провести тестирование
в боевых условиях устройства watchdog, предназначенного для мониторинга
и восстановления работоспособности зависших серверов через принудительный
перезапуск.
Тимоти Хам,
"Руководство по установке FreeBSD Wi-Fi IPsec"
Было создано IPsec туннельное соединение между хостом MS-Windows с беспроводным Ethernet
и FreeBSD NAT шлюзом. Такая настройка позволяет мобильному хосту иметь защищенное
и зашифрованное соединение в незащищенной по своей сути радиосети.
Перевод: Сгибнев Михаил,
"NetBSD документация:
NetBSD IPsec" Перевод официальной документации по NetBSD IPsec.
Теоретические основы, примеры конфигурации....
С.Яремчук,
"Береги ОС с инсталляции"
К сожалению, абсолютно защищенных систем пока еще не придумали - готовые
программы для проникновения в любую из существующих, равно как и описание
соответствующих технологий, можно найти в открытых источниках.
"Надежные
стены Linux" О безопасности в Линукс.
"Средства инцидентного анализа для Unix.
Часть вторая. Утилиты файловых систем."
Вашему вниманию представлена вторая из серии статей, описывающих
средства, используемые для инцидентного анализа и исследования
произошедшей дискредитации операционных систем Linux, OpenBSD и Solaris.
Эта статья опишет программы файловых систем.
Artur Maj, по материалам SecurityFocus.com,
"Защищаем Apache Web сервер"
Артур Май,
"Защищаем Apache 2. Шаг за шагом"
"Защищаем PHP. Шаг за шагом."
"Защищаем MySql. Шаг за шагом "
Алексей Аксенов,
"Установка IPSEC соединения
между компьютерами Linux (FreeS/WAN) и Windows в Transport Mode c
использованием PSK."
Иван Ристик, перевод SecurityLab.ru,
"Защита Web приложений с
помощью Apache и mod_security "
Морган Кантер, перевод Иван Песин,
"Secure
CVS Pserver Mini-HOWTO"
Этот документ поможет вам настроить безопасный CVS Pserver для анонимного
доступа к репозиторию CVS.
23/09/03. Открылся сайт
"http://linuxsecurity.ru/".
Пока там нет ничего, кроме предложения купить Russian Trinux Kit -
первый российский дистрибутив ОС Linux, предназначенный для анализа
сетевой безопасности удаленных и/или локальных вычислительных систем
и сетей.
В.Калошин,
"Поиск закладок."
В.Калошин,
"Поиск закладок"
В этой статье я попробую рассказать о методике поиска "закладок". Наученный
горьким опытом, сразу вынужден оговориться, что я никогда не оставлял закладки
и прочие подобные гадости - это не в моем стиле, да и незачем мне это.
А вот искать приходилось и не раз.
В.Калошин,
"Поиск закладок 2. Борьба с adore"
Александр Супрунов,
"В лесу далеком клад
зарыт." как под Линукс укрыть ценные данные от посторонних глаз.
"В лесу далёком клад
зарыт" Опубликовано 26.11.2002.
Михаил Разумов, по материалам SecurityFocus,
"Установка
honeypot на примере OpenSource Honeyd"
Honeypots позволяют нам брать инициативу в свои руки и изучать работу хакеров.
Цель этой статьи - рассказать про honeypots и продемонстрировать их возможности
Michael Lucas, перевод: Станислав Лапшанский,
"Как обойтись без
прав root. Часть 1".
Опубликовано 10.11.2002.
"Как обойтись
без прав root. Часть 1 "
Станислав Лапшанский,
"Как обойтись без прав root'а. Часть 2."
[Опубликовано 19.11.2002]
Улучшение безопасности путем отказа от прав root. Часть 2.
Станислав Лапшанский,
"Как обойтись без прав root.
Часть 3."
[ 29.11.2002]
Улучшение безопасности путем передачи прав root другим пользователям.
Часть 3, заключительная.
"Построение сети
с разделением трафика на базе iptables & ip route"
Dru Lavigne, перевод Валерия Моторина,
"Защита
от троянов и руткитов"
Д.Колисниченко,
Ограничение доступа
пользователей
[Опубликовано 25.06.2002]
Александр Лозовюк,
"GnuPG - OpenSource
шифрование и цифровые подписи" (копия - здесь).
David Lechnyr,
Сетевая безопасность
с /proc/sys/net/ipv4
Олег Бройтман,
Философия защищенного
Замка
Впечатления от недавно прошедшего семинара, посвященного построению защищенных
систем на базе Linux. Общие принципы построения защиты при помощи RSBAC.
[Опубликовано 08.06.2001]
Stanislav Ievlev,
"Начала RSBAC."
Защита от взлома
путем выдачи ложной информации
- "Цель - защита системы от взломщика, путем
выдачи ему ложных данных. Давно известно, что прежде чем производить взлом, надо собрать
информацию о жертве". А Linux как раз дает вам огромные возможности для того, чтобы
испортить жизнь хакеру на первой же стадии взлома вашей системы :)."
Андрей Матвеев,
Linux
обеспечивает безопасность в сети
Первая часть статьи об обеспечении безопасности Linux в сети на примере
дистрибутива Red Hat Linux 7.0. Настройка firewall с помощью ipchains и
выявление сканирования с помощью portsentry.
А.Матвеев
Linux обеспечивает безопасность в сети.
Продолжение
Вторая
часть статьи об обеспечении безопасности Linux в сети на примере дистрибутива
Red Hat Linux 7.0. Укрепление защиты wu-ftp и web-сервера apache. Переконфигурирование
ядра. Отслеживание и защита от вторжений в систему.
Станислав Иевлев,
Мой
дом - мой Замок
Описывается свободная система разграничения
доступа Rule Set Based Access Control (RSBAC) for Linux. Появившись в
1996 году как дипломная работа немецкого студента Амона Отта (Amon Ott),
RSBAC претерпела значительные изменения, став серьезной системой,
конкурирующей с другими популярными проектами. Система представляет собой
достаточно большой патч (заплатку) к стандартному ядру Linux и, благодаря
хорошо продуманной архитектуре, легко переносится на все более новые версии
ядра.
А.Ерижоков
Stunnel: Шифрование
трафика
"Аспекты безопасности
при написании CGI-скриптов"
Профессионально работая с сетью, нельзя не задумываться над вопросами
информационной безопасности. Хорошо написанные .cgi и .pl скрипты
должны не только выдавать красивые результаты, но и стабильно работать.
Также они должны не создавать дыр в системе безопасности.
А.Колядов
Linux-2.4 - шаг к безопасности.
Инга Захарова,
"Сканирование
на предмет обнаружения Rootkit'ов"
Перевод статьи Октея Элтанеджила (Oktay Altunergil) "Scanning for Rootkits"
(http://linux.oreillynet.com/pub/a/linux/2002/02/07/rootkits.html).
[Опубликовано: 28.03.2002]
Wrapper - первые шаги
Один из способов контроля действий пользователей.
Dan Farmer, Wietse Venema.
Improving
the Security of Your Site by Breaking Into it
(49K) eng
Поиск и анализ "троянских коней" под UNIX
В статье дается представление о методах анализа исполняемых файлов
ОС UNIX для предсказания действий, которые они могут произвести в
системе. Эти методы применимы для исследования обнаруженных
"троянских коней" и другого вредоносного программного обеспечения.
Они также будут полезны для анализа прекомпилированного программного
обеспечения с целью убедиться в его надежности...
What
if your Machines are Compromised by an Intruder (15k) eng
David A. Curry,
Improving
the security of your UNIX system
апрель 1990 г., (150k) eng
Murphy's
law and computer security (31k) eng
UNIX
Password Security (19k) eng
Румянцев Д.,
Некоторые вопросы
комплексной безопасности в Linux
Kapil Sharma,
IP - спуффинг
Mark Fevola,
Безопасность и проект Linux Router
Безопасность Linux
Антон Чувакин (Anton Chuvakin)
"Сокрытие и восстановление данных в Linux"
[Опубликовано: 27.04.2002]
Всем известно, что если файл был удален из компьютера, его можно восстановить.
A.Maiorano,
Инсталляция
и использование AIDE
"arp_antidote - средство
для активной борьбы с атаками типа arpoison"
Как не получать
рекламмы через Internet
Ethernet
Sniffers: концепция, обнаружение и защита
Незаметные
ARP и ICMP
Проблемы
CGI на Perl
"Шаги по увеличению безопасности FreeBSD"
Перевод на русский язык руководства "FreeBSD Operating System Security
Checklist", которое представляет собой пошаговый список изменений,
которые необходимым произвести для увеличения безопасности FreeBSD сервера.
(источник - http://www.opennet.ru/opennews/)
"Установка
и настройка маршрутизатора удаленного филиала компании на основе FreeBSD"
Задача: установить и настроить машрутизатор, имеющий защищенный
с помощью IPsec туннель с головным офисом (маршрутизатор Cisco)
и имеющий выход в Интернет через собственного провайдера.
Mario M. Knopf, перевод А.Лебедев,
"vsftpd -
Введение в безопасный FTP-демон"
Мариус Бурдач, перевод SecurityLab
"Укрепление стека TCP/IP
для защиты от SYN атак"
Руководство пользователя
Trustix Secure Linux 1.5 (v1.5.0)
Перед вами руководство пользователя Trustix Secure Linux,
операционной системы основанной на Linux и разработанной Trustix
AS специально для серверов. В этом документе мы попытаемся
описать наиболее часто используемые на наш взгляд операции в
системе.