Библиотека сайта rus-linux.net
Приемы работы в Ubuntu.
Глава 7: Безопасность
Оригинал: "Ubuntu Hacks: Chapter 7 - Security"
Авторы: Кайл Ранкин, Джонатан Оксер, Билл Чайлдерс (Kyle Rankin, Jonathan Oxer, Bill Childers)
Дата публикации: June 2006
Перевод: Н.Ромоданов
Дата перевода: октябрь 2010 г.
Совет # 68: Управление обновлениями системы безопасности
Установите самые последние обновления, обеспечивающие безопасность вашей системы.
Существует старая поговорка о том, что единственный надежный компьютер это тот, который отключен от сети, выключен и спрятан в подземном бункере, и даже в этом случае вы не можете быть полностью уверены в его безопасности! Если вы хотите обезопасить себя от самых последних угроз и уязвимостей, необходимо к вашему компьютеру своевременно применять самые последние патчи системы безопасности.
Политика обновлений, используемая в Ubuntu
Когда выпускается очередной релиз Ubuntu, все пакеты, имеющиеся в нем, объявляются "замороженными". К релизу не добавляются новые версии программ, которые уже есть в нем, поэтому, когда вы устанавливаете Ubuntu Dapper Drake, все версии программ, доступные в этом релизе, будут оставаться неизменными в течение неопределенно долгого срока. Новые версии отдельных пакетов не добавляются, поскольку это может сделать релиз постоянно меняющимся и непредсказуемым, и даже может быть причиной появления новых ошибок и уязвимостей.
Конечно, само программное обеспечение не стоит на месте, всегда выходят новые версии, а иногда в новой версии обнаруживаются и исправляются существующие уязвимости. Это значит, что старые версии программ будут по-прежнему уязвимы, но политика Ubuntu диктует, чтобы новые версии программного обеспечения не вставлялись в уже выпущенный дистрибутив.
Такая тупиковая ситуация разрешается путем обратного портирования исправлений, связанных с безопасностью, в версию программного обеспечения, которая была включена в дистрибутив на момент его выхода, а затем выпуска пакета "обновления системы безопасности" только для этого конкретного фрагмента программного обеспечения. После этого системные администраторы смогут установить это обновление и будут уверены, что они исправили только конкретную проблему системы безопасности, и существенным образом не изменили функции самой системы.
Получение обновлений системы безопасности
Обновления системы безопасности распространяются из специальных репозитариев пакетов, поэтому проверьте, чтобы в вашем файле /etc/apt/sources.list были записи, соответствующие вашему основному источнику получения пакетов, например, следующие:
deb http://archive.ubuntu.com/ubuntu dapper main restricted universe multiverse deb http://security.ubuntu.com/ubuntu dapper-security main restricted
Если их нет, то смотрите раздел "Изменение списка репозитариев пакетов" [Совет # 60], чтобы узнать, как подключить репозитарий системы безопасности, но учтите, что для репозитариев universe и multiverse нет обновлений системы безопасности, т. к. эти репозитарии официально не поддерживаются командой Ubuntu, отвечающей за безопасность.
Автоматическое уведомление о наличии обновлений
Настольная система Ubuntu поставляется с апплетом с именем update-notifier, который расположен в панели уведомлений и запускает всплывающее предупреждение в тех случаях, когда после того, как к вашей машине уже были применены последние обновления, выпускаются новые пакеты. Но если вы пользуетесь сервером, у которого нет монитора, вы можете настроить очень простой скрипт, который будет отсылать вам уведомления по электронной почте непосредственно с сервера.
Добавьте в файл /etc/cron.daily/notify-updates следующие записи:
#!/bin/sh apt-get -qq update apt-get -qq --simulate dist-upgrade
Затем сделайте скрипт исполняемым:
$ sudo chmod +x /etc/cron.daily/notify-updates
Флаги -qq задают "тихий" режим работы apt-get, в котором
никакие выходные сообщения выдаваться не будут в случае, если в них нет необходимости, т. е. команда apt-get -qq update получит список пакетов от сервера пакетов, не выдавая при этом никаких выходных сообщений. Флаг —simulate задает имитационный режим работы утилиты dist-upgrade, в котором обновления всех имеющихся пакетов реально не выполняются, а если обновлений пакетов нет, то в выходной поток ничего также выдаваться не будут.
Поскольку этот скрипт вызывается с помощью cron, он будет срабатывать каждый день, и если выходные данные не выдаются, то cron просто продолжит свою работу. Но, если есть пакеты, доступные для обновления, команда dist-upgrade выдаст список всех пакетов, которые можно обновить, а cron отошлет выданные данные системному администратору, который может затем решить, следует ли вручную выполнить обновления.
Если cron отправляет сообщение не тому, кому нужно, возможно, потребуется отредактировать файл /etc/crontab и почти в самом начале файла добавить в него следующую запись:
MAILTO=user@example.com
Сигнатуры пакетов
Пакеты, распространяемые через официальные архивы Ubuntu, имеют криптографическую подпись с тем, чтобы вы могли проверить, что пакеты не были заменены на поддельные и не будут использованы злоумышленником для атаки. Официальный ключи архивов есть в пакете ubuntu-keyring и по умолчанию устанавливаются в файл /etc/apt/trusted.gpg, который является частью Dapper. Вы можете воспользоваться утилитой apt-keys для проверки и управления ключами, которые используются системой при установке новых пакетов:
jon@jbook:~$ sudo apt-key list /etc/apt/trusted.gpg -------------------- pub 1024D/437D05B5 2004-09-12 uid Ubuntu Archive Automatic Signing Key <ftpmaster@ubuntu.com> sub 2048g/79164387 2004-09-12 pub 1024D/FBB75451 2004-12-30 uid Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>
Если вы попытаетесь установить какие-либо пакеты, которые есть в архивах, но не подписаны каким-нибудь из этих ключей, apt выдаст предупреждающее сообщение, но если вы захотите, вы можете в любом случае продолжить установку:
WARNING: The following packages cannot be authenticated! myprogram lib-blah lib-foo Install these packages without verification [y/N]?
Отслеживание рекомендаций по безопасности
Одним из наиболее важных источников самой свежей информации об угрозах и уязвимостях является группа CERT, Computer Emergency Response Team (Группа реагирования на компьютерные чрезвычайные ситуации), работающая в Институте программной инженерии Университета Карнеги-Меллон. Координационный центр CERT (CERT / CC) выступает в качестве глобального координационного центра предупреждений, касающихся компьютерной безопасности, и даже распространяет свои предупреждения в виде новостей в формате RSS и Atom с тем, чтобы вам всегда были известны самые последние проблемы, которые они освещают.
Но список рекомендаций, рассылаемый CERT, может быть огромным, т. к. в нем присутствуют уведомления, касающиеся всех операционных систем и пакетов программ. Более краткий перечень рекомендаций, непосредственно касающийся Ubuntu, доступен на сайте http://www.ubuntu.com/usn, а также в списке рассылки Ubuntu Security Announcements (Объявления по безопасности в Ubuntu) и в архивах этого списка.
Если вы считаете, что нашли в пакете Ubuntu незарегистрированную уязвимость, вы можете связаться с командой Ubuntu по безопасности по электронному адресу security@ubuntu.com.
| Назад | Оглавление | Вперед |