Počet tajných instalací Linuxu vzrůstá

Likvidace následků virového napadení odhalila neautorizované instalace systému Linux a také nové nedostatky v zabezpe


Likvidace následků virového napadení odhalila neautorizované instalace systému
Linux a také nové nedostatky v zabezpečení.
Nedávný boj s počítačovým červem Mumu, o kterém jsem se zmiňoval v
Computerworldu 30/2003, stále ještě komplikuje práci bezpečnostnímu týmu naší
společnosti. Stále se totiž tu a tam objeví zpráva o opětovném napadení
systému. A jako kdyby potíže s virovým napadením nestačily, objevil se další
problém.
Co se týče červa Mumu, většina zaměstnanců byla s napadením obeznámena.
Prostřednictvím internetové pošty i na stránkách firemního intranetu jsme
vydali konkrétní instrukce, jak virus detekovat a odstranit. V tuto chvíli
převzalo zodpovědnost za celou věc oddělení podpory PC desktopů.
Avšak zatímco jsme odstraňovali následky napadení na odlehlejších pracovištích,
zjistili jsme další skutečnosti. V celé společnosti vzrůstá počet neoficiálních
instalací operačního systému Linux na počítačích i serverech, které však
obvykle nejsou nakonfigurovány tak, aby byly optimálně zabezpečeny.
Zcela nedostatečné zabezpečení těchto neoficiálních instalací nemusí mít nutně
příčinu v samém systému Linux. Vzniká spíše jako důsledek instalace aplikací a
jiných programových utilit pocházejících odjinud. Jejich nesprávné nastavení
pak může způsobit, že počítače a servery budou snáze napadnutelné.

Obliba Linuxu roste
Až dosud jsme neměli žádné zásady bezpečnosti pro používání systému Linux,
protože k tomu nebyl důvod. Ještě před rokem používala tento operační systém
pouze malá skupina zaměstnanců, většinou pracovníci oddělení vývoje a kontroly
kvality nebo tým podpory a správy firemního softwaru operujícího na platformě
Linux.
Nyní je uživatelů Linuxu mnohem víc. Zaměstnanci si jej instalují buď jako
hlavní operační systém, nebo jako vedlejší systém běžící vedle Windows 2000,
jež naše společnost používá jako standard. Zaměstnanci také používají software
VMware stejnojmenné společnosti z Kalifornie i jiné podobné programy, které
umožňují spuštění více operačních systému na jednom počítači.
Na většině aplikačních serverů používáme operační systém Red Hat Linux. Nedávno
jsme například zakoupili aplikaci pro vedení a vyhodnocování průzkumů, kterou
lze spustit pouze z tohoto prostředí.
Linux se tak u nás stále více rozšiřuje a některá oddělení (včetně našeho)
uvažují o častějším využití open source prostředků, které by nám pomohly
provádět každodenní bezpečnostní operace. Přemýšlíme také o vytvoření databáze
znalostí týkajících se práce s Linuxem, která by nám velmi pomohla při řešení
každodenních problémů.
Tento druh databází je užitečný zejména v odděleních, která zajišťují chod a
správu velkého množství aplikací. Informace o určitých problémech s
konfiguracemi a o postupech jejich odstraňování mohou být ukládány do systému
vědomostní databáze, a pokud se napříště objeví stejný problém, může být s
obsahem databáze porovnán.
Mohli bychom také využít programy informující o chybách v zabezpečení, které by
uchovávaly záznamy o problémech, které se vyskytují dostatečně často. Jen v
našem oddělení vyšlou zabezpečovací systémy více než 300 takových zpráv za rok.
Je nutné analyzovat a zjišťovat, zda se neobjevil nějaký neobvyklý či závažný
problém, což zpravidla představuje poněkud zdlouhavý proces.
V současné době pořizujeme záznamy o chybách do šablon aplikace Microsoft Word
a ukládáme je na sdílený disk, ke kterému má přístup pouze oddělení
bezpečnosti. Pokud nastane problém, který se už někdy v minulosti objevil,
dokážeme jeho záznam vyhledat pouze zadáním konkrétního slova anebo je nutné
pročíst všechny starší záznamy.
Systém, který by podával zprávy o problémech a zaznamenával je, by usnadnil
sběr dat a zmenšil zátěž z hledání souvislostí mezi různými incidenty. Nabízí
se tu několik open source programů, které bychom mohli použít, v naší firmě
však existují jisté výhrady k jejich instalaci. Jedním z důvodů, proč se vedení
firmy staví proti využívání open source, je nedostatek tradiční podpory chybí
tu možnost kdykoliv kontaktovat helpdesk výrobce. Úroveň technických znalostí
pracovníků našeho IT oddělení je však velmi vysoká, takže bychom mohli získávat
potřebné informace z diskuzních fór, stránek vědomostních databází či jiných
zdrojů na síti.
Další výhrada vyplývá ze skutečnosti, že odhalování a odstraňování problémů
obvykle vyžaduje určitou znalost daného operačního systému a jeho programování.
Pokud je aplikace určena pro konkrétní oddělení a nedochází příliš často ke
kritickým situacím, k instalaci open source prostředků obvykle získáme souhlas.
Stejně je to ale problematičtější než zvolit nějaké "standardní" řešení.

Jednotná platforma
Kromě provozu vybraných open source programů používáme Linux i pro spouštění
aplikací zakoupených od nejrůznějších výrobců. Práce s programy v systému Linux
vyjde mnohem levněji než třeba nákup Solarisu a serveru od Sunu. Problémem však
je, že každá instalace systému Linux probíhá jinak, což představuje nebezpeční
z hlediska zabezpečení. Existuje totiž tolik distribucí systému Linux, že by
bylo velmi obtížné vytvořit a používat jednotný postup pro jejich konfiguraci.
Proto jsme se rozhodli zvolit jednotný podnikový linuxový operační systém, a to
Red Hat Linux. Nabízí dobrou podporu ze strany výrobce a na trhu existuje mnoho
aplikací určených přímo pro něj. Chystáme se rovněž zavést jednotné verze
takových běžných aplikací, jako jsou webový server a monitorovací software.

Nedostatky v zabezpečení
Zdá se, že systém Red Hat Linux je sám o sobě poměrně bezpečný. To však nelze
říci o programech, které v jeho rámci fungují. Mezery v zabezpečení se
například téměř vždy vyskytují u programů pro zajištění přenosu souborů přes
FTP, u služby sendmail a u serveru Apache. Také jiné open source programy mají
v tomto směru nedostatky, obzvlášť pokud při jejich tvorbě nebral jejich autor
na zabezpečení zřetel.
Nevýhodou těchto programů často bývá skutečnost, že neobsahují kontrolní a
zabezpečovací mechanismy a nedokážou zamezit příjmu nebezpečných dat. To bývá
příčinou takových nedostatků v zabezpečení, jako jsou SQL Injection, možnost
obejít přístupová hesla při přístupu k zabezpečeným dokumentům, přeplnění
vyrovnávací paměti a dalších problémů, které u internetových aplikací mohou
nastat.

Řešení
Šíření systému Linux se zjevně nedá zabránit. Situaci řešíme tak, že pro práci
se systémy, které operují na platformě Linux, vymezíme závazná bezpečnostní
pravidla podobně, jako jsme to učinili pro systémy Solaris a Windows. Poté
použijeme software pro vytvoření diskových obrazů a vytvoříme takovou výchozí
konfiguraci systému, která bude sloužit jako základní konfigurace pro všechny
počítače. Doufejme, že tak omezíme problémy se zabezpečením na minimum.
Řešíte podobné problémy jako Mathias Thurman? Podělte se o svoje zkušenosti s
námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.