Несмотря на растущее количество электронных преступлений, многие компании, готовые инвестировать в безопасность, на сегодня гораздо лучше защищены, чем несколько лет назад. Решения и методики по обеспечению безопасности развиваются быстрыми темпами, чтобы справиться с новыми угрозами и помочь компаниям оставаться защищенными.
Однако, не все компании готовы делать необходимые инвестиции, и не все угрозы воспринимаются одинаково серьезно. В то время как почти все предприятия используют необходимые базовые средства защиты, такие как брандмауэр и анти-вирус, не многие вкладывают деньги в защиту привилегированных учетных записей и мониторинг действий пользователей. Вместо этого, многие компании решают использовать стандартные средства, встроенные в программное обеспечение и операционные системы.
Linux в особенности имеет репутацию менее уязвимой системы, однако даже в этой системе привилегированные учетные записи подвержены атакам со стороны хакеров и использованию не по назначению сотрудниками. В этой статье мы более детально рассмотрим как управлять привилегированными пользователями в Linux и какие меры безопасности встроены в эту систему, а также насколько эффективно эти меры позволяют защитить привилегированные учетные записи.
Типы учетных записей в Linux
Так же, как и Windows, Linux использует несколько типов учетных записей:
- Супер-пользователь или root – стандартная учетная запись администратора системы по типу администратора в Windows. Такая учетная запись в Linux позволяет выполнять любые команду, управлять любыми сервисами и другими учетными записями, задавать привилегии, добавлять пользователей в группы, и т.д.
- Обычный пользователь – это стандартная учетная запись с ограниченным набором полномочий. Такой пользователь не имеет доступа к критическим системным ресурсам или службам и ему требуется разрешение от root-пользователя для запуска определенных команд.
- Системный пользователь – учетная запись с тем же уровнем привилегий, что и обычный пользователь, создающаяся специально для использования определенными программами. Такие учетные записи создаются для того, чтобы разрешить программе определенные действия или чтобы изолировать её процесс в целях безопасности.
Linux достаточно гибок в работе с учетными записями. Вы можете создавать несколько root-пользователей, если нужно, а также назначать разные полномочия различным учетным записям и их группам. Вы также можете напрямую менять полномочия по чтению, записи и выполнению файлов или директорий, а также менять их владельца, что напрямую диктует уровень полномочий пользователя над этим конкретным объектом. Однако, вся эта гибкость также представляет определенный уровень опасности, ведь она дает больше возможностей технически подкованным инсайдерам для несанкционированного доступа и кражи защищенной информации.
В конечном счете, root является самым уязвимым местом системы, так как он необходим для доступа к защищенным файлам и настройкам, и Linux предлагает определенные встроенные инструменты для защиты такой учетной записи.
Защита привилегированных учетных записей
Любой активный root пользователь всегда должен быть защищен паролем, и Linux предлагает назначить пароль такому пользователю при установке или при первом использовании этой учетной записи. Однако, прямое использование учетной записи с root привилегиями является небезопасным, особенно если ваша компания имеет несколько системных администраторов.
Гораздо более безопасное решение –использовать обычную учетную запись со временно активированными root полномочиями. Это возможно сделать с помощью команд su и sudo. Обе эти команды выполняют похожие функции – позволяют делегировать административные полномочия обычной учетной записи, однако принцип их работы несколько отличается. Чтобы использовать команду su, пользователю необходимо знать как пароль от своей рядовой учетной записи, так и пароль от учетной записи root. И хотя данный подход предоставляет дополнительный слой защиты на случай, если обычная учетная запись будет взломана, он не идеален с позиции защиты от внутренних угроз.
Команда sudo позволяет получить root привилегии без необходимости знать root пароль. Возможность использовать эту команду тем или иным пользователем определяется напрямую root пользователем. Команда sudo автоматически отключает любые дополнительные привилегии, если пользователь остается неактивен больше 5 минут, что помогает защитить консоль, в случае, когда администратор отошел, не завершив сессию вручную.
В целом, эти стандартные меры безопасности позволяют ограничить возможности администратора и его контроль над системой, давая возможность лучше следить за действиями системных администраторов. Например, если один из администраторов авторизовался в нестандартное для себя время, это может быть поводом для беспокойства – его учетной запись в данный момент может пользоваться злоумышленник. Однако, без полноценного понимания того, что именно делает пользователь, организовать надежную защиту от внутренних угроз практически невозможно. Далее мы рассмотрим какие встроенные инструменты мониторинга предлагает Linux и насколько они эффективны.
Встроенные инструменты мониторинга Linux
Linux Предлагает целый ряд команд, дающих привилегированным пользователям доступ к логам системы и данным об использовании различных системных ресурсов. Одной из самых популярных является команда top, дающая возможность в реальном времени увидеть все запущенные процессы. Вы можете проверить статистику использования системных ресурсов, увидеть все запущенные команды и другую полезную информацию, способную дать представление о том, чем занимаются пользователи.
Linux также известен своими встроенными инструментами по перехвату сетевого траффика. В отличие от Windows, Linux позволяет не только просматривать траффик в реальном времени, но и сохранять пакеты для дальнейшего анализа, предоставляя таким образом хороший инструмент для отслеживания сетевой активности.
В целом, Linux имеет достаточно эффективные встроенные инструменты мониторинга. Тем не менее, эти инструменты прежде всего разработаны для поиска неполадок и отладки системы. Информация в них представлена таким образом, что её сложно эффективно отсортировать и использовать в целях обнаружения внутренних угроз.
Заключение
Хотя Linux использует ряд встроенных инструментов по контролю и мониторингу привилегированных учетных записей, в мире современной информационной безопасности этой защиты недостаточно. Новые угрозы появляются постоянно, и Linux так же уязвим к ним, как и другие операционные системы. Поэтому, если вы хотите защитить свои Linux системы, вам необходимо использовать профессиональные инструменты для контроля привилегированных пользователей и мониторинга их действий. Эти инструменты дадут вам всю необходимую информацию о том, кем и с какой целью используется каждая конкретная привилегированная учетная запись, позволяя своевременно обнаружить нарушения и эффективно на них ответить.