Аргерих Л. О языке РНР. Часть 5. Страница 66


Сначала надо установить демон защищенной оболочки. Рекомендуем один из которые можно загрузить с или

sh.org/. После установки и тестирования демона защищенной оболочки луч­ше всего вообще отключить демоны FTP и telnet.

Распространенная атака типа отказа в обслуживании заключается в попыт­ке заполнить жесткий диск мусором, обычно временными файлами, чтобы вы­звать аварию сервера. Чтобы избежать этого, следует разместить /tmp/ и /var/ на разных разделах, чтобы при переполнении /tmp/ оставалось про­странство в разделе /var/ и базовые службы могли продолжить работу.

Мониторинг системы

Лучше всего следить за состоянием системы по журналам сервера. Заметив что-либо необычное, надо тщательно изучить запись в журнале и выяснить причину.

Контроль за файлами журналов можно отчасти автоматизировать с помо­щью сценариев, которые их анализируют и выкидывают несодержательные записи. В главе 20 мы создали простой сценарий командной строки, кото­рый выполняет такую работу. Этот сценарий mail_stats. php можно модифи­цировать так, чтобы он анализировал и другие файлы, создаваемые нашими приложениями.

Необходимо присмотреться и к другим инструментам мониторинга, напри­мер Tripwire. Это приложение, способствующее сохранению целости важ­ных системных файлов и каталогов путем обнаружения всех производимых с ними изменений. Можно настроить Tripwire так, чтобы получать по элект­ронной почте уведомление при изменении одного из этих файлов. Альтерна­тивный вариант - настроить задание с г on для проверки целостности всех файлов, за которыми следит Tripwire. Кроме того, Tripwire помогает ликви­дировать последствия проникновения, поскольку он следит за всеми файла­ми, которые модифицирует нарушитель, и мы знаем, какие файлы надо вос­становить, чтобы исправить систему. Некоторые ресурсы, относящиеся к Tripwire, перечислены в разделе «Ресурсы и материалы для дальнейшего изучения» в конце данной главы.

Отслеживание новых уязвимостей

Одна из проблем обеспечения безопасности обусловлена тем, что взломщики постоянно придумывают новые способы проникновения и ищут новые уязви­мые места в программном обеспечении, которые позволят им это сделать. Это значит, что политика безопасности должна включать в себя контроль почто­вых списков рассылки, сообщающих об этих новых слабых местах и спосо­бах их исправления. Два таких полезных списка - Bugtraq и Packet Storm.

Важно быстро реагировать на появление новых уязвимостей, о которых со­общается в этих списках. Сначала надо проверить, требует ли наша система обновления или установки заплатки (patch), и действовать соответствую­щим образом. Обычно при извещении о выявленном слабом месте разработ­чик программного обеспечения одновременно рассылает заплатку.