Книга: Linux глазами хакера
3.5.3. Безопасность работ
3.5.3. Безопасность работ
Напоследок хочется добавить во все преимущества команды at ложку дегтя. Злоумышленники очень любят использовать эту инструкцию в своих целях. Например, хакер может завести учетную запись с максимальными правами. Затем настроить команду at так, чтобы после выхода она удаляла запись и чистила следы его пребывания в системе.
В каталоге /etc есть два файла, которые вы должны настроить:
? at.allow — по умолчанию этого файла может и не быть. Если он существует, то только те пользователи, которые в нем прописаны, могут выполнять команду at;
? at.deny — в этом файле перечисляются пользователи, которым явно запрещен доступ к команде at.
Подобные файлы есть и для сервиса cron:
? cron.allow — здесь описываются пользователи, которые могут работать с заданиями в cron;
? cron.deny — в этом файле указываются пользователи, которым недоступен сервис cron.
Я не раз говорил и буду повторять, что все настройки должны идти от запрещения. Сначала необходимо все закрыть, а потом позволить только то и лишь тем пользователям, которым посчитаете нужным. Именно поэтому не стоит пытаться внести всех пользователей в список at.deny. Намного корректнее создать файл at.allow и для начала прописать там только свою учетную запись (будет лучше, если это не root-пользователь). Если вслед за этим вы услышите жалобы пользователей о нехватке команды at, то сначала убедитесь, что им действительно она нужна, и только после этого прописывайте их учетные записи в файл at.allow.
Ни один лишний пользователь не должен работать с командой at. Иногда лучше забыть выполнить команду, чем потерять контроль над системой.
Если вы не запускаете планировщики at и cron, то я рекомендую убрать сервис crond из автозапуска, а лучше даже удалить. Вы не сможете контролировать то, чем не пользуетесь.
В директории /etc есть файл crontab, в котором находятся все настройки сервиса cron. Я рекомендую внести в начало этого файла следующую директиву:
CRONLOG=YES
Это позволит записывать в журнал команды, которые выполнялись в cron. Журнал сервиса находится в файле /var/cron/log.
Оглавление книги
- Firebird РУКОВОДСТВО РАЗРАБОТЧИКА БАЗ ДАННЫХ
- Надежность и безопасность
- Интегрированная безопасность (NT Integrated Security)
- Урок 3.6. Безопасность при работе в Интернете
- Глава 4 Безопасность при работе со сценариями WSH
- Глава 11 Безопасность при работе в Сети. Антивирусные программы
- Безопасность и анонимность работы в Интернете. Как защитить компьютер от любых посягательств извне
- 8.6.4. Безопасность, проверка и безотказная работа
- 2. Безопасность работников и защита от судебных исков
- Глава 11 Безопасность в кадровой работе
- Потребности и «хотелки»
- Форматы лид-магнитов