Опыт установки одной безопасной операционной системы.

Однажды, еще в советские времена, мне довелось пообщаться в неформальной обстановке с одним министром. То ли по причине удачной рыбалки, а может, из-за прекрасной погоды министра потянуло пофилософствовать. Лучше бы он этого не делал. Бред, который он нес, быстро превратил этого небожителя в самую заурядную личность.

Подобное ощущение крушения авторитета мне вновь пришлось пережить совсем недавно, при инсталляции SCO OpenServer 5 в режиме соответствия классу безопасности C2.

Мы долго подбирали операционную систему для нашего сервера SMTP/POP3 и DNS. Поскольку сервер подключался к Internet, критериями выбора были приемлемая цена, удобство пользования и администрирования, а также повышенная безопасность. Производительность не имела решающего значения, так как количество пользователей составляло около 100 человек, а сервис SMTP/POP3 и DNS не предполагает большую нагрузку. Невысокая цена однозначно ограничила выбор платформой Intel. После некоторых колебаний были отвергнуты ОС Novell IntranetWare и Microsoft Windows NT Server по причине того, что они не имеют встроенного сервиса SMTP/POP3. Приобретать же пакеты Novell GroupWise или Microsoft Exchange Server посчитали неоправданным, да и выгода от их использования в небольшом коллективе довольно сомнительная.

Бесплатные версии UNIX FreeBSD и Linux также не подошли, поскольку они имеют очень неудобные средства администрирования и настройки. В конце концов выбор пал на имеющем все требуемые качества SCO OpenServer 5 Enterprise System.

В принципе, операционная система OpenServer может быть установлена в конфигурации, совместимой с классом безопасности C2. Следует иметь в виду, что сертификата соответствия классу C2 у системы нет, речь идет только о совместимости с ним. Безопасная конфигурация имеет значительно усиленные средства разграничения полномочий, улучшенный контроль за доступом к ресурсам, мощный аудит и многое другое. Предписываемая требованиями к уровню C2 доверяемая компьютерная база (Trusted Computing Base, TCB) включает ядро ОС, утилиты и средства, относящиеся к системе безопасности. TCB отвечает за политику безопасности в защищенной системе.

Необходимая конфигурация безопасности в OpenServer устанавливается при инсталляции ОС, и далее ее нельзя изменить. В режиме совместимости с классом C2 привилегии и полномочия проходят проверку через механизм TCB, а не через стандартную для UNIX систему безопасности. Это позволяет, в частности, задействовать в паролях до 80 символов. не так критичны становятся и атаки на файлы типа /etc/passwd.

К сожалению, все было гладко на бумаге, да забыли про овраги. Кроме многочисленных проблем, мы ничего не получили. Самым неприятным сюрпризом оказались многократно возросшие трудности при администрировании системы. Понять что-либо из документации оказалось совсем непросто, так как она рассчитана на стандартную конфигурацию. В ней настройки, специфические для класса C2, приводятся лишь эпизодически. Кроме того, систему оказалось очень трудно сконфигурировать, чтобы пользователи имели прозрачный доступ к общим приложениям и данным.

Систему аудита тоже сложно назвать подарком. Через несколько дней работы файлы аудита просто-напросто забили все дисковое пространство из-за особенностей механизма фильтрации событий.

Еще одно обстоятельство затрудняет работу пользователей: срок действия паролей. При любых настройках он не может превышать 365 дней. Представьте себе пользователей, работающих исключительно с сервисом POP3. Для них администратором установлена усеченная оболочка rsh. В такой оболочке даже при всем желании пользователь не сможет перейти ни в один чужой каталог и не сможет запустить ни одной чужой программы. Более того, администратором определено требование, чтобы длина пароля составляла не менее 10 (в том числе и специальных) символов. Вроде, куда еще дальше. Тем не менее все равно срок действия паролей отменить невозможно.

Но это были еще цветочки. На жертвы приходилось идти, поскольку спецификация класса C2 этого требует. Но мы столкнулись с явлением, окончательно подорвавшим веру в надежность безопасной настройки SCO OpenServer. Было обнаружено, что при инсталляции ОС в режиме совместимости с классом C2 по умолчанию установлены и запущены практически все сетевые службы, независимо от их безопасности. Сюда вошли rexecd, rshd, rlogind, fingerd, talkd и ряд других. Такие службы уже много лет считаются потенциально опасными, именно через них чаще всего хакеры получают несанкционированный доступ к удаленным машинам, и тем не менее они были автоматически запущены на системе, якобы обеспечивающей класс безопасности C2. Разумеется, об этом обстоятельстве документация умалчивает.

Промучавшись с "безопасной" конфигурацией SCO OpenServer месяц, было принято решение переинсталлировать ОС с расчетом на стандартную конфигурацию. Там хоть знаешь, что ожидать.

И напоследок совет. Не рассчитывайте на безопасные системы, обязательно проверяйте их в работе. Более того, не следует устанавливать безопасную конфигурацию, если недостаточно хорошо знаешь стандартную.


Константин Пьянзин - обозреватель LAN. С ним можно связаться по адресу: koka@osp.ru.