Сообщения безопасности FreeBSD

Как многие и высококачественные операционные системы, FreeBSD публикует ''Сообщения безопасности'' (''Security Advisories''). Эти сообщения обычно отправляются по почте в списки рассылки, посвященные безопасности и публикуются в списке проблем только после выхода исправлений к соответствующим релизам. В этом разделе разъясняется, что такое сообщения безопасности, как их читать и какие меры принимать для исправления системы.

14.14.1. Как выглядит сообщение?

Сообщение безопасности FreeBSD выглядит подобно сообщению ниже, взятому из списка рассылки freebsd-security-notifications (http://lists.FreeBSD.org/mailman/listinfo/freebsd-security-notifications).

=============================================================================

FreeBSD-SA-XX:XX.UTIL Security Advisory

The FreeBSD Project

Topic: denial of service due to some problemŒ

Category: core

Module: sysŽ

Announced: 2003-09-23

Credits: Person@EMAIL-ADDRESS

Affects: All releases of FreeBSD‘

FreeBSD 4-STABLE prior to the correction date

Corrected: 2003-09-23 16:42:59 UTC (RELENG_4, 4.9-PRERELEASE)

2003-09-23 20:08:42 UTC (RELENG_5_1, 5.1-RELEASE-p6)

2003-09-23 20:07:06 UTC (RELENG_5_0, 5.0-RELEASE-p15)

2003-09-23 16:44:58 UTC (RELENG_4_8, 4.8-RELEASE-p8)

2003-09-23 16:47:34 UTC (RELENG_4_7, 4.7-RELEASE-p18)

2003-09-23 16:49:46 UTC (RELENG_4_6, 4.6-RELEASE-p21)

2003-09-23 16:51:24 UTC (RELENG_4_5, 4.5-RELEASE-p33)

2003-09-23 16:52:45 UTC (RELENG_4_4, 4.4-RELEASE-p43)

2003-09-23 16:54:39 UTC (RELENG_4_3, 4.3-RELEASE-p39)’

CVE Name: CVE-XXXX-XXXX“

For general information regarding FreeBSD Security Advisories,

including descriptions of the fields above, security branches, and the

following sections, please visit

http://www.FreeBSD.org/security/.

I. Background”

II. Problem Description (10)

III. Impact (11)

IV. Workaround (12)

V. Solution (13)

VI. Correction details (14)

VII. References (15)

Œ Поле Topic показывает в чем именно заключается проблема. Это обычно введение в сообщение безопасности, упоминающее утилиту, в которой возникла ошибка.

 Поле Category относится к затронутой части системы и может быть выбрана из core, contrib, или ports. Категория core означает, что уязвимость затрагивает основной компонент операционной системы FreeBSD. Категория contrib означает, что уязвимость затрагивает программы, предоставленные проекту FreeBSD, например sendmail. Наконец, категория ports означает, что уязвимость затрагивает программное обеспечение, доступное из Коллекции Портов.

Ž Поле Module указывает на местоположение компонента, например sys. В этом примере мы видим, что затронут модуль sys, следовательно, эта уязвимость относится к компоненту, используемому в ядре.

 Поле Announced отражает дату публикации сообщения безопасности, или его анонсирования. Это означает, что команда обеспечения безопасности убедилась, что проблема существует и что патч помещён в хранилище исходных текстов FreeBSD.

 Поле Credits упоминает частное лицо или организацию, обнаружившую уязвимость и сообщившую о ней.

‘ Поле Affects дает информацию о релизах FreeBSD, к которым относится данная уязвимость. Для базовой системы, просмотр вывода команды ident для файлов, затронутых уязвимостью, поможет определить ревизию. Номер версии портов приведен после имени порта в каталоге /var/db/pkg. Если система не синхронизируется с CVS-хранилищем FreeBSD и не пересобирается ежедневно, высок шанс, что она затронута уязвимостью.

’ Поле Corrected показывает дату, время, смещение во времени и релиз, в котором исправлена ошибка.

“ Зарезервировано для идентификации уязвимости в общей базе данных CVD (Common Vulnerabilities Database).

” Поле Background дает информацию именно о той утилите, для которой выпущено сообщение. Как правило информация о том, зачем утилита присутствует в FreeBSD, для чего она используется, и немного информации о том, как появилась эта утилита.

(10) Поле Problem Description дает более глубокие разъяснения возникшей проблемы. Оно может включать информацию об ошибочном коде, или даже о том, как утилита может быть использована для создания бреши в системе безопасности.

(11) Поле Impact описывает тип воздействия, который проблема может оказать на систему. Это может быть все, что угодно, от атаки на отказ в обслуживании до получения пользователями дополнительных привилегий, или даже получения атакующим прав суперпользователя.

(12) Поле Workaround предлагает тем, системным администраторам, которые не могут обновить систему, обходной путь решения проблемы. Он может пригодиться при недостатке времени, отсутствии подключения к сети или по массе других причин. В любом случае, к безопасности нельзя относиться несерьезно, и необходимо либо применить указанный обходной путь, либо исправить систему.

(13) Поле Solution предлагает инструкции по исправлению затронутой системы. Это пошаговое руководство, протестированный метод восстановления безопасности системы.

(14) Поле Correction Details показывает ветвь CVS (имя релиза с точками, замененными на символы подчеркивания). Здесь также показан номер ревизии каждого файла из каждой ветви.

(15) Поле References обычно упоминает другие источники информации. Это могут быть Web-страницы, книги, списки рассылки и группы новостей.

14.15. Учёт используемых ресурсов

Учёт используемых процессами ресурсов представляет собой метод защиты, при котором администратор может отслеживать использование системных ресурсов и их распределение между пользователями для нужд системного мониторинга и минимального отслеживания команд пользователей.

На самом деле здесь есть свои положительный и отрицательные моменты. Положительной стороной является то, что проникновение может быть отслежено до первоначальной точки входа. Отрицательной стороной является объём протоколов, который генерируется при мониторинге, и соответствующие требования к дисковому пространству. В этом разделе администратору даются основы учёта ресурсов процессов.

14.15.1. Активация и использование учёта ресурсов

Прежде чем использовать систему учёта ресурсов, её необходимо активировать. Для этого выполните следующие команды:

# touch /var/account/acct

# accton /var/account/acct

# echo 'accounting_enable="YES"' >> /etc/rc.conf

После активации система учёта ресурсов начнёт отслеживать статистику CPU, команд и так далее. Все протоколы учёта ведутся в формате, недоступном для чтения человеком, и могут просматриваться при помощи утилиты sa(8). Запущенная без параметров, sa выдаст информацию, относящуюся к количеству вызовов в расчёте на каждого пользователя, общее затраченное время в минутах, общее время CPU и пользователя в минутах, среднее количество операций ввода/вывода и так далее.

Для просмотра информации о запущенных командах, необходимо воспользоваться утилитой lastcomm(1). Команду lastcomm можно использовать, например, для выдачи списка директив, выданных пользователями определённого терминала ttys(5):

# lastcomm ls trhodes ttyp1

Эта команда выдаст все зафиксированные использования команды ls пользователем trhodes на терминале ttyp1.

Существует многие другие полезные параметры, которые описаны на соответствующих справочных страницах lastcomm(1), acct(5) и sa(8).