Следующая:Security, Предыдущая:UUCP Over TCP, Вверх:Configuration Files
Безопасность
Данное обсуждение проблем безопасности UUCP применимо только для Unix. Оно немного поверхностно; любые предложения по совершенствованию только приветствуются.
Протокол UUCP традиционно не является очень безопасным. Taylor UUCP решает некоторые проблемы защиты, но все еще далек от того, чтобы быть безопасной системой.
Если проблемы безопасности очень важны для Вас, то вы не должны разрешать внешний доступ к вашему компьютеру, включая UUCP. Любое подключение к внешнему миру несет потенциальный риск нарушения защиты.
Когда протокол UUCP используется локальными пользователями для
передачи файлов, Taylor UUCP предоставляет мало средств для защиты
пользователей друг друга. Несколько повысить безопасность можно
поместив владельца программ UUCP (обычно uucp) в отдельную группу;
как это сделать, объясняется в следующих параграфах, в которых эта
отдельная группа называется как uucp-group.
При вызове программы uucp, для копирования файла на удаленную
систему, по умолчанию файл будет сначала скопирован в spool каталог
UUCP. При использовании программы uux, с заданной опцией -C,
файлы требуемые программе uux также копируются в spool каталог UUCP.
В обоих случаях, как только файлы скопированы в spool каталог, другие
локальные пользователи не способны обратиться к данному файлу.
Когда файл запрашивается у удаленной системы, UUCP разрешает его
разместить только в каталоге, который доступен на запись запрошенными
пользователями. Каталог должен быть также доступен на запись со
стороны UUCP. Локальный пользователь может создать каталог с группой
uucp-group и установить режим разрешения записи для этой группы.
Это позволяет записывать файл без разрешения на просмотр со стороны
других пользователей.
Невозможно обеспечить безопасность запросов uucp, сделанных
пользователем на удаленной системе (в противоположность запросам
uux). Файл, отсылаемый с помощью удаленного запроса может
размещаться в каталоге, который доступен на запись со стороны всех
пользователей, а сам он также доступен на запись и на чтение со
стороны всех пользователей. Это позволяет любому локальному
пользователю разрушить или заменить содержимое файла. Файл,
запрашиваемый удаленной системой должен быть доступен на чтение со
стороны всех, а каталог, в котором данный файл находится, должен быть
также доступен на чтения со стороны всех. Любой локальный пользователь
способен тестировать, хотя не обязательно модифицировать файл прежде,
чем данный файл отсылается.
Есть некоторые проблемы в обеспечении безопасности и вопросы гонок, которые применимы к вышеупомянутому обсуждению, и на которых я (автор) подробно не останавливаюсь. Данные проблемы не скрыты от любого, кто читает исходные тексты, но являются чисто техническим и достаточно трудными для практического использования. Можно только сказать, что даже при хороших условиях протокол UUCP не является полностью безопасным протоколом.
Для большинства сайтов, защита от удаленных сайтов является более важной задачей. Taylor UUCP предоставляет некоторую поддержку в данной области.
Большая степень защиты обеспечивается, если звонок осуществляется на другой сайт. При исходящем звонке всякое воздействие удаленного сайта на локальный сайт исключается. Естественно, это обеспечивается только для одной стороны соединения.
Если входящие звонки от удаленных систем разрешены, то лучше, если
входная линия используется только под UUCP протокол. В этом случае
следует создать файл паролей для входящих звонков (call-in password
file) (смотрите Configuration File Names) и разрешить uucico
выполнять свои собственные приглашения входа в систему. Например, для
того чтобы разрешить удаленным сайтам входить в систему по порту с
именем entry файла портов (смотрите port File), можно вызвать
uucico -e -p entry. Это приводит к тому что uucico
входит в бесконечный цикл приглашений на вход в систему и на выполнение
демона. Преимущество данного подхода состоит в том, что, если даже
удаленные пользователи входят в систему представляя или зная каким
то образом пароль, то они способны выполнить только то, что программа
uucico им разрешает. Они не способны запустить командную
оболочку на вашей системе.
Если удаленные пользователи могут вам позвонить и войти на вашу систему, то угроза для безопасности более серьезна чем угрозы возникающие при использовании протокола UUCP. Но к этим угрозам вы вероятно уже готовы.
Как только ваша система подключилась к удаленной системе UUCP, то у
вас есть разумное количество средств управления, которыми можно
воспользоваться. Для управления каталогами, к которыми может
обратиться удаленный UUCP следует использовать команды remote-send и
remote-receive. Команду request можно использовать, для того
чтобы вообще запретить удаленной UUCP системе создавать любые запросы
на локальной системе; однако, если это делается, то не будет даже
возможности отослать почту или новости. При разрешении удаленных
запросов следует быть достаточно осторожным, чтобы ограничить
количество команд, которые можно выполнить по запросу удаленной
системы. Значение по умолчанию, которые удовлетворяют большинство
систем - rmail и rnews.
Если на локальную систему осуществляются звонки со стороны
различных удаленных систем, и этим системам должны быть предоставлены
различные привилегии (возможно из за того, что некоторые системы
находятся в пределах той же самой организации, а некоторые нет), то
должна использоваться команда called-login для каждой системы,
которая требует, чтобы данные системы использовали различные имена для
входа в систему. В противном случае, удаленная система может просто
использовать команду myname для того чтобы притворится другой
системой. Команда sequence может использоваться для обнаружения
ситуации, когда одна система притворяется другой, но так как
последовательные номера сбрасываются вручную после неудачной процедуры
установки связи, то в некоторых случаях это может привести к большим
неприятностям, чем выигрывается.