Skip to content


Основы безопасности для пользователей ПК

Для защиты компьютера, на котором хранится конфиденциальная информация, рекомендуеся следующее:

  1. Откажитесь от использования Windows 95/98/Me, вместо этого используйте Windows XP / 7, а еще лучше Linux. Вы можете использовать Linux (Unix) системы, но полноценная защита такой операционной системы требует вмешательства специалиста, которые доступны не каждому (и уж тем более эксплуатация продуктов эмуляторов ОС подобных VmWare).
  2. Производите постоянное обновление программного обеспечения (для Windows это Service Pack и Hot-fix, доступны на сайте windowsupdate).
  3. Обязательно реализуйте (самостоятельно или с привлечением специалиста) защиту ОС с максимальным приближением к стандартам безопасности
  4. Установите персональный брандмауэр типа Outpost, ZoneAlarm или аналогичный им (в Windows XP используйте встроенный в эту ОС файрвол) и закройте на входящий и исходящий доступ все порты и IP-адреса, кроме используемых вами в работе.
  5. Используйте современные антивирусные средства с своевременным обновлением вирусных баз.
  6. ОБЯЗАТЕЛЬНО контролируйте весь входящий поток информации (web, email, news и пр.) на наличие троянов и вирусов. Поскольку даже при выполнении всех указанных до данного пункта действий ваш компьютер будет по-прежнему беззащитен при атаках этого типа. НЕ ЗАПУСКАЙТЕ!!! исполняемые модули: программы (.com, .exe) , скритпы (.js, .vbs), пакетные файлы (.bat, .pif), файлы документов с макрокомандами (.doc и проч.) и т.д., если эти файлы получены из НЕнадежного источника.
  7. Храните файлы с секретной информацией на сменном носителе (компакт диск, смарт- или флэш-карта и пр.) в надёжном месте, известном только вам.
  8. Храните сменный носитель с секретной информацией и его копию отдельно друг от друга, в надежных местах.
  9. Периодически (не реже раза в месяц) делайте копию на другие (резервные) сменные носители.
  10. Внимательно изучите возможности по обеспечению безопасности и защиты от несанкционированного доступа, заложенные в используемых вами системах.
  11. Отходя от компьютера (даже на несколько минут), обязательно залокируйте его или завершите программы, используемые для финансовых операций и требующие повышенной секретности. При этом не забудьте обеспечить недоступность внешних носителей с секретной информацией.
  12. Ни в коем случае не позволяйте посторонним программам получать доступ к паролям или секретным ключам. Если какая-либо сторонняя программа (даже с благими намерениями!!!) вдруг просит Вас ввести пароль от счета в платежной системе или указать, где лежат секретные ключи от счета в платежной системе, то ни в коем случае этого не делайте! Доступ к паролям и ключам должны иметь ТОЛЬКО программные продукты, для которых предназначены эти ключи и пароли.

Выполнив эти рекомендации, вы существенно повысите безопасность компьютера, обеспечите конфиденциальность управления и сохранность денежных средств в электронных банковских и платежных системах.

Информация взята с сайта webmoney.ru.

Ну а напоследок самый действенный метод для защиты от компьютерных вирусов (почерпнуто из современной научно-популярной литературы):

Заклинание от компьютерных вирусов

Как защититься от компьютерных вирусов

Posted in Misc.


Детальное логирование в Samba

Иногда ну очень нужно узнать кто же создал или удалил определенный файл с файлового сервера. Стандартный лог-файл, который Samba пишет при настройках по-умолчанию, не позволяет это сделать, так как в него пишутся только события подключения и отключения от общих ресурсов. Пример стандартного лог-файла:

[2010/03/05 20:45:00, 1] smbd/service.c:make_connection_snum(1042)
host44 (10.44.44.44) connect to service PUB initially as user vasya (uid=503, gid=501) (pid 2707)
[2010/03/05 20:47:34, 1] smbd/service.c:close_cnum(1239)
host44 (10.44.44.44) closed connection to service PUB

Чтобы лог-файл был более подробным, в smb.conf нужно добавить следующие строки:

log level = 0 vfs:2
max log size = 0
syslog = 0

[PUBLIC]
  comment = writeable folder
  path = /var/spool/samba/public
  valid users = @admins
  public = yes
  writable = yes
  printable = no
  vfs objects = full_audit
  full_audit:prefix = %u|%I
  full_audit:failure = none
  full_audit:success = mkdir rmdir open read pread write pwrite sendfile rename unlink lock
  full_audit:facility = local5
  full_audit:priority = debug

В параметрах шары все, что касается логирования, перечислено в строках 12-17. В 13-ой строке указываем префикс (логин и IP-адрес клиента). В 15-ой строке перечисляем операции, которые должны подвергаться аудиту (которые будут записываться в лог-файл). В 16-ой и 17-ой строках указываем параметры для syslog. Затем в /etc/syslog.conf добавляем строку

local5.debug  -/var/log/samba/audit.log

и посылаем syslog-у сигнал HUP чтобы тот перечитал свой конфиг. Знак минуса перед именем файла означает, что после каждой записи в файл не будет выполняться операция sync, а данные некоторое время будут находится в оперативной памяти в дисковом буфере. При большой интенсивности потока записей это уменьшает нагрузку на дисковую систему.

В результате в файле /var/log/samba/audit.log появляются примерно такие записи:

Mar 5 21:04:01 serv smbd_audit: vasya|10.44.44.44|pwrite|ok|dir1/somefile.exe
Mar 5 21:04:01 serv smbd_audit: ann|10.44.44.92|open|ok|r|dir2/database.txt
Mar 5 21:04:01 serv smbd_audit: editor|10.44.44.34|pread|ok|dir1/somefile.exe

Posted in *nix, Howto.

Tagged with .


Раздаем права в samba по IP-адресу

Представим ситуацию: есть samba-пользователь vasya, который ходит на samba-сервер с компьютеров с IP-адресами 172.16.0.7 и 172.16.0.13, и нужно сделать так, чтобы при подключении с 172.16.0.7 у него был доступ на запись в общий ресурс NashaShara, а при подключении с 172.16.0.13 – доступ только на чтение. Решается эта задача с помощью макро-подстановок (man 5 smb.conf, раздел "VARIABLE SUBSTITUTIONS") следующим образом:

  1. Создаем директорию /etc/samba/per-ip-configs
  2. В директории /etc/samba/per-ip-configs создаем файл с именем 172.16.0.7.conf:
    [NashaShara]
        comment = Read-Write access
        path = /var/spool/samba/nashashara
        valid users = vasya
        write list = vasya
        create mask = 644
        directory mask = 755
        printable = no
  3. Потом в той же директории /etc/samba/per-ip-configs создаем файл уже с именем 172.16.0.13.conf:
    [NashaShara]
        comment = Read-only access
        path = /var/spool/samba/nashashara
        valid users = vasya
        create mask = 644
        directory mask = 755
        printable = no
  4. В конфигурационном файле smb.conf в самом начале раздела, где описываются общие ресурсы, добавляем строку:
    include = /etc/samba/per-ip-configs/%I.conf

Таким образом, теперь при подключении нового клиента samba будет подгружать ту часть конфига, которая соответствует IP-адресу клиента (он подставляется вместо %I). Если клиент подключится с другого IP-адреса (для которого нет соответствующего файла в /etc/samba/per-ip-configs) и в основном конфиге smb.conf не будет определения для общего ресурса NashaShara, то клиент просто этот ресурс не увидит и доступа к нему не получит.

Posted in *nix, Howto.

Tagged with , .


Гневное письмо в банк

Заявление

Управляющему Тамбовским филиалом
ОАО АКБ «********-Банк»
********** *. *.
От Потерпевшего ********** ********* *********
г. Тамбов, ул. ************, д. **,кв.**

Уважаемая Ольга Юрьевна!

Вчера 30.08.2006 закончив тяжелый рабочий день, я направился к банкомату, что по улице Октябрьской, д 1. По дороге я напевал «деньги-деньги дребеденьги» и отчетливо представлял, как конвертирую презренные бумажки, на вечер с прекрасной знакомкой в каком-нибудь близлежащем кафе. Ничего не подозревая, я подошел к банкомату, вставил карту, набрал пин-код и решив что 1500 (одна тысяча пятьсот) рублей вполне подходящая сумма (и голодным не останешься и жаба потом душить не будет) я нажал «Ввод». Ну а поскольку в нашем офисе введен режим жесткой экономии бумаги, то на предложение автомата распечатать чек, я ответил решительным отказом. Ведь как-никак мы с Вами один холдинг, а стало быть делаем общее дело и должны помогать экономить друг другу, пусть даже на банковских чеках.

В момент ожидания денег я задумался и ярко представил себе холодную кружку пенной «Крушовицы». горячие баварские колбаски с горчицей, которые только пару минут как сняли со скворчащей сковородки, атмосферу тепла и уюта, веселых друзей и симпатичных подруг. Каких-то 20 минут отделяли меня от праздника жизни, где нет места начальникам и подчиненным, закулисным интригам и подковерной борьбе....И в этот момент я посмотрел на отверстие в банкомате, откуда обычно подаются купюры. Там уже лежали и ждали пока я ими овладею, мои кровные 1500 руб. Но только было я протянул руку за ними, как что-то проскрипело, зажужжало и как по мгновению волшебной палочки, деньги втянулись в банкомат обратно. Мир рухнул - вот первое что я подумал на тот момент. Но вслух лишь произнес слово, отражающее краткую характеристику пользующейся дурной славой девушки, которое я здесь не могу привести по причине своего хорошего воспитания.

Надеясь на лучшее, я проверил баланс, но оказалось, что деньги уже списались с моего счета. И тут. казавшийся таким приятным вечер мгновенно изменился. Исчезли и перспективы встречи с любительницами «Крушовицы» и баварские колбаски, тепло и уют в придачу. Я стоял у бездушного банкомата и задавался вопросами:
1. Почему все гак не правильно на этом свете и где вселенская справедливость?
2. Почему всего можно добиться только обманом и ложью?
3. Почему хорошие люди живут мало, а плохие долго?
4. Почему люди координируют свои действия, руководствуясь только личной выгодой?
5. Как можно без денег насладиться пивом, колбасками и обществом прекрасной знакомки?

Покурив и поразмыслив над суетностью бытия, я решил, что если хорошенько подумать, то в принципе, ну так, чисто теоретически, я могу выделить еще одну сумму эквивалентную 1500 руб. на проведение сегодняшнего вечера. И уже без особого энтузиазма, я снова поплелся к банкомату. Опять же по привычке вставив карту и набрав пин-код, я стал ждать вожделенной компенсации из цветных бумажек. Но на этот раз вылез только чек, хотя я его не просил и карта. На чеке была надпись, обозначающая полное фиаско, а также то, что засну я сегодня голодным, трезвым и в одиночестве, а именно: «Извините, в банкомате кончились купюры» (этот чек я сохранил, на случай если у Вас также введена экономия бумаги и Вам приходится распечатывать новые чеки на обратной стороне старых. И могу его вам передать по случаю).

Нет я не стал портить имущество ОАО АКБ «*****-Банк» и знакомить окружающих с новыми лексико-семантическими конструкциями. Я вдруг четко осознал, что мы с вами часть одной команды, вместе настроенные на достижение результата. И только совместные усилия приведут нас к победе в обозримом будущем. Не могу не поделиться своей рационализаторской находкой. На данный момент, как я понял, время ожидания банкомата составляет 30 секунд. После этого времени он «втягивает» деньги назад. Настоящим предлагаю сократить время ожидания банкомата до 5 секунд, а из «втянутых» обратно в банкомат денег сформировать премиальный фонд работников ОАО АКБ «*****-Банк». Акцию можно провести под лозунгом: «Тренируя реакцию. Вы повышаете рождаемость». Как автор идеи я претендую на 15% от суммы и по возможности на место в совете директоров.

P.S. Прошу зачислить насильственно отнятую у меня банкоматом сумму в размере 1500 руб. на счет моей пластиковой карты.

Posted in Fun.