- předchozí článek - následující článek - obsah - úvodní stránka -

Linuxové noviny 03-04/99

Recenze: Bezpečnost v Unixu a Internetu v praxi

David Rohleder, 8. března 1999

[ obálka ]  
Na konci minulého roku vyšlo několik knih týkajících se problematiky počítačové bezpečnosti. Rád bych napsal pár slov o nejobjemnější z nich. Je to překlad druhého vydání knihy Practical UNIX & Internet Security od Simsona Garfinkela a Gene Spafforda, který vyšel pod českým názvem Bezpečnost v Unixu a Internetu v praxi. Překlad vydalo v poslední době velmi aktivní nakladatelství Computer Press.

Tato kniha čítající více než 900 stran je v oblasti unixové bezpečnosti opravdovou biblí. Autoři se snaží seznámit čtenáře s celou šíří problematiky bezpečnosti unixových systémů, od základního vysvětlení bezpečnostních opatření v systému, přes fyzickou bezpečnost, zálohování a bezpečnost jednotlivých programů až po právní problematiku.

Kniha není jen suchým popisem různých systémů bezpečnosti, její tvůrci jsou odborníci se značnou praxí, a tak je kniha proložena různými zajímavými příběhy a historkami ze života.

Tématicky je celý text rozdělen do šesti částí a několika příloh.

Část první - Základy počítačové bezpečnosti popisuje vznik a historii operačního systému Unix a obsahuje vysvětlení některých základních termínů. Věnuje se také volbě bezpečnostní strategie a managementu rizik.

Část druhá - Zodpovědnost uživatelů se věnuje uživatelským účtům, uživatelům, skupinám a superuživateli. Součástí je také popis unixového souborového systému včetně některých nestandardních rozšíření (ACL - "seznam řízení přístupu"). Poměrně velká část této kapitoly je věnována kryptografii. Na téměř padesáti stranách jsou rozebrány základy symetrických a asymetrických šifer, digitálních podpisů a hashovacích funkcí.

Část třetí - Bezpečnost systému se věnuje základním bezpečnostním praktikám, ke kterým patří zálohování, ochrana účtů, kontrola integrity a protokolovací mechanismy. Část je také věnována fyzické a personální bezpečnosti počítačových systémů, což je zajímavé zejména pro správce větších systémů.

Část čtvrtá - Bezpečnost sítě a Internetu popisuje problémy, které vznikají při připojení počítače k některému z druhů sítí, telefonní sítí počínaje a Internetem konče. Jsou zde dosti podrobně popsány systémy UUCP, WWW, RPC, NFS, NIS, NIS+ a Kerberos.

Část pátá - Pokročilá témata představuje systémy ochrany vnitřních sítí před vnější sítí. Jsou to především firewally, wrappery a proxy a část je také věnována problematice tvorby suid programů.

Část šestá - Postup při napadení. Byli jste úspěšně napadeni? Tak toto je kapitola přesně pro vás. I když doporučuji přečíst před tím než se to stane. Jsou zde probrány postupy při napadení od odhalení průniku, zastavení útoku, až po zotavení se. Rovněž jsou zde shrnuty možnosti využití právních cest k potrestání útočníka. Bohužel se vztahuje pouze na USA, takže našinec asi nebude schopen využít služeb FBI nebo tajné služby. Už jste přečetli skoro celou knihu a ještě nejste paranoidní? Nevadí, i na tuto možnost autoři mysleli a na závěr zařadili kapitolku o tom, komu můžete věřit.

V přílohách jsou pak uvedeny informace o důležitých souborech v systému, síťových portech a dalších tištěných a elektronických zdrojích informací.

Hodnocení?

Autorům se opravdu podařilo obsáhnout velkou část problematiky bezpečnosti unixových systémů. Nezacházejí sice příliš do podrobností, a také zde nenajdete návody pro útoky na počítačové systémy, ale prezentují množství mechanismů, jak se těmto útokům bránit.

Většina témat je probrána opravdu pečlivě, jistou výjimku podle mne představuje popis systému Kerberos a firewallů.

U Kerbera chybí podrobnější popis celého systému. Bez tohoto vysvětlení není téměř možné plně pochopit výhody jeho použití.

U části popisující konstrukci firewallů mi chybělo vysvětlení základních pojmů, např. hlaviček TCP/IP, a přesto autoři operují s využitím některých dost speciálních polí. Pokud se tedy chcete o firewallech dozvědět více, doporučuji jinou knihu (např. Chapman, Zwicky: Firewally, principy budování a udržování nebo Bellovin, Cheswick: Firewally a bezpečnost Internetu).

Překlad a sazba překladu si také zaslouží několik výtek. V překladu je poměrně dost chyb, v některých případech jsou takového charakteru, že to znemožňuje pochopení textu. Záměna mocnitelů u systému asymetrické kryptografie je toho jasným příkladem.

První (a dosti vážné) chyby se překladatel nebo sazeč dopustil ještě před samým začátkem knihy - v tiráži. Nejenže změnil autory knihy, dokonce přeložil text "Practical UNIX & Internet Security" do češtiny jako "Microsoft Exchange in Business" :-(

Mezi chyby sazeče bych zařadil výběr fontů v příkladech tak, že se slévají pomlčky a téměř není možné rozpoznat zpětné apostrofy od apostrofů normálních. V jednom z vložených článků chybí poslední řádek. A rozdělení slova Berkele-y nepůsobí také nejlepším dojmem.

Přes všechny tyto výhrady si myslím, že by tato kniha rozhodně neměla chybět v knihovničce žádného správce unixového systému.

Celkové hodnocení: 4/5 *


- předchozí článek - následující článek - obsah - úvodní stránka -