Меню
  Список тем
  Поиск
Полезная информация
  Краткие содержания
  Словари и энциклопедии
  Классическая литература
Заказ книг и дисков по обучению
  Учебники, словари (labirint.ru)
  Учебная литература (Читай-город.ru)
  Учебная литература (book24.ru)
  Учебная литература (Буквоед.ru)
  Технические и естественные науки (labirint.ru)
  Технические и естественные науки (Читай-город.ru)
  Общественные и гуманитарные науки (labirint.ru)
  Общественные и гуманитарные науки (Читай-город.ru)
  Медицина (labirint.ru)
  Медицина (Читай-город.ru)
  Иностранные языки (labirint.ru)
  Иностранные языки (Читай-город.ru)
  Иностранные языки (Буквоед.ru)
  Искусство. Культура (labirint.ru)
  Искусство. Культура (Читай-город.ru)
  Экономика. Бизнес. Право (labirint.ru)
  Экономика. Бизнес. Право (Читай-город.ru)
  Экономика. Бизнес. Право (book24.ru)
  Экономика. Бизнес. Право (Буквоед.ru)
  Эзотерика и религия (labirint.ru)
  Эзотерика и религия (Читай-город.ru)
  Наука, увлечения, домоводство (book24.ru)
  Наука, увлечения, домоводство (Буквоед.ru)
  Для дома, увлечения (labirint.ru)
  Для дома, увлечения (Читай-город.ru)
  Для детей (labirint.ru)
  Для детей (Читай-город.ru)
  Для детей (book24.ru)
  Компакт-диски (labirint.ru)
  Художественная литература (labirint.ru)
  Художественная литература (Читай-город.ru)
  Художественная литература (Book24.ru)
  Художественная литература (Буквоед)
Реклама
Разное
  Отправить сообщение администрации сайта
  Соглашение на обработку персональных данных
Другие наши сайты
Приглашаем посетить
  Брюсов (bryusov.lit-info.ru)

    

Безопасность Linux. Удаленные атаки

Безопасность Linux. Удаленные атаки

Я не буду описывать то, что пароль может быть просто подобран или увиден на листочке, который вы забыли на работе. Пароли следует делать легкими для запоминания, однако наиболее сложными для подбора(использовать цифры, буквы разных регистров и спецсимволы; длинной от 9 до 14 символов). Так же лучше запретить подключение с помощью пользователя root с удаленного компьютера (файл etc/security)

Default

Не забывайте изменять настройки, которые стоят по умолчанию. Не следует оставлять пароли 12345 на какой-нибудь сервис. Ненужные папки из веб-сервера (например документы по нему), следует удалить.

Для получения подробной информации настроек "по умолчанию" лучше смотреть в мануал используемого Вами ОП.

DoS и DDoS

Скажу честно, что когда я впервые услышал эти аббревиатуры, то подумал, что имелась в виду операционная система. Нет, это атаки на отказ в обслуживании. Действительно большого вреда они не принесут, однако сервер может перестать отвечать пользователям, обращающимся к нему. Атаки такие действуют методом "в лоб". Компьютер отсылает много пакетов на удаленный сервер, пока тот не отправит все свои ресурсы на "разгребание" такой атаки. Обычно в адресе "from:" указывают тот же сервер, что и для получателя. Таким образом организуется цикл, что и приводит к отказу в обслуживании.

"легкому" (достаточно даже небольшого кол-ва компьютеров, а иногда даже одного) Dos.

Я также хочу упомянуть о том, что существует атака-smurf: компьютер отправляет запрос(ping) на несколько крупных серверов с подложным адресом отправителя(адрес жертвы), после чего каждый компьютер отправляет ответ жертве. Легко понять, что таким образом жертву очень легко вывести из строя. Программу для использования могу посоветовать nemesis.

Лично я советую отключать службы echo, chargen и парочку других служб. Для этого закомментируйте несолько строк в etc/inetd. conf

Желательно также поставить firewall и ограничить кол-во возможных запросов с удаленных компьютеров.

Противостоять нескольким сотням компьютеров, засылающих сервер практически невозможно (даже при недавней атаке novarg на www.microsoft.com последний не отвечал на запросы)

Sniffers

По сети, как известно, передаются пакеты. Задача снифферов их перехватывать и анализировать. При захвате информации легко получить пароль или любую другую конфиденциальную информацию. У каждого пакета существует свой MAC-адрес. При получении пакета компьютером он проверяет, принадлежит ли данный пакет ему по данному адресу. И если принадлежит, то анализирует, а если нет - отправляет дальше. Всем этим занимается сетевой адаптер. Он может быть переведен в режим "полного анализа" (неразборчивый режим). В данном режиме он анализирует все данные, передающиеся через него.

К сожалению (а для кого-то к счастью), многие службы передают информацию в незашифрованном виде. Это относится к таким известным и часто используемым вещам, как telnet, http и ftp.

Единственным спасением может быть коммутатор, (существует еще концентратор) т. к. коммутатор позволяет отправить нужную информацию прямиком на необходимый компьютер.

Приводить примеры и описание снифферов я здесь приводить не буду, т. к. таких статей очень много (www.dago.org, www.xakep.ru и др.).

изучить устройство ПК)

службу лучше остановить до лучших времен(появление патча).

etc/exports и etc/dfs/dfstab

Используется этот файл для указания того, какой компьютер имеет право смонтировать себе удаленную файловую систему.

В ранних версиях использовался файл etc/exports, в более новых - etc/dfs/dfstab.

Если администратор забыл или поленился изменить параметры этого файла, то злоумышленник может без проблем смонтировать себе жесткий диск своей жертвы простой командой

root@localhost: mount hostname:file system(nfs for example) directoryheneed

Убрать возможность подобного взлома можно запретив firewallом порт 2049. Следует так же отредактировать файл экспорта так, чтобы не все компьютеры имели право это сделать, а те, что могли бы, монтировали бы только необходимые им данные (а не папку etc/passwd).

Необходимо запретить всех хостам, кроме указанных подключаться к Вашей машине. Делается это благодаря редактированию файлов etc/hosts. allow и etc/hosts. deny

Если у вас небольшая локальная сеть, то скорее всего у вас стоит разрешение локальным компьютерам обращаться к серверу с достаточно большими полномочиями. Однако если хакеру удастся подменить свой ip на ip компьютера, к которому установлены "доверительные" полномочия, он сможет получить важную информацию.

Сделать ему это иногда может быть просто(подменить refer при обращении).

Такой же обман может быть применен к NFS и NIS.

Лучше избегать использование telnet и ftp, а пользоваться современным ssh. Данный протокол лучше защищен криптографически и его процесс идентификации оставит злоумышленнику намного меньше шансов обмануть вас. NFS лучше заменить AFS, а NIS использовать как можно меньше.

Маршрутизатор, через который будет проходить весь трафик от интернета должен запрещать запросы от имени тех компьютеров, которые находятся с сервером в одной локальной сети(зачем им обращаться к серверу через интернет?).

Желательно поставить firewall.

а)Во-первых, необходимо проверить, включен ли tcpd (именно он работает с файлами hosts. allow и hosts. deny). Для этого рассмотрим файл etc/inetd. conf. К каждой строке, где указывается включение службы должен стоять такой фрагмент:

/usr/sbin/tcpd

Кстати, расскажу подробнее про inetd. Данный демон запускает различные сетевые службы (telnet и др.) при запросе к ним, он указывает к какому порту они подключены и необходим для работы в сети.

Файл hosts. allow лучше настроить так:

All: 127. 0. 0. 01

All: компьютеры, которым вы доверяете.

Файл hosts. deny настраивается аналогично.

В новую версию inet - xinet уже встроен такой проверщик. Для работы с ним лучше почитайте документацию.

К сожалению, не все службы запускаются через демон inetd. Однако они поддерживают запуск с tcpd. Рассмотрим пример на ssh. Для того, чтобы она запускалась с включенным tcpd необходимо запустить ее configure с ключом -with-tcp-wrappers Осталось только в hosts. allow (. deny) добавить строку:

sshd: именакомпьютеровкоторымможнодоверять

Что делать, если программный продукт не поддерживает tcpd? Мы же под linux! А линукс - синоним открытого исходного кода! Лично я бы не смог написать необходимый код, если бы не одна книга. Привожу листинг из нее:

// В начале заголовка программы необходимо разместить:

#include <tcpd. h>

int allowseverity=LOGNOTICE;

int denyseverity=LOGWARNING;

#endif

// В функции, которая управляет соединением, добавим следующую

// строку при объявлении переменной:

#indef USELIBWRAP

struct requestinfo request;

#endif;

#ifdef USELIBWRAP

requestinit(&request, RQDAEMON, options. servername, RQfile, local, 0);

fromhost(&request);

if (!hostsaccess(&recuest)) {

"Connection from %s:%d REFUSED by libwrap",

inetntoa(addr. sinaddr),ntohs(addr. sinport));

log(logdebug,"See hostsaccess(5) for detailes");

goto cleanuplocal;

}

// лично я разобрался с этим кодом, однако это заняло много времени,

// надеюсь это поможет и вам. (ком. автора статьи)

ip-результат не совпадет с ip, который был указан изначально - злоумышленник не получит доступа. Для такой проверки необходимо скомпилировать tcpd с ключом -dparanoid (обычно он установлен по умолчанию, однако нельзя надеяться на default, надо быть точно уверенным).

в)Необходимо защитить Ваш демон от DoS. Для этого необходимо скачать программу, ограничивающую кол-во запросов в данной службе.

г)Вспомним предыдущую статью. Для запрета traceroute и ping можно использовать встроенный набор правил ipchains.

Строка /sbin/ipchains -A input 0/0 echo-request -d ip. ip. ip. ip -p icmp -j DENY (я не объясняю здесь, что делает каждый параметр этой команды, так как набор правил ipchains достаточно велик, а прочитать его можно в мануале по linux).

д) Переходим к непосредственному описанию настройки firewall на основе ipchains.

-)/sbin/ipchains -a input -s 0/0 -d В. А. Ш. IP www -p tcp -j ACCEPT //разрешает прохождение пакетов на порт 80.

-)/sbin/ipchains -a input -j deny -l //регистрируем то, что пакет был заблокирован.

как можно чаще читать bugtraq и ставить заплатки как только они выходят. Именно благодаря ошибкам в каком-либо коде происходят взломы, хотя и на долю вышеописанных способов приходится не такой уж маленький процент взлома.