|
ot X_console (15-03-2001)
reiting (1)
[ dobre ]
[ zle ]
Variant za otpechatvane
Statiiata e prevedena ot Slavei Karadzhov
Adresut na originalnata statiia e http://xfactor.itec.yorku.ca/~xconsole/tutorials/security.html
V posledno vreme Linux se radva na osobena populiarnost i
vse poveche hora go izpolzvat. Linux izpolzva tsialata sila na
UNIX operatsionnata sistema i e mnogo po-stabilen i po-burz ot
operatsionnite sistemi na Microsoft. Da ne zabraviame, che Linux e
bezplatna za svaliane
ili struva suvsem malko ili pochti nishto, ako iskate da si go
kupite. Programistite i hakerite sa osobeno dovolni ot Linux,
zashtoto mogat da razgledat izhodniia mu kod i da go promeniat po
tehen vkus. Izuchavaneto na Linux v podrobnosti otnema vreme i
uvelichavaneto na sigurnostta na sistemata iziska neinoto
poznavane v detaili. Neshto, koeto nachinaeshtite potrebiteli na
Linux ne sa pridobili. I zatova sushtestvuva tazi statiia - za da
napravi protsesa po uvelichavaneto na sigurnosta na sistemata
po-lesen i po-burz.
Kakvo se diskutira v tazi statiia?
Osnovnite tehniki za uvelichavane na sigurnosta
v Linux, a te sa :
-
podsiguriavane na parolite.
-
predotvratiavane na dostupa na nezhelani lichnosti do
sistemata.
-
podsiguriavane na "demonite".
-
kriptirane na vazhnite failove.
-
troianski kone i virusi.
-
failovi prava.
-
skanirane na portovete.
-
podsiguriavane na programite.
-
kakvo da chetete po-natatuk.
V tazi statiia predpolagame, che vie:
-
Izpolzvate Linux za domashna upotreba, a ne kato survur.
-
Znaete osnovnite Linux komandi i mozhe da se spraviate
s imenata na failovete.
-
V momenta izpolzvate Linux, a ne drugi UNIX varianti,
kato FreeBSD naprimer.
-
Znaete kak da izpolzvate tekstov redaktor, primerno:
vi,
emacs,
pico,
drugi...
-
Suznavate, che man komandata mozhe da vi pomogne.
Ot kakva stepen na sigurnost se nuzhdaete?
Mozhe da imate dosta podsigurena sistema, no tova
shte vi poprechi da izpolzvate razni programi i shte ogranichi
vuzmozhnostite,
koito mozhe da vi predostavi edna Linux sistema. Triabva da si
otgovorite
na vuprosa kakvo tochno iskate da zashtitite. Dali imate vazhna
informatsiia,
kato nomera na kreditni karti naprimer? Dali vi puka, ako niakoi
naistina
se vmukne vuv vashata sistema? Zadaite si tezi vuprosi predi da
zapochnete
da prilagate merkite za sigurnost, koito se diskutirat po-dolu.
Podsiguriavane na parolite
Parolite sa vashata purva zashtitna stena i v povecheto
sluchai nai-atakuvanoto neshto ot krakerite. Mnozhestvo kompyuturni
vandali
se stremiat da otgatnat parolata vi za da proniknat v sistemata.
root-skata
parola e nai-vazhnata i tia triabva da e nai-trudna za otgatvane.
Kak da ia
podsigurite? Eto niakolko predlozheniia:
-
Triabva da izpolzvate maksimalnata dulzhina, pozvolena
ot sistemata, za vashata parola.
-
Triabva da sudurzha chisla, bukvi i spetsialni simvoli.
-
Da sudurzha malki i golemi bukvi.
-
Triabva da e trudna za zapomniane i da ne ia zapisvate
nikude.
-
Ne triabva da oznachava nishto.
-
Da ne e duma, koiato mozhe da bude otkrita v rechnika.
-
Da e duma koiato ne sushtestvuva.
Dobre, sega sled kato izmisli nai-nerazgadaemata
parola na sveta kakvo da pravite s neia? Kato za nachalo svalete
programa,
koiato shte se opita da krakne vashata parola. Tezi programi sa
izvestni kato
password cracker-i. Da obiasnim: Linux avtomatichno shte kriptira
vashata parola
za da ne mozhe da se prochete i izpolzva direktno. Krakvaneto na
parolata
e protsesa na dekriptiraneto na kriptiranata parola, koeto shte
reche da se
napravi nechetimata parola chetima. Ako uspeete da kraknete
sobstvenata si
parola, izmislete nova po-sigurna i opitaite pak. Ot dosta
mesta mozhe da
si svalite password cracker-i. SHTe otkriete niakolko ot http://www.rootshell.org.
Ako iskate da suzdadete "nai-nerazgadaemata" parola mozhe da
eksperimentirate
s /dev/urandom. Eto i nachin da napravite tova:
root# head -c 6 /dev/urandom | uuencode
- | cat -n | grep 2 | cut -f2 | cut -c 2,3,4,5,6,7,8,9
Tova shte generira edna parola za vas. Vse oshte ne
sme priklyuchili. Sledvashtoto neshto e da dobavite vashata parola v
shadow failovete.
Protsesut na zamugliane(shadowing) na vashata parola predstavliava
premestvaneto
na kriptiranata parola ot faila /etc/passwd, koito mozhe da bude
cheten ot
vseki, koito ima dostup do sistemata, vuv faila /etc/shadow,
koito mozhe
da bude cheten samo ot root-a. Za da proverite dali vashata
sistema izpolva
"zamugliane" na parolite napravete slednoto:
root# cat /etc/passwd | grep root
Ako vidite neshto ot roda na root:x, togava vashite
paroli se zapisvat v shadow faila. V protiven sluchai te ne se
zapisvat
v shadow faila i za da go napravite triabva da izpolzvate komandata
pwconv.
Spirane na demonite
Kagoto instalirate vashata Linux sistema v nachaloto
shte se startirat mnozhestvo demoni, povecheto ot koito niama da gi
izpolzvate
nito vednuzh. Demonut e programa, koiato "slusha" i chaka za
opredeleno subitie.
Tia se startira vuv fonov rezhim i chaka da bude izvikana. Kogato
takova subitie
se sluchi demona se aktivira i izvurshva deinosti za koito e
suzdaden. Za
primer vashiiat finger demon shte chaka dokato niakoi se svurzhe s
nego. Tova
koeto shte napravi e da dade informatsiia za vas ili da otkazhe
vruzkata. Povecheto
demoni se startirat ot /etc/inetd.conf faila. inetd e
vashiiat super
survur. Toi kontrolira vsichki ostanali demoni na vashata
sistema. Kogato
niakoi se opita da se svurzhi s daden demon vruzkata minava prez
inetd, koito
shte preprati vruzkata na suotvetniia demon. Opisanieto na finger
demona izglezhda
gore-dolu taka:
finger stream tcp nowait /usr/etc/in.fingerd
in.fingerd
V tozi sluchai vashiiat finger demon e startiran i chakasht.
Ako niakoi se opita na napravi finger kum root-a na sistemata shte
poluchi
neshto podobno kato rezultat:
xconsole$ finger root@localhost
Login: root Name: root
Directory: /root Shell: /bin/bash
On since Sun Mar 7 00:43 (EST) on ttyp0 from :0.0
Mail last read Sun Feb 28 20:58 1999 (EST)
No Plan
Tova obiknoveno se tretira kato risk za sigurnostta.
Niama prichina zaradi koiato niakoi da iska da vidi statusa na
root-a. Eto
zashto e dobra ideia da sprete finger demona. Tova stava kato
dobavite simvola
diez # predi komandata. T.e:
#finger stream tcp nowait /usr/etc/in.fingerd
in.fingerd
Zapishete faila i posle izpulnete slednata komanda
killall -HUP inetd
za da nakarate inetd da zaredi novata komfiguratsiia.
Kogato dadete finger root shte poluchite:
xconsole$ finger root@localhost
[localhost]
finger: connect: Connection refused
Uspeshno spriahme finger demona. Tova obache ne znachi,
che ne mozhe da izpolvame finger. Vse oshte mozhe da izpolzvate
finger za da
gledate infomatsiiata na drugi kompyutri, no te ne mogat da gledat
vashata.
Mozhe bi shte e dobre da sprete i oshte niakoi drugi demoni.
Kandidati za spirane
sa slednite:
-
echo
-
discard
-
daytime
-
chargen
-
ftp
-
telnet
-
gopher
-
shell
-
login
-
exec
-
talk
-
tftp
-
finger
-
netstat
-
systat
Ne e dobre da imate startirani demoni, koito ne izpolzvate.
Ako se pitate kak da napravite taka, che hem da ostavite finger
demona startiran,
hem drugi da ne mogat da se doberat do informatsiiata, koiato
vrushta fingering,
togava tcp_wrapper idva na pomosht. tcp_wrapper logva
vsichki vruzki
kum demoni, koito nablyudavate. tcp_wrapper sushto mozhe da zabrani
na dadeni
IP-ta da se doberat do daden demon. tcp_wrapper mozhe da si
svalite ot ftp://ftp.win.tue.nl/pub/security/.
Pochti vsichki distributsii veche go instalirat po podrazbirane.
Eto kak da
izpolzvate tcp_wrapper pri konfigurirane na /etc/inetd:
finger stream tcp nowait /usr/sbin/tcpd
in.fingerd
Zabelezhete, che sega finger demona se kontrolira ot
tcpd.
Ako niakoi se opita da se svurzhe s finger demona negoviiat opit
shte bude zapisan
vuv fail po vash izbor. Proverete /etc/syslog.conf kak se
kontrolira logvaneto
na informatsiiata i napishete man syslog.conf za da razberete kak
da promenite
/etc/syslog.conf. Predpolagam, che tcp_wrapper sledi vsichki
demoni nezavisimo
dali te sa pusnati ili ne. Povecheto distributsii izpolzvat
tcp_wrapper pri
startirane na demonite taka, che ne e nuzhno da se pritesniavate
kak da go
instalirate. Za da razberete, kak da konfigurirate
tcp_wrapper-a pishete
man tcpd.
Krai na purva chast.
<< Kak da zashtitite vashiiat Linux (chast 2) | Kak da si napravim sobstven gateway pod FreeBSD >>
|
|