Kak da zashtitite vashiiat Linux (chast 1) | SUVETI

Nachalo

Vhod/Registratsiia

Pomosht

Novini
Aktualna tema
Linux portali
Kakvo e Linuks?
Vuprosi-otgovori
Forumi
   •Trudova borsa
   •Konkurs
Statii
   • Istoriia
   • Suveti
   • Idei/Mneniia
   • Razrabotki
   • Programi
   • Igri
Distributsii
   •Poruchka na CD
Made In BG
Failove
Vruzki
Galeriia
Konferentsii

Vunshen vid
Predlozheniia
Napravi si sam

Za nas
Linuks za bulgari EOOD
Link kum nas
Predlozheniia

Podkrepiano ot:

	SUVETI

Glavna>Sigurnost>Za nachinaeshti

Suveti>Sigurnost

Kak da zashtitite vashiiat Linux (chast 1)

ot X_console (15-03-2001)

reiting (1) [ dobre ] [ zle ]

Variant za otpechatvane
Statiiata e prevedena ot Slavei Karadzhov
Adresut na originalnata statiia e http://xfactor.itec.yorku.ca/~xconsole/tutorials/security.html

V posledno vreme Linux se radva na osobena populiarnost i vse poveche hora go izpolzvat. Linux izpolzva tsialata sila na UNIX operatsionnata sistema i e mnogo po-stabilen i po-burz ot operatsionnite sistemi na Microsoft. Da ne zabraviame, che Linux e bezplatna za svaliane ili struva suvsem malko ili pochti nishto, ako iskate da si go kupite. Programistite i hakerite sa osobeno dovolni ot Linux, zashtoto mogat da razgledat izhodniia mu kod i da go promeniat po tehen vkus. Izuchavaneto na Linux v podrobnosti otnema vreme i uvelichavaneto na sigurnostta na sistemata iziska neinoto poznavane v detaili. Neshto, koeto nachinaeshtite potrebiteli na Linux ne sa pridobili. I zatova sushtestvuva tazi statiia - za da napravi protsesa po uvelichavaneto na sigurnosta na sistemata po-lesen i po-burz.
Kakvo se diskutira v tazi statiia?
Osnovnite tehniki za uvelichavane na sigurnosta v Linux, a te sa :

podsiguriavane na parolite.

predotvratiavane na dostupa na nezhelani lichnosti do sistemata.

podsiguriavane na "demonite".

kriptirane na vazhnite failove.

troianski kone i virusi.

failovi prava.

skanirane na portovete.

podsiguriavane na programite.

kakvo da chetete po-natatuk.

V tazi statiia predpolagame, che vie:

Izpolzvate Linux za domashna upotreba, a ne kato survur.

Znaete osnovnite Linux komandi i mozhe da se spraviate s imenata na failovete.

V momenta izpolzvate Linux, a ne drugi UNIX varianti, kato FreeBSD naprimer.

Znaete kak da izpolzvate tekstov redaktor, primerno: vi, emacs, pico, drugi...

Suznavate, che man komandata mozhe da vi pomogne.

Ot kakva stepen na sigurnost se nuzhdaete?
Mozhe da imate dosta podsigurena sistema, no tova shte vi poprechi da izpolzvate razni programi i shte ogranichi vuzmozhnostite, koito mozhe da vi predostavi edna Linux sistema. Triabva da si otgovorite na vuprosa kakvo tochno iskate da zashtitite. Dali imate vazhna informatsiia, kato nomera na kreditni karti naprimer? Dali vi puka, ako niakoi naistina se vmukne vuv vashata sistema? Zadaite si tezi vuprosi predi da zapochnete da prilagate merkite za sigurnost, koito se diskutirat po-dolu.
Podsiguriavane na parolite
Parolite sa vashata purva zashtitna stena i v povecheto sluchai nai-atakuvanoto neshto ot krakerite. Mnozhestvo kompyuturni vandali se stremiat da otgatnat parolata vi za da proniknat v sistemata. root-skata parola e nai-vazhnata i tia triabva da e nai-trudna za otgatvane. Kak da ia podsigurite? Eto niakolko predlozheniia:

Triabva da izpolzvate maksimalnata dulzhina, pozvolena ot sistemata, za vashata parola.

Triabva da sudurzha chisla, bukvi i spetsialni simvoli.

Da sudurzha malki i golemi bukvi.

Triabva da e trudna za zapomniane i da ne ia zapisvate nikude.

Ne triabva da oznachava nishto.

Da ne e duma, koiato mozhe da bude otkrita v rechnika.

Da e duma koiato ne sushtestvuva.

Dobre, sega sled kato izmisli nai-nerazgadaemata parola na sveta kakvo da pravite s neia? Kato za nachalo svalete programa, koiato shte se opita da krakne vashata parola. Tezi programi sa izvestni kato password cracker-i. Da obiasnim: Linux avtomatichno shte kriptira vashata parola za da ne mozhe da se prochete i izpolzva direktno. Krakvaneto na parolata e protsesa na dekriptiraneto na kriptiranata parola, koeto shte reche da se napravi nechetimata parola chetima. Ako uspeete da kraknete sobstvenata si parola, izmislete nova po-sigurna i opitaite pak. Ot dosta mesta mozhe da si svalite password cracker-i. SHTe otkriete niakolko ot http://www.rootshell.org. Ako iskate da suzdadete "nai-nerazgadaemata" parola mozhe da eksperimentirate s /dev/urandom. Eto i nachin da napravite tova:
root# head -c 6 /dev/urandom | uuencode - | cat -n | grep 2 | cut -f2 | cut -c 2,3,4,5,6,7,8,9
Tova shte generira edna parola za vas. Vse oshte ne sme priklyuchili. Sledvashtoto neshto e da dobavite vashata parola v shadow failovete. Protsesut na zamugliane(shadowing) na vashata parola predstavliava premestvaneto na kriptiranata parola ot faila /etc/passwd, koito mozhe da bude cheten ot vseki, koito ima dostup do sistemata, vuv faila /etc/shadow, koito mozhe da bude cheten samo ot root-a. Za da proverite dali vashata sistema izpolva "zamugliane" na parolite napravete slednoto:
root# cat /etc/passwd | grep root
Ako vidite neshto ot roda na root:x, togava vashite paroli se zapisvat v shadow faila. V protiven sluchai te ne se zapisvat v shadow faila i za da go napravite triabva da izpolzvate komandata pwconv.
Spirane na demonite
Kagoto instalirate vashata Linux sistema v nachaloto shte se startirat mnozhestvo demoni, povecheto ot koito niama da gi izpolzvate nito vednuzh. Demonut e programa, koiato "slusha" i chaka za opredeleno subitie. Tia se startira vuv fonov rezhim i chaka da bude izvikana. Kogato takova subitie se sluchi demona se aktivira i izvurshva deinosti za koito e suzdaden. Za primer vashiiat finger demon shte chaka dokato niakoi se svurzhe s nego. Tova koeto shte napravi e da dade informatsiia za vas ili da otkazhe vruzkata. Povecheto demoni se startirat ot /etc/inetd.conf faila. inetd e vashiiat super survur. Toi kontrolira vsichki ostanali demoni na vashata sistema. Kogato niakoi se opita da se svurzhi s daden demon vruzkata minava prez inetd, koito shte preprati vruzkata na suotvetniia demon. Opisanieto na finger demona izglezhda gore-dolu taka:
finger stream tcp nowait /usr/etc/in.fingerd in.fingerd
V tozi sluchai vashiiat finger demon e startiran i chakasht. Ako niakoi se opita na napravi finger kum root-a na sistemata shte poluchi neshto podobno kato rezultat:
xconsole$ finger root@localhost Login: root Name: root Directory: /root Shell: /bin/bash On since Sun Mar 7 00:43 (EST) on ttyp0 from :0.0 Mail last read Sun Feb 28 20:58 1999 (EST) No Plan
Tova obiknoveno se tretira kato risk za sigurnostta. Niama prichina zaradi koiato niakoi da iska da vidi statusa na root-a. Eto zashto e dobra ideia da sprete finger demona. Tova stava kato dobavite simvola diez # predi komandata. T.e:

#finger stream tcp nowait /usr/etc/in.fingerd in.fingerd
Zapishete faila i posle izpulnete slednata komanda
killall -HUP inetd
za da nakarate inetd da zaredi novata komfiguratsiia. Kogato dadete finger root shte poluchite:

xconsole$ finger root@localhost [localhost] finger: connect: Connection refused
Uspeshno spriahme finger demona. Tova obache ne znachi, che ne mozhe da izpolvame finger. Vse oshte mozhe da izpolzvate finger za da gledate infomatsiiata na drugi kompyutri, no te ne mogat da gledat vashata. Mozhe bi shte e dobre da sprete i oshte niakoi drugi demoni. Kandidati za spirane sa slednite:

echo

discard

daytime

chargen

ftp

telnet

gopher

shell

login

exec

talk

tftp

finger

netstat

systat

Ne e dobre da imate startirani demoni, koito ne izpolzvate. Ako se pitate kak da napravite taka, che hem da ostavite finger demona startiran, hem drugi da ne mogat da se doberat do informatsiiata, koiato vrushta fingering, togava tcp_wrapper idva na pomosht. tcp_wrapper logva vsichki vruzki kum demoni, koito nablyudavate. tcp_wrapper sushto mozhe da zabrani na dadeni IP-ta da se doberat do daden demon. tcp_wrapper mozhe da si svalite ot ftp://ftp.win.tue.nl/pub/security/. Pochti vsichki distributsii veche go instalirat po podrazbirane. Eto kak da izpolzvate tcp_wrapper pri konfigurirane na /etc/inetd:
finger stream tcp nowait /usr/sbin/tcpd in.fingerd
Zabelezhete, che sega finger demona se kontrolira ot tcpd. Ako niakoi se opita da se svurzhe s finger demona negoviiat opit shte bude zapisan vuv fail po vash izbor. Proverete /etc/syslog.conf kak se kontrolira logvaneto na informatsiiata i napishete man syslog.conf za da razberete kak da promenite /etc/syslog.conf. Predpolagam, che tcp_wrapper sledi vsichki demoni nezavisimo dali te sa pusnati ili ne. Povecheto distributsii izpolzvat tcp_wrapper pri startirane na demonite taka, che ne e nuzhno da se pritesniavate kak da go instalirate. Za da razberete, kak da konfigurirate tcp_wrapper-a pishete man tcpd.
Krai na purva chast.

<< Kak da zashtitite vashiiat Linux (chast 2) | Kak da si napravim sobstven gateway pod FreeBSD >>

Komentari: (obshto 1) Otseneni s ili poveche [Pulen pregled>>]

[Dobavi komentar]

Demonite [16-03-2001] {1/Neutralen}

MENYU

Tursene

Dobaviane

ZAGLAVIQ

Podrobno rukovodstvo za ipfw nat

Mikrotik + Openvpn + android

Kak raboti DNS, chast 3 - instalatsiia na DNS cache survur.

Periodichna tablitsa na distributsiite na Linux ...

Kak raboti DNS, chast 2 - Topologiia, Authoritative servers

Intervyu na „Linuks za bulgari“ s Hyusein Ismail

Jabber (XMPP) survur pod Debian Squeeze

Kak raboti DNS, chast 1 - Resolvers i Cache survuri.

Debian, realtek RTL8111/8168B i wireless konfiguratsiia

Vuvedenie v daemontools (DJB Way)

Personalizirane na vunshniia vid na Ubuntu 11.10

DNSCurve, NaCl, CurveCP - suvremenen pogled vurhu zashtitata n

sbopkg

Purva pomosht za desktop s Linuks... chast vtora

Purva pomosht za desktop s Linuks

Ne na Skiap

Instalirane i konfigurirane na Wive na Edimax EW-7209APg

Sigurno elektronno bankirane s Firefox i Linux

Osnovi na iptables

Za ueb brauzura i neprikosnovenostta na lichniia Vi zhivot

Maskirane na VPN tunel

Elektronen podpis na Bankserviz pod Ubuntu 9.10 i 10.04

Elektronen podpis za rabota pod Linux i OpenSSL

FreeBSD 8.0 Obedinenie na niakolko mrezhovi interfeisa v edin

PODKATEGORII

Desktop

Sigurnost

Kirilizatsiia

Osnovni znaniia i sredstva

Trikove

Mrezha

FreeBSD

Vuzmozhnosti na Linux

Linux iadro

Linux distributsii

ARHIV

05 - 2022
01 - 2017
03 - 2016
11 - 2012
10 - 2012
09 - 2012
04 - 2012
12 - 2011
05 - 2011
03 - 2011
12 - 2010
07 - 2010
04 - 2010
03 - 2010
01 - 2010
10 - 2009
09 - 2009
08 - 2009
06 - 2009
04 - 2009
02 - 2009
12 - 2008
09 - 2008
05 - 2008
04 - 2008
03 - 2008
02 - 2008
01 - 2008
12 - 2007
11 - 2007
10 - 2007
09 - 2007
07 - 2007
05 - 2007
03 - 2007
02 - 2007
01 - 2007
11 - 2006
10 - 2006
09 - 2006
08 - 2006
07 - 2006
06 - 2006
05 - 2006
04 - 2006
03 - 2006
02 - 2006
01 - 2006
12 - 2005
11 - 2005
09 - 2005
08 - 2005
07 - 2005
06 - 2005
05 - 2005
04 - 2005
02 - 2005
01 - 2005
12 - 2004
11 - 2004
10 - 2004
09 - 2004
08 - 2004
07 - 2004
06 - 2004
05 - 2004
04 - 2004
03 - 2004
02 - 2004
01 - 2004
12 - 2003
11 - 2003
10 - 2003
08 - 2003
07 - 2003
06 - 2003
04 - 2003
03 - 2003
02 - 2003
01 - 2003
12 - 2002
11 - 2002
09 - 2002
08 - 2002
06 - 2002
05 - 2002
04 - 2002
02 - 2002
01 - 2002
11 - 2001
10 - 2001
09 - 2001
08 - 2001
06 - 2001
05 - 2001
03 - 2001
02 - 2001
01 - 2001
10 - 2000
09 - 2000
08 - 2000
07 - 2000
06 - 2000
05 - 2000
03 - 2000
02 - 2000
01 - 2000
-

VRUZKI

Linux za nachinaeshti

	© 2011-... Asotsiatsiia "Linuks za bulgari" © 2007-2010 Linuks za bulgari EOOD © 1999-2006 Slavej Karadjov Ako iskate da prepechatate ili tsitirate informatsiia ot tozi sait prochetete purvo tova Vunshniia vid e napraven ot MOMCHE Code Version: 1.0.8 H (Revision: 23-09-2011)

Изпълнението отне: 0 wallclock secs ( 0.20 usr + 0.03 sys = 0.23 CPU)