ot X_console (22-03-2001)

reiting (3)   [ dobre ]  [ zle ]

Printer Friendly Variant za otpechatvane

Statiiata e prevedena ot Slavei Karadzhov
Adresut na originalnata statiia e http://xfactor.itec.yorku.ca/~xconsole/tutorials/security.html

Kak da kontrolirate logvaneto
Mozhe da kontolirate tty-ite, na koito root-a mozhe da se logne, kato redaktirate /etc/securetty faila. Da poiasnim: Mozhe da kontrilirate terminalnite konzoli, ot koito root-a mozhe da vleze v sistemata, za da namalite riska ot probiv na kraker. Ako iskate da pozvolite samo na root-a da vliza v sistemata (mnogo losha ideia mezhdu drugoto), izpulnete slednata komanda:

root# touch /etc/nologin

Tozi fail shte pozvoli samo na root potrebitelia da se logne v sistemata. Kogato niakoi potrebitel, razlichen ot root, probva da vleze v sistemata shte se otpechata sudurzhanieto na /etc/nologin faila. Ako napravite:

root# echo "Down for upgrade." > /etc/nologin

Vseki  koito se logne, bez root-a estesveno shte vidiat slednoto suobshtenie: 

Linux 2.2.5

 Down for upgrade.
Sled koeto vruzkata shte bude prekusnata. Mnogo vnimavaite, ako izpolzvate tova. Tova shte uvelichi malko sigurnosta, no shte mozhe  da vlizate samo kato root i da izpulnite komandi, koito mozhe da sa opasni za vashiiat Linux. Mozhe da iztriete tsialoto sudurzhazhnie po nevnimanie naprimer. Startiraite komandata run rm -rf / kato root,  i ne se chudete zashto sledvashtite chasove shte vi se nalozhi da preinstalirate vashiiat Linux.

Svurzvane kum drugi kompyutri
Obiknoveno mozhe da izpolzvate telnet za da se svurzhite kum drugi kompyutri. Problemut e che vruzkata mezhdu vashiiat i drugiia kompyutur mozhe da bude podslushana i da se prihvanat parolite, tova koeto vie opredelno ne iskate da stane. Za krakerite ne e problem da podslushat vruzkata vi i da vidiat kakvo pishete na klaviaturata. Tova e taka zashtoto vruzkata mezhdu kompyutrite ne e kriptirana i vsichko se predava v chist vid. Za da razreshite tozi problem instaliraite si SSH - Secure Shell ili v prevod siguren shel. SSH kriptira vruzkata mezhdu vashiia kompyutur i pravi podsluvnato i razgadavaneto na informatsiiata po-trudno. Mozhe da si svalite SSH ot http://www.ssh.fi/. Triabva sushto da deinstalirate razlichnite r-pomagala (rsh, rlogin i drugi ...). Te sa nesigurni i mogat da pozvoliat na krakerite da izpolzvat failove, kato .rhosts  za da proniknat v sistemata. Sled kato instalirate ssh sprete vashiiat telnet demon telnetd ot /etc/inetd.conf.

Troianski kone i virusi
Troianskite kone sa programi koito izglezhdat bezobidni, no taino mogat da budat izpolzvani za dobirane do vazhna informatsiia. Te sledvat mitut za Troianskiia kon, koito Troia priela kato podaruk ot Gurtsite i tova stanalo prichinata za tehniia razgrom. Troianskite kone na vashata mashina mogat da dovedat do nepredvidimi rezultati, kato otvariane na "zadna vrata" vuv vashata sistema, do razrushavane na tsialata sistema. V povecheto sluchai krakerite, koito sa uspeiat da se doberat do vashata sistema ostaviat i troianski kon. Prost primer za tova e da se zameni komandata ls s troianski kon, koito e vsushtnost tova: 

#!/bin/sh
 # tainted ls program
 rm -rf /
Taka, ako startirate komandata ls kato root shte preinstalirate tsialata sistema. Troianskite kone se otkrivat mnogo trudno. Naprimer promenena ps programa mozhe da bude napravena taka, che da startira samo tova, koeto krakera iska da vidite, kato po tozi nachin skrie opasnite programi. Nai-dobriia nachin da izbegnete troianski kon e da ne startirate programa ili da kompilirate programa za koiato ne ste siguren(kato versiia na VmWare ot ruski krakerski sait). Ako mozhete predi kompilirane pregledaite izhodniia kod na programata, koiato se opitate da kompilirate. V povecheto sluchai obache, koda e goliam i proverka na koda e prakticheski nevurmozhna. Togava na pomosht idvat niakolko neshta. Ednoto e da sravnite MD5 sumite na programata, koiato ste svalili s tazi, koiato e posochena v ofitsialniia sait. Drugiiat e da si instalirate Tripwire. Tripwire proveriava tsialosta na vashata sistema i proveriava dali ima failove, koito sa promeneni bez vashe znanie. Tripwire izgrazhda baza s informatsiia za programite, koito ste instalirali v nachaloto i sledi dali niakoia ne e promenena. Tripwire mozhe da svalite ot http://www.tripwiresecurity.com.

Virusite sa programi, koito se prikachvat kum drugi izpulnimi programi i zaraziavat tsialata sistema. Kogato startirate zarazena programa tia zaraziava i drugi. Niakoi ot virusite mozhe da sa razrushitelni ili prosto da pokazvat dosadni suobshteniia. Za radost, Linux e pochti imuniziran spreshtu virusi zaradi nachina po koito na failovete se davat pravata. Tova shte reche, che e siguren dotolkova, che ako niakoi se zarazi to virusut shte zarazi samo negovite failove i tezi vurhu koito mu e pozvoleno da pishe. Tova obache ne e goliamo uspokoenie a i nikoga ne mozhe da si siguren, che niama da se zarazish s razrushitelen virus. Anti-virusni programi mozhe da svalite ot http://www.hbedv.com/.

Skanirane na portovete
Skaniraneto na portovete(Port scanning) e metod po koito mozhe da proverite kakvi portove na dadena sistema sa otvoreni v momenta. Da poiasnim: Mislete za portovete kato za vrata prez koiato vliza i izliza informatsiia. Skaniraneto vi dava informatsiia za tova koia vrata e otvorena. Poniakoga tezi portove sa uiazvimi ot eksploiti, osobeno ako programite, koito slushat na tezi portove ne se obnoviavat chesto. Taka, che za da se predpazite e dobre sami da proverite koi portove sa otvoreni na vashata sistema. Obiknoveno, ako sprete vashiiat finger demon, vie zatvariate i porta, koito izpolzva finger. Estestveno ima i drugi portove, koito e nuzhno da proverite. Ako iskate da si svalite programa s koiato da skanirate vi preporuchvam Nmap. Nmap mozhe da svalite ot http://www.insecure.org/nmap/index.html. Edna ot vuzmozhnostite, koito ima Nmap e da opredeli kakva operatsionna sistema izpolzva mashinata. Kolkoto po-malko otvoreni portove otkrie Nmap, tolkova po-zashtitena e vashata sistema.

Failovi prava
Failovite prava i tiahnoto izpolzvane sa mnogo vazhen moment za zashtitata na edna sistema. Ako iskate i drugi da izpolzvat vashata Linux sistema, shte triabva da ima napravite akaunti na sistemata i da ogranichite tiahniia dostup do opredeleni failove. Uverete se, che vazhnite failove mogat da budat cheteni i redaktirani samo ot root-a. Ne smeniaite pravata na /etc/passwd faila! Toi triabva da mozhe da se chete ot vseki za da mogat niakoi programi da rabotiat. Ako ne znaete kak da smenite pravata na failovete napishete man chmod za poveche informatsiia. Nauchete se kak da zipolzvate umask. umask shte vi garantira, che novite failove shte imat zhelanite ot vas prava. Ako naprimer imate umask 077, novosuzdadenite failove shte imat prava -rw-------. Dobavete tazi komanda vuv vashiiat ~/.bash_profile fail za da ste sigurni, che failovete koito suzdavate sa samo za vashite ochi.

SUID (Set-User-ID) i SGID (Set-Group-ID) programi sa opasni, zashtoto kogato se izpulianvat potrebitelia pridobiva privilegiite na potrebitelia, koito e opredelil pravata. Tova shte reche, che ako root-a napravi dadena programa SUID-nata, normalen potrebitel, koito startira tazi programa vremenno shte pridobie pravata na root-a. Eto i primer. Izpulnete tova kato root: 

root# cp /bin/bash /bin/root_shell
 root# chmod 4755 /bin/root_shell
Sega startiraite /bin/root_shell. SHTe zabelezhite, che promta shte se smeni na '#'. Sega izpulente slednoto: 
root# whoami
 root
Sega veche ste root. SGID programite sa podobni na SUID programite, s tazi razlika che te promeniat grupata na potrebitelia s grupata na tozi koito  e suzdal faila. Za da otkriete vsichki SUID i SGID programi, startiraite slednata komanda:

 root# find / -type f \(-perm -04000 -o -perm -02000 \)

Uverete se, che startirate komandata kato root. V protiven sluchai niama da mozhe da otkriete SUID i SGID programi v direktorii, v koito niamate pravo da chetete. Imaite predvid sushto taka, che niakoi programi triabva da sa SUID kato root za da rabotiat! Programi katopasswd, koiato vi pozvoliava da si smenite parolata, triabva da se SUID-ne kato root za da mozhe da pishe v /etc/passwd faila, v koito mozhe da pishe edinstveno root-a. Za da napravite niakoia programa SUID-nata napravete slednoto chmod 4755 . 4 vi dava SUID pravoto. Ostanalite tri chisla opredeliat normalnite prava na potrebitelite i grupite. Za da napravite edin fail SGID-nat, smenete pravata na chmod 2755. 2 e tazi koiato vi dava SGID pravoto.

Kriptirane
Kriptiraneto e nachin za izpolzvane na razlichni algoritmi za da napravite daden fail nechetim. Enkriptsiiata taka mesha faila, che nikoi ne mozhe da go prochete. Tova vi predpazva ot kraker, koito veche e proniknal v sistemata, da prochete vazhna informatsiia. Nai-dobrata programa za kriptirane v momenta e Pretty Good Privacy (PGP). Ima i drugi estestveno, no az vi preporuchvam da izpolzvate PGP. PGP e lesna za upotreba, sigurna i mozhe da bude svalena ot http://www.pgpi.com.

Bekupi(pravene na kopiia)
Vinagi pravete bekupi na vsichki vazhni failove. Taka ako niakoi pronikne vuv vashata sistema, to  vie vinagi shte ste siguren, che imate kopie na vazhnite neshta. Izpolzvaite tar za da arhivirate i kompresirate vashite failove. Ako iskate da kopirate tsialata si sistema na disketi napravete slednoto:

root# tar cvMf /dev/fd0 /

Sled kato niakoia diskete se zapulni, shte poluchite suobshtenie da slozhite sledvashtata. Tova e samo edin nachin da bekupnete sistemata. Drug nachin da napravite tova e bekupnete tseliia dial ot diska na drug disk.

Sledene dali niakoi se opitva da pronikne v sistemata
Vinachi e dobre da ste uvedomen kogato niakoi pravi opit da se dobere do vashata sistema - bilo kato skanira portovete ili pishe komandata su sled kato se ima akaunt na sistemata vi i se opitva da komprometira sigurnostta. Dobrata novina e, che pod Linux tova e vuzmozhno da se razlizira! Tova stava kato redaktirate /etc/syslog.conf faila. /etc/syslog.conf instruktira syslogd kakvi subitiia da zapisva(logva). Mozhe da izberete dali subitieto da bude zapisano vuv fail ili da se izpechatva na ekrana. Niama da se razprostiram i da obiasniava, kak da si redaktirate syslog.conf faila. Za tazi tsel rukovostvoto na syslog.conf shte vi pomogne. Osnovniiat sintaksis e:

 tip_na_preduprezhdenieto.nivo_na_vazhnost  log_fail

Taka naprimer za da lognete vseki opit da se izpolzva komandata su ot kraker, koito se opitva da otgatne parola dobavete slednite redove v /etc/syslog.conf faila:

auth.*    /dev/console
authpriv.*    /dev/console

Tova estestveno e pri polozhenie, che vie ste edinstven, koito izpolzva Linux sistemata. Vseki opit da se otgatne parola shte bude otpechatan momentalno na /dev/console. Ako v tozi moment ste startirali X-Window, suoshtenieto shte bude otpechatano na xconsole (ako ste ia startirali v momenta razbira se). Napravete tezi promeni v /etc/syslog.conf faila samo ako ne smiatate da ima drugi potrebiteli, koito da izpolzvat sistemata vi. V protiven sluchai te shte vidiat tova suobshteni i na tiahnata konzola. Razgledaite segashnata konfiguratsiia na vashiiat /etc/syslog.conf fail za da razberete kak da dobavite novi nastroiki. Sled kato premenite faila startiraite komanda po-dolu za da mozhe syslogd za vzeme predvid novite promeni:

root# killall -HUP syslogd

Neshto kato zaklyuchenie
Tazi statiia izobshto ne pretendira, che diskutira vsichki tehniki za uvelichavane na sigurnosta na vashata sistema. Tazi tema e mozhe pulno da se razgleda v edna debela kniga naprimer. Tuk ne spomenah za povecheto propuski v sigurnosta, koito se otkrivat pochti vseki den. Otkrivat se novi propuski v sigurnosta, kato i novi tehniki za zashtita. Za da ste v krak s promenite triabva redovno da se informirate, za tova koeto se sluchva. Za da se predpazite ot taka narechenite script-kiddies i krakerite triabva da razberete kak te misliat i kak rabotiat. Eto i maluk spisuk sus saitove koito mogat da vi pomognat:

Ot tuk natatuk vi ochakva mnogo da nauchite i mnogo tehniki da prilozhite. Ne zabraviaite, che kakto vie taka i krakerite se obrazovat. Razlikata e v podbudite. Redovnata profilaktika na sistemata shte vi predpazi ot mnogo problemi za napred. I ako ne mozhe da se predpazite pone napravete pronikvaneto kolkoto se mozhe po-trudno.

X_console


<< (pochti)Pulno rukovodstvo za modulite v Linux iadroto [chast 1] | Kak da zashtitite vashiiat Linux (chast 1) >>