Statiiata e prevedena ot Slavei Karadzhov
Adresut na originalnata statiia e http://xfactor.itec.yorku.ca/~xconsole/tutorials/security.html
Kak da kontrolirate logvaneto
Mozhe da kontolirate tty-ite, na koito root-a
mozhe da se logne, kato redaktirate /etc/securetty
faila. Da poiasnim:
Mozhe da kontrilirate terminalnite konzoli, ot koito root-a
mozhe da vleze
v sistemata, za da namalite riska ot probiv na kraker. Ako
iskate da pozvolite
samo na root-a da vliza v sistemata (mnogo losha ideia mezhdu
drugoto), izpulnete
slednata komanda:
root# touch /etc/nologin
Tozi fail shte pozvoli samo na root potrebitelia
da se logne v sistemata. Kogato niakoi potrebitel, razlichen
ot root, probva
da vleze v sistemata shte se otpechata sudurzhanieto na
/etc/nologin
faila. Ako napravite:
root# echo "Down for upgrade." > /etc/nologin
Vseki koito se logne, bez root-a estesveno
shte vidiat slednoto suobshtenie:
Linux 2.2.5
Down for upgrade.
Sled koeto vruzkata shte bude prekusnata. Mnogo vnimavaite,
ako izpolzvate tova. Tova shte uvelichi malko sigurnosta, no
shte mozhe
da vlizate samo kato root i da izpulnite komandi, koito
mozhe da sa opasni
za vashiiat Linux. Mozhe da iztriete tsialoto sudurzhazhnie po
nevnimanie naprimer.
Startiraite komandata run rm -rf / kato
root, i ne se chudete
zashto sledvashtite chasove shte vi se nalozhi da preinstalirate
vashiiat Linux.
Svurzvane kum drugi kompyutri
Obiknoveno mozhe da izpolzvate telnet za da se
svurzhite kum drugi kompyutri. Problemut e che vruzkata mezhdu
vashiiat i drugiia
kompyutur mozhe da bude podslushana i da se prihvanat
parolite, tova koeto
vie opredelno ne iskate da stane. Za krakerite ne e problem
da podslushat
vruzkata vi i da vidiat kakvo pishete na klaviaturata. Tova e
taka zashtoto
vruzkata mezhdu kompyutrite ne e kriptirana i vsichko se
predava v chist vid.
Za da razreshite tozi problem instaliraite si SSH - Secure
Shell ili v prevod
siguren shel. SSH kriptira vruzkata mezhdu vashiia kompyutur i
pravi podsluvnato
i razgadavaneto na informatsiiata po-trudno. Mozhe da si
svalite SSH ot http://www.ssh.fi/.
Triabva sushto da deinstalirate razlichnite r-pomagala
(rsh, rlogin
i drugi ...). Te sa nesigurni i mogat da pozvoliat na
krakerite da
izpolzvat failove, kato .rhosts za da
proniknat v sistemata.
Sled kato instalirate ssh sprete vashiiat telnet demon
telnetd ot
/etc/inetd.conf.
Troianski kone i virusi
Troianskite kone sa programi koito izglezhdat bezobidni,
no taino mogat da budat izpolzvani za dobirane do vazhna
informatsiia. Te
sledvat mitut za Troianskiia kon, koito Troia priela kato
podaruk ot Gurtsite
i tova stanalo prichinata za tehniia razgrom. Troianskite kone
na vashata mashina
mogat da dovedat do nepredvidimi rezultati, kato otvariane
na "zadna vrata"
vuv vashata sistema, do razrushavane na tsialata sistema. V
povecheto sluchai
krakerite, koito sa uspeiat da se doberat do vashata sistema
ostaviat i troianski
kon. Prost primer za tova e da se zameni komandata
ls s troianski
kon, koito e vsushtnost tova:
#!/bin/sh
# tainted ls program
rm -rf /
Taka, ako startirate komandata ls kato root shte
preinstalirate
tsialata sistema. Troianskite kone se otkrivat mnogo trudno.
Naprimer promenena
ps programa mozhe da bude napravena taka, che da
startira samo tova,
koeto krakera iska da vidite, kato po tozi nachin skrie
opasnite programi.
Nai-dobriia nachin da izbegnete troianski kon e da ne
startirate programa
ili da kompilirate programa za koiato ne ste siguren(kato
versiia na VmWare
ot ruski krakerski sait). Ako mozhete predi kompilirane
pregledaite izhodniia
kod na programata, koiato se opitate da kompilirate. V
povecheto sluchai obache,
koda e goliam i proverka na koda e prakticheski nevurmozhna.
Togava na pomosht
idvat niakolko neshta. Ednoto e da sravnite MD5 sumite na
programata, koiato
ste svalili s tazi, koiato e posochena v ofitsialniia sait.
Drugiiat e da si
instalirate Tripwire. Tripwire proveriava tsialosta na vashata
sistema i proveriava
dali ima failove, koito sa promeneni bez vashe znanie.
Tripwire izgrazhda
baza s informatsiia za programite, koito ste instalirali v
nachaloto i sledi
dali niakoia ne e promenena. Tripwire mozhe da svalite ot http://www.tripwiresecurity.com.
Virusite sa programi, koito se prikachvat kum drugi
izpulnimi programi i zaraziavat tsialata sistema. Kogato
startirate zarazena
programa tia zaraziava i drugi. Niakoi ot virusite mozhe da sa
razrushitelni
ili prosto da pokazvat dosadni suobshteniia. Za radost, Linux
e pochti imuniziran
spreshtu virusi zaradi nachina po koito na failovete se davat
pravata. Tova
shte reche, che e siguren dotolkova, che ako niakoi se zarazi to
virusut shte zarazi
samo negovite failove i tezi vurhu koito mu e pozvoleno da
pishe. Tova obache
ne e goliamo uspokoenie a i nikoga ne mozhe da si siguren, che
niama da se
zarazish s razrushitelen virus. Anti-virusni programi mozhe da
svalite ot
http://www.hbedv.com/.
Skanirane na portovete
Skaniraneto na portovete(Port scanning) e metod
po koito mozhe da proverite kakvi portove na dadena sistema
sa otvoreni
v momenta. Da poiasnim: Mislete za portovete kato za vrata
prez koiato vliza
i izliza informatsiia. Skaniraneto vi dava informatsiia za tova
koia vrata e
otvorena. Poniakoga tezi portove sa uiazvimi ot eksploiti,
osobeno ako programite,
koito slushat na tezi portove ne se obnoviavat chesto. Taka,
che za da se predpazite
e dobre sami da proverite koi portove sa otvoreni na vashata
sistema. Obiknoveno,
ako sprete vashiiat finger demon, vie zatvariate i porta,
koito izpolzva finger.
Estestveno ima i drugi portove, koito e nuzhno da proverite.
Ako iskate
da si svalite programa s koiato da skanirate vi preporuchvam
Nmap. Nmap mozhe
da svalite ot http://www.insecure.org/nmap/index.html.
Edna ot vuzmozhnostite, koito ima Nmap e da opredeli kakva
operatsionna sistema
izpolzva mashinata. Kolkoto po-malko otvoreni portove otkrie
Nmap, tolkova
po-zashtitena e vashata sistema.
Failovi prava
Failovite prava i tiahnoto izpolzvane sa mnogo
vazhen moment za zashtitata na edna sistema. Ako iskate i
drugi da izpolzvat
vashata Linux sistema, shte triabva da ima napravite akaunti na
sistemata i
da ogranichite tiahniia dostup do opredeleni failove. Uverete
se, che vazhnite
failove mogat da budat cheteni i redaktirani samo ot root-a.
Ne smeniaite
pravata na /etc/passwd faila! Toi triabva da mozhe
da se chete ot
vseki za da mogat niakoi programi da rabotiat. Ako ne znaete
kak da smenite
pravata na failovete napishete man chmod za poveche
informatsiia.
Nauchete se kak da zipolzvate umask. umask
shte vi garantira,
che novite failove shte imat zhelanite ot vas prava. Ako
naprimer imate umask
077, novosuzdadenite failove shte imat prava
-rw-------. Dobavete
tazi komanda vuv vashiiat ~/.bash_profile fail za da
ste sigurni,
che failovete koito suzdavate sa samo za vashite ochi.
SUID (Set-User-ID) i SGID (Set-Group-ID) programi
sa opasni, zashtoto kogato se izpulianvat potrebitelia
pridobiva privilegiite
na potrebitelia, koito e opredelil pravata. Tova shte reche, che
ako root-a
napravi dadena programa SUID-nata, normalen potrebitel,
koito startira
tazi programa vremenno shte pridobie pravata na root-a. Eto i
primer. Izpulnete
tova kato root:
root# cp /bin/bash /bin/root_shell
root# chmod 4755 /bin/root_shell
Sega startiraite /bin/root_shell. SHTe zabelezhite,
che promta shte se smeni na '#'. Sega izpulente slednoto:
root# whoami
root
Sega veche ste root. SGID programite sa podobni na
SUID programite, s tazi razlika che te promeniat grupata na
potrebitelia s
grupata na tozi koito e suzdal faila. Za da otkriete
vsichki SUID
i SGID programi, startiraite slednata komanda:
root# find / -type f \(-perm -04000
-o -perm -02000 \)
Uverete se, che startirate komandata kato root.
V protiven sluchai niama da mozhe da otkriete SUID i SGID
programi v direktorii,
v koito niamate pravo da chetete. Imaite predvid sushto taka,
che niakoi programi
triabva da sa SUID kato root za da rabotiat! Programi
katopasswd,
koiato vi pozvoliava da si smenite parolata, triabva da se
SUID-ne kato root
za da mozhe da pishe v /etc/passwd faila, v koito
mozhe da pishe edinstveno
root-a. Za da napravite niakoia programa SUID-nata napravete
slednoto chmod
4755 . 4 vi dava SUID pravoto. Ostanalite tri
chisla opredeliat
normalnite prava na potrebitelite i grupite. Za da
napravite edin fail
SGID-nat, smenete pravata na chmod 2755.
2 e tazi koiato
vi dava SGID pravoto.
Kriptirane
Kriptiraneto e nachin za izpolzvane na razlichni
algoritmi za da napravite daden fail nechetim. Enkriptsiiata
taka mesha faila,
che nikoi ne mozhe da go prochete. Tova vi predpazva ot
kraker, koito veche
e proniknal v sistemata, da prochete vazhna informatsiia.
Nai-dobrata programa
za kriptirane v momenta e Pretty Good Privacy (PGP). Ima i
drugi estestveno,
no az vi preporuchvam da izpolzvate PGP. PGP e lesna za
upotreba, sigurna
i mozhe da bude svalena ot http://www.pgpi.com.
Bekupi(pravene na kopiia)
Vinagi pravete bekupi na vsichki vazhni failove.
Taka ako niakoi pronikne vuv vashata sistema, to vie
vinagi shte ste
siguren, che imate kopie na vazhnite neshta. Izpolzvaite
tar za da
arhivirate i kompresirate vashite failove. Ako iskate da
kopirate tsialata
si sistema na disketi napravete slednoto:
root# tar cvMf /dev/fd0 /
Sled kato niakoia diskete se zapulni, shte poluchite
suobshtenie da slozhite sledvashtata. Tova e samo edin nachin da
bekupnete sistemata.
Drug nachin da napravite tova e bekupnete tseliia dial ot diska
na drug disk.
Sledene dali niakoi se opitva da pronikne v
sistemata
Vinachi e dobre da ste uvedomen kogato niakoi pravi
opit da se dobere do vashata sistema - bilo kato skanira
portovete ili pishe
komandata su sled kato se ima akaunt na sistemata
vi i se opitva
da komprometira sigurnostta. Dobrata novina e, che pod Linux
tova e vuzmozhno
da se razlizira! Tova stava kato redaktirate
/etc/syslog.conf
faila. /etc/syslog.conf instruktira
syslogd kakvi subitiia
da zapisva(logva). Mozhe da izberete dali subitieto da bude
zapisano vuv
fail ili da se izpechatva na ekrana. Niama da se razprostiram
i da obiasniava,
kak da si redaktirate syslog.conf faila. Za tazi
tsel rukovostvoto
na syslog.conf shte vi pomogne. Osnovniiat sintaksis e:
tip_na_preduprezhdenieto.nivo_na_vazhnost
log_fail
Taka naprimer za da lognete vseki opit da se izpolzva
komandata su ot kraker, koito se opitva da otgatne
parola dobavete
slednite redove v /etc/syslog.conf faila:
auth.* /dev/console
authpriv.* /dev/console
Tova estestveno e pri polozhenie, che vie ste edinstven,
koito izpolzva Linux sistemata. Vseki opit da se otgatne
parola shte bude
otpechatan momentalno na /dev/console. Ako v tozi
moment ste startirali
X-Window, suoshtenieto shte bude otpechatano na
xconsole (ako ste ia
startirali v momenta razbira se). Napravete tezi promeni v
/etc/syslog.conf
faila samo ako ne smiatate da ima drugi potrebiteli, koito
da izpolzvat
sistemata vi. V protiven sluchai te shte vidiat tova suobshteni i
na tiahnata
konzola. Razgledaite segashnata konfiguratsiia na vashiiat
/etc/syslog.conf
fail za da razberete kak da dobavite novi nastroiki. Sled
kato premenite
faila startiraite komanda po-dolu za da mozhe syslogd za
vzeme predvid
novite promeni:
root# killall -HUP syslogd
Neshto kato zaklyuchenie
Tazi statiia izobshto ne pretendira, che diskutira
vsichki tehniki za uvelichavane na sigurnosta na vashata
sistema. Tazi tema
e mozhe pulno da se razgleda v edna debela kniga naprimer.
Tuk ne spomenah
za povecheto propuski v sigurnosta, koito se otkrivat pochti
vseki den. Otkrivat
se novi propuski v sigurnosta, kato i novi tehniki za
zashtita. Za da ste
v krak s promenite triabva redovno da se informirate, za
tova koeto se sluchva.
Za da se predpazite ot taka narechenite script-kiddies i
krakerite triabva
da razberete kak te misliat i kak rabotiat. Eto i maluk
spisuk sus saitove
koito mogat da vi pomognat:
Ot tuk natatuk vi ochakva mnogo da nauchite i mnogo
tehniki da prilozhite. Ne zabraviaite, che kakto vie taka i
krakerite se obrazovat.
Razlikata e v podbudite. Redovnata profilaktika na
sistemata shte vi predpazi
ot mnogo problemi za napred. I ako ne mozhe da se predpazite
pone napravete
pronikvaneto kolkoto se mozhe po-trudno.
X_console