SSH (Ապահով պատյան- Պաշտպանված պատյան) -- սա ցանցային արձանագրությունապահովելով ապահով վավերացում, կապ և տվյալների անվտանգ փոխանցում ցանցի հյուրընկալողների միջև ՝ գաղտնագրելով դրանով անցնող երթևեկը ՝ տվյալների հնարավոր սեղմումով: Մեկ այլ կարևոր ֆունկցիոնալ հատկություն, անվտանգ, գաղտնագրված թունելներ ստեղծելու ունակությունն է ՝ անապահով միջավայրում (օրինակ ՝ ինտերնետ) անվտանգ փոխանցման համար, այլ ցանցային արձանագրություններ, ինչպես նաև երթևեկը սեղմելու ունակությամբ: Բացի այդ, արձանագրությունը SSHհիանալի է աշխատում մի մեքենայի նավահանգիստների մեկ այլ նավահանգիստների, այդ թվում ՝ հեռավոր հաճախորդների առաքման հետ XWindow... Հիմա արձանագրություն SSH, ստանդարտ է և լայնորեն օգտագործվում է, օրինակ, սերվերային համակարգերի համար, այսինքն ՝ սերվերի պատյանում տարբեր հրամանների և մանիպուլյացիաների կատարում ապահով կապի միջոցով, ցանցում ֆայլերի պատճենում, օրինակ ՝ տվյալների պահուստավորում:
Արձանագրություն SSH, գոյություն ունի երկու տարբերակով ՝ առևտրային տարբերակ, որը մշակվել է SSH inc, և անվճար, բաց կոդով, OpenSSHորը հիմնականում օգտագործվում է սերվերային հարթակների մեծ մասում: Իրականացում OpenSSH, հասանելի է Unix ընտանիքի ցանկացած օպերացիոն համակարգում, և նրանցից շատերում ՝ SSHսերվեր և SSHհաճախորդ, են ստանդարտ կոմունալ ծառայություններ... Ստորև գրված ամեն ինչ վերաբերելու է OpenSSHև FreeBSD օպերացիոն համակարգը: Արձանագրության երկու տարբերակ կա SSHանհամատեղելի են միմյանց հետ: Արձանագրության առաջին կիրառում SSH, SSH - 1, մշակվել է 1995 թ. Երկրորդ տարբերակը, SSH - 2, թողարկված 1996 թ. 2006 թ., Արձանագրություն SSHընդունվել է IETF- ի կողմից որպես ինտերնետային չափանիշ: Այժմ դա արձանագրության երկրորդ տարբերակն է, որը լայնորեն կիրառվում է: SSHքանի որ, առաջին հերթին, արձանագրությունը SSHՏարբերակ 1, որը տառապում էր լուրջ խոցելի տեղերից, երկրորդը ՝ 2 -րդ տարբերակը օգտագործում է կոդավորման ավելի հզոր ալգորիթմներ, բացի այդ, այն աջակցում է տվյալների կանխամտածված կոռուպցիան հայտնաբերելու ունակությանը: Գաղտնագրման ալգորիթմներ.
- SSH արձանագրության տարբերակ 1 DES, 3DES, փչակ
- SSH արձանագրության տարբերակ 2 AES-128, AES-192, AES-256, blowfish, CAST-128, ArcFour
- SSH արձանագրության տարբերակ 1, ոչ
- SSH արձանագրության տարբերակ 2 HMAC-MD5, HMAC-SHA-1, HMAC-RIPEMD
SSH վավերացման մեթոդներ, OpenSSH ծրագրային փաթեթ
Արձանագրության անվտանգություն SSHտրամադրվում է հետևյալ ծրագրային լուծումներով.- Անցնող ամբողջ երթևեկի կոդավորումը SSHկապ, որն իրականացվում է հաղորդակցության նստաշրջանի կողմերի բանակցությունների ընթացքում ընտրված հնարավոր ալգորիթմներից մեկի համաձայն: Կապի երթևեկի ծածկագրումը թույլ չի տալիս այն գաղտնալսել և օգտագործել չարամիտ նպատակներով: Ընտրելով կոդավորման տարբեր ալգորիթմներ ՝ համակարգը դառնում է շատ ճկուն ՝ թույլ տալով, օրինակ, չօգտագործել ալգորիթմներ, որոնցում հայտնաբերվել են խոցելիություններ կամ անվտանգության հնարավոր սպառնալիքներ, կամ օգտագործել միայն այն ալգորիթմները, որոնք ապահովում են կողմերից յուրաքանչյուրը.
- Նույնականացում SSHսերվերը միշտ աշխատում է ՝ ցանկացած կապով, ինչը թույլ չի տալիս փոխարինել երթևեկը կամ սերվերն ինքնին.
- Նույնականացում SSHհաճախորդը կարող է հայտնվել տարբեր ճանապարհներինչը, մի կողմից, նույնականացման գործընթացն ինքնին ավելի ապահով է դարձնում, մյուս կողմից ՝ համակարգը դարձնում է նույնիսկ ավելի ճկուն ՝ դյուրին դարձնելով դրա հետ աշխատելը.
- Networkանցային փաթեթների ամբողջականության վերահսկումը հնարավորություն է տալիս հետևել կապի երթևեկի անօրինական փոփոխություններին, եթե այս փաստը հայտնաբերվի, կապն անմիջապես դադարեցվում է.
- Նույնականացման ժամանակավոր պարամետրերը կանխում են գաղտնալսված և որոշ ժամանակ անց գաղտնագրված կապի տվյալների օգտագործումը:
- GSSAPI- ի վրա հիմնվածվավերացում
- Հյուրընկալողվավերացում;
- Օգտագործողի նույնականացում ՝ օգտագործելով հանրային բանալին.
- Մարտահրավեր-պատասխան նույնականացում ( մարտահրավեր-պատասխան);
- Եվ վերջապես, սովորական օգտվողի նույնականացում ՝ գաղտնաբառի օգտագործմամբ.
- sshdիրականում է SSHսերվեր, դեմոն ծրագիր;
- սշ- հաճախորդների ծրագիր, որը փոխարինող է դարձել ռլոգինեւ հեռագիր;
- scp- արձանագրության միջոցով հեռակա պատճենման ծրագիր SSH, փոխարինում է rcp;
- sftp- ապահով ftp հաճախորդ;
- sftp- սերվեր- ենթահամակարգ, որն ապահովում է արձանագրության միջոցով ֆայլերի փոխանցում SSH;
- ssh-keygen- բանալիների գեներատոր
- ssh-keyscan- հանրային ընդունիչի բանալիների «հավաքող».
- ssh- գործակալ- անձնական բանալիներ պահելու համար նույնականացման գործակալ;
- ssh- ավելացնել- փոքր ծրագիր `բանալիներ ավելացնելու համար ssh- գործակալ;
SSH- ն թույլ է տալիս ընտրել կոդավորման տարբեր ալգորիթմներ: SSH հաճախորդները և SSH սերվերները հասանելի են ցանցային օպերացիոն համակարգերի մեծ մասի համար:
| SSH | |
|---|---|
| Անուն | Ապահով պատյան |
| Մակարդակ (OSI մոդել) | Կիրառված |
| Ընտանիք | TCP / IP |
| Նավահանգիստ / ID | 22 / TCP |
| Արձանագրության նպատակը | Հեռակա մուտք |
| Տեխնիկական պայմաններ | RFC 4251 |
| Հիմնական ներդրումներ (հաճախորդներ) |
Diffie-Hellman (DH) ալգորիթմը օգտագործվում է ընդհանուր գաղտնի (նստաշրջանի բանալին) ստեղծելու համար: Փոխանցվող տվյալները կոդավորելու համար օգտագործվում են սիմետրիկ կոդավորումը, AES, Blowfish կամ 3DES ալգորիթմները: Տվյալների փոխանցման ամբողջականությունը ստուգվում է ՝ օգտագործելով CRC32 SSH1- ում կամ HMAC -SHA1 / HMAC -MD5 SSH2- ում: Գաղտնագրված տվյալները կարող են սեղմվել ՝ օգտագործելով LempelZiv (LZ77) ալգորիթմը, որն ապահովում է սեղմման նույն մակարդակը, ինչ ZIP արխիվատորը: SSH սեղմումը միացված է միայն հաճախորդի խնդրանքով և հազվադեպ է կիրառվում գործնականում: Ստանդարտներ և ծրագրերի ներդրումԱրձանագրության առաջին տարբերակը ՝ SSH-1, մշակվել է 1995 թվականին ՝ Հելսինկյան տեխնոլոգիական համալսարանի (Ֆինլանդիա) գիտաշխատող Տատու Ուլենենի կողմից: SSH-1- ը գրվել է ավելի շատ գաղտնիություն ապահովելու համար, քան rlogin, telnet և rsh արձանագրությունները: 1996 թվականին մշակվեց արձանագրության առավել ապահով տարբերակը ՝ SSH-2, որը անհամատեղելի էր SSH-1– ի հետ: Արձանագրությունը ձեռք բերեց ավելի մեծ ժողովրդականություն, և մինչև 2000 թվականը այն ուներ մոտ երկու միլիոն օգտվող: Ներկայումս «SSH» տերմինը սովորաբար նշանակում է հենց SSH-2, քանի որ արձանագրության առաջին տարբերակը, զգալի թերությունների պատճառով, այժմ գործնականում չի օգտագործվում: Կան Python- ում SSH- ի օգտագործման մոդուլներ, ինչպիսիք են python-paramiko և python-twisted-conch: SSH թունելավորումSSH թունելը թունել է, որը ստեղծվել է SSH միացման միջոցով և օգտագործվում է թունելավորված տվյալները կոդավորելու համար: Այն օգտագործվում է ինտերնետում տվյալների փոխանցման ապահովման համար (IPsec- ն ունի նմանատիպ նպատակ): Երբ ուղարկվում է SSH թունել, ցանկացած արձանագրության չծածկագրված երթևեկը գաղտնագրվում է SSH կապի մի ծայրում, իսկ մյուսում ՝ վերծանվում: Գործնական իրականացումը կարող է իրականացվել մի քանի եղանակով.
$ ssh -L 4430: jabber.example.com: 443 somehost Վ այս գործը Jabber հաճախորդը կազմաձևված է միանալու localhost սերվերի 4430 պորտին (եթե ssh հաճախորդը աշխատում է նույն մեքենայի վրա, ինչպես Jabber հաճախորդը): Ssh թունել ստեղծելու համար ձեզ անհրաժեշտ է աշխատող ssh սերվերով մեքենա և մուտք դեպի jabber.example.com: Այս կոնֆիգուրացիան կարող է օգտագործվել, եթե տեղական մեքենայից jabber.example.com- ի մուտքը փակված է firewall- ով, սակայն կա մուտք դեպի որոշ ssh սերվեր, որը չունի ինտերնետ հասանելիության սահմանափակումներ: |
SSH (Secure Shell) ցանցային արձանագրություն է հեռավոր մուտքորն օգտագործում է կոդավորումը և սեղմումը փոխանցված տվյալների համար: Պարզ ասած, սա շատ օգտակար և հզոր գործիք է, որը թույլ է տալիս Ձեզ վավերացնել համակարգում և լիովին աշխատել հանուն տեղական օգտվողլինելով աշխատող մեքենայից շատ կիլոմետր հեռավորության վրա: Բացի այդ, ի տարբերություն telnet- ի և rsh- ի ՝ SSH- ը ծածկագրում է ամբողջ տրաֆիկը, որպեսզի փոխանցված բոլոր տեղեկությունները մնան գաղտնի:
Այսպիսով, մենք արդեն ունենք ssh տեղադրված, և ssh-daemon- ը ավելացվում է համակարգի գործարկման ժամանակ գործարկման ժամանակ: Դուք կարող եք վերահսկել այն հրամանով.
ծառայություն ssh stop | սկսել | վերագործարկել
Ubuntu- ում կամ.
/etc/init.d/ssh (մեկնարկ | դադար | վերաբեռնում | ուժ-վերաբեռնում | վերագործարկում | կարգավիճակ)
Debian- ում կամ.
systemctl սկսել | դադարեցնել | վերագործարկել sshd.service- ը
ArchLinux- ում (կոնֆիգուրացիայի յուրաքանչյուր խմբագրումից հետո անհրաժեշտ է վերագործարկել): Հավաքածուն ներառում է հաճախորդ և սերվեր:
Եկեք փորձենք դա գործողության մեջ: Նախ, ստեղծեք թղթապանակ ~ / .ssh
մկդիր ~ / .սշ
Ստեղծեք բանալիներ դրա համար տրված օգտագործողսերվեր ՝ հրամանով.
ssh-keygen (որպես սովորական օգտվող):
Ստեղծելիս կարող եք բանալին սահմանել գաղտնաբառ (նպատակահարմար է երկար սահմանել. Այն ժամանակ, երբ բանալին ձեռք բերած լինեք, բայց բանալուց գաղտնաբառը չգիտի, հարձակվողը չի կարողանա մուտք գործել), կամ կարող եք բաց թողնել այն պարզապես սեղմելով «Enter» - այս դեպքում գաղտնաբառը երբեք չի հարցվի: Նույն հանրային և մասնավոր բանալիները հայտնվեցին ~ / .ssh պանակում:
Գտեք մեկ այլ սարք (նույնիսկ սմարթֆոնը կանի. Android- ում կան մի քանի մեծ SSH հաճախորդներ, ինչպիսիք են ConnectBot- ը կամ JuiceSSH- ը), տեղադրեք դրա վրա ssh և միացեք սերվերին հրամանի միջոցով.
Եթե ամեն ինչ ճիշտ է արված, ձեզանից կպահանջվի օգտվողի գաղտնաբառ, իսկ մուտքագրվելուց հետո կհայտնվեք ձեր համակարգում ՝ հրամանի տողից տեսարանով:
Windows- ի համար, ի դեպ, կան նաև ssh սերվերներ և հաճախորդներ:
Վայելելով մեր աշխատանքի արդյունքը ՝ անցնենք ավելի ձանձրալի հատվածի ՝ հաճախորդի / սերվերի ստեղծում:
Հաճախորդի կողմից կազմաձևումը մուտքագրված է / etc / ssh / ssh_configև սերվերը ՝ մեկը / etc / ssh / sshd_config... Մեծ մասը ամբողջական ուղեցույցկազմաձևման համար, հավանաբար, կա մարդու մեջ մի էջ ՝ man ssh և man sshd_config, ուստի խորհուրդ ենք տալիս կարդալ այն: Եվ այս հոդվածում մենք կքննարկենք ամենաանհրաժեշտ բաները:
Անհատականացում
Ստանդարտ ssh նավահանգիստը 22 -ն է: Այն կարող է փոխվել ցանկացած ոչ ստանդարտի (դժվարացնում է անհայտության միջոցով անվտանգության պատճառով կոտրելը կամ պոտենցիալ հարձակվողների ուշադրությունը գրավելը :) - դա անելու համար մեկնաբանեք տողը.
#Պորտ 22
Եվ ավելացրեք ձեր ուզածը մինչև 65535 -ը (համոզվեք, որ նավահանգիստը հրամանով չի հակասում այլ ծառայություններին #netstat -tupln | grep ԼՍԵԼ).
Այժմ, սերվերին միանալիս, հաճախորդը պետք է բանալով գրի.
ssh -p [նավահանգիստ]:
Լռելյայն, արմատային մուտքը թույլատրված է: Խիստ նպատակահարմար է սահմանափակել այն (և փոխարենը ճիշտ սահմանազատել տեղական օգտվողի իրավունքները ՝ օգտագործելով sudo): Դա անելու համար գտեք «PermitRootLogin» տողը և արժեքը փոխեք «ոչ» -ի: Կարող եք նաև այն փոխել «առանց գաղտնաբառի» - այս դեպքում մուտքը արմատներով թույլատրված կլինի միայն վստահելի բանալիով մեքենաների տակից:
Կարող եք անջատել գաղտնաբառի իսկությունը և աշխատել միայն ստեղներով: գտեք տողը ՝ «Գաղտնաբառի վավերացում» և արժեքը փոխեք «ոչ» -ի: Ինչի համար? Եթե ինչ -որ մեկն իրոք ցանկանում է մուտք գործել ձեր համակարգ, ապա նա կարող է կամ կոպիտ կերպով ստիպել գաղտնաբառը, երբ փորձում է թույլատրել, կամ լսել և վերծանել ձեր կապը: Եթե անջատեք գաղտնաբառի վավերացումը և ավելացնեք ձեր, օրինակ ՝ աշխատանքային նոութբուքի հանրային բանալին սերվերի վրա ~ / .ssh / authorized_keys- ին, ապա, ինչպես հիշում ենք, մեզ անմիջապես կթույլատրվի սերվեր: Բայց ի՞նչ անել, եթե դուք աշխատում եք ուրիշի մեքենայի վրա և ձեզ շտապ անհրաժեշտ է մուտք գործել ssh սերվեր, բայց դա, ինչպես և սպասվում էր, մեզ թույլ չի տա մտնել: Այնուհետև չեք կարող անջատել գաղտնաբառի վավերացումը, այլ օգտագործել fail2ban կոմունալը: Պարզապես տեղադրեք այն ձեր պահոցից, որից հետո այն կկիրառի կանխադրված կարգավորումները և նվազագույնը կպաշտպանի ձեր ssh ալիքը դաժան ուժի հարձակումներից: Ավելին fail2ban- ի մասին - http://putty.org.ru/articles/fail2ban-ssh.html:
Այն դեպքում, երբ ձեր սերվերը միջուկային հրթիռներ արձակելու բանալիներ է պահում, կարող եք անել հետևյալը.
PermitRootLogin no - մուտքն արմատների տակ արգելված է:
PasswordAuthentication no - մուտք գործել առանց գաղտնաբառի
Եկեք հեռավոր մեքենայի վրա ստեղծենք երկար բանալին (-t encryption_type, -b bit length):
ssh -keygen -t rsa -b 4096
Նույնքան բարդ գաղտնաբառով (վերականգնել մոռացված գաղտնաբառ, ի դեպ, չես կարող: Դուք կարող եք փոխել այն «ssh -keygen -p» հրամանով, բայց ամեն դեպքում ձեզնից հին կխնդրեն): Եկեք հեռավոր տեղական մեքենայի հանրային բանալին փոխանցենք սերվերի ~ / .ssh / լիազորված_կուչերին և voila- ին, այժմ մուտքը կարելի է ստանալ մեկ մեքենայից ՝ օգտագործելով մասնավոր բանալու գաղտնաբառ: SSH- ն թույլ է տալիս ստեղծել անվտանգության բազմաթիվ կոնֆիգուրացիաներ և դրա համար ունի շատ հատուկ կարգավորումներ `կարդացեք դրանց մասին մարդու մեջ:
Երկու sshd_config տարբերակները ծառայում են նույն նպատակին.
LoginGraceTime- սահմանում է այն ժամանակը, որից հետո կապն անջատվելու է, եթե նույնականացում չի առաջանում:
MaxAuthTries- սահմանում է մուտքի մուտքագրման սխալ փորձերի քանակը, որոնց հասնելուն պես կապը կդադարեցվի:
MaxSessions- միաժամանակյա նիստերի քանակը (եթե սերվերը ձեր տնային համակարգիչն է, որին մտադիր եք միանալ համալսարանից կամ աշխատանքից, ապա ողջամիտ կլինի նիստերի թիվը սահմանափակել մեկով. մերժված մուտքը, այս դեպքում, կլինի դառնալ պատճառ պարանոյայի ավելացման, նոր բանալիների ստեղծման և գաղտնաբառի փոփոխման): Այնուամենայնիվ, եթե ուշադիր լինեք, գուցե նկատած լինեք, որ «Վերջին մուտք» տողը ցուցադրվում է սերվերի յուրաքանչյուր մուտքի ժամանակ: Բացի դրանից, կարող եք ավելացնել ձեր ողջույնի ուղերձը `գտնել« Դրոշակ »տողը և ոչ մեկի փոխարեն, սահմանել տեքստի ուղին դեպի տեքստ, որը կարդալու և ցուցադրվելու է մուտքի ժամանակ:
Ի թիվս այլ բաների, դուք կարող եք թույլ տալ մուտք գործել միայն որոշ օգտվողների կամ թույլատրել բոլորին, բացի որոշակի օգտվողներից.
AllowUsers օգտվող 1- թույլ տվեք մուտք գործել միայն user1:
DenyUsers օգտվող 1- թույլատրել բոլորին, բացառությամբ user1- ի:
Եվ նմանատիպ պարամետրեր մուտքի համար որոշակի խմբեր- AllowGroups և DenyGroups:
Կարող եք նաև SSH կամ X11 նստաշրջան անցկացնել: Դա անելու համար գտեք «ForwardX11» տողը և արժեքը փոխեք «այո» -ի:
Գտեք նմանատիպ տող հաճախորդի կազմաձևում - / etc / ssh / ssh_config և փոխեք նաև «այո» -ի:
Այժմ դուք պետք է միանաք սերվերին ssh- ի միջոցով -X փաստարկով.
ssh -X [էլփոստը պաշտպանված է]>
Միացված լինելուց անմիջապես կարող եք գործարկել ծրագիրը.
ssh -X [էլփոստը պաշտպանված է]«դիմում»
Այսպիսի տեսք ունի գործարկվող GIMP- ը ssh նստաշրջանում.
Կամ դուք կարող եք արդյունքը ստանալ չկասկածող օգտվողի նոութբուքի տեսախցիկից :)
Հաշվարկները կատարվում են անմիջապես սերվերի վրա, և ելքը ուղարկվում է հաճախորդի մեքենային (այսինքն, նույնիսկ եթե սերվերն ինքը չունի X11, գրաֆիկական ծրագրերը կարող են ներկայացվել ձեր հեռավոր մեքենայի վրա): Այս սխեման բավականին դանդաղ է աշխատում (մի մոռացեք, որ ամբողջ երթևեկը դինամիկորեն կոդավորված է), բայց այս գործառույթը շատ օգտակար է:
Կարող եք նաև ֆայլեր պատճենել SSH նստաշրջանի միջոցով. Դրա համար կա մի պարզ «scp» օգտակար: Դուք կարող եք ֆայլեր փոխանցել անմիջապես նստաշրջանում ՝ սերվերից հաճախորդին.
scp [էլփոստը պաշտպանված է]՝ / path / to / file / on / server / where / save / on / local / machine
Այսպիսով, հաճախորդից սերվեր.
scp ուղի / դեպի / ֆայլ / հաճախորդ [էլփոստը պաշտպանված է]՝ / path / on / server
Սա բավականին հարմար է, եթե ձեզ անհրաժեշտ է դասագիրք կամ լուսանկար պատճենել, բայց ի՞նչ կասեք, երբ ստիպված եք աշխատել բազմաթիվ ֆայլերի հետ: Դրա համար շատ հարմար բան կա `sshfs (հասանելի է տեղադրման համար * nix համակարգերի մեծ մասի պահոցներում):
Պարզապես սահմանեք ճանապարհը scp- ի նման.
սշֆս [էլփոստը պաշտպանված է]: / տուն / օգտվող / mnt /
Իսկ սերվերի / տուն / օգտվողի թղթապանակը կհայտնվի տեղական մեքենայի / mnt լեռան կետում:
Ապամոնտաժումը կատարվում է umount- ի միջոցով:
Եվ վերջապես, եկեք խոսենք մի քիչ հայտնի հատկության մասին: Եթե ֆայլ եք ստեղծում /.ssh/configև լրացրու այսպես.
Հաղորդավար [անուն]
Հյուրընկալողի անունը
Օգտվող [սերվերի օգտվողի անուն]
ցանկալի ընտրանքներ
նման
Փոխանցել X11 այո
Պորտ 30,000
Այնուհետև մենք կարող ենք մուտք գործել ՝
ssh [անուն]
ssh -X -p 30000 [էլփոստը պաշտպանված է]
Եվ բոլոր տարբերակները կվերցվեն ինքնաբերաբար: Այսպիսով, որոշակի սերվերի վրա հաճախակի նույնականացման դեպքում դուք կպարզեցնեք այս գործընթացը մի քանի պահի ընթացքում:
Դե, մենք լուսաբանեցինք այն ամենը (և նույնիսկ ավելին), որը դուք պետք է իմանաք SSH- ի մասին ամենօրյա օգտագործման համար. Մենք սովորեցինք, թե ինչպես օգտագործել բանալին նույնականացումը, պաշտպանեցինք սերվերը դաժան հարձակումներից և, ընդհանրապես, կարկատեցինք պոտենցիալ անցքերի մեծ մասը: Փաստորեն, SSH- ն կարող է շատ այլ բաներ անել, օրինակ ՝ թունելավորում և նավահանգստի փոխանցում ssh նստաշրջանի միջոցով, բայց դժվար թե դուք, որպես սովորական օգտվող, երբևէ օգտագործեք դա: Լրացուցիչ ռեսուրսներ
Ներածություն
Նախորդ համարում, ինտերնետ սերվերների անվտանգության մասին հոդվածում, ինտերնետ սերվերի հարթակի և օպերացիոն համակարգի, ընդհանրապես սերվերի անվտանգության հետ կապված հարցեր էին քննարկվում օգտվողների հետ աշխատելու, ինչպես նաև աշխատելով և firewall- ի կարգավորումներ... Հակիրճ հիշեցնեմ, որ մենք դիտարկում ենք փոքր գրասենյակի կամ տնային ցանցի կառավարումը, երբ ունեք մեկ կամ երկու նվիրված համակարգիչ: Առաջին դեպքում, երբ մեկ համակարգիչը firewall plus է փոստի սերվեր, Վեբ սերվեր, և գուցե ftp սերվեր: Պարզ ասած, նվիրված համակարգիչը օգտագործվում է որպես մի տեսակ ընդհանուր ռեսուրս: Երկրորդ դեպքում, որը ենթադրում է ներկայություն մեծ ցանց, մեկ համակարգիչ օգտագործվում է որպես դարպաս և գումարած firewall, իսկ մյուսը ՝ որպես փոստի սերվեր, վեբ սերվեր և այլն: Սկզբունքորեն, երկրորդ մեթոդը նախընտրելի է, քանի որ դուք ֆիզիկապես առանձնացնում եք դարպասը ՝ որպես հաքերների կողմից առաջին հնարավոր հարձակման օբյեկտ և ընդհանուր սերվերցանցեր: Ամեն դեպքում, ապագայում կարող եք վերացական լինել նվիրված համակարգիչների քանակից ՝ հիշելով, որ նույնիսկ եթե դրանք երկուսն են, անիմաստ է դրանք բեռնել այլ առաջադրանքներով:
Ստորև բերված բոլորը շարունակում են նախորդ հոդվածի գիծը, ենթադրում է, որ Linux մեքենան օգտագործվում է որպես սերվեր, և օգտագործողը ծանոթ է Linux- ին և ցանցին հիմնական մակարդակով: Այս օրինակների գաղափարները փոխառված են Linux- ի տարբեր ձեռնարկներից: Այսպիսով, ի՞նչ հարցեր ենք մենք դիտելու այս պահին: Նախ, սերվերի ծրագրերը, որոնք դուք կցանկանաք տեղադրել սերվերի վրա: Երկրորդ, ցանցային հարձակումներ (ներառյալ Linux- ի և տրոյական ձիերի վիրուսների տեսակները) և դրանց հետ վարվելու մեթոդները: Ինչու՞ են այս հարցերը համակցված մեկ հոդվածում: Փաստն այն է, որ սովորաբար կոտրումը տեղի է ունենում կամ ադմինիստրատորի անփութության պատճառով, կամ սերվերային ծրագրերի պաշտպանության բացերի պատճառով: Հաճախորդը, ինչպես ինքն է նշանակում բառը, չի վերահսկում համակարգի ռեսուրսները, ուստի ակնհայտ է, որ հենց սերվերներն են, որ կարող են հարձակման առարկա դառնալ:
Սերվերի կիրառման պաշտպանություն
Ով ծանոթ է UNIX- ին, հասկանում է, որ գրեթե ցանկացած ցանցային ծրագիրկարող է օգտագործվել ինչպես որպես հաճախորդ, այնպես էլ որպես սերվեր: Առաջին դեպքում դուք օգտվում եք ծառայություններից, երկրորդում ՝ մատուցում դրանք: Հասկանալի է, որ երկու մասերն էլ անհրաժեշտ են ցանցային ծառայության մեջ: Հարցն այն է, թե ինչպիսի սերվերային ծրագրեր են անհրաժեշտ ձեր ցանցի սերվերի վրա: Linux- ը տեղադրելիս, իհարկե, կարող եք ընտրել առնվազն ամեն ինչ, քանի որ սկավառակի վրա տեղադրելը դեռ չի նշանակում սկսել: Բայց ո՞րը հետագայում ակտիվացնել: Կա մի պարզ բաղադրատոմս, որին ես ինքս միշտ հավատարիմ եմ սերվերների հետ աշխատելիս. Որքան քիչ ակտիվացված սերվերներ, այնքան լավ (ավելի ընդհանրապես. Որքան ավելի դժվար բան է, այնքան ավելի հեշտ է այն կոտրելը): Որքան էլ խոսեք UNIX- ի հուսալիության մասին, այստեղ պարբերաբար հայտնաբերվում և վերանորոգվում են անցքեր: Հետևաբար, որքան քիչ ծրագրեր գործարկեք, այնքան ավելի քիչ անհրաժեշտ կլինի դրանք վերահսկել: Իրական կյանքում, իհարկե, դա չպետք է համընկնի այն փաստի հետ, որ դուք արգելում եք օգտվողներին բառացիորեն ամեն ինչից: Իհարկե, դա անվտանգ է, բայց ինչու՞ անհանգստանալ ադմինիստրատորի հետ: Այնուամենայնիվ, ավելորդ բաները, օրինակ ՝ իրան, անշուշտ չպետք է դրվեն:
Telnet և ssh
Այժմ եկեք ավելի սերտ նայենք, թե իրականում ինչի կարիք ունեն ինչպես ներքին, այնպես էլ արտաքին օգտագործողները: Մեզ պետք են telnet և ssh (ապահով պատյան): Գուցե սա շատ հարմար մուտք չէ, բայց անհրաժեշտ է, գոնե ադմինիստրատորների համար: Սա ծրագիր է, որն ապահովում է մուտք տերմինալային ռեժիմում, երբ ձեր համակարգչում հայտնվում է 80x25 նիշանի պատուհան ՝ ամբողջությամբ արտացոլելով կանչված սերվերը: Կարող եք կատարել ցանկացած հրաման և գործարկել ծրագրեր, որոնք չեն օգտագործում գրաֆիկա - ընդհանրապես, սա սովորական հեռակա տերմինալ է: Telnet- ի և ssh- ի միջև եղած տարբերությունը բխում է անուններից, բայց միևնույն է, եկեք բացատրենք. Եթե ցանկանում եք քիչ թե շատ վստահ լինել պաշտպանվածության մեջ, ապա անջատեք telnet- ի օգտագործումը կամ ընդհանրապես մի սկսեք այն: Դե, եթե դեռ ցանկանում եք օգտագործել այն, ապա, իհարկե, պետք է օգտագործել firewall: Ստանդարտ հրամանները կարող են լինել հետևյալը.
ipfwadm- ի համար -
Ipfwadm -I -aընդունել -P tcp -S 10.0.0.0/8 -D 0.0.0.0/0 23 ipfwadm -I -a- ընդունում եմ -P tcp -S որոշ. Վստահելի .host -D 0.0.0.0/0 23 ipfwadm - I -a ժխտել -P tcp -S 0.0.0.0/0 -D 0.0.0.0/0 23
ipchains- ի համար -
ipchains -A մուտք -p all -j ACCEPT -s 10.0.0.0/8 -d 0.0.0.0/0 23
Ipchains -A մուտք -p all -j ACCEPT -s some.trusted.host -d 0.0.0.0/0 23 ipchains -A input -p all -j DENY -s 0.0.0.0/0 -d 0.0.0.0/0 23
Կարող եք նաև օգտագործել /etc/hosts.allow և /etc/hosts.deny ֆայլերը, որոնց համար համապատասխանաբար պետք է գրեք.
առաջին ֆայլում -
In.telnetd: 10.0.0.0/255.0.0.0, some.trusted.host
երկրորդ ֆայլում -
In.telnetd: ԲՈԼՈՐ
Նկատի ունեցեք, որ նույնիսկ եթե այս կանոնները միացված են, գաղտնաբառով փաթեթի ճանապարհին ինչ -որ տեղ ցանցում լսող ցանկացած ծրագիր կարող է ընդհատել այն:
Համակարգի անվտանգությանն առնչվող տեղեկատվությամբ երկու այլ կարևոր ֆայլեր են / etc / securetty և / etc / shells: Առաջինը նշում է տերմինալները, որոնցից արմատային օգտվողը կարող է մուտք գործել: Շատ համակարգերում, լռելյայն, արմատային օգտվողը կարող է մուտք գործել միայն վահանակից: Երկրորդ ֆայլը սահմանում է վավեր փաթաթանների ցանկ, որոնք կարող են գործարկվել, երբ օգտվողը մուտք է գործում: Linux- ի ձեռնարկից վերցրած մի գեղեցիկ օրինակ է passwd- ը որպես պատյան օգտագործելը: Սա օգտվողներին տրամադրում է գաղտնաբառի հեշտ փոփոխություն և նաև երաշխավորում, որ նրանք այլ բան չեն անում տերմինալային ռեժիմում: Դա անելու համար մուտքագրեք passwd ծրագիրը ինքնին / etc / shells ֆայլում, այսինքն ՝ մուտքագրեք տողը.
/ usr / bin / passwd
և / etc / passwd ֆայլում գրեք օգտվողի մասին.
Մականուն: x: 1000: 1000 :: / home / username: / usr / bin / passwd
Այժմ, երբ օգտվողը մուտք է գործում ցանց, նա կարող է փոխել միայն գաղտնաբառը: Տերմինալի ելքը հետևյալն է.
Փորձում է 1.2.3.4 ... Միացված է localhost- ին: Փախուստի բնույթը «^]» է: Red Hat Linux թողարկում 5.2 (Apollo) Kernel 2.2.5 i586 մուտքի վրա. Փորձարկիչ Գաղտնաբառ. Փորձարկողի գաղտնաբառի փոփոխում (ընթացիկ) UNIX գաղտնաբառ. Նոր UNIX գաղտնաբառ. Նոր մուտքագրեք նոր UNIX գաղտնաբառ. Passwd. Բոլոր նույնականացման նշանները հաջողությամբ թարմացվեցին: հաղորդավար.
Նույնիսկ եթե գաղտնաբառը փոխելու փորձը անհաջող էր, այն համակարգից կտրված կլինի: Միացման ժամանակ պետք է նաև ուշադրություն դարձնել գործարկման արդյունքին. Telnet- ն ազնվորեն գրում է համակարգի անունը և տարբերակը: Ընդհանուր առմամբ, սա հարմար է, բայց այս դեպքում դուք տալիս եք պոտենցիալ հաքերային տեղեկատվություն, որը նա կարող է օգտագործել իր նպատակների համար: Ինչպե՞ս կարող եք խուսափել դրանից: Երբ օգտվողը մուտք է գործում, telnet- ը ցուցադրում է /etc/issue.net ֆայլը, որը ստեղծվել է համակարգի գործարկման ժամանակ: Այն ստեղծվում է rc.local ֆայլի հրամաններով.
# Սա կգրագրի / etc / issue յուրաքանչյուր բեռնման ժամանակ: Այսպիսով, կատարեք ցանկացած փոփոխություն, որը # ցանկանում եք կատարել այստեղ / etc / issue- ում, հակառակ դեպքում դրանք կկորցնեք, երբ վերագործարկեք: echo ""> / etc / թողարկում echo "$ R" >> / etc / թողարկում echo "Kernel $ (uname -r) $ a $ (uname -m)" >> / etc / issue cp -f / etc / թողարկում /etc/issue.net արձագանք >> / etc / issue
Հետևաբար, եթե դուք չեք ծանրաբեռնում համակարգը, կարող եք պարզապես խմբագրել /etc/issue.net ֆայլը, հակառակ դեպքում ՝ խմբագրել rc.local- ը: Ամեն դեպքում, telnet- ը խորհուրդ է տրվում միայն այն դեպքում, երբ դա իսկապես անհրաժեշտ է և չի կարող փոխարինվել ssh- ով:
Ssh- ը նման է telnet- ին օգտագործողի տեսանկյունից: Ի տարբերություն telnet- ի, որն օգտագործում է 23 -րդ նավահանգիստը, այն օգտագործում է 22 -ը, սակայն հիմնական ներքին տարբերությունն այն է, որ ամբողջ տրաֆիկը կոդավորված է: Մնացած բոլոր առումներով նրանք նման են: Ssh- ի համար կարող եք օգտագործել նույն firewall- ի կանոնները (նավահանգստի համարը փոխարինված է) և պարամետրերը /etc/hosts.allow, /etc/hosts.deny ֆայլերում: Հաճելի հատկություն է իր կազմաձևման ֆայլի առկայությունը / etc / sshd / sshd_config, որը պարունակում է հետևյալ կազմաձևման տողերը.
Պորտ 22 # նավահանգստի համար, որը կարող է լինել ավելի քան 22 768 # կոդի երկարություն բիթերում LoginGraceTime 300 # անուն և գաղտնաբառ մուտքագրելու ժամանակը KeyRegenerationInterval 3600 # կոդերի վերականգնման հաճախականություն PermitRoot Միացեք ոչ #, արդյոք արմատային օգտվողը կարող է մուտք գործել ssh IgnoreRhosts այո # Անտեսել կամ ոչ տեղեկություններ օգտվողի ֆայլից այո # խիստ ռեժիմ, օգտագործողի թերությունների արգելափակում, օրինակ ՝ գաղտնաբառ մուտքագրել 5 անգամ # կամ պատահական մամուլմուտքագրեք QuietMode ոչ # այո - ընդհանրապես չգրել տեղեկամատյան և ոչ - հակառակ դեպքում X11 Փոխանցում ոչ # ուղարկել X սերվերի տեղեկատվություն ssh ալիքով Fascist Լոգինգ ոչ # տեղեկամատյան ֆայլերի ամբողջականության աստիճան PrintMotd այո # ցուցադրել օրվա մի արտահայտություն KeepAlive այո # պահպանել հաղորդակցություն `տրամադրելով ստանդարտ անջատում SyslogFacility DAEMON #, որը պատասխանատու է գերաններ ստեղծելու համար RSA վավերացում Գաղտնաբառ Նույնականացում այո # օգտվողներից օգտվել իրենց սովորական գաղտնաբառերից, թե ոչ Թույլատրել
Կան նաև որոշ օգտակար պարամետրեր, մասնավորապես.
AllowGroups, DenyGroups, AllowUsers, DenyUsers, AllowHosts, DenyHosts, IdleTimeout ժամանակ (ժամանակ, որից հետո կապն ընդհատվելու է անգործության դեպքում):
Ինչպես տեսնում եք վերը նշվածից, ընդհանուր առմամբ ssh- ն այնքան շատ տարբերակներ ունի, որ կարող եք ճշգրիտ վերահսկել, թե ով և ինչպես կարող է մուտք գործել: Բայց սա սերվերի մասին է, և ցանցի օգտվողները պետք է գործարկեն ssh հաճախորդներ: Ի տարբերություն telnet- ի, որը հասանելի է Windows- ում, ssh- ը ներառված չէ ստանդարտ բաշխման մեջ: Linux- ն այս խնդիրը չունի. Հաճախորդը նույնպես այնտեղ է: Կարևոր է նշել, որ ssh daemon- ը հասանելի է ինչպես առաջին, այնպես էլ երկրորդ տարբերակով: Իհարկե, տհաճ է, որ հետընթաց համատեղելիություն չկա, բայց ես վստահ եմ, որ դուք ՝ որպես ադմինիստրատոր, օգտագործողներին կտրամադրեք այն հաճախորդները, որոնք կկարողանան հաղորդակցվել սերվերի հետ: Ահա մի քանի ssh հաճախորդներ Windows- ի համար.
- Թարմ անվճար FiSSH: http://www.massconfusion.com/ssh/
- Tera Term. http://hp.vector.co.jp/authors/VA002416/teraterm.html telnet հաճախորդ: http://www.zip.com.au/~roca/ttssh.html - լրացուցիչ dll ssh աջակցության համար
- Մածիկ: http://www.chiark.greenend.org.uk/~sgtatham/putty.html - ընդամենը մոտ 200 հազար
- Mindterm http://www.mindbright.se/mindterm/ - Java ssh հաճախորդ
- Java Telnet հավելվածը: http://www.mud.de/se/jta/ - կա ssh աջակցություն
- Ապահով CRT. http://www.vandyke.com/ - առևտրային հաճախորդ
Անհրաժեշտ է նշել տերմինալային մուտքը `կապված այնպիսի ծրագրերի հետ, ինչպիսիք են rlogin, rexec, rsh: Նրանց օգտագործումը զուրկ է որևէ պաշտպանությունից և երբեմն նույնիսկ թույլ է տալիս օգտվողներին մեքենայից մեքենա հասնել առանց գաղտնաբառ մուտքագրելու: Չնայած սա հարմար է, բայց անվտանգության տեսանկյունից, այն պարզապես ոչ մի բանի համար լավ չէ: Այս ծառայությունները սովորաբար սկսվում են լռելյայն: Դրանք չեղարկելու համար հարկավոր է խմբագրել /etc/inetd.conf ֆայլը և վերագործարկել inetd դարոնը: Ընդհանուր առմամբ, telnet- ը և ssh- ը սպառում են համակարգին տերմինալային մուտքի հնարավորությունները: Հետեւաբար, եկեք անցնենք այլ սերվերային ծրագրերին, որոնք օգտակար են օգտվողների համար:
Փոստ, կամ էլ
Ի՞նչ է անհրաժեշտ մարդկանց փոստ ունենալու համար, առանց որի մարդկանց միջև հաղորդակցությունը հաճախ այլևս անհնար է պատկերացնել: Բավականին տարածված եղանակ է փոստի սերվերի տեղադրումը, յուրաքանչյուր օգտագործողի համար փոստարկղ ստեղծելը և pop-daemon- ի կազմաձևումը, որպեսզի մարդիկ կարողանան վերցնել այս փոստը: Բայց որպեսզի սերվերը կարողանա նամակներ ստանալ և ուղարկել, այն պետք է տեղադրվի դրա վրա փոստի ծրագիրինչպիսիք են sendmail- ը, postfix- ը կամ qmail- ը, որը փոստը վարում է UNIX մեքենայի վրա: Ավանդաբար, այդ նպատակով օգտագործվում է sendmail- ը: Այժմ այն օգտագործվում է նաև մեքենաների մեծ մասի վրա, սակայն նշված մյուս երկու ծրագրերը լավ և նույնիսկ կատարելագործված փոխարինողներ են: Ինչպես միշտ, հիմնական մտահոգությունները, սակայն, կապված են պաշտպանության հետ վերջին տարբերակները sendmail (8.9.x) բավականին ամուր են:
Sendmail- ը հասանելի է Linux- ի բոլոր համակարգերում, ամենայն հավանականությամբ, վերջին բաշխումները պարունակում են 8.9.x տարբերակ: Usesրագիրը օգտագործում է մի քանի կազմաձևման ֆայլեր, որոնք դրանք վերլուծում է գործընթացում: Բայց նախքան կազմաձևման մասին խոսելը, մենք նշում ենք, որ ծրագիրը կարող է սկսվել ինչպես դևի, այնպես էլ սպասման ռեժիմում: Առաջին դեպքում այն անընդհատ կլսի նավահանգիստը, իսկ երկրորդում ՝ մեկ անգամ կակտիվանա և պարզապես կվերամշակի բոլոր մուտքային տեղեկությունները: Երկրորդ մեթոդը նախընտրելի է անվտանգության տեսանկյունից: Դա անելու համար պարզապես անհրաժեշտ է հեռացնել -bd պարամետրը գործարկման տողում:
Հիմա կազմաձևման մասին: Հիմնական ֆայլը sendmail.cf է, որը կարող է ունենալ կամ չունենալ այլ ֆայլերի հղումներ: Վերլուծվում է նաև մուտքի ֆայլը, որտեղ կարող եք տեղադրել այնպիսի հասցեներ, որոնցից (կամ որին) տառերը չեն ուղարկվի: Օրինակ ՝ գրառումները.
10.0.0 RELAY spam.com ՀՐԱԱՐՎԵԼ
նշանակում է .spam.com հասցեներից ստացված նամակները չեն ընդունվի, իսկ ներքին ցանցից ստացվող նամակները կարող են ընդունվել և ուղարկվել:
Մեկ այլ օգտակար և օգտագործված ֆայլ կեղծանունն է: Այն սահմանում է, թե որ անունները մեկնաբանվեն որպես տվյալ փոստարկղի անուն: Օրինակ, եթե սահմանեք
Պետրով: աստղ
նամակներ, որոնք գալիս են Պետրովին հասցեով [էլփոստը պաշտպանված է]կուղարկվի տուփ [էլփոստը պաշտպանված է]նույնիսկ եթե ինչ -որ մեկը չգիտի իրական հասցե... Սա հատկապես օգտակար է, եթե ցանկանում եք, որ էլ. Սա նշանակում է, որ մենեջերը կտա իր հասցեն միայն նրանց, ովքեր իրեն հարմար է համարում, և մենեջերը կկախվի վեբ էջից: Ակնհայտ է, որ սա առավելագույն հարմարավետություն կբերի մենեջերի փոփոխության դեպքում: Անունների ցանկացած քանակ կարող է վերահղվել նույն փոստարկղին:
Վիրտուալ ֆայլը սահմանում է մեկ հասցեի քարտեզագրումը մյուսին, օրինակ.
[էլփոստը պաշտպանված է]մենեջեր
Օգտագործելով այս երկու ֆայլերը (կեղծանուններ և վիրտուալ անուններ), փոստի կրկնօրինակումը կարող է իրականացվել, ինչը կփրկի բոլոր մուտքային փոստերը: Խաբեությունը կայանում է նրանում, որ սկզբում դիտվում է վիրտուալ վիրտուալ ֆայլը, այնուհետև կեղծանունները: Եթե վիրտուալ գրառման մեջ վերջին գրառումով մուտքագրեք կեղծանունների ֆայլը.
Կառավարիչ ՝ աստղ, " / var / spool / mail2 / star"
այնուհետև փոստը, որը կհասնի ինչպես կառավարչի, այնպես էլ աստղի հասցեներին, կգրվեն սովորական / var / spool / mail գրացուցակում և / var / spool / mail2 հասցեով:
Postfix- ի և sendmail- ի հիմնական տարբերություններից մեկը մոդուլյարությունն է (որն ունի նաև qmail- ը): Ի տարբերություն sendmail- ի, կոդի միայն մի փոքր մասը, ընդամենը մեկ մոդուլը, աշխատում է որպես արմատ, իսկ մնացած բոլոր մասերը գործարկվում են ըստ անհրաժեշտության և ունեն իրենց կարգավորումները: Ընդհանուր առմամբ, postfix կազմաձևման ֆայլերը սովորաբար գտնվում են / etc / postfix- ում: Manager.cf ֆայլը կառավարում է տարբեր մոդուլների աշխատանքը ՝ նշելով այն օգտվողներին, որոնցով նրանք աշխատում են և գործընթացների քանակը: Main.cf ֆայլը հիմնական կազմաձևման ֆայլն է և ինքն է սահմանում փոստի հիմնական պարամետրերը: Ահա դրա մոտավոր ձևը ՝ բացատրություններով (ավելի ճիշտ ՝ այն բաղադրիչները, որոնք, ամենայն հավանականությամբ, պետք է խմբագրվեն).
# մեքենայի անուն myhostname = mail.example.org # տիրույթ mydomain = example.org # որ հասցեից եք ուղարկում նամակներ myorigin = $ mydomain # որոնց միջերեսներ ծրագիրը գործարկելու համար inet_interfaces = բոլոր # վիրտուալ անունների ֆայլը virtual_maps = hash: / etc / postfix / virtual # անվան փոխարինումների ֆայլ alias_maps = hash: / etc / postfix / aliases # գրացուցակ, որտեղ փոստը պետք է պահվի, երբ օգտվողը ստանում է այն home_mailbox = Maildir / # որտեղ փոստը պահելու mail_spool_directory = / var / spool / mail # հրամանը առբերելու համար փոստ փոստարկղ_հրաման = / usr / sbin / scanmails # ֆայլ, որը ցույց է տալիս հասցեները, որոնցից և որին պետք է փոխանցվեն # relay_domains = / etc / postfix / relaydomains # local machines mynetworks = 10.0.0.0/24, 127.0.0.0/8 # ինչ թողնել, եթե օգտվողները միանան 25 պորտին smtpd_banner = $ myhostname ESMTP $ mail_name
Postfix ծրագիրը կարելի է ձեռք բերել http://www.postfix.org կայքից:
Այժմ խոսենք POP և IMAP արձանագրությունների մասին: Առաջինը գործում է 110 -րդ նավահանգստում, երկրորդը ՝ 143 -ին: Սկզբունքորեն, երկուսն էլ նույն նպատակն են հետապնդում, բայց դրանք իրականացվում են տարբեր ձևերով: POP (փոստային բաժանմունքի արձանագրություն) բավականին հին և վատ արձանագրություն է: Այն միայն թույլ է տալիս միանալ սերվերին, փոստ ստանալ և ջնջել այն սերվերի փոստարկղից: IMAP արձանագրությունավելի առաջադեմ: Այն թույլ է տալիս կառավարել ձեր փոստը անմիջապես սերվերի վրա: Պետք չէ ներբեռնել ամբողջ նամակը, այլ վերցնել միայն տառերի վերնագրերը, սերվերի վրա ստեղծել դիրեկտորիաներ և փոստը բաժանել նրանց միջև: Անվտանգության տեսանկյունից այս արձանագրությունները նույնն են, ուստի նպատակներից խուսափելու համար նպատակահարմար է օգտագործել firewall: Կարող եք նաև այս արձանագրությունների տրաֆիկը տեղադրել ssh- ի ներսում: Շատ կարևոր է ձեր փոստը ստուգել վիրուսների համար: Չնայած որ UNIX- ում վիրուսները սարսափելի չեն, քանի որ շատ օգտվողներ օգտագործում են Windows, բայց խելամիտ է նամակներ գործարկել այնպիսի սկաների միջոցով, ինչպիսին է AMAVIS- ը: Դա անելու ամենադյուրին ճանապարհը (իհարկե, ենթադրվում է, որ AMAVIS ծրագիրը արդեն տեղադրված է), եթե կազմաձևման տողում հետֆիքսված է
Փոստարկղ_հրաման = / usr / bin / procmail
Փոստարկղ_հրաման = / usr / sbin / սկան փոստ
Հակիրճ այն մասին, թե ինչպես է օգտագործողը փոստ ստանում և ուղարկում աշխատավայրում: Բարեբախտաբար, բոլոր հայտնի ծրագրերը POP կամ IMAP հաճախորդներ են (նկատի ունեմ առնվազն Netscape- ը և Outlook- ը): Բացի այդ, եթե ադմինիստրատորը հնարավորություն է տվել մուտք գործել սերվեր telnet- ի կամ ssh- ի միջոցով, կարող եք դիտել փոստը և աշխատել դրա հետ տերմինալային ռեժիմում (այս դեպքում այն վերցնելն ավելի դժվար է): Դա անելու համար հարկավոր է միանալ սերվերին և տերմինալում գործարկել փոստի ծրագիր, օրինակ ՝ փոստ կամ սոճին: Վերջինս շատ ավելի հարմար է և ամբողջական էկրանով ծրագիր է `ընտրացանկով, միայն տեքստային ռեժիմում:
Ֆայլերի մուտք և ցանցի տպագրություն
UNIX համակարգում կա երկուսը ստանդարտ գործիքներ- NFS և LPD: Առաջինը թույլ է տալիս ստեղծել ցանցային ֆայլային համակարգեր, երկրորդը `տպել տպիչի վրա: Ինչ վերաբերում է Windows- ի UNIX մեքենայի ռեսուրսներին, Samba- ն (SMB), ըստ ամենայնի, ամենահարմարն է դրա համար: Այս ծրագիրը թույլ է տալիս մուտք գործել ֆայլեր, ինչպես նաև հնարավորություն է տալիս ցանցային տպագրություն կատարել Windows մեքենայից UNIX սերվերի միջոցով: Քանի որ այս հոդվածը հիմնականում սերվերների անվտանգության մասին է, պետք է նշել, որ ցանցի ներսում ռեսուրսների փոխանակումը վտանգավոր չէ, իհարկե, արտաքին firewall- ի կանոնների նորմալ կազմաձևման դեպքում: Այստեղ կարող են առաջանալ այլ ծրագրի խնդիրներ ՝ կապված այն բանի հետ, որ ոչ բոլորին է պետք հասանելի լինել այս կամ այն տեղեկատվությանը, բայց դա ամբողջությամբ կարգավորվում է ֆայլերի և գրացուցակների հատկանիշների կարգավորումներով: Անկախ նրանից, թե որքան ճարպիկ ադմինիստրատոր եք, դուք չեք կարող կանխել մի իրավիճակ, երբ, օրինակ, ինչ -որ մեկը մոռանում է փակել ssh նիստը և թողնում համակարգիչը: Այլ հարց է, եթե որոշ ֆայլերի ընթերցանության իրավունք եք տալիս, բայց դրանք չափազանց ակնհայտ բաներ են, որոնց վրա կարելի է կանգ առնել: Հետևաբար, այժմ մենք դիմում ենք սերվերային ծրագրերի դիտարկմանը, որոնք օգտակար են ոչ միայն ներքին օգտվողներին, այլև արտաքիններին: Ես նկատի ունեմ առաջին հերթին վեբ սերվեր և գուցե ftp. Այժմ դժվար է պատկերացնել ամենափոքր ընկերությանը կամ նույնիսկ պարզապես ցանցին առանց առաջինի, իսկ երկրորդի առկայությունը կախված է նրանից, թե իրականում կարիք ունեք որոշ տվյալներ առանձին բեռնելու ftp սերվերի վրա:
Վեբ և ftp սերվերներ
Apache- ն այսօր գոյություն ունեցող սակավաթիվ վեբ սերվերների մեջ անվիճելի առաջատարն է ժողովրդականության և կատարման առումով: Այս սերվերը համատեղում է արագությունը, կայունությունը, բարձր անվտանգությունը և միևնույն ժամանակ այն անվճար է: Միշտ չէ, որ հնարավոր է նման ծրագիր գտնել իրենց նպատակների համար, բայց ահա այն: Եվ պետք է խոստովանել, որ ծրագրի հեղինակները մեծ ջանքեր են գործադրում առավելագույն արդյունավետության և հուսալիության հասնելու համար: Նախևառաջ, նշեք, որ եթե դուք օգտագործում եք ձեր վեբ սերվերը միայն ներքին նպատակների համար, ինչպիսիք են համակարգի կառավարումը կամ ֆայլերի փոխանակումը, ապա դուք անպայման պետք է այն պաշտպանեք արտաքին աշխարհից: Եթե սա սերվեր է բոլորի համար, ապա դուք պետք է հասկանաք, որ այն բաց է բոլորի համար: Այդ իսկ պատճառով անհրաժեշտ է պատշաճ կերպով վերահսկել այն, այն է ՝ ուշադիր և ճիշտ կազմաձևել այն և վերահսկել տեղեկամատյանների ֆայլերը ՝ նախապես հնարավոր հարձակումը որոշելու համար: Ինչ վերաբերում է անվտանգությանը, սերվերն ինքնին շատ քիչ մուտք ունի համակարգին, քանի որ դրա միայն առաջին պատճենն է աշխատում որպես արմատ, իսկ մնացածը սովորաբար աշխատում են որպես ոչ ոք: Բացի այդ, սերվերի պարամետրերում, այսինքն ՝ httpd.conf, smr.conf, access.conf ֆայլերում հստակ նշվում է, թե որ դիրեկտորիաներին է հասանելի սերվերը, իսկ որոնք ՝ ոչ: Եթե գրում եք httpd.conf ֆայլում, օրինակ.
ապա դուք հստակորեն նշելու եք, որ սերվերը մուտք ունի միայն / WWW գրացուցակին, որտեղ դուք պետք է տեղադրեք կայքի (կամ կայքերի) ամբողջ նյութը, որի աշխատանքը տրամադրվում է սերվերի կողմից: Եթե ցանկանում եք վստահ լինել, որ ոչ ոք չի փոխի մուտքի իրավունքները ՝ ներառելով, օրինակ .htaccess ֆայլը որոշ գրացուցակում, ապա srm.conf- ում պետք է մուտքագրեք.
Անվտանգության տեսանկյունից անիմաստ է այլ պարամետրերի մասին ավելի մանրամասն խոսել, մանավանդ որ Apache սերվերի տեղադրումն ու նվազագույն կազմաձևումը նկարագրված էին նախորդ համարում ՝ այս թեմային նվիրված հոդվածում:
Անհրաժեշտ է առանձին անդրադառնալ https (անվտանգ http) արձանագրության օգտագործման վրա: Այս արձանագրությունը սովորաբար աշխատում է 443 նավահանգստում (ի տարբերություն ստանդարտ http- ի, որն աշխատում է 80 նավահանգստում): Ապաչին ապահով http- ով հարստացնելու առնվազն երկու եղանակ կա: Առաջինը `բաց-ssl- ից հավելումն օգտագործելն է, երկրորդը` mod_ssl մոդուլը: Երկու տարբերակներն էլ հանգեցնում են գրեթե նույն արդյունքների: Ընդհանուր առմամբ, հնարավոր է դառնում կապեր հաստատել ՝ օգտագործելով https ՝ 443 նավահանգստում: Սա սերվերի համար սերտիֆիկատ է ստեղծում, որը կապը հաստատելիս կսահմանեն հաճախորդները: Սա կբացառի (իհարկե, ոչ բացարձակ երաշխիքով) երթեւեկության գաղտնալսումը: Openssl- ի օգտագործման ժամանակ վկայագիր ստեղծելու համար հարկավոր է տալ հետևյալ հրամանները.
Openssl genrsa -des3> httpsd.key openssl req -new -key httpsd.key> httpsd.csr
ավելին, ֆայլերը պետք է լինեն նույն գրացուցակում, որտեղ գտնվում են սերվերի կազմաձևման ֆայլերը: Որպեսզի սերվերը ճիշտ աշխատի 443 նավահանգստի հետ, դուք նույնպես պետք է փոխեք կազմաձևման ֆայլերը: Նրանք պետք է նման բան գրեն
# լսելը 443 նավահանգստում (լռելյայն, սերվերը լսում է միայն 80 -րդ նավահանգստում) Լսեք 443 # անջատել գլոբալ օգտագործումը ssl SSLD անջատել # այն վայրը, որտեղ սերվերը ժամանակավոր տեղեկատվություն կպահի ssl կապի ժամանակ: Առանց # այս կարգավորման, սերվերը չի աշխատի SSLCacheServerPath / usr / bin / gcache # պորտով, որի միջոցով սերվերը շփվում է CashServer SSLCacheServerPort 12345 # CashServer timeout SSLSessionCacheTimeout 300
Այս պարամետրերից հետո ձեր սերվերը հիմնականում պատրաստ է աշխատել https- ի հետ, բայց առայժմ այս արձանագրությունն արգելված է: Isանկալի է ստեղծել վիրտուալ հյուրընկալող, որն ունի նույն անունը, ինչ ձեր կանխադրվածը, բայց 443 նավահանգստի հստակ նշումով, այլ կերպ ասած, այժմ ունեք վեբ սերվեր: Այն աշխատում է 80 պորտով և օգտագործում է http արձանագրությունը: Ավելացնելով apache-ssl և վերը նկարագրված կարգավորումները, դուք օգտվողներին հնարավորություն եք տվել հաղորդակցվել ձեր սերվերի հետ https արձանագրության միջոցով: Քիչ հավանական է, որ ձեր սերվերի ամբողջ տեղեկատվությունն այնքան դասակարգված է, որ ցանկանում եք այդ ամենը տրամադրել միայն ապահով կապի ռեժիմում: Apache սերվերը թույլ է տալիս ստեղծել վիրտուալ մեքենաներ, այսինքն ՝ կարող եք մի քանի արմատային ենթահաղորդակցություն հայտարարել հյուրընկալողի համար, տալ անուն, գրել մի շարք կազմաձևման ֆայլեր և անհրաժեշտ ամեն ինչ, բայց ֆիզիկապես այն տեղակայված կլինի ձեր համակարգչում և վերահսկվելու է ձեր սեփական սերվերի կողմից ... Մեր դեպքում նույնիսկ անհրաժեշտ չէ այլ անուն տալ, քանի որ այն նույնն է, այլ ՝ այլ նավահանգիստ: Ահա, թե ինչպիսին կարող է լինել նման կարգավորումը.
Բացի http- ից, կա նաև ftp - օգտակար և հարմարավետ ծառայություն, հատկապես, եթե ունեք շատ ֆայլեր, որոնք օգտվողները պետք է ներբեռնեն (օրինակ ՝ տրամադրում եք որոշ հետազոտական տվյալներ): Ftp- ի առավելությունը http- ի նկատմամբ արագությունն է: Ftp արձանագրությունն ունի նվազագույն ծախսեր: Այնուամենայնիվ, նրա հետ շատ խնդիրներ կան: Հիմնականը դրա «տարիքն» է. Ftp- ն նույնքան հին է, որքան telnet- ը: Այստեղից անմիջապես ծագում են անվտանգության հետ կապված բարդություններ. Օգտվողի անունն ու գաղտնաբառը փոխանցվում են հստակ, և փոխանցվող տեղեկատվության երթևեկը ոչնչով պաշտպանված չէ: Բացի այդ, ftp- ն կարող է միայն ֆայլեր փոխանցել: Հետևաբար, եթե ունեք որոշ տեղեկություններ, որոնք հասանելի են բոլորին, ապա ողջամիտ է ստեղծել մեկ օգտվող, որի անվան տակ բոլորը մուտքագրելու են: Հաճախ նման ftp- արխիվներում այս օգտվողին անվանում են անանուն, և նա իր էլ.փոստի հասցեն փոխանցում է որպես գաղտնաբառ: Այս դեպքում անվտանգության խնդիրները շատ ավելի քիչ են: Ավելին, այն դեպքում, երբ անհրաժեշտ է մի քանի օգտվողի տրամադրել ftp մուտք, կատարեք chroot, որպեսզի նրանք կարողանան ֆայլերը տեղադրել միայն իրենց գրացուցակներում: Ինչ վերաբերում է սերվերներին, ապա դրանք, իհարկե, հասանելի են ստանդարտ փաթեթներում, բայց գուցե դուք ցանկանում եք տեղադրել ոչ թե ստանդարտ ftpd, այլ մի քանիսը:
Հանրաճանաչ ftp սերվերներից մեկը proftpd է: Դրա կազմաձևման ֆայլերը նման են Apache ֆայլերին, ինչը հեշտացնում է դրանց հարմարվելը, քանի որ, ամենայն հավանականությամբ, ձեր վեբ սերվերը Apache- ն է: Հիմնական կազմաձևման ֆայլը /etc/proftpd.conf է: Դրա մոտավոր ձևը կարող է լինել հետևյալը.
ServerName "ProFTPD Default Installation" ServerType inetd DefaultServer on Port 21 Umask 022 MaxInasts 30 Օգտվող ոչ ոք Խմբեր ոչ ոքի
Վերոնշյալ ցուցակը ցույց է տալիս, որ սերվերը գործարկվում է inetd- ի միջոցով, ստանդարտ 21 -րդ նավահանգստում, պատճենների առավելագույն թիվը 30 է, և այն սկսվում է որպես խումբ և օգտվող ոչ ոք: 022 - ստեղծման ընթացքում ֆայլի հատկանիշների դիմակ, որը սկզբնական շրջանում կկիրառվի որպես ստանդարտ: Այս կազմաձևը թույլ չի տալիս մուտք գործել անանուն օգտվողին: Դա անելու համար հարկավոր է գրել մոտավորապես հետևյալ կազմաձևման կարգավորումները.
Այս լրացումից հետո հնարավոր է դառնում աշխատել որպես անանուն և միայն կարդալ, այսինքն ՝ ներբեռնել: Ես կտամ ևս մեկ օրինակ ՝ դիրեկտորիաներից օգտվելու իրավունքները սահմանելու համար.
Կազմաձևման ֆայլում նման մուտքը տալիս է գրելու իրավունք, բայց չի տալիս ֆայլեր ներբեռնելու իրավունք: Սա օգտակար է, եթե ցանկանում եք, որ օգտվողները կարողանան ֆայլեր վերբեռնել, բայց չկարողանան տեսնել, թե ինչ են դրել ուրիշները:
Սա ավարտում է սերվերային ծրագրերի թեման: Իհարկե, պետք է նշել, որ կան շատ ավելի սերվերային ծրագրեր. Կան նաև DNS, նորությունների սերվերներ, NIS սերվերներ, X սերվեր և շատ այլ հետաքրքիր և օգտակար ծրագրեր: Այնուամենայնիվ, ես փորձեցի կենտրոնանալ այն բանի վրա, ինչ իրականում կարող է անհրաժեշտ լինել ցանց աշխատելիս, որը չի հավակնում լինել համաշխարհային կիբերպոլիս կամ մատակարար: Այժմ անցնենք հոդվածի սկզբում նշված երկրորդ հարցին `ցանցային հարձակումներին և կոտրումներին:
Networkանցային հարձակումներ և կոտրումներ
Նախ ՝ մի քանի ընդհանուր բառ: UNIX- ում, ի տարբերություն Windows- ի, վիրուսների խնդիր չկա: Հիշողության բաշխման և ֆայլերի թույլտվությունների ներքին կառուցվածքը ի վիճակի է ինքնուրույն հաղթահարել այն, ինչ սովորաբար անում են վիրուսները հին DOS- ում կամ Windows- ում: Վիրուսների հիմնական խոչընդոտը (իրենց ստանդարտ իմաստով) սովորական օգտվողի անունից աշխատող ծրագրերի ֆիզիկական սարքերին հասանելիության բացակայությունն է, ինչպես նաև այն, որ ֆայլի հատկանիշները սահմանվում են ոչ թե ընդհանրապես, այլ օգտագործողի, խմբի և բոլոր օգտատերերը. Windows- ում նման բան չկա (սա մասամբ կիրառվում է Windows 2000 -ում): Չնայած ավանդական վիրուսներից առաջացած անհանգստությունը գրեթե անհնար է, UNIX համակարգերը դեռ կոտրվում և ոչնչացվում են: Դա պայմանավորված է բոլորովին այլ տեխնոլոգիաների առկայությամբ, որոնք կոպիտ կարելի է բաժանել երկու կատեգորիայի: Առաջինը այսպես կոչված տրոյական ձիերն են, որոնք ծրագրեր են, որոնք առերևույթ, և գուցե իրականում, կատարում են բավականին խելամիտ և օրինական գործողություններ: Սակայն, զուգահեռաբար, նրանք այլ «աշխատանք» են կատարում ՝ լսել ցանցին կամ գաղտնաբառերի մասին տեղեկություններ հավաքել և ուղարկել ցանց և այլն: Այս ծրագրերն իրենք դժվար թե ուղղակի վնաս հասցնեն, այլ դրանք կլինեն միջնորդներ ձեր համակարգի և արտաքին հարձակվողի միջև: Երկրորդ կատեգորիան ցանցային հաքերներն են: Այս գործողությունները սկզբում չեն վերաբերում մեքենայի ներքին բովանդակությանը, այլ փորձում են քանդել համակարգը կամ մուտք գործել դրան ՝ որոշ տեղեկություններ ուղարկելով նրան, օրինակ ՝ դիտավորյալ սխալ ցանցային փաթեթներ, կամ հատուկ ձևավորված խնդրանքների միջոցով փորձում են «հրապուրել» որոշ թաքնված տվյալներ: Ինչու՞ ընդհանրապես կոտրել համակարգերը: Սա ավելի շուտ հոգեբանական, քան գործնական հարց է: Փաստն այն է, որ իրականում մեքենայական կոտրվածքների բավականին մեծ մասը գալիս է ոչ թե եսասիրական նպատակներից, այլ պարզապես բուն գործընթացի նկատմամբ հետաքրքրությունից: Մարդկանց շրջանում, ովքեր սովորաբար կոչվում են հաքերներ, ոչ միայն նրանք, ովքեր ինչ -որ իրական օգուտ են քաղում, այլև «էնտուզիաստներ», ովքեր կոտրում են ցանցը հանուն կոտրելու: Հնչում է անսպասելի, բայց դա այդպես է, և վիճակագրությունը դա ցույց է տալիս: Բացի այդ, հաճախ բավականին դժվար է մարդուն մեղադրել կատարածի համար, քանի որ երբեմն անհնար է ապացուցել, որ հենց նա և հենց այս համակարգչից է կատարել որոշակի անօրինական գործողություններ: Այնուամենայնիվ, այս հոդվածում մենք քննարկում ենք հաքերներն իրենք իրենց, և ոչ թե դրանց հոգեբանական և իրավական կողմերը, և, հետևաբար, մենք կանցնենք կոնկրետ բաների:
Theանցը կոտրելը, անկախ նրանից, թե որքան ուշադիր է այն իրականացվում և ինչ մեթոդներ էլ կիրառվեն, անխուսափելիորեն հանգեցնում է համակարգի որոշ փոփոխությունների: Սա կարող է լինել լսողական նավահանգիստների, անծանոթ ծրագրերի, գոյություն ունեցող ծրագրերի, հատկապես ps կամ netstat- ի կամ նույնիսկ նոր օգտվողների նոր ցուցակ: Այսպես թե այնպես, բանն այն է, որ ինչ -որ բան պետք է փոխվի, և դա անխուսափելի է: Հետևաբար, առաջին ողջամիտ գործողությունը, որը ես խորհուրդ եմ տալիս կատարել համակարգի տեղադրումից և կազմաձևումից անմիջապես հետո, համակարգի մասին տեղեկատվությամբ ֆայլ ստեղծելն է: Լուսանկարի նման մի բան այն պահին, երբ ամեն ինչ, ինչ պատահում է, ճիշտ ես համարում: Ավելի կոնկրետ ՝ ես նկատի ունեմ netstat, vmstat, անվճար, du, df ծրագրերով տրամադրվող տեղեկատվությունը: Երկրորդ խորհուրդը համակարգի կազմաձևման ֆայլերի և նախնական պարամետրերի կրկնօրինակումն է: Նրանց միմյանց հետ համեմատելը կարող է նաև որոշակի տեղեկատվություն տրամադրել համակարգում վերջին շրջանում տեղի ունեցածի մասին:
Սկսենք ֆայլային համակարգի մոնիտորինգից, որը ներառում է ոչ միայն ֆայլային համակարգի օգտագործման մոնիտորինգ (ինչը կարելի է անել du և df հրամաններով), այլև որոշակի ֆայլերի անփոփոխության ստուգում (օրինակ ՝ համակարգի ֆայլեր): Կան մի շարք ծրագրեր, որոնք կատարում են այս գործառույթները.
- AIDE - ծրագիր, որը թույլ է տալիս ստեղծել ստուգաթերթեր ֆայլերի համար ՝ դրանով իսկ ստուգելով դրանց ամբողջականությունը. թույլ է տալիս օգտագործել բազմաթիվ ալգորիթմներ: http://www.cs.tut.fi/~rammer/aide.html: (Մնացած ծրագրերը կատարում են նմանատիպ գործառույթներ, դրանք բոլորը անվճար են):
- Gog & Magog - ստեղծում է հատկանիշների և ֆայլերի սեփականատերերի ցուցակ, թույլ է տալիս ավտոմատ համեմատություններ կատարել: http://www.multimania.com/cparisel/gog/
- Սենտինել - ստեղծում է ստուգաթերթերօգտագործելով RIPEMD-160bit MAC ալգորիթմը գրաֆիկական ինտերֆեյս... http://zurk.netpedia.net/zfile.html
- SuSEauditdisk- ը անգործունյա սկավառակի վրա տեղադրված ծրագիր է, որը հնարավորություն է տալիս կատարել համակարգի ինքնուրույն ստուգում ՝ անմիջապես բեռնաթափելով անգործունյա սկավառակից: Ստանդարտ մատակարարվում է SuSELinux- ի հետ: http://www.suse.de/~marc
- ViperDB - Ստուգում է ֆայլերի սեփականատերերին և հատկանիշներին `ստեղծելով տեղեկամատյան ֆայլեր, որոնք գրանցում են տեղի ունեցած փոփոխությունները: Hasրագիրն ունի երեք պարամետր. -Init - ստեղծում է տվյալների բազա ֆայլերով, . http://www.resentment.org/projects/viperdb
- Sxid - Ստեղծում է ֆայլերի ստուգաթերթեր և ստուգում հատկանիշներն ու սեփականատերերը: ftp://marcus.seva.net/pub/sxid/
- դայակ - հիշում է ֆայլի ստեղծման ժամանակը: ftp://tools.tradeservices.com/pub/nannie/
- confcollect - հիշում է համակարգի տեղեկատվությունինչպիսին է հաստատվածը ծրագրային ապահովում, երթուղիչի սեղաններ և այլն: http://www.skagelund.com/confcollect/
- Pikt- ը գործիք է, որը պարունակում է ներքին սկրիպտային լեզու ծրագրերի ստեղծումորոնք կատարում են ստանդարտ, բայց չիրականացված հատուկ հրամանների, գործառույթների տեսքով (համակարգի ժամային օգտագործման մոնիտորինգ, երկարատև գործընթացների վերացում, չափի որոշում փոստարկղև այլն): Հասանելի է տարբեր հարթակների համար ՝ Solaris, Linux և FreeBSD: http://pikt.uchicago.edu/pikt/
Կարող եք նաև խոսել ծրագրերի մասին, որոնք կատարում են պահեստային գործառույթներ, բայց, իմ կարծիքով, դա ուղղակիորեն կապված չէ համակարգի անվտանգության հետ, և բացի այդ, տարբեր ստանդարտ գործիքներ ներառված են UNIX բաշխման մեջ: Անվտանգությունը տեղին է միայն այն դեպքում, եթե կրկնօրինակումներդա անհրաժեշտ է անել, բայց դա արդեն նշվել է վերևում:
Այժմ եկեք պարզենք, թե ինչ անել ցանցի հարձակումները կանխելու համար: Իհարկե, դարպասի վրա պետք է տեղադրել firewall: Այսպես թե այնպես, փաթեթների մակարդակի պաշտպանությունն անհրաժեշտ է: Եթե firewall- ը որևէ կերպ շրջանցված է, ապա պահանջվում են հետևյալ ծրագրերը.
- DTK. http://all.net/dtk/
- Psionic PortSentry - վերահսկում է նավահանգստի սկանավորումը: Հիմնական խնդիրն է ստուգել նավահանգիստները սկանավորման համար և ամեն ինչ ցուցադրել տեղեկամատյանում: http://www.psionic.com/abacus/portsentry/
- Psionic HostSentry - Ստեղծում է օգտվողների կողմից մեքենայի օգտագործման մասին տեղեկատվության տվյալների շտեմարան ՝ ցուցադրելով հաղորդագրություն ոչ ստանդարտ ռեսուրսների օգտագործման դեպքում: http://www.psionic.com/abacus/hostsentry/
- Scanlogd - սկանավորում է ցանցային փաթեթները ՝ ստեղծելով տեղեկամատյան ֆայլեր ՝ հիմնվելով կարգավորումների վրա: http://www.openwall.com/scanlogd/
- Firewalls- ը firewall ծրագրերի հավաքական անունն է:
- TCP -WRAPPERS - ծրագրեր, որոնք սահմանափակում են որոշ ռեսուրսների մուտքը անունով կամ համակարգչի համարով: Այս ծրագրերից մի քանիսը հասանելի են ՝ ftp://ftp.porcupine.org/pub/security/
- NFR- ն կառուցվածքում նման է դիպուկահարի (դիպուկահարը ցանցի տրաֆիկին լսելու ծրագիր է): Գրանցում է տեղեկամատյանների ֆայլերը և իրական ժամանակում հայտնաբերում հարձակումները և նավահանգիստների սկանավորում: http://www.nfr.com/
- Networkանցային հարձակումների և դրանց հայտնաբերման վերաբերյալ մանրամասն և օգտակար ՀՏՀ կարելի է գտնել http://www.robertgraham.com/pubs/network-intrusion-detection.html կայքում:
Դժվար է միանշանակ պատասխանել այն հարցին, թե ինչ և ինչպես պետք է արվի ցանցային հարձակումների ժամանակ: Այստեղ շատ բան կախված է ինչպես կոնկրետ ցանցի, այնպես էլ կազմակերպության առանձնահատկություններից, որտեղ այն գտնվում է: Նույնիսկ նույն տիպի հարձակման դեպքում, մի դեպքում, դուք կցանկանաք նախ պահպանել տվյալները, իսկ երկրորդում ՝ կցանկանաք արգելափակել հարձակման աղբյուրը, այսինքն ՝ ամեն ինչ կախված է առաջնահերթություններից: Հարձակումները շատ բարդ խնդիր են այն կազմակերպություններում, որտեղ ցանցի խափանումն անընդունելի է: Այնտեղ ստիպված կլինեք բոլոր գործողությունները կատարել առցանց ՝ հնարավորինս կապ պահելով արտաքին աշխարհի հետ: Բավականին շատ բան կախված է նաև հարձակման բնույթից: Thingանցահենության նպատակով հաքերային հարձակումը մի բան է, իսկ գաղտնիացված տվյալների նպատակային գողությունը ՝ մեկ այլ բան: Թերևս, դա ճիշտ է և ավելի բարդ տարբերակ, երբ հարձակումը կատարվում է ադմինիստրատորին զուգահեռաբար իրականացվող ավելի բարդ և մտածված հակերային հարձակումներից շեղելու նպատակով: Բայց մի կարծեք, որ հարձակումը կարող է լինել միայն դրսից: Դա կարող է լավ սկսվել ներսից: Հնարավոր սցենարը ներքին համակարգում Windows համակարգչի վրա տրոյական ձիու գործարկումն է: Ակնհայտ է, որ դա կարելի է անել պարզապես նամակ ուղարկելով փոստով: Այժմ եկեք ավելի սերտ նայենք դիպուկ ծրագրերին:
Ընդհանրապես հոտ քաշել նշանակում է հոտ քաշել: Հետևաբար, հոտոտողներն այն ծրագրերն են, որոնք այս կամ այն կերպ լսում են ցանցը և դրանով անցնող ամբողջ տեղեկատվությունը: Պատկերացնող օրինակ է գաղտնաբառ, որը գալիս է հստակ տեքստից ներքին համակարգիչսերվերին: Քանի որ փաթեթներն անցնում են ցանցով մինչև հասցեատեր գտնելը, ներքին ցանցի առնվազն մեկ համակարգչի վրա դիպուկահարի տեղադրումը (օրինակ ՝ նամակի օգտագործումը, ինչպես նշվեց վերևում) հարմար գործիքարտաքին կոտրիչի համար: Շատ դեպքերում հոտոտողները բավականին պասիվ են, ինչը դժվարացնում է նրանց հայտնաբերումը: Ստորև բերված է մի քանի դիպուկահար ծրագրերի ցանկ, որոնք կարող են օգտագործվել ցանցում տեղի ունեցող իրադարձությունները վերահսկելու համար.
- Tcpdump- ը ամենահին ծրագիրն է, որն առաքվում է ամբողջ UNIX- ով:
- Sniffit - ունի փաթեթներ զտելու և տեղեկատվությունը տեքստային ձևաչափի թարգմանելու ունակություն. հագեցած գրաֆիկական ինտերֆեյսով: http://sniffit.rug.ac.be/~coder/sniffit/sniffit.html
- Ethereal- ը ցանցային արձանագրությունների անալիզատոր է:
- Snort - նախագծված է ցանցը վերահսկելու համար, կարող է հայտնաբերել նավահանգստի սկանավորում: http://www.clark.net/~roesch/security.html
- Լրտեսը դիպուկահար է, բայց ոչ անվճար: Գործում է մինչև մեկ մեքենայի անվճար մեկանգամյա օգտագործման լիցենզիա: http://pweb.uunet.de/trillian.of/Spy/
Այնուամենայնիվ, չպետք է մոռանալ, որ բացի ծրագրակազմից, կա նաև ապարատային լսողություն, օրինակ ՝ պարզապես այլ համակարգիչ միացնելը կամ պարզապես մալուխին միանալը: Հետաքրքիր է, որ եթե դուք օգտագործում եք բարակ Ethernet (կոաքսիալ մալուխ), կարող եք լսել այն առանց այն բացելու:
- AntiSniff- ը ծրագիր է, որը սկանավորում է ցանցը հոտոտողների համար: Դրա գործունեության սկզբունքը շատ պարզ է. Այն ուղարկում է հարցում, իսկ պատասխանի և արձագանքման ժամանակի ընթացքում որոշում է ՝ այն մշակվում է որևէ այլ ծրագրի կողմից, թե ոչ: http://www.l0pht.com/antisniff/
Մանրամասն և օգտակար դիպուկահարի ՀՏՀ կարելի է գտնել այստեղ: http://www.robertgraham.com/pubs/sniffing-faq.html:
Մեկ այլ տեխնիկա, որը կարող է օգնել կանխել հարձակումները, համակարգն ստուգելն է `օգտագործելով հարձակումները նմանակող ծրագրերը կամ հենց այն ծրագրերը, որոնցով իրականացվում են այդ հարձակումները: Դուք մի տեսակ ստուգում եք համակարգը մարտական պայմաններում: Եթե այս մեքենայի համար պաշտպանությունն իսկապես գերակա խնդիր է, ապա միացնելուց առաջ համակարգի կազմաձևումը ստուգելը շատ կարևոր քայլ է: Ձեր ուշադրությանն եմ ներկայացնում այս ծրագրերից մի քանիսը:
Progրագրեր, որոնք ինքնուրույն սկանավորում են համակարգը ներսից.
- Tiger- ը դեռ մշակման փուլում գտնվող ծրագիր է: ftp://net.tamu.edu/pub/security/TAMU/
- check.pl - Perl սցենար, որը ստուգում է գրացուցակի ծառը և ֆայլերը դրանում և մատնանշում տարբեր կասկածելի հատկանիշներ և սեփականատիրոջ անուններ: http://opop.nols.com/proggie.html
Networkանցային սկաներներ, որոնք մատնանշում են մեկ այլ համակարգի վրա մատչելի ծառայություններ (լավ գաղափար է, օրինակ, ստուգել firewall- ի կարգավորումները).
- Strobe- ը հին, բայց արագ և դեռ արդյունավետ ցանցային սկաներ է: Երբեմն ներառված է UNIX- ի հետ: ftp://suburbia.net/pub/
- Nmap- ը ծրագիր է, որն օգտագործում է նավահանգիստների սկանավորման նոր մեթոդներ և շատ կարգավորելի է: Թույլ է տալիս ստանալ օպերացիոն համակարգի պարամետրեր (անուն, տարբերակ): http://www.insecure.org/nmap/index.html
- Portscanner- ը փոքր նավահանգիստների սկաներ է, որն ունի բազմաթիվ ձևաչափեր ՝ մշակված տեղեկատվության դուրսբերման համար: http://www.ameth.org/~veilleux/portscan.html
- Queso- ն իրականում սկաներ չէ. դա ծրագիր է, որը նախատեսված է հեռավոր համակարգչի վրա օպերացիոն համակարգի տեսակը որոշելու համար: http://www.apostols.org/projectz/queso/
Անվտանգության պոտենցիալ անցքերի համար ծրագրային ապահովման սկանավորումն անկասկած մի քայլ առաջ է նավահանգիստների սկաներներից: Այստեղ կիրառվում է տեղեկատվության վերլուծության ավելի բարձր մակարդակ և որոշվում են ոչ թե բաց նավահանգիստները, այլ այն համակարգի խոցելի տեղերը, որոնցում բաց է այդ նավահանգիստների ճանապարհը: Անվանեմ մի քանի նման ծրագրեր.
- Nessus- ը հաճախորդ-սերվեր հարձակումներին հետևելու ծրագիր է: Կան սերվերներ Linux- ի, FreeBSD- ի, NetBSD- ի և Solaris- ի համար և հաճախորդներ Linux- ի և Windows- ի համար: Բացի նավահանգիստների սկանավորումից և հարձակումներին հետևելուց, ծրագիրը կարող է DNS որոնումներ կատարել ՝ վնասված մեքենայի հետ կապված համակարգիչներ գտնելու համար: http://www.nessus.org/
- Սեյնթը Սատանայի սերնդից է, որը նախկինում ամենահայտնին էր մեքենաների մասին տեղեկություններ հավաքելու համար: Saint- ն օգտագործում է հաճախորդ-սերվեր ճարտարապետություն, սակայն հաճախորդին փոխարինում է վեբ ծրագրով: Հիմնական նպատակը համակարգի պաշտպանության խոցելիության մասին տեղեկատվության հավաքումն է: http://www.wwdsi.com/saint/
- Cheops- ը ծրագիր է, որը կազմում է IP ցանցի միջավայրի քարտեզ ՝ համակարգիչների վրա աշխատող օպերացիոն համակարգի նշումով: http://www.marko.net/cheops/
- SARA (Security Auditor's Research Assistant) - ը Սենթին նման ծրագիր է: Այն կարող է միաժամանակ սկանավորել մի քանի մեքենա, բացի այդ, այն տալիս է աշխատանքի արդյունքը HTML ձևաչափով: http://home.arc.com/sara/
- BASS (Bulk Auditing Security Scanner) ծրագիր է, որի գաղափարախոսությունը հիմնված է այն բանի վրա, որ ինտերնետը պաշտպանված չէ: Հիմնական խնդիրը համակարգերի սկանավորումն է `դրանցում« անվտանգության անցքերի »առկայության համար: http://www.securityfocus.com/data/tools/network/bass-1.0.7.tar.gz
Firewall- ը սկանավորելու և դրա ճիշտ կազմաձևման ստուգման ծրագիրը Firewalk է: Ուղարկելով տարբեր փաթեթներ, ծրագիրը ձգտում է հաշվարկել այն կանոնները, որոնց համաձայն գործում է firewall- ը: http://www.packetfactory.net/firewalk/
Http://www.rootshell.com/ կայքի արխիվը պարունակում է համակարգի պաշտպանության սխալների վերաբերյալ հայտնի տվյալներ և օպերացիոն համակարգի արտադրողների հավելումներին հղումներ, որոնք շտկում են այդ սխալները: Trueիշտ է, երբեմն նման հղման փոխարեն կարող եք տեսնել «Թարմացրեք հաջորդ տարբերակին» հաղորդագրությունը, որը վիրավորական է, հատկապես, եթե համակարգը առևտրային է: Սա, օրինակ, հաճախ տեղի է ունենում IBM AIX- ի դեպքում:
Սրանով ես կցանկանայի ավարտել համակարգերի անվտանգության հետ կապված հարցերի նկարագրությունը Ինտերնետ սերվերներ... Դա նկարագրություն է, ոչ թե գործողությունների ուղեցույց և ոչ մանրամասն տեղեկանք: Իմ հիմնական նպատակը գաղափար տալն էր, թե ինչ պետք է արվի համակարգը պաշտպանելու համար: Հավանական է, որ որոշ դեպքերում որոշ խորհուրդներ ավելորդ կամ պարզապես ավելորդ կթվան, և գուցե տրված ծրագրերի հղումները բավարար չեն լինի: Այնուամենայնիվ, ինձ թվում է, որ UNIX համակարգերի և ցանցերի պաշտպանության հետ կապված հիմնական կետերը այս կամ այն չափով արտացոլվել են: Որոշ մասնավոր հարցեր, թերևս, կքննարկվեն ամսագրի հաջորդ համարներում:
ComputerPress 3 »2001 թ
SSH - (Secure Shell) - ցանցային արձանագրություն, որը թույլ է տալիս Ձեզ Հեռակառավարման վահանակհամակարգչի և ֆայլերի փոխանցում: Ֆունկցիոնալությամբ այն նման է Telnet- ի և rlogin արձանագրություններին, սակայն փոխանցված տեղեկատվության համար օգտագործում է ծածկագրման ալգորիթմներ:
Telnet- ի թերությունները հանգեցրին արձանագրության շատ արագ հեռացմանը ՝ ի օգուտ առավել ապահով և ֆունկցիոնալ SSH արձանագրության: SSH- ն ապահովում է այդ ամենը ֆունկցիոնալությունըորոնք ներկայացվել են telnet- ում ՝ արդյունավետ կոդավորման հավելումով ՝ տվյալների գաղտնալսումը կանխելու համար, ինչպիսիք են օգտվողների անունները և գաղտնաբառերը: SSH հանրային բանալիների նույնականացման համակարգը դա ապահովում է հեռավոր համակարգիչիսկապես այն է, ինչ նա պնդում է, որ ինքն է:
SSH արձանագրության գաղտնագրման անվտանգությունը ամրագրված չէ, հնարավոր է կոդավորման տարբեր ալգորիթմների ընտրություն: Այս արձանագրությանը սատարող հաճախորդներն ու սերվերները հասանելի են տարբեր հարթակների համար: Բացի այդ, արձանագրությունը թույլ է տալիս ոչ միայն օգտագործել մեքենայի վրա ապահով հեռավոր վահանակ, այլ նաև թունելացնել գրաֆիկական ինտերֆեյսը `X Tunneling (միայն Unix- ի նման ՕՀ -ի կամ X Window System գրաֆիկական ինտերֆեյսի կիրառմամբ ծրագրերի համար): SSH- ն նաև ունակ է փոխանցել ցանկացած այլ ցանցային արձանագրություն ապահով կապուղու միջոցով (Port Forwarding) ՝ ապահովելով (պատշաճ կազմաձևով) ոչ միայն X- ինտերֆեյսի, այլև, օրինակ, ձայնի ապահով փոխանցման հնարավորություն:
Այնուամենայնիվ, SSH- ն չի լուծում ցանցի անվտանգության բոլոր խնդիրները: Նա իր ուշադրությունը կենտրոնացնում է միայն ապահովելու վրա անվտանգ աշխատանքծրագրեր, ինչպիսիք են տերմինալային էմուլատորները: Սերվերների և հաճախորդների ծրագրերի վրա SSH արձանագրության իրականացման օգտագործումը օգնում է պաշտպանել տվյալները միայն տարանցիկ փոխադրման ընթացքում: SSH- ը ոչ մի կերպ չի փոխարինում firewall- երին, ներխուժման հայտնաբերման համակարգերին, ցանցային սկաներներին, նույնականացման համակարգերին կամ պաշտպանող այլ գործիքներին Տեղեկատվական համակարգերև հարձակումներից ցանցեր:
39. Սերվերի դերն ու խնդիրները տեղական ցանցում:
Ընդհանուր իմաստով, սերվերը համակարգիչ է, որը, որպես կանոն, ունի բարձր արդյունավետություն և հաշվողական այլ ռեսուրսներ, որոնք նախատեսված են տեղական կամ գլոբալ ցանցի համակարգիչների համար որոշակի հնարավորություններ ապահովելու համար: Այս հնարավորությունները կոչվում են ցանցային ծառայություններ .
Սերվերի առաջադրանքներ.
1. կազմակերպության սերվերային սկավառակների վրա պահվող տվյալների հասանելիության ապահովում.
2. պահպանել, մշակել և մուտք գործել ընկերության տվյալների շտեմարաններ.
3. օգտագործողի կողմից իրեն ուղարկված տվյալների ծրագրավորված մշակում և այս օգտագործողին տալիս է վերջնական արդյունքները.
4. վեբ կայքի առաքում այն օգտագործողին, ով այն պահանջում է.
5. ուղարկելը, ստանալը, պահելը և տարածելը էլորոնք ուղարկվում են տեղական ցանցի բոլոր օգտվողների կողմից:
Networkանցային ծառայություններ:
Վերջնական օգտագործողի համար ցանցը համակարգիչներ, մալուխներ և հանգույցներ չեն, կամ նույնիսկ տեղեկատվական հոսքեր, նրա համար ցանցը, առաջին հերթին, այն ցանցային ծառայությունների շարք է, որով նա կարող է դիտել ցանցում գտնվող համակարգիչների ցանկը, կարդալ հեռավոր ֆայլ, փաստաթուղթ տպել «օտար» տպիչի վրա կամ փոստով հաղորդագրություն ուղարկել: Տրամադրված հնարավորությունների ամբողջությունն է `որքան լայն է նրանց ընտրությունը, որքան հարմար, հուսալի և ապահով են դրանք, որոնք որոշում են օգտագործողի համար որոշակի ցանցի տեսքը:
Ի լրումն տվյալների իրական փոխանակման, ցանցային ծառայությունները պետք է լուծեն այլ, ավելի կոնկրետ առաջադրանքներ, օրինակ ՝ բաշխված տվյալների մշակմամբ առաջացած առաջադրանքներ: Նման առաջադրանքները ներառում են տարբեր մեքենաներում տեղադրված տվյալների մի քանի պատճենի հետևողականության ապահովում (կրկնօրինակման ծառայություն) կամ ցանցի մի քանի մեքենաների վրա մեկ առաջադրանքի կատարման կազմակերպում (հեռակա կարգով զանգերի ծառայություն): Theանցային ծառայությունների շարքում կարելի է առանձնացնել վարչականները, այն է ՝ նրանք, որոնք հիմնականում կենտրոնացած են ոչ թե պարզ օգտվողի, այլ ադմինիստրատորի վրա և ծառայում են որպես ամբողջ ցանցի ճիշտ աշխատանքի կազմակերպմանը:
Իրականացվում է ցանցային ծառայությունների իրականացում ծրագրային ապահովման միջոցով... Հիմնական ծառայությունները `ֆայլերի և տպագրության ծառայությունները, սովորաբար մատուցվում են ցանցի օպերացիոն համակարգի կողմից, մինչդեռ օժանդակ ծառայությունները, ինչպիսիք են տվյալների բազան, ֆաքսը կամ ձայնային ծառայությունը, տրամադրվում են համակարգային ցանցային ծրագրերի կամ կոմունալ ծառայությունների միջոցով, որոնք սերտորեն համագործակցում են ցանցի օպերացիոն համակարգ: Ընդհանուր առմամբ, ծառայությունների բաշխումը ՕՀ -ի և կոմունալ ծառայությունների միջև բավականին կամայական է և տատանվում է ՕՀ -ի որոշակի իրականացման մեջ:
«Թափանցիկություն» տերմինը հաճախ օգտագործվում է ընդհանուր ռեսուրսի հարմարավետությունը սահմանելու համար: Թափանցիկ մուտքն այն հասանելիությունն է, որի դեպքում օգտվողը չի նկատում, թե որտեղ է գտնվում իրեն անհրաժեշտ ռեսուրսը `իր համակարգչում կամ հեռակա: Այն բանից հետո, երբ նա տեղադրեց հեռավոր ֆայլային համակարգը իր գրացուցակի ծառի մեջ, մուտք գործեք ջնջված ֆայլերնրա համար դառնում է լիովին թափանցիկ: Մոնտաժման գործողությունն ինքնին կարող է ունենալ նաև թափանցիկության այլ աստիճան. Ավելի քիչ թափանցիկությամբ ցանցերում օգտագործողը պետք է իմանա և հրամանի մեջ նշի այն համակարգչի անունը, որի վրա պահվում է հեռավոր ֆայլային համակարգը. Ավելի բարձր թափանցիկություն ունեցող ցանցերում: , ցանցի համապատասխան ծրագրային բաղադրիչը որոնում է ֆայլերի ընդհանուր ծավալներ `անկախ դրանց գտնվելու վայրից: պահեստավորում, այնուհետև դրանք տրամադրում օգտվողին հարմար ձևով, օրինակ` ցուցակի կամ պատկերակների հավաքածուի տեսքով:
Sharedանցի ընդհանուր ռեսուրսների հասցեագրման (անվանակոչման) եղանակը կարևոր է թափանցիկության համար: Համօգտագործվող ցանցային ռեսուրսների անունները չպետք է կախված լինեն որոշակի համակարգչում դրանց ֆիզիկական գտնվելու վայրից: Իդեալում, օգտագործողը չպետք է որևէ բան փոխի իր աշխատանքում, եթե ցանցի ադմինիստրատորը ձայնը կամ գրացուցակը մեկ համակարգչից տեղափոխել է մյուսը: Ինքը ՝ ադմինիստրատորը և ցանցը օպերացիոն համակարգունենալ գտնվելու վայրի մասին տեղեկություններ ֆայլային համակարգեր, բայց այն թաքնված է օգտագործողից: Թափանցիկության այս աստիճանը դեռ հազվադեպ է հանդիպում ցանցերում. Սովորաբար, որոշակի համակարգչի ռեսուրսներին մուտք գործելու համար նախ պետք է դրա հետ տրամաբանական կապ հաստատել: Այս մոտեցումը օգտագործվում է, օրինակ, Ի Windows ցանցեր NT
