SSH (Drošs apvalks- Aizsargāts apvalks) ir tīkla protokols, kas nodrošina drošu autentifikāciju, savienojumu un drošu datu pārsūtīšanu starp tīkla saimniekiem, šifrējot caur to plūstošo datplūsmu, ar iespējamu datu saspiešanu. Vēl viena svarīga funkcionāla iezīme ir iespēja izveidot drošus, šifrētus tuneļus drošai pārraidei nedrošā vidē (piemēram, internetā), citiem tīkla protokoliem, kā arī ar iespēju saspiest datplūsmu. Turklāt protokols SSH lieliski darbojas ar vienas mašīnas ostu pārsūtīšanu (pārsūtīšanu, pārsūtīšanu) uz otras ostām, ieskaitot attālo klientu pārsūtīšanu XWindow... Tagad protokols SSH, ir standarts, un to plaši izmanto, piemēram, serveru sistēmām, tas ir, dažādu komandu un manipulāciju izpildi servera apvalkā, izmantojot drošu savienojumu, failu kopēšanu tīklā, piemēram, datu dublēšanu.
Protokols SSH, pastāv divās versijās - komerciālā versijā, ko izstrādājusi SSH inc un bezmaksas, atvērtā koda, OpenSSH ko galvenokārt izmanto lielākajā daļā serveru platformu. Īstenošana OpenSSH, ir pieejams jebkurā Unix saimes operētājsistēmā un lielākajā daļā SSH serveris un SSH klienti ir standarta komunālie pakalpojumi. Viss, kas rakstīts zemāk, attieksies OpenSSH un FreeBSD operētājsistēmu. Ir divas protokola versijas SSH nav saderīgi viens ar otru. Pirmā protokola ieviešana SSH, SSH - 1, tika izstrādāta 1995. Otrā versija, SSH - 2, izlaists 1996. 2006. gadā protokols SSH IETF pieņēma kā interneta standartu. Tagad plaši tiek izmantota otrā protokola versija. SSH jo, pirmkārt, protokols SSH versija, cieta no nopietnām ievainojamībām, otrkārt, 2. versijā tiek izmantoti jaudīgāki šifrēšanas algoritmi, turklāt tā atbalsta iespēju atklāt apzinātu datu bojājumu. Šifrēšanas algoritmi:
- SSH protokola 1. versija DES, 3DES, blowfish
- SSH protokola 2. versija AES-128, AES-192, AES-256, blowfish, CAST-128, ArcFour
- SSH protokola 1. versija
- SSH protokola 2. versija HMAC-MD5, HMAC-SHA-1, HMAC-RIPEMD
SSH autentifikācijas metodes, OpenSSH programmatūras pakotne
Protokola drošība SSH ko nodrošina šādi programmatūras risinājumi:- Visas caurbraucamās satiksmes šifrēšana SSH savienojums, kas veikts saskaņā ar vienu no iespējamiem algoritmiem, kas izvēlēts saziņas sesijas pušu sarunu laikā. Savienojuma trafika šifrēšana neļauj to pārtvert un izmantot ļaunprātīgos nolūkos. Izvēloties dažādus šifrēšanas algoritmus, sistēma kļūst ļoti elastīga, ļaujot, piemēram, neizmantot algoritmus, kuros konstatētas ievainojamības vai iespējamie drošības draudi, vai izmantot tikai tos algoritmus, kurus atbalsta katra no pusēm;
- Autentifikācija SSH serveris vienmēr tiek izpildīts ar jebkuru savienojumu, kas neļauj nomainīt trafiku vai pašu serveri;
- Autentifikācija SSH var rasties klients Dažādi ceļi, kas, no vienas puses, padara autentifikācijas procesu drošāku, no otras puses, padara sistēmu vēl elastīgāku, atvieglojot darbu ar to;
- Tīkla pakešu integritātes kontrole ļauj izsekot nelikumīgām izmaiņām savienojuma trafikā, ja tiek konstatēts šis fakts, savienojums tiek nekavējoties pārtraukts;
- Pagaidu autentifikācijas parametri neļauj izmantot pārtvertus un pēc kāda laika atšifrētus savienojuma datus.
- GSSAPI bāzes autentifikācija
- Pamatojoties uz saimniekdatoru autentifikācija;
- Lietotāja autentifikācija, izmantojot publisko atslēgu;
- Izaicinājuma-atbildes autentifikācija ( izaicinājums-atbilde);
- Visbeidzot, parastā lietotāja autentifikācija, izmantojot paroli;
- sshd patiesībā ir SSH serveris, dēmonu programma;
- ssh- klientu programma, kas ir kļuvusi par aizstājēju rlogin un telnet;
- scp- programma attālai kopēšanai, izmantojot protokolu SSH, nomaiņa rcp;
- sftp- drošs ftp klients;
- sftp-serveris- apakšsistēma, kas nodrošina failu pārsūtīšanu, izmantojot protokolu SSH;
- ssh-keygen- atslēgu ģenerators
- ssh-taustiņi- publisko resursdatora atslēgu "savācējs";
- ssh-aģents- autentifikācijas aģents privāto atslēgu glabāšanai;
- ssh-add- neliela programma atslēgu pievienošanai ssh-aģents;
SSH ļauj izvēlēties dažādus šifrēšanas algoritmus. SSH klienti un SSH serveri ir pieejami lielākajai daļai tīkla operētājsistēmu.
| SSH | |
|---|---|
| Vārds | Drošs apvalks |
| Līmenis (OSI modelis) | Piemērots |
| Ģimene | TCP / IP |
| Ports / ID | 22 / TCP |
| Protokola mērķis | Attālā piekļuve |
| Specifikācija | RFC 4251 |
| Galvenās ieviešanas (klienti) |
Difija-Helmena (DH) algoritms tiek izmantots, lai izveidotu koplietojamu noslēpumu (sesijas atslēgu). Lai šifrētu pārsūtītos datus, tiek izmantota simetriska šifrēšana, algoritmi AES, Blowfish vai 3DES. Datu pārsūtīšanas integritāti pārbauda, izmantojot CRC32 SSH1 vai HMAC -SHA1 / HMAC -MD5 SSH2. Šifrētos datus var saspiest, izmantojot algoritmu LempelZiv (LZ77), kas nodrošina tādu pašu saspiešanas līmeni kā ZIP arhivētājs. SSH saspiešana ir iespējota tikai pēc klienta pieprasījuma, un praksē to reti izmanto. Standarti un programmatūras ieviešanaProtokola pirmo versiju SSH-1 1995. gadā izstrādāja pētnieks Tatu Ulönens no Helsinku Tehnoloģiskās universitātes (Somija). SSH-1 tika uzrakstīts, lai nodrošinātu lielāku privātumu nekā rlogin, telnet un rsh protokoli. 1996. gadā tika izstrādāta drošāka protokola versija SSH-2, kas nebija saderīga ar SSH-1. Protokols ieguva vēl lielāku popularitāti, un līdz 2000. gadam tam bija aptuveni divi miljoni lietotāju. Pašlaik termins "SSH" parasti nozīmē tieši SSH-2, jo pirmā protokola versija būtisku trūkumu dēļ tagad praktiski netiek izmantota. Ir moduļi SSH izmantošanai Python, piemēram, python-paramiko un python-twisted-conch. SSH tunelēšanaSSH tunelis ir tunelis, kas izveidots, izmantojot SSH savienojumu un tiek izmantots tunelēto datu šifrēšanai. To izmanto, lai nodrošinātu datu pārraidi internetā (IPsec mērķis ir līdzīgs). Nosūtot pa SSH tuneli, jebkura protokola nešifrētā datplūsma tiek šifrēta vienā SSH savienojuma galā un atšifrēta otrā. Praktisko ieviešanu var veikt vairākos veidos:
$ ssh -L 4430: jabber.example.com: 443 somehost V Šis gadījums Jabber klients ir konfigurēts, lai izveidotu savienojumu ar localhost servera 4430 portu (ja ssh klients darbojas tajā pašā datorā, kurā darbojas Jabber klients). Lai izveidotu ssh tuneli, jums ir nepieciešama mašīna, kurā darbojas ssh serveris, un piekļuve vietnei jabber.example.com. Šo konfigurāciju var izmantot, ja piekļuvi vietnei jabber.example.com no lokālās mašīnas aizver ugunsmūris, bet ir piekļuve kādam ssh serverim, kuram nav interneta piekļuves ierobežojumu. |
SSH (Secure Shell) ir tīkla protokols attālā piekļuve kas pārsūtītajiem datiem izmanto šifrēšanu un saspiešanu. Vienkārši sakot, tas ir ļoti noderīgs un spēcīgs rīks, kas ļauj autentificēties sistēmā un pilnībā strādāt vārdā vietējais lietotājs atrodoties daudzu kilometru attālumā no darbojošās mašīnas. Tāpat atšķirībā no telnet un rsh - SSH šifrē visu trafiku, lai visa pārsūtītā informācija paliktu konfidenciāla.
Tātad, mums jau ir instalēts ssh, un ssh-dēmons tiek pievienots startēšanai sistēmas startēšanas laikā. To var kontrolēt ar komandu:
pakalpojuma ssh stop | start | restart
Ubuntu vai:
/etc/init.d/ssh (sākt | apturēt | pārlādēt | piespiest atkārtoti ielādēt | restartēt | statuss)
Debian vai:
systemctl start | stop | restart sshd.service
ArchLinux (pēc katras konfigurācijas rediģēšanas jums ir jārestartē). Komplektā ietilpst klients un serveris.
Izmēģināsim to darbībā! Vispirms izveidojiet mapi ~ / .ssh
mkdir ~ / .ssh
Ģenerējiet atslēgas dotais lietotājs serveris ar komandu:
ssh-keygen (kā parasts lietotājs).
Ģenerējot, jūs varat iestatīt atslēgas ieejas frāzi (ieteicams iestatīt garu - tad pat ieguvis atslēgu, bet nezinot paroli no atslēgas, uzbrucējs nevarēs pieteikties), vai arī izlaidiet to, vienkārši nospiežot "Enter" - šajā gadījumā parole nekad netiks prasīta. Mapē ~ / .ssh parādījās tās pašas publiskās un privātās atslēgas.
Atrodiet citu mašīnu (pat viedtālrunis to darīs - Android ierīcē ir daži lieliski SSH klienti, piemēram, ConnectBot vai JuiceSSH), instalējiet tajā ssh un izveidojiet savienojumu ar serveri ar komandu:
Ja viss ir izdarīts pareizi, jums tiks prasīts ievadīt lietotāja paroli, un pēc ievadīšanas jūs atradīsit savu sistēmu ar skatu no komandrindas.
Starp citu, operētājsistēmai Windows ir arī ssh serveri un klienti.
Izbaudot mūsu darba rezultātu, ķersimies pie vēl garlaicīgākas daļas - klienta / servera iestatīšanas.
Klienta puses konfigurācija ir iekļauta / etc / ssh / ssh_config un serveris - / etc / ssh / sshd_config... Lielākā daļa pilnīga vadība konfigurācijai, iespējams, ir lapa man - man ssh un man sshd_config, tāpēc iesakām to izlasīt. Un šajā rakstā mēs apsvērsim nepieciešamākās lietas.
Pielāgošana
Standarta ssh ports ir 22. To var mainīt uz jebkuru nestandarta portālu (apgrūtinot uzlaušanu drošības dēļ aiz tumsas vai piesaistot potenciālo uzbrucēju uzmanību :) - lai to izdarītu, komentējiet rindu:
#Osta 22
Un pievienojiet visu, ko vēlaties, līdz 65535 (pārliecinoties, vai ports ar komandu nav pretrunā ar citiem pakalpojumiem #netstat -tupln | grep KLAUSIES).
Tagad, izveidojot savienojumu ar serveri, klientam būs jāraksta ar atslēgu:
ssh -p [ports]:
Pēc noklusējuma root piekļuve ir atļauta. Ir ļoti ieteicams to ierobežot (un tā vietā pareizi norobežot vietējās lietotāju tiesības, izmantojot sudo). Lai to izdarītu, atrodiet rindu "PermitRootLogin" un mainiet vērtību uz "nē". Varat arī mainīt to uz "bez paroles" - šajā gadījumā pieteikšanās zem root būs atļauta tikai no mašīnām ar uzticamu atslēgu.
Jūs varat atspējot paroles autentifikāciju un strādāt tikai ar atslēgām - atrodiet rindu: "PasswordAuthentication" un mainiet vērtību uz "nē". Priekš kam? Ja kāds patiešām vēlas piekļūt jūsu sistēmai, viņš var vai nu brutāli piespiest paroli, mēģinot autorizēt, vai arī klausīties un atšifrēt jūsu savienojumu. Ja atspējojat paroles autentifikāciju un pievienojat ~ / .ssh / Author_keys taustiņiem serverī jūsu, piemēram, darba klēpjdatora publisko atslēgu, tad, kā mēs atceramies, mēs tiksim nekavējoties ielaisti serverī. Bet ko darīt, ja jūs strādājat pie kāda cita mašīnas un jums steidzami jāpiekļūst ssh serverim, bet tas, kā gaidīts, mūs nelaidīs iekšā? Tad jūs nevarat atspējot paroles autentifikāciju, bet izmantojiet utilītu fail2ban. Vienkārši instalējiet to no krātuves, pēc tam tā lietos noklusējuma iestatījumus un vismaz aizsargās jūsu ssh kanālu no brutāla spēka uzbrukumiem. Vairāk par fail2ban - http://putty.org.ru/articles/fail2ban-ssh.html.
Ja kodolraķešu palaišanas atslēgas tiek saglabātas jūsu serverī, varat rīkoties šādi:
PermitRootLogin nē - pieteikšanās zem saknes ir aizliegta.
Parole Autentifikācijas Nr. - pieteikšanās bez paroles
Izveidosim garu atslēgu attālajā mašīnā (-t encryption_type, -b bit length):
ssh -keygen -t rsa -b 4096
Ar tikpat sarežģītu ieejas frāzi (atgūt aizmirsta parole, starp citu, jūs nevarat. Jūs to varat mainīt ar komandu "ssh -keygen -p", bet jums tik un tā tiks prasīts vecais). Pārsūtīsim attālās lokālās mašīnas publisko atslēgu uz servera ~ / .ssh / autorizētajiem_taustiņiem un voila - tagad piekļuvi var iegūt no vienas mašīnas, izmantojot privātās atslēgas ieejas frāzi. SSH ļauj iestatīt daudz drošības konfigurāciju, un tam ir daudz īpašu iestatījumu - par tiem lasiet cilvēkā.
Abām sshd_config opcijām ir viens un tas pats mērķis:
LoginGraceTime- iestata laiku, pēc kura savienojums tiks atvienots, ja autentifikācija nenotiks.
MaxAuthTries- iestata nepareizu mēģinājumu ievadīt pieteikumvārdu skaitu, pēc kura savienojums tiks pārtraukts.
Maksimālās sesijas- vienlaicīgu sesiju skaits (ja serveris ir jūsu mājas dators, ar kuru jūs gatavojaties izveidot savienojumu no universitātes vai darba, tad būtu saprātīgi ierobežot sesiju skaitu līdz vienai - šajā gadījumā tiks atteikta pieteikšanās kļūt par iemeslu paranoijas palielināšanai, jaunu atslēgu ģenerēšanai un paroles maiņai). Tomēr, ja esat uzmanīgs, iespējams, pamanījāt, ka rindiņa "Pēdējā pieteikšanās" tiek parādīta katrā pieteikšanās reizē serverī. Papildus tam varat pievienot savu sveiciena ziņojumu - atrodiet rindiņu "Banner" un neviena vietā iestatiet ceļu uz failu ar tekstu, kas tiks lasīts un parādīts, piesakoties.
Cita starpā varat atļaut pieteikties tikai noteiktiem lietotājiem vai atļaut visiem, izņemot noteiktus lietotājus:
AllowUsers lietotājs1- atļaut ievadīt tikai lietotājam1.
DenyUsers lietotājs1- atļaut visiem, izņemot lietotāju1.
Un līdzīgi piekļuves parametri noteiktas grupas- AllowGroups un DenyGroups.
Varat arī SSH X11 sesiju. Lai to izdarītu, atrodiet rindu "ForwardX11" un mainiet vērtību uz "jā".
Atrodiet līdzīgu rindu klienta konfigurācijā - / etc / ssh / ssh_config, kā arī mainiet uz "jā".
Tagad jums ir jāizveido savienojums ar serveri, izmantojot ssh, izmantojot argumentu -X:
ssh -X [e -pasts aizsargāts]>
Kad savienojums ir izveidots, varat nekavējoties palaist lietojumprogrammu:
ssh -X [e -pasts aizsargāts]"pieteikums"
Šādi izskatās GIMP, kas darbojas ssh sesijā:
Vai arī jūs varat iegūt rezultātu no nenojaušama lietotāja klēpjdatora tīmekļa kameras :)
Aprēķini tiek veikti tieši uz servera, un izvade tiek nosūtīta uz klienta mašīnu (tas ir, pat ja pašā serverī nav instalēta X11, grafiskās lietojumprogrammas var tikt atveidotas jūsu attālajā datorā). Šī shēma darbojas diezgan lēni (neaizmirstiet, ka visa trafika ir dinamiski šifrēta) - taču šī funkcija ir ļoti noderīga.
Varat arī kopēt failus SSH sesijas laikā - tam ir vienkārša "scp" utilīta. Jūs varat pārsūtīt failus tieši sesijas laikā no servera uz klientu:
scp [e -pasts aizsargāts]: / path / to / file / on / server / where / save / on / local / machine
Tātad no klienta uz serveri:
scp ceļš / uz / fails / klients [e -pasts aizsargāts]: / path / on / server
Tas ir diezgan ērti, ja jums ir jākopē mācību grāmata vai fotoattēls, bet ko darīt, ja jums ir jāstrādā ar daudziem failiem? Tam ir ļoti ērta lieta - sshfs (pieejams instalēšanai lielākās daļas * nix -sistēmu krātuvēs).
Vienkārši iestatiet ceļu, piemēram, scp:
sshfs [e -pasts aizsargāts]: / home / user / mnt /
Un servera / home / user mape parādīsies vietējās mašīnas / mnt stiprinājuma vietā!
Demontāža tiek veikta, izmantojot umount.
Un visbeidzot, parunāsim par vienu mazpazīstamu funkciju. Ja izveidojat failu /.ssh/config un aizpildiet to šādi:
Saimnieks [vārds]
Saimnieka nosaukums
Lietotājs [servera lietotājvārds]
vēlamās iespējas
patīk
ForwardX11 jā
Osta 30000
Tad mēs varam pieteikties, izmantojot:
ssh [vārds]
ssh -X -p 30000 [e -pasts aizsargāts]
Un visas iespējas tiks atlasītas automātiski. Tādējādi, bieži veicot autentifikāciju noteiktā serverī, jūs vienkāršosit šo procesu līdz pāris mirkļiem.
Nu, mēs aptvērām visu (un pat vairāk), kas jums jāzina par SSH tā ikdienas lietošanai - mēs iemācījāmies izmantot atslēgu autentifikāciju, aizsargājām serveri no brutāla spēka uzbrukumiem un kopumā aizlāpījām lielāko daļu iespējamo caurumu. Patiesībā SSH var darīt daudzas citas lietas - piemēram, tuneļus un portu pāradresāciju, izmantojot ssh sesiju, taču maz ticams, ka jūs kā parasts lietotājs to kādreiz izmantosit. Papildu resursi
Ievads
Iepriekšējā numurā rakstā par interneta serveru drošību tika aktualizēti jautājumi, kas saistīti ar interneta servera platformas un operētājsistēmas izvēli, servera drošību kopumā, tika stāstīts par darbu ar lietotājiem, kā nu apmēram ugunsmūra iestatījumi... Ļaujiet man jums īsi atgādināt, ka mēs apsveram neliela biroja vai mājas tīkla administrēšanu, ja jums ir viens vai divi īpaši datori. Pirmajā gadījumā, kad viens dators ir ugunsmūris un pasta serveris, Web serveris un varbūt ftp serveris. Vienkārši sakot, īpašs dators tiek izmantots kā sava veida kopīgs resurss. Otrajā gadījumā, kas nozīmē lielu tīklu, viens dators tiek izmantots kā vārteja un ugunsmūris, bet otrs - kā pasta serveris, tīmekļa serveris utt. Principā otrā metode ir vēlama, jo jūs fiziski nodalāt vārteju kā pirmā iespējamā hakeru uzbrukuma objektu un no koplietots serveris tīklos. Jebkurā gadījumā nākotnē jūs varat abstrahēties no veltīto datoru skaita, atceroties, ka pat tad, ja tie ir divi, nav saprātīgi tos ielādēt ar citiem uzdevumiem.
Viss turpinājums turpina iepriekšējā raksta rindu, pieņemot, ka Linux mašīna tiek izmantota kā serveris un lietotājs ir iepazinies ar Linux un tīkla izveidi pamata līmenī. Šo piemēru idejas ir aizgūtas no dažādām Linux apmācībām. Tātad, kādus jautājumus mēs izskatīsim šoreiz? Pirmkārt, servera lietojumprogrammas, kuras vēlaties instalēt serverī. Otrkārt, tīkla uzbrukumi (ieskaitot vīrusu tipus Linux un Trojas zirgos) un to novēršanas metodes. Kāpēc šie jautājumi ir apvienoti vienā rakstā? Fakts ir tāds, ka parasti uzlaušana notiek vai nu administratora nolaidības dēļ, vai arī nepilnību dēļ servera lietojumprogrammu aizsardzībā. Klients, kā norāda pats vārds, nekontrolē sistēmas resursus, tāpēc ir acīmredzams, ka tieši serveri var būt uzbrukuma objekts.
Aizsardzība pret servera lietojumprogrammām
Ikviens, kurš pārzina UNIX, saprot, ka gandrīz jebkurš tīkla programma var izmantot gan kā klientu, gan kā serveri. Pirmajā gadījumā jūs izmantojat pakalpojumus, otrajā - jūs tos sniedzat. Ir skaidrs, ka tīkla pakalpojumā ir nepieciešamas abas daļas. Jautājums ir par to, kādas servera programmas ir nepieciešamas jūsu tīkla serverim. Instalējot Linux, jūs, protams, varat izvēlēties vismaz visu, jo instalēšana diskā vēl nenozīmē sākšanu. Bet kurus aktivizēt vēlāk? Ir vienkārša recepte, kuras es pats vienmēr ievēroju, strādājot ar serveriem - jo mazāk aktivizētu serveru, jo labāk (vispārīgāk: jo grūtāka lieta, jo vieglāk to salauzt). Neatkarīgi no tā, cik daudz jūs runājat par UNIX uzticamību, šeit regulāri tiek atklāti un laboti caurumi. Tāpēc, jo mazāk programmu palaižat, jo mazāk jums tās būs jāuzrauga. Reālajā dzīvē, protams, tam nevajadzētu būt tam, ka jūs aizliedzat lietotājiem burtiski visu. Tas, protams, ir droši, bet kāpēc uztraukties ar administratoru? Tomēr nevajadzīgas lietas, piemēram, wais, noteikti nevajadzētu likt.
Telnet un ssh
Tagad pievērsīsimies tuvāk tam, kas patiešām vajadzīgs gan iekšējiem, gan ārējiem lietotājiem. Mums ir nepieciešams telnet un ssh (drošs apvalks). Varbūt šī nav ļoti ērta piekļuve, bet tā ir nepieciešama, vismaz administratoriem. Šī ir programma, kas nodrošina piekļuvi termināļa režīmā, kad datorā parādās 80x25 rakstzīmju logs, kas pilnībā atspoguļo izsaukto serveri. Jūs varat izpildīt jebkuru komandu un palaist programmas, kurās netiek izmantota grafika - kopumā tas ir parasts attālais terminālis. Atšķirība starp telnet un ssh izriet no nosaukumiem, bet tomēr paskaidrosim: telnet pārraida informāciju neaizsargāti, pat parole tiek pārraidīta tīklā skaidrā tekstā, un ssh šifrē visu nosūtīto informāciju. Ja vēlaties būt vairāk vai mazāk pārliecināts par aizsardzību, atspējojiet telnet izmantošanu vai nesāciet to vispār. Nu, ja jūs joprojām vēlaties to izmantot, tad, protams, jums ir jāizmanto ugunsmūris. Standarta komandas var būt šādas:
par ipfwadm -
Ipfwadm -I -a pieņem -P tcp -S 10.0.0.0/8 -D 0.0.0.0/0 23 ipfwadm -I -a pieņem -P tcp -S some.trusted.host -D 0.0.0.0/0 23 ipfwadm - Es noliedzu -P tcp -S 0.0.0.0/0 -D 0.0.0.0/0 23
ipchains -
ipchains -A ievade -p all -j ACCEPT -s 10.0.0.0/8 -d 0.0.0.0/0 23
Ipchains -A ieeja -p viss -j ACCEPT -s some.trusted.host -d 0.0.0.0/0 23 ipchains -A input -p all -j DENY -s 0.0.0.0/0 -d 0.0.0.0/0 23
Varat arī izmantot failus /etc/hosts.allow un /etc/hosts.deny, kuriem jums vajadzētu rakstīt:
pirmajā failā -
In.telnetd: 10.0.0.0/255.0.0.0, some.trusted.host
otrajā failā -
In.telnetd: ALL
Ņemiet vērā, ka pat tad, ja šie noteikumi ir iespējoti, jebkura programma, kas tīklā klausās kaut kur paciņu ar paroli, var to pārtvert.
Divi citi svarīgi faili ar informāciju, kas saistīta ar sistēmas drošību, ir / etc / securetty un / etc / shells. Pirmajā ir norādīti termināļi, no kuriem root lietotājs var pieteikties. Lielākajā daļā sistēmu pēc noklusējuma saknes lietotājs var pieteikties tikai no konsoles. Otrais fails norāda derīgu iesaiņojumu sarakstu, kurus var palaist, kad lietotājs piesakās. Jauks piemērs, ko es paņēmu no Linux rokasgrāmatas, ir passwd izmantošana kā apvalks. Tas lietotājiem nodrošina vienkāršu paroles maiņu, kā arī nodrošina, ka termināļa režīmā viņi nedara neko citu. Lai to izdarītu, ievadiet failu passwd failā / etc / shells, tas ir, ievadiet rindu:
/ usr / bin / passwd
un failā / etc / passwd ierakstiet par lietotāju:
Lietotājvārds: x: 1000: 1000 :: / mājas / lietotājvārds: / usr / bin / passwd
Tagad, kad lietotājs piesakās tīklā, viņš var mainīt tikai paroli. Izeja uz termināli izskatās šādi:
Mēģina 1.2.3.4 ... Savienojums ar localhost. Bēgšanas varonis ir "^]". Red Hat Linux izlaidums 5.2 (Apollo) kodols 2.2.5 uz i586 pieteikšanās: testeris Parole: Paroles maiņa testerim (pašreizējā) UNIX parole: Jauna UNIX parole: Atkārtoti ierakstiet jaunu UNIX paroli: passwd: visi autentifikācijas žetoni ir veiksmīgi atjaunināti Savienojums slēgts ar svešu saimnieks.
Pat ja mēģinājums nomainīt paroli bija neveiksmīgs, tas tiks atvienots no sistēmas. Savienojot, jums jāpievērš uzmanība arī starta izvadam: telnet godīgi raksta sistēmas nosaukumu un versiju. Kopumā tas ir ērti, taču šajā gadījumā jūs sniedzat potenciālajam hakerim informāciju, ko viņš var izmantot saviem mērķiem. Kā no tā izvairīties? Kad lietotājs piesakās, telnet parāda failu /etc/issue.net, kas izveidots sistēmas palaišanas laikā. To izveido komandas rc.local failā:
# Tas pārrakstīs / etc / issue katrā sāknēšanas reizē. Tātad, veiciet visas izmaiņas, kuras # vēlaties veikt / etc / issue šeit, pretējā gadījumā jūs tās pazaudēsit. echo ""> / etc / issue echo "$ R" >> / etc / issue echo "Kernel $ (uname -r) $ a $ (uname -m)" >> / etc / issue cp -f / etc / jautājums /etc/issue.net echo >> / etc / issue
Tāpēc, ja jūs nepārslogojat sistēmu, varat vienkārši rediģēt failu /etc/issue.net, pretējā gadījumā rediģējiet pašu rc.local. Jebkurā gadījumā telnet ir ieteicams tikai tad, kad tas tiešām ir nepieciešams, un to nevar aizstāt ar ssh.
Ssh ir līdzīgs telnet no lietotāja viedokļa. Atšķirībā no telnet, kas izmanto portu 23, tas izmanto 22, taču galvenā iekšējā atšķirība ir tā, ka visa trafika ir šifrēta. Visos citos aspektos tie ir līdzīgi. Sistēmai ssh varat izmantot tos pašus ugunsmūra noteikumus (aizstājot porta numuru) un iestatījumus failos /etc/hosts.allow, /etc/hosts.deny. Jauka iezīme ir sava konfigurācijas faila / etc / sshd / sshd_config klātbūtne, kurā ir šādas konfigurācijas rindas:
Ports 22 # porta numurs, kas var būt vairāk nekā 22 ListenAddress 0.0.0.0 # kas adresē HostKey dēmonu 768 # koda garums bitos LoginGraceTime 300 # vārda un paroles ievadīšanas laiks jā # stingrs režīms, lietotāju kļūdu bloķēšana, piemēram, paroles ievadīšana 5 reizes # vai nejauša prese ievadiet QuietMode nē # jā - vispār nerakstīt žurnālfailu un nē - citādi X11Pārsūtīt nē # nosūtīt X servera informāciju, izmantojot ssh kanālu fašistsLogging nē # žurnālfailu pilnīguma pakāpe PrintMotd jā # parādīt kādu dienas frāzi KeepAlive jā # uzturēt saziņa, nodrošinot standarta atvienošanu # izmantot tikai RSA autentifikāciju PasswordAuthentication jā # izmantot lietotāja parastās paroles vai nē
Ir arī daži noderīgi iestatījumi, jo īpaši:
AllowGroups, DenyGroups, AllowUsers, DenyUsers, AllowHosts, DenyHosts, IdleTimeout laiks (laiks, pēc kura savienojums tiks pārtraukts neaktivitātes gadījumā).
Kā redzat no iepriekš minētā, kopumā ssh ir tik daudz iespēju, ka jūs varat precīzi kontrolēt, kas un kā var pieteikties. Bet tas attiecas uz serveri, un tīkla lietotājiem ir jāpalaiž ssh klienti. Atšķirībā no telnet, kas ir pieejams sistēmā Windows, ssh nav iekļauts standarta izplatīšanā. Linux nav šīs problēmas - klients ir arī tur. Ir svarīgi atzīmēt, ka ssh dēmons ir pieejams gan pirmajā, gan otrajā versijā. Protams, ir nepatīkami, ka nav savlaicīgas savietojamības, taču esmu pārliecināts, ka jūs kā administrators nodrošināsiet lietotājus ar tiem klientiem, kuri var sazināties ar serveri. Šeit ir daži ssh klienti operētājsistēmai Windows:
- Svaigi bezmaksas FiSSH. http://www.massconfusion.com/ssh/
- Tera Term. http://hp.vector.co.jp/authors/VA002416/teraterm.html telnet klients. http://www.zip.com.au/~roca/ttssh.html - papildu dll ssh atbalstam
- Špakteles. http://www.chiark.greenend.org.uk/~sgtatham/putty.html - tikai aptuveni 200 000
- Mindterm http://www.mindbright.se/mindterm/ - Java ssh klients
- Java Telnet lietojumprogramma. http://www.mud.de/se/jta/ - ir ssh atbalsts
- Drošs CRT. http://www.vandyke.com/ - komerciāls klients
Nepieciešams pieminēt piekļuvi terminālim saistībā ar tādām programmām kā rlogin, rexec, rsh. To izmantošana nav aizsargāta un dažreiz pat ļauj lietotājiem nokļūt no mašīnas uz mašīnu, neievadot paroli. Lai gan tas ir ērti, no drošības viedokļa tas vienkārši neko neder. Šie pakalpojumi parasti tiek sākti pēc noklusējuma. Lai tos atsauktu, jums ir jārediģē /etc/inetd.conf fails un jārestartē inetd dēmons. Kopumā telnet un ssh izslēdz termināla piekļuves iespējas sistēmai. Tāpēc pāriesim pie citām lietotājiem noderīgām servera lietojumprogrammām.
Pasts vai e-pasts
Kas nepieciešams, lai cilvēkiem būtu pasts, bez kura komunikācija starp cilvēkiem bieži vairs nav iedomājama? Diezgan izplatīts veids ir instalēt pasta serveri, izveidot pastkasti katram lietotājam un konfigurēt pop-dēmonu, lai cilvēki varētu saņemt šo pastu. Bet, lai serveris varētu saņemt un nosūtīt vēstules, ir jāinstalē tajā pasta programma, piemēram, sendmail, postfix vai qmail, kas apstrādā pastu UNIX mašīnā. Tradicionāli šim nolūkam ir izmantots sendmail. Tagad to izmanto arī lielākajā daļā mašīnu, taču pārējās divas minētās programmas ir labas un pat uzlabotas nomaiņas. Tomēr, kā parasti, galvenās bažas ir saistītas ar aizsardzību jaunākās versijas sendmail (8.9.x) ir diezgan stabili.
Sendmail ir pieejams visās Linux sistēmās, un jaunākajos izplatījumos, iespējams, ir 8.9.x versija. Programma izmanto vairākus konfigurācijas failus, kurus tā analizē. Bet pirms runājam par konfigurāciju, mēs atzīmējam, ka programmu var palaist gan kā dēmonu, gan gaidīšanas režīmā. Pirmajā gadījumā tas pastāvīgi klausīsies ostu, bet otrajā - tas tiks aktivizēts vienu reizi un vienkārši apstrādās visu ienākošo informāciju. Otra metode ir vēlama no drošības viedokļa. Lai to izdarītu, startēšanas rindā ir jānoņem parametrs -bd.
Tagad par konfigurāciju. Galvenais fails ir sendmail.cf, kurā var būt saites uz citiem failiem vai bez tiem. Tiek analizēts arī piekļuves fails, kur var ievietot tādas adreses, no kurām (vai uz kurām) vēstules netiks nosūtītas. Piemēram, ieraksti:
10.0.0 RELAY spam.com REJECT
nozīmē, ka e -pasta ziņojumi no .spam.com adresēm netiks pieņemti, un e -pasta ziņojumi no iekšējā tīkla var tikt pieņemti un nosūtīti.
Vēl viens noderīgs un lietots fails ir aizstājvārdi. Tas norāda, kuri vārdi tiks interpretēti kā dotās pastkastes nosaukums. Piemēram, ja iestatāt
Petrovs: zvaigzne
vēstules, kas nāk pie Petrova plkst [e -pasts aizsargāts] tiks nosūtīts uz kastīti [e -pasts aizsargāts] pat ja kāds nezina patieso adresi. Tas ir īpaši noderīgi, ja vēlaties, lai e -pasta ziņojumi tiktu nosūtīti pārvaldniekam, kurš vēlas saņemt pastkasti nevis ar vārda pārvaldnieku, bet gan ar savu. Tas nozīmē, ka vadītājs savu adresi norādīs tikai tiem, kurus viņš uzskata par vajadzīgiem, un vadītājs karājas Web lapā. Acīmredzot tas nodrošinās maksimālu ērtību vadītāja maiņas gadījumā. Uz to pašu pastkasti var novirzīt jebkuru vārdu skaitu.
Virtusertable fails norāda vienas adreses kartēšanu uz citu, piemēram:
[e -pasts aizsargāts] menedžeris
Izmantojot šos divus failus (aizstājvārdus un virtusertable), var īstenot pasta dublēšanu, kas saglabās visus ienākošos pastus. Viltība ir tāda, ka vispirms tiek apskatīts virtuertable fails un pēc tam aizstājvārdi. Ja ar pēdējo ierakstu virtusertable ierakstiet aizstājvārdu failā:
Pārvaldnieks: zvaigzne, " / var / spool / mail2 / star"
tad pasts, kas tiek saņemts gan pārvaldnieka, gan zvaigžņu adresēs, tiks rakstīts parastā / var / spool / pasta direktorijā un / var / spool / mail2.
Viena no galvenajām atšķirībām starp postfix un sendmail ir modularitāte (kas ir arī qmail). Atšķirībā no sendmail, tikai neliela koda daļa, tikai viens modulis, darbojas kā root, un visas pārējās daļas tiek palaistas pēc vajadzības un tām ir savi iestatījumi. Parasti postfix konfigurācijas faili parasti ir atrodami mapē / etc / postfix. Fails manager.cf pārvalda dažādu moduļu darbību, norādot lietotājus, kuros tie darbojas, un procesu skaitu. Fails main.cf ir galvenais konfigurācijas fails un nosaka paša pasta pamatparametrus. Šeit ir tā aptuvenā forma ar paskaidrojumiem (precīzāk, tie komponenti, kas, visticamāk, būs jārediģē):
# mašīnas nosaukums myhostname = mail.example.org # domēns mydomain = example.org # no kuras adreses jūs sūtāt e -pastus myorigin = $ mydomain # kurā saskarnēs palaist programmu inet_interfaces = visi # virtuālo nosaukumu fails virtual_maps = hash: / etc / postfix / virtual # vārda aizstāšanas fails alias_maps = hash: / etc / postfix / aliases # direktorijs, kurā pasts jāglabā, kad lietotājs to saņem home_mailbox = Maildir / # kur glabāt pastu mail_spool_directory = / var / spool / mail # komanda, lai ielādētu mail mailbox_command = / usr / sbin / scanmails # fails, kurā norādītas adreses, no kurām un uz kurām vēstules jānosūta # relay_domains = / etc / postfix / relaydomains # local machines mynetworks = 10.0.0.0/24, 127.0.0.0/8 # ko izvadīt, ja lietotāji izveido savienojumu ar 25. portu smtpd_banner = $ myhostname ESMTP $ mail_name
Postfix programmu var iegūt vietnē http://www.postfix.org.
Tagad parunāsim par POP un IMAP protokoliem. Pirmais darbojas 110. ostā, otrais - 143. vietā. Principā abiem ir viens un tas pats mērķis, bet tie tiek īstenoti dažādos veidos. POP (pasta nodaļas protokols) ir diezgan vecs un slikts protokols. Tas ļauj tikai izveidot savienojumu ar serveri, saņemt pastu un izdzēst to no servera pastkastes. IMAP protokols progresīvāk. Tas ļauj jums pārvaldīt savu pastu tieši serverī. Jums nav jālejupielādē visas vēstules, bet jāņem tikai vēstuļu galvenes, jāizveido direktoriji serverī un jāizplata pasta starp tām. No drošības viedokļa šie protokoli ir vienādi, tāpēc, lai izvairītos no nepatikšanām, ieteicams izmantot ugunsmūri. Jūs varat arī ievietot šo protokolu trafiku ssh. Ir ļoti svarīgi pārbaudīt savu pastu, vai tajā nav vīrusu. Lai gan vīrusi UNIX nav biedējoši, daudzi lietotāji izmanto sistēmu Windows, ir prātīgi palaist e -pastus, izmantojot skenera programmu, piemēram, AMAVIS. Vienkāršākais veids, kā to izdarīt (protams, tiek pieņemts, ka programma AMAVIS jau ir instalēta), ja konfigurācijas rindā ir norādīts postfikss
Pastkastes_komanda = / usr / bin / procmail
Mailbox_command = / usr / sbin / scanmails
Īsumā par to, kā lietotājs saņem un nosūta pastu darba vietā. Par laimi, visas populārās programmas ir POP vai IMAP klienti (es domāju vismaz Netscape un Outlook). Turklāt, ja administrators ir devis iespēju piekļūt serverim, izmantojot telnet vai ssh, jūs varat apskatīt pastu un strādāt ar to termināla režīmā (šajā gadījumā to ir grūtāk paņemt). Lai to izdarītu, jums ir nepieciešams izveidot savienojumu ar serveri un terminālī palaist kādu pasta programmu, piemēram, pastu vai priedi. Pēdējais ir daudz ērtāks un ir pilna ekrāna programma ar izvēlni, tikai teksta režīmā.
Piekļuve failiem un tīkla drukāšana
UNIX sistēmā ir divi standarta rīki- NFS un LPD. Pirmais ļauj izveidot tīkla failu sistēmas, otrais - drukāt ar printeri. Kas attiecas uz UNIX mašīnas resursu izmantošanu no Windows, šim nolūkam vispiemērotākais ir Samba (SMB), kā es to redzu. Šī programma ļauj piekļūt failiem, kā arī nodrošina iespēju drukāt tīklā no Windows iekārtas, izmantojot UNIX serveri. Tā kā šis raksts galvenokārt ir par servera drošību, jāatzīmē, ka resursu koplietošana tīklā nav bīstama, protams, ar parasto ārējo ugunsmūra noteikumu konfigurāciju. Šeit var rasties cita plāna problēmas, kas saistītas ar faktu, ka ne visiem vajadzētu piekļūt tai vai citai informācijai, bet to pilnībā regulē failu un direktoriju atribūtu iestatījumi. Neatkarīgi no tā, cik gudrs esat administrators, jūs nevarat novērst situāciju, kad, piemēram, kāds aizmirst slēgt ssh sesiju un pamet datoru. Tas ir cits jautājums, vai jūs piešķirat lasīšanas piekļuvi dažiem failiem, taču tās ir pārāk acīmredzamas lietas, lai pakavētos. Tāpēc tagad mēs pievēršamies serveru lietojumprogrammu izskatīšanai, kas ir noderīgas ne tikai iekšējiem, bet arī ārējiem lietotājiem. Es domāju galvenokārt tīmekļa serveri un varbūt ftp. Tagad ir grūti iedomāties mazāko uzņēmumu vai pat tikai tīklu bez pirmā, un otrā klātbūtne ir atkarīga no tā, vai jums patiešām ir nepieciešams atsevišķi augšupielādēt dažus datus ftp serverī.
Web un ftp serveri
Apache ir neapstrīdams līderis popularitātes un veiktspējas ziņā starp vairākiem pašreiz esošajiem tīmekļa serveriem. Šis serveris apvieno ātrumu, stabilitāti, augstu drošību, un tajā pašā laikā tas ir bezmaksas. Ne vienmēr ir iespējams atrast šādu programmu saviem mērķiem, bet šeit tas ir. Un jāatzīst, ka programmas autori pieliek lielas pūles, lai panāktu maksimālu efektivitāti un uzticamību. Vispirms ņemiet vērā, ka, ja jūs izmantojat savu Web serveri tikai iekšējiem mērķiem, piemēram, sistēmas administrēšanai vai failu koplietošanai, tad noteikti to vajadzētu ugunsmūrēt no ārpasaules. Ja šis ir serveris ikvienam, tad jums ir jāsaprot, ka tas ir pieejams ikvienam. Tāpēc ir nepieciešams to pareizi uzraudzīt, proti: rūpīgi un pareizi to konfigurēt un uzraudzīt žurnālfailus, lai iepriekš noteiktu iespējamo uzbrukumu. Kas attiecas uz drošību, pašam serverim ir ļoti maza piekļuve sistēmai, jo tikai pirmā tā kopija darbojas kā root, bet pārējie parasti tiek palaisti kā neviens. Turklāt servera iestatījumos, tas ir, failos httpd.conf, smr.conf, access.conf, ir skaidri norādīts, kuriem direktorijiem serverim ir piekļuve un kuriem nav. Ja rakstāt failā httpd.conf, piemēram:
tad jūs skaidri norādīsit, ka serverim ir piekļuve tikai direktorijam / WWW, kurā jums jāievieto viss vietnes (vai vietņu) materiāls, kura darbu nodrošina serveris. Ja vēlaties būt pārliecināts, ka neviens nemainīs piekļuves tiesības, iekļaujot, piemēram, .htaccess failu kādā direktorijā, tad srm.conf ievadiet:
No drošības viedokļa nav jēgas sīkāk runāt par citiem iestatījumiem, jo īpaši tāpēc, ka Apache servera instalēšana un minimālā konfigurācija tika aprakstīta iepriekšējā izdevumā rakstā, kas veltīts šai tēmai.
Ir nepieciešams atsevišķi pakavēties pie https (drošā http) protokola izmantošanas. Šis protokols parasti darbojas 443. portā (atšķirībā no standarta http, kas darbojas 80. portā). Ir vismaz divi veidi, kā bagātināt Apache ar drošu http. Pirmais ir izmantot pievienojumprogrammu no open-ssl, otrais ir izmantot mod_ssl moduli. Abas iespējas dod gandrīz vienādus rezultātus. Kopumā kļūst iespējams izveidot savienojumus, izmantojot 443. porta https. Tādējādi serverim tiek izveidots sertifikāts, kuru klienti pārbaudīs pēc savienojuma izveidošanas. Tas izslēgs (protams, ne ar absolūtu garantiju) noklausīšanos satiksmē. Lai izveidotu sertifikātu, izmantojot OpenSLS, jums ir jāsniedz šādas komandas:
Openssl genrsa -des3> httpsd.key openssl req -new -key httpsd.key> httpsd.csr
turklāt failiem jāatrodas tajā pašā direktorijā, kurā atrodas servera konfigurācijas faili. Lai serveris pareizi darbotos ar portu 443, jums būs jāmaina arī konfigurācijas faili. Viņiem ir jāraksta kaut kas līdzīgs
# klausīšanās 443. portā (pēc noklusējuma serveris klausās tikai 80. portā) Klausieties 443 # atspējot globālai lietošanai ssl SSLDisable # vieta, kur serveris uzglabās pagaidu informāciju ssl savienojuma laikā. Bez # šī iestatījuma serveris nedarbosies SSLCacheServerPath / usr / bin / gcache # ports, caur kuru serveris sazinās ar CashServer SSLCacheServerPort 12345 # CashServer timeout SSLSessionCacheTimeout 300
Pēc šiem iestatījumiem jūsu serveris būtībā ir gatavs darbam ar https, taču pagaidām šis protokols ir aizliegts. Ieteicams izveidot virtuālu resursdatoru ar tādu pašu nosaukumu kā jūsu standarta, bet ar skaidru norādi uz portu 443, citiem vārdiem sakot, tagad darbojas tīmekļa serveris. Tas darbojas 80. portā un izmanto http protokolu. Pievienojot apache-ssl un iepriekš aprakstītos iestatījumus, jūs devāt lietotājiem iespēju sazināties ar savu serveri, izmantojot https protokolu. Maz ticams, ka visa informācija jūsu serverī ir tik klasificēta, ka vēlaties to visu nodot tikai drošā savienojuma režīmā. Apache serveris ļauj izveidot virtuālās mašīnas, tas ir, jūs varat deklarēt resursdatora saknes apakšdirektoriju, piešķirt tam nosaukumu, uzrakstīt konfigurācijas failu kopu un visu pārējo, kas nepieciešams, bet fiziski tas atradīsies jūsu datorā un to kontrolēs jūsu serveris ... Mūsu gadījumā pat nav nepieciešams dot citu nosaukumu, jo tas ir viens un tas pats, tikai cita osta. Šāds iestatījums varētu izskatīties šādi:
Papildus http ir arī ftp - noderīgs un ērts pakalpojums, it īpaši, ja jums ir daudz failu, kas lietotājiem ir jālejupielādē (piemēram, jūs sniedzat dažus izpētes datus). FTP priekšrocība salīdzinājumā ar http ir ātrums. FTP protokolā ir vismaz pieskaitāmās izmaksas. Tomēr ar viņu ir daudz problēmu. Galvenais ir tā "vecums": ftp ir tikpat vecs kā telnet. No šejienes uzreiz rodas ar drošību saistīti sarežģījumi: lietotājvārds un parole tiek pārraidīti skaidri, un pārraidītās informācijas trafiks nav nekas aizsargāts. Turklāt ftp var pārsūtīt tikai failus. Tāpēc, ja jums ir kāda informācija, kas ir pieejama ikvienam, tad ir saprātīgi izveidot vienu lietotāju, ar kura vārdu visi ievadīs. Bieži vien šādos ftp-arhīvos šo lietotāju sauc par anonīmu, un viņš kā savu paroli nodod savu e-pasta adresi. Šajā gadījumā drošības problēmu ir daudz mazāk. Turklāt, ja jums ir jānodrošina ftp piekļuve vairākiem lietotājiem, izveidojiet chroot, lai viņi varētu ievietot failus tikai savos direktorijos. Kas attiecas uz serveriem, tad, protams, tie ir pieejami standarta pakotnēs, bet varbūt vēlaties instalēt nevis standarta ftpd, bet kādu citu.
Viens no populārākajiem ftp serveriem ir proftpd. Tās konfigurācijas faili ir līdzīgi Apache failiem, kas atvieglo pielāgošanos tiem, jo, visticamāk, jūsu tīmekļa serveris ir Apache. Galvenais konfigurācijas fails ir /etc/proftpd.conf. Tā aptuvenā forma var būt šāda:
ServerName "ProFTPD noklusējuma instalācija" ServerType inetd DefaultServer on Port 21 Umask 022 MaxInstances 30 User nobody Group nobody
Iepriekš minētais saraksts norāda, ka serveris tiek startēts, izmantojot ieeju, standarta 21. portā, maksimālais kopiju skaits ir 30, un tas tiek startēts kā grupas un lietotāja neviens. 022 - faila atribūtu maska izveides laikā, kas sākotnēji tiks izmantota standarta veidā. Šī konfigurācija nedod piekļuvi anonīmajam lietotājam. Lai to izdarītu, jums ir jāraksta aptuveni šādi konfigurācijas iestatījumi:
Pēc šī papildinājuma kļūst iespējams strādāt kā anonīmam un tikai lasīt, tas ir, lejupielādēt failus. Es minēšu vēl vienu piemēru, kā noteikt tiesības izmantot direktorijus:
Šāds ieraksts konfigurācijas failā dod rakstīšanas tiesības, bet nedod tiesības lejupielādēt failus. Tas ir noderīgi, ja vēlaties, lai lietotāji varētu augšupielādēt failus, bet nevarētu redzēt, ko citi ir ievietojuši.
Tas noslēdz servera lietojumprogrammu tēmu. Protams, jāatzīmē, ka serveru lietojumprogrammu ir daudz vairāk: ir arī DNS, ziņu serveri, NIS serveri, X serveris un daudzas citas interesantas un noderīgas lietojumprogrammas. Tomēr es centos koncentrēties uz to, kas patiesībā var būt vajadzīgs, darbojoties tīklā, kas nepretendē uz globālu kiberpolisu vai pakalpojumu sniedzēju. Tagad pāriesim pie otrā jautājuma izskatīšanas, kas norādīts raksta sākumā - pie tīkla uzbrukumiem un uzlaušanas.
Tīkla uzbrukumi un uzlaušana
Pirmkārt, daži vispārīgi vārdi. UNIX, atšķirībā no Windows, nav problēmu ar vīrusiem. Atmiņas piešķiršanas un failu atļauju iekšējā struktūra pati spēj tikt galā ar to, ko vīrusi parasti dara vecajā DOS vai Windows. Galvenais šķērslis vīrusiem (to standarta izpratnē) ir piekļuves trūkums fiziskām ierīcēm programmām, kas darbojas parasta lietotāja vārdā, kā arī tas, ka failu atribūti ir iestatīti nevis kopumā, bet gan lietotājam, grupai un visi lietotāji. Operētājsistēmā Windows tādu nav (tas daļēji tiek ieviests operētājsistēmā Windows 2000). Lai gan tradicionālo vīrusu radītie traucējumi ir gandrīz neiespējami, UNIX sistēmas joprojām tiek uzlauztas un iznīcinātas. Tas ir saistīts ar pilnīgi atšķirīgu tehnoloģiju klātbūtni, kuras var aptuveni iedalīt divās kategorijās. Pirmais ir tā sauktie Trojas zirgi, kas ir programmas, kas šķietami un varbūt pat faktiski veic diezgan saprātīgas un likumīgas darbības. Tomēr paralēli viņi veic citu "darbu": klausās tīklu vai vāc informāciju par parolēm un nosūta to tīklam utt. Šīs programmas, visticamāk, neradīs tiešu kaitējumu - drīzāk tās būs starpnieki starp jūsu sistēmu un ārēju uzbrucēju. Otrā kategorija ir tīkla uzlaušana. Šīs darbības sākotnēji neattiecas uz mašīnas iekšējo saturu, bet mēģina iznīcināt sistēmu vai piekļūt tai, nosūtot tai kādu informāciju, piemēram, apzināti nepareizas tīkla paketes vai mēģinot "ievilināt" dažus slēptus datus, izmantojot speciāli veidotus pieprasījumus. . Kāpēc vispār uzlauzt sistēmas? Tas ir psiholoģisks, nevis praktisks jautājums. Fakts ir tāds, ka patiesībā diezgan liela mašīnu uzlaušanas daļa nenāk no savtīgiem mērķiem, bet vienkārši no intereses par pašu procesu. Starp cilvēkiem, kurus parasti dēvē par hakeriem, ne tikai tie, kas uzlauž kādu reālu labumu, bet arī "entuziasti", kuri pārtrauc tīklu, lai izjauktu. Tas šķiet negaidīti, bet tā ir, un statistika to parāda. Turklāt bieži vien ir diezgan grūti vainot personu par to, ko viņš ir darījis, jo dažreiz nav iespējams pierādīt, ka tieši viņš un tieši no šī datora veica noteiktas nelikumīgas darbības. Tomēr šajā rakstā mēs apspriežam pašus hakerus, nevis viņu psiholoģiskos un juridiskos aspektus, un tāpēc mēs pāriesim pie konkrētām lietām.
Tīkla uzlaušana neatkarīgi no tā, cik rūpīgi tas tiek veikts un kādas metodes tiek izmantotas, neizbēgami izraisa dažas izmaiņas sistēmā. Tas varētu būt jauns klausīšanās portu saraksts, nepazīstamas programmas, esošo programmu, īpaši ps vai netstat, izmēru maiņa vai pat jauni lietotāji. Tā vai citādi būtība ir tāda, ka kaut kas ir jāmaina, un tas ir neizbēgami. Tāpēc pirmā saprātīgā darbība, ko es ieteiktu veikt tūlīt pēc sistēmas instalēšanas un konfigurēšanas, ir izveidot failu ar informāciju par sistēmu. Kaut kas līdzīgs fotogrāfijai brīdī, kad visu, kas notiek, uzskata par pareizu. Konkrētāk, es domāju informāciju, ko sniedz programmas netstat, vmstat, free, du, df. Otrais padoms ir dublēt sistēmas konfigurācijas failus un sākotnējos iestatījumus. Salīdzinot tos savā starpā, var iegūt arī informāciju par nesen notikušo sistēmā.
Sāksim ar failu sistēmas uzraudzību, kas ietver ne tikai failu sistēmas izmantošanas uzraudzību (ko var izdarīt ar du un df komandām), bet arī noteiktu failu (piemēram, sistēmas failu) nemainīguma pārbaudi. Ir vairākas programmas, kas veic šīs funkcijas:
- AIDE - programma, kas ļauj izveidot failu kontrolsummas, tādējādi pārbaudot to integritāti; ļauj izmantot vairākus algoritmus. http://www.cs.tut.fi/~rammer/aide.html. (Pārējās programmas veic līdzīgas funkcijas, tās visas ir bezmaksas.)
- Gog & Magog - izveido atribūtu un failu īpašnieku sarakstu, ļauj veikt automātiskus salīdzinājumus. http://www.multimania.com/cparisel/gog/
- Sentinel - rada kontrolsummas izmantojot RIPEMD-160bit MAC algoritmu grafiskais interfeiss... http://zurk.netpedia.net/zfile.html
- SuSEauditdisk ir disketē ievietota programma, kas ļauj veikt sistēmas pārbaudi pilnīgi autonomi, palaižot tieši no disketes. Standarta komplektācijā ar SuSELinux. http://www.suse.de/~marc
- ViperDB - pārbauda failu īpašniekus un atribūtus, izveidojot žurnālfailus, kas reģistrē notikušās izmaiņas. Programmai ir trīs parametri: -init - izveido datu bāzes pēc failiem; . http://www.resentment.org/projects/viperdb
- Sxid - izveido failu kontrolsummas un pārbauda atribūtus un īpašniekus. ftp://marcus.seva.net/pub/sxid/
- aukle - atceras faila izveides laiku. ftp://tools.tradeservices.com/pub/nannie/
- confcollect - atceras sistēmas informāciju, piemēram, instalēto programmatūru, maršrutētāja galdi utt. http://www.skagelund.com/confcollect/
- Pikt ir rīks, kurā ir iekšēja skriptu valoda, lai izveidotu programmas, kas izpilda standarta, bet nav ieviestas īpašu komandu, funkciju veidā (stundas sistēmas izmantošanas uzraudzība, ilgstošu procesu novēršana, lieluma iestatīšana) pastkaste utt.). Pieejams dažādām platformām: Solaris, Linux un FreeBSD. http://pikt.uchicago.edu/pikt/
Var runāt arī par programmām, kas veic rezerves funkcijas, taču, manuprāt, tam nav nekāda sakara ar sistēmas drošību, un UNIX izplatīšanā ir iekļauti dažādi standarta rīki. Drošība ir saistīta tikai ar to, ka ir nepieciešami dublējumi, taču tas jau tika minēts iepriekš.
Tagad noskaidrosim, ko darīt, lai novērstu tīkla uzbrukumus. Protams, vārtejā jāinstalē ugunsmūris. Tā vai citādi ir nepieciešama pakešu līmeņa aizsardzība. Ja ugunsmūris tiek apiets jebkādā veidā, ir nepieciešamas šādas programmas:
- DTK - atdarina standarta pakalpojumus un programmas, un, ja šīm programmām tiek nosūtīti nestandarta pieprasījumi, tiek apzināti sniegta nepatiesa informācija, lai sajauktu uzbrucēju. http://all.net/dtk/
- Psionic PortSentry - uzrauga portu skenēšanu. Galvenais uzdevums ir pārbaudīt skenēšanas portus un parādīt visu žurnāla failā. http://www.psionic.com/abacus/portsentry/
- Psionic HostSentry - izveido datu bāzi ar informāciju par to, kā lietotāji izmanto mašīnu, parādot ziņojumu, kad tiek izmantots nestandarta resurss. http://www.psionic.com/abacus/hostsentry/
- Scanlogd - skenē tīkla paketes, ģenerējot žurnāla failus, pamatojoties uz iestatījumiem. http://www.openwall.com/scanlogd/
- Ugunsmūri ir ugunsmūra programmu kopējais nosaukums.
- TCP -WRAPPERS - programmas, kas ierobežo piekļuvi noteiktiem resursiem pēc nosaukuma vai datora numura. Dažas no šīm programmām ir pieejamas vietnē. ftp://ftp.porcupine.org/pub/security/
- NFR ir programma, kas pēc konstrukcijas ir līdzīga snifferim (sniffer ir programma tīkla trafika klausīšanai). Reģistrē žurnāla failus un reāllaikā nosaka uzbrukumus un portu skenēšanu. http://www.nfr.com/
- Detalizētus un noderīgus bieži uzdotos jautājumus par tīkla uzbrukumiem un to noteikšanu var atrast vietnē http://www.robertgraham.com/pubs/network-intrusion-detection.html.
Ir grūti viennozīmīgi atbildēt uz jautājumu, kas un kā būtu jādara tīkla uzbrukumu laikā. Šeit daudz kas ir atkarīgs gan no konkrētā tīkla specifikas, gan no organizācijas, kurā tas atrodas. Pat ar tāda paša veida uzbrukumu vienā gadījumā vispirms vēlaties saglabāt datus, bet otrajā - bloķēt uzbrukuma avotu, tas ir, viss ir atkarīgs no prioritātēm. Uzbrukumi ir ļoti sarežģīta problēma organizācijās, kurās tīkla dīkstāve ir nepieņemama. Tur jums būs jāveic visas darbības tiešsaistē, cik vien iespējams, uzturot kontaktus ar ārpasauli. Diezgan daudz ir atkarīgs arī no uzbrukuma rakstura. Datorurķēšana uzlaušanas dēļ ir viena lieta, bet cita - mērķtiecīga klasificētu datu zādzība. Varbūt, tā ir taisnība, un sarežģītāka versija, kad uzbrukums tiek veikts ar mērķi novērst administratora uzmanību no sarežģītākas un pārdomātākas uzlaušanas, kas tiek veikta paralēli. Bet nedomājiet, ka uzbrukums var notikt tikai no ārpuses. Tas var sākties no iekšpuses. Iespējamais scenārijs ir Trojas zirga palaišana Windows datorā iekšējā tīklā. Acīmredzot to var izdarīt, vienkārši nosūtot vēstuli pa pastu. Tagad tuvāk apskatīsim sniffer programmas.
Parasti sniff nozīmē izšņaukt. Tāpēc sniffers ir programmas, kas vienā vai otrā veidā klausās tīklu un visu informāciju, kas tam iet cauri. Ilustratīvs piemērs ir parole, kas skaidrā tekstā iet no iekšējā datora uz serveri. Tā kā paketes ceļo pa tīklu, līdz atrod adresātu, sniffera instalēšana vismaz vienā iekšējā tīkla datorā (piemēram, izmantojot burtu, kā minēts iepriekš) ir ērts instrumentsārējam krekerim. Vairumā gadījumu sniffers ir diezgan pasīvi, tāpēc tos ir grūti atklāt. Zemāk ir saraksts ar vairākām sniffer programmām, kuras var izmantot, lai uzraudzītu tīklā notiekošo:
- Tcpdump ir vecākā programma, kas piegādāta kopā ar visu UNIX.
- Sniffit - spēj filtrēt paketes un tulkot informāciju teksta formātā; aprīkots ar grafisko interfeisu. http://sniffit.rug.ac.be/~coder/sniffit/sniffit.html
- Ethereal ir tīkla protokola analizators.
- Snort - paredzēts tīkla uzraudzībai, var noteikt portu skenēšanu. http://www.clark.net/~roesch/security.html
- SPY ir sniffer, bet ne bez maksas. Ir bezmaksas viena lietotāja tīkla licence līdz piecām iekārtām. http://pweb.uunet.de/trillian.of/Spy/
Tomēr nevajadzētu aizmirst, ka papildus programmatūrai ir arī aparatūras klausīšanās, piemēram, vienkārši pievienojot citu datoru vai vienkārši pievienojot kabeli. Interesanti, ka, ja izmantojat plānu Ethernet (koaksiālo kabeli), varat to klausīties, to neatverot.
- AntiSniff ir programma, kas tīklā meklē šņaukājus. Tās darbības princips ir ļoti vienkāršs: tas nosūta pieprasījumu, un pēc atbildes un atbildes laika nosaka, vai to apstrādā kāda cita programma vai nē. http://www.l0pht.com/antisniff/
Detalizētus un noderīgus sniffer FAQ var atrast vietnē. http://www.robertgraham.com/pubs/sniffing-faq.html.
Vēl viena metode, kas var palīdzēt novērst uzbrukumus, ir sistēmas pārbaude, izmantojot programmas, kas līdzinās uzbrukumiem, vai pašas programmas, ar kurām šie uzbrukumi tiek veikti. Jūs kaut kā pārbaudāt sistēmu kaujas apstākļos. Ja aizsardzība patiešām ir šīs mašīnas galvenā prioritāte, tad sistēmas konfigurācijas pārbaude pirms pievienošanas ir ļoti svarīgs solis. Es pievēršu jūsu uzmanību dažām no šīm programmām.
Programmas, kas skenē sistēmu pati no iekšpuses:
- Tīģeris ir programma, kas vēl tiek izstrādāta. ftp://net.tamu.edu/pub/security/TAMU/
- check.pl ir Perl skripts, kas pārbauda direktoriju koku un tajā esošos failus un norāda uz dažādiem apšaubāmiem atribūtiem un īpašnieku vārdiem. http://opop.nols.com/proggie.html
Tīkla skeneri, kas norāda uz viegli pieejamiem pakalpojumiem citā sistēmā (piemēram, laba ideja, lai pārbaudītu ugunsmūra iestatījumus):
- Strobe ir vecs, bet ātrs un joprojām efektīvs tīkla skeneris. Dažreiz iekļauts UNIX. ftp://suburbia.net/pub/
- Nmap ir programma, kas izmanto jaunas portu skenēšanas metodes un ir ļoti konfigurējama. Ļauj iegūt operētājsistēmas parametrus (nosaukums, versija). http://www.insecure.org/nmap/index.html
- Portscanner ir neliels portu skeneris, kuram ir daudz formātu apstrādātās informācijas izvadīšanai. http://www.ameth.org/~veilleux/portscan.html
- Queso patiesībā nav skeneris; tā ir programma, kas paredzēta, lai noteiktu operētājsistēmas veidu attālā datorā. http://www.apostols.org/projectz/queso/
Programmatūras skenēšana, lai atrastu iespējamos drošības caurumus, neapšaubāmi ir solis uz priekšu no ostas skeneriem. Šeit tiek piemērots augstāks informācijas analīzes līmenis un netiek noteikti paši atvērtie porti, bet gan tās sistēmas ievainojamības, uz kurām ir atvērts ceļš caur šīm ostām. Es nosaukšu vairākas šādas programmas:
- Nessus ir klienta-servera uzbrukumu izsekošanas programmatūra. Ir serveri Linux, FreeBSD, NetBSD un Solaris, un klienti Linux un Windows. Papildus portu skenēšanai un uzbrukumu izsekošanai programma var veikt DNS meklēšanu, lai atrastu ar apdraudēto iekārtu saistītos datorus. http://www.nessus.org/
- Svētais ir Sātana programmas pēctecis, kas iepriekš bija viens no populārākajiem informācijas vākšanai par automašīnām. Saint izmanto klienta-servera arhitektūru, bet aizstāj klientu ar tīmekļa programmu. Galvenais mērķis ir apkopot informāciju par sistēmas aizsardzības ievainojamībām. http://www.wwdsi.com/saint/
- Cheops ir programma, kas veido IP tīkla vides karti ar norādi par datoros darbojošos operētājsistēmu. http://www.marko.net/cheops/
- SARA (drošības revidenta pētniecības palīgs) ir programma, kas līdzīga Saint. Tas var skenēt vairākas mašīnas vienlaicīgi, turklāt tas rada darba rezultātu HTML formātā. http://home.arc.com/sara/
- BASS (Bulk Auditing Security Scanner) ir programma, kuras ideoloģijas pamatā ir fakts, ka internets nav aizsargāts. Galvenais uzdevums ir skenēt sistēmas, vai tajās nav "drošības caurumu". http://www.securityfocus.com/data/tools/network/bass-1.0.7.tar.gz
Ugunsmūra skenēšanas un pareizas konfigurācijas pārbaudes programma ir Firewalk. Nosūtot dažādas paketes, programma cenšas aprēķināt noteikumus, saskaņā ar kuriem darbojas ugunsmūris. http://www.packetfactory.net/firewalk/
Arhīvā vietnē http://www.rootshell.com/ ir zināmi dati par kļūdām sistēmas aizsardzībā un saites uz papildinājumiem no operētājsistēmu ražotājiem, kas šīs kļūdas novērš. Tiesa, dažreiz šādas saites vietā var redzēt ziņojumu "Jaunināt uz nākamo versiju", kas ir aizvainojoši, it īpaši, ja sistēma ir komerciāla. Piemēram, tas bieži notiek IBM AIX gadījumā.
Ar to es vēlos beigt aprakstīt jautājumus, kas saistīti ar sistēmu drošību Interneta serveri... Tas ir apraksts, nevis darbības ceļvedis un nav detalizēta atsauce. Mans galvenais mērķis bija sniegt priekšstatu par to, kas jādara, lai aizsargātu sistēmu. Visticamāk, dažos gadījumos daži padomi šķitīs lieki vai vienkārši nevajadzīgi, un, iespējams, ar saitēm uz dotajām programmām nepietiks. Tomēr man šķiet, ka galvenie punkti, kas saistīti ar UNIX sistēmu un tīklu aizsardzību, vienā vai otrā pakāpē tika atspoguļoti. Daži privāti jautājumi, iespējams, tiks apspriesti nākamajos žurnāla numuros.
ComputerPress 3 "2001
SSH - (Secure Shell) - tīkla protokols, kas ļauj tālvadība datora un failu pārsūtīšana. Tas pēc funkcionalitātes ir līdzīgs Telnet un rlogin protokoliem, bet pārsūtītajai informācijai izmanto šifrēšanas algoritmus.
Telnet trūkumi izraisīja ļoti ātru protokola darbības pārtraukšanu par labu drošākam un funkcionālākam SSH protokolam. SSH nodrošina visus šos funkcionalitāti kas tika prezentēti telnet, pievienojot efektīvu kodējumu, lai novērstu tādu datu kā lietotājvārdu un paroļu pārtveršanu. SSH publiskās atslēgas autentifikācijas sistēma to nodrošina attālais dators patiesībā ir tas, par ko viņš apgalvo.
SSH protokola kriptogrāfiskā drošība nav fiksēta; iespējama dažādu šifrēšanas algoritmu izvēle. Klienti un serveri, kas atbalsta šo protokolu, ir pieejami dažādām platformām. Turklāt protokols ļauj ne tikai mašīnā izmantot drošu attālo apvalku, bet arī tuneļot grafisko interfeisu - X Tunneling (tikai Unix līdzīgām OS vai lietojumprogrammām, kas izmanto X Window System grafisko interfeisu). SSH arī spēj pārraidīt jebkuru citu tīkla protokolu, izmantojot drošu kanālu (portu pāradresācija), nodrošinot (ar atbilstošu konfigurāciju) iespēju droši pārsūtīt ne tikai X interfeisu, bet arī, piemēram, skaņu.
Tomēr SSH neatrisina visas tīkla drošības problēmas. Viņš koncentrējas tikai uz sniegšanu drošs darbs tādas lietojumprogrammas kā termināļa emulatori. SSH protokola ieviešanas izmantošana serveros un klientu lietojumprogrammās palīdz aizsargāt datus tikai pārvadāšanas laikā. SSH nekādā gadījumā neaizstāj ugunsmūrus, ielaušanās atklāšanas sistēmas, tīkla skenerus, autentifikācijas sistēmas un citus rīkus, kas palīdz aizsargāt informācijas sistēmas un tīklus no uzbrukumiem.
39. Servera loma un uzdevumi vietējā tīklā.
Vispārējā nozīmē serveris ir dators, kuram parasti ir augstas veiktspējas un citi skaitļošanas resursi, kas paredzēti, lai nodrošinātu noteiktas iespējas datoriem vietējā vai globālā tīklā. Šīs iespējas tiek sauktas tīkla pakalpojumi.
Servera uzdevumi:
1. piekļuves nodrošināšana organizācijas servera diskos glabātajiem datiem;
2. uzņēmuma datu bāzu uzglabāšana, apstrāde un piekļuve tām;
3. programmēta datu apstrāde, ko lietotājs viņam nosūta, un sniedz šim lietotājam galīgos rezultātus;
4. vietnes piegāde lietotājam, kurš to pieprasa;
5. sūtīšana, saņemšana, uzglabāšana un izplatīšana e -pastus ko sūta visi vietējā tīkla lietotāji.
Tīkla pakalpojumi.
Gala lietotājam tīkls nav datori, kabeļi un centrmezgli vai pat informācijas plūsmas, viņam tīkls, pirmkārt, ir tīkla pakalpojumu kopums, ar kuru viņš var apskatīt tīklā esošo datoru sarakstu. attālo failu, izdrukājiet dokumentu uz "sveša" printera vai nosūtiet pasta ziņojumu. Tieši sniegto iespēju kopums - cik plaša ir viņu izvēle, cik tās ir ērtas, uzticamas un drošas - nosaka lietotājam konkrēta tīkla izskatu.
Papildus faktiskajai datu apmaiņai tīkla pakalpojumiem ir jāatrisina arī citi, specifiskāki uzdevumi, piemēram, uzdevumi, ko rada sadalīta datu apstrāde. Šādi uzdevumi ietver vairāku datu kopiju konsekvences nodrošināšanu dažādās mašīnās (replikācijas pakalpojums) vai viena uzdevuma izpildes organizēšanu paralēli vairākās tīkla iekārtās (attālās procedūras izsaukšanas pakalpojums). Starp tīkla pakalpojumiem var atšķirt administratīvos, tas ir, tos, kas galvenokārt ir vērsti nevis uz vienkāršu lietotāju, bet gan uz administratoru un kalpo tīkla pareizas darbības organizēšanai kopumā.
Tīkla pakalpojumi tiek ieviesti programmatūrā. Primāros pakalpojumus - failu pakalpojumu un drukas pakalpojumu - parasti nodrošina tīkla operētājsistēma, savukārt atbalsta pakalpojumus, piemēram, datu bāzi, faksu vai balss pakalpojumu, nodrošina sistēmas tīkla lietojumprogrammas vai utilītas, kas cieši sadarbojas ar tīkla operētājsistēma. Vispārīgi runājot, pakalpojumu sadale starp OS un komunālajiem pakalpojumiem ir diezgan patvaļīga un atšķiras dažādās OS versijās.
Termins "pārredzamība" bieži tiek lietots, lai noteiktu koplietojamā resursa ērtības. Caurspīdīga piekļuve ir tāda piekļuve, kurā lietotājs nepamana, kur atrodas viņam nepieciešamais resurss - savā datorā vai attālajā. Kad viņš ir uzstādījis attālo failu sistēmu savā direktoriju kokā, piekļūstiet izdzēstos failus viņam kļūst pilnīgi caurspīdīgs. Pati montēšanas operācija var būt arī ar atšķirīgu caurspīdīguma pakāpi - tīklos ar mazāku pārredzamību lietotājam ir jāzina un komandā jānorāda tā datora nosaukums, kurā tiek glabāta attālā failu sistēma, tīklos ar lielāku pārredzamības pakāpi. , atbilstošā tīkla programmatūras sastāvdaļa meklē koplietotus failu apjomus neatkarīgi no to atrašanās vietas. krātuves un pēc tam nodrošina tos lietotājam viņam ērtā formā, piemēram, saraksta vai ikonu kopas veidā.
Kopīgu tīkla resursu adresēšanas (nosaukšanas) veids ir svarīgs pārredzamības nodrošināšanai. Koplietojamo tīkla resursu nosaukumi nedrīkst būt atkarīgi no to fiziskās atrašanās vietas konkrētā datorā. Ideālā gadījumā lietotājam nevajadzētu mainīt neko savā darbā, ja tīkla administrators ir pārcēlis sējumu vai direktoriju no viena datora uz citu. Pats administrators un tīkls operētājsistēma ir informācija par atrašanās vietu failu sistēmas, bet tas ir paslēpts no lietotāja. Šāda pārredzamības pakāpe tīklos joprojām ir reti redzama - parasti, lai piekļūtu konkrēta datora resursiem, vispirms ir jāizveido loģisks savienojums ar to. Šo pieeju izmanto, piemēram, Windows tīkli NT
