SSH (Zabezpečená škrupina- Chránená škrupina) -- toto je sieťový protokol zabezpečenie bezpečnej autentifikácie, pripojenia a bezpečného prenosu údajov medzi sieťovými hostiteľmi šifrovaním prenosu, ktorý ním prechádza, s možnou kompresiou údajov. Ďalší dôležitý funkčná vlastnosť, je schopnosť vytvárať zabezpečené, šifrované tunely pre bezpečný prenos cez nezabezpečené prostredie (napríklad internet), iné sieťové protokoly, ako aj schopnosť komprimovať prenos. Okrem toho protokol SSH funguje skvele s presmerovaním (presmerovaním, presmerovaním) portov jedného počítača na porty druhého vrátane presmerovania vzdialených klientov X Okno... Teraz protokol SSH, je štandard a je široko používaný napríklad pre serverové systémy, to znamená vykonávanie rôznych príkazov a manipulácií v serverovom plášti prostredníctvom zabezpečeného pripojenia, kopírovanie súborov cez sieť, napríklad zálohovanie údajov.
Protokol SSH, existuje v dvoch verziách, komerčnej verzii vyvinutej spoločnosťou SSH inc, a bezplatný, otvorený zdroj, OpenSSH ktorý sa používa hlavne na väčšine serverových platforiem. Implementácia OpenSSH, je k dispozícii v akomkoľvek operačnom systéme rodiny Unix a vo väčšine z nich SSH server a SSH zákazník, sú štandardné pomôcky... Všetko, čo je napísané nižšie, sa bude týkať OpenSSH a operačný systém FreeBSD. Existujú dve verzie protokolu SSH nie sú navzájom kompatibilné. Prvá implementácia protokolu SSH, SSH - 1, bol vyvinutý v roku 1995. Druhá verzia, SSH - 2, vydané v roku 1996. V roku 2006 protokol SSH bol prijatý IETF ako internetový štandard. Teraz je to druhá verzia protokolu, ktorá sa bežne používa. SSH pretože, po prvé, protokol SSH verzia 1 trpela vážnymi chybami zabezpečenia, za druhé, verzia 2 používa výkonnejšie šifrovacie algoritmy, navyše podporuje schopnosť detekovať úmyselné poškodenie údajov. Šifrovacie algoritmy:
- Protokol SSH verzia 1 DES, 3DES, blowfish
- Protokol SSH verzia 2 AES-128, AES-192, AES-256, blowfish, CAST-128, ArcFour
- Protokol SSH verzia 1 č
- Protokol SSH verzia 2 HMAC-MD5, HMAC-SHA-1, HMAC-RIPEMD
Metódy autentifikácie SSH, softvérový balík OpenSSH
Zabezpečenie protokolu SSH poskytované nasledujúcimi softvérovými riešeniami:- Šifrovanie všetkej prechádzajúcej dopravy SSH spojenie uskutočnené podľa jedného z možných algoritmov zvolených počas vyjednávania strán komunikačnej relácie. Šifrovanie prenosu údajov bráni jeho zachyteniu a použitiu na škodlivé účely. Výberom rôznych šifrovacích algoritmov sa systém stane veľmi flexibilným, čo napríklad umožní nepoužívať algoritmy, v ktorých boli nájdené zraniteľné miesta alebo potenciálne bezpečnostné hrozby, alebo používať iba tie algoritmy, ktoré podporuje každá zo strán;
- Overenie SSH server sa vždy vykonáva s akýmkoľvek pripojením, ktoré neumožňuje nahradiť prenos ani samotný server;
- Overenie SSH môže nastať klient rôzne cesty, čo na jednej strane robí samotný proces autentifikácie bezpečnejším, na strane druhej robí systém ešte flexibilnejším a uľahčuje prácu s ním;
- Kontrola integrity sieťových paketov umožňuje sledovať nelegálne zmeny v prevádzke spojenia, ak sa zistí táto skutočnosť, spojenie sa okamžite preruší;
- Dočasné parametre autentifikácie zabraňujú použitiu zachytených a po určitom čase dešifrovaných dát o pripojení.
- Na základe GSSAPI Overenie
- Hostiteľské Overenie;
- Autentifikácia užívateľa pomocou verejného kľúča;
- Overenie odpovede na výzvu ( výzva-odpoveď);
- A nakoniec obvyklé overovanie používateľov pomocou hesla;
- sshd je vlastne SSH server, program démona;
- ssh- klientsky program, ktorý sa stal náhradou za rlogin a telnet;
- scp- program na diaľkové kopírovanie prostredníctvom protokolu SSH, náhrada za rcp;
- sftp- zabezpečený ftp klient;
- sftp server- subsystém zabezpečujúci prenos súborov prostredníctvom protokolu SSH;
- ssh-keygen- generátor kľúčov
- ssh-keycan- "zberateľ" verejných hostiteľských kľúčov;
- ssh-agent- autentifikačný agent na uchovávanie súkromných kľúčov;
- ssh-add- malý program na pridávanie kľúčov do ssh-agent;
SSH umožňuje výber rôznych šifrovacích algoritmov. Klienti SSH a servery SSH sú k dispozícii pre väčšinu sieťových operačných systémov.
| SSH | |
|---|---|
| názov | Zabezpečená škrupina |
| Úroveň (model OSI) | Aplikované |
| Rodina | TCP / IP |
| Port / ID | 22 / TCP |
| Účel protokolu | Vzdialený prístup |
| Špecifikácia | RFC 4251 |
| Hlavné implementácie (klienti) |
Algoritmus Diffie-Hellman (DH) sa používa na vytvorenie zdieľaného tajomstva (kľúč relácie). Na šifrovanie prenášaných údajov sa používa symetrické šifrovanie, algoritmy AES, Blowfish alebo 3DES. Integrita prenosu údajov sa kontroluje pomocou CRC32 v SSH1 alebo HMAC -SHA1 / HMAC -MD5 v SSH2. Šifrované údaje je možné komprimovať pomocou algoritmu LempelZiv (LZ77), ktorý poskytuje rovnakú úroveň kompresie ako archivátor ZIP. Kompresia SSH je povolená iba na žiadosť klienta a v praxi sa používa len zriedka. Štandardy a implementácia softvéruPrvú verziu protokolu SSH-1 vyvinul v roku 1995 výskumník Tatu Ulönen z Helsinskej technickej univerzity (Fínsko). SSH-1 bol napísaný tak, aby poskytoval viac súkromia ako protokoly rlogin, telnet a rsh. V roku 1996 bola vyvinutá bezpečnejšia verzia protokolu SSH-2, ktorá nebola kompatibilná s SSH-1. Protokol získal ešte väčšiu popularitu a do roku 2000 mal asi dva milióny používateľov. V súčasnej dobe termín „SSH“ zvyčajne znamená presne SSH-2, pretože prvá verzia protokolu sa kvôli významným nedostatkom prakticky nepoužíva. V Pythone existujú moduly na používanie SSH, ako napríklad python-paramiko a python-twisted-conch. SSH tunelovanieTunel SSH je tunel vytvorený prostredníctvom pripojenia SSH a používaný na šifrovanie tunelovaných údajov. Slúži na zabezpečenie prenosu dát na internete (IPsec má podobný účel). Pri odosielaní cez tunel SSH je nešifrovaná prevádzka akéhokoľvek protokolu šifrovaná na jednom konci pripojenia SSH a dešifrovaná na druhom konci. Praktickú implementáciu je možné vykonať niekoľkými spôsobmi:
$ ssh -L 4430: jabber.example.com: 443 somehost V. tento prípad Klient Jabber je nakonfigurovaný na pripojenie k portu 4430 servera localhost (ak je klient ssh spustený na rovnakom počítači ako klient Jabber). Na vytvorenie tunela ssh potrebujete počítač so spusteným serverom ssh a prístupom na jabber.example.com. Túto konfiguráciu je možné použiť, ak je prístup na jabber.example.com z lokálneho počítača uzavretý bránou firewall, ale existuje prístup na server ssh, ktorý nemá žiadne obmedzenia prístupu na internet. |
SSH (Secure Shell) je sieťový protokol vzdialený prístup ktorý používa šifrovanie a kompresiu prenášaných údajov. Jednoducho povedané, je to veľmi užitočný a účinný nástroj, ktorý vám umožní autentifikovať sa v systéme a plne pracovať v mene miestny užívateľ byť vzdialený mnoho kilometrov od bežiaceho stroja. Na rozdiel od telnetu a rsh - SSH šifruje všetku komunikáciu, takže všetky prenášané informácie zostávajú dôverné.
Takže už máme nainštalovaný ssh a ssh-daemon sa pridá k spusteniu pri štarte systému. Môžete to ovládať príkazom:
služba ssh stop | štart | reštart
Na Ubuntu alebo:
/etc/init.d/ssh (štart | stop | znova načítať | vynútené načítanie | reštart | stav)
Na Debiane alebo:
systemctl start | stop | restart sshd.service
V ArchLinuxe (po každej úprave konfigurácie musíte reštartovať). Sada obsahuje klienta a server.
Skúsme to v akcii! Najprv vytvorte priečinok ~ / .ssh
mkdir ~ / .ssh
Generovať kľúče pre daný používateľ server s príkazom:
ssh-keygen (ako bežný používateľ).
Pri generovaní môžete pre kľúč nastaviť prístupovú frázu (odporúča sa nastaviť dlhú - potom, aj keď kľúč získate, ale heslo od neho nepoznáte, útočník sa nemôže prihlásiť) alebo môžete preskočte to jednoduchým stlačením klávesu „Enter“ - v takom prípade sa heslo nikdy nepýta. Rovnaké verejné a súkromné kľúče sa objavili v priečinku ~ / .ssh.
Nájdite iný počítač (aj smartphone to zvládne - v systéme Android existuje niekoľko skvelých klientov SSH, ako napríklad ConnectBot alebo JuiceSSH), nainštalujte naň ssh a pripojte sa k serveru pomocou príkazu:
Ak je všetko vykonané správne, budete vyzvaní na zadanie hesla používateľa a po zadaní sa ocitnete vo svojom systéme s pohľadom z príkazového riadka.
Mimochodom, pre Windows existujú aj servery a klienti ssh.
Keď sme si užili výsledok svojej práce, prejdeme k ešte nudnejšej časti - nastaveniu klienta / servera.
Konfigurácia na strane klienta je v / etc / ssh / ssh_config a ten serverový - / etc / ssh / sshd_config... Väčšina úplné vedenie pre konfiguráciu pravdepodobne existuje stránka v súboroch man - man ssh a man sshd_config, preto vám odporúčame prečítať si ju. A v tomto článku zvážime najnutnejšie veci.
Prispôsobenie
Štandardný port ssh je 22. Je možné ho zmeniť na akýkoľvek neštandardný (ťažšie sa hackuje kvôli bezpečnosti prostredníctvom nejasností alebo upútať pozornosť potenciálnych útočníkov :) - Ak to chcete urobiť, odkomentujte riadok:
#Prístav 22
A pridajte čokoľvek, čo chcete, až 65535 (uistite sa, že port nie je v konflikte s inými službami s príkazom #netstat -tupln | grep POČÚVAJTE).
Teraz, keď sa klient pripája k serveru, bude musieť napísať pomocou kľúča:
ssh -p [port]:
V predvolenom nastavení je prístup root povolený. Je veľmi vhodné obmedziť ho (a namiesto toho správne vymedziť lokálne používateľské práva pomocou sudo). Ak to chcete urobiť, nájdite riadok „PermitRootLogin“ a zmeňte hodnotu na „nie“. Môžete to tiež zmeniť na „bez hesla“ - v tomto prípade bude prihlásenie pod root povolené iba z počítačov s dôveryhodným kľúčom.
Môžete zakázať autentifikáciu heslom a pracovať iba s kľúčmi - nájdite riadok: „HesloAutentizácia“ a zmeňte hodnotu na „nie“. Za čo? Ak niekto skutočne chce získať prístup k vášmu systému, môže buď brutálne vynútiť zadanie hesla pri pokuse o autorizáciu, alebo počúvať a dešifrovať vaše pripojenie. Ak deaktivujete autentifikáciu heslom a na server pridáte do kľúčov ~ / .ssh / authorized_keys verejný kľúč vášho, napríklad pracovného prenosného počítača, potom, ako si pamätáme, budeme okamžite povolení na server. Ale čo keď pracujete na počítači niekoho iného a potrebujete súrne získať prístup na server ssh, ale ten nás, ako sa očakávalo, nepustí dovnútra? Potom nemôžete zakázať autentifikáciu heslom, ale použiť nástroj fail2ban. Stačí ho nainštalovať zo svojho úložiska, potom použije predvolené nastavenia a prinajmenšom ochráni váš kanál ssh pred útokmi hrubou silou. Viac o fail2ban - http://putty.org.ru/articles/fail2ban-ssh.html.
V prípade, že váš server uchováva kľúče na odpálenie jadrových rakiet, môžete urobiť niečo z tohto:
PermitRootLogin nie - prihlásenie pod root je zakázané.
PasswordAuthentication no - prihlásenie bez hesla
Vygenerujme dlhý kľúč na vzdialenom počítači (-t encryption_type, -b bitová dĺžka):
ssh -keygen -t rsa -b 4096
S rovnako komplexnou prístupovou frázou (obnovte zabudnuté heslo, mimochodom, nemôžeš. Môžete to zmeniť príkazom „ssh -keygen -p“, ale aj tak budete požiadaní o starý). Prenesieme verejný kľúč vzdialeného lokálneho počítača na ~ / .ssh / authorized_keys na serveri a voila - prístup je teraz možné získať z jedného počítača pomocou prístupovej frázy súkromného kľúča. SSH vám umožňuje nastaviť veľa konfigurácií zabezpečenia a má na to mnoho konkrétnych nastavení - prečítajte si o nich v programe man.
Dve možnosti sshd_config slúžia na rovnaký účel:
Prihláste saGraceTime- nastavuje čas, po ktorom sa spojenie preruší, ak nedôjde k autentifikácii.
MaxAuthTries- nastavuje počet nesprávnych pokusov o zadanie prihlasovacieho mena, po dosiahnutí ktorých sa spojenie ukončí.
MaxSessions- počet simultánnych relácií (ak je server váš domáci počítač, ku ktorému sa chystáte pripojiť z univerzity alebo z práce, potom by bolo rozumné obmedziť počet relácií na jednu - odmietnuté prihlásenie v tomto prípade spôsobí sa stali dôvodom na zvýšenie paranoje, generovanie nových kľúčov a zmenu hesla). Ak ste však pozorní, mohli ste si všimnúť, že pri každom prihlásení na server sa zobrazuje riadok „Posledné prihlásenie“. Okrem toho môžete pridať aj vlastnú uvítaciu správu - nájdite riadok „Banner“ a namiesto žiadneho nastavte cestu k súboru s textom, ktorý sa bude čítať a zobrazovať pri prihlásení.
Okrem iného môžete povoliť prihlásenie iba určitým používateľom alebo povoliť všetkým okrem určitých používateľov:
AllowUsers user1- povoliť vstup iba používateľovi1.
Užívateľ DenyUsers1- povoliť všetkým okrem user1.
A podobné parametre pre prístup určité skupiny- AllowGroups a DenyGroups.
Môžete tiež reláciu SSH a X11. Ak to chcete urobiť, nájdite riadok „ForwardX11“ a zmeňte hodnotu na „áno“.
Nájdite podobný riadok v konfigurácii klienta - / etc / ssh / ssh_config a tiež zmeňte na „áno“.
Teraz sa musíte pripojiť k serveru pomocou ssh s argumentom -X:
ssh -X [chránené e -mailom]>
Po pripojení môžete aplikáciu ihneď spustiť:
ssh -X [chránené e -mailom]"aplikácia"
Takto vyzerá spustený GIMP v relácii ssh:
Alebo môžete získať výstup z webovej kamery prenosného počítača nič netušiaceho používateľa :)
Výpočty sa vykonávajú priamo na serveri a výstup je odoslaný na klientsky počítač (to znamená, že aj keď samotný server nemá X11, grafické aplikácie je možné vykresľovať na vašom vzdialenom počítači). Táto schéma funguje pomerne pomaly (nezabudnite, že všetka prevádzka je dynamicky šifrovaná) - ale táto funkcia je veľmi užitočná.
Súbory môžete kopírovať aj cez reláciu SSH - na to existuje jednoduchý nástroj „scp“. Súbory môžete prenášať priamo v relácii zo servera na klienta:
scp [chránené e -mailom]: / cesta / k / súboru / na / server / kde / uložiť / na / lokálne / stroj
Takže z klienta na server:
cesta scp / do / súboru / klienta [chránené e -mailom]: / cesta / na / server
Je to celkom výhodné, ak potrebujete skopírovať učebnicu alebo fotografiu, ale čo keď musíte pracovať s mnohými súbormi? Existuje na to veľmi pohodlná vec - sshfs (dostupné na inštaláciu do úložísk väčšiny systémov * nix).
Stačí nastaviť cestu ako scp:
sshfs [chránené e -mailom]: / home / user / mnt /
A priečinok / home / user servera sa objaví v bode pripojenia / mnt lokálneho počítača!
Odpojenie sa vykonáva pomocou umount.
A na záver si povedzme jednu málo známu funkciu. Ak vytvoríte súbor /.ssh/config a vyplňte ho takto:
Meno hosťa]
Meno hosťa
Používateľ [používateľské meno servera]
požadované možnosti
Páči sa mi to
Vpred X11 áno
Prístav 30 000
Potom sa môžeme prihlásiť pomocou:
ssh [meno]
ssh -X -p 30 000 [chránené e -mailom]
A všetky možnosti sa vyberú automaticky. Vďaka častej autentifikácii na konkrétnom serveri si preto tento proces zjednodušíte na niekoľko okamihov.
Pokryli sme všetko (a ešte viac), čo potrebujete vedieť o SSH na jeho každodenné použitie - naučili sme sa používať autentifikáciu kľúčom, chránili sme server pred útokmi hrubou silou a vo všeobecnosti sme opravili väčšinu potenciálnych dier. SSH v skutočnosti dokáže oveľa viac vecí - napríklad tunelovanie a presmerovanie portov prostredníctvom relácie ssh, ale je nepravdepodobné, že by ste to ako najbežnejší používateľ niekedy použili. Dodatočné zdroje
Úvod
V predchádzajúcom čísle boli v článku o zabezpečení internetových serverov prediskutované otázky súvisiace s výberom platformy a operačného systému internetového servera, bezpečnosti servera vo všeobecnosti, o práci s používateľmi a o pracujúci a nastavenia brány firewall... Stručne pripomeniem, že uvažujeme o správe malej kancelárie alebo domácej siete, ak máte jeden alebo dva vyhradené počítače. V prvom prípade, keď je jeden počítač bránou firewall plus poštový server„Webový server a možno aj server ftp. Jednoducho povedané, vyhradený počítač sa používa ako druh zdieľaného zdroja. V druhom prípade, čo znamená prítomnosť veľká sieť, jeden počítač sa používa ako brána plus brána firewall a druhý sa používa ako poštový server, webový server atď. V zásade je výhodnejší druhý spôsob, pretože bránu fyzicky oddelíte ako predmet prvého možného útoku hackerov a od zdieľaný server siete. V každom prípade v budúcnosti môžete z počtu vyhradených počítačov abstrahovať a pamätať na to, že aj keď sú dva, je nerozumné ich zaťažovať inými úlohami.
Všetky nasledujúce pokračujú v riadku predchádzajúceho článku, ktorý predpokladá, že ako server sa používa počítač Linux a používateľ je oboznámený s Linuxom a sieťami na základnej úrovni. Námety na tieto príklady sú požičané z rôznych tutoriálov pre Linux. Na aké otázky sa teda budeme tentokrát pozerať? Najprv serverové aplikácie, ktoré budete chcieť nainštalovať na server. Za druhé, sieťové útoky (vrátane typov vírusov v systéme Linux a trójskych koní) a metódy ich riešenia. Prečo sú tieto otázky spojené v jednom článku? Faktom je, že k hacknutiu zvyčajne dochádza buď z nedbanlivosti správcu, alebo z dôvodu medzier v ochrane serverových aplikácií. Klient, ako už zo samotného slova vyplýva, nekontroluje zdroje systému, takže je zrejmé, že predmetom útoku môžu byť servery.
Ochrana serverových aplikácií
Každý, kto pozná UNIX, si uvedomuje, že takmer každý sieťový program môže byť použitý ako klient aj ako server. V prvom prípade využívate služby, v druhom ich poskytujete. Je zrejmé, že obe časti sú potrebné v sieťovej službe. Otázkou je, aký druh serverových programov je potrebný na serveri vo vašej sieti. Pri inštalácii Linuxu si môžete samozrejme vybrať aspoň všetko, pretože inštalácia na disk neznamená ešte začať. Ale ktoré z nich aktivovať neskôr? Existuje jednoduchý recept, ktorého sa pri práci so servermi vždy držím - čím menej aktivovaných serverov, tým lepšie (všeobecnejšie: čím je vec komplikovanejšia, tým je jednoduchšie ju prelomiť). Bez ohľadu na to, ako často hovoríte o spoľahlivosti systému UNIX, sú tu diery pravidelne objavované a opravované. Preto čím menej programov spustíte, tým menej ich budete musieť monitorovať. V skutočnom živote by sa to však nemalo obmedziť na skutočnosť, že používateľom zakazujete doslova všetko. Je to samozrejme bezpečné, ale prečo sa namáhať so správcom? Určite by ste však nemali dávať nepotrebné veci, ako napríklad wais.
Telnet a ssh
Teraz sa pozrime bližšie na to, čo skutočne potrebujú interní aj externí používatelia. Potrebujeme telnet a ssh (bezpečný shell). Možno to nie je veľmi pohodlný prístup, ale je potrebný, prinajmenšom pre správcov. Jedná sa o program, ktorý poskytuje prístup v terminálovom režime, keď sa na vašom počítači zobrazí okno s rozmermi 80 x 25 znakov, ktoré úplne odráža volaný server. Môžete vykonať ľubovoľný príkaz a spustiť programy, ktoré nepoužívajú grafiku - vo všeobecnosti je to bežný vzdialený terminál. Rozdiel medzi telnetom a ssh vyplýva z názvov, ale napriek tomu to vysvetlíme: telnet prenáša informácie nechránené, dokonca aj heslo sa prenáša cez sieť vo forme čistého textu a ssh šifruje všetky prenášané informácie. Ak si chcete byť viac -menej istí ochranou, vypnite používanie telnetu alebo ho vôbec nespustite. Ak ho však chcete aj naďalej používať, musíte samozrejme použiť bránu firewall. Štandardné príkazy môžu byť nasledujúce:
pre ipfwadm -
Ipfwadm -I -a akceptovať -P tcp -S 10.0.0.0/8 -D 0.0.0.0/0 23 ipfwadm -I -a prijať -P tcp -S some.trusted.host -D 0.0.0.0/0 23 ipfwadm - I -a odmietnuť -P tcp -S 0,0.0,0/0 -D 0,0,0,0/0 23
pre ipchains -
ipchains -A vstup -p all -j ACCEPT -s 10.0.0.0/8 -d 0.0.0.0/0 23
Ipchains -A vstup -p all -j ACCEPT -s some.trusted.host -d 0.0.0.0/0 23 ipchains -A vstup -p all -j DENY -s 0.0.0.0/0 -d 0.0.0.0/0 23
Môžete tiež použiť súbory /etc/hosts.allow a /etc/hosts.deny, pre ktoré by ste mali napísať:
v prvom súbore -
In.telnetd: 10.0.0.0/255.0.0.0, some.trusted.host
v druhom súbore -
In.telnetd: VŠETKO
Všimnite si toho, že aj keď sú tieto pravidlá povolené, akýkoľvek program počúvajúci v sieti niekde pozdĺž cesty paketu s heslom ho môže zachytiť.
Dva ďalšie dôležité súbory s informáciami o zabezpečení systému sú / etc / securetty a / etc / shells. Prvý určuje terminály, z ktorých sa môže užívateľ root prihlásiť. Na väčšine systémov sa predvolene môže užívateľ root prihlásiť iba z konzoly. Druhý súbor určuje zoznam platných obalov, ktoré je možné spustiť, keď sa používateľ prihlási. Pekný príklad, ktorý som vzal z manuálu Linuxu, je použitie passwd ako shellu. To poskytuje užívateľom jednoduchú zmenu hesla a tiež zaisťuje, že v terminálovom režime nerobia nič iné. Za týmto účelom zadajte samotný program passwd do súboru / etc / shells, to znamená, zadajte riadok:
/ usr / bin / passwd
a do súboru / etc / passwd napíšte o používateľovi:
Používateľské meno: x: 1000: 1000 :: / domov / používateľské meno: / usr / bin / heslo
Teraz, keď sa používateľ prihlási do siete, môže zmeniť iba heslo. Výstup na terminál vyzerá takto:
Pokúša sa 1.2.3.4 ... Pripojené k localhost. Úniková postava je "^]". Red Hat Linux release 5.2 (Apollo) Kernel 2.2.5 on i586 login: tester Heslo: Zmena hesla pre tester (aktuálne) Heslo UNIX: Nové heslo UNIX: Znova zadajte nové heslo UNIX: passwd: všetky autentifikačné tokeny boli úspešne aktualizované Pripojenie zatvorené cudzími hostiteľ.
Aj keď bol pokus o zmenu hesla neúspešný, bude odpojený od systému. Pri pripájaní by ste mali dávať pozor aj na výstup pri spustení: telnet poctivo napíše názov a verziu systému. Vo všeobecnosti je to pohodlné, ale v tomto prípade potenciálnemu hackerovi poskytnete informácie, ktoré môže použiť na svoje vlastné účely. Ako sa tomu môžeš vyhnúť? Keď sa používateľ prihlási, telnet zobrazí súbor /etc/issue.net vytvorený pri spustení systému. Je vytvorený príkazmi v súbore rc.local:
# Toto prepíše / etc / issue pri každom spustení. Vykonajte tu teda zmeny, ktoré chcete # vykonať v priečinku / etc / issue, inak ich prídete o reštart. echo ""> / etc / issue echo "$ R" >> / etc / issue echo "Kernel $ (uname -r) on $ a $ (uname -m)" >> / etc / issue cp -f / etc / problém /etc/issue.net echo >> / etc / issue
Ak teda nepreťažujete systém, môžete jednoducho upraviť súbor /etc/issue.net, inak upravte samotný rc.local. V každom prípade sa telnet odporúča iba vtedy, keď je skutočne potrebný, a nemožno ho nahradiť ssh.
Ssh je podobný telnetu z pohľadu používateľa. Na rozdiel od telnetu, ktorý používa port 23, používa 22, ale hlavný vnútorný rozdiel je v tom, že všetka prevádzka je šifrovaná. Vo všetkých ostatných ohľadoch sú si podobné. Pre ssh môžete použiť rovnaké pravidlá brány firewall (s nahradeným číslom portu) a nastavenia v súboroch /etc/hosts.allow, /etc/hosts.deny. Príjemnou vlastnosťou je prítomnosť vlastného konfiguračného súboru / etc / sshd / sshd_config obsahujúceho nasledujúce konfiguračné riadky:
Port 22 # číslo portu, ktoré môže byť viac ako 22 ListenAddress 0,0.0.0 # aké adresy démon HostKey obsluhuje / etc / ssh / ssh_host_key # súbor kódov klientov RandomSeed / etc / ssh / ssh_random_seed # súbor náhodných čísel slúžiaci na generovanie kódov ServerKeyBits 768 # dĺžka kódu v bitoch LoginGraceTime 300 # čas zadania mena a hesla KeyRegenerationInterval 3600 # frekvencia regenerácie kódov PermitRootLogin nie # bez ohľadu na to, či sa užívateľ root môže prihlásiť pomocou ssh IgnoreRhosts áno # Ignorovať alebo nie informácie zo súboru užívateľa rhosts StrictModes áno # prísny režim, blokovanie nedostatkov používateľa, napríklad zadanie hesla 5 -krát # alebo náhodné stlačenie zadajte QuietMode nie # áno - súbor denníka sa vôbec nezapíše a nie - inak X11Posielanie nie # prenáša informácie zo servera X prostredníctvom kanála ssh FascistLogging nie # stupeň úplnosti súborov denníka PrintMotd áno # zobrazí nejakú frázu dňa KeepAlive áno # udržiavajte komunikáciu poskytovaním štandardného odpojenia SyslogFacility DAEMON # ktorý je zodpovedný za generovanie protokolov RhostsAuthentication nie # povoľuje autentifikáciu užívateľa prostredníctvom rhostov RhostsRSAAuthentication nie # bez ohľadu na to, či je alebo nie je overovanie pomocou rhostov alebo /etc/hosts.equiv dostačujúce # v predvolenom nastavení je toto nastavené to yes RSAAuthentication yes # use only RSA authentication PasswordAuthentication yes # use users their normal passwords or not PermitEmptyPasswords no # allow users without password or not
Existuje tiež niekoľko užitočných nastavení, najmä:
AllowGroup, DenyGroup, AllowUsers, DenyUsers, AllowHosts, DenyHosts, IdleTimeout time (čas, po ktorom bude pripojenie prerušené v prípade nečinnosti).
Ako vidíte z vyššie uvedeného, ssh má vo všeobecnosti toľko možností, že môžete presne ovládať, kto a ako sa môže prihlásiť. Ide však o server a používatelia siete musia používať klientov ssh. Na rozdiel od telnetu, ktorý je k dispozícii v systéme Windows, ssh nie je súčasťou štandardnej distribúcie. Linux nemá tento problém - je tu aj klient. Je dôležité si uvedomiť, že démon ssh je k dispozícii v prvej aj druhej verzii. Je samozrejme nepríjemné, že neexistuje spätná kompatibilita, ale som si istý, že ako správca poskytnete používateľom tie klienty, ktorí budú môcť komunikovať so serverom. Tu je niekoľko klientov ssh pre Windows:
- Čerstvé bezplatné FiSSH. http://www.massconfusion.com/ssh/
- Termín Tera. http://hp.vector.co.jp/authors/VA002416/teraterm.html klient telnetu. http://www.zip.com.au/~roca/ttssh.html - ďalší dll pre podporu ssh
- Tmel. http://www.chiark.greenend.org.uk/~sgtatham/putty.html - iba asi 200 000
- Mindterm http://www.mindbright.se/mindterm/ - ssh klient Java
- Aplikácia Java Telnet. http://www.mud.de/se/jta/ - existuje podpora ssh
- Zabezpečte CRT. http://www.vandyke.com/ - komerčný klient
Je potrebné spomenúť terminálový prístup v súvislosti s programami ako rlogin, rexec, rsh. Ich používanie postráda akúkoľvek ochranu a niekedy dokonca umožňuje používateľom prejsť z počítača na počítač bez zadania hesla. Aj keď je to pohodlné, z hľadiska bezpečnosti to jednoducho nie je na nič dobré. Tieto služby sa zvyčajne spúšťajú predvolene. Ak ich chcete vrátiť späť, musíte upraviť súbor /etc/inetd.conf a reštartovať démona inetd. Telnet a ssh vo všeobecnosti vyčerpávajú možnosti koncového prístupu do systému. Prejdeme teda k ďalším serverovým aplikáciám, ktoré sú pre používateľov užitočné.
Mail alebo e-mail
Čo je potrebné k tomu, aby ľudia mali poštu, bez ktorej si komunikáciu medzi ľuďmi už často nemožno predstaviť? Pomerne bežným spôsobom je nainštalovať poštový server, vytvoriť poštovú schránku pre každého používateľa a nakonfigurovať pop-daemona, aby si ľudia mohli túto poštu prevziať. Aby však server mohol prijímať a odosielať listy, musí byť na ňom nainštalovaný poštový program ako sendmail, postfix alebo qmail, ktorý spracováva poštu na počítači so systémom UNIX. Na tento účel sa tradične používa sendmail. Teraz sa používa aj na väčšine počítačov, ale ďalšie dva spomenuté programy sú dobré a dokonca vylepšené náhrady. Ako obvykle, hlavné starosti však súvisia s ochranou najnovšie verzie sendmail (8.9.x) sú dosť robustné.
Sendmail je k dispozícii na všetkých systémoch Linux, pričom najnovšie distribúcie pravdepodobne obsahujú verziu 8.9.x. Program používa niekoľko konfiguračných súborov, ktoré v procese analyzuje. Ale skôr, ako hovoríme o konfigurácii, poznamenávame, že program je možné spustiť ako démon aj v pohotovostnom režime. V prvom prípade bude neustále počúvať port a v druhom prípade bude aktivovaný raz a jednoducho spracuje všetky prichádzajúce informácie. Druhá metóda je výhodnejšia z hľadiska bezpečnosti. Na tento účel stačí odstrániť parameter -bd zo štartovacieho riadku.
Teraz o konfigurácii. Hlavným súborom je sendmail.cf, ktorý môže, ale nemusí mať odkazy na iné súbory. Analyzuje sa tiež prístupový súbor, kde môžete zadať adresy, z ktorých (alebo na ktoré) písmená nebudú odoslané. Napríklad položky:
10.0.0 RELÉ spam.com ODMIETNUTIE
znamená, že e -maily z adries .spam.com nebudú akceptované a e -maily z internej siete je možné prijímať a odosielať.
Ďalším užitočným a používaným súborom sú prezývky. Špecifikuje, ktoré názvy budú interpretované ako názov danej schránky. Ak napríklad nastavíte
Petrov: hviezda
listy prichádzajúce do Petrova o [chránené e -mailom] budú odoslané do schránky [chránené e -mailom] aj keď niekto nevie skutočná adresa... Je to užitočné najmä vtedy, ak chcete, aby e -maily prichádzali manažérovi, ktorý chce mať schránku nie so správcom mien, ale so svojim vlastným. To znamená, že správca poskytne svoju adresu iba tým, ktorí to uznajú za vhodné, a správca zavesí na webovú stránku. Očividne to prinesie maximálne pohodlie v prípade zmeny manažéra. Do tej istej schránky je možné presmerovať ľubovoľný počet mien.
Súbor Virtusertable špecifikuje mapovanie jednej adresy na inú, napríklad:
[chránené e -mailom] manažér
Použitím týchto dvoch súborov (aliasov a Virtusertable) je možné implementovať duplikáciu pošty, ktorá uloží všetku prichádzajúcu poštu. Ide o to, že sa najskôr pozrie na súbor použiteľný ako virtuálny používateľ a potom na prezývky. Ak s posledným záznamom v Virtusertable v súbore aliasov napíšeme:
Správca: hviezdička, " / var / spool / mail2 / hviezdička"
potom pošta doručená na adresu správcu a hviezdičku bude zapísaná do normálneho adresára / var / spool / mail a / var / spool / mail2.
Jeden z hlavných rozdielov medzi postfixom a sendmailom je modularita (ktorú má aj qmail). Na rozdiel od sendmailu iba malá časť kódu, iba jeden modul, beží ako root a všetky ostatné časti sú spustené podľa potreby a majú svoje vlastné nastavenia. Konfiguračné súbory postfixu sa spravidla nachádzajú v / etc / postfix. Súbor manager.cf spravuje prevádzku rôznych modulov, pričom určuje používateľov, pod ktorými bežia, a počet procesov. Súbor main.cf je hlavným konfiguračným súborom a nastavuje základné parametre samotnej pošty. Tu je jeho približná forma s vysvetleniami (presnejšie tie komponenty, ktoré s najväčšou pravdepodobnosťou bude potrebné upraviť):
# názov počítača názov_hostiteľa = mail.example.org # doména mydomain = example.org # z ktorej adresy odosielate e -maily myorigin = $ mydomain # na ktorých rozhraniach spustíte program inet_interfaces = všetky # súbor virtuálnych mien virtual_maps = hash: / etc / postfix / virtuálny # súbor náhradných názvov alias_maps = hash: / etc / postfix / aliases # adresár, kam by mala byť pošta umiestnená, keď ju používateľ prijme home_mailbox = Maildir / # kam uložiť poštu mail_spool_directory = / var / spool / mail # príkaz na načítať poštu mailbox_command = / usr / sbin / scanmails # súbor označujúci adresy, z ktorých a na ktoré by sa mala odosielať pošta # relay_domains = / etc / postfix / relaydomains # local machines mynetworks = 10.0.0.0/24, 127.0.0.0/8 # čo na výstup, ak sa používatelia pripoja k portu 25 smtpd_banner = $ myhostname ESMTP $ mail_name
Program postfix je možné získať na adrese http://www.postfix.org.
Teraz sa porozprávajme o protokoloch POP a IMAP. Prvý funguje na 110. porte, druhý - na 143. mieste. V zásade obidva sledujú rovnaký cieľ, ale sú implementované rôznymi spôsobmi. POP (protokol pošty) je dosť starý a zlý protokol. Všetko, čo umožňuje, je pripojiť sa k serveru, prijímať poštu a odstraňovať ju zo schránky na serveri. Protokol IMAP pokročilejšie. Umožňuje vám spravovať vašu poštu priamo na serveri. Nemusíte sťahovať všetku poštu, ale vezmite si iba hlavičky listov, vytvorte na serveri adresáre a distribuujte medzi nimi poštu. Z bezpečnostného hľadiska sú tieto protokoly rovnaké, preto je vhodné použiť bránu firewall, aby ste sa vyhli problémom. Návštevnosť týchto protokolov môžete tiež vložiť do ssh. Je veľmi dôležité skontrolovať poštu, či neobsahuje vírusy. Napriek tomu, že vírusy nie sú v systéme UNIX strašidelné, pretože mnoho používateľov používa systém Windows, je múdre spúšťať e -maily pomocou programu na skenovanie, ako je napríklad AMAVIS. Najľahší spôsob, ako to urobiť (samozrejme sa predpokladá, že program AMAVIS je už nainštalovaný), ak je v konfiguračnom riadku postfix
Mailbox_command = / usr / bin / procmail
Mailbox_command = / usr / sbin / scanmails
Stručne o tom, ako používateľ prijíma a odosiela poštu na pracovisku. Našťastie všetky populárne programy sú klientmi POP alebo IMAP (myslím tým aspoň Netscape a Outlook). Navyše, ak správca udelil možnosť prístupu na server prostredníctvom telnetu alebo ssh, môžete si prezerať poštu a pracovať s ňou v terminálovom režime (vyzdvihnutie v tomto prípade je ťažšie). Na to sa musíte pripojiť k serveru a v termináli spustiť nejaký poštový program, napríklad poštu alebo borovicu. Ten druhý je oveľa pohodlnejší a je to program na celú obrazovku s ponukou, iba v textovom režime.
Prístup k súborom a sieťová tlač
V systéme UNIX existujú dva štandardné nástroje- NFS a LPD. Prvý vám umožňuje vytvoriť sieťové súborové systémy a druhý tlačiť na tlačiarni. Pokiaľ ide o využitie zdrojov zariadenia UNIX z Windows, na to je podľa mňa najvhodnejšia Samba (SMB). Tento program vám umožňuje prístup k súborom a tiež poskytuje možnosť sieťovej tlače z počítača so systémom Windows prostredníctvom servera UNIX. Pretože sa tento článok týka predovšetkým zabezpečenia servera, treba poznamenať, že zdieľanie zdrojov v rámci siete nie je pri bežnej konfigurácii pravidiel externého firewallu nebezpečné. Tu môžu nastať problémy iného plánu súvisiace so skutočnosťou, že nie každý by mal mať prístup k týmto alebo tým informáciám, ale to je úplne regulované nastavením atribútov súborov a adresárov. Bez ohľadu na to, aký ste bystrý správca, nemôžete zabrániť situácii, keď napríklad niekto zabudne ukončiť reláciu ssh a odíde od počítača. Je to iná vec, ak niektorým súborom povolíte prístup na čítanie, ale sú to príliš zrejmé veci, o ktorých by ste sa museli pozastavovať. Preto sa teraz zameriame na zváženie serverových aplikácií, ktoré sú užitočné nielen pre interných používateľov, ale aj pre externých. Mám na mysli predovšetkým webový server a možno ftp. Teraz je ťažké si predstaviť najmenšiu spoločnosť alebo dokonca iba sieť bez prvej a prítomnosť druhej závisí od toho, či skutočne potrebujete oddelene nahrať niektoré údaje na server ftp.
Webové a ftp servery
Apache je nesporným lídrom v oblasti popularity a výkonu na niekoľkých v súčasnosti existujúcich webových serveroch. Tento server kombinuje rýchlosť, stabilitu, vysoké zabezpečenie a zároveň je zadarmo. Nie je vždy možné nájsť taký program na vlastné účely, ale tu je. A musíme priznať, že autori programu vynakladajú veľké úsilie na dosiahnutie maximálnej účinnosti a spoľahlivosti. V prvom rade si všimnite, že ak svoj webový server používate iba na interné účely, ako je napríklad správa systému alebo zdieľanie súborov, mali by ste ho určite firewall pred vonkajším svetom. Ak je to server pre každého, potom musíte pochopiť, že je otvorený pre každého. Preto je potrebné ho správne monitorovať, a to: starostlivo a správne ho nakonfigurovať a monitorovať súbory denníka, aby bolo možné vopred určiť možný útok. Pokiaľ ide o bezpečnosť, samotný server má veľmi malý prístup do systému, pretože iba jeho prvá kópia beží ako root a ostatné sú spravidla spustené ako nikto. Okrem toho je v nastaveniach servera, to znamená v súboroch httpd.conf, smr.conf, access.conf, jasne uvedené, ku ktorým adresárom má server prístup a ku ktorým nie. Ak do súboru httpd.conf napíšete napríklad:
potom výslovne uvediete, že server má prístup iba k adresáru / WWW, kde musíte umiestniť všetok materiál stránok (alebo stránok), ktorých prácu server poskytuje. Ak si chcete byť istí, že nikto nezmení prístupové práva, napríklad zahrnutím súboru .htaccess do niektorého adresára, potom do súboru srm.conf zadajte:
Z bezpečnostného hľadiska nemá zmysel hovoriť podrobnejšie o iných nastaveniach, najmä preto, že inštalácia a minimálna konfigurácia servera Apache boli popísané v predchádzajúcom čísle v článku venovanom tejto téme.
O použití protokolu https (zabezpečený http) je potrebné sa osobitne pozastaviť. Tento protokol zvyčajne beží na porte 443 (na rozdiel od štandardného http bežiaceho na porte 80). Existujú najmenej dva spôsoby, ako obohatiť Apache o zabezpečený http. Prvým je použitie doplnku z open-ssl, druhým je použitie modulu mod_ssl. Obe možnosti vedú k takmer rovnakým výsledkom. Vo všeobecnosti je možné nadviazať pripojenia pomocou protokolu https na porte 443. Tým sa vytvorí certifikát pre server, ktorý budú klienti overovať po pripojení. Tým sa vylúči (samozrejme, nie s absolútnou zárukou) odpočúvanie návštevnosti. Na vytvorenie certifikátu pri použití openssl musíte zadať príkazy:
Otvorí genrsa -des3> httpsd.key otvorí požadovanú požiadavku -nové -kľúč httpsd.key> httpsd.csr
okrem toho musia byť súbory v tom istom adresári, kde sú umiestnené konfiguračné súbory servera. Aby server správne fungoval s portom 443, budete musieť tiež zmeniť konfiguračné súbory. Potrebujú napísať niečo podobné
# počúvanie na porte 443 (v predvolenom nastavení server počúva iba na 80. porte) Počúvať 443 # zakázať globálne využitie ssl SSLDisable # miesto, kde server bude ukladať dočasné informácie počas pripojenia ssl. Bez # tohto nastavenia nebude server fungovať port SSLCacheServerPath / usr / bin / gcache #, prostredníctvom ktorého server komunikuje s CashServer SSLCacheServerPort 12345 # CashServer časový limit SSLSessionCacheTimeout 300
Po týchto nastaveniach je váš server v zásade pripravený pracovať s protokolom https, ale zatiaľ je tento protokol zakázaný. Odporúčame vytvoriť virtuálneho hostiteľa, ktorý má rovnaký názov ako predvolený, ale s explicitným označením portu 443, inými slovami, teraz máte spustený webový server. Beží na porte 80 a používa protokol http. Pridaním apache-ssl a vyššie popísaných nastavení ste používateľom poskytli možnosť komunikovať s vašim serverom prostredníctvom protokolu https. Je nepravdepodobné, že by všetky informácie na vašom serveri boli natoľko utajované, že ich budete chcieť poskytnúť iba v režime zabezpečeného pripojenia. Server Apache vám umožňuje vytvárať virtuálne počítače, to znamená, že môžete hostiteľovi deklarovať koreňový podadresár, pomenovať ho, napísať sadu konfiguračných súborov a všetko ostatné, čo je potrebné, ale fyzicky bude umiestnený vo vašom počítači. a bude riadený vašim vlastným serverom ... V našom prípade nie je ani potrebné dávať iné meno, pretože je to rovnaký, iba iný port. Takto môže vyzerať toto nastavenie:
Okrem http existuje aj ftp - užitočná a praktická služba, najmä ak máte veľa súborov, ktoré si používatelia musia stiahnuť (napríklad poskytnete niekoľko výskumných údajov). Výhodou ftp oproti http je rýchlosť. Protokol ftp má minimálne režijné náklady. Je s ním však veľa problémov. Hlavným je jeho „vek“: ftp je starý ako telnet. Odtiaľto okamžite nastanú komplikácie súvisiace s bezpečnosťou: používateľské meno a heslo sa prenášajú jasne a prenos prenášaných informácií nie je ničím chránený. Okrem ftp môže prenášať iba súbory. Preto ak máte nejaké informácie, ktoré sú dostupné pre všetkých, potom je rozumné vytvoriť jedného používateľa, pod ktorého meno zadá každý. V takýchto archívoch ftp sa tento používateľ nazýva anonymný a ako heslo zadá svoju e-mailovú adresu. V tomto prípade je problémov s bezpečnosťou oveľa menej. Navyše, v prípade, že potrebujete poskytnúť prístup ftp viacerým používateľom, urobte krok späť, aby mohli súbory vkladať iba do vlastných adresárov. Pokiaľ ide o servery, potom sú samozrejme k dispozícii v štandardných balíkoch, ale možno nebudete chcieť nainštalovať štandardný ftpd, ale iný.
Jeden z populárnych serverov ftp je proftpd. Jeho konfiguračné súbory sú podobné súborom Apache, čo vám uľahčuje prispôsobenie sa im, pretože vašim webovým serverom je pravdepodobne Apache. Hlavný konfiguračný súbor je /etc/proftpd.conf. Jeho približná podoba môže byť nasledovná:
ServerName "ProFTPD Default Installation" ServerType inetd DefaultServer on Port 21 Umask 022 MaxInencies 30 User Nobody Group Nobody
Vyššie uvedený zoznam naznačuje, že server je spustený pomocou inetd, na štandardnom 21. porte, maximálny počet kópií je 30 a začína sa ako skupina a používateľ nikto. 022 - maska atribútov súboru počas vytvárania, ktorá bude pôvodne použitá štandardne. Táto konfigurácia neumožňuje prístup k anonymnému používateľovi. Aby ste to urobili, musíte napísať približne nasledujúce konfiguračné nastavenia:
Po tomto doplnení bude možné pracovať ako anonymné a iba čítať, to znamená sťahovať súbory. Uvediem ďalší príklad nastavenia práv na používanie adresárov:
Takýto záznam v konfiguračnom súbore poskytuje prístup na zápis, ale neoprávňuje na sťahovanie súborov. Je to užitočné, ak chcete, aby používatelia mohli nahrávať súbory, ale aby nevideli, čo vložili ostatní.
Tým je téma serverových aplikácií ukončená. Samozrejme, treba poznamenať, že existuje oveľa viac serverových aplikácií: existuje aj server DNS, spravodajské servery, servery NIS, server X a mnoho ďalších zaujímavých a užitočných aplikácií. Skúsil som sa však zamerať na to, čo môže byť skutočne potrebné pri prevádzke siete, ktorá o sebe netvrdí, že je globálnym kyberpolisom alebo poskytovateľom. Teraz prejdeme k úvahe o druhej otázke naznačenej na začiatku článku - k sieťovým útokom a hackom.
Sieťové útoky a hacky
Na úvod niekoľko všeobecných slov. V systéme UNIX na rozdiel od systému Windows nie je problém s vírusmi. Vnútorná štruktúra prideľovania pamäte a povolení súborov si sama poradí s tým, čo vírusy zvyčajne robia v starom DOS alebo Windows. Hlavnou prekážkou vírusov (v ich štandardnom zmysle) je nedostatok prístupu k fyzickým zariadeniam pre programy bežiace v mene bežného používateľa, ako aj skutočnosť, že atribúty súborov nie sú nastavené vôbec, ale pre používateľa, skupinu a všetci používatelia. V systéme Windows nič také neexistuje (toto je čiastočne implementované v systéme Windows 2000). Aj keď je obťažovanie spôsobené tradičnými vírusmi takmer nemožné, systémy UNIX sú stále hacknuté a zničené. Je to spôsobené prítomnosťou úplne odlišných technológií, ktoré je možné zhruba rozdeliť do dvoch kategórií. Prvým sú takzvané trójske kone, čo sú programy, ktoré zdanlivo a možno v skutočnosti vykonávajú celkom rozumné a právne kroky. Paralelne však vykonávajú aj inú „prácu“: počúvanie siete alebo zbieranie informácií o heslách a ich odosielanie do siete atď. Tieto programy samy osebe pravdepodobne nepoškodia - budú skôr prostredníkmi medzi vašim systémom a externým útočníkom. Druhou kategóriou sú hacky do siete. Tieto akcie pôvodne nelákajú na vnútorný obsah počítača, ale pokúšajú sa zničiť systém alebo k nemu získať prístup odoslaním určitých informácií, napríklad úmyselne nesprávnych sieťových paketov, alebo pokusom „nalákať“ niektoré skryté údaje prostredníctvom špeciálne vytvorených požiadaviek. . Prečo vôbec hackovať systémy? Toto je skôr psychologická než praktická otázka. Faktom je, že v skutočnosti pomerne veľká časť strojových hackov nepochádza zo sebeckých účelov, ale jednoducho zo záujmu o samotný proces. Medzi ľudí, ktorí sa zvyčajne nazývajú hackermi, nie sú len tí, ktorí hackujú kvôli nejakému skutočnému prospechu, ale aj „nadšenci“, ktorí hackujú sieť kvôli samotnému hackovaniu. Zdá sa to neočakávané, ale je to tak a štatistiky to ukazujú. Okrem toho je často dosť ťažké obviniť človeka za to, čo urobil, pretože niekedy nie je možné dokázať, že to bol on a že z tohto počítača vykonával určité nezákonné činnosti. V tomto článku však diskutujeme o samotných hackoch, a nie o ich psychologických a právnych aspektoch, a preto prejdeme ku konkrétnym veciam.
Hackovanie siete, bez ohľadu na to, ako starostlivo sa vykonáva a bez ohľadu na to, aké metódy sa používajú, nevyhnutne vedie k určitým zmenám v systéme. Môže to byť nový zoznam portov počúvania, neznáme programy, zmena veľkosti existujúcich programov, najmä ps alebo netstat, alebo dokonca noví používatelia. Tak či onak, ide o to, že sa niečo musí zmeniť, a to je nevyhnutné. Preto prvá rozumná akcia, ktorú odporúčam vykonať bezprostredne po inštalácii a konfigurácii systému, je vytvorenie súboru s informáciami o systéme. Niečo ako fotografia v momente, keď považujete všetko, čo sa stane, za správne. Konkrétnejšie mám na mysli informácie poskytnuté programami netstat, vmstat, free, du, df. Druhým tipom je zálohovať konfiguračné súbory systému a počiatočné nastavenia. Ich vzájomné porovnanie môže tiež poskytnúť niekoľko informácií o tom, čo sa v systéme nedávno stalo.
Začnime monitorovaním súborového systému, ktoré zahŕňa nielen sledovanie používania súborového systému (čo je možné vykonať pomocou príkazov du a df), ale aj kontrolu nemennosti určitých súborov (napríklad systémových súborov). Existuje niekoľko programov, ktoré vykonávajú tieto funkcie:
- AIDE - program, ktorý vám umožňuje vytvárať kontrolné súčty pre súbory, a tým kontrolovať ich integritu; umožňuje použitie viacerých algoritmov. http://www.cs.tut.fi/~rammer/aide.html. (Ostatné programy vykonávajú podobné funkcie, všetky sú bezplatné.)
- Gog & Magog - vytvára zoznam atribútov a vlastníkov súborov, umožňuje automatické porovnávanie. http://www.multimania.com/cparisel/gog/
- Sentinel - tvorí kontrolné súčty pomocou algoritmu MAC RIPEMD-160bit má grafické rozhranie... http://zurk.netpedia.net/zfile.html
- SuSEauditdisk je program umiestnený na diskete, ktorý umožňuje úplne nezávisle vykonať kontrolu systému a bootovať priamo z diskety. Štandardne sa dodáva so systémom SuSELinux. http://www.suse.de/~marc
- ViperDB - Kontroluje vlastníkov a atribúty súborov vytváraním protokolových súborov, ktoré zaznamenávajú zmeny, ku ktorým došlo. Program má tri parametre: -init - vytvára databázy podľa súborov, -check - kontroluje súbory oproti databáze a robí zmeny v databáze, ak sa vyskytli na disku, -checkstrict - kontroluje súbory proti databáze a vráti staré parametre, ak došlo k zmenám . http://www.resentment.org/projects/viperdb
- Sxid - Vytvára kontrolné súčty súborov a overuje atribúty a vlastníkov. ftp://marcus.seva.net/pub/sxid/
- nannie - pamätá si čas vytvorenia súboru. ftp://tools.tradeservices.com/pub/nannie/
- konfrontovať - pamätá si systémové informácie ako sú zavedené softvér, routerové tabuľky a pod. http://www.skagelund.com/confcollect/
- Pikt je nástroj obsahujúci interný skriptovací jazyk pre vytváranie programov ktoré vykonávajú štandardné, ale nie sú implementované vo forme konkrétnych príkazov, funkcií (monitorovanie hodinového používania systému, eliminácia dlhotrvajúcich procesov, nastavenie veľkosti schránka atď.). K dispozícii pre rôzne platformy: Solaris, Linux a FreeBSD. http://pikt.uchicago.edu/pikt/
Môžete tiež hovoriť o programoch, ktoré vykonávajú funkcie zálohovania, ale podľa môjho názoru to nemá nič spoločné s bezpečnosťou systému a v distribúcii UNIX sú zahrnuté rôzne štandardné nástroje. Zabezpečenie je relevantné iba vtedy, ak zálohy je potrebné urobiť, ale to už bolo uvedené vyššie.
Teraz poďme zistiť, čo robiť, aby sa zabránilo sieťovým útokom. Na bránu je samozrejme potrebné nainštalovať firewall. Tak či onak je potrebná ochrana na úrovni paketov. Ak je firewall akýmkoľvek spôsobom obídený, sú potrebné nasledujúce programy:
- DTK - emuluje štandardné služby a programy a v prípade neštandardných požiadaviek odoslaných do týchto programov sa vydávajú zámerne nepravdivé informácie s cieľom zmiasť útočníka. http://all.net/dtk/
- Psionic PortSentry - monitoruje skenovanie portov. Hlavnou úlohou je skontrolovať skenovanie portov a zobraziť všetko v protokolovom súbore. http://www.psionic.com/abacus/portsentry/
- Psionic HostSentry - Vytvorí databázu informácií o používaní zariadenia používateľmi a pri neštandardnom použití zdrojov zobrazí správu. http://www.psionic.com/abacus/hostsentry/
- Scanlogd - skenuje sieťové pakety a generuje súbory denníka na základe nastavení. http://www.openwall.com/scanlogd/
- Firewalls je súhrnný názov pre programy brány firewall.
- TCP -WRAPPERS - programy, ktoré obmedzujú prístup k určitým zdrojom podľa názvu alebo čísla počítača. Niektoré z týchto programov sú k dispozícii na. ftp://ftp.porcupine.org/pub/security/
- NFR je program podobnou štruktúrou ako sniffer (sniffer je program na počúvanie sieťovej prevádzky). Zaznamenáva súbory denníka a v reálnom čase detekuje útoky a skenovanie portov. http://www.nfr.com/
- Podrobné a užitočné často kladené otázky k sieťovým útokom a ich detekcii nájdete na stránke http://www.robertgraham.com/pubs/network-intrusion-detection.html.
Je ťažké jednoznačne odpovedať na otázku, čo a ako by sa malo vykonávať počas sieťových útokov. Tu veľa závisí od špecifík konkrétnej siete a organizácie, v ktorej sa nachádza. Aj pri útoku rovnakého typu budete v jednom prípade chcieť najskôr uložiť údaje a v druhom prípade zablokovať zdroj útoku, to znamená, že všetko závisí od priorít. Útoky sú veľmi ťažkým problémom v organizáciách, kde sú prestoje siete neprijateľné. Tam budete musieť vykonať všetky operácie online, a to v maximálnej možnej miere v kontakte s vonkajším svetom. Pomerne veľa závisí aj od charakteru útoku. Hacking kvôli hackingu je jedna vec a účelové krádeže utajovaných dát druhá. Možno je to pravda a sofistikovanejšia verzia, keď je útok vedený s cieľom odvrátiť správcu od sofistikovanejšieho a premyslenejšieho hackovania, ktoré prebieha paralelne. Nemyslite si však, že útok môže prísť iba zvonku. Môže to začať aj zvnútra. Možným scenárom je spustenie trójskeho koňa na počítač so systémom Windows vo vnútornej sieti. Očividne sa to dá urobiť jednoducho odoslaním listu poštou. Teraz sa pozrime bližšie na programy sniffer.
Čuchať vo všeobecnosti znamená čuchať. Preto sú sniffery programy, ktoré tak či onak počúvajú sieť a všetky informácie, ktoré cez ňu prechádzajú. Názorným príkladom je heslo, z ktorého pochádza jasný text interný počítač na server. Pretože pakety cestujú po sieti, kým nenájdu príjemcu, inštalácia sniffer na najmenej jeden počítač vo vnútornej sieti (napríklad pomocou písmena, ako je uvedené vyššie) je šikovný nástroj pre externý cracker. Vo väčšine prípadov sú čuchače dosť pasívne, čo sťažuje ich odhalenie. Nasleduje zoznam niekoľkých programov sniffer, ktoré je možné použiť na monitorovanie toho, čo sa deje v sieti:
- Tcpdump je najstarší program dodávaný so všetkým systémom UNIX.
- Sniffit - má schopnosť filtrovať pakety a prekladať informácie do textového formátu; vybavené grafickým rozhraním. http://sniffit.rug.ac.be/~coder/sniffit/sniffit.html
- Ethereal je analyzátor sieťových protokolov.
- Snort - určený na monitorovanie siete, dokáže detekovať skenovanie portov. http://www.clark.net/~roesch/security.html
- SPY je sniffer, ale nie zadarmo. K dispozícii je bezplatná sieťová licencia pre jedného používateľa až pre päť počítačov. http://pweb.uunet.de/trillian.of/Spy/
Netreba však zabúdať, že okrem softvéru existuje aj počúvanie hardvéru, napríklad jednoduché pripojenie iného počítača alebo jednoduché pripojenie pomocou kábla. Je zvláštne, že ak používate tenký ethernet (koaxiálny kábel), môžete ho počúvať bez otvorenia.
- AntiSniff je program, ktorý v sieti vyhľadáva čuchače. Princíp jeho fungovania je veľmi jednoduchý: odošle požiadavku a podľa odozvy a času odozvy určí, či je spracovávaný iným programom alebo nie. http://www.l0pht.com/antisniff/
Podrobnú a nápomocnú otázku často nájdete aj na adrese. http://www.robertgraham.com/pubs/sniffing-faq.html.
Ďalšou technikou, ktorá môže pomôcť predchádzať útokom, je testovanie systému pomocou programov, ktoré napodobňujú útoky, alebo samotných programov, pomocou ktorých sa tieto útoky vykonávajú. Akosi kontrolujete systém v bojových podmienkach. Ak je ochrana pre tento konkrétny počítač skutočne najvyššou prioritou, potom je kontrola konfigurácie systému pred zapojením veľmi dôležitým krokom. Upozorňujem na niektoré z týchto programov.
Programy, ktoré skenujú systém zvnútra:
- Tiger je program, ktorý sa stále vyvíja. ftp://net.tamu.edu/pub/security/TAMU/
- check.pl je skript Perl, ktorý kontroluje strom adresárov a súbory v ňom a poukazuje na rôzne diskutabilné atribúty a mená vlastníkov. http://opop.nols.com/proggie.html
Sieťové skenery poukazujúce na ľahko dostupné služby v inom systéme (napríklad je vhodné skontrolovať nastavenia brány firewall):
- Strobe je starý, ale rýchly a stále účinný sieťový skener. Niekedy je súčasťou systému UNIX. ftp://suburbia.net/pub/
- Nmap je program, ktorý používa nové metódy skenovania portov a je vysoko konfigurovateľný. Umožňuje získať parametre operačného systému (názov, verzia). http://www.insecure.org/nmap/index.html
- Portscanner je malý skener portov, ktorý má mnoho formátov na odosielanie spracovaných informácií. http://www.ameth.org/~veilleux/portscan.html
- Queso nie je skutočne skener; je to program určený na určenie typu operačného systému na vzdialenom počítači. http://www.apostols.org/projectz/queso/
Skenovací softvér na potenciálne bezpečnostné medzery je nepochybne krokom vpred od skenerov portov. Tu sa uplatňuje vyššia úroveň informačnej analýzy a neurčujú sa samotné otvorené porty, ale zraniteľné miesta v systéme, ktorým je cesta cez tieto porty otvorená. Pomenujem niekoľko takýchto programov:
- Nessus je softvér na sledovanie útokov klient-server. Existujú servery pre Linux, FreeBSD, NetBSD a Solaris a klienti pre Linux a Windows. Program môže okrem skenovania portov a sledovania útokov vykonávať aj vyhľadávanie serverov DNS s cieľom nájsť počítače spojené s napadnutým počítačom. http://www.nessus.org/
- Saint je potomkom programu Satan, ktorý bol v minulosti jedným z najobľúbenejších na zhromažďovanie informácií o autách. Saint používa architektúru klient-server, ale klienta nahradí webovým programom. Hlavným cieľom je zbierať informácie o zraniteľnostiach pri ochrane systému. http://www.wwdsi.com/saint/
- Cheops je program, ktorý vytvára mapu sieťového prostredia IP s označením operačného systému spusteného na počítačoch. http://www.marko.net/cheops/
- SARA (asistent výskumu bezpečnostného audítora) je program podobný programu Saint. Dokáže skenovať niekoľko strojov súčasne, navyše vytvára výsledok práce vo formáte HTML. http://home.arc.com/sara/
- BASS (Bulk Auditing Security Scanner) je program, ktorého ideológia je založená na skutočnosti, že internet nie je chránený. Hlavnou úlohou je skenovať systémy na prítomnosť „bezpečnostných dier“ v nich. http://www.securityfocus.com/data/tools/network/bass-1.0.7.tar.gz
Program na skenovanie brány firewall a kontrolu, či je správne nakonfigurovaný, je Firewalk. Odosielaním rôznych paketov sa program pokúša vypočítať pravidlá, podľa ktorých brána firewall funguje. http://www.packetfactory.net/firewalk/
Archív na adrese http://www.rootshell.com/ obsahuje známe údaje o chybách v ochrane systému a odkazy na doplnky od výrobcov operačných systémov, ktoré tieto chyby opravujú. Je pravda, že niekedy namiesto takéhoto odkazu môžete vidieť správu „Inovovať na ďalšiu verziu“, ktorá je urážlivá, najmä ak je systém komerčný. To je napríklad prípad IBM AIX.
Týmto by som chcel ukončiť popis problémov spojených s bezpečnosťou systémov pre Internetové servery... Je to popis, nie návod na akciu, a nie podrobný odkaz. Mojím hlavným cieľom bolo poskytnúť predstavu o tom, čo je potrebné urobiť na ochranu systému. Je pravdepodobné, že v niektorých prípadoch sa niektoré rady budú zdať nadbytočné alebo jednoducho zbytočné a možno nebudú stačiť odkazy na uvedené programy. Zdá sa mi však, že hlavné body súvisiace s ochranou systémov a sietí UNIX boli do istej miery reflektované. O niektorých súkromných problémoch sa možno bude diskutovať v ďalších číslach časopisu.
ComputerPress 3 "2001
SSH - (Secure Shell) - sieťový protokol, ktorý vám umožňuje diaľkové ovládanie prenos počítača a súborov. Funkčne sa podobá na protokoly Telnet a rlogin, ale na prenášané informácie používa šifrovacie algoritmy.
Nedostatky telnetu viedli k veľmi rýchlemu vyradeniu protokolu v prospech bezpečnejšieho a funkčnejšieho protokolu SSH. SSH to všetko ponúka funkčnosť ktoré boli prezentované v telnete, s pridaním efektívneho kódovania, aby sa zabránilo zachytávaniu údajov, ako sú používateľské mená a heslá. Zabezpečuje to autentifikačný systém verejného kľúča SSH vzdialený počítač skutočne je tým, za koho sa vydáva.
Kryptografická ochrana protokolu SSH nie je pevná, je možný výber rôznych šifrovacích algoritmov. Klienti a servery podporujúce tento protokol sú k dispozícii pre rôzne platformy. Protokol navyše umožňuje nielen používať na počítači vzdialený zabezpečený shell, ale aj tunelovať grafické rozhranie - X Tunneling (iba pre operačný systém podobný Unixu alebo aplikácie používajúce grafické rozhranie X Window System). SSH je tiež schopný prenášať akýkoľvek iný sieťový protokol prostredníctvom zabezpečeného kanála (presmerovanie portov), čo poskytuje (so správnou konfiguráciou) možnosť bezpečného preposielania nielen rozhrania X, ale napríklad aj zvuku.
SSH však nerieši všetky problémy so zabezpečením siete. Svoju pozornosť zameriava iba na poskytovanie bezpečná práca aplikácie, ako sú terminálové emulátory. Použitie implementácií protokolu SSH na serveroch a klientskych aplikáciách pomáha chrániť údaje iba pri prenose. SSH v žiadnom prípade nenahrádza brány firewall, systémy detekcie narušenia, sieťové skenery, autentifikačné systémy alebo iné nástroje, ktoré pomáhajú chrániť Informačné systémy a siete z útokov.
39. Úloha a úlohy servera v lokálnej sieti.
Server je vo všeobecnosti počítač, ktorý má spravidla vysoký výkon a ďalšie počítačové zdroje navrhnuté tak, aby poskytoval určité možnosti počítačom v lokálnej alebo globálnej sieti. Tieto príležitosti sa nazývajú sieťové služby .
Úlohy servera:
1. zabezpečenie prístupu k údajom uloženým na serverových diskoch organizácie;
2. uchovávanie, spracovanie a prístup k databázam spoločnosti;
3. naprogramované spracovanie údajov, ktoré mu používateľ pošle, a poskytne tomuto užívateľovi konečné výsledky;
4. doručenie webovej stránky užívateľovi, ktorý o to požiada;
5. odosielanie, prijímanie, skladovanie a distribúcia e -maily ktoré posielajú všetci používatelia lokálnej siete.
Sieťové služby.
Pre koncového používateľa nie sú sieťou počítače, káble a rozbočovače ani informačné toky, pre neho je sieť predovšetkým súborom sieťových služieb, pomocou ktorých si môže prezerať zoznam počítačov v sieti, čítať diaľkové ovládanie. súbor, vytlačte dokument na „zahraničnej“ tlačiarni alebo odošlite poštovú správu. Vzhľad konkrétnej siete pre užívateľa určuje práve kombinácia poskytovaných schopností - aký široký je ich výber, aké pohodlné, spoľahlivé a bezpečné sú.
Sieťové služby musia okrem skutočnej výmeny údajov riešiť aj ďalšie, konkrétnejšie úlohy, napríklad úlohy generované distribuovaným spracovaním údajov. K takýmto úlohám patrí zaistenie konzistencie viacerých kópií údajov umiestnených na rôznych počítačoch (replikačná služba) alebo organizovanie paralelného vykonávania jednej úlohy na viacerých počítačoch v sieti (služba vzdialeného volania procedúr). Medzi sieťovými službami je možné rozlíšiť administratívne, to znamená tie, ktoré sa zameriavajú nielen na jednoduchého používateľa, ale na správcu, a slúžia na organizáciu správneho fungovania siete ako celku.
Vykonáva sa implementácia sieťových služieb softvérovo... Primárne služby - súborovú službu a tlačovú službu - spravidla poskytuje sieťový operačný systém, zatiaľ čo podporné služby, ako napríklad databázová, faxová alebo hlasová služba, poskytujú systémové sieťové aplikácie alebo obslužné programy, ktoré úzko spolupracujú s sieťový operačný systém. Všeobecne povedané, distribúcia služieb medzi OS a utilitami je dosť svojvoľná a líši sa v konkrétnych implementáciách OS.
Termín „transparentnosť“ sa často používa na definovanie pohodlia zdieľaného zdroja. Transparentný prístup je taký prístup, pri ktorom si používateľ nevšimne, kde sa nachádza požadovaný zdroj - na počítači alebo na diaľku. Potom, čo namontuje vzdialený súborový systém do svojho adresárového stromu, prístup k zmazané súbory sa pre neho stáva úplne transparentným. Samotná operácia pripojenia môže mať aj iný stupeň transparentnosti - v sieťach s menšou priehľadnosťou musí používateľ poznať a zadať v príkaze názov počítača, na ktorom je vzdialený súborový systém uložený, v sieťach s vyšším stupňom transparentnosti , zodpovedajúci softvérový komponent siete vyhľadá zdieľané zväzky súborov bez ohľadu na ich umiestnenie. úložisko a potom ich poskytne užívateľovi vo vhodnej forme, napríklad vo forme zoznamu alebo sady ikon.
Spôsob adresovania (pomenovávania) zdieľaných sieťových zdrojov je dôležitý pre transparentnosť. Názvy zdieľaných sieťových zdrojov by nemali závisieť od ich fyzického umiestnenia na konkrétnom počítači. V ideálnom prípade by používateľ nemal na svojej práci nič meniť, ak správca siete presunul zväzok alebo adresár z jedného počítača do druhého. Samotný správca a sieť operačný systém mať informácie o polohe súborové systémy, ale je pre používateľa skrytý. Tento stupeň transparentnosti je v sieťach stále málokedy vidieť - na to, aby ste získali prístup k zdrojom konkrétneho počítača, s ním musíte najskôr vytvoriť logické spojenie. Tento prístup sa používa napríklad v Siete Windows NT
