Általános tévhit, hogy a Linux operációs rendszert futtató szerverek a legbiztonságosabbak és a legvédettebbek a külső behatolásokkal szemben. Sajnos ez nem így van, minden szerver biztonsága számos tényezőtől és annak biztosítására szolgáló intézkedéstől függ, és gyakorlatilag független a használt operációs rendszertől.
Úgy döntöttünk, hogy elindítunk egy cikksorozatot, amelynek szentelt hálózati biztonság Val vel Ubuntu szerver, mivel az ezen a platformon található megoldások nagy érdeklődésre tartanak számot olvasóink számára, és mivel sokan úgy gondolják, hogy a Linux megoldások önmagukban is biztonságosak.
Ugyanakkor egy dedikált IP-címmel rendelkező router „kapu” a helyi hálózathoz, és csak az adminisztrátoron múlik, hogy ez a kapu megbízható gát lesz-e, vagy egy országkapu lesz-e, amelyet egy bezár köröm.
Egy másik gyakori tévhit a következő stílusú érvelés: „kinek kell, a szerverünknek, nincs semmi érdekesünk.” Valójában előfordulhat, hogy a helyi hálózat nem érdekli a támadókat, de használhatnak egy feltört szervert kéretlen levelek küldésére, más szerverek elleni támadásokat, egy névtelen proxyt, röviden, kiindulópontként a rosszindulatú üzleteikhez.
És ez már kellemetlen, és különféle problémák forrásaként szolgálhat: a szolgáltatótól a bűnüldöző szervekig. És nem szabad megfeledkezni a vírusok terjedéséről, a fontos információk ellopásáról és megsemmisítéséről, valamint arról, hogy egy vállalkozás leállása meglehetősen kézzelfogható veszteségekhez vezet.
Annak ellenére, hogy a cikket az Ubuntu Servernek szentelték, először megvizsgáljuk az általános biztonsági kérdéseket, amelyek minden platformra egyformán vonatkoznak, és az alapok, amelyek nélkül nincs értelme a kérdést részletesebben tárgyalni.
Nem, a biztonság nem a tűzfallal kezdődik, hanem egyáltalán nem a tűzfallal. technikai eszközöket, a biztonság a felhasználónál kezdődik. Végül is mi haszna a legmenőbb fémajtónak, amelyet a legtöbben szereltek be a legjobb szakemberek mi van, ha a tulajdonos a szőnyeg alatt hagyja a kulcsot?
Ezért az első dolog, amit meg kell tennie, egy biztonsági audit elvégzése. Ne ijedjen meg ettől a szótól, nem minden olyan bonyolult: rajzoljon egy sematikus hálózati tervet, amelyen megjelöl egy biztonságos zónát, egy potenciális veszélyzónát és egy fokozottan veszélyes zónát, és készítsen listát azokról a felhasználókról, akiknek (kell) hozzáférés) ezekhez a zónákhoz.
A biztonságos zónának olyan belső hálózati erőforrásokat kell tartalmaznia, amelyek kívülről nem érhetők el, és amelyek esetében alacsony szintű biztonság elfogadható. Ezek lehetnek munkaállomások, fájlszerverek stb. eszközök, amelyekhez a hozzáférés a vállalati helyi hálózatra korlátozódik.
A potenciális veszélyzónába azok a szerverek és eszközök tartoznak, amelyek nem férnek hozzá közvetlenül a külső hálózathoz, de az egyes szolgáltatásaik kívülről elérhetőek, például a tűzfal mögött elhelyezkedő, de a külső hálózatból érkező kéréseket továbbra is kiszolgáló web- és levelezőszerverek.
A veszélyes zónának kívülről közvetlenül elérhető eszközöket kell tartalmaznia, ideális esetben ez egy router.
Ha lehetséges, egy potenciálisan veszélyes zónát kell elhelyezni egy külön alhálózaton - egy demilitarizált zónában (DMZ), amelyet egy további tűzfal választ el a fő hálózattól.
A LAN-eszközök csak azokhoz a DMZ-szolgáltatásokhoz férhetnek hozzá, amelyekre szükségük van, például SMTP, POP3, HTTP, és az egyéb kapcsolatokat le kell tiltani. Ez lehetővé teszi, hogy megbízhatóan elkülönítse azokat a támadókat vagy rosszindulatú programokat, amelyek egy demilitarizált zónában egy külön szolgáltatás sérülékenységét kihasználták, megtagadva tőlük a fő hálózathoz való hozzáférést.
Fizikailag a DMZ megszervezhető külön szerver / hardveres tűzfal telepítésével vagy egy további hálózati kártya hozzáadásával a routerhez, de ez utóbbi esetben nagyon oda kell figyelni a router biztonságára. De mindenesetre sokkal könnyebb egy szerver biztonságát biztosítani, mint egy szervercsoport.
A következő lépés a felhasználók listájának elemzése, hogy mindenkinek szüksége van-e hozzáférésre a DMZ-hez és a routerhez (a közszolgáltatások kivételével), különös figyelmet kell fordítani a kívülről csatlakozó felhasználókra.
Ez általában azt a nagyon népszerűtlen lépést követeli meg, hogy kikényszerítsék a jelszószabályokat. A kritikus szolgáltatásokhoz hozzáférő és külső csatlakozásra képes felhasználók jelszavának legalább 6 karakterből kell állnia, és a kisbetűk mellett a három közül két kategória karaktereit is tartalmaznia kell: nagybetűk, számok, nem alfabetikus karakterek.
Ezenkívül a jelszó nem tartalmazhatja a felhasználó bejelentkezési adatait vagy annak egy részét, nem tartalmazhat dátumokat vagy neveket, amelyek a felhasználóhoz köthetők, és lehetőleg ne legyen szótári szó.
Célszerű 30-40 naponta cserélni a jelszavakat. Nyilvánvaló, hogy egy ilyen szabályzat elutasítást okozhat a felhasználók részéről, de mindig emlékezni kell arra, hogy a jelszavak szeretik 123 vagy qwerty egyenértékű a kulcs szőnyeg alatt hagyásával.
Most, hogy van elképzelésünk arról, hogy mit akarunk védeni és mitől, térjünk át magára a szerverre. Készítsen egy listát az összes szolgáltatásról és szolgáltatásról, majd gondolja át, hogy mindegyikre szükség van-e ezen a szerveren, vagy áthelyezhetők-e máshová.
Minél kevesebb a szolgáltatás, annál könnyebben biztosítható a biztonság, és annál kisebb az esélye annak, hogy valamelyik kritikus sérülékenysége feltöri a szervert.
Konfigurálja a helyi hálózatot kiszolgáló szolgáltatásokat (például squid) úgy, hogy azok kizárólag a helyi interfészről érkező kéréseket fogadják el. Minél kevesebb külső szolgáltatás érhető el, annál jobb.
A sebezhetőségi szkenner jó asszisztens lesz a biztonság biztosításában, a szerver külső interfészének átvizsgálására érdemes használni. Az egyik leghíresebb termék, az XSpider 7.7 demó verzióját használtuk.
A szkenner megmutatja a nyitott portokat, megpróbálja meghatározni a futó szolgáltatás típusát, és ha sikerül, a sebezhetőségeit. Mint látható, a megfelelően konfigurált rendszer meglehetősen biztonságos, de a kulcsot nem szabad a szőnyeg alatt hagyni; a 1723-as (VPN) és a 3389-es (RDP, terminálkiszolgálóra továbbított) nyitott portok jelenléte az útválasztón jó ok arra, hogy elgondolkozzon a jelszópolitikán.
Beszélnünk kell az SSH biztonságáról is. ezt a szolgáltatást rendszerint a rendszergazdák használják távirányító szerver, és fokozottan érdekli a támadókat. Az SSH beállítások egy fájlban tárolódnak /etc/ssh/sshd_config, minden alább leírt változtatás megtörténik rajta. Először is le kell tiltania az engedélyezést a root felhasználó alatt; ehhez adja hozzá a következő lehetőséget:
PermitRootLogin sz
Most a támadónak nem csak a jelszót, hanem a bejelentkezést is ki kell találnia, és továbbra sem fogja tudni a szuperfelhasználói jelszót (reméljük, hogy nem egyezik a jelszavával). A kívülről történő csatlakozáskor minden adminisztrációs feladatot alulról kell végrehajtani sudo privilegizált felhasználóként bejelentkezve.
Érdemes kifejezetten megadni az engedélyezett felhasználók listáját, és használhatunk olyan bejegyzéseket, mint pl user@host, amely lehetővé teszi a megadott felhasználó számára, hogy csak a megadott gazdagépről csatlakozzon. Például, hogy az ivanov felhasználó otthonról csatlakozhasson (IP 1.2.3.4), a következő bejegyzést kell hozzáadnia:
AllowUser [e-mail védett]
Tiltsa le az elavult és kevésbé biztonságos SSH1 protokoll használatát is, amely csak a protokoll második verzióját engedélyezi, ehhez módosítsa a következő sort az űrlapra:
2. jegyzőkönyv
A megtett intézkedések ellenére továbbra is lesznek kísérletek az SSH-hoz és más közszolgáltatásokhoz való csatlakozásra; a jelszókitalálás elkerülése érdekében használja a segédprogramot fail2ban, amely lehetővé teszi a felhasználó automatikus kitiltását többszöri sikertelen bejelentkezési kísérlet után. A következő paranccsal telepítheti:
Sudo apt-get install fail2ban
Ez a segédprogram a telepítés után azonnal működésre kész, de javasoljuk, hogy azonnal módosítson néhány paramétert, ehhez módosítsa a fájlt /etc/fail2ban/jail.conf. Alapértelmezés szerint csak az SSH-hoz való hozzáférés szabályozott és a tiltási idő 10 perc (600 másodperc), véleményünk szerint érdemes ezt növelni a következő opció változtatásával:
Bantime = 6000
Ezután görgessen végig a fájlon, és engedélyezze a rendszeren futó szolgáltatások szakaszait a megfelelő szakasz neve utáni paraméter beállításával engedélyezve van Egy államban igaz, például egy szolgáltatáshoz proftpdígy fog kinézni:
engedélyezve = igaz
Egy másik fontos paraméter maxretry, amely a csatlakozási kísérletek maximális számáért felelős. A beállítások módosítása után ne felejtse el újraindítani a szolgáltatást:
Sudo /etc/init.d/fail2ban újraindítás
A segédprogramok naplóját itt tekintheti meg /var/log/fail2ban.log.
Egyikünk sem akarja, hogy a személyes adatok rossz kezekbe kerüljenek. De hogyan védheti meg rendszerét a támadásoktól és adatlopásoktól? Valóban kilométeres kézikönyveket kell olvasni a beállításról és a titkosítási algoritmusokról? Egyáltalán nem szükséges. Ebben a cikkben elmondom, hogyan teheti biztonságossá a Linux rendszert szó szerint 30 perc alatt.
Egy korban élünk mobil eszközökés állandó online. Laptoppal bemegyünk egy kávézóba, és az otthoni gépeinken internetnek kitett webszervereket futtatunk. Több száz webhelyen regisztrálunk, és ugyanazokat a jelszavakat használjuk a webszolgáltatásokhoz. Mindig van a zsebünkben egy okostelefon, amelybe több tucat jelszó van belegyömöszölve, és több SSH-szerver kulcsa. Annyira megszoktuk, hogy harmadik fél szolgáltatásai gondoskodnak a magánéletünkről, hogy már nem is figyeltünk rá.
Amikor elvesztettem az okostelefonomat, nagy szerencsém volt, hogy a rá telepített lopásgátló működőképesnek bizonyult, és lehetővé tette, hogy távolról töröljem az összes adatot a készülék memóriájából. Amikor véletlenül kinyitottam az SSH portot otthoni autó jelszó nélküli (!) felhasználóval a külvilágba (!!), nagy szerencsém volt, hogy script gyerekek kerültek a gépre, és a shell vicces történetén kívül nem hagytak komoly nyomokat a jelenlétüknek a rendszer. Amikor véletlenül felraktam egy hirdetést az internetre a Gmail jelszavammal, nagy szerencsém volt, hogy volt egy kedves ember, aki figyelmeztetett erre.
Lehet, hogy ostoba vagyok, de szilárdan meg vagyok győződve arról, hogy sokakkal történt hasonló eset, aki olvassa ezeket a sorokat. És jó, ha ezek az emberek velem ellentétben komolyan odafigyeltek az autójuk védelmére. Hiszen lehet, hogy nem működött a lopásgátló, és egy script kiddy helyett komoly emberek ültek be az autóba, és nem okostelefont, hanem laptopot vesztettem el, aminek a felhasználói jelszón kívül nem volt más védelme. . Nem, a Google kéttényezős azonosítására és a hülye jelszavakra semmiképpen sem szabad támaszkodnia manapság, valami komolyabbra van szüksége.
Ez a cikk egy útmutató egy paranoiás Unixoidhoz, amely egy Linux-gép teljes védelmére szolgál mindentől és mindentől. Habozok kijelenteni, hogy az itt leírtak használata kötelező. Éppen ellenkezőleg, ez egy olyan receptgyűjtemény, amelyből olyan információk találhatók, amelyek segítségével megvédheti magát és adatait azokon a szinteken, ahol az adott helyzetben szükséges.
Minden a jelszavakkal kezdődik. Mindenhol megtalálhatók: Linux disztribúció bejelentkezési ablakában, internetes oldalak regisztrációs űrlapjain, FTP- és SSH-szervereken és okostelefonok lezárási képernyőjén. A jelszavak szabványa ma 8–12 karakterből áll, vegyes kis- és nagybetűkkel és számokkal együtt. Hozzon létre ilyen jelszavakat az Ön számára a saját elméddel meglehetősen fárasztó, de van egy egyszerű módja annak, hogy automatikusan megtegye:
$ openssl rand -base64 6
Nincsenek külső alkalmazások, nincsenek webböngésző-bővítmények, az OpenSSL bármely gépen elérhető. Bár ha valakinek kényelmesebb, akkor telepítheti és használhatja a pwgen-t erre a célra (szerintük a jelszó erősebb lesz):
$ pwgen -Bs 8 1
Hol tároljuk a jelszavakat? Ma már minden felhasználónak annyi van belőlük, hogy egyszerűen lehetetlen mindent a fejében tárolni. Bízik böngészője automatikus mentési rendszerében? Lehetséges, de ki tudja, hogyan kezeli őket a Google vagy a Mozilla. Snowden azt mondta, hogy nem volt túl jó. Ezért a jelszavakat magán a gépen kell tárolni egy titkosított tárolóban. Az alapító atyák a KeePassX használatát javasolják ehhez. A dolog grafikus, amit maguk az alapító atyák nem igazán szeretnek, de mindenhol működik, beleértve a híres Android Google szondát (KeePassDroid). Nem marad más hátra, mint a jelszavas adatbázis átvitele oda, ahol szükséges.
Titkosítás - ebben a szóban annyi minden van... Ma a titkosítás mindenhol és sehol egyszerre. Kénytelenek vagyunk a webhelyek HTTPS-verzióit használni, de nem törődünk vele. Azt mondják nekünk: „Titkosítsa a saját könyvtárát”, mi pedig azt mondjuk: „Akkor én beállítom.” Azt mondják nekünk: „A Dropbox-alkalmazottak kedvenc időtöltése a felhasználók személyes fotóin nevetni”, mi pedig: „Hagyd, hogy nevessenek.” Eközben a titkosítás ma az egyetlen abszolút védelmi eszköz. Nagyon kedvező árú és kisimítja a ráncokat.
A Linux rengeteg titkosítási lehetőséget kínál a merevlemez-partícióktól az egyedi fájlokig. A három legismertebb és legjobban tesztelt eszköz a dm-crypt/LUKS, az ecryptfs és az encfs. Az első a teljes lemezeket és partíciókat, a második és a harmadik a könyvtárakat titkosítja fontos információ, minden fájl külön-külön, ami nagyon kényelmes, ha növekményes biztonsági mentést kell készítenie, vagy a Dropbox-szal együtt kell használni. Számos kevésbé ismert eszköz is létezik, például a TrueCrypt.
Hadd tegyek egy fenntartást, hogy a teljes lemez titkosítása nehéz feladat, és ami a legfontosabb, haszontalan. A gyökérkönyvtárban nincs és nem is lehet semmi különösebben bizalmas, de a saját könyvtár és a swap egyszerűen információkincs. Sőt, a második még nagyobb, mint az első, hiszen oda már dekódolt formában is eljuthatnak az adatok és a jelszavak (a normál programozók tiltják, hogy ilyen adatokat swapba dobjon a rendszer, de az ilyen emberek kisebbségben vannak). A titkosítás beállítása mindkettőhöz nagyon egyszerű, csak telepítse az ecrypts eszközöket:
$ sudo apt-get install ecryptfs-utils
És valójában engedélyezze a titkosítást:
$ sudo ecryptfs-setup-swap $ ecryptfs-setup-private
Ezután csak írja be a bejelentkezéshez használt jelszavát, majd jelentkezzen be újra a rendszerbe. Igen, ez tényleg ilyen egyszerű. Az első parancs titkosítja és újracsatolja a swap-ot az /etc/fstab megfelelő sorainak módosításával. A második létrehozza a ~/.Private és ~/Private könyvtárakat, amelyekben a titkosított, illetve a visszafejtett fájlok kerülnek tárolásra. Bejelentkezéskor a pam_ecryptfs.so PAM modul aktiválódik, amely transzparens adattitkosítással csatolja az első könyvtárat a másodikhoz. A leválasztás után a ~/Private üres lesz, a ~/.Private pedig az összes fájlt titkosított formában tartalmazza.
Nem tilos a teljes saját könyvtár titkosítása. Ebben az esetben a teljesítmény nem csökken sokat, de minden fájl védett lesz, beleértve ugyanazt a ~/Dropbox hálózati könyvtárat is. Ez így történik:
# ecryptfs-migrate-home -u vasya
Egyébként 2,5-szer több lemezterületnek kell lennie, mint a vasya adatainak, ezért javaslom, hogy előtte tisztítsa meg. A művelet befejezése után azonnal jelentkezzen be vasya felhasználóként, és ellenőrizze a funkcionalitást:
$mount | grep Private /home/vasya/.Private on /home/vasya írja be az ecryptfs-t ...
Ha minden rendben van, felülírhatja az adatok titkosítatlan másolatát:
$ sudo rm -r /home/vasya.* 
OK, a jelszavak biztonságos helyen vannak, a személyes fájlok is, mi van most? Most pedig ügyelnünk kell arra, hogy személyes adataink egyes részei ne kerüljenek illetéktelen kezekbe. Nem titok, hogy egy fájl törlésekor az aktuális tartalma a médián marad, még akkor is, ha utólag megtörténik a formázás. Titkosított adataink törlés után is biztonságban lesznek, de mi a helyzet a flash meghajtókkal és más memóriakártyákkal? Itt szükségünk van az srm segédprogramra, amely nem csak a fájlt törli, hanem a fennmaradó adatblokkokat is feltölti szeméttel:
$ sudo apt-get install safe-delete $ srm secret-file.txt home-video.mpg
# dd if=/dev/nulla of=/dev/sdb
Ez a parancs törli az sdb flash meghajtón lévő összes adatot. Ezután már csak egy partíciós táblát kell létrehozni (egy partícióval), és formázni a kívánt fájlrendszerre. Ehhez ajánlott az fdisk és az mkfs.vfat használata, de meg lehet boldogulni a grafikus gparteddel is.
A Fail2ban egy démon, amely a naplókban keresi a hálózati szolgáltatások jelszavainak kitalálási kísérleteit. Ha ilyen próbálkozásokat talál, a gyanús IP-címet az iptables vagy a TCP Wrappers blokkolja. A szolgáltatás képes e-mailben értesíteni a gazdagép tulajdonosát az incidensről, és egy meghatározott idő elteltével visszaállítani a blokkolást. A Fail2ban-t eredetileg az SSH védelmére fejlesztették ki; ma már kész példákat kínálnak az Apache, lighttpd, Postfix, Exim, Cyrus IMAP, named és így tovább. Ezenkívül egy Fail2ban folyamat egyszerre több szolgáltatást is védhet.
Ubuntu/Debianban a telepítéshez a következőket írjuk be:
# apt-get install fail2ban
A konfigurációk az /etc/fail2ban könyvtárban találhatók. A konfiguráció módosítása után indítsa újra a fail2ban-t a következő paranccsal:
# /etc/init.d/fail2ban újraindítás
Most pedig vigyázzunk a mélyből áradó fenyegetésekre világháló. Itt kezdjek el beszélni arról, hogy az iptables és a pf egy OpenBSD-t futtató dedikált gépen fut, de mindez felesleges, ha van ipkungfu. Ami? Ez egy olyan szkript, amely elvégzi helyettünk a tűzfal beállításának minden piszkos munkáját anélkül, hogy kilométeres szabálylistákat kellene írnia. Telepítés:
$ sudo apt-get install ipkungfu
Konfig szerkesztése:
$ sudo vi /etc/ipkungfu/ipkungfu.conf # A helyi hálózat, ha van, írja be a hálózati címet a maszkkal együtt, ha nem, írja be a loopback címet LOCAL_NET="127.0.0.1" # A gépünk nem átjáró GATEWAY=0 # Zárja be a szükséges portokat FORBIDDEN_PORTS="135 137 139" # Pingek blokkolása, a gyerekek 90%-a leesik ebben a szakaszban BLOCK_PINGS=1 # Gyanús csomagok eldobása (különféle típusú áradás) SUSPECT="DROP" # "Rossz" csomagok eldobása (bizonyos típusú DoS) KNOWN_BAD="DROP" # Keresés portok? Thrash! PORT_SCAN="DROP"
Az ipkungfu engedélyezéséhez nyissa meg az /etc/default/ipkungfu fájlt, és módosítsa az IPKFSTART = 0 sort IPKFSTART = 1-re. Futtassa:
$sudo ipkungfu
Ezenkívül módosítsuk az /etc/sysctl.conf fájlt:
$ sudo vi /etc/systcl.conf # Az ICMP átirányítások elvetése (MITM támadások ellen) net.ipv4.conf.all.accept_redirects=0 net.ipv6.conf.all.accept_redirects=0 # Engedélyezze a TCP szinkronizálási mechanizmusát net.ipv4 . tcp_syncookies=1 # Különféle módosítások (hamisítás elleni küzdelem, a „félig nyitott” TCP-kapcsolatok sorának növelése stb.) net.ipv4.tcp_timestamps=0 net.ipv4.conf.all.rp_filter=1 net.ipv4.tcp_max_syn 1280 kernel .core_uses_pid=1
Aktiválja a változtatásokat:
$ sudo sysctl -p
A Snort az adminisztrátorok egyik kedvenc eszköze, és minden biztonsági útmutató főszereplője. Egy hosszú múltra visszatekintő és hatalmas képességekkel rendelkező dolog, amelynek egész könyvek szenteltek. Mit csinál az útmutatónkban gyors beállítás biztonságos rendszer? És itt a helye; a Snortot nem kell konfigurálni:
$ sudo apt-get install snort $ snort -D
Minden! Nem viccelek, szabványos beállítások A snort több mint elég a tipikus hálózati szolgáltatások védelméhez, ha természetesen rendelkezik ilyenekkel. Csak időnként meg kell néznie a naplót. És ilyen sorokat találhatsz benne:
[**] MS-SQL próbaválasz túlcsordulási kísérlete [**] http://www.securityfocus.com/bid/9407]
Hoppá. Valaki megpróbált puffertúlcsordulást okozni a MySQL-ben. A probléma részletes leírását tartalmazó oldalra mutató hivatkozás is található. Szépség.
Valaki, aki különösen okos volt, képes volt megkerülni a tűzfalunkat, túllépni a Snorton, root hozzáférést szerezni a rendszerhez, és most rendszeresen bejelentkezni a rendszerbe a telepített hátsó ajtón keresztül. Nem jó, a hátsó ajtót meg kell találni, el kell távolítani, és frissíteni kell a rendszert. A rootkitek és a hátsó ajtók kereséséhez az rkhuntert használjuk:
$ sudo apt-get install rkhunter
Indítsuk el:
$ sudo rkhunter -c --sk
A szoftver ellenőrzi a teljes rendszert rootkitek jelenlétére, és az eredményeket megjeleníti a képernyőn. Ha a kártevő továbbra is megtalálható, az rkhunter rámutat a helyre, és törölhető. A részletesebb napló itt található: /var/log/rkhunter.log. Jobb az rkhuntert napi cron feladatként futtatni:
$ sudo vi /etc/cron.daily/rkhunter.sh #!/bin/bash /usr/bin/rkhunter -c --cronjob 2>&1 | mail -s "RKhunter vizsgálati eredmények" [e-mail védett]
Lecseréljük Vasya e-mail címét a miénkre, és végrehajthatóvá tesszük a szkriptet:
$ sudo chmod +x /etc/cron.daily/rkhunter.sh
$ sudo rkhunter --frissítés
Egyébként a cron szkriptben a check parancs előtt is hozzáadhatod. Két további rootkit keresőeszköz:
$ sudo apt-get install tiger $ sudo tiger $ sudo apt-get install lynis $ sudo lynis -c
Lényegében madártávlatból ugyanazok a Faberge tojások, de más az alapjuk. Talán segítségükkel sikerül azonosítani, mit hagyott ki rkhunter. Kezdetnek pedig a debsums egy eszköz a fájlok ellenőrző összegeinek ellenőrzésére, telepített csomagok a szabvánnyal. Rakjuk:
$ sudo apt-get install debsums
Futtassuk az ellenőrzést:
$ sudo debsums -ac
Mint mindig? az indítás hozzáadható a cron munkákhoz.
Most beszéljünk arról, hogyan őrizheti meg anonimitását az interneten, és hogyan férhet hozzá a különböző szerzői jogtulajdonosok és más Mizulinok kérésére letiltott webhelyekhez és oldalakhoz. Ennek legegyszerűbb módja a világ több ezer proxyszerverének valamelyikének használata. Sok közülük ingyenes, de gyakran levágják a csatornát egy ősi analóg modem sebességére.
A webhelyek egyszerű böngészéséhez és a proxy csak szükség esetén történő bekapcsolásához használhatja a Chrome és a Firefox számos bővítményének egyikét, amelyek a proxyváltó kérésére könnyen megtalálhatók a könyvtárban. Telepítjük, beírjuk a szükséges proxyk listáját és átváltunk a szükségesre, az oldal helyett a „Skumbrievich úr kérésére az oldalhoz való hozzáférés korlátozott” feliratot látva.
Azokban a helyzetekben, amikor a teljes webhely a szűrő alá került, és a címe feketelistára került a szolgáltatók DNS-kiszolgálóinak oldalán, használhat ingyenes DNS-kiszolgálókat, amelyek címe közzétett. Csak vegyen két kívánt címet, és adja hozzá az /etc/resolv.conf fájlhoz:
Névszerver 156.154.70.22 névszerver 156.154.71.22
Annak megakadályozása érdekében, hogy a különböző DHCP-kliensek és NetworkManagerek felülírják a fájlt a szolgáltatótól vagy útválasztótól kapott címekkel, a fájlt nem írható át kiterjesztett attribútumokkal:
$ sudo chattr +i /etc/resolv.conf
Ezt követően a fájl írásvédett lesz mindenki számára, beleértve a root felhasználót is.
A böngészési élmény további anonimizálása érdekében használhatja a dnscrypt démont is, amely titkosítja a DNS-kiszolgálóhoz intézett összes kérést a webhelyhez való csatlakozáshoz használt proxyszerveren kívül. Telepítés:
$ wget http://download.dnscrypt.org/dnscrypt-proxy/dnscrypt-proxy-1.3.2.tar.bz2 $ bunzip2 -cd dnscrypt-proxy-*.tar.bz2 | tar xvf - $ cd dnscrypt-proxy-* $ sudo apt-get install build-essential $ ./configure && make -j2 $ sudo make install
Adja meg a visszahurkolási címet az /etc/resolv.conf fájlban:
$ vi /etc/resolv.conf névszerver 127.0.0.1
Indítsuk el a démont:
$ sudo dnscrypt-proxy --daemonize
A dnscryptnek egyébként vannak Windows, iOS és Android verziói is.
Mi az onion routing? Ez itt Tor. A Tor pedig egy olyan rendszer, amely lehetővé teszi a teljes létrehozást névtelen hálózat Internet hozzáféréssel. A "hagyma" kifejezést itt azzal a működési modellel kapcsolatban használjuk, amelyben bármely hálózati csomag három titkosítási rétegbe lesz "csomagolva", és három csomóponton halad át a címzetthez, amelyek mindegyike eltávolítja a saját rétegét. és továbbítsa az eredményt. Természetesen minden bonyolultabb, de számunkra csak az a fontos, hogy ez azon kevés hálózati szervezés egyike, amely lehetővé teszi a teljes anonimitás megőrzését.
Ahol azonban anonimitás van, ott kapcsolódási problémák is vannak. És a Tornak legalább három van belőlük: szörnyen lassú (hála a titkosításnak és a csomópontok láncán keresztül történő átvitelnek), terhelést hoz létre a hálózaton (mert te magad leszel az egyik csomópont), és sebezhető a forgalom elfogására. Ez utóbbi természetes következménye annak, hogy a Tor hálózatról el lehet érni az Internetet: az utolsó csomópont (kimenet) eltávolítja az utolsó titkosítási réteget, és hozzáférhet az adatokhoz.
A Tor azonban nagyon könnyen telepíthető és használható:
$ sudo apt-get install tor
Ennyi, most a helyi gépen lesz egy proxy szerver, ami a Tor hálózatra vezet. Cím: 127.0.0.1:9050, beírhatja a böngészőbe ugyanazzal a kiterjesztéssel, vagy hozzáadhatja a beállításokon keresztül. Ne feledje, hogy ez egy SOCKS, nem pedig egy HTTP-proxy.
Belépni parancs sor a jelszót nem mentettük el az előzményekben, használhat egy okos trükköt, amelynek neve „adjon szóközt a parancs elejére”.
Az ecryptfs az Ubuntu otthoni könyvtárának titkosítására szolgál.
Adok néhány parancsot, amelyek segíthetnek elárasztani a házigazdát.
Egy adott porton lévő kapcsolatok számának számolása:
$ netstat -na | grep ":port\" | wc -l
A "félig nyitott" TCP-kapcsolatok számának számolása:
$ netstat -na | grep ":port\" | grep SYN_RCVD | wc -l
Tekintse meg azoknak az IP-címeknek a listáját, amelyekről a csatlakozási kérelmek érkeznek:
$ netstat -na | grep ":port\" | rendezés | uniq -c | sort -nr | Kevésbé
Gyanús csomagok elemzése tcpdump segítségével:
# tcpdump -n -i eth0 -s 0 -w output.txt dst port port és az IP szerver gazdagépe
Megszakítjuk a támadó kapcsolatait:
# iptables -A BEMENET - A támadó IP-je -p tcp --cél-port port -j DROP
Korlátozzuk a „félig nyitott” kapcsolatok maximális számát egy IP-ről egy adott portra:
# iptables -I INPUT -p tcp --syn --dport port -m iplimit --iplimit-above 10 -j DROP
Az ICMP ECHO kérésekre adott válaszok letiltása:
# iptables -A BEMENET -p icmp -j DROP --icmp-type 8
Ez minden. Anélkül, hogy belemennénk a részletekbe és a kézikönyvek tanulmányozása nélkül, létrehoztunk egy Linux-boxot, amely védett a külső behatolástól, a rootkitektől és más fertőzésektől, a közvetlen emberi beavatkozástól, a forgalom lehallgatásától és felügyeletétől. Nincs más hátra, mint a rendszer rendszeres frissítése, az SSH-n keresztüli jelszavas bejelentkezés tiltása, a szükségtelen szolgáltatások eltávolítása és a konfigurációs hibák elkerülése.
Sok felhasználó problémákba ütközik, amikor internetkapcsolatot próbál létrehozni az Ubuntuban. Ennek leggyakrabban a tapasztalatlanság az oka, de más okok is lehetnek. Ez a cikk útmutatást ad a különféle típusú kapcsolatok beállításához részletes elemzés minden lehetséges komplikáció a végrehajtási folyamat során.
Számos típusú internetkapcsolat létezik, de ez a cikk a legnépszerűbbekkel foglalkozik: vezetékes hálózat, PPPoE és DIAL-UP. Szó lesz még egy külön DNS-kiszolgáló beállításáról is.
Mielőtt elkezdené a kapcsolat létrehozását, győződjön meg arról, hogy rendszere készen áll erre. Azonnal tisztázni kell, hogy a végrehajtott parancsok "Terminál", két típusra oszthatók: a felhasználói jogokat igénylőkre (ezeket a szimbólum előzi meg $ ) és szuperfelhasználói jogokat igényel (az elején van egy szimbólum # ). Erre figyelj, mert anélkül a szükséges jogokat a legtöbb parancs egyszerűen megtagadja a végrehajtást. Azt is érdemes tisztázni, hogy maguk a szimbólumok "Terminál" nem kell belépni.
Számos pontot kell kitöltenie:
Többek között ismernie kell a hálózati adapter nevét. Ha meg szeretné tudni, lépjen be "Terminál" ez a sor:
$ sudo lshw -C hálózat
Ennek eredményeként valami ehhez hasonlót fog látni:
A szóval szemben megjelenik a hálózati adapter neve "logikus név". BAN BEN ebben az esetben "enp3s0". Ez a név fog megjelenni a cikkben; előfordulhat, hogy az Ön számára más.
Megjegyzés: Ha számítógépén több hálózati adapterek, akkor ennek megfelelően lesznek számozva (enp3s0, enp3s1, enp3s2 és így tovább). Döntse el, melyikkel fog dolgozni, és használja a későbbi beállításokban.
"Terminál"- Ezt univerzális gyógymód mindent beállítani az Ubuntuban. Segítségével minden típusú internetkapcsolat kialakítása lehetséges lesz, erről lesz szó most.
Vezetékes hálózat beállítása
A vezetékes hálózat beállítása az Ubuntuban új beállítások megadásával történik konfigurációs fájl "interfészek". Ezért először meg kell nyitnia ezt a fájlt:
Megjegyzés: a konfigurációs fájl megnyitására szolgáló parancs a Gedit szövegszerkesztőt használja, de bármilyen más szerkesztőt is megadhat, például a vi-t a megfelelő részbe.
Most el kell döntenie, hogy milyen típusú IP-vel rendelkezik a szolgáltató. Két fajtája van: statikus és dinamikus. Ha nem tudod biztosan, hívd a technikust. támogatást, és forduljon üzemeltetőjéhez.
Először nézzük meg a dinamikus IP-t – a konfigurációja egyszerűbb. Bevezetés után előző parancs, a megnyíló fájlban adja meg a következő változókat:
iface [interfész neve] inet dhcp
automatikus [interfész neve]
Miután belépett, valami ilyesmit kell kapnia:
A statikus IP-t kicsit nehezebb konfigurálni. A legfontosabb dolog az összes változó ismerete. A konfigurációs fájlban a következő sorokat kell beírni:
iface [interfész neve] inet static
cím [cím]
hálózati maszk [cím]
átjáró [cím]
dns-névszerverek [cím]
automatikus [interfész neve]
Az összes paraméter megadása után valami ilyesmit fog látni:
A szövegszerkesztő bezárása előtt ne felejtse el menteni az összes beállítást.
Többek között az Ubuntu operációs rendszerben ideiglenesen beállíthat egy internetkapcsolatot. Abban különbözik, hogy a megadott adatok semmilyen módon nem változtatják meg a konfigurációs fájlokat, és a PC újraindítása után minden korábban megadott beállítás visszaáll. Ha ez az első alkalom, hogy vezetékes kapcsolatot létesít az Ubuntun, akkor javasoljuk, hogy használja ezt a módszert a kezdéshez.
Minden paraméter egyetlen paranccsal állítható be:
$ sudo ip addr add 10.2.119.116/24 dev enp3s0
Az összes szükséges adat megadásával és a parancs végrehajtásával "Terminál", ellenőrizheti azok helyességét. Ha az Internet megjelenik a számítógépen, akkor minden változó helyes, és beírható a konfigurációs fájlba.
DNS beállítások
A DNS-kapcsolat beállítása különböző Ubuntu verziók másként teljesített. A 12.04-től kezdődő operációs rendszer verziókban van egy módszer, a korábbi verziókban egy másik. Csak a statikus csatlakozási felületet fogjuk figyelembe venni, mivel a dinamikus a DNS-kiszolgálók automatikus észlelését jelenti.
A 12.04-nél magasabb operációs rendszer verzióiban a konfiguráció egy már ismert fájlban történik "interfészek". Be kell írnia a sort "dns-névszerverek"és felsorolja az értékeket szóközzel elválasztva.
Tehát először nyissa meg a következőn keresztül "Terminál" konfigurációs fájl "interfészek":
$ sudo gedit /etc/network/interfaces
dns-névszerverek [cím]
Ennek eredményeként valami ilyesmit kell kapnia, csak az értékek eltérőek lehetnek:
Ha az Ubuntu egy korábbi verzióján szeretné konfigurálni a DNS-t, a konfigurációs fájl eltérő lesz. Nyissuk ki "Terminál":
$ sudo gedit /etc/resolv.conf
Ezután beállíthatja benne a szükséges DNS-címeket. Érdemes figyelembe venni, hogy a paraméterek megadásával ellentétben "interfészek", V "resolv.conf" A címek minden alkalommal egy bekezdésből íródnak, az érték előtt egy előtag kerül felhasználásra "névszerver"(idézőjelek nélkül).
PPPoE kapcsolat beállítása
A PPPoE beállítása ezen keresztül "Terminál" nem jelenti azt, hogy sok paramétert kell megadni a számítógép különféle konfigurációs fájljaiba. Éppen ellenkezőleg, csak egy parancs kerül felhasználásra.
Tehát a pont-pont kapcsolat (PPPoE) létrehozásához a következőket kell tennie:
Az összes megtett lépés után számítógépe kapcsolatot létesít az internettel, ha mindent helyesen tett.
Kérjük, vegye figyelembe, hogy alapértelmezés szerint a segédprogram pppoeconf megnevezi a létrehozott kapcsolatot dsl-szolgáltató. Ha meg kell szakítania a kapcsolatot, futtassa "Terminál" parancs:
$ sudo poff dsl-szolgáltató
A kapcsolat újbóli létrehozásához írja be:
$ sudo pon dsl-szolgáltató
Megjegyzés: ha a pppoeconf segédprogrammal csatlakozik a hálózathoz, akkor a hálózat Network Manageren keresztüli kezelése nem lehetséges, mivel a paraméterek az „interfészek” konfigurációs fájlba kerülnek. Az összes beállítás visszaállításához és az irányítás átadásához a Hálózatkezelőnek meg kell nyitnia az "interfészek" fájlt, és az összes tartalmat le kell cserélnie az alábbi szöveggel. Belépés után mentse el a változtatásokat, és indítsa újra a hálózatot a „$ sudo /etc/init.d/networking restart” paranccsal (idézőjelek nélkül). Indítsa újra a Network Manager segédprogramot a „$ sudo /etc/init.d/NetworkManager restart” parancs végrehajtásával (idézőjelek nélkül).
DIAL-UP kapcsolat beállítása
A DIAL-UP konfigurálásához két konzol segédprogramot használhat: pppconfigÉs wvdial.
Hozzon létre kapcsolatot a segítségével pppconfig elég egyszerű. Általában ez a módszer nagyon hasonlít az előzőhöz ( pppoeconf): ugyanúgy kérdéseket fognak feltenni, amelyek megválaszolásával végül létrejön az internetkapcsolat. Először futtassa magát a segédprogramot:
$sudo pppconfig
Ezt követően kövesse az utasításokat. Ha nem tudja a válaszok egy részét, javasoljuk, hogy ezek közül vegye fel a kapcsolatot az operátorral. szolgáltatójától, és konzultáljon vele. Az összes beállítás elvégzése után a kapcsolat létrejön.
A beállításokkal kapcsolatban wvdial, akkor ez egy kicsit bonyolultabb. Először telepítenie kell magát a csomagot ezen keresztül "Terminál". Ehhez futtassa a következő parancsot:
$ sudo apt install wvdial
Tartalmaz egy segédprogramot, amely az összes paraméter automatikus konfigurálására szolgál. Ezt hívják "wvdialconf". Futtasd:
$sudo wvdialconf
A végrehajtás után "Terminál" Számos paraméter és jellemző jelenik meg - nem kell megértenie őket. Csak tudnia kell, hogy a segédprogram egy speciális fájlt hozott létre "wvdial.conf", amelybe a modemből kiolvasva automatikusan beírtam a szükséges paramétereket. Ezután szerkesztenie kell a létrehozott fájlt "wvdial.conf", nyissuk ki "Terminál":
$ sudo gedit /etc/wvdial.conf
Mint látható, a beállítások nagy része már megtörtént, de az utolsó három pont még kiegészítésre szorul. Ezekben meg kell adnia telefonszámát, bejelentkezési nevét és jelszavát. Azonban ne rohanjon a fájl bezárásával, a kényelmesebb munka érdekében ajánlatos néhány további paramétert hozzáadni:
Ennek eredményeként a konfigurációs fájl így fog kinézni:
Kérjük, vegye figyelembe, hogy a beállítások két blokkra vannak osztva, amelyek zárójelben lévő nevekkel vannak ellátva. Ez szükséges a paraméterek használatának két verziójának létrehozásához. Tehát az alábbi paraméterek «» , mindig végrehajtásra kerül, de alatta «» — a megfelelő opció megadásakor a parancsban.
Az összes beállítás elvégzése után a DIAL-UP kapcsolat létrehozásához futtassa ezt a parancsot:
Ha impulzusos kapcsolatot szeretne létrehozni, írja be a következőket:
$ sudo wvdial pulse
A létrehozott kapcsolat megszakításához "Terminál" meg kell nyomnia egy billentyűkombinációt Ctrl+C.
Az Ubuntunak van speciális segédprogram, amely a legtöbb típushoz segít kapcsolatot létesíteni. Ráadásul van neki grafikus felület. Ez a Network Manager, amely a felső panel jobb oldalán található megfelelő ikonra kattintva hívható elő.
Vezetékes hálózat beállítása
Ugyanígy kezdjük a vezetékes hálózat beállításával. Először meg kell nyitnia magát a segédprogramot. Ehhez kattintson az ikonjára, és nyomja meg a gombot "Kapcsolatok módosítása" V helyi menü. Ezután a megjelenő ablakban a következőket kell tennie:
Az összes megtett lépés után vezetékes internet kapcsolat telepíteni kell. Ha ez nem történik meg, ellenőrizze az összes megadott paramétert, talán valahol hibát követett el. Ne felejtse el bejelölni, hogy a mellette lévő jelölőnégyzet-e "Hálózat menedzsment" a segédprogram legördülő menüjében.
DNS beállítások
A kapcsolat létrehozásához szükség lehet kézi beállítás DNS szerverek. Ehhez tegye a következőket:
A PPPoE beállítása
A PPPoE-kapcsolat beállítása a Network Managerben ugyanolyan egyszerű, mint az "Terminál". Valójában csak a szolgáltatótól kapott bejelentkezési nevet és jelszót kell megadnia. De nézzünk meg mindent részletesebben.
Most egy új DSL kapcsolat jelent meg a Network Manager menüben, melynek kiválasztásával elérheti az Internetet. Emlékeztetjük, hogy néha újra kell indítania a számítógépet, hogy a változtatások érvénybe lépjenek.
Ennek eredményeként elmondhatjuk, hogy az Ubuntu operációs rendszer számos eszközzel rendelkezik a szükséges internetkapcsolat beállításához. A Network Manager segédprogram grafikus felülettel rendelkezik, ami nagyban leegyszerűsíti a munkát, különösen a kezdők számára. azonban "Terminál" többet tesz lehetővé rugalmas beállítás, adja meg azokat a paramétereket, amelyek nem szerepelnek a segédprogramban.
A cvedetails.com szerint 1999 óta Linux kernel 1305 sebezhetőséget találtak, ebből 68-at 2015-ben. Legtöbbjük nem okoz különösebb problémát, Helyi és Alacsony jelöléssel vannak ellátva, és néhányat csak bizonyos alkalmazásokhoz vagy operációs rendszerbeállításokhoz kapcsolva hívhatunk meg. Elvileg a számok kicsik, de a kernel nem a teljes operációs rendszer. A sebezhetőségeket a GNU Coreutils, Binutils, glibs és természetesen a felhasználói alkalmazások is megtalálják. Nézzük a legérdekesebbeket.
OS: Linux
Szint: Közepes, Alacsony
Vektor: Távoli
CVE: CVE-2015-3331, CVE-2015-4001, CVE-2015-4002, CVE-2015-4003
Exploit: koncepció, https://lkml.org/lkml/2015/5/13/740, https://lkml.org/lkml/2015/5/13/744
A 3.19.3 előtti Linux kernelben júniusban talált sérülékenység az arch/x86/crypto/aesni-intel_glue.c __driver_rfc4106_decrypt függvényében az RFC4106 megvalósításának köszönhető az AES-NI AES utasításkészlet-kiterjesztést támogató x86 processzorokhoz (javasolt). Intel, Intel Advanced Encryption Standard Instructions) bizonyos esetekben nem számítja ki megfelelően a puffercímeket. Ha az IPsec-alagút ennek a módnak a használatára van konfigurálva (AES-algoritmus – CONFIG_CRYPTO_AES_NI_INTEL), a biztonsági rés memóriakárosodáshoz, összeomláshoz és potenciálisan távoli CryptoAPI-kódfuttatáshoz vezethet. Sőt, a legérdekesebb, hogy a probléma magától, teljesen legális forgalomban, külső beavatkozás nélkül is felmerülhet. A kiadás időpontjában a probléma megoldódott.
Öt sebezhetőséget azonosítottak a kísérleti állapotú Linux 4.0.5 ozwpan illesztőprogramban, amelyek közül négy lehetővé teszi DoS támadás megszervezését a kernel összeomlásával, speciálisan tervezett csomagok küldésével. A probléma az előjeles egész számok helytelen kezeléséből adódó puffertúlcsorduláshoz kapcsolódik, amelyben a memcpy-ben a szükséges_méret és az eltolás közötti számítás negatív számot adott vissza, ennek eredményeként az adatok a kupacba másolódnak.
A drivers/staging/ozwpan/ozhcd.c oz_hcd_get_desc_cnf függvényében, valamint a drivers/staging/ozwpan/ozusbsvc1.c fájl oz_usb_rx és oz_usb_handle_ep_data függvényében található. További sérülékenységek a lehetséges 0-val való osztás, a rendszer hurkolása vagy a lefoglalt puffer határain kívül eső területekről való olvasás képessége.
Az ozwpan illesztőprogram, az egyik új Linux-termék, összekapcsolható a meglévőkkel vezeték nélküli eszközök kompatibilis az Ozmo Devices technológiával ( Wi-Fi Direct). USB-gazdavezérlő megvalósítását biztosítja, de a trükk az, hogy a fizikai kapcsolat helyett a periféria Wi-Fi-n keresztül kommunikál. A sofőr elfogadja hálózati csomagok c típusú (ethertype) 0x892e, majd elemzi és lefordítja őket különböző USB-funkciókra. Egyelőre ritka esetekben használják, így az ozwpan.ko modul kirakásával letiltható.
OS: Linux Ubuntu 04/12–04/15 (alap 2015. június 15-ig)
Szint: Kritikai
Vektor: Helyi
CVE: CVE-2015-1328
Exploit: https://www.exploit-db.com/exploits/37292/
Kritikus sebezhetőség az OverlayFS fájlrendszerben lehetővé teszi a root jogok megszerzését Ubuntu rendszerek, amelyek lehetővé teszik az OverlayFS partíciók felcsatolását egy nem jogosult felhasználó számára. A sérülékenység kihasználásához szükséges alapértelmezett beállításokat az Ubuntu 12.04–15.04 összes ága használja. Maga az OverlayFS viszonylag nemrég jelent meg a Linux kernelben – a 3.18-rc2-vel (2014) kezdődően ez egy SUSE fejlesztés az UnionFS és az AUFS helyére. Az OverlayFS lehetővé teszi egy virtuális többrétegű réteg létrehozását fájlrendszer, amely más fájlrendszerek több részét egyesíti.
A fájlrendszer egy alsó és egy felső rétegből jön létre, amelyek mindegyike külön könyvtárhoz van csatolva. Az alsó réteg csak a Linux által támogatott fájlrendszerek könyvtárainak olvasására szolgál, beleértve a hálózatiakat is. A felső réteg általában írható, és felülírja az alsó réteg adatait, ha a fájlok duplikálva vannak. Élő disztribúciókban, konténervirtualizációs rendszerekben, valamint egyes asztali alkalmazások konténerei működésének megszervezésében van rá igény. A felhasználói névterek lehetővé teszik saját felhasználói és csoportazonosító-készletek létrehozását a tárolókban. A biztonsági rést a hozzáférési jogok helytelen ellenőrzése okozza új fájlok létrehozásakor az alapul szolgáló fájlrendszer könyvtárában.
Ha a kernel a CONFIG_USER_NS=y paraméterrel épül fel (engedélyezi a felhasználói névteret), és az FS_USERNS_MOUNT jelzőt adják meg a beillesztéskor, az OverlayFS-t normál felhasználó más névtérben is csatlakoztathatja, beleértve a root jogok. Ebben az esetben az ilyen névterekben végrehajtott gyökérjogú fájlokkal végzett műveletek ugyanazokat a jogosultságokat kapják, amikor az alapul szolgáló fájlrendszerrel hajtanak végre műveleteket. Ezért bármilyen FS-partíciót csatlakoztathat, és bármilyen fájlt vagy könyvtárat megtekinthet vagy módosíthat.
A közzététel időpontjában már elérhető volt egy kernelfrissítés az Ubuntu fix OverlayFS moduljával. Ha pedig frissítik a rendszert, akkor nem lehet gond. Ugyanebben az esetben, ha a frissítés nem lehetséges, ideiglenes intézkedésként hagyja abba az OverlayFS használatát az overlayfs.ko modul eltávolításával.
OS: Linux
Szint: Kritikai
Vektor: helyi, távoli
CVE: CVE-2015-0235
Exploit: https://www.qualys.com/research/security-advisories/exim_ghost_bof.rb
Veszélyes sérülékenység a GNU glibc szabványkönyvtárában, amely a Linux operációs rendszer központi részét képezi, valamint az Oracle Communications Applications és az Oracle Pillar Axiom egyes verzióiban, amelyet a Qualys hackerei által végzett kódellenőrzés során fedeztek fel. A GHOST kódnevet kapta. Ez egy puffertúlcsordulás a __nss_hostname_digits_dots() függvényen belül, amelyet a glibc függvények, például a gethostbyname() és a gethostbyname2() használnak a gazdagépnév lekéréséhez (innen a GetHOST név). A biztonsági rés kihasználásához puffertúlcsordulást kell okoznia egy érvénytelen hostname argumentum használatával egy DNS-en keresztül névfeloldást végrehajtó alkalmazásban. Vagyis elméletileg ez a sérülékenység bármely olyan alkalmazásra alkalmazható, amely valamilyen mértékben használja a hálózatot. Helyileg és távolról is hívható, tetszőleges kód futtatását lehetővé téve.
A legérdekesebb, hogy a hibát még 2013 májusában javították, a glibc 2.17-es és 2.18-as kiadása között patch került bemutatásra, de a probléma nem volt biztonsági javításnak minősítve, így nem is figyeltek rá. Ennek eredményeként sok disztribúció sebezhetőnek bizonyult. Eredetileg arról számoltak be, hogy a legelső sebezhető verzió a 2.2 volt, 2000. november 10-én, de fennáll annak a lehetősége, hogy a 2.0-ig fog megjelenni. Többek között az RHEL/CentOS 5.x–7.x, a Debian 7 és az Ubuntu 12.04 LTS disztribúciók érintettek. Jelenleg elérhetőek a gyorsjavítások. A hackerek maguk javasoltak egy segédprogramot, amely elmagyarázza a sebezhetőség lényegét, és lehetővé teszi a rendszer ellenőrzését. Minden rendben van az Ubuntu 12.04.4 LTS-ben:
$ wget https : //goo.gl/RuunlE $gcc lényegi fájl1. c - o CVE - 2015 - 0235 $. / CVE - 2015 - 0235 nem sebezhető |
A rendszer ellenőrzése a GHOST-on
Szinte azonnal megjelent egy modul, amely lehetővé teszi a kód távoli végrehajtását x86 és x86_64 Linuxon működőképes levelezőszerver Exim (a helo_try_verify_hosts vagy a helo_verify_hosts engedélyezésével). Később más megvalósítások is megjelentek, például a Metasploit modul a WordPress blogjának ellenőrzésére.
Kicsit később, 2015-ben további három sebezhetőséget fedeztek fel a GNU glibc-ben, amelyek lehetővé tették egy távoli felhasználó számára, hogy DoS támadást hajtson végre, vagy felülírja a veremhatáron kívüli memóriacellákat: CVE-2015-1472, CVE-2015-1473, CVE-2015- 1781.
OS: Linux (GNU Coreutils)
Szint: Alacsony
Vektor: Helyi, Távoli
CVE: CVE-2014-9471
Exploit: Nem
A GNU Coreutils az egyik fő *nix csomag, amely szinte az összes alapvető segédprogramot tartalmazza (cat, ls, rm, dátum...). A problémát időben megtalálták. A parse_datetime függvény hibája lehetővé teszi a távoli támadók számára fiókot a rendszeren szolgáltatásmegtagadást idézhet elő, és esetleg tetszőleges kódot futtathat egy speciálisan kialakított dátumkarakterláncon keresztül az időzóna használatával. A sebezhetőség így néz ki:
$ touch ‘-- dátum = TZ = ”123”345”@1' felosztási hiba $ dátum - d 'TZ = "Európa / Moszkva" "00 : 00 + 1 óra"' felosztási hiba $ dátum ‘-- dátum = TZ = ”123”345”@1' * * * Hiba a ` dátumban ': ingyenes () : érvénytelen mutató: 0xbfc11414 * * * |
A GNU Coreutils sebezhetősége
Ha nincs sebezhetőség, üzenetet kapunk a hibás dátumformátumról. Szinte minden fejlesztő jelezte a biztonsági rés jelenlétét Linux disztribúciók. Jelenleg elérhető frissítés.
A javított GNU Coreutils normál kimenete OS: Linux (2.19-2.21 grep)
Szint: Alacsony
Vektor: Helyi
CVE: CVE-2015-1345
Exploit: Nem
A sérülékenységek ritkán találhatók a grep segédprogramban, amely szöveg minta alapján történő keresésére szolgál. De ezt a segédprogramot gyakran más programok hívják, beleértve a rendszerprogramokat is, így a sérülékenységek jelenléte sokkal problémásabb, mint első pillantásra tűnik. A kwset.c fájl bmexec_trans függvényének hibája inicializálatlan adatok olvasását okozhatja a lefoglalt pufferen kívüli területről, vagy az alkalmazás összeomlását okozhatja. A hacker kihasználhatja ezt azáltal, hogy létrehoz egy speciális adatkészletet, amely az alkalmazás bemenetére kerül a grep -F használatával. Jelenleg elérhetők a frissítések. Nincsenek olyan kihasználások, amelyek a sebezhetőséget vagy a Metasploit modult használnák.
OS: FreeBSD
Szint: Alacsony
Vektor: Helyi, Távoli
CVE: CVE-2014-0998, CVE-2014-8612, CVE-2014-8613
Exploit: https://www.exploit-db.com/exploits/35938/
A CVE adatbázisában 2015-re nem sok sebezhetőség található, pontosabban csak hat. Három sebezhetőséget találtak a FreeBSD 8.4–10.x verziójában 2015. január végén a Core Exploit Writers Team kutatói. A CVE-2014-0998 a VT-konzol-illesztőprogram (Newcons) megvalósításához kapcsolódik, amely több virtuális terminált biztosít, és amelyet a /boot/loader.conf fájl kern.vty=vt paramétere engedélyez.
A CVE-2014-8612 SCTP-protokoll használatakor fordul elő, és az SCTP-socketeket megvalósító SCTP-adatfolyamazonosító-ellenőrző kód hibája okozza (4444-es helyi port). A lényeg az sctp_setopt() függvény (sys/netinet/sctp_userreq.c) memóriahiányos hibája. Ez lehetővé teszi a helyi, jogosulatlan felhasználók számára, hogy 16 bites kernelmemória-adatokat írjanak vagy olvassanak, és kiterjesszék jogosultságaikat a rendszeren, felfedjenek bizalmas adatokat, vagy összeomolják a rendszert.
A CVE-2014-8613 lehetővé teszi a NULL mutatóhivatkozás aktiválását egy külsőleg vett SCTP-csomag feldolgozása során, ha az SCTP_SS_VALUE SCTP-foglalat beállítás be van állítva. A korábbiakkal ellentétben a CVE-2014-8613 használható távoli hívás a kernel összeomlását speciálisan tervezett csomagok küldésével. A FreeBSD 10.1-ben a net.inet.sctp.reconfig_enable változó 0-ra állításával védekezhet, ezáltal letiltva a RE_CONFIG blokkok feldolgozását. Vagy egyszerűen megtiltja az alkalmazásoknak (böngészőknek, e-mail klienseknek stb.) az SCTP-kapcsolatok használatát. Bár a megjelenéskor a fejlesztők már kiadtak egy frissítést.
FreeBSD sebezhetőségi statisztika OS: OpenSSL
Szint: Távoli
Vektor: Helyi
CVE: CVE-2015-1793
Exploit: Nem
2014-ben egy kritikus Heartbleed sebezhetőséget fedeztek fel az OpenSSL-ben, amely egy széles körben használt kriptográfiai csomag az SSL/TLS-szel való munkához. Az incidens egy időben hatalmas kritikát váltott ki a kód minőségét illetően, és egyrészt ez vezetett olyan alternatívák megjelenéséhez, mint a LibreSSL, másrészt maguk a fejlesztők is végre nekivágtak a dolognak.
A sebezhetőségek alapján vezető gyártók A kritikus sérülékenységet Adam Langley, a Google-tól és David Benjamin, a BoringSSL-től fedezte fel. Az OpenSSL 1.0.1n és 1.0.2b verzióiban végrehajtott változtatások miatt az OpenSSL megpróbált alternatív tanúsítvány-ellenőrzési láncot találni, ha a bizalmi lánc felépítésének első kísérlete sikertelen volt. Ez lehetővé teszi a tanúsítvány-ellenőrzési eljárás megkerülését és a megerősített kapcsolat megszervezését hamis tanúsítvány segítségével, más szóval - hogy nyugodtan csalja a felhasználót hamis webhelyekre vagy szerverekre. Email vagy hajtson végre bármilyen MITM-támadást, ahol a tanúsítványt használják.
A sérülékenység felfedezése után a fejlesztők július 9-én kiadták az 1.0.1p és 1.0.2d kiadásokat, amelyek javították ezt a problémát. A 0.9.8-as vagy 1.0.0-s verziók nem tartalmazzák ezt a biztonsági rést.
Az ősz végét számos titkosító vírus megjelenése jellemezte, először a Linux.Encoder.0, majd a Linux.Encoder.1 és a Linux.Encoder.2 módosítások, amelyek több mint 2500 oldalt fertőztek meg. A vírusirtó cégek szerint olyan Linux és FreeBSD szervereket támadnak meg, amelyek webhelyei különböző CMS-ekkel – WordPress, Magento CMS, Joomla és mások – futnak. A hackerek egy azonosítatlan sebezhetőséget használnak ki. Ezután egy shell script került elhelyezésre (hiba.php fájl), amivel a további műveleteket elvégeztük (böngészőn keresztül). Különösen a Linux kódoló Trojan indult.
Encoder, amely meghatározta az operációs rendszer architektúráját és elindította a ransomware-t. A kódoló webszerver-jogokkal (Ubuntu - www-data) indult, ami teljesen elegendő a fájlok titkosításához abban a könyvtárban, amelyben a CMS-fájlok és -összetevők vannak tárolva. A titkosított fájlok új kiterjesztést kapnak.titkosított.
A zsarolóprogram más operációs rendszer könyvtárakat is megpróbál megkerülni; ha a jogok helytelenül vannak konfigurálva, akkor könnyen túlléphet a webhely határain. Ezután a README_FOR_DECRYPT.txt fájl elmentésre került a könyvtárba, amely a fájlok visszafejtésére vonatkozó utasításokat és a hacker követelményeit tartalmazza. Tovább Ebben a pillanatban a víruskereső cégek olyan segédprogramokat vezettek be, amelyek lehetővé teszik a könyvtárak visszafejtését. Például egy készlet a Bitdefendertől. De emlékeznie kell arra, hogy a fájlok visszafejtésére tervezett összes segédprogram nem távolítja el a shellkódot, és minden megismétlődhet.
Figyelembe véve, hogy sok felhasználó, aki webhely-adminisztrációt fejleszt vagy kísérletezik, gyakran telepít webszervert otthoni számítógép, aggódnia kell a biztonság miatt: blokkolja a hozzáférést kívülről, frissítse a szoftvert, végezzen kísérleteket a virtuális gépen. Maga az ötlet pedig a jövőben felhasználható otthoni rendszerek támadására.
Bonyolult, hibák nélküli szoftverek fizikailag nem léteznek, ezért meg kell birkózni azzal, hogy a sebezhetőségeket folyamatosan feltárják. De nem mindegyik lehet igazán problémás. És megvédheti magát egyszerű lépésekkel: távolítsa el a nem használt szoftvereket, figyelje meg az új sebezhetőségeket, és feltétlenül telepítse a biztonsági frissítéseket, konfiguráljon tűzfalat, telepítsen egy víruskeresőt. És ne feledkezzünk meg az olyan speciális technológiákról sem, mint a SELinux, amelyek képesek kompromittálni egy démont vagy felhasználói alkalmazást.
Persze ezt mondhatjuk Linux több biztonságos(védett), mint a Windows. Biztonság V Linux beépített, és nincs csavarva valahol az oldalán, ahogy a Windowsban megvalósítják. Biztonság rendszerek Linux lefedi a kerneltől az asztalig terjedő területet, de előfordulhat, hogy a hackerek megsértik a kezdőkönyvtárat (/home).
Az Ön bájtjai fényképei, otthoni videói, dokumentumai és hitelkártya- vagy pénztárcaadatai a számítógépen tárolt legértékesebb információ. Természetesen a Linux nem érzékeny mindenféle internetes férgekre és vírusokra a Windows számára. A támadók azonban megtalálhatják a módját, hogy hozzáférjenek az Ön adataihoz a saját könyvtárában.
Miután előkészítette régi számítógépét, ill HDD Formázás eladás előtt, szerintetek elég lesz? Számos modern eszköz létezik az adatok helyreállítására. A hacker könnyen visszaállíthatja az adatait merevlemez, függetlenül attól, hogy melyik operációs rendszerben dolgozott.
Ebben a témában felidézem egy cég használt számítógépek és lemezek visszavásárlásának tapasztalatait. Tevékenységük során ítéletet hoztak, hogy számítógépük korábbi tulajdonosainak 90%-a nem gondoskodott megfelelően az adathordozó tisztításáról az eladás előtt. És nagyon érzékeny bájtnyi adatot vontak ki. Elképzelni is ijesztő, hogy valahol a merevlemez rekeszében olyan információ található, amellyel bejelentkezhet az online bankba vagy az online pénztárcába.
Lépjünk az alapokhoz (), ami szinte mindenhez megfelel 
Linux disztribúciók.
Az egyéni jelszavak nem oldják meg a problémát, hacsak nem akarod, hogy senki ne tudja olvasni a saját könyvtáradat (/home) vagy egy bizonyos bájtméretet. Megteheti úgy, hogy még a legmagasabb root jogosultságokkal rendelkező felhasználó sem tudja beleütni az orrát.
Ha úgy dönt, hogy eladja vagy elajándékozza számítógépét vagy adathordozóját, ne gondolja, hogy pusztán formázása véglegesen törli a fájlokat. Telepítheti a biztonságos törlési eszközt a Linuxra, amely tartalmazza az srm segédprogramot biztonságos eltávolítása fájlokat.
Ne feledkezzünk meg a Linux kernel tűzfaláról sem. Minden Linux disztribúció tartalmaz lptable-t, amely a kernel részét képezi. Az Lptables lehetővé teszi a hálózati csomagok szűrését. Természetesen ezt a segédprogramot a terminálban is beállíthatja. De ez a módszer sokaknak, köztük nekem is meghaladja a képességeit. Tehát olyan egyszerűen telepítem és konfigurálom, mintha játékkal játszanék.
Mint mindenki OS, A Linux hajlamos mindenféle szemét felhalmozódására különféle alkalmazások futtatásakor. És ez nem a Linux hibája, mivel a különféle alkalmazások, mint például a böngészők, szövegszerkesztők és még videólejátszók sem működnek kernel szinten, és ideiglenes fájlokat halmoznak fel. Telepítheti a BleachBit segédprogramot az univerzális szemételtávolításhoz.
Befejezésül el akarom mondani névtelen internetes szörfözés. Néha megesik, hogy szükség van rá, mint ahogy én teszem, amikor a feleségemtől titokban erotikus tartalmú oldalakat látogatok. Természetesen vicceltem.
A támadók nehezen tudják elérni Önt, ha nem tudják meghatározni a tartózkodási helyét. A nyomainkat egy egyszerű beállítással fedjük le, amelyben két segédprogram működik együtt, a privoxy és a tor.
Véleményem szerint ezen szabályok betartása és konfigurálása 90%-ban megőrzi Önt és számítógépét.
P.S. Egy dropbox nevű felhőt használok. Régi és új, még nem publikált cikkeimet tárolom benne. Kényelmes, hogy a világ bármely pontjáról és bármilyen számítógépről hozzáférhet fájljaihoz. Amikor cikkeket ír egy webhelyhez szöveg szerkesztő, megmentem az enyémet szöveges dokumentumok jelszóval és csak utána töltöm fel a dropbox szerverre. Soha nem szabad elhanyagolni az extra biztonságot, ami csak a kezedbe fog játszani.
