Det finns en vanlig missuppfattning att servrar som kör Linux OS är de mest säkra och skyddade från externa intrång. Tyvärr är detta inte fallet för någon server beror på ett antal faktorer och åtgärder för att säkerställa den och är praktiskt taget oberoende av vilket operativsystem som används.
Vi bestämde oss för att starta en serie artiklar tillägnad nätverkssäkerhet Med Ubuntu Server, eftersom lösningar på denna plattform är av stort intresse för våra läsare och eftersom många tror att Linux-lösningar är säkra i sig själva.
Samtidigt är en router med en dedikerad IP-adress en "grind" till det lokala nätverket, och det beror bara på administratören om denna port kommer att vara en pålitlig barriär eller kommer att visa sig vara en landsgrind stängd med en spika.
En annan vanlig missuppfattning är resonemang i stil med: "vem behöver det, vår server, vi har inget intressant." Faktum är att ditt lokala nätverk kanske inte är av något intresse för angripare, men de kan använda en hackad server för att skicka skräppost, attacker på andra servrar, en anonym proxy, kort sagt, som utgångspunkt för deras skumma affärer.
Och detta är redan obehagligt och kan fungera som en källa till olika problem: från leverantören till brottsbekämpande myndigheter. Och du bör inte glömma spridningen av virus, stöld och förstörelse av viktig information, såväl som det faktum att driftstopp för ett företag leder till ganska påtagliga förluster.
Trots det faktum att artikeln är tillägnad Ubuntu Server, kommer vi först att titta på allmänna säkerhetsfrågor som gäller lika för alla plattformar och är grunderna, utan vilka det inte är någon idé att diskutera frågan mer i detalj.
Nej, säkerheten börjar inte med brandväggen, den börjar inte alls med brandväggen. tekniska medel, säkerhet börjar med användaren. När allt kommer omkring, vad är användningen av den coolaste metalldörren installerad av mest de bästa specialisterna vad händer om ägaren lämnar nyckeln under mattan?
Därför är det första du bör göra en säkerhetsrevision. Låt dig inte skrämmas av det här ordet, allt är inte så komplicerat: rita en schematisk nätverksplan där du markerar en säker zon, en potentiell farazon och en högriskzon, och gör även en lista över användare som har (bör ha tillgång) till dessa zoner.
Den säkra zonen bör omfatta interna nätverksresurser som inte är åtkomliga utifrån och för vilka en låg säkerhetsnivå är acceptabel. Dessa kan vara arbetsstationer, filservrar etc. enheter till vilka åtkomsten är begränsad till företagets lokala nätverk.
Den potentiella farozonen omfattar servrar och enheter som inte har direkt åtkomst till det externa nätverket, men vars enskilda tjänster är åtkomliga utifrån, till exempel webb- och e-postservrar som finns bakom en brandvägg, men som fortfarande betjänar förfrågningar från det externa nätverket.
Den farliga zonen bör omfatta enheter som är direkt åtkomliga från utsidan, helst bör detta vara en router.
Om möjligt bör en potentiellt farlig zon placeras på ett separat subnät - en demilitariserad zon (DMZ), som är separerad från huvudnätverket med en extra brandvägg.
LAN-enheter ska bara ha åtkomst till de tjänster i DMZ som de behöver, som SMTP, POP3, HTTP och andra anslutningar ska blockeras. Detta gör att du på ett tillförlitligt sätt kan isolera en angripare eller skadlig programvara som utnyttjade en sårbarhet i en separat tjänst i en demilitariserad zon, vilket nekar dem åtkomst till huvudnätverket.
Fysiskt kan en DMZ organiseras genom att installera en separat server/hårdvarubrandvägg eller genom att lägga till ett extra nätverkskort till routern, men i det senare fallet måste du vara noggrann uppmärksam på routerns säkerhet. Men i alla fall är det mycket lättare att säkerställa säkerheten för en server än en grupp av servrar.
Nästa steg bör vara att analysera listan över användare, om de alla behöver tillgång till DMZ och till routern (med undantag för offentliga tjänster), särskild uppmärksamhet bör ägnas åt användare som ansluter utifrån.
Detta kräver vanligtvis det mycket impopulära steget att upprätthålla en lösenordspolicy. Alla lösenord för användare som har tillgång till kritiska tjänster och har möjlighet att ansluta externt måste innehålla minst 6 tecken och innehålla, förutom gemener, tecken från två av tre kategorier: versaler, siffror, icke-alfabetiska tecken.
Dessutom bör lösenordet inte innehålla användarens inloggning eller en del av det, inte innehålla datum eller namn som kan associeras med användaren, och helst inte vara ett ordboksord.
Det är en bra idé att börja med att byta lösenord var 30-40:e dag. Det är uppenbart att en sådan policy kan orsaka avslag från användare, men du bör alltid komma ihåg att lösenord som 123 eller qwerty motsvarar att lämna en nyckel under mattan.
Nu, med en uppfattning om vad vi vill skydda och från vad, låt oss gå vidare till själva servern. Gör en lista över alla tjänster och tjänster, fundera sedan över om de alla behövs på just den här servern, eller om de kan flyttas någon annanstans.
Ju färre tjänster, desto lättare är det att säkerställa säkerhet, och desto mindre är chansen att servern äventyras genom en kritisk sårbarhet i en av dem.
Konfigurera tjänster som betjänar det lokala nätverket (till exempel bläckfisk) så att de accepterar förfrågningar uteslutande från det lokala gränssnittet. Ju färre tjänster tillgängliga externt, desto bättre.
En sårbarhetsskanner kommer att vara en bra assistent för att säkerställa säkerheten, den bör skanna serverns externa gränssnitt. Vi använde en demoversion av en av de mest kända produkterna - XSpider 7.7.
Skannern visar öppna portar, försöker fastställa vilken typ av tjänst som körs och, om den lyckas, dess sårbarheter. Som du kan se är ett korrekt konfigurerat system ganska säkert, men du bör inte lämna nyckeln under mattan är en öppen port 1723 (VPN) och 3389 (RDP, vidarebefordrad till terminalservern); god anledning att fundera över en lösenordspolicy.
Vi bör också prata om SSH-säkerhet. denna tjänst vanligtvis används av administratörer för fjärrkontroll server och är av ökat intresse för angripare. SSH-inställningar lagras i en fil /etc/ssh/sshd_config, alla ändringar som beskrivs nedan görs i den. Först och främst bör du inaktivera auktorisering under rotanvändaren för att göra detta, lägg till alternativet:
PermitRootLogin nr
Nu måste angriparen gissa inte bara lösenordet utan också inloggningen, och han kommer fortfarande inte att känna till superanvändarlösenordet (vi hoppas att det inte stämmer överens med ditt lösenord). Alla administrativa uppgifter vid uppkoppling utifrån ska utföras underifrån sudo logga in som en oprivilegierad användare.
Det är värt att uttryckligen ange listan över tillåtna användare, och du kan använda poster som användare@värd, vilket tillåter den angivna användaren att endast ansluta från den angivna värden. Till exempel, för att tillåta användaren ivanov att ansluta hemifrån (IP 1.2.3.4), bör du lägga till följande post:
TillåtAnvändare [e-postskyddad]
Inaktivera också användningen av det föråldrade och mindre säkra SSH1-protokollet, tillåt endast den andra versionen av protokollet, för att göra detta, ändra följande rad till formuläret:
Protokoll 2
Trots alla åtgärder som vidtagits kommer det fortfarande att finnas försök att ansluta till SSH och andra offentliga tjänster för att förhindra lösenordsgissning, använd verktyget fail2ban, vilket gör att du automatiskt kan blockera en användare efter flera misslyckade inloggningsförsök. Du kan installera det med kommandot:
Sudo apt-get installation fail2ban
Detta verktyg är redo att fungera direkt efter installationen, men vi rekommenderar att du omedelbart ändrar några parametrar för att göra detta, gör ändringar i filen /etc/fail2ban/jail.conf. Som standard är endast åtkomst till SSH kontrollerad och förbudstiden är 10 minuter (600 sekunder), enligt vår mening är det värt att öka den genom att ändra följande alternativ:
Bantime = 6000
Bläddra sedan igenom filen och aktivera sektioner för tjänster som körs på ditt system genom att ställa in parametern efter namnet på motsvarande sektion aktiverat i ett tillstånd sann, till exempel för en tjänst proftpd det kommer se ut så här:
aktiverad = sant
En annan viktig parameter maxretry, som ansvarar för det maximala antalet anslutningsförsök. Efter att ha ändrat inställningarna, glöm inte att starta om tjänsten:
Sudo /etc/init.d/fail2ban startas om
Du kan se verktygsloggen på /var/log/fail2ban.log.
Ingen av oss vill att personlig information ska hamna i orätta händer. Men hur skyddar du ditt system från attacker och datastöld? Måste man verkligen läsa kilometerlånga manualer om inställnings- och krypteringsalgoritmer? Inte alls nödvändigt. I den här artikeln kommer jag att berätta hur du gör ett Linux-system säkert på bokstavligen 30 minuter.
Vi lever i en tid mobila enheter och permanent online. Vi går till ett café med en bärbar dator och kör webbservrar utsatta för internet på våra hemmaskiner. Vi registrerar oss på hundratals sajter och använder samma lösenord för webbtjänster. Vi har alltid en smartphone i våra fickor, med dussintals lösenord instoppade i den, och nycklar till flera SSH-servrar. Vi är så vana vid att tredjepartstjänster tar hand om vår integritet att vi har slutat uppmärksamma det.
När jag tappade bort min smartphone hade jag mycket tur att stöldskyddet som var installerat på den visade sig fungera och tillät mig att fjärrradera all data från enhetens minne. När jag oavsiktligt öppnade SSH-porten på hembil med en användare utan lösenord (!) till omvärlden (!!), hade jag stor tur att manusbarn kom in på maskinen, som dessutom rolig historia skal lämnade inga allvarliga spår av sin närvaro i systemet. När jag av misstag lade upp en lista på Internet med mitt Gmail-lösenord hade jag tur att det fanns en vänlig person som varnade mig för det.
Jag kanske är en fjant, men jag är fast övertygad om att liknande incidenter har hänt många som läser dessa rader. Och det är bra om dessa människor, till skillnad från mig, tog allvarligt hand om att skydda sin bil. När allt kommer omkring kanske stöldskyddet inte fungerade, och istället för en manuskilling, kan seriösa människor ha kommit in i bilen, och jag kanske inte har tappat bort en smartphone, utan en bärbar dator, som inte hade något annat skydd än användarlösenordet . Nej, du borde definitivt inte lita på Googles tvåfaktorsautentisering och dumma lösenord i denna tid, du behöver något mer seriöst.
Den här artikeln är en guide för en paranoid Unixoid, dedikerad till det totala skyddet av en Linux-maskin från allt och allt. Jag tvekar att säga att allt som beskrivs här är obligatoriskt för användning. Tvärtom, detta är en samling recept, information som du kan använda för att skydda dig själv och dina data på de nivåer där det behövs i din specifika situation.
Allt börjar med lösenord. De finns överallt: i inloggningsfönstret i en Linux-distribution, i registreringsformulär på webbplatser, på FTP- och SSH-servrar och på låsskärmen på en smartphone. Standarden för lösenord är idag 8–12 tecken i blandade versaler och inklusive siffror. Generera sådana lösenord för din med ditt eget sinne ganska tråkigt, men det finns ett enkelt sätt att göra det automatiskt:
$ openssl rand -base64 6
Inga externa applikationer, inga webbläsartillägg, OpenSSL är tillgängligt på vilken maskin som helst. Även om det är bekvämare för någon, kan de installera och använda pwgen för dessa ändamål (de säger att lösenordet kommer att vara starkare):
$ pwgen -Bs 8 1
Var lagrar man lösenord? Idag har varje användare så många av dem att det helt enkelt är omöjligt att lagra allt i hans huvud. Lita på din webbläsares autosparasystem? Det är möjligt, men vem vet hur Google eller Mozilla kommer att behandla dem. Snowden sa att det inte var särskilt bra. Därför måste lösenord lagras på själva maskinen i en krypterad behållare. The Founding Fathers rekommenderar att du använder KeePassX för detta. Saken är grafisk, vilket grundarna själva inte gillar, men det fungerar överallt, inklusive den berömda Android Google-sonden (KeePassDroid). Allt som återstår är att överföra databasen med lösenord dit det behövs.
Kryptering - det ligger så mycket i det här ordet... Idag finns kryptering överallt och ingenstans samtidigt. Vi är tvungna att använda HTTPS-versioner av webbplatser, men vi bryr oss inte. De säger till oss: "Kryptera din hemkatalog", och vi säger: "Då ställer jag in den." De säger till oss: "Dropbox-anställdas favoritsysselsättning är att skratta åt användarnas personliga bilder," och vi: "Låt dem skratta." Samtidigt är kryptering det enda absoluta skyddsmedlet idag. Det är också väldigt prisvärt och slätar ut rynkor.
Linux har massor av krypteringsalternativ för allt från hårddiskpartitioner till enstaka filer. De tre mest kända och beprövade verktygen är dm-crypt/LUKS, ecryptfs och encfs. Den första krypterar hela diskar och partitioner, den andra och tredje krypterar kataloger med viktig information, varje fil separat, vilket är mycket praktiskt om du behöver göra stegvisa säkerhetskopior eller använda den tillsammans med Dropbox. Det finns också flera mindre kända verktyg, inklusive TrueCrypt till exempel.
Låt mig göra en reservation omedelbart att kryptera hela disken är en svår uppgift och, viktigast av allt, värdelös. Det finns inget särskilt konfidentiellt i rotkatalogen och det kan det inte vara, men hemkatalogen och bytet är helt enkelt en skattkammare av information. Dessutom är den andra ännu större än den första, eftersom data och lösenord kan komma dit redan i dekrypterad form (normala programmerare förbjuder systemet från att dumpa sådan data i en swap, men de är i minoritet). Att ställa in kryptering för båda är mycket enkelt, installera bara ecrypts-verktygen:
$ sudo apt-get installera ecryptfs-utils
Och, faktiskt, aktivera kryptering:
$ sudo ecryptfs-setup-swap $ ecryptfs-setup-private
Därefter anger du bara ditt lösenord som används för inloggning och loggar in på nytt i systemet. Ja, det är verkligen så enkelt. Det första kommandot kommer att kryptera och montera om bytet genom att ändra lämpliga rader i /etc/fstab. Den andra skapar katalogerna ~/.Private och ~/Private, i vilka krypterade respektive dekrypterade filer kommer att lagras. När du loggar in kommer PAM-modulen pam_ecryptfs.so att triggas, vilket kommer att montera den första katalogen till den andra med transparent datakryptering. Efter avmontering kommer ~/Private att vara tomt, och ~/.Private kommer att innehålla alla filer i krypterad form.
Det är inte förbjudet att kryptera hela hemkatalogen. I det här fallet sjunker inte prestandan mycket, men alla filer kommer att skyddas, inklusive samma nätverkskatalog ~/Dropbox. Detta görs så här:
# ecryptfs-migrera-hem -u vasya
Förresten, det borde finnas 2,5 gånger mer diskutrymme än vasyas data, så jag rekommenderar att du rengör det i förväg. Efter att ha slutfört operationen bör du omedelbart logga in som användaren vasya och kontrollera funktionaliteten:
$mount | grep Privat /home/vasya/.Privat på /home/vasya typ ecryptfs ...
Om allt är ok, kan du skriva över den okrypterade kopian av data:
$ sudo rm -r /home/vasya.* 
OK, lösenord finns på ett säkert ställe, personliga filer också, vad nu? Och nu måste vi se till att vissa delar av våra personuppgifter inte hamnar i orätta händer. Det är ingen hemlighet att när en fil raderas, finns dess nuvarande innehåll kvar på media även om formateringen görs efteråt. Vår krypterade data kommer att vara säker även efter radering, men hur är det med flash-enheter och andra minneskort? Här behöver vi srm-verktyget, som inte bara tar bort filen, utan också fyller de återstående datablocken med skräp:
$ sudo apt-get install secure-delete $ srm secret-file.txt home-video.mpg
# dd om=/dev/noll av=/dev/sdb
Detta kommando kommer att radera all data på sdb-flashenheten. Sedan återstår bara att skapa en partitionstabell (med en partition) och formatera den till önskat filsystem. Det rekommenderas att använda fdisk och mkfs.vfat för detta, men du kan också klara dig med grafisk gparted.
Fail2ban är en demon som söker igenom loggar efter försök att gissa lösenord för nätverkstjänster. Om sådana försök hittas blockeras den misstänkta IP-adressen med iptables eller TCP Wrappers. Tjänsten kan meddela värdägaren om en incident via e-post och återställa blockeringen efter en angiven tid. Fail2ban utvecklades ursprungligen för att skydda SSH idag finns färdiga exempel för Apache, lighttpd, Postfix, Exim, Cyrus IMAP, och så vidare. Dessutom kan en Fail2ban-process skydda flera tjänster samtidigt.
I Ubuntu/Debian skriver vi för att installera:
# apt-get install fail2ban
Konfigurationerna finns i katalogen /etc/fail2ban. Efter att ha ändrat konfigurationen bör du starta om fail2ban med kommandot:
# /etc/init.d/fail2ban starta om
Låt oss nu ta hand om hoten som kommer från djupet world wide web. Det är här jag borde börja prata om iptables och pf som körs på en dedikerad maskin som kör OpenBSD, men allt detta är överflödigt när det finns ipkungfu. vad är det? Detta är ett skript som kommer att göra allt det smutsiga arbetet med att konfigurera brandväggen åt oss, utan att behöva skriva kilometerlånga listor med regler. Installera:
$ sudo apt-get installera ipkungfu
Redigera konfigurationen:
$ sudo vi /etc/ipkungfu/ipkungfu.conf # Lokalt nätverk, om det finns, skriv nätverksadressen tillsammans med masken, om inte, skriv loopback-adressen LOCAL_NET="127.0.0.1" # Vår maskin är inte en gateway GATEWAY=0 # Stäng de nödvändiga portarna FORBIDDEN_PORTS="135 137 139" # Blockera pingar, 90 % barn kommer att falla av i detta skede BLOCK_PINGS=1 # Tappa misstänkta paket (olika typer av översvämning) SUSPECT="DROP" # Tappa "fel" paket (vissa typer av DoS) KNOWN_BAD="DROP" # Scanning hamnar? Tröska! PORT_SCAN="SLÄPP"
För att aktivera ipkungfu, öppna filen /etc/default/ipkungfu och ändra raden IPKFSTART = 0 till IPKFSTART = 1. Kör:
$sudo ipkungfu
Låt oss dessutom göra ändringar i /etc/sysctl.conf:
$ sudo vi /etc/systcl.conf # Släpp ICMP-omdirigeringar (mot MITM-attacker) net.ipv4.conf.all.accept_redirects=0 net.ipv6.conf.all.accept_redirects=0 # Aktivera TCP-syncookies-mekanismen net.ipv4 . tcp_syncookies=1 # Olika tweaks (anti-spoofing, ökad kön av "halvöppna" TCP-anslutningar, etc.) net.ipv4.tcp_timestamps=0 net.ipv4.conf.all.rp_filter=1 net.ipv4.tcp_max_syn_backlog= 1280 kärna .core_uses_pid=1
Aktivera ändringarna:
$ sudo sysctl -p
Snort är ett av admins favoritverktyg och en huvudfigur i alla säkerhetsguider. En sak med lång historia och enorma kapaciteter, som hela böcker ägnas åt. Vad gör det i vår guide till snabb installation säkert system? Och här är platsen för det: Snort behöver inte konfigureras:
$ sudo apt-get install snort $ snort -D
Alla! Jag skojar inte standardinställningar Snorr är mer än tillräckligt för att skydda typiska nätverkstjänster, om du förstås har dem. Du behöver bara titta på loggen då och då. Och i den kan du hitta rader som dessa:
[**] MS-SQL-sondsvarsspillförsök [**] http://www.securityfocus.com/bid/9407]
Hoppsan. Någon försökte orsaka ett buffertspill i MySQL. Det finns också en länk till en sida med en detaljerad beskrivning av problemet. Skönhet.
Någon särskilt smart kunde kringgå vår brandvägg, komma förbi Snort, få root-åtkomst till systemet och nu logga in på systemet regelbundet med den installerade bakdörren. Inte bra, bakdörren måste hittas, tas bort och systemet uppdateras. För att söka efter rootkits och bakdörrar använder vi rkhunter:
$ sudo apt-get installera rkhunter
Låt oss lansera:
$ sudo rkhunter -c --sk
Programvaran kommer att kontrollera hela systemet för närvaron av rootkits och visa resultaten på skärmen. Om skadlig programvara fortfarande hittas kommer rkhunter att peka på platsen och den kan raderas. En mer detaljerad logg finns här: /var/log/rkhunter.log. Det är bättre att köra rkhunter som ett cron-jobb dagligen:
$ sudo vi /etc/cron.daily/rkhunter.sh #!/bin/bash /usr/bin/rkhunter -c --cronjob 2>&1 | mail -s "RKhunter Scan Results" [e-postskyddad]
Vi ersätter Vasyas e-postadress med vår och gör skriptet körbart:
$ sudo chmod +x /etc/cron.daily/rkhunter.sh
$ sudo rkhunter --uppdatering
Du kan förresten lägga till det före kontrollkommandot i cron-skriptet. Ytterligare två sökverktyg för rootkit:
$ sudo apt-get installera tiger $ sudo tiger $ sudo apt-get installera lynis $ sudo lynis -c
I grund och botten är de samma Faberge-ägg från fågelperspektiv, men de har olika baser. Kanske med deras hjälp kommer det att vara möjligt att identifiera vad rkhunter missade. Och till att börja med är debsums ett verktyg för att kontrollera filkontrollsummor, installerade paket med standarden. Vi lägger:
$ sudo apt-get installera debsums
Låt oss köra kontrollen:
$ sudo debsums -ac
Som alltid? lanseringen kan läggas till cron-jobb.
Låt oss nu prata om hur du upprätthåller din anonymitet på Internet och får tillgång till webbplatser och sidor som är blockerade på begäran av olika upphovsrättsinnehavare och andra Mizulins. Det enklaste sättet att göra detta är att använda en av de tusentals proxyservrarna runt om i världen. Många av dem är gratis, men klipper ofta kanalen till samma hastighet som ett gammalt analogt modem.
För att enkelt bläddra på webbplatser och bara aktivera en proxy när det behövs, kan du använda en av de många tilläggen för Chrome och Firefox, som enkelt kan hittas i katalogen på begäran av proxyväxel. Vi installerar, anger listan över nödvändiga proxyservrar och byter till den nödvändiga, och istället för sidan ser vi skylten "Tillgång till sidan är begränsad på begäran av Mr. Skumbrievich."
I situationer där hela sajten hamnade under filtret och dess adress var svartlistad på sidan av leverantörernas DNS-servrar kan du använda gratis DNS-servrar vars adresser är publicerade. Ta bara vilka två adresser du vill och lägg till dem i /etc/resolv.conf:
Namnserver 156.154.70.22 namnserver 156.154.71.22
För att förhindra att olika DHCP-klienter och nätverkshanterare skriver över filen med adresser som tagits emot från leverantören eller routern, gör vi filen icke-omskrivbar med utökade attribut:
$ sudo chattr +i /etc/resolv.conf
Efter detta kommer filen att bli skrivskyddad för alla, inklusive root.
För att ytterligare anonymisera din surfupplevelse kan du också använda dnscrypt-demonen, som kommer att kryptera alla förfrågningar till DNS-servern förutom proxyservern som används för att ansluta till själva webbplatsen. Installera:
$ wget http://download.dnscrypt.org/dnscrypt-proxy/dnscrypt-proxy-1.3.2.tar.bz2 $ bunzip2 -cd dnscrypt-proxy-*.tar.bz2 | tar xvf - $ cd dnscrypt-proxy-* $ sudo apt-get install build-essential $ ./configure && make -j2 $ sudo make install
Ange loopback-adressen i /etc/resolv.conf:
$ vi /etc/resolv.conf namnserver 127.0.0.1
Låt oss starta demonen:
$ sudo dnscrypt-proxy --demonisera
Förresten, det finns versioner av dnscrypt för Windows, iOS och Android.
Vad är lök routing? Det här är Tor. Och Tor är i sin tur ett system som låter dig skapa helt anonymt nätverk med tillgång till internet. Termen "lök" används här i relation till driftsmodellen där alla nätverkspaket kommer att "lindas" i tre lager av kryptering och kommer att passera genom tre noder på vägen till mottagaren, som var och en tar bort sitt eget lager och överför resultatet vidare. Allt är naturligtvis mer komplicerat, men det enda viktiga för oss är att detta är en av få typer av nätverksorganisation som gör att du kan upprätthålla fullständig anonymitet.
Där det finns anonymitet finns det dock även anslutningsproblem. Och Tor har minst tre av dem: det är monstruöst långsamt (tack vare kryptering och överföring genom en kedja av noder), det kommer att skapa en belastning på ditt nätverk (eftersom du själv kommer att vara en av noderna), och det är sårbart till trafikavlyssning. Det senare är en naturlig konsekvens av möjligheten att komma åt Internet från Tor-nätverket: den sista noden (utgången) tar bort det sista lagret av kryptering och kan få tillgång till data.
Tor är dock väldigt lätt att installera och använda:
$ sudo apt-get installation tor
Det är det, nu kommer den lokala maskinen att ha en proxyserver som leder till Tor-nätverket. Adress: 127.0.0.1:9050, du kan ange den i webbläsaren med samma tillägg, eller lägga till den via inställningarna. Tänk på att detta är en SOCKS, inte en HTTP-proxy.
Att ingå kommandoraden lösenordet sparades inte i historien, du kan använda ett smart trick som heter "lägg till ett mellanslag i början av kommandot."
Det är ecryptfs som används för att kryptera hemkatalogen i Ubuntu.
Jag kommer att ge några kommandon som kan hjälpa dig att översvämma din värd.
Räkna antalet anslutningar på en specifik port:
$ netstat -na | grep ":port\" | wc -l
Räknar antalet "halvöppna" TCP-anslutningar:
$ netstat -na | grep ":port\" | grep SYN_RCVD | wc -l
Se listan över IP-adresser från vilka anslutningsförfrågningar kommer:
$ netstat -na | grep ":port\" | sortera | uniq -c | sort -nr | mindre
Analysera misstänkta paket med tcpdump:
# tcpdump -n -i eth0 -s 0 -w output.txt dst portport och värd för IP-servern
Vi släpper angriparens kontakter:
# iptables -A INPUT -s angriparens IP -p tcp --destination-port port -j DROP
Vi begränsar det maximala antalet "halvöppna" anslutningar från en IP till en specifik port:
# iptables -I INPUT -p tcp --syn --dport port -m iplimit --iplimit-above 10 -j DROP
Inaktivera svar på ICMP ECHO-förfrågningar:
# iptables -A INPUT -p icmp -j DROP --icmp-typ 8
Det är allt. Utan att gå in på detaljer och utan att behöva studera manualer skapade vi en Linux-box som är skyddad från externa intrång, från rootkits och andra infektioner, från direkt mänsklig inblandning, från trafikavlyssning och övervakning. Allt som återstår är att regelbundet uppdatera systemet, förbjuda lösenordsinmatning via SSH, ta bort onödiga tjänster och undvik konfigurationsfel.
Många användare stöter på problem när de försöker konfigurera en internetanslutning i Ubuntu. Oftast beror detta på oerfarenhet, men det kan finnas andra orsaker. Artikeln kommer att ge instruktioner för att sätta upp flera typer av anslutningar med en detaljerad analys av alla möjliga komplikationer under implementeringsprocessen.
Det finns många typer av Internetanslutningar, men den här artikeln kommer att täcka de mest populära: trådbundna nätverk, PPPoE och DIAL-UP. Vi kommer också att prata om att sätta upp en separat DNS-server.
Innan du börjar upprätta en anslutning bör du se till att ditt system är redo för detta. Det är omedelbart nödvändigt att klargöra att de kommandon som körs i "Terminal", är indelade i två typer: de som kräver användarrättigheter (de kommer att föregås av symbolen $ ) och kräver superanvändarrättigheter (i början finns det en symbol # ). Var uppmärksam på detta, för utan nödvändiga rättigheter de flesta kommandon kommer helt enkelt att vägra att utföras. Det är också värt att förtydliga att själva symbolerna i "Terminal" inget behov av att gå in.
Du måste fylla i ett antal punkter:
Bland annat måste du känna till namnet på nätverksadaptern. För att ta reda på det, gå in "Terminal" denna rad:
$ sudo lshw -C nätverk
Som ett resultat kommer du att se något i stil med detta:
Namnet på ditt nätverkskort visas mittemot ordet "logiskt namn". I i detta fall "enp3s0". Detta är namnet som kommer att visas i artikeln, det kan vara annorlunda för dig.
Obs: Om din dator har flera nätverkskort, då kommer de att numreras därefter (enp3s0, enp3s1, enp3s2 och så vidare). Bestäm vilken du ska arbeta med och använd den i efterföljande inställningar.
"Terminal"- Det här universellt botemedel om att ställa in allt i Ubuntu. Med dess hjälp kommer det att vara möjligt att upprätta en Internetanslutning av alla typer, vilket kommer att diskuteras nu.
Konfigurera ett trådbundet nätverk
Att sätta upp ett trådbundet nätverk i Ubuntu görs genom att göra nya inställningar i inställningsfil "gränssnitt". Därför måste du först öppna den här filen:
Obs: kommandot för att öppna konfigurationsfilen använder Gedit-textredigeraren, men du kan ange vilken annan redigerare som helst, till exempel vi, i motsvarande del.
Nu måste du bestämma vilken typ av IP din leverantör har. Det finns två varianter: statisk och dynamisk. Om du inte vet säkert, ring tekniken. support och rådfråga din operatör.
Låt oss först titta på dynamisk IP - dess konfiguration är enklare. Efter introduktion föregående kommando, i filen som öppnas anger du följande variabler:
iface [gränssnittsnamn] inet dhcp
auto [gränssnittsnamn]
När du väl har skrivit in bör du få något sånt här:
Statisk IP är lite svårare att konfigurera. Det viktigaste är att känna till alla variabler. I konfigurationsfilen måste du ange följande rader:
iface [gränssnittsnamn] inet statisk
adress [adress]
nätmask [adress]
gateway [adress]
dns-namnservrar [adress]
auto [gränssnittsnamn]
När du har angett alla parametrar kommer du att se något så här:
Glöm inte att spara alla dina inställningar innan du stänger textredigeraren.
Bland annat kan du i Ubuntu OS tillfälligt sätta upp en internetanslutning. Det skiljer sig genom att de angivna uppgifterna inte ändrar konfigurationsfilerna på något sätt, och efter omstart av datorn är allt detsamma angivna inställningar kommer att återställas. Om det här är första gången du försöker installera trådbunden anslutning på Ubuntu rekommenderas det att använda den här metoden först.
Alla parametrar ställs in med ett kommando:
$ sudo ip addr add 10.2.119.116/24 dev enp3s0
Genom att ange alla nödvändiga data och utföra kommandot i "Terminal", kan du kontrollera deras korrekthet. Om Internet visas på datorn är alla variabler korrekta och kan matas in i konfigurationsfilen.
DNS-inställningar
Konfigurera en DNS-anslutning i olika Ubuntu-versioner utfört annorlunda. I OS-versioner från 12.04 finns det en metod, i tidigare versioner finns det en annan. Vi kommer bara att överväga ett statiskt anslutningsgränssnitt, eftersom ett dynamiskt innebär automatisk detektering DNS-servrar.
Konfiguration i OS-versioner högre än 12.04 sker i en redan känd fil "gränssnitt". Du måste ange raden "dns-namnservrar" och lista värdena separerade med mellanslag.
Så öppna först via "Terminal" inställningsfil "gränssnitt":
$ sudo gedit /etc/network/interfaces
dns-namnservrar [adress]
Som ett resultat bör du få något sånt här, bara värdena kan vara annorlunda:
Om du vill konfigurera DNS i Ubuntu mer tidig version, då blir konfigurationsfilen annorlunda. Låt oss öppna det "Terminal":
$ sudo gedit /etc/resolv.conf
Sedan kan du ställa in nödvändiga DNS-adresser i den. Det är värt att ta hänsyn till att, till skillnad från att ange parametrar i "gränssnitt", V "resolv.conf" adresser skrivs varje gång från ett stycke, ett prefix används före värdet "namnserver"(utan citattecken).
Konfigurera en PPPoE-anslutning
Konfigurera PPPoE via "Terminal" innebär inte att man matar in många parametrar i olika konfigurationsfiler på datorn. Tvärtom kommer bara ett kommando att användas.
Så för att göra en punkt-till-punkt-anslutning (PPPoE) måste du göra följande:
Efter alla steg kommer din dator att upprätta en anslutning till Internet, om du gjorde allt korrekt.
Observera att verktyget som standard pppoeconf namnger den skapade anslutningen dsl-leverantör. Om du behöver avsluta anslutningen, kör "Terminal" kommando:
$ sudo poff dsl-leverantör
För att upprätta anslutningen igen, skriv in:
$ sudo pon dsl-leverantör
Obs: om du ansluter till nätverket med hjälp av verktyget pppoeconf, kommer det inte att vara möjligt att hantera nätverket via Network Manager på grund av att parametrarna skrivs in i konfigurationsfilen för "gränssnitt". För att återställa alla inställningar och ge nätverkshanteraren kontroll måste du öppna filen "gränssnitt" och ersätta allt innehåll med texten nedan. När du har angett, spara ändringarna och starta om nätverket med kommandot "$ sudo /etc/init.d/networking restart" (utan citattecken). Starta också om nätverkshanteraren genom att köra "$ sudo /etc/init.d/NetworkManager restart" (utan citattecken).
Konfigurera en uppringd anslutning
För att konfigurera DIAL-UP kan du använda två konsolverktyg: pppconfig Och wvdial.
Konfigurera en anslutning med pppconfig enkelt nog. I allmänhet denna metod väldigt lik den förra ( pppoeconf): du kommer att ställas frågor på samma sätt, genom att svara som du så småningom kommer att upprätta en anslutning till Internet. Kör först själva verktyget:
$sudo pppconfig
Efter det, följ instruktionerna. Om du inte känner till några av svaren rekommenderas att du kontaktar operatören från dessa. stöd från din leverantör och rådgör med honom. När alla inställningar har slutförts kommer anslutningen att upprättas.
Angående inställningar med hjälp av wvdial, då händer det lite mer komplicerat. Först måste du installera själva paketet via "Terminal". För att göra detta, kör följande kommando:
$ sudo apt installera wvdial
Den innehåller ett verktyg utformat för att automatiskt konfigurera alla parametrar. Det heter "wvdialconf". Kör det:
$sudo wvdialconf
Efter att ha kört den in "Terminal" Många parametrar och egenskaper kommer att visas - du behöver inte förstå dem. Du behöver bara veta att verktyget har skapat en speciell fil "wvdial.conf", där jag automatiskt skrev in de nödvändiga parametrarna och läste dem från modemet. Därefter måste du redigera den skapade filen "wvdial.conf", låt oss öppna det "Terminal":
$ sudo gedit /etc/wvdial.conf
Som du kan se är de flesta av inställningarna redan specificerade, men de tre sista punkterna behöver fortfarande kompletteras. Du kommer att behöva ange ditt telefonnummer, inloggning och lösenord i dem, respektive. Men skynda inte att stänga filen, för mer bekvämt arbete Det rekommenderas att lägga till några fler parametrar:
Som ett resultat kommer konfigurationsfilen att se ut så här:
Observera att inställningarna är uppdelade i två block, märkta med namn inom parentes. Detta är nödvändigt för att skapa två versioner av att använda parametrarna. Så, parametrarna under «» , kommer alltid att köras, men under «» — när du anger motsvarande alternativ i kommandot.
Efter att ha gjort alla inställningar, för att upprätta en DIAL-UP-anslutning, måste du köra det här kommandot:
Om du vill upprätta en pulsanslutning, skriv följande:
$ sudo wvdial puls
Att bryta upprättad anslutning, V "Terminal" du måste trycka på en tangentkombination Ctrl+C.
Ubuntu har särskild nytta, vilket hjälper till att upprätta en anslutning för de flesta typer. Dessutom har hon grafiskt gränssnitt. Det här är Network Manager, som anropas genom att klicka på motsvarande ikon på höger sida av topppanelen.
Konfigurera ett trådbundet nätverk
Vi börjar på samma sätt med att sätta upp ett trådbundet nätverk. Först måste du öppna själva verktyget. För att göra detta, klicka på dess ikon och tryck "Ändra anslutningar" V snabbmenyn. Därefter, i fönstret som visas, måste du göra följande:
Efter alla steg som vidtagits bör den trådbundna Internetanslutningen upprättas. Om detta inte händer, kontrollera alla angivna parametrar kanske du har gjort ett misstag någonstans. Glöm inte heller att kontrollera om kryssrutan bredvid "Nätverkshantering" i verktygets rullgardinsmeny.
DNS-inställningar
För att upprätta en anslutning kan du behöva manuell inställning DNS-servrar. För att göra detta, gör följande:
Konfigurera PPPoE
Att konfigurera en PPPoE-anslutning i Network Manager är lika enkelt som i "Terminal". I själva verket behöver du bara ange login och lösenord som du fått från leverantören. Men låt oss titta på allt mer i detalj.
Nu har en ny DSL-anslutning dykt upp i Network Manager-menyn, genom att välja vilken du ska få tillgång till Internet. Låt oss påminna dig om att du ibland behöver starta om din dator för att ändringarna ska träda i kraft.
Som ett resultat kan vi säga att operativsystemet Ubuntu har många verktyg för att ställa in den nödvändiga internetanslutningen. Verktyget Network Manager har ett grafiskt gränssnitt, vilket avsevärt förenklar arbetet, särskilt för nybörjare. Dock "Terminal" tillåter mer flexibel inställning, ange de parametrar som inte finns i verktyget.
Enligt cvedetails.com, sedan 1999 Linux kärna 1 305 sårbarheter hittades, varav 68 hittades under 2015. De flesta av dem ger inga speciella problem, de är markerade som Lokala och Låga, och vissa kan bara anropas när de är kopplade till vissa applikationer eller OS-inställningar. I princip är siffrorna små, men kärnan är inte hela operativsystemet. Sårbarheter finns också i GNU Coreutils, Binutils, glibs och, naturligtvis, i användarapplikationer. Låt oss titta på de mest intressanta.
OS: Linux
Nivå: Medium, Låg
Vektor: Avlägsen
CVE: CVE-2015-3331, CVE-2015-4001, CVE-2015-4002, CVE-2015-4003
Utnyttja: koncept, https://lkml.org/lkml/2015/5/13/740, https://lkml.org/lkml/2015/5/13/744
En sårbarhet som hittades i juni i Linux-kärnan före 3.19.3 i funktionen __driver_rfc4106_decrypt i arch/x86/crypto/aesni-intel_glue.c beror på implementeringen av RFC4106 för x86-processorer som stöder AES-instruktionsuppsättningen AES-NI (föreslagen Intel, Intel Advanced Encryption Standard Instructions) beräknar inte buffertadresser korrekt i vissa fall. Om IPsec-tunneln är konfigurerad att använda det här läget (AES-algoritm - CONFIG_CRYPTO_AES_NI_INTEL), kan sårbarheten leda till minneskorruption, kraschar och potentiellt fjärrkörning av CryptoAPI-kod. Dessutom är det mest intressanta att problemet kan uppstå på egen hand, på helt laglig trafik, utan ingripande utifrån. Vid tidpunkten för publiceringen är problemet löst.
Fem sårbarheter har identifierats i Linux 4.0.5 ozwpan-drivrutinen, som har experimentell status, varav fyra låter dig organisera en DoS-attack genom att krascha kärnan genom att skicka specialdesignade paket. Problemet är relaterat till ett buffertspill på grund av felaktig hantering av signerade heltal, där beräkningen i memcpy mellan required_size och offset returnerade ett negativt tal, vilket resulterade i att data kopierades till heapen.
Finns i oz_hcd_get_desc_cnf-funktionen i drivers/staging/ozwpan/ozhcd.c och i funktionerna oz_usb_rx och oz_usb_handle_ep_data i drivers/staging/ozwpan/ozusbsvc1.c. Andra sårbarheter involverade möjlig division med 0, systemlooping eller möjligheten att läsa från områden utanför gränserna för den tilldelade bufferten.
Ozwpan-drivrutinen, en av de nya Linux-produkterna, kan kopplas till befintliga trådlösa enheter kompatibel med Ozmo Devices-teknik ( Wi-Fi Direct). Ger en implementering av en USB-värdkontroller, men tricket är att istället för en fysisk anslutning kommunicerar kringutrustningen via Wi-Fi. Föraren accepterar nätverkspaket c typ (ethertype) 0x892e, analyserar dem sedan och översätter dem till olika USB-funktioner. För närvarande används den i sällsynta fall, så den kan inaktiveras genom att ladda ur modulen ozwpan.ko.
OS: Linux Ubuntu 04/12–04/15 (kärna till 15 juni 2015)
Nivå: Kritisk
Vektor: Lokal
CVE: CVE-2015-1328
Utnyttja: https://www.exploit-db.com/exploits/37292/
Kritisk sårbarhet i OverlayFS-filsystemet kan du få roträttigheter i Ubuntu-system, som tillåter montering av OverlayFS-partitioner av en oprivilegierad användare. Standardinställningarna som krävs för att utnyttja sårbarheten används i alla grenar av Ubuntu 12.04–15.04. OverlayFS själv dök upp i Linux-kärnan relativt nyligen - från och med 3.18-rc2 (2014), är det en SUSE-utveckling för att ersätta UnionFS och AUFS. Med OverlayFS kan du skapa ett virtuellt flerskikt filsystem, som kombinerar flera delar av andra filsystem.
Filsystemet skapas av ett lägre och ett övre lager, som var och en är kopplad till separata kataloger. Det nedre lagret används endast för att läsa i kataloger för alla filsystem som stöds i Linux, inklusive nätverks. Det översta lagret är vanligtvis skrivbart och kommer att åsidosätta data i det nedre lagret om filerna dupliceras. Det är efterfrågat i Live-distributioner, containervirtualiseringssystem och för att organisera driften av containrar för vissa stationära applikationer. Användarnamnutrymmen låter dig skapa dina egna uppsättningar av användar- och grupp-ID:n i behållare. Sårbarheten orsakas av felaktig kontroll av åtkomsträttigheter när nya filer skapas i katalogen för det underliggande filsystemet.
Om kärnan är byggd med CONFIG_USER_NS=y (aktiverar användarnamnutrymmet) och flaggan FS_USERNS_MOUNT anges vid montering, kan OverlayFS monteras vanlig användare i ett annat namnområde, inklusive där operationer med roträttigheter. I det här fallet får operationer med filer med roträttigheter som utförs i sådana namnutrymmen samma privilegier när de utför åtgärder med det underliggande filsystemet. Därför kan du montera vilken FS-partition som helst och visa eller ändra vilken fil eller katalog som helst.
Vid tidpunkten för publiceringen var en kärnuppdatering med en fast OverlayFS-modul från Ubuntu redan tillgänglig. Och om systemet uppdateras borde det inte vara några problem. I samma fall, när uppdateringen inte är möjlig, som en tillfällig åtgärd, bör du sluta använda OverlayFS genom att ta bort modulen overlayfs.ko.
OS: Linux
Nivå: Kritisk
Vektor: lokal, avlägsen
CVE: CVE-2015-0235
Utnyttja: https://www.qualys.com/research/security-advisories/exim_ghost_bof.rb
Farlig sårbarhet i standardbibliotek GNU glibc, som är en central del av Linux OS, och i vissa versioner av Oracle Communications Applications och Oracle Pillar Axiom, upptäcktes under en kodgranskning av Qualys hackare. Fick kodnamnet GHOST. Detta är ett buffertspill i funktionen __nss_hostname_digits_dots() som används av glibc-funktioner som gethostbyname() och gethostbyname2() för att få värdnamnet (därav namnet GetHOST). För att utnyttja sårbarheten måste du orsaka ett buffertspill med ett ogiltigt värdnamnsargument till ett program som utför namnupplösning via DNS. Det vill säga, teoretiskt sett kan denna sårbarhet appliceras på vilken applikation som helst som använder nätverket i en eller annan grad. Kan anropas lokalt eller på distans, vilket gör att godtycklig kod kan exekveras.
Det mest intressanta är att felet åtgärdades redan i maj 2013, en patch presenterades mellan utgåvorna av glibc 2.17 och 2.18, men problemet klassificerades inte som en säkerhetskorrigering, så ingen uppmärksamhet ägnades åt det. Som ett resultat visade sig många distributioner vara sårbara. Det rapporterades initialt att den allra första sårbara versionen var 2.2 daterad den 10 november 2000, men det finns en möjlighet att den kommer att visas upp till 2.0. Bland annat påverkades distributionerna RHEL/CentOS 5.x–7.x, Debian 7 och Ubuntu 12.04 LTS. Snabbkorrigeringar finns för närvarande tillgängliga. Hackarna själva föreslog ett verktyg som förklarar kärnan i sårbarheten och låter dig kontrollera ditt system. Allt är bra i Ubuntu 12.04.4 LTS:
$ wget https : //goo.gl/RuunlE $gcc gistfil1. c - o CVE - 2015 - 0235 $. / CVE - 2015 - 0235 inte sårbar |
Kontrollerar systemet på GHOST
Nästan omedelbart släpptes en modul för att möjliggöra fjärrexekvering av kod på x86 och x86_64 Linux med en fungerande e-postserver Exim (med helo_try_verify_hosts eller helo_verify_hosts aktiverade). Senare dök andra implementeringar upp, till exempel Metasploit-modulen för att kolla en blogg på WordPress.
Lite senare, 2015, upptäcktes ytterligare tre sårbarheter i GNU glibc som gjorde det möjligt för en fjärranvändare att utföra en DoS-attack eller skriva över minnesceller utanför stackgränsen: CVE-2015-1472, CVE-2015-1473, CVE-2015- 1781.
OS: Linux (GNU Coreutils)
Nivå: Låg
Vektor: Lokalt, Fjärrstyrt
CVE: CVE-2014-9471
Utnyttja: Inga
GNU Coreutils är ett av de viktigaste *nix-paketen, inklusive nästan alla grundläggande verktyg (cat, ls, rm, date...). Problemet hittades i datum. En bugg i parse_datetime-funktionen tillåter en fjärrangripare utan konto på systemet, orsaka ett överbelastningsskydd och eventuellt exekvera godtycklig kod med hjälp av en speciellt utformad datumsträng med tidszon. Sårbarheten ser ut så här:
$ tryck på '-- datum = TZ = "123"345"@1" Segmenteringsfel $ date - d 'TZ = "Europa / Moskva" "00 : 00 + 1 timme"' Segmenteringsfel $ date ‘-- date = TZ = ”123”345”@1” * * * Fel i ` datum ': gratis () : ogiltig pekare: 0xbfc11414 * * * |
Sårbarhet i GNU Coreutils
Om det inte finns någon sårbarhet får vi ett meddelande om felaktigt datumformat. Nästan alla utvecklare rapporterade närvaron av sårbarheten Linux-distributioner. En uppdatering är för närvarande tillgänglig.
Normal utmatning av korrigerade GNU Coreutils OS: Linux (grep 2.19–2.21)
Nivå: Låg
Vektor: Lokal
CVE: CVE-2015-1345
Utnyttja: Inga
Sårbarheter finns sällan i grep-verktyget, som används för att söka efter text med hjälp av ett mönster. Men det här verktyget kallas ofta av andra program, inklusive system, så närvaron av sårbarheter är mycket mer problematisk än det verkar vid första anblicken. En bugg i funktionen bmexec_trans i kwset.c kan resultera i att oinitierad data läses från ett område utanför den tilldelade bufferten eller att applikationen kraschar. En hackare kan dra fördel av detta genom att skapa en speciell uppsättning data som levereras till applikationsinmatningen med grep -F. Uppdateringar är tillgängliga för närvarande. Det finns inga exploateringar som använder sårbarheten eller en modul för Metasploit.
OS: FreeBSD
Nivå: Låg
Vektor: Lokalt, Fjärrstyrt
CVE: CVE-2014-0998, CVE-2014-8612, CVE-2014-8613
Utnyttja: https://www.exploit-db.com/exploits/35938/
Det finns inte många sårbarheter i CVE-databasen för 2015, för att vara mer exakt - bara sex. Tre sårbarheter hittades i FreeBSD 8.4–10.x i slutet av januari 2015 av forskare från Core Exploit Writers Team. CVE-2014-0998 är relaterad till implementeringen av VT-konsoldrivrutinen (Newcons), som tillhandahåller flera virtuella terminaler, aktiverade av parametern kern.vty=vt i /boot/loader.conf.
CVE-2014-8612 uppstår när SCTP-protokollet används och orsakas av ett fel i SCTP-ström-ID-verifieringskoden som implementerar SCTP-sockets (lokal port 4444). Kärnan är ett fel i funktionen sctp_setopt() (sys/netinet/sctp_userreq.c). Detta ger en lokal oprivilegierad användare möjligheten att skriva eller läsa 16 bitar av kärnminnesdata och eskalera sina privilegier på systemet, avslöja känsliga data eller krascha systemet.
CVE-2014-8613 tillåter att en NULL-pekareferens utlöses vid bearbetning av ett externt mottaget SCTP-paket när alternativet SCTP_SS_VALUE SCTP-socket är inställt. Till skillnad från tidigare kan CVE-2014-8613 användas till fjärrsamtal kraschar kärnan genom att skicka specialdesignade paket. I FreeBSD 10.1 kan du skydda dig själv genom att sätta variabeln net.inet.sctp.reconfig_enable till 0, och därigenom inaktivera bearbetning av RE_CONFIG-block. Eller helt enkelt förbjuda applikationer (webbläsare, e-postklienter, etc.) att använda SCTP-anslutningar. Även om utvecklarna redan vid tidpunkten för publiceringen hade släppt en uppdatering.
FreeBSD sårbarhetsstatistik OS: OpenSSL
Nivå: Avlägsen
Vektor: Lokal
CVE: CVE-2015-1793
Utnyttja: Inga
Under 2014 upptäcktes en kritisk Heartbleed-sårbarhet i OpenSSL, ett mycket använt kryptografiskt paket för att arbeta med SSL/TLS. Incidenten orsakade vid ett tillfälle massiv kritik av kodens kvalitet, och å ena sidan ledde detta till uppkomsten av alternativ som LibreSSL, å andra sidan kom utvecklarna själva äntligen igång.
Toppleverantörer efter sårbarheter Den kritiska sårbarheten upptäcktes av Adam Langley från Google och David Benjamin från BoringSSL. Ändringar som gjorts i OpenSSL versionerna 1.0.1n och 1.0.2b gjorde att OpenSSL försökte hitta en alternativ certifikatverifieringskedja om det första försöket att bygga en förtroendekedja misslyckades. Detta gör att du kan kringgå och organisera en bekräftad anslutning med ett falskt certifikat, med andra ord - för att lugnt locka användaren till falska webbplatser eller servrar e-post eller implementera någon MITM-attack där certifikatet används.
Efter att sårbarheten upptäcktes släppte utvecklarna utgåvorna 1.0.1p och 1.0.2d den 9 juli, vilket fixade detta problem. Versioner 0.9.8 eller 1.0.0 har inte denna sårbarhet.
Höstens slut präglades av uppkomsten av ett antal krypteringsvirus, först Linux.Encoder.0, följt av modifieringar Linux.Encoder.1 och Linux.Encoder.2, som infekterade mer än 2 500 webbplatser. Enligt antivirusföretag attackeras Linux- och FreeBSD-servrar med webbplatser som körs med olika CMS – WordPress, Magento CMS, Joomla och andra. Hackare utnyttjar en oidentifierad sårbarhet. Därefter placerades ett skalskript (fil error.php), med hjälp av vilket eventuella ytterligare åtgärder utfördes (via webbläsaren). I synnerhet lanserades Linux-kodaren Trojan.
Encoder, som bestämde OS-arkitekturen och lanserade ransomware. Kodaren lanserades med webbserverrättigheter (Ubuntu - www-data), vilket är tillräckligt för att kryptera filer i katalogen där CMS-filer och komponenter lagras. Krypterade filer får en ny extension.encrypted.
Ransomware försöker också kringgå andra OS-kataloger om rättigheterna är felaktigt konfigurerade, då kan det lätt gå utanför webbplatsens gränser. Därefter sparades filen README_FOR_DECRYPT.txt i katalogen, som innehåller instruktioner för att dekryptera filerna och hackarens krav. På just nu antivirusföretag har introducerat verktyg som låter dig dekryptera kataloger. Till exempel en uppsättning från Bitdefender. Men du måste komma ihåg att alla verktyg utformade för att dekryptera filer inte tar bort skalkoden och allt kan hända igen.
Med tanke på att många användare som utvecklar eller experimenterar med webbadministration ofta installerar en webbserver på hemdator, bör du oroa dig för säkerheten: blockera åtkomst från utsidan, uppdatera programvaran, utför experiment på den virtuella datorn. Och själva idén skulle kunna användas i framtiden för att attackera hemsystem.
Komplex mjukvara utan fel fysiskt existerar inte, så man måste förlika sig med att sårbarheter hela tiden kommer att upptäckas. Men alla av dem kan inte vara riktigt problematiska. Och du kan skydda dig själv genom att ta enkla steg: ta bort oanvänd programvara, övervaka nya sårbarheter och se till att installera säkerhetsuppdateringar, konfigurera en brandvägg, installera ett antivirus. Och glöm inte speciella teknologier som SELinux, som är ganska kapabla att äventyra en demon eller användarapplikation.
Det kan vi naturligtvis säga Linux mer säker(skyddad) än Windows. Säkerhet V Linux inbyggd, och inte skruvas någonstans på sidan, som är implementerad i Windows. Säkerhet system Linux täcker området från kärnan till skrivbordet, men det finns chanser för hackare att skada din hemkatalog (/home).
Dina bytes med foton, hemvideor, dokument och kreditkorts- eller plånboksdata är den mest värdefulla informationen som finns på en dator. Naturligtvis är Linux inte mottagligt för alla typer av Internetmaskar och virus för Windows. Men angripare kan hitta ett sätt att komma åt dina data i din hemkatalog.
Efter att ha förberett din gamla dator eller hårddisk formatering innan försäljning, tror du att det räcker? Det finns många moderna verktyg för dataåterställning. En hackare kan enkelt återställa din data från hårddisk, oavsett vilket operativsystem du arbetade i.
I det här ämnet minns jag erfarenheten från ett företag med att återköpa begagnade datorer och diskar. Under sin verksamhet avkunnade de en dom om att 90 % av de tidigare ägarna av deras dator inte tog hand om att rengöra sina lagringsmedier innan de sålde den. Och de extraherade mycket känsliga bytes med data. Det är läskigt att ens föreställa sig att det någonstans i soporna på din hårddisk kommer att finnas information för att logga in på din onlinebank eller onlineplånbok.
Låt oss gå till grunderna (), som passar nästan alla 
Linux-distributioner.
Anpassade lösenord löser inte problemet om du inte verkligen vill att ingen ska kunna läsa din hemkatalog (/home) eller en viss bytestorlek. Du kan göra det på ett sådant sätt att inte ens en användare med de högsta root-privilegierna kommer att kunna sticka näsan i den.
Om du bestämmer dig för att sälja eller ge bort din dator eller lagringsmedia, tro inte att om du bara formaterar den kommer dina filer att raderas permanent. Du kan installera verktyget för säker radering på din Linux, som inkluderar srm-verktyget, utformat för att säker borttagning filer.
Glöm inte heller brandväggen i Linux-kärnan. Alla Linux-distributioner inkluderar lptables, som är en del av kärnan. Lptables låter dig filtrera nätverkspaket. Naturligtvis kan du konfigurera detta verktyg i terminalen. Men den här metoden är bortom förmågan för många, inklusive mig. Därför installerar och konfigurerar jag det lika enkelt som om jag skulle spela ett spel.
Som alla andra operativsystem, Linux är benäget att samla alla slags skräp när man kör olika applikationer. Och det är inte Linuxs fel, eftersom olika applikationer, såsom webbläsare, textredigerare och till och med videospelare, inte fungerar på kärnnivå och samlar på sig temporära filer. Du kan installera BleachBit-verktyget för universell skräpborttagning.
Avslutningsvis vill jag berätta anonym webbsurfning. Ibland händer det att det är nödvändigt, som jag gör när jag i hemlighet från min fru besöker webbplatser med erotiskt innehåll. Självklart skämtade jag.
Det kommer att vara svårt för angripare att nå dig om de inte kan fastställa din plats. Vi täcker våra spår med en enkel installation av två verktyg som arbetar tillsammans som kallas privoxy och tor.
Enligt min åsikt kommer att följa och konfigurera alla dessa regler hålla dig och din dator 90% säkra.
P.S. Jag använder ett moln som heter dropbox. Jag lagrar mina gamla och nya, ännu inte publicerade artiklar i den. Det är bekvämt att ha tillgång till dina filer var som helst i världen och på vilken dator som helst. När du skriver artiklar för en webbplats i textredigerare, jag sparar min textdokument med ett lösenord och först efter det laddar jag upp det till dropbox-servern. Du bör aldrig försumma extra säkerhet, som bara kommer att spela dina händer.
