Ցանցի անվտանգության կարգավորում ubuntu-ում: Linux-ում անվտանգությունը հարաբերական հասկացություն է
Մեզանից ոչ ոք չի ցանկանում, որ անձնական տվյալները սխալ ձեռքերում ընկնեն: Բայց ինչպե՞ս պաշտպանել ձեր համակարգը հարձակումներից և տվյալների գողությունից: Դուք իրո՞ք պետք է կարդաք կիլոմետրանոց ձեռնարկներ տեղադրման և գաղտնագրման ալգորիթմների վերաբերյալ: Բոլորովին անհրաժեշտ չէ։ Այս հոդվածում ես ձեզ կասեմ, թե ինչպես ապահովել Linux համակարգը բառացիորեն 30 րոպեում:
Ներածություն
Մենք ապրում ենք դարաշրջանում շարժական սարքերև մշտական առցանց: Մենք նոութբուքով գնում ենք սրճարան և մեր տնային սարքերով գործարկում ենք ինտերնետի հետ կապված վեբ սերվերներ: Մենք գրանցվում ենք հարյուրավոր կայքերում և օգտագործում ենք նույն գաղտնաբառերը վեբ ծառայությունների համար: Մենք միշտ մեր գրպանում ունենք սմարթֆոն, որի մեջ դրված են տասնյակ գաղտնաբառեր և մի քանի SSH սերվերների բանալիներ: Մենք այնքան ենք սովոր, որ երրորդ կողմի ծառայությունները հոգ տանեն մեր գաղտնիության մասին, որ դադարել ենք ուշադրություն դարձնել դրա վրա:
Երբ ես կորցրի իմ սմարթֆոնը, ես շատ բախտավոր էի, որ դրա վրա տեղադրված հակագողոնը գործունակ էր և թույլ տվեց ինձ հեռակա կարգով ջնջել սարքի հիշողությունից բոլոր տվյալները: Երբ ես ակամայից բացեցի SSH պորտը տնային մեքենայի վրա, որի օգտատերը առանց գաղտնաբառի (!) մուտք էր արտաքին աշխարհ(!!), Ես շատ բախտավոր էի, որ սցենարի երեխաները մտան մեքենա և, բացի կճեպի զվարճալի պատմությունից, նրանք համակարգում իրենց ներկայության որևէ լուրջ հետք չթողեցին: Երբ ես պատահաբար տեղադրեցի ինտերնետում իմ Gmail-ի գաղտնաբառով ցուցակը, ես շատ բախտավոր էի, որ կար մի բարի մարդ, ով զգուշացրեց ինձ այդ մասին:
Միգուցե ես հիմար եմ, բայց համոզված եմ, որ նման դեպքեր պատահել են շատերի հետ, ովքեր կարդացել են այս տողերը: Եվ լավ է, որ այս մարդիկ, ի տարբերություն ինձ, լրջորեն զբաղվեին իրենց մեքենան պաշտպանելու համար։ Ի վերջո, հակագողոնը կարող էր չաշխատել, և սցենարի փոխարեն մեքենա նստեն լուրջ մարդիկ, և ես կորցնեի ոչ թե սմարթֆոնը, այլ նոութբուքը, որը բացի օգտատիրոջ գաղտնաբառից այլ պաշտպանություն չուներ։ . Ոչ, դուք հաստատ չպետք է ապավինեք Google-ի երկգործոն նույնականացմանը և հիմար գաղտնաբառերին մեր օրերում, ձեզ ավելի լուրջ բան է պետք:
Այս հոդվածը ուղեցույց է պարանոիդ Unixoid-ի համար, որը նվիրված է Linux մեքենայի ամբողջական պաշտպանությանը ամեն ինչից և ամեն ինչից: Ես վարանում եմ ասել, որ այստեղ նկարագրված ամեն ինչ պարտադիր է օգտագործման համար: Ընդհակառակը, սա բաղադրատոմսերի հավաքածու է, տեղեկատվություն, որից դուք կարող եք օգտագործել ինքներդ ձեզ և ձեր տվյալները պաշտպանելու համար այն մակարդակներում, որտեղ դա անհրաժեշտ է ձեր կոնկրետ իրավիճակում:
Գաղտնաբառ!
Ամեն ինչ սկսվում է գաղտնաբառերից: Դրանք ամենուր են՝ Linux բաշխման մուտքի պատուհանում, ինտերնետային կայքերի գրանցման ձևաթղթերում, FTP և SSH սերվերներում և սմարթֆոնի կողպէկրանին: Այսօրվա գաղտնաբառերի ստանդարտը 8–12 նիշ է խառը տառերով և թվերով։ Սեփական մտքով նման գաղտնաբառեր ստեղծելը բավականին հոգնեցուցիչ է, բայց դա ավտոմատ կերպով անելու հեշտ միջոց կա.
$ openssl rand -base64 6
Ոչ արտաքին հավելվածներ, ոչ վեբ բրաուզերի ընդլայնումներ, OpenSSL-ը հասանելի է ցանկացած մեքենայի վրա: Չնայած, եթե ինչ-որ մեկին ավելի հարմար է, նա կարող է տեղադրել և օգտագործել pwgen այս նպատակների համար (նրանք ասում են, որ գաղտնաբառը ավելի ուժեղ կլինի).
$ pwgen -Bs 8 1
Որտեղ պահել գաղտնաբառերը: Այսօր յուրաքանչյուր օգտատեր ունի դրանցից այնքան շատ, որ պարզապես անհնար է ամեն ինչ պահել նրա գլխում։ Վստահե՞լ ձեր բրաուզերի ավտոմատ պահպանման համակարգին: Դա հնարավոր է, բայց ով գիտի, թե ինչպես Google-ը կամ Mozilla-ն կվերաբերվեն նրանց: Սնոուդենն ասաց, որ դա այնքան էլ լավ չէ։ Հետևաբար, գաղտնաբառերը պետք է պահվեն հենց մեքենայի վրա՝ կոդավորված կոնտեյներով: Հիմնադիր հայրերը խորհուրդ են տալիս օգտագործել KeePassX դրա համար: Բանը գրաֆիկական է, որը հիմնադիր հայրերին իրականում դուր չի գալիս, բայց այն աշխատում է ամենուր, ներառյալ հայտնի Android Google զոնդը (KeePassDroid): Մնում է միայն գաղտնաբառերով տվյալների բազան տեղափոխել այնտեղ, որտեղ անհրաժեշտ է:
Եկեք ծածկագրենք
Գաղտնագրում - այս բառի մեջ այնքան բան կա... Այսօր կոդավորումը ամենուր է և միաժամանակ ոչ մի տեղ: Մենք ստիպված ենք օգտագործել կայքերի HTTPS տարբերակները, բայց դա մեզ չի հետաքրքրում։ Նրանք մեզ ասում են. «Գաղտնագրեք ձեր տնային գրացուցակը», և մենք ասում ենք. «Այնուհետև ես այն կկարգավորեմ»: Նրանք մեզ ասում են. «Dropbox-ի աշխատակիցների սիրելի զբաղմունքը օգտատերերի անձնական լուսանկարների վրա ծիծաղելն է», իսկ մենք՝ «Թող ծիծաղեն»: Մինչդեռ գաղտնագրումն այսօր պաշտպանության միակ բացարձակ միջոցն է։ Այն նաև շատ մատչելի է և հարթեցնում է կնճիռները։
Linux-ն ունի գաղտնագրման տոննա տարբերակներ ամեն ինչի համար՝ կոշտ սկավառակի միջնորմներից մինչև առանձին ֆայլեր: Երեք ամենահայտնի և ժամանակի փորձարկված գործիքներն են dm-crypt/LUKS, ecryptfs և encfs: Առաջինը գաղտնագրում է ամբողջ սկավառակներն ու միջնորմները, երկրորդը և երրորդը գաղտնագրում են դիրեկտորիաները կարևոր տեղեկություններով, յուրաքանչյուր ֆայլ առանձին, ինչը շատ հարմար է, եթե անհրաժեշտ է կատարել լրացուցիչ կրկնօրինակումներ կամ օգտագործել այն Dropbox-ի հետ համատեղ: Կան նաև մի քանի քիչ հայտնի գործիքներ, ներառյալ TrueCrypt, օրինակ:
Անմիջապես վերապահում անեմ, որ ամբողջ սկավառակի կոդավորումը դժվար գործ է և, որ ամենակարևորն է, անօգուտ: Հիմնական գրացուցակում առանձնապես գաղտնի բան չկա և չի կարող լինել, բայց տնային գրացուցակը և փոխանակումը պարզապես տեղեկատվության գանձարան են: Ավելին, երկրորդը նույնիսկ ավելի մեծ է, քան առաջինը, քանի որ տվյալներն ու գաղտնաբառերը կարող են այնտեղ հայտնվել արդեն գաղտնազերծված ձևով (սովորական ծրագրավորողները արգելում են համակարգին նման տվյալներ նետել փոխանակման մեջ, բայց դրանք փոքրամասնություն են կազմում): Երկուսի համար էլ գաղտնագրման կարգավորումը շատ պարզ է, պարզապես տեղադրեք ecrypts գործիքները.
$ sudo apt-get install ecryptfs-utils
Եվ, փաստորեն, միացրեք կոդավորումը.
$ sudo ecryptfs-setup-swap $ ecryptfs-setup-private
Հաջորդը, պարզապես մուտքագրեք ձեր գաղտնաբառը, որն օգտագործվում է մուտքի համար և նորից մուտք գործեք համակարգ: Այո, դա իսկապես այդքան պարզ է: Առաջին հրամանը կգաղտնագրի և կտեղակայի փոխանակումը` փոխելով համապատասխան տողերը /etc/fstab-ում: Երկրորդը կստեղծի ~/.Private և ~/Private դիրեկտորիաները, որոնցում կպահվեն համապատասխանաբար կոդավորված և ապակոդավորված ֆայլերը: Երբ մուտք եք գործում, կգործարկվի PAM մոդուլը pam_ecryptfs.so, որը առաջին գրացուցակը կտեղադրի երկրորդի վրա՝ տվյալների թափանցիկ գաղտնագրմամբ: Ապամոնտաժելուց հետո ~/Private-ը դատարկ կլինի, իսկ ~/.Private-ը կպարունակի բոլոր ֆայլերը կոդավորված տեսքով:
Արգելված չէ գաղտնագրել ամբողջ տնային գրացուցակը: Այս դեպքում կատարողականը շատ չի նվազի, բայց բոլոր ֆայլերը պաշտպանված կլինեն, ներառյալ նույն ցանցային գրացուցակը ~/Dropbox-ը: Սա արվում է այսպես.
# ecryptfs-migrate-home -u vasya
Ի դեպ, սկավառակի տարածքը պետք է լինի 2,5 անգամ ավելի շատ, քան vasya-ի տվյալները, ուստի խորհուրդ եմ տալիս նախապես մաքրել այն: Գործողությունն ավարտելուց հետո դուք պետք է անմիջապես մուտք գործեք որպես օգտվող vasya և ստուգեք ֆունկցիոնալությունը.
$mount | grep Անձնական /home/vasya/. Մասնավոր /home/vasya տիպի ecryptfs ...
Եթե ամեն ինչ կարգին է, տվյալների չգաղտնագրված պատճենը կարող է վերագրվել.
$ sudo rm -r /home/vasya.* 
Ծածկելով մեր հետքերը
Լավ, գաղտնաբառերը ապահով տեղում են, անձնական ֆայլերը նույնպես, ի՞նչ հիմա: Եվ հիմա մենք պետք է հոգ տանենք, որ մեր անձնական տվյալների որոշ հատվածներ սխալ ձեռքերում չհայտնվեն։ Գաղտնիք չէ, որ երբ ֆայլը ջնջվում է, դրա ընթացիկ բովանդակությունը մնում է մեդիայի վրա, նույնիսկ եթե դրանից հետո ֆորմատավորումն արվի: Մեր գաղտնագրված տվյալները ապահով կլինեն նույնիսկ ջնջելուց հետո, իսկ ի՞նչ կասեք ֆլեշ կրիչների և այլ հիշողության քարտերի մասին: Այստեղ մեզ անհրաժեշտ է srm կոմունալ, որը ոչ միայն ջնջում է ֆայլը, այլև լցնում է մնացած տվյալների բլոկները աղբով.
$ sudo apt-get տեղադրել անվտանգ-ջնջել $srm secret-file.txt home-video.mpg
# dd if=/dev/zero of=/dev/sdb
Այս հրամանը կջնջի sdb ֆլեշ կրիչի բոլոր տվյալները: Հաջորդը, մնում է միայն ստեղծել բաժանման աղյուսակ (մեկ բաժանմամբ) և ձևաչափել այն ցանկալի ֆայլային համակարգում: Դրա համար խորհուրդ է տրվում օգտագործել fdisk և mkfs.vfat, բայց կարող եք նաև գրաֆիկական gparted-ով:
BruteForce հարձակումների կանխարգելում
Fail2ban-ը դևոն է, որը սկանավորում է տեղեկամատյանները ցանցային ծառայությունների համար գաղտնաբառերը գուշակելու փորձերի համար: Եթե նման փորձեր հայտնաբերվեն, կասկածելի IP հասցեն արգելափակվում է iptables կամ TCP Wrappers-ի միջոցով: Ծառայությունը կարող է ծանուցել հյուրընկալող սեփականատիրոջը միջադեպի մասին էլփոստի միջոցով և վերականգնել արգելափակումը նշված ժամանակը. Fail2ban-ը ի սկզբանե մշակվել է SSH-ի պաշտպանության համար, այսօր առաջարկվում են պատրաստի օրինակներ Apache-ի, lighttpd-ի, Postfix-ի, Cyrus IMAP-ի և այլնի համար: Ավելին, մեկ Fail2ban գործընթացը կարող է պաշտպանել միանգամից մի քանի ծառայություններ:
Ubuntu/Debian-ում տեղադրելու համար մենք մուտքագրում ենք.
# apt-get install fail2ban
Կազմաձևերը գտնվում են /etc/fail2ban գրացուցակում: Կազմաձևը փոխելուց հետո դուք պետք է վերագործարկեք fail2ban հրամանը.
# /etc/init.d/fail2ban վերագործարկում
Սպառնալիք դրսից
Հիմա հոգանք խորքից բխող սպառնալիքների մասին համաշխարհային ցանց. Այստեղ ես պետք է սկսեմ խոսել iptable-ների և pf-ի մասին, որոնք աշխատում են OpenBSD-ով աշխատող հատուկ մեքենայի վրա, բայց այս ամենը ավելորդ է, երբ կա ipkungfu: Ի՞նչ է դա։ Սա սցենար է, որը մեզ համար կկատարի firewall-ը կարգավորելու ամբողջ կեղտոտ աշխատանքը՝ առանց կանոնների կիլոմետրանոց ցուցակներ գրելու: Տեղադրել:
$ sudo apt-get install ipkungfu
Կազմաձևի խմբագրում.
$ sudo vi /etc/ipkungfu/ipkungfu.conf # Տեղական ցանց, եթե կա, դիմակի հետ միասին գրեք ցանցի հասցեն, եթե ոչ, գրեք loopback հասցեն LOCAL_NET="127.0.0.1" # Մեր մեքենան դարպաս չէ GATEWAY=0 # Փակեք անհրաժեշտ պորտերը FORBIDDEN_PORTS="135 137 139" # Արգելափակեք պինգերը, երեխաների 90%-ը այս փուլում կթափվի BLOCK_PINGS=1 # Գցեք կասկածելի փաթեթներ (տարբեր տեսակի ջրհեղեղներ) SUSPECT="ԿԱԼԻՎ" # Drop «սխալ» փաթեթներ (DoS-ի որոշ տեսակներ) KNOWN_BAD=" DROP" # Սկանու՞մ պորտերը: Թրաշ! PORT_SCAN="ԿԱԼԻՔ"
ipkungfu-ն ակտիվացնելու համար բացեք /etc/default/ipkungfu ֆայլը և փոխեք IPKFSTART = 0 տողը IPKFSTART = 1: Գործարկել.
$sudo ipkungfu
Բացի այդ, եկեք փոփոխություններ կատարենք /etc/sysctl.conf:
$ sudo vi /etc/systcl.conf # Թողնել ICMP վերահղումները (MITM հարձակումների դեմ) net.ipv4.conf.all.accept_redirects=0 net.ipv6.conf.all.accept_redirects=0 # Միացնել TCP syncookies մեխանիզմը net.ipv4 . tcp_syncookies=1 # Տարբեր շտկումներ (հակասպոֆինգ, «կիսաբաց» TCP կապերի հերթի ավելացում և այլն) net.ipv4.tcp_timestamps=0 net.ipv4.conf.all.rp_filter=1 net.ipv4.tcp_back =1280 միջուկ .core_uses_pid=1
Ակտիվացրեք փոփոխությունները.
$ sudo sysctl -p
Ներխուժումների հայտնաբերում
Snort-ը ադմինների սիրելի գործիքներից է և անվտանգության բոլոր ուղեցույցների հիմնական գործիչն է: Երկար պատմություն և հսկայական հնարավորություններ ունեցող մի բան, որին նվիրված են ամբողջ գրքեր։ Ինչ է դա անում մեր ուղեցույցում արագ կարգավորումանվտանգ համակարգ? Եվ սա այն տեղն է, որտեղ այն պատկանում է Snort-ին կարգավորելու կարիք չունի.
$ sudo apt-get install snort $ snort -D
Բոլորը! Չեմ կատակում ստանդարտ պարամետրեր Snort-ն ավելի քան բավարար է տիպիկ ցանցային ծառայությունները պաշտպանելու համար, եթե, իհարկե, դրանք ունեք: Պարզապես պետք է ժամանակ առ ժամանակ դիտել մատյանը: Եվ դրա մեջ կարող եք գտնել այսպիսի տողեր.
[**] MS-SQL զոնդի պատասխանի արտահոսքի փորձ [**] http://www.securityfocus.com/bid/9407]
Վա՜յ։ Ինչ-որ մեկը փորձել է առաջացնել բուֆերային արտահոսք MySQL-ում: Կա նաև հղում դեպի էջի հետ մանրամասն նկարագրությունխնդիրներ. Գեղեցկություն.
Ինչ-որ մեկը ժառանգել է...
Հատկապես խելացի ինչ-որ մեկը կարողացավ շրջանցել մեր firewall-ը, անցնել Snort-ի կողքով, մուտք գործել համակարգ և այժմ կանոնավոր կերպով մուտք գործել համակարգ՝ օգտագործելով տեղադրված հետևի դուռը: Լավ չէ, հետևի դուռը պետք է գտնել, հեռացնել և թարմացնել համակարգը: Rootkits և backdoors որոնելու համար մենք օգտագործում ենք rkhunter:
$ sudo apt-get install rkhunter
Եկեք գործարկենք.
$ սուդո րխունտեր -գ --սկ
Ծրագիրը կստուգի ամբողջ համակարգը rootkits-ի առկայության համար և արդյունքները կցուցադրի էկրանին: Եթե չարամիտ ծրագիրը դեռ հայտնաբերվի, rkhunter-ը մատնացույց կանի գտնվելու վայրը և այն կարող է ջնջվել: Ավելի մանրամասն գրանցամատյանը գտնվում է այստեղ՝ /var/log/rkhunter.log: Ավելի լավ է ամեն օր ռխունթերը վարել որպես քրոն աշխատանք.
$ sudo vi /etc/cron.daily/rkhunter.sh #!/bin/bash /usr/bin/rkhunter -c --cronjob 2>&1 | փոստ - «RKhunter Scan Results» [էլփոստը պաշտպանված է]
Մենք փոխարինում ենք Վասյայի էլ.փոստի հասցեն մերով և սցենարը դարձնում ենք գործարկելի.
$ sudo chmod +x /etc/cron.daily/rkhunter.sh
$ sudo rkhunter --թարմացնել
Ի դեպ, դուք կարող եք այն ավելացնել cron սկրիպտի ստուգման հրամանից առաջ։ Rootkit-ի որոնման ևս երկու գործիք.
$ sudo apt-get install tiger $ sudo tiger $ sudo apt-get install lynis $ sudo lynis -c
Ըստ էության, դրանք նույն Ֆաբերժեի ձվերն են թռչնի հայացքից, բայց դրանք տարբեր հիմքեր ունեն։ Թերևս նրանց օգնությամբ հնարավոր լինի բացահայտել, թե ինչ է բաց թողել ռխունթերը։ Եվ սկզբի համար, debsums-ը հաշտեցման գործիք է: չեկային գումարներֆայլեր, տեղադրված փաթեթներստանդարտի հետ։ Մենք դնում ենք.
$ sudo apt-get տեղադրել debsums
Եկեք ստուգենք.
$ sudo debsums -ac
Ինչպես միշտ? մեկնարկը կարող է ավելացվել cron-ի աշխատանքներին:
Դրսում
Հիմա եկեք խոսենք այն մասին, թե ինչպես պահպանել ձեր անանունությունը ինտերնետում և մուտք ունենալ դեպի տարբեր հեղինակային իրավունքի սեփականատեր կազմակերպությունների և այլ Mizulin-ների խնդրանքով արգելափակված կայքերն ու էջերը: Դա անելու ամենադյուրին ճանապարհն ամբողջ աշխարհում հազարավոր պրոքսի սերվերներից մեկն օգտագործելն է: Նրանցից շատերն անվճար են, բայց հաճախ ալիքը կտրում են հին անալոգային մոդեմի արագությամբ:
Վեբ կայքերը հեշտությամբ զննելու և միայն անհրաժեշտության դեպքում վստահված անձը միացնելու համար կարող եք օգտագործել Chrome-ի և Firefox-ի բազմաթիվ ընդլայնումներից մեկը, որը հեշտությամբ կարելի է գտնել գրացուցակում՝ վստահված անձի փոխարկիչի խնդրանքով: Մենք տեղադրում ենք, մուտքագրում ենք պահանջվող վստահված անձանց ցանկը և անցնում անհրաժեշտին, էջի փոխարեն տեսնելով «Էջ մուտքը սահմանափակ է պարոն Սկումբրիևիչի խնդրանքով» նշանը։
Այն իրավիճակներում, երբ ամբողջ կայքը հայտնվել է ֆիլտրի տակ, և դրա հասցեն հայտնվել է սև ցուցակում մատակարարների DNS սերվերների կողքին, կարող եք օգտագործել անվճար DNS սերվերներ, որոնց հասցեները հրապարակված են: Պարզապես վերցրեք ձեր նախընտրած երկու հասցեները և ավելացրեք դրանք /etc/resolv.conf:
Nameserver 156.154.70.22 nameserver 156.154.71.22
Որպեսզի տարբեր DHCP հաճախորդներ և ցանցային կառավարիչներ չվերագրեն ֆայլը մատակարարից կամ երթուղիչից ստացված հասցեներով, մենք ֆայլը դարձնում ենք չվերագրելի՝ օգտագործելով ընդլայնված ատրիբուտները.
$ sudo chattr +i /etc/resolv.conf
Դրանից հետո ֆայլը կդառնա գրավոր պաշտպանված բոլորի համար, ներառյալ root-ը:
Ձեր զննարկման փորձը հետագայում անանուն դարձնելու համար կարող եք նաև օգտագործել dnscrypt դեյմոնը, որը կգաղտնագրի բոլոր հարցումները դեպի DNS սերվեր՝ ի հավելումն կայքին միանալու համար օգտագործվող պրոքսի սերվերի: Տեղադրել:
$ wget http://download.dnscrypt.org/dnscrypt-proxy/dnscrypt-proxy-1.3.2.tar.bz2 $ bunzip2 -cd dnscrypt-proxy-*.tar.bz2 | tar xvf - $ cd dnscrypt-proxy-* $ sudo apt-get install build-essential $ ./configure && make -j2 $ sudo make install
Նշեք loopback հասցեն /etc/resolv.conf:
$ vi /etc/resolv.conf nameserver 127.0.0.1
Սկսենք դևոնը.
$ sudo dnscrypt-proxy --daemonize
Ի դեպ, կան dnscrypt-ի տարբերակներ Windows-ի, iOS-ի և Android-ի համար։
Սոխի երթուղի
Ի՞նչ է սոխի երթուղին: Սա Tor-ն է: Իսկ Tor-ն իր հերթին համակարգ է, որը թույլ է տալիս ստեղծել ամբողջովին անանուն ցանց՝ ինտերնետ հասանելիությամբ։ «Սոխ» տերմինն այստեղ օգտագործվում է գործառնական մոդելի առնչությամբ, որտեղ ցանկացած ցանցային փաթեթ «կփաթաթվի» գաղտնագրման երեք շերտերով և կանցնի երեք հանգույցով դեպի ստացող, որոնցից յուրաքանչյուրը կհեռացնի իր սեփական շերտը։ և արդյունքը փոխանցեք հետագա: Ամեն ինչ, իհարկե, ավելի բարդ է, բայց մեզ համար միակ կարևորն այն է, որ սա ցանցային կազմակերպությունների մի քանի տեսակներից մեկն է, որը թույլ է տալիս պահպանել ամբողջական անանունությունը:
Այնուամենայնիվ, որտեղ կա անանունություն, կան նաև կապի խնդիրներ։ Եվ Tor-ն ունի դրանցից առնվազն երեքը. այն հրեշավոր դանդաղ է (շնորհիվ գաղտնագրման և փոխանցման հանգույցների շղթայի միջոցով), այն կստեղծի բեռ ձեր ցանցում (քանի որ դուք ինքներդ կլինեք հանգույցներից մեկը), և այն խոցելի է: դեպի երթևեկության ընդհատում. Վերջինս Tor ցանցից ինտերնետ մուտք գործելու հնարավորության բնական հետևանքն է՝ վերջին հանգույցը (ելքը) կհեռացնի ծածկագրման վերջին շերտը և կարող է մուտք գործել տվյալներ։
Այնուամենայնիվ, Tor-ը շատ հեշտ է տեղադրել և օգտագործել.
$ sudo apt-get install tor
Վերջ, այժմ տեղական մեքենան կունենա դեպի Tor ցանց տանող պրոքսի սերվեր։ Հասցե՝ 127.0.0.1:9050, կարող եք մուտքագրել այն բրաուզերի մեջ՝ օգտագործելով նույն ընդլայնումը, կամ ավելացնել կարգավորումների միջոցով։ Հիշեք, որ սա SOCKS է, այլ ոչ թե HTTP վստահված անձ:
ՏԵՂԵԿՈՒԹՅՈՒՆՆԵՐ
Tor-ի Android տարբերակը կոչվում է Orbot:Մտնել հրամանի տողգաղտնաբառը չի պահպանվել պատմության մեջ, կարող եք օգտագործել խելացի հնարք, որը կոչվում է «հրամանի սկզբում բացատ ավելացնել»:
Դա ecryptfs-ն է, որն օգտագործվում է Ubuntu-ում տնային գրացուցակը գաղտնագրելու համար:
Պայքար ջրհեղեղի դեմ
Ես կտամ մի քանի հրամաններ, որոնք կարող են օգնել ձեր հյուրընկալողին հեղեղելու հարցում:
Որոշակի նավահանգստի միացումների քանակի հաշվում.
$ netstat -na | grep ":port\" | wc -l
«Կիսաբաց» TCP կապերի քանակի հաշվում.
$ netstat -na | grep ":port\" | grep SYN_RCVD | wc -l
Դիտեք IP հասցեների ցանկը, որոնցից գալիս են կապի հարցումները.
$ netstat -na | grep ":port\" | տեսակավորել | uniq -c | տեսակավորել -nr | ավելի քիչ
tcpdump-ի միջոցով կասկածելի փաթեթների վերլուծություն.
# tcpdump -n -i eth0 -s 0 -w output.txt dst նավահանգիստ և IP սերվերի հոսթ
Մենք հրաժարվում ենք հարձակվողի կապերից.
# iptables -A INPUT -s հարձակվողի IP -p tcp -destination-port port -j DROP
Մենք սահմանափակում ենք «կիսաբաց» կապերի առավելագույն քանակը մեկ IP-ից մինչև որոշակի նավահանգիստ.
# iptables -I INPUT -p tcp --syn --dport port -m iplimit --iplimit-վերևում 10 -j DROP
Անջատել ICMP ECHO հարցումների պատասխանները.
# iptables -A INPUT -p icmp -j DROP --icmp-տիպ 8
Եզրակացություններ
վերջ։ Առանց մանրամասների մեջ մտնելու և ձեռնարկներ ուսումնասիրելու անհրաժեշտության, մենք ստեղծեցինք Linux-box, որը պաշտպանված է արտաքին ներխուժումից, rootkits-ից և այլ վարակներից, մարդու անմիջական միջամտությունից, երթևեկության գաղտնալսումից և վերահսկողությունից: Մնում է պարբերաբար թարմացնել համակարգը, արգելել գաղտնաբառի մուտքը SSH-ի միջոցով, հեռացնել ավելորդ ծառայությունները և խուսափել կազմաձևման սխալներից:
Տարածված սխալ պատկերացում կա, որ Linux OS-ով աշխատող սերվերներն ամենաապահովն են և պաշտպանված արտաքին ներխուժումից: Ցավոք, դա այդպես չէ որևէ սերվերի անվտանգությունը կախված է մի շարք գործոններից և այն ապահովելու համար և գործնականում անկախ է օգտագործվող օպերացիոն համակարգից:
Մենք որոշեցինք սկսել ցանցային անվտանգության մասին հոդվածների շարքը Ubuntu սերվեր, քանի որ այս հարթակի լուծումները մեծ հետաքրքրություն են ներկայացնում մեր ընթերցողների համար, և քանի որ շատերը կարծում են, որ Linux լուծումներն ինքնին անվտանգ են:
Միևնույն ժամանակ, հատուկ IP հասցեով երթուղիչը «դարպաս» է դեպի լոկալ ցանց, և միայն ադմինիստրատորից կախված կլինի՝ արդյոք այս դարպասը հուսալի պատնեշ կլինի, թե կստացվի՝ փակ երկրի դարպաս։ եղունգ.
Մեկ այլ տարածված սխալ պատկերացում է պատճառաբանությունը՝ «ում է դա պետք, մեր սերվերին, մենք հետաքրքիր բան չունենք»: Իրոք, ձեր տեղական ցանցը կարող է որևէ հետաքրքրություն չառաջացնել հարձակվողների համար, բայց նրանք կարող են օգտագործել կոտրված սերվեր՝ սպամ ուղարկելու համար, հարձակումներ այլ սերվերների վրա, անանուն վստահված անձ, մի խոսքով, որպես ելակետ իրենց ստվերային գործարքների համար:
Իսկ դա արդեն տհաճ է և կարող է տարբեր խնդիրների աղբյուր հանդիսանալ՝ մատակարարից մինչև իրավապահ մարմիններ։ Իսկ վիրուսների տարածման, գողության ու ոչնչացման մասին կարևոր տեղեկությունՊետք չէ մոռանալ նաև այն փաստը, որ ձեռնարկության պարապուրդը հանգեցնում է բավականին շոշափելի կորուստների։
Չնայած այս հոդվածը Ubuntu Server-ի մասին է, մենք նախ կանդրադառնանք ընդհանուր հարցերանվտանգություն, որոնք հավասարապես վերաբերում են ցանկացած հարթակին և հանդիսանում են հիմքերը, առանց որոնց տիրապետելու իմաստ չունի ավելի մանրամասն քննարկել հարցը։
Որտեղի՞ց է սկսվում անվտանգությունը:
Ոչ, անվտանգությունը չի սկսվում firewall-ից, այն ընդհանրապես չի սկսվում firewall-ից: տեխնիկական միջոցներ, անվտանգությունը սկսվում է օգտագործողից։ Ի վերջո, ի՞նչ օգուտ լավագույն մասնագետների կողմից տեղադրված ամենաթեժ մետաղական դռանը, եթե սեփականատերը բանալին թողնում է գորգի տակ:
Հետևաբար, առաջին բանը, որ դուք պետք է անեք, անվտանգության աուդիտ անցկացնելն է: Մի վախեցեք այս բառից, ամեն ինչ այնքան էլ բարդ չէ. գծեք սխեմատիկ ցանցային պլան, որի վրա նշում եք անվտանգ գոտի, պոտենցիալ վտանգի գոտի և բարձր վտանգավոր գոտի, ինչպես նաև կազմեք այն օգտվողների ցուցակը, ովքեր ունեն (պետք է ունենան) մուտք) դեպի այդ գոտիներ:
Անվտանգ գոտին պետք է ներառի ներքին ցանցի ռեսուրսները, որոնք հասանելի չեն դրսից և որոնց համար ընդունելի է անվտանգության ցածր մակարդակ: Սրանք կարող են լինել աշխատանքային կայաններ, ֆայլի սերվերներև այլն: սարքեր, որոնց մուտքը սահմանափակված է ձեռնարկության տեղական ցանցով:
Պոտենցիալ վտանգի գոտին ներառում է սերվերներ և սարքեր, որոնք չունեն ուղղակի մուտք դեպի արտաքին ցանց, բայց որոնց անհատական ծառայությունները հասանելի են դրսից, օրինակ՝ վեբ և փոստի սերվերները, որոնք գտնվում են firewall-ի հետևում, բայց դեռ սպասարկում են արտաքին ցանցի հարցումները:
Վտանգավոր գոտին պետք է ներառի սարքեր, որոնք ուղղակիորեն հասանելի են դրսից, դա պետք է լինի մեկ երթուղիչ:
Հնարավորության դեպքում պոտենցիալ վտանգավոր գոտի պետք է տեղադրվի առանձին ենթացանցում՝ ապառազմականացված գոտի (DMZ), որը հիմնական ցանցից առանձնացված է լրացուցիչ firewall-ով:
LAN սարքերը պետք է մուտք ունենան միայն DMZ-ի այն ծառայություններին, որոնք իրենց կարիքն ունեն, օրինակ՝ SMTP, POP3, HTTP և այլ կապեր պետք է արգելափակվեն: Սա թույլ կտա ձեզ հուսալիորեն մեկուսացնել հարձակվողին կամ չարամիտ ծրագրին, որն օգտվել է խոցելիությունից ապառազմականացված գոտում առանձին ծառայության մեջ՝ զրկելով նրանց մուտքը հիմնական ցանց:
Ֆիզիկապես, DMZ-ը կարող է կազմակերպվել՝ տեղադրելով առանձին սերվեր / ապարատային firewall կամ երթուղիչին լրացուցիչ ցանցային քարտ ավելացնելով, բայց վերջին դեպքում ստիպված կլինեք մեծ ուշադրություն դարձնել երթուղիչի անվտանգությանը: Բայց ամեն դեպքում շատ ավելի հեշտ է ապահովել մեկ սերվերի անվտանգությունը, քան սերվերների խմբի։
Հաջորդ քայլը պետք է լինի օգտատերերի ցանկի վերլուծությունը, թե արդյոք նրանք բոլորին DMZ-ի և երթուղիչի մուտքի կարիք ունեն (բացառությամբ հանրային ծառայությունների), հատուկ ուշադրություն պետք է դարձնել դրսից միացող օգտատերերին:
Որպես կանոն, դա պահանջում է գաղտնաբառի քաղաքականության կիրառման շատ ոչ հանրաճանաչ քայլ: Բոլոր գաղտնաբառերը այն օգտատերերի համար, ովքեր մուտք ունեն դեպի կարևոր ծառայություններ և ունեն դրսից միանալու հնարավորություն, պետք է պարունակեն առնվազն 6 նիշ և, բացի փոքրատառերից, պարունակեն նիշեր երեքից երկու կատեգորիաներից՝ մեծատառեր, թվեր, ոչ այբբենական նիշեր: .
Բացի այդ, գաղտնաբառը չպետք է պարունակի օգտատիրոջ մուտքի անունը կամ դրա մի մասը, չպետք է պարունակի ամսաթվեր կամ անուններ, որոնք կարող են կապված լինել օգտատիրոջ հետ և, ցանկալի է, չլինի բառարանային բառ:
Լավ գաղափար է 30-40 օրը մեկ գաղտնաբառերը փոխելու պրակտիկայի մեջ մտնել: Հասկանալի է, որ նման քաղաքականությունը կարող է օգտատերերի կողմից մերժում առաջացնել, բայց միշտ պետք է հիշել, որ գաղտնաբառերը հավանում են 123 կամ qwertyհամարժեք է գորգի տակ բանալի թողնելուն:
Սերվերի անվտանգություն - ոչ մի ավելորդ բան:
Այժմ, պատկերացում ունենալով, թե ինչ ենք ուզում պաշտպանել և ինչից, եկեք անցնենք հենց սերվերին: Կազմեք բոլոր ծառայությունների և ծառայությունների ցանկը, այնուհետև մտածեք, թե արդյոք դրանք բոլորն անհրաժեշտ են այս կոնկրետ սերվերի վրա, թե արդյոք դրանք կարող են տեղափոխվել այլ տեղ:
Որքան քիչ ծառայություններ, այնքան ավելի հեշտ է ապահովել անվտանգությունը, և ավելի քիչ հավանական է, որ սերվերը վտանգի ենթարկվի դրանցից մեկի կարևոր խոցելիության պատճառով:
Կազմաձևեք ծառայությունները, որոնք սպասարկում են տեղական ցանցը (օրինակ, կաղամար), որպեսզի նրանք ընդունեն հարցումները բացառապես տեղական ինտերֆեյսից: Որքան քիչ ծառայություններ հասանելի լինեն արտաքինից, այնքան լավ:
Խոցելիության սկաները լավ օգնական կլինի անվտանգությունն ապահովելու համար, այն պետք է սկանավորի սերվերի արտաքին ինտերֆեյսը. Մենք օգտագործել ենք ամենահայտնի արտադրանքներից մեկի՝ XSpider 7.7-ի ցուցադրական տարբերակը:
Սկաները ցույց է տալիս բաց նավահանգիստներ, փորձում է որոշել գործարկվող ծառայության տեսակը և հաջողության դեպքում դրա խոցելիությունը: Ինչպես տեսնում եք, ճիշտ կազմաձևված համակարգը բավականին ապահով է, բայց դուք չպետք է բանալին թողեք գորգի տակ, երթուղիչի վրա բաց 1723 (VPN) և 3389 (RDP, փոխանցված տերմինալ սերվեր) պորտերի առկայությունը. լավ պատճառ մտածելու գաղտնաբառի քաղաքականության մասին:
Մենք պետք է խոսենք նաև SSH անվտանգության մասին: Այս ծառայությունը սովորաբար օգտագործվում է ադմինիստրատորների կողմից հեռակառավարման վահանակսերվեր և ավելի մեծ հետաքրքրություն է ներկայացնում հարձակվողների համար: SSH կարգավորումները պահվում են ֆայլում /etc/ssh/sshd_config, ստորև նկարագրված բոլոր փոփոխությունները կատարվում են դրան: Առաջին հերթին, դուք պետք է անջատեք թույլտվությունը արմատային օգտագործողի տակ, ավելացնելով տարբերակը.
PermitRootLogin no
Այժմ հարձակվողը պետք է գուշակի ոչ միայն գաղտնաբառը, այլև մուտքը, և նա դեռ չի իմանա գերօգտագործողի գաղտնաբառը (հուսով ենք, որ այն չի համընկնում ձեր գաղտնաբառը): Դրսից միանալիս բոլոր վարչական խնդիրները պետք է կատարվեն տակից սուդոմուտք գործել որպես արտոնյալ օգտվող:
Արժե հստակորեն նշել թույլատրված օգտատերերի ցանկը, և կարող եք օգտագործել այնպիսի գրառումներ, ինչպիսիք են user@host, որը թույլ է տալիս նշված օգտվողին միանալ միայն նշված հոսթից: Օրինակ, ivanov օգտվողին տնից միանալու հնարավորություն տալու համար (IP 1.2.3.4), դուք պետք է ավելացնեք հետևյալ գրառումը.
Թույլատրել օգտվողին [էլփոստը պաշտպանված է]
Նաև անջատեք հնացած և պակաս ապահով SSH1 արձանագրության օգտագործումը, թույլ տալով միայն արձանագրության երկրորդ տարբերակին դա անել, փոխեք հետևյալ տողը ձևի.
Արձանագրություն 2
Չնայած ձեռնարկված բոլոր միջոցներին, դեռ փորձեր կլինեն միանալ SSH-ին և այլ հանրային ծառայություններին՝ կանխելու գաղտնաբառի գուշակությունը, օգտվել կոմունալից fail2ban, որը թույլ է տալիս ավտոմատ կերպով արգելել օգտվողին մուտք գործելու մի քանի անհաջող փորձերից հետո: Դուք կարող եք տեղադրել այն հրամանով.
Sudo apt-get install fail2ban
Այս կոմունալը պատրաստ է աշխատել անմիջապես տեղադրումից հետո, այնուամենայնիվ, մենք ձեզ խորհուրդ կտանք անմիջապես փոխել որոշ պարամետրեր դա անելու համար, փոփոխություններ կատարել ֆայլում /etc/fail2ban/jail.conf. Լռելյայնորեն վերահսկվում է միայն SSH մուտքը, իսկ արգելքի ժամանակը 10 րոպե է (600 վայրկյան), մեր կարծիքով արժե այն ավելացնել՝ փոխելով հետևյալ տարբերակը.
Բանթայմ = 6000
Այնուհետև ոլորեք ֆայլի միջով և միացրեք ձեր համակարգում աշխատող ծառայությունների բաժինները՝ համապատասխան բաժնի անունից հետո պարամետրը սահմանելով: միացված էմի վիճակում ճշմարիտ, օրինակ ծառայության համար proftpdայն կունենա հետևյալ տեսքը.
միացված = ճշմարիտ
Մեկ այլ կարևոր պարամետր maxretry, որը պատասխանատու է կապի փորձերի առավելագույն քանակի համար։ Պարամետրերը փոխելուց հետո մի մոռացեք վերագործարկել ծառայությունը.
Sudo /etc/init.d/fail2ban վերագործարկում
Դուք կարող եք տեսնել կոմունալ տեղեկամատյանը այստեղ /var/log/fail2ban.log.
Անկասկած, նոր է տեղադրվել Linux համակարգշատ ավելի դիմացկուն է տարբեր չարամիտ ծրագիր, լրտեսող ծրագրերի և հաքերների գործունեությունը, քան նույնը Windows տարբերակը. Այնուամենայնիվ, Linux համակարգերի մեծ մասն օգտագործում է լռելյայն կարգավորումներ, որոնք իրենց բնույթով լիովին անվտանգ չեն:
Linux-ի որոշ բաշխումներ նախագծված են չափազանց անվտանգ լինելու համար, բայց դրանք հակված են շատ շփոթեցնող լինելու նորեկների, հատկապես ոչ անվտանգության մասնագետների համար:
Ubuntu-ն այսօր օգտագործվող Linux-ի ամենատարածված բաշխումն է: Դա պայմանավորված է բազմաթիվ գործոններով, որոնցից մեկն այն է, որ այն ամենահեշտն է սկսնակ օգտվողների համար: Սա ունի իր դրական կողմերը, բայց նաև այս պատճառով համակարգն ունի մի քանի թույլ կողմեր, որոնք մշակողները թողել են՝ ընտրելով օգտվողի հարմարությունը: Այս հոդվածում մենք կանդրադառնանք, թե ինչպես է կարգավորվում անվտանգությունը Ubuntu 16.04-ում: Այս կարգավորումներն այնքան էլ բարդ չեն, բայց դրանք կօգնեն ձեզ դարձնել ձեր համակարգը ավելի դիմացկուն հարձակման ամենատարածված մեթոդներին:
Առաջին բանը, որ դուք պետք է իմանաք, ձեր համակարգը մշտապես թարմացված և արդիական պահելն է: Անընդհատ նոր խոցելիություններ են հայտնաբերվում միջուկում և ծրագրային ապահովում, օրինակ նույն Drity COW-ն է։ Մշակողները շատ արագ շտկում են այս սխալները, բայց այս ուղղումները ձեր համակարգում կիրառելու համար դուք պետք է անհապաղ թարմացնեք այն:
Այլ կարևոր նշումօգտատիրոջ գաղտնաբառը է: Մի օգտագործեք առանց գաղտնաբառի օգտվող: Եթե Ձեզ անհրաժեշտ է այլ մարդկանց մուտք գործել ձեր համակարգիչ, ստեղծեք նոր հաշիվ, օրինակ՝ հյուրի հաշիվ: Բայց միշտ օգտագործեք գաղտնաբառեր: Linux օպերացիոն համակարգը ստեղծվել է ի սկզբանե որպես բազմաֆունկցիոնալ համակարգ՝ հաշվի առնելով անվտանգությունը բոլոր օգտատերերի համար, այնպես որ բաց մի թողեք այս հնարավորությունը: Բայց սրանք բոլոր խորհուրդներն են, որոնք դուք հավանաբար արդեն գիտեք, եկեք նայենք ubuntu-ի անվտանգությունը բարձրացնելու իսկապես օգտակար եղանակներին:
1. Համօգտագործվող հիշողության կարգավորում
Լռելյայնորեն, /run/shm-ում համօգտագործվող հիշողության ողջ ծավալը ընթեռնելի և գրավոր է, ինչը թույլ է տալիս կատարել ծրագրեր: Սա համարվում է անվտանգության անցք, և շատ շահագործումներ օգտագործում են /run/shm-ը հարձակվելու գործող ծառայությունների վրա: Շատ աշխատասեղանի և հատկապես սերվերային սարքերի համար խորհուրդ է տրվում տեղադրել այս ֆայլը միայն կարդալու ռեժիմում: Դա անելու համար ավելացրեք հետևյալ տողը /etc/fstab.
sudo vi /etc/fstab
none /run/shm tmpfs լռելյայն, ro 0 0
Բայց այնուամենայնիվ, որոշ ծրագրեր չեն աշխատի, եթե /run/shm-ը միայն կարդալու համար է, դրանցից մեկն այն է Google Chrome. Եթե դուք օգտագործում եք Google Chrome, ապա մենք պետք է պահպանենք ձայնագրման հնարավորությունը, բայց մենք կարող ենք արգելել ծրագրերի կատարումը, ավելացնելով վերը նշվածի փոխարեն հետևյալ տողը.
ոչ մեկը /run/shm tmpfs rw,noexec,nosuid,nodev 0 0
2. Արգելել su-ի օգտագործումը ոչ ադմինիստրատորների համար
Բացի ձեր հաշվից, Ubuntu-ն ունի նաև հյուրի հաշիվ, որը կարող եք օգտագործել ձեր նոութբուքը ընկերոջ հետ կիսելու համար: Su կոմունալը թույլ է տալիս ծրագրեր գործարկել որպես այլ օգտվող: Սա շատ օգտակար է համակարգի կառավարման մեջ և կենսականորեն անհրաժեշտ է ճիշտ օգտագործելու դեպքում: Բայց, այնուամենայնիվ, բոլորը կարող են օգտվել այս օգտակար ծառայությունից Linux օգտագործողներ, իսկ սա արդեն չարաշահում է։ Հյուրի հաշվի մուտքը su հրամանին մերժելու համար գործարկեք՝
sudo dpkg-statoverride --թարմացում -- ավելացնել արմատ sudo 4750 /bin/su
3. Պաշտպանեք ձեր տնային գրացուցակը
Ձեր լռելյայն տնային գրացուցակը հասանելի կլինի համակարգի յուրաքանչյուր օգտագործողի համար: Այսպիսով, եթե դուք ունեք հյուրի հաշիվ, ապա հյուրը կկարողանա լիարժեք մուտք ունենալ ձեր բոլորին անձնական ֆայլերև փաստաթղթեր։ Բայց դուք կարող եք այն հասանելի դարձնել միայն ձեզ: Բացեք տերմինալ և գործարկեք հետևյալ հրամանը.
chmod 0700 /տուն/օգտանուն
Այն իրավունքներ է սահմանում այնպես, որ թղթապանակի սեփականատերը, այսինքն՝ դուք, մուտք ունենաք ամեն ինչ, իսկ մյուս օգտատերերը նույնիսկ չկարողանան դիտել բովանդակությունը։ Որպես այլընտրանք, դուք կարող եք թույլտվություններ սահմանել 750-ի համար, ինչը թույլ կտա կարդալու մուտք դեպի ձեր թղթապանակը նույն խմբի օգտատերերին, ինչպես դուք.
chmod 0750 /տուն/օգտանուն
Այժմ Ubuntu 16.04-ի անվտանգությունը և հատկապես ձեր անձնական տվյալները մի փոքր ավելի բարձր կլինեն։
4. Անջատել SSH մուտքը որպես արմատ
Լռելյայնորեն, Ubuntu-ում դուք կարող եք մուտք գործել SSH-ի միջոցով որպես սուպերօգտատեր, չնայած որ դուք գաղտնաբառ եք սահմանել արմատային օգտատիրոջ համար, դա կարող է պոտենցիալ վտանգավոր լինել, քանի որ եթե գաղտնաբառը շատ պարզ է, ապա հարձակվողը կարող է դաժանորեն ստիպել այն և ամբողջությամբ վերահսկել այն: համակարգիչը։ Հնարավոր է, որ sshd ծառայությունը տեղադրված չէ ձեր համակարգում: Ստուգելու համար գործարկեք՝
Եթե դուք ստանում եք միացման մերժման հաղորդագրություն, դա նշանակում է, որ SSH սերվերը տեղադրված չէ, և դուք կարող եք բաց թողնել այս քայլը: Բայց եթե այն տեղադրված է, ապա այն պետք է կազմաձևվի՝ օգտագործելով կազմաձևման ֆայլը /etc/ssh/sshd_config: Բացեք այս ֆայլը և փոխարինեք տողը.
PermitRootLogin այո
PermitRootLogin no
Կատարված է, այժմ ավելի դժվար կլինի ներխուժել ձեր համակարգ ssh-ի միջոցով, բայց անվտանգության կարգավորումը ubuntu 16.04-ում դեռ ավարտված չէ:
5. Տեղադրեք firewall
Հնարավոր է, որ ձեր համակարգչում տեղադրված է ոչ միայն ssh սերվերը, այլ նաև տվյալների բազայի ծառայություն և apache վեբ սերվերկամ nginx. Եթե սա տնային համակարգիչ է, ապա, ամենայն հավանականությամբ, դուք չեք ցանկանա, որ մեկ ուրիշը կարողանա միանալ ձեր տեղական կայքին կամ տվյալների բազային: Դա կանխելու համար հարկավոր է տեղադրել firewall: Ubuntu-ում խորհուրդ է տրվում օգտագործել gufw, քանի որ այն նախատեսված է հատուկ այս համակարգի համար:
Տեղադրելու համար.
sudo apt տեղադրել gufw
Այնուհետև անհրաժեշտ է բացել ծրագիրը, միացնել պաշտպանությունը և արգելափակել բոլոր մուտքային կապերը: Թույլատրել միայն անհրաժեշտ նավահանգիստները բրաուզերի և այլ հայտնի ծրագրերի համար: Կարդացեք ավելին հրահանգներում:
6. Պաշտպանություն MITM հարձակումներից
Էությունը MITM հարձակումներըև կամ «Մարդը միջինում» հարձակվում է, երբ մեկ այլ անձ գաղտնալսում է բոլոր փաթեթները, որոնք ուղարկում եք սերվերին, այդպիսով կարողանալով ստանալ ձեր բոլոր գաղտնաբառերը և անձնական տվյալները: Մենք չենք կարող պաշտպանվել մեզ այս տեսակի բոլոր հարձակումներից, բայց այն բավականին տարածված է հանրության շրջանում տեղական ցանցեր MITM հարձակման տեսակը ARP հարձակումն է: Օգտագործելով ARP արձանագրության առանձնահատկությունները՝ հարձակվողը ձեր համակարգչի առջև ձևանում է երթուղիչ, և դուք նրան ուղարկում եք ձեր բոլոր տվյալների փաթեթները: Դուք կարող եք շատ հեշտությամբ պաշտպանվել ձեզ դրանից՝ օգտագործելով TuxCut կոմունալ ծրագիրը:
Ծրագիրը հասանելի չէ պաշտոնական պահոցներում, ուստի այն տեղադրելու համար անհրաժեշտ է ներբեռնել փաթեթը GitHub-ից.
wget https://github.com/a-atalla/tuxcut/releases/download/6.1/tuxcut_6.1_amd64.deb
Այնուհետև տեղադրեք ստացված փաթեթը.
sudo apt տեղադրել tuxcut_6.1_amd64.deb
Նախքան ծրագիրը գործարկելը, սկսեք դրա ծառայությունը.
sudo systemctl start tuxcutd
Կոմունալ ծրագրի հիմնական պատուհանն ունի հետևյալ տեսքը.
Սա ցուցադրում է ցանցին միացած բոլոր օգտատերերի IP հասցեները, ինչպես նաև նրանցից յուրաքանչյուրին համապատասխան MAC հասցեն: Եթե դուք ստուգեք «Պաշտպանության ռեժիմ» վանդակը, ծրագիրը կպաշտպանի ARP հարձակումներից: Դուք կարող եք օգտագործել այն հանրային ցանցերում, օրինակ՝ հանրային wifi-ում, որտեղ դուք մտահոգված եք ձեր անվտանգության համար:
Եզրակացություններ
Դե, այսքանը, այժմ Ubuntu 16.04-ի անվտանգության կարգավորումն ավարտված է, և ձեր համակարգը շատ ավելի ապահով է: Մենք արգելափակել ենք հարձակման ամենատարածված վեկտորները և համակարգային ներթափանցման մեթոդները, որոնք օգտագործվում են հաքերների կողմից: Եթե գիտեք Ubuntu-ում անվտանգությունը բարելավելու այլ օգտակար եղանակներ, գրեք մեկնաբանություններում:
Ըստ cvedetails.com-ի՝ սկսած 1999թ Linux միջուկՀայտնաբերվել է 1305 խոցելիություն, որից 68-ը՝ 2015թ. Դրանցից շատերը հատուկ խնդիրներ չեն ներկայացնում, դրանք նշվում են որպես Local և Low, իսկ ոմանք կարող են կանչվել միայն այն դեպքում, երբ կապված են որոշակի հավելվածների կամ ՕՀ-ի կարգավորումների հետ: Սկզբունքորեն թվերը փոքր են, բայց միջուկը ամբողջ ՕՀ-ն չէ։ Խոցելիություններ կան նաև GNU Coreutils-ում, Binutils-ում, glibs-ում և, իհարկե, օգտատերերի հավելվածներում: Դիտարկենք ամենահետաքրքիրները:
LINUX-ի միջուկում խոցելիություններ
ՕՀ: Linux
Մակարդակ:Միջին, ցածր
Վեկտոր:Հեռակառավարվող
CVE: CVE-2015-3331, CVE-2015-4001, CVE-2015-4002, CVE-2015-4003
Շահագործել.հայեցակարգ, https://lkml.org/lkml/2015/5/13/740, https://lkml.org/lkml/2015/5/13/744
Հունիսին Linux-ի միջուկում հայտնաբերված խոցելիությունը arch/x86/crypto/aesni-intel_glue.c-ում __driver_rfc4106_decrypt ֆունկցիայում, որը հայտնաբերվել է հունիսին 3.19.3-ից առաջ, պայմանավորված է RFC4106-ի ներդրմամբ x86 պրոցեսորների համար, որոնք աջակցում են AES հրահանգների հավաքածուի ընդլայնմանը AES-NI (առաջարկվում է): Intel, Intel Advanced Encryption Standard Instructions) որոշ դեպքերում ճիշտ չի հաշվարկում բուֆերային հասցեները: Եթե IPsec թունելը կազմաձևված է այս ռեժիմն օգտագործելու համար (AES ալգորիթմ - CONFIG_CRYPTO_AES_NI_INTEL), խոցելիությունը կարող է հանգեցնել հիշողության խաթարման, խափանումների և CryptoAPI կոդի հնարավոր հեռավոր կատարման: Ընդ որում, ամենահետաքրքիրն այն է, որ խնդիրը կարող է առաջանալ ինքնուրույն, լիովին օրինական տրաֆիկի վրա, առանց արտաքին միջամտության։ Հրապարակման պահին հարցը լուծված է։
Փորձարարական կարգավիճակ ունեցող Linux 4.0.5 ozwpan դրայվերում հայտնաբերվել են հինգ խոցելիություններ, որոնցից չորսը թույլ են տալիս կազմակերպել DoS հարձակում՝ խափանելով միջուկը՝ ուղարկելով հատուկ մշակված փաթեթներ։ Խնդիրը կապված է բուֆերային արտահոսքի հետ՝ կապված ստորագրված ամբողջ թվերի սխալ մշակման հետ, որի դեպքում memcpy-ով հաշվարկը պահանջվող_size-ի և offset-ի միջև վերադարձրեց բացասական թիվ, որի արդյունքում տվյալները պատճենվում են կույտում:
Գտնվել է oz_hcd_get_desc_cnf ֆունկցիայում՝ drivers/staging/ozwpan/ozhcd.c և oz_usb_rx և oz_usb_handle_ep_data ֆունկցիաներում՝ drivers/staging/ozwpan/ozusbsvc1.c: Այլ խոցելիությունները ներառում էին հնարավոր բաժանումը 0-ով, համակարգի շրջադարձը կամ հատկացված բուֆերի սահմաններից դուրս գտնվող տարածքներից կարդալու ունակությունը:
ozwpan դրայվերը՝ Linux-ի նոր արտադրանքներից մեկը, կարող է ինտերֆեյս լինել գոյություն ունեցողի հետ անլար սարքերհամատեղելի է Ozmo Devices տեխնոլոգիայի հետ (Wi-Fi Direct): Ապահովում է USB հյուրընկալող վերահսկիչի ներդրում, սակայն հնարքն այն է, որ ֆիզիկական կապի փոխարեն ծայրամասայինը հաղորդակցվում է Wi-Fi-ի միջոցով: Վարորդն ընդունում է ցանցային փաթեթներ c մուտքագրեք (եթերտիպ) 0x892e, այնուհետև դրանք վերլուծում և թարգմանում է տարբեր USB գործառույթների: Առայժմ այն օգտագործվում է հազվադեպ դեպքերում, ուստի այն կարելի է անջատել՝ բեռնաթափելով ozwpan.ko մոդուլը:
LINUX UBUNTU
ՕՀ: Linux Ubuntu 04/12–04/15 (միջուկը մինչև 2015 թվականի հունիսի 15-ը)
Մակարդակ:Քննադատական
Վեկտոր:Տեղական
CVE: CVE-2015-1328
Շահագործել. https://www.exploit-db.com/exploits/37292/
OverlayFS ֆայլային համակարգի կրիտիկական խոցելիությունը թույլ է տալիս արմատային մուտք գործել Ubuntu համակարգերում, որոնք թույլ են տալիս մոնտաժել OverlayFS միջնորմները ոչ արտոնյալ օգտագործողի կողմից: Խոցելիությունը շահագործելու համար պահանջվող լռելյայն կարգավորումներն օգտագործվում են Ubuntu 12.04–15.04-ի բոլոր ճյուղերում: Ինքը՝ OverlayFS-ը, համեմատաբար վերջերս է հայտնվել Linux միջուկում՝ սկսած 3.18-rc2-ից (2014), դա SUSE մշակում է՝ փոխարինելու UnionFS-ին և AUFS-ին: OverlayFS-ը թույլ է տալիս ստեղծել վիրտուալ բազմաշերտ ֆայլային համակարգ, որը միավորում է այլ ֆայլային համակարգերի մի քանի մասեր:
Ֆայլային համակարգը ստեղծվում է ստորին և վերին շերտերից, որոնցից յուրաքանչյուրը կցվում է առանձին գրացուցակներ: Ներքևի շերտը օգտագործվում է միայն Linux-ում աջակցվող ցանկացած ֆայլային համակարգերի դիրեկտորիաներում, ներառյալ ցանցայինները կարդալու համար: Վերին շերտը սովորաբար գրավոր է և կվերացնի ներքևի շերտի տվյալները, եթե ֆայլերը կրկնօրինակվեն: Այն պահանջված է Live բաշխումներում, կոնտեյներների վիրտուալացման համակարգերում և որոշ աշխատասեղանի հավելվածների համար կոնտեյներների շահագործումը կազմակերպելու համար։ Օգտատիրոջ անունների տարածքները թույլ են տալիս ստեղծել բեռնարկղերում օգտագործողի և խմբի ID-ների ձեր սեփական հավաքածուները: Խոցելիությունը պայմանավորված է մուտքի իրավունքների սխալ ստուգմամբ՝ հիմքում ընկած ֆայլային համակարգի գրացուցակում նոր ֆայլեր ստեղծելիս:
Եթե միջուկը կառուցված է CONFIG_USER_NS=y-ով (միացնում է օգտվողի անվան տարածքը) և FS_USERNS_MOUNT դրոշակը մոնտաժելիս նշված է, OverlayFS-ը կարող է տեղադրվել: կանոնավոր օգտագործողմեկ այլ անվանատարածքում, ներառյալ այն վայրերը, որտեղ գործողություններ են կատարվում արմատային իրավունքները. Այս դեպքում, արմատային իրավունքներով ֆայլերով գործողությունները, որոնք կատարվում են նման անվանատարածքներում, ստանում են նույն արտոնությունները հիմքում ընկած ֆայլային համակարգի հետ գործողություններ կատարելիս: Հետևաբար, դուք կարող եք տեղադրել ցանկացած FS միջնորմ և դիտել կամ փոփոխել ցանկացած ֆայլ կամ գրացուցակ:
Հրապարակման պահին Ubuntu-ից ֆիքսված OverlayFS մոդուլով միջուկի թարմացումն արդեն հասանելի էր: Իսկ եթե համակարգը թարմացվի, ապա խնդիրներ չպետք է լինեն։ Նույն դեպքում, երբ թարմացումը հնարավոր չէ, որպես ժամանակավոր միջոց, դուք պետք է դադարեցնեք OverlayFS-ի օգտագործումը՝ հեռացնելով overlayfs.ko մոդուլը։
Խոցելիություններ ՀԻՄՆԱԿԱՆ ՀԻՄԱՑՈՒՄՆԵՐՈՒՄ
ՕՀ: Linux
Մակարդակ:Քննադատական
Վեկտոր:տեղական, հեռավոր
CVE: CVE-2015-0235
Շահագործել. https://www.qualys.com/research/security-advisories/exim_ghost_bof.rb
Վտանգավոր խոցելիություն GNU glibc ստանդարտ գրադարանում, որը Linux OS-ի հիմնական մասն է, և Oracle Communications Applications-ի և Oracle Pillar Axiom-ի որոշ տարբերակներում, որը հայտնաբերվել է Qualys-ի հաքերների կողմից կոդի աուդիտի ժամանակ: Ստացել է GHOST ծածկանունը: Սա բուֆերային արտահոսք է __nss_hostname_digits_dots() ֆունկցիայի ներսում, որն օգտագործվում է glibc ֆունկցիաների կողմից, ինչպիսիք են gethostbyname() և gethostbyname2()՝ հյուրընկալողի անունը ստանալու համար (այստեղից էլ՝ GetHOST անունը): Խոցելիությունը օգտագործելու համար դուք պետք է առաջացնեք բուֆերային արտահոսք՝ օգտագործելով հոսթի անվան անվավեր արգումենտը DNS-ի միջոցով անվան լուծում կատարող հավելվածին: Այսինքն՝ տեսականորեն այս խոցելիությունը կարող է կիրառվել ցանկացած հավելվածի վրա, որն այս կամ այն չափով օգտագործում է ցանցը։ Կարող է կանչվել տեղական և հեռակա կարգով՝ թույլ տալով կամայական կոդի գործարկում:
Ամենահետաքրքիրն այն է, որ սխալը շտկվել է դեռ 2013 թվականի մայիսին, կարկատել է ներկայացվել glibc 2.17-ի և 2.18-ի թողարկումների միջև, սակայն խնդիրը չի դասակարգվել որպես անվտանգության պատչ, ուստի ուշադրություն չի դարձվել դրան։ Արդյունքում շատ բաշխումներ խոցելի են դարձել։ Ի սկզբանե հաղորդվում էր, որ առաջին խոցելի տարբերակը 2.2-ն էր՝ թվագրված 2000 թվականի նոյեմբերի 10-ով, սակայն հավանականություն կա, որ այն կհայտնվի մինչև 2.0։ Ի թիվս այլոց, տուժել են RHEL/CentOS 5.x–7.x, Debian 7 և Ubuntu 12.04 LTS բաշխումները: Թեժ շտկումները ներկայումս հասանելի են: Հաքերներն իրենք են առաջարկել կոմունալ ծրագիր, որը բացատրում է խոցելիության էությունը և թույլ է տալիս ստուգել ձեր համակարգը։ Ubuntu 12.04.4 LTS-ում ամեն ինչ լավ է.
$ wget https: //goo.gl/RuunlE $gcc gistfile1. c - o CVE - 2015 - 0235 $. / CVE - 2015 - 0235 ոչ խոցելի |
Համակարգի ստուգում GHOST-ում
Գրեթե անմիջապես թողարկվեց մոդուլ, որը թույլ է տալիս կոդի հեռակառավարումը x86 և x86_64 Linux-ում աշխատող համակարգով: փոստի սերվեր Exim (եթե helo_try_verify_hosts կամ helo_verify_hosts միացված է): Ավելի ուշ հայտնվեցին այլ իրականացումներ, օրինակ՝ WordPress-ում բլոգը ստուգելու Metasploit մոդուլը։
Քիչ անց՝ 2015 թվականին, GNU glibc-ում հայտնաբերվեցին ևս երեք խոցելիություն, որոնք թույլ տվեցին հեռավոր օգտագործողին կատարել DoS հարձակում կամ վերագրանցել հիշողության բջիջները կույտի սահմանից դուրս՝ CVE-2015-1472, CVE-2015-1473, CVE-2015-: 1781 թ.
ՕՀ: Linux (GNU Coreutils)
Մակարդակ:Ցածր
Վեկտոր:Տեղական, Հեռավոր
CVE: CVE-2014-9471
Շահագործել.Ոչ
GNU Coreutils-ը հիմնական *nix փաթեթներից մեկն է, որը ներառում է գրեթե բոլոր հիմնական կոմունալ ծառայությունները (cat, ls, rm, date...): Խնդիրը հայտնաբերվել է ամսաթվով: Parse_datetime ֆունկցիայի վրիպակը թույլ է տալիս առանց հեռավոր հարձակվողի հաշիվհամակարգի վրա, առաջացնել ծառայության մերժում և, հնարավոր է, գործարկել կամայական կոդը հատուկ մշակված ամսաթվի միջոցով՝ օգտագործելով ժամային գոտին: Խոցելիությունն ունի հետևյալ տեսքը.
$ հպեք «-- ամսաթիվ = TZ = «123»345»@1» Սեգմենտացիայի սխալ $ ամսաթիվ - d ‘TZ = «Եվրոպա / Մոսկվա» «00 : 00 + 1 ժամ» Սեգմենտացիայի սխալ $ ամսաթիվ «-- ամսաթիվ = TZ = «123»345»@1» * * * Սխալ՝ «ամսաթվի» մեջ. անվճար ()՝ անվավեր ցուցիչ՝ 0xbfc11414 * * * |
Խոցելիություն GNU Coreutils-ում
Եթե խոցելիություն չկա, մենք կստանանք հաղորդագրություն սխալ ամսաթվի ձևաչափի մասին: Գրեթե բոլոր Linux բաշխման մշակողները հայտնել են խոցելիության առկայության մասին: Թարմացումը ներկայումս հասանելի է:
Կարկատված GNU Coreutils-ի նորմալ ելք ՕՀ: Linux (grep 2.19–2.21)
Մակարդակ:Ցածր
Վեկտոր:Տեղական
CVE: CVE-2015-1345
Շահագործել.Ոչ
Խոցելիությունը հազվադեպ է հայտնաբերվում grep կոմունալում, որն օգտագործվում է տեքստի որոնման համար՝ օգտագործելով օրինաչափություն: Բայց այս օգտակար ծրագիրը հաճախ կոչվում է այլ ծրագրերի կողմից, ներառյալ համակարգայինները, ուստի խոցելիության առկայությունը շատ ավելի խնդրահարույց է, քան թվում է առաջին հայացքից: kwset.c-ում bmexec_trans ֆունկցիայի վրիպակը կարող է հանգեցնել հատկացված բուֆերից դուրս գտնվող տարածքի չնախաստորագրված տվյալների ընթերցմանը կամ հավելվածի խափանմանը: Հաքերը կարող է օգտվել դրանից՝ ստեղծելով տվյալների հատուկ փաթեթ, որը տրամադրվում է հավելվածի մուտքագրմանը՝ օգտագործելով grep -F: Թարմացումները ներկայումս հասանելի են: Չկան շահագործումներ, որոնք օգտագործում են խոցելիությունը կամ մոդուլը Metasploit-ի համար:
Խոցելիություն FREEBSD-ում
ՕՀ: FreeBSD
Մակարդակ:Ցածր
Վեկտոր:Տեղական, Հեռավոր
CVE: CVE-2014-0998, CVE-2014-8612, CVE-2014-8613
Շահագործել. https://www.exploit-db.com/exploits/35938/
2015 թվականի CVE տվյալների բազայում շատ խոցելիություններ չկան, ավելի ճիշտ՝ ընդամենը վեցը։ 2015 թվականի հունվարի վերջին FreeBSD 8.4–10.x-ում հայտնաբերվել են երեք խոցելիություններ Core Exploit Writers Team-ի հետազոտողների կողմից: CVE-2014-0998-ը կապված է VT վահանակի դրայվերի (Newcons) ներդրման հետ, որն ապահովում է բազմաթիվ վիրտուալ տերմինալներ, որոնք միացված են kern.vty=vt պարամետրով /boot/loader.conf-ում:
CVE-2014-8612-ն առաջանում է SCTP արձանագրությունն օգտագործելիս և առաջանում է SCTP հոսքի ID-ի հաստատման կոդի սխալի պատճառով, որն իրականացնում է SCTP վարդակներ (տեղական պորտ 4444): Էությունը sctp_setopt() ֆունկցիայի հիշողությունից դուրս սխալ է (sys/netinet/sctp_userreq.c): Սա թույլ է տալիս տեղային արտոնյալ օգտվողին գրել կամ կարդալ 16 բիթ միջուկի հիշողության տվյալները և մեծացնել իրենց արտոնությունները համակարգում, բացահայտել զգայուն տվյալներ կամ խափանել համակարգը:
CVE-2014-8613-ը թույլ է տալիս գործարկել NULL ցուցիչի հետհղումը, երբ մշակվում է արտաքինից ստացված SCTP փաթեթը, երբ դրված է SCTP_SS_VALUE SCTP վարդակից տարբերակը: Ի տարբերություն նախորդ դեպքերի, CVE-2014-8613-ը կարող է օգտագործվել միջուկի վթարի հեռահար առաջացման համար՝ ուղարկելով հատուկ մշակված փաթեթներ: FreeBSD 10.1-ում դուք կարող եք պաշտպանվել՝ net.inet.sctp.reconfig_enable փոփոխականը դնելով 0-ի, դրանով իսկ անջատելով RE_CONFIG բլոկների մշակումը: Կամ պարզապես արգելել հավելվածները (բրաուզերներ, փոստի հաճախորդներև այլն): Չնայած հրապարակման պահին մշակողները արդեն թողարկել էին թարմացում։
FreeBSD-ի խոցելիության վիճակագրություն Խոցելիություն OPENSL-ում
ՕՀ: OpenSSL
Մակարդակ:Հեռակառավարվող
Վեկտոր:Տեղական
CVE: CVE-2015-1793
Շահագործել.Ոչ
2014-ին Heartbleed-ի կրիտիկական խոցելիությունը հայտնաբերվել է OpenSSL-ում, որը լայնորեն օգտագործվող ծածկագրային փաթեթ է SSL/TLS-ի հետ աշխատելու համար: Դեպքը մի ժամանակ առաջացրեց կոդի որակի զանգվածային քննադատություն, և, մի կողմից, դա հանգեցրեց LibreSSL-ի նման այլընտրանքների առաջացմանը, մյուս կողմից՝ մշակողները վերջապես գործի անցան:
Լավագույն վաճառողներն ըստ խոցելիության Կրիտիկական խոցելիությունը հայտնաբերել են Ադամ Լանգլին Google-ից և Դեյվիդ Բենջամինը BoringSSL-ից: OpenSSL 1.0.1n և 1.0.2b տարբերակներում կատարված փոփոխությունները ստիպեցին OpenSSL-ին փորձել գտնել վկայագրի ստուգման այլընտրանքային շղթա, եթե վստահության շղթա ստեղծելու առաջին փորձը անհաջող էր: Սա թույլ է տալիս շրջանցել վկայագրի ստուգման ընթացակարգը և կազմակերպել հաստատված կապ՝ օգտագործելով կեղծ վկայական, այլ կերպ ասած՝ օգտագործողին հանգիստ հրապուրել կեղծ կայքեր կամ սերվերներ: էլկամ իրականացնել ցանկացած MITM հարձակում, որտեղ օգտագործվում է վկայագիրը:
Այն բանից հետո, երբ հայտնաբերվեց խոցելիությունը, մշակողները հուլիսի 9-ին թողարկեցին 1.0.1p և 1.0.2d թողարկումները, որոնք շտկեցին այս խնդիրը: 0.9.8 կամ 1.0.0 տարբերակները չունեն այս խոցելիությունը:
Linux.Encoder
Աշնան վերջը նշանավորվեց մի շարք գաղտնագրող վիրուսների ի հայտ գալով, առաջինը՝ Linux.Encoder.0, որին հաջորդեցին Linux.Encoder.1 և Linux.Encoder.2 փոփոխությունները, որոնք վարակեցին ավելի քան 2500 կայք։ Ըստ հակավիրուսային ընկերությունների՝ հարձակման են ենթարկվում Linux և FreeBSD սերվերները, որոնց կայքերն աշխատում են տարբեր CMS-ների միջոցով՝ WordPress, Magento CMS, Joomla և այլն: Հաքերները շահագործում են չբացահայտված խոցելիությունը։ Այնուհետև տեղադրվեց shell script (file error.php), որի օգնությամբ կատարվեցին հետագա ցանկացած գործողություն (բրաուզերի միջոցով)։ Մասնավորապես, գործարկվեց Linux կոդավորիչ Trojan-ը:
Encoder, որը որոշել է ՕՀ-ի ճարտարապետությունը և գործարկել փրկագին: Կոդավորիչը գործարկվել է վեբ սերվերի իրավունքներով (Ubuntu - www-data), ինչը բավական է ֆայլերը գաղտնագրելու համար այն գրացուցակում, որտեղ պահվում են CMS ֆայլերը և բաղադրիչները: Կոդավորված ֆայլերը ստանում են նոր ընդլայնում.encrypted:
Փրկագին փորձում է շրջանցել նաև ՕՀ-ի այլ դիրեկտորիաներ, եթե իրավունքները սխալ կազմաձևված են, ապա այն հեշտությամբ կարող է դուրս գալ կայքի սահմաններից: Այնուհետև README_FOR_DECRYPT.txt ֆայլը պահվել է գրացուցակում, որը պարունակում է ֆայլերի վերծանման հրահանգներ և հաքերների պահանջները: Միացված է այս պահինհակավիրուսային ընկերությունները ներկայացրել են կոմունալ ծառայություններ, որոնք թույլ են տալիս վերծանել գրացուցակները: Օրինակ, հավաքածու Bitdefender-ից: Բայց դուք պետք է հիշեք, որ ֆայլերը վերծանելու համար նախատեսված բոլոր կոմունալ ծառայությունները չեն հեռացնում shellcode-ը, և ամեն ինչ կարող է նորից կրկնվել:
Հաշվի առնելով, որ շատ օգտատերեր, ովքեր մշակում կամ փորձարկում են վեբկայքի կառավարումը, հաճախ տեղադրում են վեբ սերվեր տնային համակարգիչ, դուք պետք է անհանգստանաք անվտանգության համար. արգելափակեք մուտքը դրսից, թարմացնեք ծրագրակազմը, փորձեր կատարեք VM-ի վրա: Եվ գաղափարն ինքնին կարող է օգտագործվել ապագայում տնային համակարգերի վրա հարձակվելու համար:
ԵԶՐԱԿԱՑՈՒԹՅՈՒՆ
Բարդ ծրագրակազմ, առանց սխալների, ֆիզիկապես գոյություն չունի, այնպես որ դուք պետք է հաշտվեք այն փաստի հետ, որ խոցելիությունները մշտապես կհայտնաբերվեն: Բայց ոչ բոլորն են կարող իսկապես խնդրահարույց լինել: Եվ դուք կարող եք պաշտպանվել ձեզ՝ ձեռնարկելով պարզ քայլեր՝ հեռացնել չօգտագործված ծրագրակազմը, վերահսկել նոր խոցելիությունները և անպայման տեղադրել անվտանգության թարմացումներ, կարգավորել firewall-ը, տեղադրել հակավիրուս: Եվ մի մոռացեք SELinux-ի նման հատուկ տեխնոլոգիաների մասին, որոնք բավականին ունակ են վտանգի ենթարկել դեյմոնը կամ օգտագործողի հավելվածը:
Վարչական գործիքների տեղադրում և կարգավորում, ցանցի կոնֆիգուրացիա
Հիմնականը տեղադրելուց հետո օպերացիոն համակարգ ubuntu14.04 նվազագույն բաշխումից, առաջին բանը, որ դուք պետք է անհանգստանաք, այն է, թե ինչպես կառավարել այն հարմարավետ: Հիմնականում ssh/telnet-ը օգտագործվում է *nix-ի վրա հիմնված սերվերները կարգավորելու և կառավարելու համար, բայց վերջերսԱյդ նպատակով հայտնվել են նաև վեբ ինտերֆեյսների վրա հիմնված բավականին հարմար գործիքներ։ ես օգտագործում եմ անվճար լուծումներ WebminԵվ Աջենտի. Այս երկու վահանակներն էլ արժանի են ուշադրության, և չնայած այն հանգամանքին, որ նրանք կարող են ամեն ինչ անել առանձին, նրանցից յուրաքանչյուրն ավելի հարմար է որոշ բաների համար, ուստի ավելի լավ է ունենալ երկուսն էլ: Պետք է նշեմ, որ մարտական արտադրության սերվերների վրա նման լուծումներ չեն տեղադրվում անվտանգության նկատառումներից ելնելով։ Այնուամենայնիվ, որքան շատ են վերահսկման համակարգերը, այնքան ավելի հավանական էնրանց մեջ խոցելիություն գտնել: Հետևաբար, եթե ձեր անվտանգության պահանջները գտնվում են «պարանոիդային» մակարդակի վրա, ապա պարզապես ընդունեք այն փաստը, որ դուք ստիպված կլինեք աշխատել սերվերի հետ միայն ssh-ի միջոցով (վահանակի միջոցով):
Ցանցի ստեղծում ubuntu 14.04-ում
Ցանցով մեր սերվերի հետ շփվելու համար նախ անհրաժեշտ է այն կարգավորել: Լռելյայնորեն, տեղադրման ժամանակ ցանցը կազմաձևվել է ավտոմատ կերպով, և եթե տեղադրողը ցանցում հայտնաբերել է DHCP սերվեր, ապա, ամենայն հավանականությամբ, այն արդեն կարգավորել է ամեն ինչ, ըստ անհրաժեշտության: Եթե ցանցում չկա DHCP սերվեր, ապա տեղադրողը դեռ ամեն ինչ կարգավորել է երթուղիչի հարցումների հիման վրա, որին միացված է ցանցային քարտը: Որպեսզի տեսնեք, թե ինչպես է ցանցը ներկայումս կազմաձևված, պարզապես մուտքագրեք տերմինալում.
Ինչ ենք մենք տեսնում այստեղ.
Մենք ունենք երկու ցանցային ինտերֆեյս eth0 և lo, որտեղ lo-ն «loopback ինտերֆեյսն» է, իսկ eth0-ը մեր ցանցային քարտի անունն է, և եթե lo-ն անփոփոխ ցանցային ինտերֆեյս է, ապա բոլոր մյուս ինտերֆեյսները կարող են տարբերվել անունով: Եթե ներս համակարգի միավորտեղադրված են երկու ցանցային քարտեր, որոնց միջերեսները, ամենայն հավանականությամբ, նման կլինեն eth0-ին և eth1-ին և այլն: Ինտերֆեյսի անվան տեսքը կախված է տեսակից ցանցային քարտ, այսպես, օրինակ, եթե ցանցային քարտը աշխատում է WiFi արձանագրության միջոցով, ապա, ամենայն հավանականությամբ, դրա անունը կլինի wlan0:
Ցանցը կարգավորելու համար եկեք խմբագրենք հետևյալ ֆայլը.
sudo nano /etc/ցանց/ինտերֆեյս
Եկեք այն բերենք այս ձևի.
iface eth0 inet ստատիկ
հասցե 192.168.0.184
ցանցային դիմակ 255.255.255.0
դարպաս 192.168.0.1
ավտոմատ eth0
dns-nameservers 8.8.8.8 8.8.4.4
Որտեղ: iface eth0 inet ստատիկ— ցույց է տալիս, որ ինտերֆեյսը (iface eth0) գտնվում է IPv4 (inet) հասցեների տիրույթում՝ ստատիկ ip (ստատիկ);
հասցե 192.168.0.184— ցույց է տալիս, որ մեր ցանցային քարտի IP հասցեն է 192.168.0.184;
ցանցային դիմակ 255.255.255.0— ցույց է տալիս, որ մեր ենթացանցի դիմակը (netmask) 255.255.255.0 է;
դարպաս 192.168.0.1— լռելյայն դարպասի հասցե 192.168.0.254;
ավտոմատ eth0— ցույց է տալիս համակարգին, որ eth0 ինտերֆեյսը պետք է ավտոմատ կերպով միացվի, երբ համակարգը բեռնվում է վերը նշված պարամետրերով:
eth0— կապակցվող ինտերֆեյսի անվանումը: Ինտերֆեյսերի ցանկը կարելի է դիտել՝ մուտքագրելով ifconfig
dns-nameservers— DNS սերվերները գրված են՝ բաժանված բացատով:
Ինչպես տեսնում եք իմ դեպքում, ես որոշեցի տեղադրել ստատիկ ip 192.168.0.184
վերագործարկեք սերվերը հրամանով
Մենք մեր սերվերը ping ենք անում ցանցից և համոզվում, որ այն տեսանելի է: Այժմ ժամանակն է կապ հաստատել դրա հետ SSH-ի միջոցով, մենք իրականում կտեղադրենք ssh սերվերը.
sudo apt-get install ssh
Այժմ դուք կարող եք միանալ մեր սերվերին ssh-ի միջոցով putty ծրագրի միջոցով, օրինակ, այժմ կարող եք հրամաններ մուտքագրել ոչ թե ձեռքով, այլ պատճենելով և տեղադրելով մեզ անհրաժեշտ տողերը: ssh հաճախորդ, քանի որ ապագայում դա զարմանալիորեն կհեշտացնի կարգավորումը, քանի որ շուտով ինքներդ կտեսնեք.
ԲՈԼՈՐ ՀՐԱՄԱՆՆԵՐԸ ԱՅՍ ՏՈՂԻՑ ՆԵՐՔԵՎ ՄՏՎՎՈՒՄ ԵՆ ՈՐՊԵՍ ԳԵՐՕԳՏԱԳՈՐԾՈՂ, իսկ գերօգտագործողի ռեժիմ մտնելու համար անհրաժեշտ է մուտքագրել.
Վեբմինի տեղադրում
echo «deb https://download.webmin.com/download/repository sarge contrib» >> /etc/apt/sources.list echo «deb https://webmin.mirror.somersettechsolutions.co.uk/repository sarge contrib» >> /etc/apt/sources.list wget https://www.webmin.com/jcameron-key.asc apt-key ավելացնել jcameron-key.asc apt-get թարմացում apt-get install -y webmin
արձագանք «deb https://download.webmin.com/download/repository sarge contrib»>> արձագանք «deb https://webmin.mirror.somersettechsolutions.co.uk/repository sarge contrib»>> /etc/apt/sources. ցուցակը wget https: //www.webmin.com/jcameron-key.asc apt - key ավելացնել jcameron - key . վեր apt - ստանալ թարմացում apt - ստանալ տեղադրել - y webmin |
Բոլորը! 6 հաջորդաբար մուտքագրված հրամաններ և վեբմինը տեղադրված և կազմաձևված է: Այժմ դուք կարող եք մուտք գործել ձեր դիտարկիչ հետևյալ հասցեով.
https://192.168.0.184:10000
Լռելյայնորեն վեբմինը մինիմալիստական տեսք ունի, լռելյայն ինտերֆեյսը ցուցադրվում է Անգլերեն, բայց ամեն ինչ հարմարեցված է:
Մենք դա անում ենք այսպես.
Ստացվում է այսպես.
