LibCat » Книги » Компьютеры и интернет » ОС и Сети » Михаил Флёнов - Linux глазами хакера

Михаил Флёнов - Linux глазами хакера

Здесь есть возможность читать онлайн «Михаил Флёнов - Linux глазами хакера» — ознакомительный отрывок электронной книги совершенно бесплатно, а после прочтения отрывка купить полную версию. В некоторых случаях можно слушать аудио, скачать через торрент в формате fb2 и присутствует краткое содержание. Город: Санкт-Петербург, Год выпуска: 2005, ISBN: 2005, Издательство: БХВ-Петербург, Жанр: ОС и Сети, на русском языке. Описание произведения, (предисловие) а так же отзывы посетителей доступны на портале библиотеки ЛибКат.

Читать книгу

Название:
Linux глазами хакера
Автор:
Михаил Евгеньевич Флёнов
Издательство:
БХВ-Петербург
Жанр:
ОС и Сети / на русском языке
Год:
2005
Город:
Санкт-Петербург
ISBN:
5-94157-635-8
Рейтинг книги:
4.5 / 5. Голосов: 2
Избранное:

Добавить в избранное
Отзывы:
Написать комментарий
Ваша оценка:
- 100
- 1
- 2
- 3
- 4
- 5

Linux глазами хакера: краткое содержание, описание и аннотация

Предлагаем к чтению аннотацию, описание, краткое содержание или предисловие (зависит от того, что написал сам автор книги «Linux глазами хакера»). Если вы не нашли необходимую информацию о книге — напишите в комментариях, мы постараемся отыскать её.

Рассмотрены вопросы настройки ОС Linux на максимальную производительность и безопасность. Описаны потенциальные уязвимости и рекомендации по предотвращению возможных атак. Дается подробное описание настройки прав доступа и конфигурирования сетевого экрана. Показано, как действовать при атаке или взломе системы, чтобы максимально быстро восстановить ее работоспособность и предотвратить потерю данных.
Для пользователей, администраторов и специалистов по безопасности

Linux глазами хакера — читать онлайн ознакомительный отрывок

Ниже представлен текст книги, разбитый по страницам. Система сохранения места последней прочитанной страницы, позволяет с удобством читать онлайн бесплатно книгу «Linux глазами хакера», без необходимости каждый раз заново искать на чём Вы остановились. Поставьте закладку, и сможете в любой момент перейти на страницу, на которой закончили чтение.

Тёмная тема

Шрифт:

↓

↑

Сбросить

Интервал:

↓

↑

Закладка:

Сделать

Листинг 12.1. Результат выполнения команды lastlog

Username Port From Latest

root ftpd2022 192.168.77.10 Mon Feb 21 12:05:06 +0300 2005

bin **Never logged in**

daemon **Never logged in**

adm **Never logged in**

lp **Never logged in**

sync **Never logged in**

shutdown **Never logged in**

halt **Never logged in**

mail **Never logged in**

news **Never logged in**

uucp **Never logged in**

operator **Never logged in**

games **Never logged in**

gopher **Never logged in**

ftp **Never logged in**

nobody **Never logged in**

vcsa **Never logged in**

mailnull **Never logged in**

rpm **Never logged in**

xfs **Never logged in**

apache **Never logged in**

ntp **Never logged in**

rpc **Never logged in**

gdm **Never logged in**

rpcuser **Never logged in**

nscd **Never logged in**

ident **Never logged in**

radvd **Never logged in**

squid **Never logged in**

mysql **Never logged in**

flenov ftpd2022 192.168.77.10 Mon Feb 21 12:05:06 +0300 2005

named **Never logged in**

robert tty1 Mon Feb 21 12:10:47 +0300 2005

Список состоит из четырех колонок:

□ имя пользователя из файла /etc/passwd;

□ порт или терминал, на который происходило подключение;

□ адрес компьютера, если вход был по сети;

□ время входа.

С помощью lastlogудобно контролировать системные записи. У них дата последнего входа должна быть **Never logged in**, потому что под ними нельзя войти в систему (в качестве командной оболочки установлены /bin/false, /dev/null, /sbin/nologinи др.). Если вы заметили, что кто-либо проник в систему через одну из этих учетных записей, то это значит, что хакер использует ее, изменив настройки.

Простая замена командной оболочки в файле /etc/passwdможет открыть хакеру потайную дверь, и администратор не заметит этой трансформации. Но после выполнения команды lastlogвсе неявное становится явным.

Обращайте внимание на тип подключения и адрес. Если что-то вызывает подозрение, то можно выявить атаку на этапе ее созревания.

lsof

С помощью этой команды можно определить, какие файлы и какими пользователями открыты в данный момент. Результат выполнения директивы приведен в листинге 12.2.

Листинг 12.2. Результат выполнения команды lsof

COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME

init 1 root cwd DIR 3,2 4096 2 /

init 1 root rtd DIR 3,2 4096 2 /

init 1 root txt REG 3,2 26920 635256 /sbin/init

init 1 root mem REG 3,2 89547 553656 /lib/ld-2.2.5.so

init 1 root 10u FIFO 3,2 195499 /dev/initctl

keventd 2 root cwd DIR 3,2 4096 2 /

keventd 2 root rtd DIR 3,2 4096 2 /

kapmd 3 root 10u FIFO 3,2 195499 /dev/initctl

Это далеко не полный результат. Даже если в данный момент вы один работаете с системой, количество открытых файлов может исчисляться парой десятков, и число их заметно растет, если в системе несколько пользователей, ведь один файл может открываться несколько раз каждым из них. Это касается в основном системных конфигурационных файлов.

12.5.2. Системные текстовые журналы

Представленные в этом разделе журналы — это текстовые файлы. Их можно без проблем просматривать такими командами, как cat, или любыми текстовыми редакторами.

В файле /var/log/messagesнаходится основная информация о заходах пользователей, о неверных авторизациях, остановках и запусках сервисов и многое другое. В один документ все подобные события поместиться не могут, иначе он будет нечитаемым, поэтому в папке /var/log/могут находиться файлы с именами messages.X, где X — это число.

Этот журнал один из самых главных для любого админа. Если взломщик пытается подобрать пароль, то вы сможете заметить быстрый рост этого файлам появление большого количества записей о неверной авторизации. На рис. 12.1 показан пример содержимого файла.

Рис. 12.1. Снимок экрана с открытым файлом /var/log/messages

Следующий журнал расположен в файле /var/log/secure. Что в нем такого особенного? Это самый основной журнал, который нужно проверять максимально часто, и каждой записи следует уделять особое внимание. В этом файле отображается, под каким именем и с какого адреса пользователь вошел в систему. Например, на сервис FTP может подключаться главный бухгалтер. Если вы увидели, что он пользуется сервисом, но при этом журнал показывает чужой IP-адрес, то это может стать поводом для беспокойства.

В этом же файле отображается информация а внесении изменений в список пользователей или групп. Злоумышленники очень редко используют запись root для своих злобных целей и заводят какую-нибудь более незаметную, с нулевым идентификатором. Если это сделано не руками, а с помощью команды Linux, то вы в журнале /var/log/secureувидите подозрительные изменения.