LibCat » Книги » Компьютеры и интернет » ОС и Сети » Михаил Флёнов - Linux глазами хакера

Михаил Флёнов - Linux глазами хакера

Здесь есть возможность читать онлайн «Михаил Флёнов - Linux глазами хакера» — ознакомительный отрывок электронной книги совершенно бесплатно, а после прочтения отрывка купить полную версию. В некоторых случаях можно слушать аудио, скачать через торрент в формате fb2 и присутствует краткое содержание. Город: Санкт-Петербург, Год выпуска: 2005, ISBN: 2005, Издательство: БХВ-Петербург, Жанр: ОС и Сети, на русском языке. Описание произведения, (предисловие) а так же отзывы посетителей доступны на портале библиотеки ЛибКат.

Читать книгу

Название:
Linux глазами хакера
Автор:
Михаил Евгеньевич Флёнов
Издательство:
БХВ-Петербург
Жанр:
ОС и Сети / на русском языке
Год:
2005
Город:
Санкт-Петербург
ISBN:
5-94157-635-8
Рейтинг книги:
4.5 / 5. Голосов: 2
Избранное:

Добавить в избранное
Отзывы:
Написать комментарий
Ваша оценка:
- 100
- 1
- 2
- 3
- 4
- 5

Linux глазами хакера: краткое содержание, описание и аннотация

Предлагаем к чтению аннотацию, описание, краткое содержание или предисловие (зависит от того, что написал сам автор книги «Linux глазами хакера»). Если вы не нашли необходимую информацию о книге — напишите в комментариях, мы постараемся отыскать её.

Рассмотрены вопросы настройки ОС Linux на максимальную производительность и безопасность. Описаны потенциальные уязвимости и рекомендации по предотвращению возможных атак. Дается подробное описание настройки прав доступа и конфигурирования сетевого экрана. Показано, как действовать при атаке или взломе системы, чтобы максимально быстро восстановить ее работоспособность и предотвратить потерю данных.
Для пользователей, администраторов и специалистов по безопасности

Linux глазами хакера — читать онлайн ознакомительный отрывок

Ниже представлен текст книги, разбитый по страницам. Система сохранения места последней прочитанной страницы, позволяет с удобством читать онлайн бесплатно книгу «Linux глазами хакера», без необходимости каждый раз заново искать на чём Вы остановились. Поставьте закладку, и сможете в любой момент перейти на страницу, на которой закончили чтение.

Тёмная тема

Шрифт:

↓

↑

Сбросить

Интервал:

↓

↑

Закладка:

Сделать

ls -al /var/log

Результат работы команды:

drwxr-xr-x 9 root root 4096 Jan 12 13:18 .

drwxr-xr-x 21 root root 4096 Jan 24 23:00 ..

drwx------ 2 root root 4096 Jan 12 11:14 bc1security

-rw-r----- 1 root root 83307 Jan 12 13:18 boot.log

-rw-r----- 1 root root 89697 Jan 6 09:01 boot.log.1

-rw-r----- 1 root root 48922 Jan 30 11:45 boot.log.2

-rw-r----- 1 root root 64540 Jan 23 19:55 boot.log.3

-rw-r----- 1 root root 36769 Jan 16 12:36 boot.log.4

-rw-r----- 1 root root 8453 Jan 12 13:18 cron

-rw-r----- 1 root root 8507 Jan 6 09:06 cron.1

-rw-r----- 1 root root 7189 Jan 30 11:50 cron.2

-rw-r----- 1 root root 6935 Jan 23 20:01 cron.3

-rw-r----- 1 root root 4176 Jan 16 12:41 cron.4

...

Владельцем всех файлов должен быть администратор root. Убедитесь также, что только он имеет полные права, а всем остальным не позволено работать с журналами.

По умолчанию для большинства файлов правом чтения обладает владелец и пользователи его группы, в качестве которой, чаще всего, можно увидеть root. Если в вашей системе в эту группу входит только администратор, то можно оставить все, как есть. Но если в нее входит несколько пользователей, что я абсолютно не приветствую, то необходимо сформировать специальную группу с минимальными правами и назначить ее для всех журналов.

Следующие команды создают новую группу loggroupи устанавливают ее для всех log-файлов:

groupadd logsgroup

cd /var/log

chgrp -R logsgroup

В директории /var/logправом чтения и записи в журналы должен обладать исключительно администратор. Пользователям группы следует разрешить только чтение, а остальным — запретить абсолютно все. Для того чтобы всем файлам установить эти права, выполните следующие команды:

cd /var/log

find . -type f | xargs chmod 640

Вторая строка состоит из двух директив. Команда find . -type fищет в текущем каталоге все объекты, у которых тип равен f, т.е. все файлы. Вторая ( xargs chmod 640)— изменяет у всех найденных объектов права доступа на 640. Можно даже понизить это значение до 600, чтобы читать и писать мог только администратор.

Помимо этого, на директорию /var/logу пользователей не должно быть права на запись, потому что это позволит злоумышленнику удалять файлы. Если хакер не сможет изменить журнал, то попытается его уничтожить. Да, вы поймете, что в системе кто-то был, но не определите, как произошло вторжение и не сможете найти взломщика.

Помните, что, прочитав журнал, хакер может получить шанс повысить свои права, если там случайно окажется конфиденциальная информация. Но если журналы станут доступными на запись, то взломщик сможет замести следы, удалив все строки относительно своей активности.

Но и этого недостаточно для обеспечения максимальной защиты. Если посмотреть на суть журналов, то станет очевидным, что в них ОС только добавляет новые записи. Таким образом, можно поставить дополнительную защиту от удаления и изменения с помощью ключей. В файловых системах Ext2 и Ext3 есть команда chattr, с помощью которой можно устанавливать дополнительные атрибуты на файлы. Один из них (ключ +a) позволяет задать условие, при котором файл можно только пополнять. Например, следующая команда устанавливает для файла /var/log/boot.logтакой атрибут:

chattr +а /var/log/boot.log

Попробуйте теперь изменить или удалить файл. У вас ничего не выйдет. Единственный недостаток этого ключа — у вас тоже не будет возможности чистить файл. А ведь журнал постоянно растет, и нет смысла хранить записи о событиях, которые произошли месяц, а то и год назад. Перед стиранием устаревшей информации из журнала необходимо снять атрибут:

chattr -a /var/log/boot.log

Только не забудьте потом вернуть его на родину, чтобы файл снова стал доступным только для добавления записей.

Помимо журналов необходимо защищать и программы, установленные для их анализа. Бесполезно стоять на страже файлов, если их можно просмотреть через утилиты. Для этого у всех программ, позволяющих читать журналы, не должно быть установленного SUID- или SGID-бита.

12.8. Безопасность сети

Обеспечение безопасности одного только сервера неэффективно. Необходимо контролировать работоспособность всей сети. Как минимум, вы должны следить за всеми каналами связи.

Самый простой способ — использование утилиты nmap. Она позволяет выполнять команду pingсразу на всю сеть, и по ответам можно узнать, что в данный момент доступно. Если какой-то компьютер не ответил, то необходимо выяснить причину. Возможно, это просто потеря питания или незапланированная перезагрузка. Но если это проделки хакера, то вы должны знать об этом первыми.