LibCat » Книги » Компьютеры и интернет » ОС и Сети » Михаил Флёнов - Linux глазами хакера

Михаил Флёнов - Linux глазами хакера

Здесь есть возможность читать онлайн «Михаил Флёнов - Linux глазами хакера» — ознакомительный отрывок электронной книги совершенно бесплатно, а после прочтения отрывка купить полную версию. В некоторых случаях можно слушать аудио, скачать через торрент в формате fb2 и присутствует краткое содержание. Город: Санкт-Петербург, Год выпуска: 2005, ISBN: 2005, Издательство: БХВ-Петербург, Жанр: ОС и Сети, на русском языке. Описание произведения, (предисловие) а так же отзывы посетителей доступны на портале библиотеки ЛибКат.

Читать книгу

Название:
Linux глазами хакера
Автор:
Михаил Евгеньевич Флёнов
Издательство:
БХВ-Петербург
Жанр:
ОС и Сети / на русском языке
Год:
2005
Город:
Санкт-Петербург
ISBN:
5-94157-635-8
Рейтинг книги:
4.5 / 5. Голосов: 2
Избранное:

Добавить в избранное
Отзывы:
Написать комментарий
Ваша оценка:
- 100
- 1
- 2
- 3
- 4
- 5

Linux глазами хакера: краткое содержание, описание и аннотация

Предлагаем к чтению аннотацию, описание, краткое содержание или предисловие (зависит от того, что написал сам автор книги «Linux глазами хакера»). Если вы не нашли необходимую информацию о книге — напишите в комментариях, мы постараемся отыскать её.

Рассмотрены вопросы настройки ОС Linux на максимальную производительность и безопасность. Описаны потенциальные уязвимости и рекомендации по предотвращению возможных атак. Дается подробное описание настройки прав доступа и конфигурирования сетевого экрана. Показано, как действовать при атаке или взломе системы, чтобы максимально быстро восстановить ее работоспособность и предотвратить потерю данных.
Для пользователей, администраторов и специалистов по безопасности

Linux глазами хакера — читать онлайн ознакомительный отрывок

Ниже представлен текст книги, разбитый по страницам. Система сохранения места последней прочитанной страницы, позволяет с удобством читать онлайн бесплатно книгу «Linux глазами хакера», без необходимости каждый раз заново искать на чём Вы остановились. Поставьте закладку, и сможете в любой момент перейти на страницу, на которой закончили чтение.

Тёмная тема

Шрифт:

↓

↑

Сбросить

Интервал:

↓

↑

Закладка:

Сделать

cat /proc/sys/net/ipv4/tcp_ecn

В результате на экране вы должны увидеть 0 или 1. Это и есть значение параметра.

Но корректировать файл вручную нет смысла. Для изменения лучше использовать команду:

sysctl -w имя_параметра = значение

С помощью этой же команды можно просматривать значение параметров ядра:

sysctl имя_параметра

Например, следующая директива отобразит значение параметра

net.ipv4.tcp_ecn:

sysctl net.ipv4.tcp_ecn

В результате вы увидите то же значение, что и при просмотре файла /proc/sys/net/ipv4/tcp_ecnнапрямую. Большинство параметров имеют логический тип, т.е. могут быть равны 0 (отключено) или 1 (включено).

Рассмотрим параметры, которые нужно изменить, а если их нет в файле, то добавить:

□ net.ipv4.icmp_echo_ignore_broadcasts— игнорировать широковещательные эхо-ICMP-пакеты (параметр включен);

□ net.ipv4.icmp_echo_ignore_all— запретить эхо-ICMP-пакеты (значение 1). Используйте этот параметр, если не хотите связываться с сетевым экраном. Запрет эхо-пакетов уменьшит трафик, хотя и незначительно, и при этом делает неэффективными любые атаки с помощью ping;

□ net.ipv4.conf.*.accept_redirects— разрешить принимать перенаправления маршрутизатора. В разд. 4.5.3 мы говорили о том. что это небезопасно и может позволить хакеру обмануть маршрутизатор и прослушать трафик атакуемой машины;

Вместо символа звездочка может быть любое имя директории. Дело в том, что в каталоге net.ipv4.conf находится несколько подкаталогов — по одному для каждого сетевого интерфейса. В вашей системе должно быть как минимум 4 директории со следующим распределением содержащейся в них информации:

• all — конфигурационные файлы, которые влияют на все интерфейсы;

• default — значения по умолчанию;

• eth0 — конфигурационные файлы первой сетевой карты;

• lo — конфигурационные файлы петлевого интерфейса loopback.

Звездочка указывает на то, что параметр должен быть назначен всем интерфейсам. В большинстве случаев достаточно заменить "*" на имя директории all, но иногда приходится подставлять все существующие директории;

□ net.ipv4.conf.*.secure_redirects— позволить принимать сообщения от шлюза по умолчанию о перенаправлении маршрутизатора. Параметр может быть включен, только если в вашей сети действительно более одного маршрутизатора, иначе лучше запретить;

□ net.ipv4.conf.*.send_redirects— разрешить компьютеру, если он является маршрутизатором, отправлять сообщения о перенаправлении пакетов. Если в сети несколько маршрутизаторов, то параметр можно включить, чтобы распределить нагрузку между ними и не пытаться пропускать весь трафик через основной шлюз;

□ net.ipv4.conf.*.accept_source_route— позволить принимать пакеты с маршрутизацией от источника. В разд. 14.12.2 мы поговорим об этом, а сейчас необходимо знать, что такие пакеты могут стать причиной обхода вашего сетевого экрана. Запретите этот параметр;

□ net.ip_always_defrag— дефрагментировать все приходящие пакеты. Так уж повелось, что сетевой экран проверяет только первый пакет, а все остальные считает разрешенными. Хакер может обойти сетевой экран, прибегая к разбивке посылки на части ( см. разд. 4.13 ). Если установить этот параметр, то все входящие пакеты будут дефрагментированы, и обход сетевого экрана этим методом станет невозможным;

□ net.ipv4.ipfrag_low_thresh— определяет минимальный объем памяти, который выделяет ОС для сборки фрагментированных пакетов. Чем больше это значение, тем меньше будет манипуляций по выделению памяти. По умолчанию используется число 196608. Слишком большое значение отнимет лишнюю память и может привести к эффекту, при котором для обработки данных не хватит ресурсов сервера. Я бы оставил это значение по умолчанию;

□ net.ipv4.ipfrag_high_thresh— определяет максимальное количество памяти (по умолчанию 262144), выделяемое для сборки фрагментированных пакетов. Если значение превышено, то ОС начинает отбрасывать пакеты. Таким образом, хакер может закидать сервер большим количеством мусорных сообщений, и тот больше не будет выполнять дефрагментацию;

□ net.ipv4.ipfrag_time— определяет время хранения фрагментированных пакетов в кэше. По умолчанию используется значение 30 секунд. Это очень много, за это время хакер сможет забросать весь кэш. В случае атаки на систему следует понизить это значение до 20, а то и до 10 секунд;

□ net.ipv4.tcp_syncookies— продолжая тему DoS, я рекомендую включить этот параметр, чтобы защититься от атаки SYN flood, при которой на сервер направляется большое количество пакетов с запросом на соединение. Хакер устанавливает в пакетах ложный обратный адрес, и сервер ожидает соединения от несуществующих или ничего не подозревающих компьютеров. Таким образом, легко превышается максимально допустимое количество подключений.