Най-четени
1. zahariada
2. radostinalassa
3. varg1
4. leonleonovpom2
5. mt46
6. wonder
7. kvg55
8. planinitenabulgaria
9. sparotok
10. hadjito
11. zaw12929
12. getmans1
13. stela50
14. bosia
2. radostinalassa
3. varg1
4. leonleonovpom2
5. mt46
6. wonder
7. kvg55
8. planinitenabulgaria
9. sparotok
10. hadjito
11. zaw12929
12. getmans1
13. stela50
14. bosia
Най-популярни
1. shtaparov
2. katan
3. wonder
4. leonleonovpom2
5. mt46
6. bojil
7. dobrota
8. vidima
9. ambroziia
10. donkatoneva
2. katan
3. wonder
4. leonleonovpom2
5. mt46
6. bojil
7. dobrota
8. vidima
9. ambroziia
10. donkatoneva
Най-активни
1. sarang
2. vesonai
3. radostinalassa
4. lamb
5. hadjito
6. samvoin
7. manoelia
8. mimogarcia
9. bateico
10. iw69
2. vesonai
3. radostinalassa
4. lamb
5. hadjito
6. samvoin
7. manoelia
8. mimogarcia
9. bateico
10. iw69
Постинг
08.08.2007 20:31 -
Укрепете своята GNU/Linux система
Ако сте недоволни от това,как вашата дистрибуция се настройва автоматично (от гледна точка на безопасността),то обърнете внимание на някои добре отъпкани пътеки,водещи до увеличаване на защитеността и.Това се постига за сметка на изключването на излишните потребители и услуги.Докъде може да стигнете ще определите от това,доколко е важна безопасността за вашата система.Средностатистическият сървър Apache не се нуждае от защита от ядрен удар,но ще бъде полезно да се предприемат някои мерки.Докато компютър,обработващ платежни ведомости трябва да е практически "невидим".Най-важната част от укрепването на нашата система е оценка на риска и изработване на план за действия,които ще намалят този риск до минимум.
Много дистрибутиви подготвят пакетите,включени в тях,към целева аудитория.Те се ръководят от принципа "по-добре по малко,но най-доброто".Така например ако ви трябва сървър,се набляга на безопасността на web-приложенията,докато ако си правите пощенски сървър,обект за грижи става Sendmail.Но най-уязвимо е вероятно самото Linux ядро.
Несъмнено,някои хора имат нужда от постоянно работещ пощенски сървър или Apache на домашната си машина,докато повечето нямат и идея какво значат тези думи.Определено първите трябва да положат много повече усилия за защита на системата си и да вложат доста знания и грижи.Но освен ,че всичко в Linux може да се направи чрез писане по конфигурационните файлове,има и няколко спестяващи и обучаващи скриптове.
Bastille е написан на Perl скрипт,който "хваща за ръката" системният администратор и го води стъпка по стъпка до всички точки,свързани с безопасността на системата.Той обучава много добре,давайки разяснения какво се крие зад един или друг процес.Помага за изменение правата за достъп до файловете,подканя за смяна на паролите и блокиране на неизползвани услуги.
Bastille може да си свалите от сайта www/bastille-linux.org ,където са достъпни пакети за повечето популярни дистрибуции.За да се изпълни този скрипт,просто наберете командата bastille като root.
Друг популярен инструмент за повишаване защитеността на системата е Nessus.Той се базира на същите принципи,ръководещи хакерите при търсене на дупки в защитата .Той сканира във вашият компютър услугите и известните уязвимостти.Те могат да бъдат както стари версии на Apache,така и зле избрана парола,или отворен порт на вашата защитна стена.
Необходимо е да спомена и SELinux-едно готово решение за обезпечаване на безопасността.Това са серия кръпки за Linux ядрото с поддръжка на някои инструменти,обезпечаващи задължителен контрол на достъпа,изолиращи процеса и неговата област в паметта от другите процеси и потребители.
Но всички наши усилия ще са предварително обречени,ако не се погрижим преди всичко да си осигурим непробиваеми пароли.От една страна е добре да е лесно помнеща се и удобна за нас,но пък натрапника не бива да бъде улесняван максимално.Например,ако си изберете паролата за администраторските права от сорта 1234,това е все едно отваряте вратите широко.Също така не е добра идея паролата да представлява често използвана дума,или име на роднина.Добре е да се използват смесено цифри и букви и поне дължината да е над 6 символа.А за да разберем дали ще затрудним хакера,може да направим проверка на трудността на паролата чрез John The Ripper.Това е инструмент,който ще опита да разбие паролата ви.Ясно е ,че ако той успее за 1-2 секунди,ще трябва да си измислите друга парола.
За да изтеглите изходният код и да компилирате Ripper,изпълнете в конзолата:
wget ‘http://www.openwall.com/john/c/john-
1.6.tar.gz
tar xvzf john-1.6.tar.gz
cd john-1.6/src
makelinux-x86-any-elf
Двоичният файл се намира в папката run и се стартира с командата John ,като трябва да се укаже мястото на файла с пароли shadow.Очевидно,това трябва да се направи с привилегиите на root
./john /etc/shadow
JTR ще изведе паролите,които е успял да взломи.Натискайки произволен клавиш може да видите на какъв етап е атаката по речника.Детайлна информация за всяка разбита парола на потребителите се записва във файла john.pot.Това е доста "просвещаваща" програма,пробвайте я.
Много дистрибутиви подготвят пакетите,включени в тях,към целева аудитория.Те се ръководят от принципа "по-добре по малко,но най-доброто".Така например ако ви трябва сървър,се набляга на безопасността на web-приложенията,докато ако си правите пощенски сървър,обект за грижи става Sendmail.Но най-уязвимо е вероятно самото Linux ядро.
Несъмнено,някои хора имат нужда от постоянно работещ пощенски сървър или Apache на домашната си машина,докато повечето нямат и идея какво значат тези думи.Определено първите трябва да положат много повече усилия за защита на системата си и да вложат доста знания и грижи.Но освен ,че всичко в Linux може да се направи чрез писане по конфигурационните файлове,има и няколко спестяващи и обучаващи скриптове.
Bastille е написан на Perl скрипт,който "хваща за ръката" системният администратор и го води стъпка по стъпка до всички точки,свързани с безопасността на системата.Той обучава много добре,давайки разяснения какво се крие зад един или друг процес.Помага за изменение правата за достъп до файловете,подканя за смяна на паролите и блокиране на неизползвани услуги.
Bastille може да си свалите от сайта www/bastille-linux.org ,където са достъпни пакети за повечето популярни дистрибуции.За да се изпълни този скрипт,просто наберете командата bastille като root.
Друг популярен инструмент за повишаване защитеността на системата е Nessus.Той се базира на същите принципи,ръководещи хакерите при търсене на дупки в защитата .Той сканира във вашият компютър услугите и известните уязвимостти.Те могат да бъдат както стари версии на Apache,така и зле избрана парола,или отворен порт на вашата защитна стена.
Необходимо е да спомена и SELinux-едно готово решение за обезпечаване на безопасността.Това са серия кръпки за Linux ядрото с поддръжка на някои инструменти,обезпечаващи задължителен контрол на достъпа,изолиращи процеса и неговата област в паметта от другите процеси и потребители.
Но всички наши усилия ще са предварително обречени,ако не се погрижим преди всичко да си осигурим непробиваеми пароли.От една страна е добре да е лесно помнеща се и удобна за нас,но пък натрапника не бива да бъде улесняван максимално.Например,ако си изберете паролата за администраторските права от сорта 1234,това е все едно отваряте вратите широко.Също така не е добра идея паролата да представлява често използвана дума,или име на роднина.Добре е да се използват смесено цифри и букви и поне дължината да е над 6 символа.А за да разберем дали ще затрудним хакера,може да направим проверка на трудността на паролата чрез John The Ripper.Това е инструмент,който ще опита да разбие паролата ви.Ясно е ,че ако той успее за 1-2 секунди,ще трябва да си измислите друга парола.
За да изтеглите изходният код и да компилирате Ripper,изпълнете в конзолата:
wget ‘http://www.openwall.com/john/c/john-
1.6.tar.gz
tar xvzf john-1.6.tar.gz
cd john-1.6/src
makelinux-x86-any-elf
Двоичният файл се намира в папката run и се стартира с командата John ,като трябва да се укаже мястото на файла с пароли shadow.Очевидно,това трябва да се направи с привилегиите на root
./john /etc/shadow
JTR ще изведе паролите,които е успял да взломи.Натискайки произволен клавиш може да видите на какъв етап е атаката по речника.Детайлна информация за всяка разбита парола на потребителите се записва във файла john.pot.Това е доста "просвещаваща" програма,пробвайте я.
Следващ постинг
Предишен постинг
Няма коментари
Вашето мнение
За да оставите коментар, моля влезте с вашето потребителско име и парола.
Търсене
За този блог
Гласове: 169
Блогрол