Hiçbirimiz kişisel bilgilerin yanlış ellere geçmesini istemiyoruz. Ancak sistem saldırılardan ve veri hırsızlığından nasıl korunur? Kurulum ve şifreleme algoritmaları hakkında kilometrelerce uzunluktaki kılavuzları gerçekten okumak zorunda mısınız? Hiç gerekli değil. Bu yazıda size sadece 30 dakikada bir Linux sistemini nasıl güvenli hale getireceğinizi göstereceğim.
Tanıtım
bir çağda yaşıyoruz mobil cihazlar ve kalıcı çevrimiçi. Dizüstü bilgisayarı olan bir kafeye gidiyoruz ve internetteki web sunucularını ev makinelerinde çalıştırıyoruz. Yüzlerce siteye üye oluyoruz ve web servisleri için aynı şifreleri kullanıyoruz. Ceplerimizde her zaman düzinelerce şifreyle dolu ve birkaç SSH sunucusunun anahtarlarını saklayan bir akıllı telefonumuz var. Biz gerçeğine o kadar alışkınız ki üçüncü taraf hizmetleri mahremiyetimize önem veriyorlar, zaten buna dikkat etmeyi bıraktılar.
Akıllı telefonumu kaybettiğimde, üzerinde yüklü olan hırsızlığa karşı korumanın verimli olduğu ve cihazın hafızasındaki tüm verileri uzaktan silmeme izin verdiği için çok şanslıydım. Yanlışlıkla parolasız bir kullanıcıyla ev makinesinde bir SSH bağlantı noktası açtığımda (!) Dış dünya(!!), Komik kabuk geçmişinin dışında, sistemde kaldıklarına dair ciddi bir iz bırakmayan senaryo çocukları makineye girdiği için çok şanslıydım. Yanlışlıkla Gmail şifremle internette bir liste yayınladığımda, beni bu konuda uyaran nazik bir insan olduğu için çok şanslıydım.
Belki oyuluyor olabilirim ama bu tür olayların bu satırları okuyan birçok kişinin başına geldiğine kesinlikle inanıyorum. Ve bu insanlar, benim aksime, arabalarını korumaya ciddi şekilde dikkat etseler iyi olur. Sonuçta, hırsızlık önleme çalışmayabilir ve bir senaryo çocuğu yerine, ciddi insanlar arabaya binebilir ve bir akıllı telefonu değil, kullanıcının şifresi dışında hiçbir şeyin olmadığı bir dizüstü bilgisayarı kaybedebilirdim. diğer koruma. Hayır, bir iki faktöre güvenin Google kimlik doğrulaması ve aptal şifreler çağımızda kesinlikle buna değmez, daha ciddi bir şeye ihtiyaç var.
Bu makale, bir Linux makinesinin her şeyden ve her şeyden tam olarak korunmasına adanmış paranoyak bir unixoid'in kılavuzudur. Burada açıklanan her şeyin kullanım için zorunlu olduğunu söylemeye cesaret edemiyorum. Tam tersine, sizin özel durumunuzda ihtiyaç duyulan sınırlarda kendinizi ve verileri korumak için kullanılabilecek bilgilerden oluşan bir tarif koleksiyonudur.
Şifre!
Her şey şifrelerle başlar. Her yerdeler: Linux dağıtımındaki oturum açma penceresinde, İnternet sitelerindeki kayıt formlarında, FTP ve SSH sunucularında ve bir akıllı telefonun kilit ekranında. Bugün şifreler için standart, sayıların dahil olduğu 8–12 karışık harf karakteridir. için bu tür şifreler oluşturun. kendi aklı oldukça sıkıcı, ancak bunu otomatik olarak yapmanın kolay bir yolu var:
$ openssl rand -base64 6
Harici uygulama yok, web tarayıcı uzantısı yok, OpenSSL herhangi bir makinede mevcut değil. Her ne kadar birisi için daha uygunsa, pwgen'i bu amaçlar için yükleyebilir ve kullanabilir (şifrenin daha dayanıklı olacağını söylüyorlar):
$ pwgen -Bs 8 1
Şifreler nerede saklanır? Bugün, her kullanıcıda o kadar çok var ki, her şeyi kafanızda tutmak imkansız. Tarayıcının otomatik kaydetme sistemine güveniyor musunuz? Yapabilirsiniz, ancak Google veya Mozilla'nın onlara nasıl davranacağını kim bilebilir. Snowden çok iyi olmadığını söyledi. Bu nedenle, parolalar makinenin kendisinde şifrelenmiş bir kapta saklanmalıdır. Kurucu babalar bunun için KeePassX kullanılmasını tavsiye ediyor. Mesele, kurucu babaların kendilerinin pek sevmediği, ancak iyi bilinen Google Probe Android (KeePassDroid) dahil olmak üzere her yerde çalışıyor. Geriye sadece şifreli veritabanını doğru yere aktarmak kalıyor.
şifreliyoruz
Şifreleme - bu kelimede ne kadar ... Bugün, şifreleme aynı anda hem her yerde hem de hiçbir yerde. Sitelerin HTTPS sürümlerini kullanmak zorunda kalıyoruz ama umursamıyoruz. Bize "Ev dizininizi şifreleyin" diyorlar ve biz de "Daha sonra kuracağım" diyoruz. Bize şöyle diyorlar: "Dropbox çalışanlarının en sevdiği eğlence, kullanıcıların kişisel fotoğraflarına gülmek" ve biz: "Gülsünler." Bu arada, şifreleme bugün tek mutlak koruma aracıdır. Ve çok uygun fiyatlı ve kırışıklıkları düzeltiyor.
Linux'ta, sabit disk bölümlerinden tek dosyalara kadar her şey ve her şey için tonlarca şifreleme aracı bulabilirsiniz. En iyi bilinen ve zamanla test edilmiş üç araç dm-crypt/LUKS, ecryptfs ve encfs'dir. Birincisi, tüm diskleri ve bölümleri, ikinci ve üçüncü - önemli bilgiler içeren dizinleri, her dosyayı ayrı ayrı şifreler, bu, artımlı yedeklemeler yapmanız veya Dropbox ile birlikte kullanmanız gerektiğinde çok uygundur. Örneğin TrueCrypt dahil olmak üzere daha az bilinen birkaç araç da vardır.
Hemen tüm diski şifrelemenin zor bir iş ve en önemlisi yararsız olduğuna dair bir rezervasyon yapacağım. Kök dizinde özellikle gizli olan hiçbir şey yoktur ve olamaz, ancak ana dizin ve takas yalnızca bir bilgi deposudur. Dahası, ikincisi birincisinden bile daha büyüktür, çünkü zaten şifresi çözülmüş veriler ve şifreler oraya gidebilir (normal programcılar sistemin bu tür verileri bir takasa atmasını yasaklar, ancak böyle bir azınlık). Her ikisi için de şifrelemeyi ayarlamak çok basittir, sadece ecrypts araçlarını kurun:
$ sudo apt-get install ecryptfs-utils
Ve aslında, şifrelemeyi etkinleştirin:
$ sudo ecryptfs-setup-swap $ ecryptfs-setup-private
Ardından, giriş yapmak için kullanılan şifrenizi girin ve sisteme giriş yapın. Evet, gerçekten bu kadar basit. İlk komut, değiştirilerek takası şifreleyecek ve yeniden bağlayacaktır. istenen çizgiler/etc/fstab'da. İkincisi, sırasıyla şifrelenmiş ve şifresi çözülmüş dosyaları depolayacak olan ~/.Private ve ~/Private dizinlerini oluşturacaktır. Oturum açtığınızda, birinci dizini şeffaf veri şifreleme ile ikinci dizine bağlayacak olan pam_ecryptfs.so PAM modülü tetiklenir. Bağlantıyı kaldırdıktan sonra ~/Private boş olacak ve ~/.Private tüm dosyaları şifrelenmiş biçimde içerecek.
Ana dizinin tamamını bir bütün olarak şifrelemek yasak değildir. Bu durumda performans fazla düşmeyecek, ancak aynı dosyalar dahil tüm dosyalar korunacaktır. ağ dizini~/dropbox. Şu şekilde yapılır:
# ecryptfs-migrate-home -u vasya
Bu arada, vasya'nın sahip olduğundan 2,5 kat daha fazla disk alanı olmalı, bu yüzden önceden temizlemenizi tavsiye ederim. İşlem tamamlandıktan sonra hemen vasya kullanıcısı olarak giriş yapmalı ve çalışıp çalışmadığını kontrol etmelisiniz:
$ binek | grep Private /home/vasya/.Private on /home/vasya type ecryptfs ...
Her şey yolundaysa, verilerin şifrelenmemiş kopyasının üzerine yazılabilir:
$ sudo rm -r /home/vasya.* 
izlerimizi kapatıyoruz
Tamam, şifreler güvenli bir yerde, kişisel dosyalar da, şimdi ne olacak? Ve şimdi kişisel verilerimizin bazı parçalarının yanlış ellere geçmediğinden emin olmamız gerekiyor. Bir dosya silindiğinde, bundan sonra biçimlendirme yapılsa bile, asıl içeriğinin medyada kaldığı hiç kimse için bir sır değil. Şifreli verilerimiz silindikten sonra bile güvende olacak, peki ya flash sürücüler ve diğer hafıza kartları? Bu, yalnızca dosyayı silen değil, aynı zamanda ondan sonra kalan veri bloklarını da çöple dolduran srm yardımcı programının kullanışlı olduğu yerdir:
$ sudo apt-get install güvenli-delete $ srm secret-file.txt home-video.mpg
# dd if=/dev/zero of=/dev/sdb
Bu komut, sdb çubuğundaki tüm verileri siler. Ardından, bir bölüm tablosu (bir bölümlü) oluşturmak ve onu istenen dosya sistemine biçimlendirmek kalır. Bunun için fdisk ve mkfs.vfat kullanılması tavsiye edilir, ancak grafiksel gparted ile de yapabilirsiniz.
BruteForce Saldırılarını Önleme
Fail2ban, ağ hizmetleri için parolaları tahmin etme girişimleri için günlükleri tarayan bir arka plan programıdır. Bu tür girişimler bulunursa, şüpheli IP adresi iptables veya TCP Wrappers tarafından engellenir. Hizmet, ana bilgisayar sahibine e-posta yoluyla olay hakkında bilgi verebilir ve belirli bir süre sonra bloğu sıfırlayabilir. Fail2ban başlangıçta SSH'yi korumak için tasarlandı, bugün sunuyor hazır örnekler Apache için, lighttpd, Postfix, Exim, Cyrus IMAP, adlı vb. Ayrıca, bir Fail2ban işlemi aynı anda birkaç hizmeti koruyabilir.
Ubuntu / Debian'da yüklemek için şunu yazıyoruz:
# apt-get install fail2ban
Yapılandırmalar /etc/fail2ban dizininde bulunur. Yapılandırmayı değiştirdikten sonra, fail2ban'ı şu komutla yeniden başlatın:
# /etc/init.d/fail2ban yeniden başlatma
Dışarıdan gelen tehdit
Şimdi World Wide Web'in derinliklerinden gelen tehditlerle ilgilenelim. OpenBSD çalıştıran özel bir makinede çalışan iptables ve pf hakkında konuşmaya başlamam gereken yer burasıdır, ancak ipkungfu olduğunda bunların hepsi gereksizdir. Ne olduğunu? Bu, güvenlik duvarını bizim için yapılandırmanın tüm kirli işlerini, kilometrelerce uzunluktaki kural listeleri yapmak zorunda kalmadan yapacak bir komut dosyasıdır. Düzenlemek:
$ sudo apt-get install ipkungfu
Yapılandırmayı düzenle:
$ sudo vi /etc/ipkungfu/ipkungfu.conf # yerel ağ, varsa - maske ile birlikte ağ adresini yazarız, değilse - loopback adresini yazarız LOCAL_NET="127.0.0.1" # Makinemiz ağ geçidi değil GATEWAY=0 # Gerekli portları kapatın FORBIDDEN_PORTS="135 137 139" # Blok pingleri, bu aşamada %90 kiddis düşecek BLOCK_PINGS=1 # Şüpheli paketler bırakılıyor (çeşitli türler) SUSPECT="DROP" # "Yanlış" paketler bırakılıyor (bazı DoS türleri) KNOWN_BAD="DROP" # Bağlantı noktası taraması? Trash! PORT_SCAN="DROP"
ipkungfu'yu etkinleştirmek için /etc/default/ipkungfu dosyasını açın ve IPKFSTART = 0 satırını IPKFSTART = 1 olarak değiştirin.
$ sudo ipkungfu
Ek olarak, /etc/sysctl.conf dosyasında değişiklikler yapacağız:
$ sudo vi /etc/systcl.conf # ICMP yönlendirmelerini bırak (MITM saldırılarına karşı) net.ipv4.conf.all.accept_redirects=0 net.ipv6.conf.all.accept_redirects=0 # TCP senkronizasyon çerezleri mekanizmasını etkinleştir net.ipv4 .tcp_syncookies =1 # Çeşitli ince ayarlar (anti-spoofing, "yarı açık" TCP bağlantılarının kuyruğunu artırma vb.) net.ipv4.tcp_timestamps=0 net.ipv4.conf.all.rp_filter=1 net.ipv4.tcp_max_syn_backlog= 1280 çekirdek .core_uses_pid=1
Değişiklikleri etkinleştir:
$ sudo sysctl -p
İzinsiz girişleri algılama
Snort, yöneticiler için favori araçlardan biridir ve tüm güvenlik kılavuzlarında bir dayanak noktasıdır. Tüm kitapların adandığı, uzun bir geçmişi ve muazzam olanakları olan bir şey. Hızlı kurulum kılavuzumuzda ne yapar? güvenli sistem? Ve işte onun yeri, Snort'un yapılandırılmasına gerek yok:
$ sudo apt-get install snort $ snort -D
Her şey! Şaka yapmıyorum, Varsayılan ayarları Snort, tipik olanı korumak için fazlasıyla yeterli ağ hizmetleri tabii onlara sahip değilseniz. Sadece zaman zaman günlüğe bakmanız gerekir. Ve içinde bunun gibi satırlar bulabilirsiniz:
[**] MS-SQL araştırma yanıtı taşma girişimi [**] http://www.securityfocus.com/bid/9407]
Hata. Birisi MySQL'de arabellek taşmasına neden olmaya çalıştı. Ayrıca, sorunun ayrıntılı bir açıklamasını içeren bir sayfaya bağlantı da vardır. Güzellik.
Biri miras kaldı...
Özellikle akıllı biri güvenlik duvarımızı atlamayı başardı, Snort'u geçti, kök izinleri Sistemde ve şimdi kurulu arka kapıyı kullanarak sistemi düzenli olarak ziyaret ediyor. İyi değil, arka kapının bulunması, kaldırılması ve sistemin güncellenmesi gerekiyor. Rootkit'leri ve arka kapıları aramak için rkhunter'ı kullanın:
$ sudo apt-get install rkhunter
Başlatıyoruz:
$ sudo rkhunter -c --sk
Yazılım, tüm sistemi rootkit'ler için kontrol edecek ve sonuçları görüntüleyecektir. Kötü amaçlı yazılım hala bulunursa, rkhunter yeri işaret eder ve üzerine yazılabilir. Daha ayrıntılı bir günlük burada bulunur: /var/log/rkhunter.log. rkhunter'ı günlük cron işi olarak çalıştırmak daha iyidir:
$ sudo vi /etc/cron.daily/rkhunter.sh #!/bin/bash /usr/bin/rkhunter -c --cronjob 2>&1 | mail -s "RKhunter Tarama Sonuçları" [e-posta korumalı]
Vasya'nın e-posta adresini kendi e-posta adresimizle değiştiriyoruz ve betiği çalıştırılabilir hale getiriyoruz:
$ sudo chmod +x /etc/cron.daily/rkhunter.sh
$ sudo rkhunter -- güncelleme
Bu arada, cron betiğindeki check komutundan önce eklenebilir. İki rootkit arama aracı daha:
$ sudo apt-get kaplan yükleme $ sudo kaplan $ sudo apt-get yükleme lynis $ sudo lynis -c
Aslında, kuşbakışı aynı Faberge yumurtaları, ancak farklı tabanları var. Belki onların yardımıyla rkhunter'ın neyi kaçırdığını ortaya çıkarmak mümkün olacaktır. Başlangıç olarak, debsums, dosya sağlama toplamlarını doğrulamak için bir araçtır, kurulu paketler bir standart ile. Koyduk:
$ sudo apt-get yükleme debsumları
Kontrole başlıyoruz:
$ sudo debsums -ac
Her zaman olduğu gibi? lansman cron işlerine eklenebilir.
Dışarıda
Şimdi Web'de anonimliğinizi nasıl koruyacağınız ve çeşitli telif hakkı kuruluşları ve diğer Mizulin'lerin talebi üzerine engellenen sitelere ve sayfalara nasıl erişeceğiniz hakkında konuşalım. Bunu yapmanın en kolay yolu, dünyadaki binlerce proxy sunucusundan birini kullanmaktır. Birçoğu ücretsizdir, ancak çoğu zaman kanalı eski bir analog modem hızında keser.
Sitelerde güvenle gezinmek ve yalnızca gerekirse proxy'yi açmak için, proxy değiştirici dizininde kolayca bulunabilen Chrome ve Firefox için birçok uzantıdan birini kullanabilirsiniz. Gerekli proxy'ler listesine kuruyoruz, sürüyoruz ve gerekli olana geçiyoruz, sayfa yerine “Sayfaya erişim Bay Skumbrievich'in isteği üzerine sınırlıdır” işaretini görüyoruz.
Tüm sitenin filtrenin altına düştüğü ve adresinin sağlayıcıların DNS sunucuları tarafında kara listeye alındığı durumlarda, adresleri yayınlanan ücretsiz DNS sunucularını kullanabilirsiniz. Beğendiğiniz iki adresi alın ve /etc/resolv.conf'a ekleyin:
Ad sunucusu 156.154.70.22 ad sunucusu 156.154.71.22
Çeşitli türlerdeki DHCP istemcilerinin ve NetworkManager'ların sağlayıcıdan veya yönlendiriciden alınan adreslerle dosyanın üzerine yazmasını önlemek için, genişletilmiş öznitelikleri kullanarak dosyayı yazılamaz hale getiriyoruz:
$ sudo chattr +i /etc/resolv.conf
Bundan sonra dosya, kök dahil herkes için yazmaya karşı korumalı hale gelecektir.
Tarama deneyiminizi daha da anonim hale getirmek için, siteye bağlanmak için kullanılan proxy sunucusuna ek olarak DNS sunucusuna yapılan tüm istekleri şifreleyecek olan dnscrypt arka plan programını da kullanabilirsiniz. Düzenlemek:
$ wget http://download.dnscrypt.org/dnscrypt-proxy/dnscrypt-proxy-1.3.2.tar.bz2 $ bunzip2 -cd dnscrypt-proxy-*.tar.bz2 | tar xvf - $ cd dnscrypt-proxy-* $ sudo apt-get install build-essential $ ./configure && make -j2 $ sudo make install
/etc/resolv.conf içinde geri döngü adresini belirtin:
$ vi /etc/resolv.conf ad sunucusu 127.0.0.1
Daemon'a başlayalım:
$ sudo dnscrypt-proxy --daemonize
Bu arada, Windows, iOS ve Android için dnscrypt sürümleri var.
Soğan Yönlendirme
Soğan yönlendirme nedir? Bu Tor'dur. Tor, sırayla, tamamen oluşturmanıza izin veren bir sistemdir. anonim ağİnternet erişimi ile. Burada "soğan" terimi, herhangi bir ağ paketinin üç şifreleme katmanına "sarılacağı" ve her biri kendi katman ve sonucu daha fazla iletin. Elbette her şey daha karmaşık, ancak bizim için tek önemli şey, bunun tam bir anonimliği korumanıza izin veren birkaç ağ türünden biri olmasıdır.
Ancak anonimliğin olduğu yerde bağlantı sorunları vardır. Tor'da bunlardan en az üçü vardır: korkunç derecede yavaştır (şifreleme ve bir düğüm zincirinden geçme sayesinde), ağınızda bir yük oluşturur (çünkü siz kendiniz düğümlerden biri olacaksınız) ve saldırılara karşı savunmasızdır. trafik müdahalesi. İkincisi, Tor ağından İnternet'e erişme yeteneğinin doğal bir sonucudur: son düğüm (çıkış) son şifreleme katmanını kaldıracak ve verilere erişebilir.
Ancak Tor'un kurulumu ve kullanımı çok kolaydır:
$ sudo apt-get kurulumu
Her şey, şimdi yerel makinede Tor ağına giden bir proxy sunucusu olacak. Adres: 127.0.0.1:9050, aynı uzantıyı kullanarak tarayıcıya sürebilir veya ayarlardan ekleyebilirsiniz. Bunun bir HTTP proxy değil, SOCKS olduğunu unutmayın.
BİLGİ
Tor'un Android sürümüne Orbot denir.İçine koymak Komut satırı parola geçmişe kaydedilmedi, "komutun başına bir boşluk ekle" adlı akıllıca bir numara kullanabilirsiniz.
Ubuntu'da ana dizini şifrelemek için kullanılan ecryptfs'dir.
Sel ile mücadele
İşte ana makinenizi su basmasına yardımcı olabilecek birkaç komut.
başına bağlantı sayısını sayma belirli bağlantı noktası:
$ netstat -na | grep ":bağlantı noktası\" | wc -l
"Yarı açık" TCP bağlantılarının sayısını sayma:
$ netstat -na | grep ":bağlantı noktası\" | grep SYN_RCVD | wc -l
Bağlantı isteklerinin yapıldığı IP adreslerinin listesini görüntüleme:
$ netstat -na | grep ":bağlantı noktası\" | sıralama | tek -c | sıralama numarası | az
Şüpheli paketleri tcpdump ile analiz etme:
# tcpdump -n -i eth0 -s 0 -w output.txt dst bağlantı noktası bağlantı noktası ve IP sunucusunun ana bilgisayarı
Saldırganın bağlantılarını kesiyoruz:
# iptables -A INPUT -s saldırganın ip -p tcp --destination-port portu -j DROP
Bir IP'den belirli bir bağlantı noktasına maksimum "yarı açık" bağlantı sayısını sınırlıyoruz:
# iptables -I GİRİŞ -p tcp --syn--dport bağlantı noktası -m iplimit --iplimit-above 10 -j DROP
ICMP ECHO isteklerine verilen yanıtları devre dışı bırakın:
# iptables -A INPUT -p icmp -j DROP --icmp-type 8
sonuçlar
Bu kadar. Ayrıntılara girmeden ve kılavuzları incelemeye gerek kalmadan, dışarıdan izinsiz girişlere, rootkit'lere ve diğer enfeksiyonlara, doğrudan insan müdahalesine, trafiğin kesilmesine ve gözetlenmesine karşı korunan bir Linux kutusu oluşturduk. Geriye kalan tek şey, sistemi düzenli olarak güncellemek, SSH üzerinden parola girişini devre dışı bırakmak, gereksiz hizmetleri kaldırmak ve yapılandırma hatalarından kaçınmaktır.
En sık saldırıya uğrayan kaleücretsiz işletim sistemi - güvenlik. Linux kullanıcılarının en çok gurur duyduğu ve en çok değer verdiği şey. Dikkatinize 5 ana efsane getiriyoruz.
Kaynak
Efsane 1. Linux güvensizdir çünkü programların kaynak kodları bilgisayar korsanlarının incelemesi için mevcuttur. Sıradan kullanıcıların karmaşık kod seçmesi pek olası değildir, ancak bilgisayar korsanları daha sonra bulunan güvenlik açıklarından yararlanmak için bunu yapacaktır. Ayrıca,
Aslında nedir: milyonlarca satırı manuel olarak görüntüle kaynak kodu ve gerekli değildir. Bu görev, istatistiksel kod analizörleri ve denetim için özel yazılım sistemleri tarafından çözülür. Rastgele ve kasıtlı hatalar otomatik olarak yakalanır ve ardından uzman her biriyle ilgilenir. durum. Kapalı için ikili kod Windows çalışmıyor. Burası, yer imini gerçekten kolayca gizleyebilirsiniz.
virüsler
Efsane 2. Linux altında çok az virüs vardır, ancak bunun tek nedeni Linux'un popüler olmayan bir işletim sistemi olmasıdır. Kullanıcı sayısı arttıkça, virüs yazarları da yetişecek ve Linux'un kendisi, ağ enfeksiyonuna karşı duyarlılık açısından Windows'tan farklı olmayacaktır.
Aslında nedir: Linux kullanıcılarının %2'si on milyonlarca bilgisayardır. Gerçekten basit olsaydı, uzun zaman önce yaratılmış olurdu. Android ayrıca %95 Linux'tur. Cihaz başına Android tabanlı zaten bir milyar. Peki salgınlar nerede?
Güç kullanıcıları
Efsane 3. Linux daha güvenlidir, ancak yalnızca Linux daha fazla kullanıldığı için Ileri düzey kullanıcılar. Herkes Linux kullanmaya başlarsa, aynı bilgisayar enfeksiyonu salgınları başlayacak.
Aslında nedir: bu kısmen doğrudur. Ama sadece virüslerden değil, aptallardan da. Bu yüzden pek çok insan onu sevmiyor. Windows kullanıcıları kim Linux'a geçmeye çalıştı, ancak usta olmadı. Örneğin, Windows aslında yönetici olarak çalıştırmayı teşvik eder hesap(kullanıcı daha az rahatsız olur). Linux sürekli root olarak çalışmanıza izin vermez.
Yine virüsler
Efsane 4. Linux'ta da virüsler var.
antivirüs
Efsane 5. Altında Linux kurulumu antivirüs olmazsa olmaz.
Aslında nedir: iptables kurmak ve şüpheli üçüncü taraf depolarını bağlamaktan kaçınmak zorunludur. O zaman antivirüse gerek yok. Ayrıca, antivirüs şirketlerinin pazarlamacıları.
Linux dağıtımları, amaca ve hedeflenen hedef kitleye bağlı olarak farklı kategorilere ayrılabilir. Sunucular, eğitim, oyunlar ve multimedya, Linux dağıtımlarının popüler kategorilerinden bazılarıdır.
Güvenlikle ilgilenen kullanıcılar için tasarlanmış çeşitli dağıtımlar vardır. gelişmiş koruma mahremiyet. Bu yapılar, göz atma etkinliğinizin izlenmemesini sağlar.
Bununla birlikte, seçimimiz yalnızca gizliliğe odaklanan dağıtımları değil, aynı zamanda izinsiz giriş testi dağıtımlarını da içerir. Bu yapılar, sistem ve ağ güvenliğini analiz etmek ve değerlendirmek için özel olarak tasarlanmıştır ve olası güvenlik açıkları için sistemleri test etmek için çok çeşitli özel araçlar içerir.
dağıtım Ubuntu tabanı, izinsiz giriş testi için tasarlanmıştır. XFCE'nin standart pencere yöneticisi olarak kullanılması nedeniyle çok hızlı çalışır.
Yazılım çözümlerinin depoları, kullanıcının her zaman uğraşması için sürekli olarak güncellenir. en son sürümler web uygulaması analizi, stres testleri, olası güvenlik açıklarının değerlendirilmesi, ayrıcalıklar ve çok daha fazlasını gerçekleştirmenize olanak tanıyan yerleşik araçlar.
Büyük bir set içeren diğer dağıtımlardan farklı olarak çeşitli uygulamalar, Backbox böyle bir fazlalık içermez. Burada sadece bulacaksınız en iyi araçlar her bir bireysel görev veya hedef için. Tüm araçlar kategorilere ayrılmıştır, bu da onları bulmayı kolaylaştırır.
Wikipedia sunar kısa yorumlar birçok yerleşik araç. Backbox başlangıçta yalnızca test amacıyla oluşturulmuş olsa da, dağıtım aynı zamanda dijital varlığınızı gizlemeye yardımcı olacak Tor ağını da destekler.
Kali
Muhtemelen Debian Wheezy tabanlı en popüler penetrasyon testi dağıtımı. Offensive Security Ltd tarafından geliştirilmiştir ve önceki BackTrack Linux projesinin devamıdır.
Kali, bir USB çubuğuna veya CD'ye yazılabilen, hatta bir sabit sürücüye veya sabit sürücüye kurulabilen 32 bit ve 64 bit ISO görüntüleri olarak mevcuttur. katı hal sürücüsü. Proje de destekliyor ARM mimarisi ve hatta koşabilir tek kartlı bilgisayar Raspberry Pi ve ayrıca çok sayıda analiz ve test aracı içerir. Ana masaüstü Gnome'dur, ancak Kali, farklı bir masaüstü ortamıyla özel bir ISO görüntüsü oluşturmanıza olanak tanır. Bu son derece özelleştirilebilir dağıtım, kullanıcıların Linux çekirdeğini kendi özel gereksinimlerine uyacak şekilde değiştirmelerine ve yeniden oluşturmalarına bile olanak tanır.
Kali'nin popülaritesi, sistemin MetaSpoilt Çerçevesi için uyumlu ve desteklenen bir platform olduğu gerçeğiyle değerlendirilebilir - güçlü araç Bu, uzak bir bilgisayarda açıklardan yararlanma kodu geliştirmenize ve yürütmenize olanak tanır.
32 bit ve 64 bit makineler için mevcut olup, Gentoo Linux tabanlı bir saldırı testi dağıtımıdır. Gentoo kullanıcıları isteğe bağlı olarak ana sistemin üzerine kurulacak olan Pentoo'yu kurabilirler. Dağıtım XFCE'ye dayalıdır ve değişiklikleri kaydetmeyi destekler, bu nedenle USB sürücüsünün bağlantısı kesildiğinde, uygulanan tüm değişiklikler sonraki oturumlar için kaydedilecektir.
Yerleşik araçlar, Exploit, Fingerprint, Cracker, Database, Scanner vb. gibi 15 farklı kategoriye ayrılmıştır. Gentoo'yu temel alan dağıtım, seti devraldı koruyucu fonksiyonlar Koşmanıza izin veren Gentoo ek ayarlar güvenliği ve dağıtımı daha ayrıntılı olarak yönetin. Farklı kategorilerde bulunan uygulamaları hızlı bir şekilde keşfetmek için Uygulama Bulucu yardımcı programını kullanabilirsiniz.
Dağıtım Gentoo'ya dayandığından, çalışması için bazı manipülasyonlar gerekecektir. ağ kartı ve diğer donanım bileşenleri. İndirirken doğrulama seçeneğini seçin ve tüm cihazlarınızı kurun.
Ubuntu'ya dayanan bu dağıtım, izinsiz giriş tespiti ve ağ güvenliği izleme için tasarlanmıştır. Doğası gereği daha saldırgan olan diğer sızma testi dağıtımlarının aksine, daha çok savunma amaçlı bir sistemdir.
Ancak proje, diğer sızma testi dağıtımlarında bulunan çok sayıda saldırı aracının yanı sıra Wireshark paket dinleyicisi ve Suricata saldırı tespit aracı gibi ağ izleme araçlarını da içeriyor.
Security Onion, XFCE etrafında oluşturulmuştur ve en çok gerekli uygulamalar Xubuntu'da mevcuttur. Security Onion amatörler için değil, ağ izleme ve izinsiz giriş önleme alanında belirli bir düzeyde bilgi birikimine sahip deneyimli profesyoneller için tasarlanmıştır. Neyse ki, karmaşık gömülü yazılımlara yardımcı olmak için projeye sürekli olarak ayrıntılı eğitimler ve video eğitimleri eşlik ediyor.
kaine
Varsayılan hesap: root:blackarch. BlackArch 4 gigabaytın üzerindedir ve Fluxbox, Openbox, Awesome dahil olmak üzere birkaç farklı pencere yöneticisiyle birlikte gelir.
Diğer sızma testi dağıtımlarından farklı olarak BlackArch, gelişmiş bir gizlilik aracı olarak da kullanılabilir. Çeşitli analiz, izleme ve test araçlarına ek olarak, dağıtım ayrıca, sırasıyla takas dosyasının ve sistem günlüklerinin içeriğini ve diğer birçok gizlilik programını güvenli bir şekilde silmek için özellikle takas ve halat gibi izleme önleme araçlarını da içerir.
İtalyan BT güvenlik ve programlama ağı Frozenbox tarafından Debian'a dayalı olarak geliştirildi, izinsiz giriş testi ve gizlilik bakımı için kullanılabilir. BlackArch gibi, Parrot Security OS de yuvarlanan bir sürüm dağıtımıdır. Canlı oturum için varsayılan oturum açma root:toor şeklindedir.
Yüklediğiniz canlı görüntü, kalıcı mod veya veri şifrelemeli kalıcı mod gibi çeşitli önyükleme seçenekleri sunar. Analitik araçlara ek olarak dağıtım, anonimlik ve hatta kriptografik yazılım için çeşitli programlar içerir.
Mate'in özelleştirilebilir masaüstü ortamı çekici bir arayüz sunar ve Parrot Security OS, 2 gigabayt RAM'e sahip makinelerde bile çok hızlı çalışır. Sisteme birkaç niş yardımcı program yerleştirilmiştir, örneğin apktool bir araçtır APK değişiklikleri Dosyalar.
Dağıtım, gizliliği önemseyen kullanıcılar için, kullanıcıların tek bir tıklamayla İnternette (Tor ağlarını kullanarak) anonim gezinmeyi etkinleştirebilecekleri özel bir uygulama kategorisi sağlar.
JonDo
Bir yazım hatası mı buldunuz? Seçin ve Ctrl + Enter tuşlarına basın
Linux'un özgürce dağıtıldığı ve dünyaya dağılmış devasa bir ekip tarafından oluşturulduğu için zayıf güvenlikle karakterize edildiğine dair yaygın bir inanç vardır. Gerçekten mi?
Linux, Linus Torvalds (1991, Finlandiya) tarafından internetin her yerinden çok sayıda gönüllünün yardımıyla yazılmış, özgürce dağıtılabilen Unix benzeri bir çekirdektir. Linux, gerçek çoklu görev, gelişmiş bir bellek yönetimi alt sistemi ve bir ağ alt sistemi dahil olmak üzere modern bir Unix sisteminin tüm özelliklerine sahiptir. Çoğu temel sistemik Linux bileşenleri amacı ücretsiz bir mikro çekirdek oluşturmak olan GNU projesinden miras alınan işletim sistemi(OS) bir Unix yüzü ile.
Linux işletim sistemi, Unix uzmanları, bilgisayar korsanları ve yanlışlıkla onu çivileyen daha şüpheli kişilerden oluşan kaotik bir ekip tarafından oluşturuldu. Sistem farkında olmadan bu ağır mirası yansıtsa da ve Linux yaratma süreci gönüllülerin dağınık bir çabası gibi görünse de, sistem şaşırtıcı derecede güçlü, güvenilir, hızlı ve ücretsiz oldu.
Bugün çok var çeşitli teslimatlar Linux, genel amaçlı dağıtımlara ve özel dağıtımlara bölünebilen dağıtımlar (örneğin, Linux Router - eski bir PC'ye dayalı ucuz bir yönlendirici oluşturmak için Linux'un sadeleştirilmiş bir dağıtımı vb.). Bu yazıda, ibarenin altında<ОС Linux>Dağıtımları anlayalım linux genel hedef.
Linux çekirdeğinin çoğu, farklı donanım mimarilerine bağlantı yapmayı oldukça kolaylaştıran C ile yazılmıştır. Bugün resmi Linux çekirdeği Intel platformu(i386'dan beri), Digital Alpha (64-bit), Motorola 68k, Mips, PowerPC, Sparc, Sparc64, StrongArm. Linux çekirdeği, tüm işlemcileri verimli bir şekilde kullanarak çok işlemcili SMP sistemlerinde çalışabilir. Linux geliştiricileri, POSIX ve Open Group standartlarına uymaya çalışarak taşınabilirliği sağlar. yazılım(yazılım) diğer Unix platformlarıyla.
Linux'un uygulama yelpazesi çok geniştir: filmde özel efektler oluşturmaktan<Титаник>Yaratılıştan önce James Cameron Intel tarafından yakın gelecekte bu işletim sistemine dayalı İnternet terminallerinde. Tabii ki, Linux'un büyük popülaritesinin nedenlerinden biri, kullanıldığı ürünlerin maliyetini kesinlikle azaltan ücretsiz olmasıdır. Ama sadece bu konuda değil. Popülerliğinin ana nedeni, gerçekten güçlü ve güvenilir, çok kullanıcılı ve çok görevli bir işletim sistemi olmasıdır.
Linux'un zayıf güvenlikle karakterize edildiğine dair yaygın bir yanılgı var. Ama bu temelde doğru değil. Linux, küresel İnternet'in beynidir ve bu nedenle, gelişiminde güvenliğe her zaman büyük önem verilmiştir. Güvenlik konularında Linux'un, Unix'in birçok ticari sürümü de dahil olmak üzere birçok modern işletim sisteminden her zaman olumlu bir şekilde farklı olması tesadüf değildir.
Şu anda, işletim sistemini güvence altına almak için kullanılan iki ana yaklaşım vardır: zayıf korunan bir işletim sistemi üzerinden<навешивается>Koruyucu ekranı (güvenlik duvarı) veya güvenlik duvarını güçlendirmek için, sistem çekirdeği düzeyinde bir düzine başka koruma aracıyla birlikte entegre edilmiştir.
İlk yaklaşım Microsoft tarafından kullanılır ve bu, Windows NT'nin en son sürümlerinin analiziyle onaylanır. Linux geliştiricileri ikinci yaklaşımı seçtiler (güvenlik duvarı kodu sürüm 2.0'dan beri doğrudan Linux çekirdeğinde yerleşiktir). Sonuç, güçlü bir entegre koruma sistemiydi. Bu makale, bu sisteme kısa bir girişe ayrılmıştır.
Herhangi bir işletim sistemi için bir koruma sistemi oluştururken, pratikte tamamen güvenli bir bilgisayar sisteminin uygulanmasının imkansız olduğunu açıkça anlamanız gerekir. Yalnızca sisteme girmeye çalışan bir saldırgan için ek engeller oluşturabilirsiniz. Ayrıca, uygulanan koruma araçlarının hacmi ve kalitesi, Linux kullanım alanına bağlıdır. Ek olarak, kurulu koruma araçlarının sayısındaki artışla birlikte, sistemin ortalama kullanıcıya karşı giderek daha düşmanca hale geldiğini hesaba katmak gerekir. Bu nedenle, bir koruma sistemi oluşturmadaki ana görev, Linux sistem yönetimi politikası için kabul edilebilir olacak denge noktasını bulmaktır.
Koruma sistemini kullanırken, gerçekleştirmek için gereklidir Basit kurallar: kullanarak sistemdeki etkinliği sürekli olarak izleyin sistem günlüğü, sistemi güncel tutun (çalışma sırasında keşfedilen sözde güvenlik açıkları için yamaları içeren güncel yazılım sürümlerini kurun). Çoğu durumda, bu yeterli düzeyde güvenlik sağlamak için fazlasıyla yeterlidir.
Linux işletim sistemi koruma sisteminin etkinliğini değerlendirmek için, belirli bir durumda işletim sistemi düzeyinde saldırganlar tarafından hangi tehditlerin uygulanabileceğini açıkça anlamak gerekir.
işletim sistemi düzeyinde saldırılar
İşletim sistemi düzeyinde, çok sayıda hacker saldırısı gerçekleşir. Bu çok basit bir şekilde açıklanır: sonuçta, bir saldırgan işletim sistemi korumasını kırarak herhangi bir ağ kaynağına (veritabanlarına kadar) erişim elde edebilir.
Bilgisiz insanlar arasında, işletim sistemine en etkili saldırıların, bilim ve teknolojinin en son başarılarını kullanan en karmaşık araçlar kullanılarak düzenlendiği ve bir bilgisayar korsanının en yüksek niteliklere sahip bir programcı olması gerektiğine dair bir görüş var. Bu tamamen doğru değil. Tabii ki, sahadaki tüm haberlerden haberdar olmak güzel. bilgisayar Teknolojisi. Ve yüksek nitelik asla gereksiz değildir. Bununla birlikte, bilgisayar korsanının sanatı hiçbir şekilde herhangi birini yok etmek değildir, çoğu<крутую>bilgisayar koruması. Saldırganın sadece bulması gerekiyor zayıflık belirli bir koruyucu sistemde ve kendiniz için maksimum fayda ile kullanın. Aynı zamanda, basit bir algoritma daha az sıklıkla hata ve başarısızlık ürettiğinden, en basit saldırı yöntemleri en karmaşık olanlardan daha kötü değildir.
Uygulamada bir veya başka bir hacker saldırı algoritmasının uygulanmasının başarısı büyük ölçüde saldırının nesnesi olan belirli bir işletim sisteminin mimarisine ve yapılandırmasına bağlıdır. Linux işletim sisteminde çeşitli saldırılara karşı hangi mekanizmaların kullanıldığını düşünelim.
Linux'ta kullanılan geleneksel güvenlik yöntemleri
İşletim sistemini korumanın geleneksel yolları, esas olarak fiziksel güvenlikle ilgilidir. Fiziksel güvenlik için sağlanması gereken ilk güvenlik düzeyidir. bilgisayar sistemi. Ayrıca, fiziksel güvenliği sağlamanın bariz yöntemleri arasında kapılardaki kilitler, kutulardaki kablolar, masaların kapalı çekmeceleri, video gözetim ekipmanı vb. sayılabilir. Zaman içinde test edilmiş bu önlemleri geliştirmek için bilgisayar kilitleri de kullanılabilir. çeşitli tasarımlar, asıl amacı aşağıdaki gibidir:
Bilgisayar ve bileşenlerinin çalınmasının önlenmesi;
Yetkisiz kişilerin bilgisayarı yeniden başlatmasının yanı sıra kendi sürücülerini veya diğer çevresel donanımları kullanmasını önlemek;
Kasayı açarken bilgisayarın kesintiye uğraması;
Klavye ve fare engelleme.
Bir Linux sistemi kurarken BIOS belgelerini dikkatlice okumalısınız. BIOS, donanıma en yakın yazılım katmanıdır ve çoğu Linux önyükleme yükleyicileri davetsiz misafirler tarafından sistemin yeniden başlatılmasına ve Linux sisteminin manipülasyonuna karşı koruma sağlamak için BIOS işlevlerini kullanın.
Bazı Linux önyükleme yükleyicileri, sistem önyüklendiğinde istenen bir parola belirlemenize izin verir. Böylece, LILO (Linux Loader) ile çalışırken, parametreleri kullanabilirsiniz (bir şifre belirlemenizi sağlar). önyükleme) ve (bir LILO isteğine yanıt olarak belirli seçenekler belirlendikten sonra yüklemeye izin verir).
Zaman zaman bilgisayardan ayrılma ihtiyacı doğar. Bu gibi durumlarda adınızı ve işinizi kimsenin görmemesi için konsolu kilitlemenizde fayda var. Linux bu sorunu çözmek için xlock ve vlock programlarını kullanır. xlock, X ekranına erişimi engeller (erişimi geri yüklemek için kayıt şifresini girmelisiniz). xlock'tan farklı olarak vlock, bir Linux makinesinin tek tek (veya tüm) sanal konsollarının çalışmasını engellemenize olanak tanır. Bunları kullanırken faydalı programlar yeniden başlatmalara veya sistemi kesintiye uğratmaya yönelik diğer yöntemlere karşı koruma sağlamadıkları açıkça anlaşılmalıdır.
Saldırganın kaynaklara erişim sağlayabileceği yöntemlerin çoğu, makinenin yeniden başlatılmasını veya kapatılmasını gerektirir. Bu bağlamda, hem kasada hem de bilgisayarın içinde herhangi bir hack belirtisini çok ciddiye almanız, sistem günlüğündeki tüm tuhaflıkları ve tutarsızlıkları düzeltmeniz ve analiz etmeniz gerekir. Bu durumda, herhangi bir krakerin her zaman varlığının izlerini saklamaya çalıştığı gerçeğinden yola çıkılmalıdır. Sistem günlüğünü görüntülemek için, /var/log dizinindeki syslog, mesajlar, faillog ve maillog dosyalarının içeriğini kontrol etmek genellikle yeterlidir. Bir günlük dosyası döndürme komut dosyası veya günlükleri belirli bir derinliğe kaydeden bir arka plan programı (son dağıtımlarda) yüklemek de yararlıdır. Kırmızı şapka logrotate paketi bunun için kullanılır).
Linux sistemlerinin yerel güvenliği hakkında birkaç söz. Genellikle iki nokta ile ilişkilendirilir: yerel kullanıcılar ve sistem yöneticisinden koruma. Yerel kullanıcı hesaplarına erişim elde etmenin, bir saldırganın sisteme girmeye çalışırken kendi kendine belirlediği ilk görev olduğu bir sır değil. Güvenilir yerel koruma araçları yoksa, işletim sistemindeki hataları ve / veya yanlış yapılandırılmış hizmetleri kullanan bir saldırgan, ciddi sonuçlarla dolu olan izinleri artırma yönünde kolayca değiştirebilir. Yerel korumayı artırmak için uyulması gereken genel kurallar şunlardır: gereken seviye ayrıcalıklar tüm kullanıcıların kaydı üzerinde kontrol; Kullanıcı hesaplarının zamanında geri çekilmesi. Kontrolsüz hesapların sisteme sızmak için ideal bir sıçrama tahtası olduğu sürekli unutulmamalıdır.
Yöneticinin aceleci ve yanlış davranışları da Linux sistemi için ciddi bir tehlike oluşturmaktadır. Bu nedenle, yönetici her zaman şunu hatırlamalıdır: kalıcı iş süper kullanıcı hesabıyla (kök) - çok tehlikeli bir stil (bir uzlaşma olarak, su veya sudo komutlarını kullanmak daha iyidir). Süper kullanıcı haklarını yalnızca belirli görevleri çözmek için kullanmalıdır, diğer durumlarda normal bir kullanıcı hesabı kullanılması önerilir. Ayrıca, karmaşık komutları yürütürken yönetici, veri kaybına yol açmayacak modlar kullanmalıdır. Ve son şey: yönetici varlığını unutmamalı<троянских коней>, çünkü bu tür programlar süper kullanıcı haklarıyla çalıştırıldığında güvenlik sistemini ciddi şekilde ihlal edebilir. Bunu önlemek için, bilgisayara program yükleme sürecini dikkatli bir şekilde kontrol etmek gerekir (özellikle, RedHat dağıtım kiti, sistem kurulumu sırasında rmp dosyalarının bütünlüğünü kontrol etmek için md5 ve pgp dijital imzalarının kullanılmasını sağlar).
Linux'u Parolalarla Korumak
İşletim sistemi düzeyindeki risk analizi, en tehlikeli olanın, hırsızların parolaların çalınması veya tahmin edilmesiyle ilişkili eylemleri olduğunu göstermektedir. Bu nedenle parola koruması, herhangi bir işletim sisteminin güvenlik sisteminin ön saflarında yer almalıdır.
Parola güvenliği, Linux'un Unix'in birçok ticari sürümünden ve diğer işletim sistemlerinden ve daha iyisi için önemli ölçüde farklı olduğu bir alandır.
Çoğu modern uygulamada Linux programı passwd, parolanın olası tehlikesi hakkında uyarıda bulunarak kullanıcının tahmin edilmesi kolay parolalar girmesini engeller (parola girişi maalesef engellenmez). Belirli bir parola grubunun seçime karşı direncini kontrol etmek için birçok program vardır. Ayrıca hem sistem yöneticileri hem de crackerlar tarafından başarıyla kullanılmaktadırlar. Bu program sınıfının en yaygın temsilcileri Crack ve John Ripper'dır. Bu programların ek işlemci süresi gerektirdiğini belirtmekte fayda var, ancak bu kayıp tamamen haklı - zayıf parolaların değiştirilmesi sisteme girme olasılığını önemli ölçüde azaltır.
Linux, üç ana mekanizma aracılığıyla parola koruması sağlar:
1. Şifre şifreleme.
2. Mekanizma<теневых паролей>.
3. Takılabilir Kimlik Doğrulama Modülleri (PAM) mekanizması.
Bu mekanizmaların özünü kısaca ele alalım.
Şifre şifreleme.
Linux'ta parola şifreleme geleneksel olarak kullanılır DES algoritması. Şifrelenmiş parola genellikle /etc/passwd dosyasına yerleştirilir. Bir kullanıcı sisteme giriş yapmaya çalıştığında girdiği şifre şifrelenir ve ardından şifre dosyasındaki giriş ile karşılaştırılır. Bir eşleşme varsa, sistem erişime izin verir. Parola şifreleme programı tek yönlü şifreleme kullanır (parolayı şifreleme anahtarının parolanın kendisi olması nedeniyle elde edilir). Ne yazık ki, DES algoritması şu anda güçlü bilgisayarların saldırılarına karşı savunmasızdır (çoğu durumda kaba kuvvet veya kaba kuvvet saldırısı kullanmak parolaların tahmin edilmesine yol açar). Bu nedenle, şifrelemeye ek olarak, Linux için iki güçlü koruma mekanizması daha geliştirildi.
mekanizma<теневых паролей>.
Bu mekanizmanın özü basittir: şifrelenmiş olsa bile şifre dosyası yalnızca sistem yöneticisi tarafından kullanılabilir. Bunu yapmak için, yalnızca süper kullanıcılar tarafından okunabilen /etc/shadow dosyasına yerleştirilir. Uygulama için benzer şema Linux'ta koruma, bir dizi yazılım aracı Shadow Suite kullanır. Çoğu Linux dağıtımında, mekanizma<теневых паролей>varsayılan olarak etkin değildir (belki RedHat hariç). Ancak, güçlü bir koruma sistemini kolayca organize edebileceğiniz en son mekanizmanın varlığı ile kendisini ayıran Linux'tur. Bu, Takılabilir Kimlik Doğrulama Modülü (PAM) teknolojisidir.
PAM mekanizması.
Güvenlik modülleri bir settir. açık kütüphaneler, bir dizi işlevi gerçekleştirmek için tasarlanmıştır (bir parola girme veya orijinalliğini doğrulama). Güvenlik sistemini kullanan herhangi bir program, PAM modüllerini kullanabilir ve sonuç olarak herhangi bir düzeyde güvenlik sağlayabilir. Bu son mekanizmayı kullanırken, programcı dikkatini uygulanan problemi çözmeye odaklar. Bir koruma sistemi icat etmesine gerek yoktur, bu sistemde talimat vermeyeceği de garanti edilir.<дыр>. PAM teknolojisi, bir koruma sistemi oluştururken bazı yeni özelliklerin uygulanmasını mümkün kılar: güvenlik modüllerinde standart olmayan şifreleme prosedürleri (MD5 ve benzeri) kullanılır; kullanıcı kullanımına sınırlamalar koymak sistem kaynakları(gibi başlatma saldırılarını önleme<Отказ в обслуживании>); bireysel kullanıcıların yalnızca belirli aralıklarla ve yalnızca belirli terminallerden veya düğümlerden kaydolmalarına izin verilmesi.
Ek Linux korumaları
Veri koruması.
Linux, hem yerel hem de ağ saldırıları sonucunda ihlal edilebilecek verilerin bütünlüğünü kontrol etmek için Tripwire paketini kullanır. Başlatıldığında, tüm ana ikili ve yapılandırma dosyalarının sağlama toplamlarını hesaplar ve ardından bunları özel bir veritabanında depolanan referans değerlerle karşılaştırır. Sonuç olarak, yönetici sistemdeki herhangi bir değişikliği kontrol etme yeteneğine sahiptir. Tripwire'ı kaydedilemez bir diskete yerleştirmek ve her gün çalıştırmak iyi bir fikirdir.
Tabii ki gizliliği artırmak için verilerin şifreli olarak disklerde saklanmasında fayda var. Tüm dosya sisteminin uçtan uca şifrelemesini sağlamak için Linux, kriptografik dosya sistemleri CFS'yi (Kriptografik) kullanır. Dosya sistemi) ve TCFS (Şeffaf Şifreleme Dosya Sistemi).
Ekran koruması.
Grafik ekranın korunması sistemin güvenliğinin sağlanmasında önemli bir noktadır. Parola müdahalesi olasılığını ortadan kaldırmayı, ekranda görüntülenen bilgilere aşina olmayı vb. amaçlar. Bu korumayı düzenlemek için Linux aşağıdaki araçları sağlar:
xhost programı (hangi ana bilgisayarların ekranınıza erişmesine izin verildiğini belirlemenizi sağlar);
xdm (x ekran yöneticisi) kullanarak kayıt - her kullanıcı için 128 bitlik bir anahtar (çerez) oluşturulur;
Güvenli bir kabuk ssh (güvenli kabuk) kullanarak değişim organizasyonu - ağ, şifrelenmemiş veri akışını hariç tutar.
Buna ek olarak, bilgisayarın video alt sistemine erişim kontrolünü organize etmek için Linux içinde GGI projesi (Generic Graphics Interface) geliştirilmiştir. GGI'nin arkasındaki fikir, video bağdaştırıcı kodunun bir kısmını Linux çekirdeğine taşımaktır. GGI, konsolunuzda sahte kayıt programları çalıştırma olasılığını neredeyse ortadan kaldırır.
Ağ koruması. Ağ teknolojileri geliştikçe, bir ağ üzerinde çalışırken güvenlik sorunları giderek daha alakalı hale geliyor. Uygulama, ağ saldırılarının genellikle en başarılı olduğunu göstermektedir. Bu nedenle, modern işletim sistemlerinde ağ korumasına çok ciddi önem verilmektedir. Linux ayrıca ağ güvenliğini sağlamak için birkaç etkili araç kullanır:
Parola elde etmek için protokol çözümleyicileri kullanan saldırıları önlemek için güvenli ssh kabuğu;
bilgisayarınızdaki çeşitli hizmetlere erişimi kısıtlamak için tcp_wrapper programları;
Bilgisayar güvenlik açıklarını belirlemek için ağ tarayıcıları;
tcpd arka plan programı, kötü niyetli bağlantı noktası tarama girişimlerini algılamak için (bu araca ek olarak, sistem günlük dosyalarını düzenli olarak gözden geçirmek yararlıdır);
Şifreleme sistemi PGP (Oldukça İyi Gizlilik);
stelnet programı (iyi bilinen telnet programının güvenli bir versiyonu);
qmail programı (güvenli e-posta teslimi);
yapılandırma için ipfwadm programı güvenlik duvarları(güvenlik duvarı);
Harici çevirmeli iletişim hatları veya yerel alan ağı yoluyla bağlantıya izin veren sistemler için giriş bağlantısı parolası kontrol modu.
Bu araçların birçoğunun son Linux dağıtımlarına dahil edildiğini belirtmek cesaret vericidir.
Çözüm
Linux, yirmi beş yıllık geçmişi olan Unix işletim sisteminin üzerine inşa edilmiş benzersiz bir işletim sistemidir. Bugüne kadar, bu belki de dünyanın her yerinden uzmanlar arasında İnternet tarafından birleştirilen böylesine büyük ölçekli ve verimli bir işbirliğinin tek örneğidir. Bu nedenle, koruma alt sistemi de dahil olmak üzere bu işletim sisteminin herhangi bir alt sistemi büyük pratik ilgi çekicidir ve bazıları bu makalede yeterince yansıtılmayan birçok özellik içerir.
Çözümlerin çılgınca propagandasına rağmen<от Microsoft>, Linux içeren Unix ailesinin işletim sistemleri daha yaygın hale geliyor ve sistemin bir bütün olarak güvenilirliğinin önemli olduğu mikrobilgisayar uygulama alanlarını yakalıyor, bu da yalnızca uzun süre (aylarca) arızasız çalışma anlamına gelmiyor. ve yıllar), aynı zamanda yetkisiz erişime karşı koruma.
Linux, çeşitli ortamlarda (ev bilgisayarlarından bankacılık sistemlerine kadar) çalışan sistemlerin güvenliğini sağlayabilen güçlü bir entegre güvenlik sistemi geliştirmiştir. Linux geliştirme ruhu sayesinde, çeşitli güvenlik yamaları ticari işletim sistemlerinde olduğundan çok daha hızlı görünür ve bu, Linux'u güvenilir bilgi işlem sistemleri oluşturmak için ideal bir platform haline getirir.
İşletim sistemi güvenlik uzmanları, geleceğin Linux işletim sisteminde geliştirilen eklenti kimlik doğrulama modülleri (PAM) teknolojisine ait olduğuna inanıyor. Bir kez daha Linux önde ve tüm dünyanın takip etmesini bekliyor.
2015'teki yıllık LinuxCon konferansında, GNU / Linux çekirdeğinin yaratıcısı Linus Torvalds, sistemin güvenliği hakkındaki görüşlerini paylaştı. Yetkili koruma ile belirli hataların varlığının etkisini azaltma gereğini vurguladı, böylece bir bileşen arızalanırsa bir sonraki katman sorunu kapsar.
Bu yazıda bu konuyu pratik bir bakış açısıyla açıklamaya çalışacağız:
7. Güvenlik duvarlarını kurun
Son zamanlarda yeni güvenlik açığı Linux çalıştıran sunucularda DDoS saldırıları gerçekleştirmenizi sağlayan . 2012'nin sonundaki 3.6 sürümünden bu yana sistem çekirdeğinde bir hata ortaya çıktı. Güvenlik açığı, bilgisayar korsanlarının indirme dosyalarına, web sayfalarına virüs enjekte etmesine ve Tor bağlantılarını açığa çıkarmasına izin verir ve hacklemek için fazla çaba gerektirmez - IP sahtekarlığı yöntemi işe yarayacaktır.Şifrelenmiş için maksimum zarar HTTPS bağlantıları veya SSH - bağlantının kesilmesi, ancak bir saldırgan aşağıdakiler dahil olmak üzere güvenli olmayan trafiğe yeni içerik koyabilir: kötü amaçlı yazılım. Bu tür saldırılara karşı korunmak için bir güvenlik duvarı uygundur.
Güvenlik Duvarı ile erişimi engelle
Güvenlik duvarı, istenmeyen engellemeleri engellemek için en önemli araçlardan biridir. gelen trafik. Yalnızca gerçekten atlamanızı öneririz doğru trafik ve diğer her şeyi tamamen yasaklayın.
Paket filtreleme için çoğu Linux dağıtımında bir iptables denetleyicisi bulunur. Genellikle ileri düzey kullanıcılar tarafından kullanılır ve basitleştirilmiş yapılandırma için Debian/Ubuntu'da UFW yardımcı programlarını veya Fedora'da FirewallD'yi kullanabilirsiniz.
8. Gereksiz hizmetleri devre dışı bırakın
Virginia Üniversitesi'nden uzmanlar, kullanmadığınız tüm hizmetleri kapatmanızı tavsiye ediyor. Bazı arka plan işlemleri, otomatik olarak yüklenecek ve sistem kapanana kadar çalışacak şekilde ayarlanmıştır. Bu programları yapılandırmak için başlatma komut dosyalarını kontrol etmeniz gerekir. Servisler inetd veya xinetd üzerinden başlatılabilir.Sisteminiz inetd aracılığıyla yapılandırılmışsa, /etc/inetd.conf dosyasında arka plandaki "arka plan programı" programlarının listesini düzenleyebilirsiniz, hizmetin yüklenmesini devre dışı bırakmak için, yalnızca "#" işaretini programın başına koymanız yeterlidir. satırı, yürütülebilir dosyadan bir yoruma dönüştürür.
Sistem xinetd kullanıyorsa, yapılandırması /etc/xinetd.d dizininde olacaktır. Her dizin dosyası, bu örnekte olduğu gibi, disable = yes yan tümcesi belirtilerek devre dışı bırakılabilecek bir hizmeti tanımlar:
Servis parmağı ( socket_type = akış bekleme = kullanıcı yok = kimse sunucu = /usr/sbin/in.fingerd devre dışı bırakma = evet)
Ayrıca inetd veya xinetd tarafından yönetilmeyen kalıcı süreçleri kontrol etmeye değer. /etc/init.d veya /etc/inittab dizinlerinde başlangıç komut dosyalarını yapılandırabilirsiniz. Değişiklikler yapıldıktan sonra root hesabının altındaki komutu çalıştırın.
/etc/rc.d/init.d/inet yeniden başlatma
9. Sunucuyu fiziksel olarak koruyun
Bir saldırganın saldırılarına karşı tam olarak korunmak mümkün değildir. fiziksel erişim sunucuya. Bu nedenle, sisteminizin bulunduğu odanın güvenliğini sağlamanız gerekir. Veri merkezleri, sunuculara erişimi sınırlayarak, güvenlik kameraları kurarak ve sürekli korumalar atayarak güvenliği ciddiye alır.Veri merkezine girmek için tüm ziyaretçilerin belirli kimlik doğrulama adımlarından geçmesi gerekir. Ayrıca merkezin tüm alanlarında hareket sensörlerinin kullanılması şiddetle tavsiye edilir.
10. Sunucuyu yetkisiz erişime karşı koruyun
Yetkisiz erişim sistemi veya IDS, sistem yapılandırması ve dosyalar hakkında veri toplar ve ardından sisteme zararlı olup olmadıklarını belirlemek için bu verileri yeni değişikliklerle karşılaştırır.Örneğin, Tripwire ve Aide araçları, sistem dosyalarının bir veritabanını toplar ve bunları bir dizi anahtarla korur. Psad, güvenlik duvarı raporlaması yoluyla şüpheli etkinliği izlemek için kullanılır.
Bro, ağı izlemek, şüpheli etkinlik modellerini izlemek, istatistik toplamak, sistem komutları ve uyarılar üretir. RKHunter, çoğunlukla rootkit'ler olmak üzere virüslere karşı koruma sağlamak için kullanılabilir. Bu yardımcı program, sisteminizi bilinen güvenlik açıklarından oluşan bir veritabanına karşı tarar ve uygulamalardaki güvenli olmayan ayarları algılayabilir.
Çözüm
Yukarıda listelenen araçlar ve ayarlar, sistemi kısmen korumanıza yardımcı olacaktır, ancak güvenlik, davranışınıza ve durumu anlamanıza bağlıdır. Dikkat, dikkat ve sürekli kendi kendine öğrenme olmadan, tüm koruyucu önlemler çalışmayabilir.Başka ne hakkında yazıyoruz?
Etiketler:
- 1bulut
- linux
- DIR-DİR
Sigortalının kişisel hesabı
Otomatik tanımlama sistemi Elektronik harita sistemi ile AIS'nin ortak kullanımı
Wargame: Red Dragon başlamıyor mu?
Üzücü escobar "Ukrayna yargı sisteminin yüzü"
ROME Total War - tüm grupların kilidi nasıl açılır?