Безопасность Linux. Удаленные атаки

В этой статье преобладает теория о том, как что-то устроено(хотя присутствуют и практические советы). Она больше ориентирована на администраторов(начинающих).

Я не буду описывать то, что пароль может быть просто подобран или увиден на листочке, который вы забыли на работе. Пароли следует делать легкими для запоминания, однако наиболее сложными для подбора(использовать цифры, буквы разных регистров и спецсимволы; длинной от 9 до 14 символов). Так же лучше запретить подключение с помощью пользователя root с удаленного компьютера (файл etc/security)

Default

Не забывайте изменять настройки, которые стоят по умолчанию. Не следует оставлять пароли 12345 на какой-нибудь сервис. Ненужные папки из веб-сервера (например документы по нему), следует удалить.

Для получения подробной информации настроек "по умолчанию" лучше смотреть в мануал используемого Вами ОП.

DoS и DDoS

Скажу честно, что когда я впервые услышал эти аббревиатуры, то подумал, что имелась в виду операционная система. Нет, это атаки на отказ в обслуживании. Действительно большого вреда они не принесут, однако сервер может перестать отвечать пользователям, обращающимся к нему. Атаки такие действуют методом "в лоб". Компьютер отсылает много пакетов на удаленный сервер, пока тот не отправит все свои ресурсы на "разгребание" такой атаки. Обычно в адресе "from:" указывают тот же сервер, что и для получателя. Таким образом организуется цикл, что и приводит к отказу в обслуживании.

Сканирование мною специально для этой статьи 100 сравнительно крупных сайтов показало, что 92 из них подвержены "легкому" (достаточно даже небольшого кол-ва компьютеров, а иногда даже одного) Dos.

Я также хочу упомянуть о том, что существует атака-smurf: компьютер отправляет запрос(ping) на несколько крупных серверов с подложным адресом отправителя(адрес жертвы), после чего каждый компьютер отправляет ответ жертве. Легко понять, что таким образом жертву очень легко вывести из строя. Программу для использования могу посоветовать nemesis.

Лично я советую отключать службы echo, chargen и парочку других служб. Для этого закомментируйте несолько строк в etc/inetd.conf

Желательно также поставить firewall и ограничить кол-во возможных запросов с удаленных компьютеров.

Противостоять нескольким сотням компьютеров, засылающих сервер практически невозможно (даже при недавней атаке novarg на www.microsoft.com последний не отвечал на запросы)

Sniffers

По сети, как известно, передаются пакеты. Задача снифферов их перехватывать и анализировать. При захвате информации легко получить пароль или любую другую конфиденциальную информацию. У каждого пакета существует свой MAC-адрес. При получении пакета компьютером он проверяет, принадлежит ли данный пакет ему по данному адресу. И если принадлежит, то анализирует, а если нет - отправляет дальше. Всем этим занимается сетевой адаптер. Он может быть переведен в режим "полного анализа" (неразборчивый режим). В данном режиме он анализирует все данные, передающиеся через него.

К сожалению (а для кого-то к счастью), многие службы передают информацию в незашифрованном виде. Это относится к таким известным и часто используемым вещам, как telnet, http и ftp.

Единственным спасением может быть коммутатор, (существует еще концентратор) т.к. коммутатор позволяет отправить нужную информацию прямиком на необходимый компьютер.

Приводить примеры и описание снифферов я здесь приводить не буду, т.к. таких статей очень много (www.dago.org, www.xakep.ru и др.).

Buffer Overflow

Ну это общеизвестная ошибка некомпетентности программистов.

Если обратиться к какой-то переменной и ввести для нее очень большое(для нее) значение, то произойдет ошибка и адрес возврата в стеке будет замещен указанным адресом. (для более полного понимания советую изучить устройство ПК)

Единственным спасением, если вы не успели установить заплатку, является постоянный просмотр log файлов, которые ведет ваш сервер. Он запишет туда, что были некорректные обращения к службе. В таком случае службу лучше остановить до лучших времен(появление патча).

etc/exports и etc/dfs/dfstab

Используется этот файл для указания того, какой компьютер имеет право смонтировать себе удаленную файловую систему.

В ранних версиях использовался файл etc/exports, в более новых - etc/dfs/dfstab.

Если администратор забыл или поленился изменить параметры этого файла, то злоумышленник может без проблем смонтировать себе жесткий диск своей жертвы простой командой

root@localhost: mount hostname:file system(nfs for example) directory_he_need

Убрать возможность подобного взлома можно запретив firewallом порт 2049. Следует так же отредактировать файл экспорта так, чтобы не все компьютеры имели право это сделать, а те, что могли бы, монтировали бы только необходимые им данные (а не папку etc/passwd).

Кому доверять?

Необходимо запретить всех хостам, кроме указанных подключаться к Вашей машине. Делается это благодаря редактированию файлов etc/hosts.allow и etc/hosts.deny

Рекомендуем скачать другие рефераты по теме: ответы 7 класс, тезис.



1  2  3  4 | Следующая страница реферата

Поделитесь этой записью или добавьте в закладки