Михаил Флёнов - Linux глазами хакера
- Название:Linux глазами хакера
- Автор:
- Жанр:
- Издательство:БХВ-Петербург
- Год:2005
- Город:Санкт-Петербург
- ISBN:5-94157-635-8
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
Михаил Флёнов - Linux глазами хакера краткое содержание
Рассмотрены вопросы настройки ОС Linux на максимальную производительность и безопасность. Описаны потенциальные уязвимости и рекомендации по предотвращению возможных атак. Дается подробное описание настройки прав доступа и конфигурирования сетевого экрана. Показано, как действовать при атаке или взломе системы, чтобы максимально быстро восстановить ее работоспособность и предотвратить потерю данных.
Для пользователей, администраторов и специалистов по безопасности
Linux глазами хакера - читать онлайн бесплатно ознакомительный отрывок
Интервал:
Закладка:
□ anonymous-root каталог— задание в явном виде корневой директории для анонимных пользователей, т.к. у них не может быть собственного каталога в отличие от реального пользователя, для которого при подключении к системе корнем является его домашняя директория;
□ guest-root каталог— аналогична предыдущей команде. Директива необходима, если вы хотите, чтобы все гости могли работать с одной и той же директорией. Если у каждого гостя должен быть свой каталог, то лучше для каждого из них явно создавать учетную запись ( см. разд. 10.6 ).
□ passwd-check тип сообщение— определяет проверку правильности пароля для анонимных пользователей. В данном случае имеется в виду контроль E-mail-адреса, который они используют. В качестве типа может указываться одно из трех значений: none(нет проверки), trivial(простая проверка на содержания в адресе символа "@)" или rfc882(полная проверка, на соответствие стандарту rfc 822). Параметру сообщениеможно присваивать значение warn(выводить предупреждение, но продолжать работу) или enforce(отказать в доступе);
□ deny-email адрес— отказ в доступе, если в качестве пароля используется указанный адрес. В большинстве FTP-клиентов в настройках прописан для анонимного доступа какой-либо почтовый ящик, например, my@mail.com. Мало кто меняет этот адрес. Так как он соответствует всем правилам, то сервер не определит, что это обманка. Но можно прописать его в этом параметре, и тогда пользователю придется поменять в настройках FTP-клиента адрес на другой, иначе он не сможет подключиться. Но даже это не будет гарантировать, что анонимный пользователь указал именно свой E-mail в качестве пароля;
□ deny-uid идентификаторы— запрещает доступ к FTP пользователям с указанными идентификаторами. Те же самые функции выполняет файл ftpusers, который мы рассмотрим в разд. 10.5 . Удобство этой команды в том, что можно задать диапазоны. Например, deny-uid %-500. Данная директива запретит доступ всем пользователям, у которых идентификатор менее 500;
□ deny-gid идентификаторы— запрещает доступ к FTP пользователям группы, с указанными идентификаторами. Те же самые функции выполняет файл ftpusers;
□ restricted_uid идентификаторы— разрешает гостевому пользователю с указанным ID получать доступ к директориям вне его домашнего каталога;
□ restricted_gid идентификаторы— дает право группе пользователей с указанным ID получать доступ к директориям вне домашнего каталога;
□ unrestricted_uid идентификаторы— запрещает гостевому пользователю с указанным ID получать доступ к директориям вне его домашнего каталога;
□ unrestricted_gid идентификаторы— запрещает группе пользователей с указанным ID получать доступ к директориям вне домашнего каталога;
□ dns refuse_no_reverse файл override— выдать сообщение, если клиент не имеет обратного адреса. При отсутствии параметра overrideсоединение будет завершено;
□ dns refuse_mismatch файл override— выдать сообщение, если прямой и обратный адреса не совпадают. Если не указать параметр override, то соединение будет завершено. По умолчанию я всегда включаю эту опцию, а отключаю, только если у действительных пользователей возникают проблемы при работе с сервером. Это необходимо для того, чтобы взломщик не мог подделать IP-адрес для входа в систему и обхода соответствующей проверки.
10.3.2. Контроль загрузки файлов
Загрузка файлов — самая опасная возможность для сервера. Каждый пользователь должен иметь право обращаться только к своей директории. А что делать, чтобы анонимные пользователи тоже могли работать с файлами? В этом случае нужно по возможности запретить загрузку в уязвимые с точки зрения безопасности директории, куда злоумышленник может поместить скрипты и выполнить их.
upload параметры— команда позволяет настроить права на загрузку файлов в определенные каталоги. Для запрета загрузки в каталог /etcнужно написать следующую строку:
upload /etc no
Давайте посмотрим, как можно разрешить загрузку в директорию:
upload /home yes root root 0600 nodir
В данной строке разрешается загрузка файлов в директорию /home. Третий и четвертый параметры определяют владельца и группу, которые будут установлены для файла. В обоих случаях я указал root, чтобы простой смертный после загрузки ничего не смог сделать с документом. Далее идут права доступа на файл — 0600, т.е. читать и писать в него сможет только администратор, а все остальные отдыхают. Последний параметр равен nodir, что соответствует запрету на создание директорий.
Следующий пример разрешает создавать директории:
upload /home/robert yes root root 0600 dir 0700
Предпоследний параметр равен dir, что позволяет создавать директории. Последний параметр 0700 — это права доступа на каталог (только администратору разрешено все). Изменение этого значения позволяет сделать возможной работу с файлами только администратору root. Даже если злоумышленник загрузит в указанную директорию свою программу, выполнить он ее не сможет, не имея соответствующих прав.
Запретите загрузку файлов в любые системные директории, открытые пользователям для просмотра. Если вы используете исключительно гостевой доступ, когда пользователь может работать только в своем окружении, то в этом уже нет крайней необходимости.
10.3.3. Доступ по операциям
Помимо этого, в файле ftpaccess может быть описание основных операций и прав доступа к ним. В общем виде это выглядит следующим образом:
Действие yes|no пользователь
В качестве действия можно указать одно из следующих значений: chmod, delete, overwrite, renameили umask. Затем идет разрешение ( yes) или запрет ( no). Потом через запятую могут перечисляться типы пользователей ( anonymous, guestили real) или указывается класс ( class=имя_класса).
По умолчанию все действия и для всех пользователей разрешены. Но вполне логичным будет запретить удаление, изменение атрибутов, переименование или перезапись файлов неавторизованным (anonymous) пользователям.
Например, в листинге 10.2 для запрещения доступа к операциям есть следующие строки:
chmod no anonymous,guest
delete no anonymous
overwrite no anonymous
rename no anonymous
10.3.4. Информационные директивы
Эти директивы отвечают за информационные сообщения, которые видит пользователь, работая с вашим FTP-сервером:
□ banner имя— в качестве имени можно указать текстовый файл, содержимое которого будет передано пользователю во время входа в систему. Этот файл может содержать приветствие, полезную информацию или правила использования вашего FTP-сервера. Вы должны помнить, что баннер виден пользователю еще до авторизации, поэтому здесь не должно быть никаких сведений, которые помогут хакеру при взломе;
Интервал:
Закладка:
