Bezpieczenstwo w Linuksie Podrecznik administratora.pdf

IDZ DO

PRZYK£ADOW Y ROZDZIA£

Bezpieczeñstwo w Linuksie.

SPIS TRECI

Podrêcznik administratora

KATALOG KSI¥¯EK

Autor: Bob Toxen

T³umaczenie: Marcin Jêdrysiak (rozdz. 6-11), Marek Pêtlicki

(rozdz. 12-14), Piotr Pilch (rozdz. 17-19), Rafa³ Szpoton (rozdz.

1-5,dod. F), Grzegorz Werner (rozdz. 15-16, 20, dod. A, C-D)

ISBN: 83-7361-333-1

Tytu³ orygina³ u: Real World Linux Security

Format: B5, stron: 888

KATALOG ONLINE

ZAMÓW DRUKOWANY KATALOG

TWÓJ KOSZYK

Twój Linux zostanie zaatakowany — mo¿esz byæ tego pewien. Mo¿e to nast¹piæ

za kilka miesiêcy, ale mo¿e dzieje siê to w³anie teraz. B¹d wiêc przygotowany.

Niniejsza ksi¹¿ka omawia zarówno rozwi¹zania, jak i wyj¹tkowe oprogramowanie

s³u¿¹ce do ochrony systemu Linux lub sieci komputerowej. Autor powiêci³ wiele

czasu, aby ostateczna wersja ksi¹¿ki opisywa³a najgroniejsze ataki w internecie.

Dziêki niej uzyskasz wszystkie informacje potrzebne do skutecznej obrony.

W ksi¹¿ce omówiono:

• Nowe funkcje IP tables

• Nowe techniki oraz oprogramowanie s³u¿¹ce do wykrywania

oraz blokowania ataków ARP oraz ataków na prze³¹czniki

• Usprawnienia zapór sieciowych opartych na systemie Linux

filtruj¹cych zawartoæ pakietów

• Opis bezpieczeñstwa us³ugi Samba dla klientów systemu Windows.

• Bezpieczeñstwo w sieciach bezprzewodowych (standard 802.11b)

• Sposób wykorzystania programów Logcheck, Portsentry oraz innych,

nowych narzêdzi monitoruj¹cych sieæ komputerow¹

• Bezpieczeñstwo sieci VPN oraz komunikatorów internetowych;

program GPG; funkcje j¹dra 2.4 i wiele innych zagadnieñ

• Zabezpieczenia fizyczne

Do³¹czona do ksi¹¿ki p³yta CD-ROM zawiera w³asne oprogramowanie autora, s³u¿¹ce

do natychmiastowego zablokowania poczynañ hakerów oraz powiadomienia

administratorów systemu. P³yta zawiera równie¿ niepublikowane wczeniej skrypty IP

Tables oraz IP Chains oraz nowe narzêdzia s³u¿¹ce do monitorowania stanu sieci

komputerowej, wykrywania podejrzanych dzia³añ oraz raportowania o nich,

zabezpieczania kopii i uproszczenia odtwarzania systemu.

O autorze:

Bob Toxen ma ponad 28 lat dowiadczenia w zakresie systemów UNIX (Linux).

Jest jednym ze 162 twórców systemu Berkeley UNIX. O zabezpieczeniach dowiedzia³ siê

na uniwersytecie w Berkeley, gdzie z³ama³ kilka oryginalnych systemów UNIX. Obecnie

jest prezesem firmy Fly-By-Day Consulting specjalizuj¹cej siê w zabezpieczeniach

systemu Linux oraz sieci komputerowych, sieci VPN, monitorowaniu w trybie 24/7

oraz wykonywaniu czynnoci administracyjnych dla wielu klientów na ca³ym wiecie.

W roku 2002 jego zalecenia zosta³y do³¹czone do raportu na temat udoskonalania

wywiadu Stanów Zjednoczonych przedstawionego prezydentowi Bushowi.

DODAJ DO KOSZYKA

CENNIK I INFORMACJE

ZAMÓW INFORMACJE

O NOWOCIACH

ZAMÓW CENNIK

CZYTELNIA

FRAGMENTY KSI¥¯EK ONLINE

Wydawnictwo Helion

ul. Chopina 6

44-100 Gliwice

tel. (32)230-98-63

e-mail: helion@helion.pl

Spis treci

O Autorze ........................................................................................19

Przedmowa......................................................................................21

Rozdział 1. Wprowadzenie .................................................................................23

1.1. Kto powinien przeczyta t ksik?.......................................................................23

1.2. Sposób organizacji ksiki ......................................................................................24

1.2.1. Konwencje zastosowane w ksice ...............................................................27

1.2.2. Podstawy........................................................................................................28

1.3. Przed czym si bronimy?.........................................................................................30

1.4. Kim s wrogowie?...................................................................................................31

1.5. Cele działania...........................................................................................................34

1.6. Koszty: Ochrona kontra włamania ..........................................................................35

1.7. Zabezpieczanie sprztu............................................................................................35

1.8. Zabezpieczanie sieci oraz dostpu modemowego...................................................35

1.9. Zabezpieczanie dostpu do systemu........................................................................36

1.10. Zabezpieczanie plików ............................................................................................37

1.11. Przygotowanie do wykrywania włamania...............................................................37

1.12. Przywracanie działania systemu po włamaniu........................................................38

Cz I Zabezpieczanie systemu.................................................39

Rozdział 2. Szybkie rozwizania najcz!stszych problemów ..................................43

2.1. Podstawy zabezpiecze1 systemu Linux...................................................................44

2.1.1. Labirynt krtych korytarzy ............................................................................44

2.1.2 Drogi przeprowadzania ataku.........................................................................49

2.1.3. Pier5cienie zabezpiecze1................................................................................52

2.2. Siedem grzechów głównych....................................................................................54

2.2.1. Słabe oraz domy5lne hasła (grzech 1)............................................................54

2.2.2. Otwarte porty sieciowe (grzech 2).................................................................56

2.2.3. Stare wersje oprogramowania (grzech 3) ......................................................59

2.2.4. Niebezpieczne oraz 9le skonfigurowane programy (grzech 4)......................60

2.2.5. Niewystarczajce zasoby oraz niewła5ciwie zdefiniowane

priorytety (grzech 5)...................................................................................67

2.2.6. Przedawnione oraz niepotrzebne konta (grzech 6)........................................70

2.2.7. Zwłoka w działaniu (grzech 7) ......................................................................71

2.3. Hasła — kluczowa kwestia dobrego zabezpieczenia ..............................................71

2.3.1. Zapobieganie słabym i domy5lnym hasłom...................................................72

Bezpieczestwo w Linuksie. Podrcznik administratora

2.4. Zaawansowane techniki dotyczce haseł.................................................................77

2.4.1. Ukrywanie haseł przy uyciu pliku shadow w celu zapewnienia

odpowiednich zabezpiecze1 .......................................................................78

2.4.2. Pro5ba o ponowne wprowadzenie hasła ........................................................79

2.4.3. Czy hasła powinny mie okre5lony okres wano5ci?....................................81

2.4.4. Nazwy kont....................................................................................................82

2.5. Zabezpieczanie systemu przed pomyłkami uytkowników ....................................83

2.5.1. Zagroenia spowodowane przez oprogramowanie importowane..................87

2.5.2. Edukacja uytkowników................................................................................88

2.6. Przebaczenie jest lepsze ni zezwolenie..................................................................89

2.6.1. Katalogi oraz sticky bit..................................................................................91

2.6.2. Wyszukiwanie problemów z prawami dostpu .............................................92

2.6.3. Wykorzystanie umask w skryptach startowych.............................................97

2.7. Zagroenia oraz 5rodki zaradcze podczas pocztkowej konfiguracji systemu........98

2.7.1. Sprawdzanie zabezpiecze1 systemu Red Hat 7.3........................................100

2.8. Ograniczanie nierozsdnego dostpu ....................................................................104

2.8.1. Ograniczenie terminali, z których mog pochodzi

nadchodzce połczenia ...........................................................................104

2.8.2. Dzwonienie z zewntrz (wardialing)...........................................................106

2.8.3. Zabezpieczanie niekontrolowanego dostpu do danych..............................107

2.8.4. Ograniczanie interfejsów serwera................................................................108

2.9. Zapory sieciowe oraz zabezpieczenia korporacyjne..............................................108

2.9.1. Zabezpieczanie obej5 zapór sieciowych ....................................................109

2.9.2. Tunelowanie poprzez zapory sieciowe........................................................113

2.9.3. Opcje jdra dotyczce protokołów ..............................................................116

2.9.4. Filtrowanie pakietów wychodzcych...........................................................117

2.9.5. Pułapki w lokalnej sieci komputerowej.......................................................118

2.9.6. Wewntrzfirmowe zapory sieciowe powstrzymujce atak..........................121

2.10. Wyłczanie niepotrzebnych usług.........................................................................125

2.11. Silne zabezpieczenia wymagaj minimalnej ilo5ci usług......................................132

2.12. Zamurowywanie luk w systemie...........................................................................133

2.12.1. Nie uywaj programu finger......................................................................133

2.12.2. Wyłczanie usługi rwhod...........................................................................135

2.12.3. Wyłczanie usługi rwalld...........................................................................136

2.12.4. Wyłczanie usługi SNMP..........................................................................136

2.15.5. Wyłczanie usług NFS, mountd oraz portmap..........................................138

2.12.6. Przełczanie usługi NFS na uywanie protokołu TCP..............................139

2.12.7. Wyłczanie usług rsh, rcp, rlogin oraz rexec.............................................140

2.12.8. Wyłczanie usług echo oraz chargen.........................................................141

2.12.9. Wyłczanie usług talk oraz ntalk...............................................................142

2.12.10. Wyłczanie usługi TFTP ...........................................................................142

2.12.11. Wyłczanie usług systat oraz netstat .........................................................142

2.12.12. Wyłczanie wewntrznych usług xinetd ...................................................143

2.13. Nowe lampy zamiast starych.................................................................................143

2.13.1. Uaktualnianie jdra w wersji 2.4 ...............................................................147

2.13.2. Uaktualnianie jdra w wersji 2.2 ...............................................................148

2.13.3. Uaktualnianie programu sendmail.............................................................148

2.13.4. Wzmacnianie programu sendmail w celu odparcia ataków DoS ..............151

2.13.5. Uaktualnianie programu SSH....................................................................154

2.13.6. Uaktualnianie usługi WU-FTPD ...............................................................154

2.13.7. Uaktualnianie programu Netscape.............................................................155

2.13.8. Blokowanie reklam internetowych............................................................156

2.14. Zjednoczeni zginiemy, podzieleni przetrwamy.....................................................157

Spis treci

Rozdział 3. Szybkie oraz proste sposoby włamania. Sposoby ich unikania..........159

3.1. X oznacza luk w zabezpieczeniach......................................................................160

3.2. Prawo dungli — zabezpieczenia fizyczne ...........................................................164

3.3. Działania fizyczne .................................................................................................169

3.3.1. Uruchamianie systemu przy uyciu dyskietki lub płyty CD włamywacza...170

3.3.2. Ponowna konfiguracja pamici CMOS .......................................................171

3.3.3. Dodawanie hasła CMOS..............................................................................172

3.3.4. Obrona przed trybem pojedynczego uytkownika ......................................173

3.3.5. Obrona przed kradzie przy uyciu dyskietki............................................175

3.3.6. Zapobieganie atakom przy uyciu kombinacji Ctrl-Alt-Del .......................175

3.4. Wybrane krótkie zagadnienia ................................................................................176

3.4.1. Modemy kablowe ........................................................................................176

3.4.2. $PATH: Katalog . grozi nieszcz5ciem.......................................................177

3.4.3. Blokowanie routingu 9ródłowego w IP .......................................................178

3.4.4. Blokowanie fałszowania adresów IP...........................................................180

3.4.5. Automatyczne blokowanie ekranu...............................................................181

3.4.6. /etc/mailcap..................................................................................................182

3.4.7. Program chattr oraz bit niezmienno5ci ........................................................183

3.4.8. Bezpieczne usuwanie danych ......................................................................184

3.4.9. Synchroniczne operacje wej5cia-wyj5cia.....................................................185

3.4.10. Znaczniki montowania słuce do zwikszenia zabezpiecze1....................186

3.4.11. Ukrywanie UDP w TCP oraz SSH..............................................................187

3.4.12. Problem z programem man..........................................................................188

3.4.13. Ustawianie ogranicze1 przy uyciu polece1 *limit.....................................190

3.4.14. Dostpna publicznie historia polece1 powłoki............................................191

3.4.15. Podstawy protokołu rozwizywania adresów (ARP) ..................................192

3.4.16. Zapobieganie modyfikacjom pamici podrcznej ARP ..............................193

3.4.17. Atakowanie przełczników..........................................................................195

3.4.18. Odpieranie ataków ARP na systemy oraz przełczniki...............................198

3.4.19. Technologia WEP........................................................................................200

3.4.20. Przechwytywanie danych z diod LED.........................................................203

3.4.21. Powrót do powłoki.......................................................................................204

3.4.22. Zabezpieczenia dostawcy ISP......................................................................205

3.4.23. Podsłuchiwanie terminali (ttysnoop)...........................................................208

3.4.24. Program Star Office.....................................................................................208

3.4.25. Programy VMware, Wine, DOSemu oraz podobne....................................209

3.5. Ataki za pomoc urzdze1 terminalowych............................................................209

3.5.1. Przechwytywanie klawisza funkcyjnego.....................................................210

3.5.2. Podatno5 na przeprogramowanie klawiszy złoonych...............................211

3.5.3. Zmiana pliku z logiem w programie xterm .................................................211

3.6. Podgldanie zawarto5ci dysku...............................................................................212

3.6.1. Prawdziwe usuwanie plików .......................................................................213

3.6.2. Usuwania starych poufnych danych umieszczonych w wolnych blokach ..216

3.6.3. Usuwanie całej zawarto5ci dysku ................................................................219

3.6.4. Zniszczenie twardego dysku........................................................................220

Rozdział 4. Powszechne włamania przy wykorzystaniu podsystemów.................221

4.1. Usługi NFS, mountd oraz portmap........................................................................222

4.2. Program Sendmail .................................................................................................224

4.2.1. Wykorzystywanie oddzielnych lub wielu serwerów pocztowych

w celu dodatkowego zabezpieczenia........................................................226

4.2.2. Podstawowe zabezpieczenia programu Sendmail .......................................227

4.2.3. Opcje bezpiecze1stwa programu Sendmail.................................................230

4.2.4. Fałszowanie adresu nadawcy wiadomo5ci pocztowych..............................234

Bezpieczestwo w Linuksie. Podrcznik administratora

4.2.5. Skd pochodz te wszystkie niechciane wiadomo5ci? ................................234

4.2.6. Wyłczanie przesyłania niechcianych wiadomo5ci.....................................237

4.2.7. Blokowanie niechcianych wiadomo5ci........................................................237

4.2.8. Oszukiwanie robotów poszukujcych adresów...........................................238

4.2.9. Umoliwianie ograniczonego zaufania........................................................238

4.2.10. Zezwalanie klientom POP oraz IMAP na wysyłanie poczty.......................240

4.2.11. Uniemoliwianie uycia otwartych list dystrybucyjnych............................241

4.2.12. Atak DoS na program Sendmail, polegajcy na zapełnieniu dysku............241

4.3. Program Telnet ......................................................................................................242

4.4. Usługa FTP............................................................................................................243

4.4.1. Konfiguracja anonimowej usługi FTP.........................................................246

4.4.2. Zagroenia spowodowane przez serwery po5redniczce FTP.....................252

4.5. Usługi rsh, rcp, rexec oraz rlogin...........................................................................253

4.5.1. Bezpiecze1stwo programów R* ..................................................................254

4.5.2. Niebezpiecze1stwo programów R* .............................................................255

4.6. Usługa DNS (named).............................................................................................256

4.6.1. Ograniczanie konsekwencji naduycia usługi named .................................257

4.6.2. Słuy człowiekowi.....................................................................................258

4.7. Serwery POP oraz IMAP.......................................................................................260

4.7.1. Hasła w wierszu polece1..............................................................................262

4.8. Konfiguracja Samby..............................................................................................264

4.8.1. Czym jest Samba?........................................................................................265

4.8.2. Wersje..........................................................................................................265

4.8.3. Czy Samba jest zainstalowana?...................................................................265

4.8.4. Jak wersj Samby posiadam?.....................................................................266

4.8.5. Plik smb.conf ...............................................................................................266

4.8.6. Plik smbpasswd............................................................................................268

4.8.7. Plik odwzorowa1 uytkowników.................................................................269

4.8.8. Pliki z logami...............................................................................................270

4.8.9. Dynamiczne pliki danych ............................................................................271

4.8.10. Bezpieczna konfiguracja Samby..................................................................271

4.8.11. Bezpiecze1stwo sieciowe usługi Samba......................................................272

4.8.12. Bezpiecze1stwo plików Samby...................................................................275

4.8.13. Bezpiecze1stwo uytkownika......................................................................280

4.8.14. Bezpiecze1stwo zarzdzania Samb............................................................284

4.8.15. Wykorzystywanie SSL z Samb..................................................................286

4.9. Blokowanie odwoła1 do programu Squid .............................................................286

4.10. Usługa syslogd.......................................................................................................290

4.11. Usługa print (lpd)...................................................................................................291

4.12. Usługa ident...........................................................................................................292

4.13. Usługi INND oraz News........................................................................................293

4.14. Bezpiecze1stwo twoich danych w firmie rejstrujcej domeny .............................294

Rozdział 5. Ataki powszechnie stosowane przez włamywaczy ...........................297

5.1. Ataki przypuszczane przy uyciu predefiniowanych narzdzi..............................298

5.2. Fałszowanie pakietów............................................................................................299

5.2.1. Dlaczego udaje si fałszowanie pakietów UDP ..........................................302

5.2.2. Fałszowanie sekwencji TCP........................................................................304

5.2.3. Przechwytywanie sesji TCP.........................................................................305

5.3. Ataki typu SYN Flood...........................................................................................306

5.4. Obrona przed atakami typu SYN Flood ................................................................307

5.5. Zapobieganie fałszowaniu sekwencji TCP............................................................307

5.6. Sztormy pakietów, ataki smurfów oraz fraglesi ....................................................308

5.6.1. Zapobieganie wykorzystaniu systemu w charakterze wzmacniacza...........310

5.6.2. Obrona przed atakiem uywajcym sztormu pakietów...............................312

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: