Cyfroteka.pl

klikaj i czytaj online

Cyfro
Czytomierz
00056 006261 19031163 na godz. na dobę w sumie
Bezpieczeństwo systemu Linux w praktyce. Receptury. Wydanie II - książka
Bezpieczeństwo systemu Linux w praktyce. Receptury. Wydanie II - książka
Autor: Liczba stron: 408
Wydawca: Helion Język publikacji: polski
ISBN: 978-83-283-5501-9 Data wydania:
Lektor:
Kategoria: ebooki >> komputery i informatyka >> hacking >> bezpieczeństwo www
Porównaj ceny (książka, ebook (-35%), audiobook).

Wokół zagadnienia bezpieczeństwa Linuksa narosło sporo mitów. Niektórzy uważają, że jako system open source nie zapewnia odpowiedniego poziomu bezpieczeństwa. Inni - że jedynie eksperci są w stanie poradzić sobie z wirusami i atakami hakerów na ten system. Są również osoby twierdzące, że Linux jest całkowicie odporny na wirusy i trudno go skompromitować. Żadne z tych twierdzeń nie jest do końca prawdziwe. Podczas konfigurowania i użytkowania systemów linuksowych bezpieczeństwo powinno być priorytetem. Istnieje wiele sposobów wykrywania i usuwania luk w zabezpieczeniach i rzetelny administrator systemu jest w stanie poradzić sobie z tym zadaniem.

Sięgnij po tę książkę, jeśli jesteś odpowiedzialny za bezpieczeństwo systemu linuksowego. Zawarto tu szereg porad i wskazówek dotyczących konfiguracji jądra, bezpieczeństwa systemu plików i sieci oraz różnych narzędzi usprawniających administrowanie systemem. Nie zabrakło omówienia specjalnych dystrybucji Linuksa, opracowanych z myślą o monitorowaniu bezpieczeństwa. Zaprezentowano zagadnienia dotyczące skanowania w poszukiwaniu luk, wykrywania włamań oraz audytowania systemu Linux. Ciekawym tematem zawartym w książce są zasady bezpiecznego korzystania z takich usług jak HTTPD, FTP i telnet. Zrozumienie zaprezentowanych tu treści jest łatwiejsze dzięki licznym praktycznym przykładom.

W tej książce między innymi:

Przygotuj się na atak. Zabezpiecz swojego Linuksa!

Znajdź podobne książki Ostatnio czytane w tej kategorii

Darmowy fragment publikacji:

Tytuł oryginału: Practical Linux Security Cookbook - Second Edition Tłumaczenie: Grzegorz Kowalczyk ISBN: 978-83-283-5501-9 Copyright © Packt Publishing 2018. First published in the English language under the title ‘Practical Linux Security Cookbook - Second Edition – (9781789138399)’. Polish edition copyright © 2019 by Helion SA All rights reserved. All rights reserved. No part of this book may be reproduced or transmitted in any form or by any means, electronic or mechanical, including photocopying, recording or by any information storage retrieval system, without permission from the Publisher. Wszelkie prawa zastrzeżone. Nieautoryzowane rozpowszechnianie całości lub fragmentu niniejszej publikacji w jakiejkolwiek postaci jest zabronione. Wykonywanie kopii metodą kserograficzną, fotograficzną, a także kopiowanie książki na nośniku filmowym, magnetycznym lub innym powoduje naruszenie praw autorskich niniejszej publikacji. Wszystkie znaki występujące w tekście są zastrzeżonymi znakami firmowymi bądź towarowymi ich właścicieli. Autor oraz Helion SA dołożyli wszelkich starań, by zawarte w tej książce informacje były kompletne i rzetelne. Nie biorą jednak żadnej odpowiedzialności ani za ich wykorzystanie, ani za związane z tym ewentualne naruszenie praw patentowych lub autorskich. Autor oraz Helion SA nie ponoszą również żadnej odpowiedzialności za ewentualne szkody wynikłe z wykorzystania informacji zawartych w książce. Helion SA ul. Kościuszki 1c, 44-100 Gliwice tel. 32 231 22 19, 32 230 98 63 e-mail: helion@helion.pl WWW: http://helion.pl (księgarnia internetowa, katalog książek) Drogi Czytelniku! Jeżeli chcesz ocenić tę książkę, zajrzyj pod adres http://helion.pl/user/opinie/bezli2 Możesz tam wpisać swoje uwagi, spostrzeżenia, recenzję. Printed in Poland. • Kup książkę • Poleć książkę • Oceń książkę • Księgarnia internetowa • Lubię to! » Nasza społeczność Spis tre(cid:258)ci O autorze O recenzencie Przedmowa Rozdzia(cid:239) 1. Problemy bezpiecze(cid:241)stwa w systemie Linux Polityka bezpiecze(cid:241)stwa Opracowanie polityki bezpiecze(cid:241)stwa Mity zwi(cid:200)zane z bezpiecze(cid:241)stwem systemu Linux Konfigurowanie zabezpiecze(cid:241) serwerów Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Polityka bezpiecze(cid:241)stwa — bezpiecze(cid:241)stwo serwera Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Definiowanie listy kontrolnej bezpiecze(cid:241)stwa Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Sprawdzanie integralno(cid:258)ci no(cid:258)nika instalacyjnego za pomoc(cid:200) funkcji skrótu Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Zobacz równie(cid:285) Szyfrowanie dysków z u(cid:285)yciem mechanizmu LUKS Przygotuj si(cid:218) Jak to zrobi(cid:202)… Co dalej? 13 14 15 21 22 22 22 23 24 25 26 26 27 28 28 29 30 30 30 31 31 31 32 32 35 Kup książkęPoleć książkę Spis tre(cid:286)ci Zastosowanie pliku sudoers — konfiguracja dost(cid:218)pu do polecenia sudo Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Co dalej? Skanowanie hostów za pomoc(cid:200) programu Nmap Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Zobacz równie(cid:285) Zdobywanie uprawnie(cid:241) u(cid:285)ytkownika root w podatnym na ataki systemie Linux Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Co dalej? Brak planu tworzenia kopii zapasowych Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Rozdzia(cid:239) 2. Konfigurowanie bezpiecznego i zoptymalizowanego j(cid:200)dra systemu Tworzenie no(cid:258)nika startowego USB Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Pobieranie kodu (cid:283)ród(cid:239)owego j(cid:200)dra systemu Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Konfigurowanie i budowanie j(cid:200)dra systemu Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Instalowanie i uruchamianie nowego j(cid:200)dra Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Testowanie nowego j(cid:200)dra i usuwanie b(cid:239)(cid:218)dów Konfigurowanie konsoli do debugowania przy u(cid:285)yciu modu(cid:239)u Netconsole Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Co dalej? Debugowanie procesu uruchamiania j(cid:200)dra Jak to zrobi(cid:202)… B(cid:239)(cid:218)dy j(cid:200)dra Przyczyny powstawania b(cid:239)(cid:218)dów j(cid:200)dra Analizowanie ustawie(cid:241) i parametrów j(cid:200)dra za pomoc(cid:200) programu Lynis Przygotuj si(cid:218) Jak to zrobi(cid:202)… 4 36 36 36 38 38 39 39 39 43 43 43 43 44 46 47 47 47 47 49 51 52 52 52 53 53 54 54 55 55 55 56 60 60 60 61 62 63 63 64 65 69 69 70 70 71 71 73 73 74 Kup książkęPoleć książkę Spis tre(cid:286)ci Rozdzia(cid:239) 3. Bezpiecze(cid:241)stwo lokalnego systemu plików Wy(cid:258)wietlanie szczegó(cid:239)owych informacji o plikach i katalogach za pomoc(cid:200) polecenia ls Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Zastosowanie polecenia chmod do ustawiania praw dost(cid:218)pu do plików i katalogów Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Co dalej? Zastosowanie polecenia chown do zmiany w(cid:239)a(cid:258)ciciela plików i katalogów Jak to zrobi(cid:202)… Co dalej? Zastosowanie list ACL do ustawiania praw dost(cid:218)pu do plików Przygotuj si(cid:218) Jak to zrobi(cid:202)… Co dalej? Operacje na plikach z u(cid:285)yciem polecenia mv (przenoszenie plików i zmiana ich nazw) Przygotuj si(cid:218) Jak to dzia(cid:239)a… Wdra(cid:285)anie systemu obowi(cid:200)zkowej kontroli dost(cid:218)pu (MAC) z wykorzystaniem rozszerzenia SELinux Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Co dalej? Zastosowanie rozszerzonych atrybutów plików do ochrony plików wra(cid:285)liwych Przygotuj si(cid:218) Jak to zrobi(cid:202)… Instalowanie i konfigurowanie prostego serwera LDAP w systemie Ubuntu Linux Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Rozdzia(cid:239) 4. Uwierzytelnianie lokalne w systemie Linux Uwierzytelnianie i logowanie si(cid:218) u(cid:285)ytkowników Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Ograniczanie mo(cid:285)liwo(cid:258)ci logowania si(cid:218) u(cid:285)ytkowników Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Blokowanie mo(cid:285)liwo(cid:258)ci logowania si(cid:218) u(cid:285)ytkowników Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… 77 78 78 78 80 80 80 81 83 83 84 84 86 86 86 87 89 90 90 90 95 95 96 97 97 98 98 99 100 100 100 106 107 107 107 108 110 110 110 111 113 113 114 114 116 5 Kup książkęPoleć książkę Spis tre(cid:286)ci Monitorowanie aktywno(cid:258)ci u(cid:285)ytkowników przy u(cid:285)yciu pakietu acct Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a…. Uwierzytelnianie u(cid:285)ytkowników za pomoc(cid:200) klucza USB i mechanizmu PAM Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Co dalej? Sprawdzanie autoryzacji u(cid:285)ytkowników Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Zarz(cid:200)dzanie dost(cid:218)pem za pomoc(cid:200) systemu IDAM Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Rozdzia(cid:239) 5. Uwierzytelnianie zdalne Zdalny dost(cid:218)p do serwera/hosta przy u(cid:285)yciu po(cid:239)(cid:200)czenia SSH Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… W(cid:239)(cid:200)czanie lub blokowanie mo(cid:285)liwo(cid:258)ci logowania si(cid:218) u(cid:285)ytkownika root za po(cid:258)rednictwem sesji SSH Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Co dalej? Ograniczanie zdalnego dost(cid:218)pu z u(cid:285)yciem sesji SSH opartej na kluczach Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Zdalne kopiowanie plików Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Konfiguracja serwera Kerberos na platformie Ubuntu Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Zastosowanie serwera LDAP do uwierzytelniania u(cid:285)ytkowników i zarz(cid:200)dzania nimi Przygotuj si(cid:218) Jak to zrobi(cid:202)… 6 116 116 118 119 120 120 120 124 124 125 125 125 128 128 128 130 132 133 133 133 134 136 137 137 137 139 139 140 140 140 142 143 143 143 146 147 147 147 155 155 155 156 Kup książkęPoleć książkę Rozdzia(cid:239) 6. Bezpiecze(cid:241)stwo sieciowe Zarz(cid:200)dzanie sieciami TCP/IP Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Zastosowanie analizatora pakietów do monitorowania ruchu w sieci Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Zastosowanie zapory sieciowej iptables Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Blokowanie po(cid:239)(cid:200)cze(cid:241) ze sfa(cid:239)szowanych adresów IP Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Blokowanie ruchu przychodz(cid:200)cego Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Konfigurowanie i stosowanie pakietu TCP Wrappers Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Blokowanie ruchu sieciowego z danego kraju przy u(cid:285)yciu zapory ModSecurity Przygotuj si(cid:218) Jak to zrobi(cid:202)… Zabezpieczanie ruchu sieciowego przy u(cid:285)yciu protoko(cid:239)u SSL Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Rozdzia(cid:239) 7. Narz(cid:218)dzia bezpiecze(cid:241)stwa sXID Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… PortSentry Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Squid Proxy Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Spis tre(cid:286)ci 161 161 161 162 165 165 166 166 169 169 169 170 174 174 174 175 177 178 178 178 181 182 182 182 186 186 186 186 191 191 191 195 197 197 198 198 200 200 200 200 204 204 204 205 208 7 Kup książkęPoleć książkę Spis tre(cid:286)ci Serwer OpenSSL Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Co dalej? Tripwire Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Shorewall Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… OSSEC Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Snort Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Rsync i Grsync — narz(cid:218)dzia do tworzenia kopii zapasowych Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Rozdzia(cid:239) 8. Dystrybucje systemu Linux zwi(cid:200)zane z bezpiecze(cid:241)stwem Kali Linux pfSense Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… DEFT Linux Jak to dzia(cid:239)a… NST Linux Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Security Onion Linux Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Tails Linux Przygotuj si(cid:218) Jak to zrobi(cid:202)… Qubes Linux Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… 8 208 209 209 213 213 215 215 215 220 220 220 221 224 224 225 225 232 232 232 233 237 237 238 238 243 245 245 251 251 252 257 257 259 259 259 260 263 263 263 264 270 270 270 270 273 273 274 280 Kup książkęPoleć książkę Spis tre(cid:286)ci Rozdzia(cid:239) 9. Usuwanie luk w zabezpieczeniach pow(cid:239)oki bash Pow(cid:239)oka bash — ataki z wykorzystaniem luki Shellshock Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Kwestie bezpiecze(cid:241)stwa — ataki z wykorzystaniem luki Shellshock Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… System zarz(cid:200)dzania aktualizacjami i poprawkami bezpiecze(cid:241)stwa Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Instalowanie aktualizacji i poprawek bezpiecze(cid:241)stwa w systemie Linux Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Inne znane podatno(cid:258)ci i luki w zabezpieczeniach systemu Linux Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Rozdzia(cid:239) 10. Monitorowanie systemu i rejestrowanie zdarze(cid:241) Przegl(cid:200)danie plików dziennika i zarz(cid:200)dzanie nimi za pomoc(cid:200) programu Logcheck Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Monitorowanie sieci za pomoc(cid:200) skanera Nmap Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Zastosowanie pakietu Glances do monitorowania systemu Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Monitorowanie dzienników zdarze(cid:241) za pomoc(cid:200) programu MultiTail Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Zastosowanie narz(cid:218)dzi systemowych — polecenie whowatch Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Zastosowanie narz(cid:218)dzi systemowych — polecenie stat Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… 281 281 282 282 284 285 285 286 290 291 291 291 297 297 297 298 300 300 300 302 303 303 304 304 306 307 307 308 311 311 312 312 315 315 315 316 318 318 318 319 321 322 322 322 325 9 Kup książkęPoleć książkę Spis tre(cid:286)ci Zastosowanie narz(cid:218)dzi systemowych — polecenie lsof Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Zastosowanie narz(cid:218)dzi systemowych — polecenie strace Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Monitorowanie sieci LAN w czasie rzeczywistym za pomoc(cid:200) pakietu IPTraf Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Monitorowanie bezpiecze(cid:241)stwa sieci za pomoc(cid:200) pakietu Suricata Przygotuj si(cid:218) Jak to zrobi(cid:202)… Monitorowanie sieci za pomoc(cid:200) pakietu OpenNMS Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Rozdzia(cid:239) 11. Bezpiecze(cid:241)stwo serwera Linux Serwer WWW — us(cid:239)uga HTTPD Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Logowanie zdalne — us(cid:239)uga Telnet Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Bezpieczne logowanie zdalne — us(cid:239)uga SSH Przygotuj si(cid:218) Jak to zrobi(cid:202)… Bezpiecze(cid:241)stwo przesy(cid:239)ania plików — us(cid:239)uga FTP Bezpieczne przesy(cid:239)anie poczty elektronicznej — us(cid:239)uga SMTP Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Rozdzia(cid:239) 12. Skanowanie i audytowanie systemu Linux Instalowanie programu antywirusowego w systemie Linux Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Skanowanie systemu za pomoc(cid:200) programu ClamAV Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… 10 325 325 325 327 328 328 328 331 331 331 332 336 336 336 337 341 341 344 348 349 349 349 349 351 352 352 352 354 354 354 355 356 358 358 358 363 365 365 366 366 368 368 369 369 372 Kup książkęPoleć książkę Spis tre(cid:286)ci Wykrywanie rootkitów Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Zastosowanie us(cid:239)ugi auditd Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Zastosowanie programów ausearch i aureport do przegl(cid:200)dania dzienników audytu Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Audytowanie us(cid:239)ug systemowych za pomoc(cid:200) polecenia systemctl Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… 372 372 372 376 376 376 376 377 378 378 378 382 382 382 383 384 Wyszukiwanie luk i podatno(cid:258)ci na ataki z u(cid:285)yciem pakietu OpenVAS Monitorowanie bezpiecze(cid:241)stwa sieci z u(cid:285)yciem systemu Security Onion Linux Rozdzia(cid:239) 13. Skanowanie w poszukiwaniu luk i podatno(cid:258)ci oraz wykrywanie w(cid:239)ama(cid:241) 385 385 386 386 389 389 389 389 394 395 395 395 397 397 397 398 400 401 Zastosowanie programu Nikto do skanowania serwerów WWW Utwardzanie systemu przy u(cid:285)yciu programu Lynis Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Przygotuj si(cid:218) Jak to zrobi(cid:202)… Jak to dzia(cid:239)a… Skorowidz 11 Kup książkęPoleć książkę Spis tre(cid:286)ci 12 Kup książkęPoleć książkę 1 Problemy bezpiecze(cid:241)stwa w systemie Linux Komputer dzia(cid:239)aj(cid:200)cy pod kontrol(cid:200) systemu Linux jest tak bezpieczny, jak go skonfiguruje jego administrator. Po zainstalowaniu wybranej dystrybucji systemu Linux i usuni(cid:218)ciu wszystkich niepotrzebnych pakietów pozosta(cid:239)ych po instalacji mo(cid:285)emy rozpocz(cid:200)(cid:202) prac(cid:218) nad zapewnieniem bezpiecze(cid:241)stwa systemu, odpowiednio konfiguruj(cid:200)c zainstalowane oprogra- mowanie i us(cid:239)ugi. W tym rozdziale omówione zostan(cid:200) nast(cid:218)puj(cid:200)ce zagadnienia: (cid:81) Konfigurowanie zabezpiecze(cid:241) serwerów. (cid:81) Polityka bezpiecze(cid:241)stwa — bezpiecze(cid:241)stwo serwera. (cid:81) Definiowanie listy kontrolnej bezpiecze(cid:241)stwa. (cid:81) Brak planu tworzenia kopii zapasowych. Znajdziesz tutaj nast(cid:218)puj(cid:200)ce porady: (cid:81) Sprawdzanie integralno(cid:258)ci no(cid:258)nika instalacyjnego za pomoc(cid:200) funkcji skrótu. (cid:81) Szyfrowanie dysków z u(cid:285)yciem mechanizmu LUKS (ang. Linux Unified Key Setup). (cid:81) Zastosowanie pliku sudoers — konfiguracja dost(cid:218)pu do polecenia sudo. (cid:81) Skanowanie hostów za pomoc(cid:200) programu Nmap. (cid:81) Zdobywanie uprawnie(cid:241) u(cid:285)ytkownika root w podatnym na ataki systemie Linux. (cid:81) Brak planu tworzenia kopii zapasowych. Kup książkęPoleć książkę Bezpiecze(cid:276)stwo systemu Linux w praktyce Polityka bezpiecze(cid:241)stwa Polityka bezpiecze(cid:241)stwa to dokument okre(cid:258)laj(cid:200)cy zasady, metody, narz(cid:218)dzia i praktyki, któ- rych nale(cid:285)y u(cid:285)ywa(cid:202) i przestrzega(cid:202) w celu zapewnienia bezpiecze(cid:241)stwa (cid:258)rodowiska kompu- terowego danej firmy czy organizacji. Dodatkowo w polityce bezpiecze(cid:241)stwa okre(cid:258)lony jest sposób, w jaki organizacja powinna zarz(cid:200)dza(cid:202) wra(cid:285)liwymi danymi, chroni(cid:202) je i przetwarza(cid:202). Opracowanie polityki bezpiecze(cid:241)stwa Tworz(cid:200)c polityk(cid:218) bezpiecze(cid:241)stwa, nale(cid:285)y pami(cid:218)ta(cid:202), (cid:285)e powinna ona by(cid:202) prosta i zrozumia(cid:239)a dla wszystkich u(cid:285)ytkowników. Celem tej polityki powinna by(cid:202) ochrona danych przy jedno- czesnym zachowaniu prywatno(cid:258)ci u(cid:285)ytkowników. Polityka bezpiecze(cid:241)stwa powinna bra(cid:202) pod uwag(cid:218) nast(cid:218)puj(cid:200)ce zagadnienia: (cid:81) dost(cid:218)pno(cid:258)(cid:202) systemu, (cid:81) uprawnienia do instalacji oprogramowania w systemie, (cid:81) uprawnienia dost(cid:218)pu do danych, (cid:81) przywracanie normalnego dzia(cid:239)ania po awarii. Zgodnie z regu(cid:239)ami polityki bezpiecze(cid:241)stwa u(cid:285)ytkownik powinien korzysta(cid:202) tylko z tych us(cid:239)ug, na korzystanie z których otrzyma(cid:239) pozwolenie. Wszystko, co nie jest dozwolone, powin- no by(cid:202) wyra(cid:283)nie okre(cid:258)lone w tej polityce. Przyjrzyjmy si(cid:218) zatem kilku powszechnym mitom na temat bezpiecze(cid:241)stwa systemu Linux. Mity zwi(cid:200)zane z bezpiecze(cid:241)stwem systemu Linux Planuj(cid:200)c wykorzystanie systemów opartych na Linuksie w swojej firmie, wielu u(cid:285)ytkowni- ków mo(cid:285)e nieco pod(cid:258)wiadomie odczuwa(cid:202) pewien niepokój. Mo(cid:285)e to by(cid:202) spowodowane fa(cid:239)- szywymi pog(cid:239)oskami na temat bezpiecze(cid:241)stwa systemu Linux powoduj(cid:200)cymi, (cid:285)e cz(cid:218)sto nie- (cid:258)wiadomie stajemy si(cid:218) ofiarami ró(cid:285)nych powszechnie pokutuj(cid:200)cych mitów. Mit — poniewa(cid:285) Linux jest systemem typu open source, uwa(cid:285)a si(cid:218), (cid:285)e nie zapewnia odpowiedniego bezpiecze(cid:241)stwa Linux, b(cid:218)d(cid:200)cy wolnym i otwartym systemem operacyjnym, posiada wiele niezaprzeczalnych zalet. Zawdzi(cid:218)cza to du(cid:285)ej spo(cid:239)eczno(cid:258)ci mocno zaanga(cid:285)owanych programistów, którzy stale kontroluj(cid:200) kod (cid:283)ród(cid:239)owy pod k(cid:200)tem wszelkich mo(cid:285)liwych zagro(cid:285)e(cid:241) bezpiecze(cid:241)stwa; dewe- loperzy systemu mog(cid:200) zapewni(cid:202) szybkie wsparcie i naprawi(cid:202) ka(cid:285)dy potencjalny problem zwi(cid:200)- zany z bezpiecze(cid:241)stwem. Aktualizacje i poprawki zabezpiecze(cid:241) s(cid:200) niemal natychmiast po opracowaniu udost(cid:218)pniane u(cid:285)ytkownikom do testowania, dzi(cid:218)ki czemu droga do ich zainsta- lowania nie jest tak d(cid:239)uga i wyboista, jak to cz(cid:218)sto bywa w innych systemach z rodziny UNIX. 22 Kup książkęPoleć książkę Rozdzia(cid:225) 1. • Problemy bezpiecze(cid:276)stwa w systemie Linux Ze wzgl(cid:218)du na ogromn(cid:200), ogólno(cid:258)wiatow(cid:200) spo(cid:239)eczno(cid:258)(cid:202) u(cid:285)ytkowników bezpiecze(cid:241)stwo Linuksa jest testowane w wielu ró(cid:285)nych (cid:258)rodowiskach komputerowych, co czyni go jednym z naj- bardziej stabilnych i bezpiecznych systemów operacyjnych. To, (cid:285)e kod systemu Linux jest dost(cid:218)pny dla programistów na ca(cid:239)ym (cid:258)wiecie, przyczynia si(cid:218) do uzyskania lepszego poziomu zabezpiecze(cid:241), zw(cid:239)aszcza w zakresie przypisywania i kontrolowania uprawnie(cid:241) u(cid:285)ytkowników. Sposób, w jaki dzia(cid:239)a ten mechanizm, tak(cid:285)e jest pochodn(cid:200) otwartego i dost(cid:218)pnego dla wszyst- kich kodu (cid:283)ród(cid:239)owego systemu. Mit — Linux jest systemem tylko dla ekspertów i tylko oni wiedz(cid:200), jak skonfigurowa(cid:202) go pod wzgl(cid:218)dem bezpiecze(cid:241)stwa Przyj(cid:218)cie za(cid:239)o(cid:285)enia, (cid:285)e Linux jest systemem tylko dla ekspertów, którzy wiedz(cid:200), jak radzi(cid:202) sobie z wirusami i atakami hakerów, jest powa(cid:285)nym b(cid:239)(cid:218)dem. Linux sta(cid:239) si(cid:218) jednym z najbar- dziej przyjaznych systemów operacyjnych, z którego mog(cid:200) korzysta(cid:202) wszyscy u(cid:285)ytkownicy — zarówno pocz(cid:200)tkuj(cid:200)cy, jak i eksperci. Linux jest bezpieczny dzi(cid:218)ki swojej solidnej architekturze. Zwykli u(cid:285)ytkownicy tego syste- mu posiadaj(cid:200) konta o relatywnie niskich uprawnieniach, które nie maj(cid:200) przywilejów u(cid:285)yt- kownika root. Mit — Linux jest systemem wolnym od wirusów Nawet je(cid:285)eli Linux zostanie nara(cid:285)ony na niebezpiecze(cid:241)stwo, to ze wzgl(cid:218)du na jego solidn(cid:200) i stabiln(cid:200) architektur(cid:218) wirusy zazwyczaj nie b(cid:218)d(cid:200) mia(cid:239)y dost(cid:218)pu do systemu na poziomie u(cid:285)ytkownika root i tym samym nie b(cid:218)d(cid:200) w stanie spowodowa(cid:202) (cid:285)adnych wi(cid:218)kszych uszko- dze(cid:241) systemu. Na serwerach dzia(cid:239)aj(cid:200)cych pod kontrol(cid:200) systemu Linux wdra(cid:285)anych jest zazwyczaj kilka po- ziomów zabezpiecze(cid:241). Serwery s(cid:200) równie(cid:285) cz(cid:218)(cid:258)ciej aktualizowane, co tak(cid:285)e pomaga zabez- pieczy(cid:202) je przed wirusami i atakami hakerów. Nie zmienia to jednak w niczym faktu, (cid:285)e istnieje wiele wirusów przygotowanych do atako- wania systemu Linux, zatem z ca(cid:239)(cid:200) pewno(cid:258)ci(cid:200) nie mo(cid:285)na powiedzie(cid:202), (cid:285)e Linux jest ca(cid:239)kowi- cie wolny od wirusów. Warto jednak zauwa(cid:285)y(cid:202), (cid:285)e wi(cid:218)kszo(cid:258)(cid:202) z(cid:239)o(cid:258)liwego oprogramowania dzia(cid:239)aj(cid:200)cego na tej platformie to wirusy o charakterze niezbyt destrukcyjnym. Konfigurowanie zabezpiecze(cid:241) serwerów Po zainstalowaniu serwera linuksowego kolejnym krokiem powinno by(cid:202) wdro(cid:285)enie i skonfi- gurowanie odpowiednich mechanizmów zabezpiecze(cid:241), tak aby zminimalizowa(cid:202) ryzyko zwi(cid:200)- zane z atakami hakerów oraz infekcjami z(cid:239)o(cid:258)liwym oprogramowaniem. G(cid:239)ówn(cid:200) przyczyn(cid:200) udanych ataków na serwery linuksowe s(cid:200) niew(cid:239)a(cid:258)ciwie wdro(cid:285)one zabezpieczenia lub pozo- stawione luki. Podczas konfigurowania serwera nale(cid:285)y post(cid:218)powa(cid:202) zgodnie z wytycznymi polity- ki bezpiecze(cid:241)stwa firmy, tak aby stworzy(cid:202) solidne (cid:258)rodowisko, które b(cid:218)dzie odporne na ataki. 23 Kup książkęPoleć książkę Bezpiecze(cid:276)stwo systemu Linux w praktyce Jak to zrobi(cid:202)… W kolejnych sekcjach omówimy najwa(cid:285)niejsze zagadnienia zwi(cid:200)zane z konfigurowaniem serwerów. Zarz(cid:200)dzanie kontami u(cid:285)ytkowników Aby bezpiecznie skonfigurowa(cid:202) konta u(cid:285)ytkowników, post(cid:218)puj zgodnie z poni(cid:285)szymi zasadami: 1. Podczas instalacji serwera linuksowego pierwszym kontem tworzonym domy(cid:258)lnie jest zawsze konto u(cid:285)ytkownika root. Konto tego u(cid:285)ytkownika powinno by(cid:202) u(cid:285)ywane tylko do wst(cid:218)pnej konfiguracji serwera. 2. Po zako(cid:241)czeniu wst(cid:218)pnej konfiguracji konto u(cid:285)ytkownika root powinno zosta(cid:202) wy(cid:239)(cid:200)czone za po(cid:258)rednictwem sesji SSH. Takie rozwi(cid:200)zanie znacz(cid:200)co utrudni potencjalnemu napastnikowi dost(cid:218)p do Twojej maszyny z systemem Linux. 3. Nast(cid:218)pnie nale(cid:285)y utworzy(cid:202) dodatkowe konto u(cid:285)ytkownika, który po zalogowaniu b(cid:218)dzie mia(cid:239) uprawnienia do zarz(cid:200)dzania systemem. Taki u(cid:285)ytkownik mo(cid:285)e mie(cid:202) uprawnienia do korzystania z polecenia sudo, je(cid:285)eli konieczne b(cid:218)dzie wykonywanie czynno(cid:258)ci administracyjnych. Zasady tworzenia hase(cid:239) Aby utworzy(cid:202) bezpieczne has(cid:239)a, post(cid:218)puj zgodnie z poni(cid:285)szymi zasadami: 1. Tworz(cid:200)c konta u(cid:285)ytkowników, upewnij si(cid:218), (cid:285)e u(cid:285)ywasz silnych hase(cid:239). Je(cid:285)eli jest to mo(cid:285)liwe, powiniene(cid:258) wymusi(cid:202) d(cid:239)ugo(cid:258)(cid:202) has(cid:239)a na poziomie od 12 do 14 znaków. 2. Je(cid:285)eli to mo(cid:285)liwe, wygeneruj has(cid:239)a losowo tak, aby zawiera(cid:239)y ma(cid:239)e i wielkie litery, cyfry oraz symbole (znaki specjalne). 3. Unikaj kombinacji hase(cid:239), które mo(cid:285)na (cid:239)atwo odgadn(cid:200)(cid:202), takich jak has(cid:239)a s(cid:239)ownikowe, wzory klawiaturowe, has(cid:239)a zawieraj(cid:200)ce nazwy kont u(cid:285)ytkowników, numery identyfikacyjne, daty urodzin, imienin. 4. Unikaj u(cid:285)ywania tego samego has(cid:239)a dwukrotnie. Zasady konfiguracji Aby bezpiecznie skonfigurowa(cid:202) zabezpieczenia serwera, respektuj poni(cid:285)sze zasady: 1. System operacyjny dzia(cid:239)aj(cid:200)cy na serwerze powinien by(cid:202) skonfigurowany zgodnie z dobrymi praktykami oraz wytycznymi zatwierdzonymi przez dzia(cid:239) IT Twojej firmy lub organizacji. 2. Ka(cid:285)da us(cid:239)uga lub aplikacja, która nie jest u(cid:285)ywana, powinna by(cid:202) wy(cid:239)(cid:200)czona lub zablokowana (o ile to mo(cid:285)liwe). 3. Ka(cid:285)dy dost(cid:218)p do us(cid:239)ug i aplikacji na serwerze powinien by(cid:202) monitorowany i rejestrowany. Logi aktywno(cid:258)ci powinny by(cid:202) odpowiednio chronione za pomoc(cid:200) metod kontroli dost(cid:218)pu. Wi(cid:218)cej szczegó(cid:239)owych informacji na ten temat znajdziesz w rozdziale 3. „Bezpiecze(cid:241)stwo lokalnego systemu plików”. 24 Kup książkęPoleć książkę Rozdzia(cid:225) 1. • Problemy bezpiecze(cid:276)stwa w systemie Linux 4. System powinien by(cid:202) cz(cid:218)sto aktualizowany, a wszelkie poprawki bezpiecze(cid:241)stwa publikowane przez dostawców oprogramowania powinny by(cid:202) instalowane na bie(cid:285)(cid:200)co, tak szybko, jak to tylko mo(cid:285)liwe. 5. Staraj si(cid:218) w jak najwi(cid:218)kszym stopniu unika(cid:202) korzystania z konta u(cid:285)ytkownika root. Pami(cid:218)taj, (cid:285)e w praktyce najlepiej stosowa(cid:202) regu(cid:239)(cid:218) najmniejszych niezb(cid:218)dnych uprawnie(cid:241). 6. Wszelkiego rodzaju uprzywilejowany dost(cid:218)p powinien by(cid:202) realizowany poprzez bezpieczne po(cid:239)(cid:200)czenie SSH (o ile to mo(cid:285)liwe). 7. Dost(cid:218)p do serwera powinien odbywa(cid:202) si(cid:218) w kontrolowanym i monitorowanym (cid:258)rodowisku. Zasady monitorowania 1. Wszystkie dzia(cid:239)ania zwi(cid:200)zane z bezpiecze(cid:241)stwem systemów serwerowych powinny by(cid:202) rejestrowane, a raporty z audytu powinny by(cid:202) przechowywane w nast(cid:218)puj(cid:200)cy sposób: (cid:81) Wszystkie dzienniki zwi(cid:200)zane z bezpiecze(cid:241)stwem powinny by(cid:202) przechowywane i dost(cid:218)pne online przez miesi(cid:200)c. (cid:81) Dzienne kopie zapasowe, jak równie(cid:285) cotygodniowe kopie zapasowe powinny by(cid:202) przechowywane przez miesi(cid:200)c. (cid:81) Miesi(cid:218)czne, pe(cid:239)ne kopie zapasowe powinny by(cid:202) przechowywane przez co najmniej dwa lata. 2. Wszelkie zdarzenia zwi(cid:200)zane z zagro(cid:285)eniami bezpiecze(cid:241)stwa powinny by(cid:202) zg(cid:239)aszane do odpowiedniego zespo(cid:239)u reagowania na incydenty wyznaczonego w dziale IT. 3. Poni(cid:285)ej przedstawiono kilka przyk(cid:239)adów zdarze(cid:241) zwi(cid:200)zanych z bezpiecze(cid:241)stwem: (cid:81) ataki powi(cid:200)zane ze skanowaniem portów, (cid:81) próby nieautoryzowanego dost(cid:218)pu do uprzywilejowanych kont u(cid:285)ytkowników, (cid:81) nietypowe zdarzenia spowodowane przez aplikacj(cid:218) dzia(cid:239)aj(cid:200)c(cid:200) na serwerze. Jak to dzia(cid:239)a… Przestrzeganie zasad przedstawionych powy(cid:285)ej mo(cid:285)e u(cid:239)atwi(cid:202) przygotowanie podstawowej konfiguracji serwera wewn(cid:218)trznego, który jest w(cid:239)asno(cid:258)ci(cid:200) danej organizacji lub jest przez ni(cid:200) zarz(cid:200)dzany. Skuteczne wdro(cid:285)enie opisanych regu(cid:239) pozwala na zminimalizowanie ryzyka nieautoryzowanego dost(cid:218)pu do poufnych i wra(cid:285)liwych informacji przechowywanych i prze- twarzanych na serwerze. 25 Kup książkęPoleć książkę Bezpiecze(cid:276)stwo systemu Linux w praktyce Polityka bezpiecze(cid:241)stwa — bezpiecze(cid:241)stwo serwera G(cid:239)ówn(cid:200) przyczyn(cid:200) udanych ataków na serwery Linuksa s(cid:200) niepoprawnie wdro(cid:285)one mecha- nizmy bezpiecze(cid:241)stwa lub podatno(cid:258)(cid:202) na ataki i luki w zabezpieczeniach. Podczas konfigu- rowania serwera nale(cid:285)y zawsze bra(cid:202) pod uwag(cid:218) wytyczne polityki bezpiecze(cid:241)stwa, dobre praktyki i rekomendacje ekspertów. Jak to zrobi(cid:202)… Oto kilka najwa(cid:285)niejszych zasad konfiguracji bezpiecznego serwera: Zasady ogólne Konfiguruj(cid:200)c serwer, warto wzi(cid:200)(cid:202) pod uwag(cid:218) nast(cid:218)puj(cid:200)ce sprawy: 1. Zarz(cid:200)dzanie wszystkimi wewn(cid:218)trznymi serwerami w organizacji powinno nale(cid:285)e(cid:202) do obowi(cid:200)zków wyspecjalizowanego zespo(cid:239)u, który powinien równie(cid:285) czuwa(cid:202) nad wszelkimi kwestiami zgodno(cid:258)ci z procedurami bezpiecze(cid:241)stwa IT. W razie wyst(cid:200)pienia jakichkolwiek problemów zwi(cid:200)zanych ze zgodno(cid:258)ci(cid:200) zespó(cid:239) taki powinien natychmiast dokona(cid:202) przegl(cid:200)du istniej(cid:200)cych procedur i wdro(cid:285)y(cid:202) zaktualizowan(cid:200) polityk(cid:218) bezpiecze(cid:241)stwa. 2. Rejestruj(cid:200)c serwery wewn(cid:218)trzne w bazie zasobów komputerowych (cid:258)rodowiska, nale(cid:285)y podawa(cid:202) szczegó(cid:239)owe dane, tak aby mo(cid:285)na by(cid:239)o zidentyfikowa(cid:202) konkretne urz(cid:200)dzenie na podstawie takich informacji jak: (cid:81) (cid:81) wersja systemu operacyjnego i konfiguracja sprz(cid:218)towa, (cid:81) us(cid:239)ugi i aplikacje dzia(cid:239)aj(cid:200)ce na serwerze. lokalizacja serwera, 3. Wszelkie dane o serwerach i innych urz(cid:200)dzeniach zamieszczane i przechowywane w bazach zasobów komputerowych (cid:258)rodowiska powinny by(cid:202) aktualizowane na bie(cid:285)(cid:200)co. Zasady konfiguracji Aby bezpiecznie skonfigurowa(cid:202) zabezpieczenia serwera, post(cid:218)puj zgodnie z poni(cid:285)szymi zasadami: 1. System operacyjny dzia(cid:239)aj(cid:200)cy na serwerze powinien by(cid:202) skonfigurowany zgodnie z dobrymi praktykami oraz wytycznymi zatwierdzonymi przez dzia(cid:239) IT Twojej firmy lub organizacji. 2. Ka(cid:285)da us(cid:239)uga lub aplikacja, która nie jest u(cid:285)ywana, powinna by(cid:202) wy(cid:239)(cid:200)czona lub zablokowana (o ile to mo(cid:285)liwe). 3. Ka(cid:285)dy dost(cid:218)p do us(cid:239)ug i aplikacji na serwerze powinien by(cid:202) monitorowany i rejestrowany. Logi aktywno(cid:258)ci powinny by(cid:202) odpowiednio chronione za pomoc(cid:200) metod kontroli dost(cid:218)pu. Wi(cid:218)cej szczegó(cid:239)owych informacji na ten temat znajdziesz w rozdziale 3. „Bezpiecze(cid:241)stwo lokalnego systemu plików”. 26 Kup książkęPoleć książkę Rozdzia(cid:225) 1. • Problemy bezpiecze(cid:276)stwa w systemie Linux 4. System powinien by(cid:202) cz(cid:218)sto aktualizowany, a wszelkie poprawki bezpiecze(cid:241)stwa publikowane przez dostawców oprogramowania powinny by(cid:202) instalowane na bie(cid:285)(cid:200)co, tak szybko, jak to tylko mo(cid:285)liwe. 5. Staraj si(cid:218) w jak najwi(cid:218)kszym stopniu unika(cid:202) korzystania z konta u(cid:285)ytkownika root. Pami(cid:218)taj, (cid:285)e w praktyce najlepiej stosowa(cid:202) regu(cid:239)(cid:218) najmniejszych niezb(cid:218)dnych uprawnie(cid:241). 6. Wszelkiego rodzaju uprzywilejowany dost(cid:218)p powinien by(cid:202) realizowany poprzez bezpieczne po(cid:239)(cid:200)czenie SSH (o ile to mo(cid:285)liwe). 7. Dost(cid:218)p do serwera powinien odbywa(cid:202) si(cid:218) w kontrolowanym i monitorowanym (cid:258)rodowisku. Zasady monitorowania Poni(cid:285)ej przedstawiono kilka podstawowych zasad bezpiecznego monitorowania dzia(cid:239)ania serwera: 1. Wszystkie dzia(cid:239)ania zwi(cid:200)zane z bezpiecze(cid:241)stwem systemów serwerowych powinny by(cid:202) rejestrowane, a raporty z audytu powinny by(cid:202) przechowywane w nast(cid:218)puj(cid:200)cy sposób: (cid:81) Wszystkie dzienniki zwi(cid:200)zane z bezpiecze(cid:241)stwem powinny by(cid:202) przechowywane i dost(cid:218)pne online przez miesi(cid:200)c. (cid:81) Dzienne kopie zapasowe, jak równie(cid:285) cotygodniowe kopie zapasowe powinny by(cid:202) przechowywane przez miesi(cid:200)c. (cid:81) Miesi(cid:218)czne, pe(cid:239)ne kopie zapasowe powinny by(cid:202) przechowywane przez co najmniej dwa lata. 2. Wszelkie zdarzenia zwi(cid:200)zane z zagro(cid:285)eniami bezpiecze(cid:241)stwa powinny by(cid:202) zg(cid:239)aszane do odpowiedniego zespo(cid:239)u reagowania na incydenty wyznaczonego w dziale IT. 3. Poni(cid:285)ej przedstawiamy kilka przyk(cid:239)adów zdarze(cid:241) zwi(cid:200)zanych z bezpiecze(cid:241)stwem: (cid:81) ataki powi(cid:200)zane ze skanowaniem portów, (cid:81) próby nieautoryzowanego dost(cid:218)pu do uprzywilejowanych kont u(cid:285)ytkowników, (cid:81) nietypowe zdarzenia spowodowane przez aplikacj(cid:218) dzia(cid:239)aj(cid:200)c(cid:200) na serwerze. Jak to dzia(cid:239)a… Przestrzeganie powy(cid:285)szych zasad mo(cid:285)e u(cid:239)atwi(cid:202) przygotowanie podstawowej konfiguracji serwera wewn(cid:218)trznego, który jest w(cid:239)asno(cid:258)ci(cid:200) danej organizacji lub jest przez ni(cid:200) zarz(cid:200)dzany. Skuteczne wdro(cid:285)enie opisanych regu(cid:239) pozwala na zminimalizowanie ryzyka nieautoryzowa- nego dost(cid:218)pu do poufnych i wra(cid:285)liwych informacji przechowywanych i przetwarzanych na serwerze. 27 Kup książkęPoleć książkę Bezpiecze(cid:276)stwo systemu Linux w praktyce Definiowanie listy kontrolnej bezpiecze(cid:241)stwa Zabezpieczanie serwera linuksowego rozpoczyna si(cid:218) od przeprowadzenia procesu utwardzania systemu, co wymaga zdefiniowania listy kontrolnej bezpiecze(cid:241)stwa systemu, która pozwala na potwierdzenie, (cid:285)e odpowiednie mechanizmy zabezpiecze(cid:241) zosta(cid:239)y poprawnie wdro(cid:285)one. Jak to zrobi(cid:202)… Oto przyk(cid:239)ady prostych list kontrolnych bezpiecze(cid:241)stwa serwera linuksowego: Instalowanie Przygotowuj(cid:200)c list(cid:218) kontroln(cid:200) bezpiecze(cid:241)stwa systemu, warto wzi(cid:200)(cid:202) pod uwag(cid:218) m.in. nast(cid:218)- puj(cid:200)ce rzeczy: (cid:81) Integralno(cid:258)(cid:202) no(cid:258)ników instalacyjnych, takich jak dyski CD-ROM/DVD czy obrazy ISO, powinna by(cid:202) zweryfikowana przy u(cid:285)yciu sumy kontrolnej. (cid:81) Przy pierwszej instalacji systemu nale(cid:285)y u(cid:285)y(cid:202) minimalnej konfiguracji niezb(cid:218)dnej do dzia(cid:239)ania serwera. (cid:81) Dobr(cid:200) praktyk(cid:200) jest tworzenie oddzielnych systemów plików dla katalogów /home i /tmp. (cid:81) Dobr(cid:200) praktyk(cid:200) jest instalowanie na serwerze tylko minimalnej ilo(cid:258)ci oprogramowania niezb(cid:218)dnego do poprawnego dzia(cid:239)ania serwera, co pozwala na zminimalizowanie ryzyka istnienia podatno(cid:258)ci na ataki czy luk w zabezpieczeniach. (cid:81) J(cid:200)dro systemu Linux i oprogramowanie instalowane na serwerze powinno by(cid:202) zaktualizowane do najnowszych dost(cid:218)pnych wersji. Uruchamianie oraz dyski Przygotowuj(cid:200)c list(cid:218) kontroln(cid:200) bezpiecze(cid:241)stwa systemu, warto wzi(cid:200)(cid:202) pod uwag(cid:218) m.in. nast(cid:218)- puj(cid:200)ce rzeczy: (cid:81) Partycje dysków powinny zosta(cid:202) zaszyfrowane przy u(cid:285)yciu takich metod jak LUKS (ang. Linux Unified Key Setup). (cid:81) Dost(cid:218)p do BIOS-u powinien zosta(cid:202) zabezpieczony za pomoc(cid:200) odpowiednio skonfigurowanego has(cid:239)a. (cid:81) Liczba urz(cid:200)dze(cid:241), z których mo(cid:285)na uruchomi(cid:202) system, powinna zosta(cid:202) ograniczona do niezb(cid:218)dnego minimum (np. tylko dysk twardy). (cid:81) Dost(cid:218)p do programu (cid:239)aduj(cid:200)cego dzia(cid:239)aj(cid:200)cego w trybie jednego u(cid:285)ytkownika (ang. single user mode) powinien by(cid:202) zabezpieczony za pomoc(cid:200) has(cid:239)a. 28 Kup książkęPoleć książkę Rozdzia(cid:225) 1. • Problemy bezpiecze(cid:276)stwa w systemie Linux Sie(cid:202) i us(cid:239)ugi Przygotowuj(cid:200)c list(cid:218) kontroln(cid:200) bezpiecze(cid:241)stwa systemu, we(cid:283) pod uwag(cid:218) m.in. nast(cid:218)puj(cid:200)ce rzeczy: (cid:81) Sprawd(cid:283) us(cid:239)ugi dzia(cid:239)aj(cid:200)ce na serwerze, przeprowadzaj(cid:200)c skanowanie otwartych portów sieciowych. (cid:81) U(cid:285)yj zapory sieciowej, takiej jak iptables/nftables, aby ograniczy(cid:202) dost(cid:218)p do us(cid:239)ug w zale(cid:285)no(cid:258)ci od potrzeb. (cid:81) Szyfruj wszystkie dane przesy(cid:239)ane przez sie(cid:202). (cid:81) Unikaj korzystania z us(cid:239)ug takich jak FTP, Telnet i Rlogin/Rsh. (cid:81) Wy(cid:239)(cid:200)cz wszystkie niepotrzebne us(cid:239)ugi. (cid:81) Korzystaj ze scentralizowanej us(cid:239)ugi uwierzytelniania. Wykrywanie w(cid:239)ama(cid:241) i ataki DoS Przygotowuj(cid:200)c list(cid:218) kontroln(cid:200) bezpiecze(cid:241)stwa systemu, we(cid:283) pod uwag(cid:218) m.in. nast(cid:218)puj(cid:200)ce rzeczy: (cid:81) Wa(cid:285)ne pliki powinny by(cid:202) na bie(cid:285)(cid:200)co monitorowane przy u(cid:285)yciu narz(cid:218)dzi do sprawdzania integralno(cid:258)ci plików, takich jak AIDE, Samhain czy AFICK. (cid:81) U(cid:285)ywaj programu antywirusowego, takiego jak ClamAV, aby chroni(cid:202) system przed z(cid:239)o(cid:258)liwymi skryptami. (cid:81) Skonfiguruj us(cid:239)ug(cid:218) logowania tak, aby dzienniki zdarze(cid:241) systemowych by(cid:239)y zapisywane i przechowywane na zdalnym komputerze, co zabezpieczy je przed usuni(cid:218)ciem oraz u(cid:239)atwi wykrywanie i analiz(cid:218) incydentów bezpiecze(cid:241)stwa oraz archiwizacj(cid:218) dzienników zdarze(cid:241). (cid:81) U(cid:285)ywaj narz(cid:218)dzi pozwalaj(cid:200)cych na zapobieganie atakom si(cid:239)owym na mechanizmy uwierzytelniania u(cid:285)ytkowników. Audyt i dost(cid:218)pno(cid:258)(cid:202) systemu Przygotowuj(cid:200)c list(cid:218) kontroln(cid:200) bezpiecze(cid:241)stwa systemu, we(cid:283) pod uwag(cid:218) m.in. nast(cid:218)puj(cid:200)ce rzeczy: (cid:81) Cz(cid:218)ste przegl(cid:200)danie dzienników zdarze(cid:241) pozwala na szybkie wykrywanie i monitorowanie podejrzanych aktywno(cid:258)ci u(cid:285)ytkowników. (cid:81) Skonfiguruj us(cid:239)ug(cid:218) auditd, która pozwala na audyt zmian przeprowadzanych w systemie. (cid:81) Sprawd(cid:283), czy kopie zapasowe systemu i danych s(cid:200) tworzone zgodnie z planem, oraz upewnij si(cid:218), (cid:285)e z wykonanej kopii zapasowej rzeczywi(cid:258)cie mo(cid:285)na przywróci(cid:202) dane. Jak to dzia(cid:239)a… Odpowiednie przygotowanie i wdro(cid:285)enie list kontrolnych bezpiecze(cid:241)stwa minimalizuje ry- zyko zwi(cid:200)zane z zagro(cid:285)eniami serwerów linuksowych i pomaga chroni(cid:202) Twoje dane przed atakami hakerów. 29 Kup książkęPoleć książkę Bezpiecze(cid:276)stwo systemu Linux w praktyce Sprawdzanie integralno(cid:258)ci no(cid:258)nika instalacyjnego za pomoc(cid:200) funkcji skrótu Za ka(cid:285)dym razem, gdy pobierasz plik obrazu ISO dowolnej dystrybucji systemu Linux, po- winien on by(cid:202) sprawdzany pod k(cid:200)tem poprawno(cid:258)ci i bezpiecze(cid:241)stwa. Mo(cid:285)na to zrobi(cid:202) poprzez wygenerowanie skrótu MD5 pobranego pliku obrazu, a nast(cid:218)pnie porównanie go z oryginaln(cid:200) warto(cid:258)ci(cid:200) skrótu publikowan(cid:200) przez organizacj(cid:218) dostarczaj(cid:200)c(cid:200) plik obrazu. Takie rozwi(cid:200)zanie pozwala na sprawdzenie integralno(cid:258)ci pobranego pliku. Je(cid:285)eli oryginalny plik zosta(cid:239) sfa(cid:239)szowany lub w jakikolwiek inny sposób zmodyfikowany, mo(cid:285)emy to wykry(cid:202) za pomoc(cid:200) porównania warto(cid:258)ci skrótów MD5. Im wi(cid:218)kszy rozmiar pliku, tym potencjalnie wi(cid:218)ksze mo(cid:285)liwo(cid:258)ci wprowadzenia w nim z(cid:239)o(cid:258)liwych zmian. W przypadku bardzo wa(cid:285)nych plików, takich jak obrazy instalacyjne systemu operacyjnego, powiniene(cid:258) zawsze sprawdza(cid:202) integralno(cid:258)(cid:202) plików, obliczaj(cid:200)c warto(cid:258)(cid:202) skrótu pobranego pliku i porównuj(cid:200)c z warto(cid:258)ci(cid:200) opublikowan(cid:200) przez autora. Przygotuj si(cid:218) Polecenie md5sum jest domy(cid:258)lnie dost(cid:218)pne w wi(cid:218)kszo(cid:258)ci dystrybucji systemu Linux, wi(cid:218)c nie musisz go osobno instalowa(cid:202). Jak to zrobi(cid:202)… Wykonaj nast(cid:218)puj(cid:200)ce czynno(cid:258)ci: 1. Otwórz okno terminala i przejd(cid:283) do katalogu zawieraj(cid:200)cego pobrany plik ISO. Poniewa(cid:285) w systemie Linux wielko(cid:258)(cid:202) liter ma znaczenie, upewnij si(cid:218), (cid:285)e poprawnie wpisa(cid:239)e(cid:258) nazw(cid:218) folderu. Na przyk(cid:239)ad Pobrane i pobrane to z punktu widzenia systemu Linux dwa ró(cid:285)ne katalogi. 2. Po przej(cid:258)ciu do katalogu z obrazem ISO wykonaj nast(cid:218)puj(cid:200)ce polecenie: md5sum ubuntu-filename.iso Polecenie md5sum wy(cid:258)wietli obliczon(cid:200) warto(cid:258)(cid:202) skrótu MD5 w jednym wierszu z nazw(cid:200) pliku, tak jak to zosta(cid:239)o pokazane poni(cid:285)ej: 8044d756b7f00b695ab8dce07dce43e5 ubuntu-filename.iso Teraz mo(cid:285)na porówna(cid:202) obliczon(cid:200) warto(cid:258)(cid:202) skrótu MD5 z warto(cid:258)ci(cid:200) podan(cid:200) na stronie UbuntuHashes (https://help.ubuntu.com/community/UbuntuHashes). Po otwarciu strony UbuntuHashes wystarczy skopiowa(cid:202) wcze(cid:258)niej obliczon(cid:200) warto(cid:258)(cid:202) skrótu i wklei(cid:202) w polu wyszukiwania na stronie. 30 Kup książkęPoleć książkę Rozdzia(cid:225) 1. • Problemy bezpiecze(cid:276)stwa w systemie Linux Jak to dzia(cid:239)a… Je(cid:285)eli obliczona warto(cid:258)(cid:202) skrótu i warto(cid:258)(cid:202) podana na stronie UbuntuHashes s(cid:200) identyczne, wówczas mamy pewno(cid:258)(cid:202), (cid:285)e pobrany plik nie jest uszkodzony. W przypadku gdy warto(cid:258)ci skrótów nie pasuj(cid:200) do siebie, istnieje mo(cid:285)liwo(cid:258)(cid:202), (cid:285)e plik zosta(cid:239) sfa(cid:239)szowany lub uszkodzony. W takiej sytuacji powiniene(cid:258) ponownie pobra(cid:202) plik. Je(cid:285)eli problem nadal wyst(cid:218)puje, powi- niene(cid:258) zg(cid:239)osi(cid:202) go do administratora serwera. Zobacz równie(cid:285) Je(cid:285)eli nie chcesz liczy(cid:202) skrótów z poziomu konsoli, mo(cid:285)esz skorzysta(cid:202) z jednego z wielu programów wyposa(cid:285)onych w graficzny interfejs u(cid:285)ytkownika. Czasami obliczanie warto(cid:258)ci skrótów bezpo(cid:258)rednio z poziomu wiersza polece(cid:241) mo(cid:285)e by(cid:202) niewygodne albo po prostu niepraktyczne. Aby obliczy(cid:202) taki skrót, musisz zna(cid:202) dok(cid:239)adn(cid:200) nazw(cid:218) pobranego pliku, a tak(cid:285)e nazw(cid:218) folderu, w którym zosta(cid:239) zapisany, co na d(cid:239)u(cid:285)sz(cid:200) met(cid:218) mo(cid:285)e by(cid:202) nieco uci(cid:200)(cid:285)liwe. Rozwi(cid:200)zaniem mo(cid:285)e by(cid:202) bardzo ma(cid:239)e i proste narz(cid:218)dzie o nazwie GtkHash, które zosta(cid:239)o wyposa(cid:285)one w wygodny interfejs GUI (ang. Graphic User Interface). Program mo(cid:285)na pobra(cid:202) ze strony http://gtkhash.sourceforge.net/ albo zainstalowa(cid:202) za pomoc(cid:200) nast(cid:218)puj(cid:200)cego polecenia: sudo apt-get install gtkhash Szyfrowanie dysków z u(cid:285)yciem mechanizmu LUKS W wielu firmach, organizacjach i urz(cid:218)dach pa(cid:241)stwowych do zabezpieczania wra(cid:285)liwych i po- ufnych informacji, takich jak dane osobowe pracowników i klientów, wa(cid:285)ne pliki, projekty, stosuje si(cid:218) szyfrowanie dysków. W systemie Linux dost(cid:218)pnych jest wiele mechanizmów kryptograficznych, które mog(cid:200) by(cid:202) u(cid:285)ywane do ochrony danych na urz(cid:200)dzeniach fizycznych, takich jak dyski twarde czy no(cid:258)niki wymienne. Jednym z takich rozwi(cid:200)za(cid:241) jest szyfrowanie dysków z u(cid:285)yciem mechanizmu LUKS (ang. Linux Unified Key Setup), który pozwala na szy- frowanie ca(cid:239)ych partycji systemu Linux. Kilka najwa(cid:285)niejszych cech mechanizmu LUKS: (cid:81) Pozwala na szyfrowanie ca(cid:239)ych urz(cid:200)dze(cid:241) blokowych; LUKS doskonale nadaje si(cid:218) do ochrony danych na no(cid:258)nikach wymiennych lub dyskach laptopów. (cid:81) Wykorzystuje sterownik device-mapper z j(cid:200)dra systemu Linux. (cid:81) Mo(cid:285)e wymusza(cid:202) stosowanie silnych hase(cid:239), co pomaga chroni(cid:202) system przed atakami s(cid:239)ownikowymi. 31 Kup książkęPoleć książkę Bezpiecze(cid:276)stwo systemu Linux w praktyce Przygotuj si(cid:218) Aby opisany poni(cid:285)ej proces zadzia(cid:239)a(cid:239) poprawnie, podczas instalacji systemu Linux powiniene(cid:258) utworzy(cid:202) oddzieln(cid:200) partycj(cid:218), która zostanie zaszyfrowana za pomoc(cid:200) mechanizmu LUKS. Konfiguracja szyfrowania mechanizmu LUKS przy u(cid:285)yciu kroków podanych poni(cid:285)ej spowoduje usuni(cid:218)- cie wszystkich danych z szyfrowanej partycji. Z tego powodu przed rozpocz(cid:218)ciem korzystania z LUKS-a, upewnij si(cid:218), (cid:285)e posiadasz kopi(cid:218) zapasow(cid:200) szyfrowanej partycji zapisan(cid:200) na dysku zewn(cid:218)trznym. Jak to zrobi(cid:202)… Przygod(cid:218) z szyfrowaniem zaczniemy od r(cid:218)cznego zaszyfrowania wybranych katalogów. Aby to zrobi(cid:202), powiniene(cid:258) wykona(cid:202) nast(cid:218)puj(cid:200)ce kroki: 1. Zainstaluj pakiet cryptsetup za pomoc(cid:200) polecenia pokazanego poni(cid:285)ej. Cryptsetup jest narz(cid:218)dziem u(cid:285)ywanym do tworzenia zaszyfrowanych systemów plików: apt-get install cryptsetup Wyniki wykonania tego polecenia zosta(cid:239)y pokazane na rysunku poni(cid:285)ej: 2. Zaszyfruj partycj(cid:218) /dev/sdb1, która w naszym przyk(cid:239)adzie jest urz(cid:200)dzeniem przeno(cid:258)nym. Aby zaszyfrowa(cid:202) ca(cid:239)(cid:200) partycj(cid:218), wpisz nast(cid:218)puj(cid:200)ce polecenie: cryptsetup -y -v luksFormat /dev/sdb1 Oto wynik dzia(cid:239)ania tego polecenia: 32 Kup książkęPoleć książkę Rozdzia(cid:225) 1. • Problemy bezpiecze(cid:276)stwa w systemie Linux Wykonanie tego polecenia powoduje zainicjowanie partycji oraz ustawienie has(cid:239)a. Upewnij si(cid:218), (cid:285)e b(cid:218)dziesz pami(cid:218)ta(cid:239) ustawione has(cid:239)o. 3. Teraz otwórz nowo utworzone, zaszyfrowane urz(cid:200)dzenie, tworz(cid:200)c odpowiednie mapowanie: 4. Sprawd(cid:283), czy zmapowane urz(cid:200)dzenie jest dost(cid:218)pne: ls -l /dev/mapper/backup2 Wyniki dzia(cid:239)ania tego polecenia jest taki: 5. Sprawd(cid:283) status zmapowanego urz(cid:200)dzenia, wykonuj(cid:200)c nast(cid:218)puj(cid:200)ce polecenie: 6. Wy(cid:258)wietl nag(cid:239)ówek LUKS-a. Aby to zrobi(cid:202), wykonaj nast(cid:218)puj(cid:200)ce polecenie: 33 Kup książkęPoleć książkę Bezpiecze(cid:276)stwo systemu Linux w praktyce 7. Nast(cid:218)pnie zapisz ca(cid:239)e dost(cid:218)pne miejsce na urz(cid:200)dzeniu /dev/mapper/backup2 zerami. Mo(cid:285)esz to zrobi(cid:202) przy u(cid:285)yciu nast(cid:218)puj(cid:200)cego polecenia: Poniewa(cid:285) wykonanie polecenia dd mo(cid:285)e zaj(cid:200)(cid:202) wiele godzin, u(cid:285)ywamy tutaj polecenia pv do monitorowania post(cid:218)pów dzia(cid:239)ania. 8. Teraz utwórz system plików: mkfs.ext4 /dev/mapper/backup2 Wyniki dzia(cid:239)ania tego polecenia pokazano poni(cid:285)ej: 9. Nast(cid:218)pnie zamontuj nowy system plików i upewnij si(cid:218), (cid:285)e jest dost(cid:218)pny: 34 Kup książkęPoleć książkę Rozdzia(cid:225) 1. • Problemy bezpiecze(cid:276)stwa w systemie Linux Gratulacje! Uda(cid:239)o Ci si(cid:218) utworzy(cid:202) zaszyfrowan(cid:200) partycj(cid:218). Teraz mo(cid:285)esz bezpiecznie prze- chowywa(cid:202) na niej wszystkie swoje dane, nawet je(cid:285)eli komputer jest wy(cid:239)(cid:200)czony. Co dalej? Wykonaj nast(cid:218)puj(cid:200)ce polecenia, aby odmontowa(cid:202) zaszyfrowan(cid:200) partycj(cid:218) i zabezpieczy(cid:202) na niej dane: umount /backup2 cryptsetup luksClose backup Aby ponownie zamontowa(cid:202) zaszyfrowan(cid:200) partycj(cid:218), nale(cid:285)y wykona(cid:202) nast(cid:218)puj(cid:200)ce polecenia: cryptsetup luksOpen /dev/xvdc backup2 mount /dev/mapper/backup2 /backup2 df -H mount 35 Kup książkęPoleć książkę Bezpiecze(cid:276)stwo systemu Linux w praktyce Zastosowanie pliku sudoers — konfiguracja dost(cid:218)pu do polecenia sudo Plik sudoers to bardzo u(cid:285)yteczny mechanizm systemu Linux, pozwalaj(cid:200)cy administratorowi systemu na przyznanie zwi(cid:218)kszonych uprawnie(cid:241) zaufanemu, regularnemu u(cid:285)ytkownikowi, jednak bez konieczno(cid:258)ci faktycznego dzielenia si(cid:218) has(cid:239)em u(cid:285)ytkownika root. Zamiast tego administrator musi po prostu doda(cid:202) nazw(cid:218) konta zwyk(cid:239)ego u(cid:285)ytkownika do listy sudoers. Po dodaniu u(cid:285)ytkownika do listy sudoers mo(cid:285)e on wykona(cid:202) ka(cid:285)de polecenie administracyjne, poprzedzaj(cid:200)c je komend(cid:200) sudo. Nast(cid:218)pnie u(cid:285)ytkownik zostaje poproszony o podanie w(cid:239)asnego has(cid:239)a. Po wpisaniu poprawnego has(cid:239)a polecenie administracyjne zostaje wykonane w taki sam sposób jak przez u(cid:285)ytkownika root. Przygotuj si(cid:218) Poniewa(cid:285) plik konfiguracyjny jest predefiniowany, a wszystkie u(cid:285)ywane polecenia s(cid:200) wbu- dowanymi poleceniami pow(cid:239)oki, przed rozpocz(cid:218)ciem tego (cid:202)wiczenia nie s(cid:200) potrzebne (cid:285)adne dodatkowe przygotowania. Jak to zrobi(cid:202)… Wykonaj nast(cid:218)puj(cid:200)ce kroki: 1. Najpierw utworzysz normalne konto u(cid:285)ytkownika, a nast(cid:218)pnie dasz mu dost(cid:218)p do polecenia sudo. Kiedy to zrobisz, b(cid:218)dziesz móg(cid:239) u(cid:285)y(cid:202) polecenia sudo z nowego konta, a nast(cid:218)pnie b(cid:218)dziesz móg(cid:239) wykona(cid:202) polecenia administracyjne. Aby skonfigurowa(cid:202) dost(cid:218)p do polecenia sudo, powiniene(cid:258) uwa(cid:285)nie wykona(cid:202) opisane dalej kroki. Najpierw zaloguj si(cid:218) do systemu jako u(cid:285)ytkownik root, a nast(cid:218)pnie utwórz nowe konto u(cid:285)ytkownika za pomoc(cid:200) polecenia useradd, jak pokazano na rysunku. Zamiast ci(cid:200)gu znaków USERNAME wpisz (cid:285)(cid:200)dan(cid:200) nazw(cid:218) konta u(cid:285)ytkownika: 2. Teraz, u(cid:285)ywaj(cid:200)c polecenia passwd, ustaw has(cid:239)o dla nowego konta u(cid:285)ytkownika, jak pokazano na kolejnym rysunku: 36 Kup książkęPoleć książkę Rozdzia(cid:225) 1. • Problemy bezpiecze(cid:276)stwa w systemie Linux 3. Nast(cid:218)pnie otwórz do edycji plik /etc/sudoers. Aby to zrobi(cid:202), powiniene(cid:258) u(cid:285)y(cid:202) polecenia visudo, tak jak to zosta(cid:239)o pokazane na rysunku poni(cid:285)ej. Regu(cid:239)y u(cid:285)ywania polecenia sudo s(cid:200) definiowane w pliku /etc/sudoers: 4. Po otwarciu pliku w edytorze wyszukaj wiersze, które umo(cid:285)liwiaj(cid:200) dost(cid:218)p do polecenia sudo u(cid:285)ytkownikom znajduj(cid:200)cym si(cid:218) w grupie test: 5. Wybran(cid:200) konfiguracj(cid:218) mo(cid:285)esz w(cid:239)(cid:200)czy(cid:202), usuwaj(cid:200)c znak komentarza (#) znajduj(cid:200)cy si(cid:218) na pocz(cid:200)tku drugiego wiersza. Po dokonaniu zmian zapisz plik i wyjd(cid:283) z edytora. Nast(cid:218)pnie, u(cid:285)ywaj(cid:200)c polecenia usermod, dodaj wcze(cid:258)niej utworzone konto u(cid:285)ytkownika do grupy test: 6. Teraz musisz sprawdzi(cid:202), czy utworzona konfiguracja pozwala nowemu u(cid:285)ytkownikowi na uruchamianie polece(cid:241) przy u(cid:285)yciu sudo. 7. Aby prze(cid:239)(cid:200)czy(cid:202) si(cid:218) na nowo utworzone konto u(cid:285)ytkownika, nale(cid:285)y u(cid:285)y(cid:202) polecenia su: 8. Teraz zastosuj polecenie groups, aby potwierdzi(cid:202), (cid:285)e konto u(cid:285)ytkownika zosta(cid:239)o dodane do grupy test: Na koniec, z poziomu nowego konta, powiniene(cid:258) wykona(cid:202) polecenie sudo whoami. Poniewa(cid:285) polecenie sudo wykonujemy na tym koncie po raz pierwszy, na ekranie zostanie wy(cid:258)wietlony domy(cid:258)lny komunikat informacyjny, a nast(cid:218)pnie zostaniesz poproszony o podanie has(cid:239)a dla tego konta: 37 Kup książkęPoleć książkę Bezpiecze(cid:276)stwo systemu Linux w praktyce 9. Ostatnim wierszem wy(cid:258)wietlanym na ekranie jest nazwa u(cid:285)ytkownika, b(cid:218)d(cid:200)ca wynikiem dzia(cid:239)ania polecenia whoami. Je(cid:285)eli polecenie sudo zosta(cid:239)o skonfigurowane poprawnie, na ekranie pojawi si(cid:218) nazwa root. Uda(cid:239)o Ci si(cid:218) pomy(cid:258)lnie skonfigurowa(cid:202) konto u(cid:285)ytkownika z dost(cid:218)pem do polecenia sudo. Mo(cid:285)esz teraz zalogowa(cid:202) si(cid:218) na to nowe konto i u(cid:285)ywa(cid:202) sudo do uruchamiania innych pole- ce(cid:241) na prawach u(cid:285)ytkownika root. Jak to dzia(cid:239)a… Gdy zak(cid:239)adasz nowe konto u(cid:285)ytkownika, nie ma ono uprawnie(cid:241) do uruchamiania polece(cid:241) administratora. Jednak po dodaniu do pliku /etc/sudoers odpowiedniego wpisu daj(cid:200)cego nowemu u(cid:285)ytkownikowi dost(cid:218)p do polecenia sudo mo(cid:285)na zacz(cid:200)(cid:202) u(cid:285)ywa(cid:202) tego nowego konta u(cid:285)ytkownika do uruchamiania wszystkich polece(cid:241) na prawach u(cid:285)ytkownika root. Co dalej? Oto kilka dodatkowych (cid:258)rodków, które mo(cid:285)na podj(cid:200)(cid:202) w celu zwi(cid:218)kszenia bezpiecze(cid:241)stwa systemu. Ocena podatno(cid:258)ci Ocena podatno(cid:258)ci to proces kontroli bezpiecze(cid:241)stwa sieci i systemów, dzi(cid:218)ki któremu mo(cid:285)- na uzyska(cid:202) informacje na temat poufno(cid:258)ci, integralno(cid:258)ci i dost(cid:218)pno(cid:258)ci (cid:258)rodowiska kompute- rowego. Pierwszym etapem oceny podatno(cid:258)ci jest rozpoznanie, maj(cid:200)ce na celu zebranie in- formacji o badanym (cid:258)rodowisku. Nast(cid:218)pnie przechodzimy do skanowania w poszukiwaniu podatno(cid:258)ci, w ramach którego staramy si(cid:218) wyszuka(cid:202) wszystkie istniej(cid:200)ce luki i s(cid:239)abo(cid:258)ci za- bezpiecze(cid:241). Wreszcie na koniec nast(cid:218)puje faza raportowania, w której opisujemy wszystkie znalezione podatno(cid:258)ci, grupuj(cid:200)c je wed(cid:239)ug kategorii niskiego, (cid:258)redniego i wysokiego ryzyka. 38 Kup książkęPoleć książkę Rozdzia(cid:225) 1. • Problemy bezpiecze(cid:276)stwa w systemie Linux Skanowanie hostów za pomoc(cid:200) programu Nmap Nmap, który mo(cid:285)e by(cid:202) u(cid:285)ywany do skanowania sieci, jest jednym z najpopularniejszych na- rz(cid:218)dzi dost(cid:218)pnych w systemie Linux. Nmap jest dost(cid:218)pny ju(cid:285) od wielu lat i obecnie to jeden z najpopularniejszych skanerów sieciowych. Program ten jest u(cid:285)ywany przez administrato- rów do wyszukiwania hostów, skanowania otwartych portów, a nawet skanowania w poszu- kiwaniu podatno(cid:258)ci. Je(cid:285)eli planujesz przeprowadzenie oceny podatno(cid:258)ci Twojego systemu, Nmap jest z pewno(cid:258)ci(cid:200) narz(cid:218)dziem, którego nie mo(cid:285)esz przegapi(cid:202). Przygotuj si(cid:218) Wi(cid:218)kszo(cid:258)(cid:202) wspó(cid:239)czesnych dystrybucji systemu Linux jest dostarczana z ju(cid:285) zainstalowanym pakietem Nmap. Pomimo to Twoim pierwszym krokiem powinno zawsze by(cid:202) sprawdzenie, czy Nmap jest rzeczywi(cid:258)cie zainstalowany w Twoim systemie. Mo(cid:285)esz to zrobi(cid:202) za pomoc(cid:200) nast(cid:218)puj(cid:200)cego polecenia: nmap --version Je(cid:285)eli Nmap jest zainstalowany, wyniki dzia(cid:239)ania powy(cid:285)szego polecenia powinny by(cid:202) mniej wi(cid:218)cej takie: Je(cid:285)eli Nmap nie jest jednak zainstalowany, mo(cid:285)esz go pobra(cid:202) ze strony https://nmap.org/ download.html. Aby szybko zainstalowa(cid:202) pakiet Nmap w systemie Linux opartym na dystrybucji Debian, mo(cid:285)esz u(cid:285)y(cid:202) nast(cid:218)puj(cid:200)cego polecenia: sudo apt-get install nmap Jak to zrobi(cid:202)… Aby przeskanowa(cid:202) wybran(cid:200) podsie(cid:202) za pomoc(cid:200) programu Nmap, powiniene(cid:258) wykona(cid:202) na- st(cid:218)puj(cid:200)ce polecenia: 1. Najcz(cid:218)stszym zastosowaniem programu Nmap jest znalezienie wszystkich hostów dost(cid:218)pnych online w danym zakresie adresów IP. Skanowanie sieci z u(cid:285)yciem domy(cid:258)lnych ustawie(cid:241) skanera Nmap mo(cid:285)e jednak troch(cid:218) potrwa(cid:202), w zale(cid:285)no(cid:258)ci od rozmiarów skanowanej podsieci oraz liczby dost(cid:218)pnych w niej hostów. 39 Kup książkęPoleć książkę Bezpiecze(cid:276)stwo systemu Linux w praktyce 2. Przyk(cid:239)ad takiego skanowania zosta(cid:239) pokazany poni(cid:285)ej: 3. Aby przeprowadzi(cid:202) skanowanie typu SYN hosta o wybranym adresie IP, powiniene(cid:258) u(cid:285)y(cid:202) nast(cid:218)puj(cid:200)cego polecenia: 4. Je(cid:285)eli skanowanie typu SYN nie dzia(cid:239)a poprawnie lub nie przynios(cid:239)o oczekiwanych rezultatów, mo(cid:285)esz równie(cid:285) u(cid:285)y(cid:202) skanowania typu Stealth: 40 Kup książkęPoleć książkę Rozdzia(cid:225) 1. • Problemy bezpiecze(cid:276)stwa w systemie Linux 5. Aby sprawdzi(cid:202), jakie us(cid:239)ugi dzia(cid:239)aj(cid:200) na zdalnym komputerze, mo(cid:285)na wykona(cid:202) skanowanie us(cid:239)ug z wykrywaniem numerów wersji (ang. Service Version Detection) w nast(cid:218)puj(cid:200)cy sposób: 6. Je(cid:285)eli chcia(cid:239)by(cid:258) wykry(cid:202) system operacyjny dzia(cid:239)aj(cid:200)cy na zdalnym systemie, uruchom poni(cid:285)sze polecenie: nmap -O 192.168.1.102 41 Kup książkęPoleć książkę Bezpiecze(cid:276)stwo systemu Linux w praktyce 7. Fragment przyk(cid:239)adowych wyników dzia(cid:239)ania takiego polecenia zosta(cid:239) pokazany na rysunku poni(cid:285)ej: 8. Je(cid:285)eli chcia(cid:239)by(cid:258) przeskanowa(cid:202) tylko wybrany port sieciowy danego hosta, np. port 80, mo(cid:285)esz u(cid:285)y(cid:202) nast(cid:218)puj(cid:200)cego polecenia: 42 Kup książkęPoleć książkę Rozdzia(cid:225) 1. • Problemy bezpiecze(cid:276)stwa w systemie Linux Jak to dzia(cid:239)a… Za pomoc(cid:200) skanera Nmap mo(cid:285)emy sprawdzi(cid:202), jakie us(cid:239)ugi dzia(cid:239)aj(cid:200) na poszczególnych por- tach sieciowych. Informacje takie pozwalaj(cid:200) administratorowi sieci wy(cid:239)(cid:200)cza(cid:202) niepotrzebne us(cid:239)ugi sieciowe i zamyka(cid:202) nieu(cid:285)ywane porty. W przyk(cid:239)adach przedstawionych powy(cid:285)ej po- kazano, jak zastosowa(cid:202) program Nmap do skanowania portów i badania otaczaj(cid:200)cej nas sieci. Zobacz równie(cid:285) Nmap posiada tak(cid:285)e w(cid:239)asny j(cid:218)zyk skryptowy, którego mo(cid:285)emy u(cid:285)ywa(cid:202) do pisania w(cid:239)asnych skryptów. Skrypty NSE (ang. Nmap Scripting Engine) mog(cid:200) by(cid:202) u(cid:285)ywane do automatyzowania procesu skanowania i zwi(cid:218)kszania mo(cid:285)liwo(cid:258)ci programu. Wi(cid:218)cej szczegó(cid:239)owych informacji na temat skanera Nmap znajdziesz na stronie https://nmap.org/. Zdobywanie uprawnie(cid:241) u(cid:285)ytkownika root w podatnym na ataki systemie Linux Kiedy chcesz si(cid:218) dowiedzie(cid:202), jak skanowa(cid:202) i prze(cid:239)amywa(cid:202) zabezpieczenia systemu Linux, napotykasz zwykle na jeden powa(cid:285)ny problem: gdzie mo(cid:285)na tego spróbowa(cid:202). W(cid:239)a(cid:258)nie w takim celu zespó(cid:239) twórców pakietu Metasploit opracowa(cid:239) i udost(cid:218)pni(cid:239) maszyn(cid:218) wirtualn(cid:200) o nazwie Metasploitable, która zosta(cid:239)a celowo wyposa(cid:285)ona w szereg podatnych na ataki us(cid:239)ug i pro- gramów. Dzi(cid:218)ki temu maszyna Metasploitable jest (cid:258)wietn(cid:200) platform(cid:200) do (cid:202)wicze(cid:241) w zakresie skanowania i rozwijania umiej(cid:218)tno(cid:258)ci przeprowadzania testów penetracyjnych. W tym pod- rozdziale dowiemy si(cid:218), jak skanowa(cid:202) systemy linuksowe, a tak(cid:285)e jak na podstawie otrzyma- nych wyników znale(cid:283)(cid:202) us(cid:239)ug(cid:218) podatn(cid:200) na ataki. Nast(cid:218)pnie, wykorzystuj(cid:200)c tak(cid:200) us(cid:239)ug(cid:218), spró- bujemy uzyska(cid:202) nieautoryzowany dost(cid:218)p do systemu na poziomie u(cid:285)ytkownika root. Przygotuj si(cid:218) W tej sekcji b(cid:218)dziemy u(cid:285)ywa(cid:202) systemu Kali Linux oraz maszyny wirtualnej Metasploitable. Pliki obrazów maszyny wirtualnej Metasploitable oraz systemu Kali Linux mo(cid:285)esz pobra(cid:202) z nast(cid:218)puj(cid:200)cych stron: (cid:81) http://sourceforge.net/projects/metasploitable/files/Metasploitable2/, (cid:81) https://images.offensive-security.com/virtual-images/kali-linux-2018.2-vm-i386.zip. 43 Kup książkęPoleć książkę Bezpiecze(cid:276)stwo systemu Linux w praktyce Jak to zrobi(cid:202)… Metasploit Framework jest narz(cid:218)dziem typu open source u(cid:285)ywanym przez specjalistów ds. bezpiecze(cid:241)stwa na ca(cid:239)ym (cid:258)wiecie do przeprowadzania testów penetracyjnych i wykorzysty- wania exploitów. Pakiet Metasploit jest domy(cid:258)lnie zainstalowany w systemie Kali Linux (ten system operacyjny jest naj
Pobierz darmowy fragment (pdf)

Gdzie kupić całą publikację:

Bezpieczeństwo systemu Linux w praktyce. Receptury. Wydanie II
Autor:

Opinie na temat publikacji:


Inne popularne pozycje z tej kategorii:


Czytaj również:


Prowadzisz stronę lub blog? Wstaw link do fragmentu tej książki i współpracuj z Cyfroteką: