Личный блог Suvan`a, посвященный безопасности Linux. http://suvan.ru/ Индивидуальный блог о Linux. Теоретические материалы об угрозах и уязвимостях операционной системы Linux. Статьи об установке и настройке Linux. Новости о обнаруженных уязвимостях, дистрибутивах и обновлениях основных сервисов системы Linux. Инструкции, как обезопасить свой компьютер при работе в сети Internet. Практические руководства, справочники, статьи на тему организации защиты системы Linux. Sun, 28 Aug 2011 17:22:06 +0300 en-ru MaxSite CMS (http://max-3000.com/) Copyright 2018, http://suvan.ru/ Восстановление после взлома http://suvan.ru/page/vosstanovlenie-posle-vzloma.html http://suvan.ru/page/vosstanovlenie-posle-vzloma.html Sun, 28 Aug 2011 17:22:06 +0300      Даже если вы следовали всем рекомендациям, приведенным выше, никто не может гарантировать 100%-ю безопасность вашей системы, поэтому психологически нужно быть готовым, что вашу систему можно взломать. Если же это случилось, нужно подумать, как вы будете восстанавливать систему. Причем лучше подумать заранее, чем потом, когда это уже случилось.

     Обнаружение нарушения безопасности

     Огромное количество взломов системы остается незамеченным администраторами долгое время - от нескольких дней до нескольких месяцев или даже лет. Если вы обнаружили, что ваша система взломана, то будьте уверены - она была взломана задолго до того, как вы это обнаружили. Мало просто обнаружить, что система взломана, нужно еще выявить и устранить «дыру» в системе безопасности. Но не думайте, что это простая задача.

     Хотя знания среднего крекера можно с натяжкой считать умеренными, он может использовать утилиты, скрывающие его присутствие, написанные более образованными крекерами. Зачастую знания опытного крекера (того, кто пишет подобные программы), превышают знания среднего администратора.

     Самое первое, что нужно сделать - это отключить вашу машину от сети (мы подразумеваем, что ваша система была взломана именно по сети, а не локальным пользователем, у которого есть физический доступ к машине). После этого в спокойной обстановке (если ее можно назвать таковой, когда за спиной стоят десятка два пользователей с одним вопросом: «Когда будет работать сервер?») нужно проанализировать ваши протоколы. Да, крекер может модифицировать протоколы, но он этого не сделает, если вы следовали приведенным в книге рекомендациям и установили одну из ACL (хотя быту же LIDS).

Читать полностью »

Обсудить]]>
Производительность и создание правил Snort. http://suvan.ru/page/proizvoditelnost-i-sozdanie-pravil-snort.html http://suvan.ru/page/proizvoditelnost-i-sozdanie-pravil-snort.html Sun, 28 Aug 2011 16:55:30 +0300      Если у вас быстрое интернет-соединение (более 10 Мб), при запуске Snort на брандмауэре вы не заметите особого снижения производительности. Ситуация несколько иная, если Snort запускается внутри LAN. Поскольку скорости здесь значительно выше - от 100 Мб до 1 Гб, производительность может снизиться.

     Для решения этой проблемы вам нужно использовать утилиту Barnyard Logging - ее можно взять на сайте Snort. Когда она запущена, Snort передает ей свой вывод в двоичном виде для последующей обработки, что может несколько скрасить ситуацию с производительностью.

     Если использование Barnyard Logging особых результатов не дало, можно использовать модифицированную версию libpcap (http://public.lanl.gov/cpw/). Данная версия использует разделяемую память, в результате чего больше не нужно копировать данные из памяти ядра в пользовательскую память. Благодаря этому повышается производительность.

Читать полностью »

Обсудить]]>
Обнаружение вторжений. Установка snort. http://suvan.ru/page/snort.html http://suvan.ru/page/snort.html Wed, 06 Apr 2011 07:49:26 +0300      Системы обнаружения вторжения (Intrusion Detection System) выполняют мониторинг сети, что позволяет обнаружить различные атаки. Большинство IDS используют два метода обнаружения вторжения: на основании сигнатуры (IDS «знает» сигнатуру многих эксплоитов) и метод обнаружения аномалий (система сначала «изучает» типичные образцы сетевого трафика сети, а затем выявляет все отклонения от образца).

     Многие IDS позволяют блокировать подозрительный трафик, по умолчанию эта функция выключена — считается, что IDS должна просто обнаруживать вторжение, а не блокировать его.

Читать полностью »

Обсудить]]>
Chkrootkit — антируткит http://suvan.ru/page/chkrootkit-antirutkit.html http://suvan.ru/page/chkrootkit-antirutkit.html Wed, 06 Apr 2011 07:33:51 +0300      Chkrootkit (http://www.chkrootkit.org) — это просто антивирус, специализирующийся на руткитах — ведь троянская программа считается вирусом. Chkrootkit, кроме руткитов, позволяет обнаруживать и другой тип программ — червей. Текущая версия chkrootkit позволяет обнаружить более 50 вредоносных программ, среди них:

• LRK (Linux Rootkit).

• TOrn.

• Adore LKM.

• червь Slapper.

• Червь Adore (не путайте с руткитом Adore).

Читать полностью » Обсудить]]>
Использование Tripwire http://suvan.ru/page/ispolzovanie-tripwire.html http://suvan.ru/page/ispolzovanie-tripwire.html Thu, 02 Dec 2010 08:21:01 +0300      После того, как Tripwire установлен и сконфигурирован на рабочей системе, надо произвести проверку целостности. Эту процедуру можно сделать как в автоматическом режиме, так и вручную. С помощью Tripwire можно изменить базу данных, если изменения в файловой системе произошли с разрешения (или были сделано осознано).

     Автоматическая проверка.

     После того, как была создана база данных, Tripwire готов к употреблению. Если он был установлен с RPM, то будет параллельно добавлена задача cron: Tripwire будет запускаться ежедневно. Если же он был установлен вручную, для автоматической ежедневной проверки нужно создать файл twcheck в /etc/cron.daily:

#!/bin/sh

HOST_NAME= 'uname -n'

if [ ! -e /var/lib/tripwire/${HOST_NAME}.twd ]; then echo "*** Error: Tripwire database for ${HOST_NAME} not fountd"

echo "*** Run "/etc/tripwire/twinstall.sh" and/or "tripwire —init." else

test -f /etc/tripwire/tw.cfg && /usr/sbin/tripwire --check fi

Читать полностью »

Обсудить]]>