Tytuł oryginału: Practical Linux Security Cookbook - Second Edition · 2019-05-15 · Tytuł...

Tytuł oryginału: Practical Linux Security Cookbook - Second Edition

Tłumaczenie: Grzegorz Kowalczyk

ISBN: 978-83-283-5501-9

Copyright © Packt Publishing 2018. First published in the English language under the title ‘Practical Linux Security Cookbook - Second Edition – (9781789138399)’.

Polish edition copyright © 2019 by Helion SAAll rights reserved.

All rights reserved. No part of this book may be reproduced or transmitted in any form or by any means, electronic or mechanical, including photocopying, recording or by any information storage retrieval system, without permission from the Publisher.

Wszelkie prawa zastrzeżone. Nieautoryzowane rozpowszechnianie całości lub fragmentu niniejszej publikacji w jakiejkolwiek postaci jest zabronione. Wykonywanie kopii metodą kserograficzną, fotograficzną, a także kopiowanie książki na nośniku filmowym, magnetycznym lub innym powoduje naruszenie praw autorskich niniejszej publikacji.

Wszystkie znaki występujące w tekście są zastrzeżonymi znakami firmowymi bądź towarowymi ich właścicieli.

Autor oraz Helion SA dołożyli wszelkich starań, by zawarte w tej książce informacje były kompletnei rzetelne. Nie biorą jednak żadnej odpowiedzialności ani za ich wykorzystanie, ani za związane z tym ewentualne naruszenie praw patentowych lub autorskich. Autor oraz Helion SA nie ponoszą równieżżadnej odpowiedzialności za ewentualne szkody wynikłe z wykorzystania informacji zawartych w książce.

Helion SAul. Kościuszki 1c, 44-100 Gliwicetel. 32 231 22 19, 32 230 98 63e-mail: [email protected]: http://helion.pl (księgarnia internetowa, katalog książek)

Drogi Czytelniku!Jeżeli chcesz ocenić tę książkę, zajrzyj pod adres http://helion.pl/user/opinie/bezli2Możesz tam wpisać swoje uwagi, spostrzeżenia, recenzję.

Printed in Poland.

• Kup książkę• Poleć książkę • Oceń książkę

• Księgarnia internetowa• Lubię to! » Nasza społeczność

http://helion.pl/rt/bezli2

http://helion.pl/rf/bezli2

http://helion.pl/ro/bezli2

http://helion.pl

http://ebookpoint.pl/r/4CAKF

Spis tre ci

O autorze 13

O recenzencie 14

Przedmowa 15

Rozdzia 1. Problemy bezpiecze stwa w systemie Linux 21

Polityka bezpiecze stwa 22Opracowanie polityki bezpiecze stwa 22Mity zwi zane z bezpiecze stwem systemu Linux 22

Konfigurowanie zabezpiecze serwerów 23Jak to zrobi … 24Jak to dzia a… 25

Polityka bezpiecze stwa — bezpiecze stwo serwera 26Jak to zrobi … 26Jak to dzia a… 27

Definiowanie listy kontrolnej bezpiecze stwa 28Jak to zrobi … 28Jak to dzia a… 29

Sprawdzanie integralno ci no nika instalacyjnego za pomoc funkcji skrótu 30Przygotuj si 30Jak to zrobi … 30Jak to dzia a… 31Zobacz równie 31

Szyfrowanie dysków z u yciem mechanizmu LUKS 31Przygotuj si 32Jak to zrobi … 32Co dalej? 35

Kup książkę Poleć książkę



Spis tre ci

4

Zastosowanie pliku sudoers — konfiguracja dost pu do polecenia sudo 36Przygotuj si 36Jak to zrobi … 36Jak to dzia a… 38Co dalej? 38

Skanowanie hostów za pomoc programu Nmap 39Przygotuj si 39Jak to zrobi … 39Jak to dzia a… 43Zobacz równie 43

Zdobywanie uprawnie u ytkownika root w podatnym na ataki systemie Linux 43Przygotuj si 43Jak to zrobi … 44Jak to dzia a… 46Co dalej? 47

Brak planu tworzenia kopii zapasowych 47Przygotuj si 47Jak to zrobi … 47Jak to dzia a… 49

Rozdzia 2. Konfigurowanie bezpiecznego i zoptymalizowanego j dra systemu 51

Tworzenie no nika startowego USB 52Przygotuj si 52Jak to zrobi … 52Jak to dzia a… 53

Pobieranie kodu ród owego j dra systemu 53Przygotuj si 54Jak to zrobi … 54Jak to dzia a… 55

Konfigurowanie i budowanie j dra systemu 55Przygotuj si 55Jak to zrobi … 56Jak to dzia a… 60

Instalowanie i uruchamianie nowego j dra 60Przygotuj si 60Jak to zrobi … 61Jak to dzia a… 62

Testowanie nowego j dra i usuwanie b dów 63Konfigurowanie konsoli do debugowania przy u yciu modu u Netconsole 63Przygotuj si 64Jak to zrobi … 65Jak to dzia a… 69Co dalej? 69

Debugowanie procesu uruchamiania j dra 70Jak to zrobi … 70

B dy j dra 71Przyczyny powstawania b dów j dra 71

Analizowanie ustawie i parametrów j dra za pomoc programu Lynis 73Przygotuj si 73Jak to zrobi … 74




Spis tre ci

5

Rozdzia 3. Bezpiecze stwo lokalnego systemu plików 77

Wy wietlanie szczegó owych informacji o plikach i katalogach za pomoc polecenia ls 78Przygotuj si 78Jak to zrobi … 78Jak to dzia a… 80

Zastosowanie polecenia chmod do ustawiania praw dost pu do plików i katalogów 80Przygotuj si 80Jak to zrobi … 81Jak to dzia a… 83Co dalej? 83

Zastosowanie polecenia chown do zmiany w a ciciela plików i katalogów 84Jak to zrobi … 84Co dalej? 86

Zastosowanie list ACL do ustawiania praw dost pu do plików 86Przygotuj si 86Jak to zrobi … 87Co dalej? 89

Operacje na plikach z u yciem polecenia mv (przenoszenie plików i zmiana ich nazw) 90Przygotuj si 90Jak to dzia a… 90

Wdra anie systemu obowi zkowej kontroli dost pu (MAC)z wykorzystaniem rozszerzenia SELinux 95

Przygotuj si 95Jak to zrobi … 96Jak to dzia a… 97Co dalej? 97

Zastosowanie rozszerzonych atrybutów plików do ochrony plików wra liwych 98Przygotuj si 98Jak to zrobi … 99

Instalowanie i konfigurowanie prostego serwera LDAP w systemie Ubuntu Linux 100Przygotuj si 100Jak to zrobi … 100Jak to dzia a… 106

Rozdzia 4. Uwierzytelnianie lokalne w systemie Linux 107

Uwierzytelnianie i logowanie si u ytkowników 107Przygotuj si 107Jak to zrobi … 108Jak to dzia a… 110

Ograniczanie mo liwo ci logowania si u ytkowników 110Przygotuj si 110Jak to zrobi … 111Jak to dzia a… 113

Blokowanie mo liwo ci logowania si u ytkowników 113Przygotuj si 114Jak to zrobi … 114Jak to dzia a… 116




Spis tre ci

6

Monitorowanie aktywno ci u ytkowników przy u yciu pakietu acct 116Przygotuj si 116Jak to zrobi … 118Jak to dzia a…. 119

Uwierzytelnianie u ytkowników za pomoc klucza USB i mechanizmu PAM 120Przygotuj si 120Jak to zrobi … 120Jak to dzia a… 124Co dalej? 124

Sprawdzanie autoryzacji u ytkowników 125Przygotuj si 125Jak to zrobi … 125Jak to dzia a… 128

Zarz dzanie dost pem za pomoc systemu IDAM 128Przygotuj si 128Jak to zrobi … 130Jak to dzia a… 132

Rozdzia 5. Uwierzytelnianie zdalne 133

Zdalny dost p do serwera/hosta przy u yciu po czenia SSH 133Przygotuj si 133Jak to zrobi … 134Jak to dzia a… 136

W czanie lub blokowanie mo liwo ci logowania si u ytkownika rootza po rednictwem sesji SSH 137

Przygotuj si 137Jak to zrobi … 137Jak to dzia a… 139Co dalej? 139

Ograniczanie zdalnego dost pu z u yciem sesji SSH opartej na kluczach 140Przygotuj si 140Jak to zrobi … 140Jak to dzia a… 142

Zdalne kopiowanie plików 143Przygotuj si 143Jak to zrobi … 143Jak to dzia a… 146

Konfiguracja serwera Kerberos na platformie Ubuntu 147Przygotuj si 147Jak to zrobi … 147Jak to dzia a… 155

Zastosowanie serwera LDAP do uwierzytelniania u ytkowników i zarz dzania nimi 155Przygotuj si 155Jak to zrobi … 156




Spis tre ci

7

Rozdzia 6. Bezpiecze stwo sieciowe 161

Zarz dzanie sieciami TCP/IP 161Przygotuj si 161Jak to zrobi … 162Jak to dzia a… 165

Zastosowanie analizatora pakietów do monitorowania ruchu w sieci 165Przygotuj si 166Jak to zrobi … 166Jak to dzia a… 169

Zastosowanie zapory sieciowej iptables 169Przygotuj si 169Jak to zrobi … 170Jak to dzia a… 174

Blokowanie po cze ze sfa szowanych adresów IP 174Przygotuj si 174Jak to zrobi … 175Jak to dzia a… 177

Blokowanie ruchu przychodz cego 178Przygotuj si 178Jak to zrobi … 178Jak to dzia a… 181

Konfigurowanie i stosowanie pakietu TCP Wrappers 182Przygotuj si 182Jak to zrobi … 182Jak to dzia a… 186

Blokowanie ruchu sieciowego z danego kraju przy u yciu zapory ModSecurity 186Przygotuj si 186Jak to zrobi … 186

Zabezpieczanie ruchu sieciowego przy u yciu protoko u SSL 191Przygotuj si 191Jak to zrobi … 191Jak to dzia a… 195

Rozdzia 7. Narz dzia bezpiecze stwa 197

sXID 197Przygotuj si 198Jak to zrobi … 198Jak to dzia a… 200

PortSentry 200Przygotuj si 200Jak to zrobi … 200Jak to dzia a… 204

Squid Proxy 204Przygotuj si 204Jak to zrobi … 205Jak to dzia a… 208




Spis tre ci

8

Serwer OpenSSL 208Przygotuj si 209Jak to zrobi … 209Jak to dzia a… 213Co dalej? 213

Tripwire 215Przygotuj si 215Jak to zrobi … 215Jak to dzia a… 220

Shorewall 220Przygotuj si 220Jak to zrobi … 221Jak to dzia a… 224

OSSEC 224Przygotuj si 225Jak to zrobi … 225Jak to dzia a… 232

Snort 232Przygotuj si 232Jak to zrobi … 233Jak to dzia a… 237

Rsync i Grsync — narz dzia do tworzenia kopii zapasowych 237Przygotuj si 238Jak to zrobi … 238Jak to dzia a… 243

Rozdzia 8. Dystrybucje systemu Linux zwi zane z bezpiecze stwem 245

Kali Linux 245pfSense 251

Przygotuj si 251Jak to zrobi … 252Jak to dzia a… 257

DEFT Linux 257Jak to dzia a… 259

NST Linux 259Przygotuj si 259Jak to zrobi … 260Jak to dzia a… 263

Security Onion Linux 263Przygotuj si 263Jak to zrobi … 264Jak to dzia a… 270

Tails Linux 270Przygotuj si 270Jak to zrobi … 270

Qubes Linux 273Przygotuj si 273Jak to zrobi … 274Jak to dzia a… 280




Spis tre ci

9

Rozdzia 9. Usuwanie luk w zabezpieczeniach pow oki bash 281

Pow oka bash — ataki z wykorzystaniem luki Shellshock 281Przygotuj si 282Jak to zrobi … 282Jak to dzia a… 284

Kwestie bezpiecze stwa — ataki z wykorzystaniem luki Shellshock 285Przygotuj si 285Jak to zrobi … 286Jak to dzia a… 290

System zarz dzania aktualizacjami i poprawkami bezpiecze stwa 291Przygotuj si 291Jak to zrobi … 291Jak to dzia a… 297

Instalowanie aktualizacji i poprawek bezpiecze stwa w systemie Linux 297Przygotuj si 297Jak to zrobi … 298Jak to dzia a… 300

Inne znane podatno ci i luki w zabezpieczeniach systemu Linux 300Jak to zrobi … 300Jak to dzia a… 302

Rozdzia 10. Monitorowanie systemu i rejestrowanie zdarze 303

Przegl danie plików dziennika i zarz dzanie nimi za pomoc programu Logcheck 303Przygotuj si 304Jak to zrobi … 304Jak to dzia a… 306

Monitorowanie sieci za pomoc skanera Nmap 307Przygotuj si 307Jak to zrobi … 308Jak to dzia a… 311

Zastosowanie pakietu Glances do monitorowania systemu 311Przygotuj si 312Jak to zrobi … 312Jak to dzia a… 315

Monitorowanie dzienników zdarze za pomoc programu MultiTail 315Przygotuj si 315Jak to zrobi … 316Jak to dzia a… 318

Zastosowanie narz dzi systemowych — polecenie whowatch 318Przygotuj si 318Jak to zrobi … 319Jak to dzia a… 321

Zastosowanie narz dzi systemowych — polecenie stat 322Przygotuj si 322Jak to zrobi … 322Jak to dzia a… 325




Spis tre ci

10

Zastosowanie narz dzi systemowych — polecenie lsof 325Przygotuj si 325Jak to zrobi … 325Jak to dzia a… 327

Zastosowanie narz dzi systemowych — polecenie strace 328Przygotuj si 328Jak to zrobi … 328Jak to dzia a… 331

Monitorowanie sieci LAN w czasie rzeczywistym za pomoc pakietu IPTraf 331Przygotuj si 331Jak to zrobi … 332Jak to dzia a… 336

Monitorowanie bezpiecze stwa sieci za pomoc pakietu Suricata 336Przygotuj si 336Jak to zrobi … 337

Monitorowanie sieci za pomoc pakietu OpenNMS 341Przygotuj si 341Jak to zrobi … 344Jak to dzia a… 348

Rozdzia 11. Bezpiecze stwo serwera Linux 349

Serwer WWW — us uga HTTPD 349Przygotuj si 349Jak to zrobi … 349Jak to dzia a… 351

Logowanie zdalne — us uga Telnet 352Przygotuj si 352Jak to zrobi … 352Jak to dzia a… 354

Bezpieczne logowanie zdalne — us uga SSH 354Przygotuj si 354Jak to zrobi … 355

Bezpiecze stwo przesy ania plików — us uga FTP 356Bezpieczne przesy anie poczty elektronicznej — us uga SMTP 358

Przygotuj si 358Jak to zrobi … 358Jak to dzia a… 363

Rozdzia 12. Skanowanie i audytowanie systemu Linux 365

Instalowanie programu antywirusowego w systemie Linux 365Przygotuj si 366Jak to zrobi … 366Jak to dzia a… 368

Skanowanie systemu za pomoc programu ClamAV 368Przygotuj si 369Jak to zrobi … 369Jak to dzia a… 372




Spis tre ci

11

Wykrywanie rootkitów 372Przygotuj si 372Jak to zrobi … 372Jak to dzia a… 376

Zastosowanie us ugi auditd 376Przygotuj si 376Jak to zrobi … 376Jak to dzia a… 377

Zastosowanie programów ausearch i aureport do przegl dania dzienników audytu 378Przygotuj si 378Jak to zrobi … 378Jak to dzia a… 382

Audytowanie us ug systemowych za pomoc polecenia systemctl 382Przygotuj si 382Jak to zrobi … 383Jak to dzia a… 384

Rozdzia 13. Skanowanie w poszukiwaniu luk i podatno ci oraz wykrywanie w ama 385

Monitorowanie bezpiecze stwa sieci z u yciem systemu Security Onion Linux 385Przygotuj si 386Jak to zrobi … 386Jak to dzia a… 389

Wyszukiwanie luk i podatno ci na ataki z u yciem pakietu OpenVAS 389Przygotuj si 389Jak to zrobi … 389Jak to dzia a… 394

Zastosowanie programu Nikto do skanowania serwerów WWW 395Przygotuj si 395Jak to zrobi … 395Jak to dzia a… 397

Utwardzanie systemu przy u yciu programu Lynis 397Przygotuj si 397Jak to zrobi … 398Jak to dzia a… 400

Skorowidz 401




Spis tre ci

12




1

Problemybezpiecze stwa

w systemie Linux

Komputer dzia aj cy pod kontrol systemu Linux jest tak bezpieczny, jak go skonfigurujejego administrator. Po zainstalowaniu wybranej dystrybucji systemu Linux i usuni ciuwszystkich niepotrzebnych pakietów pozosta ych po instalacji mo emy rozpocz prac nadzapewnieniem bezpiecze stwa systemu, odpowiednio konfiguruj c zainstalowane oprogra-mowanie i us ugi.

W tym rozdziale omówione zostan nast puj ce zagadnienia: Konfigurowanie zabezpiecze serwerów. Polityka bezpiecze stwa — bezpiecze stwo serwera. Definiowanie listy kontrolnej bezpiecze stwa. Brak planu tworzenia kopii zapasowych.

Znajdziesz tutaj nast puj ce porady: Sprawdzanie integralno ci no nika instalacyjnego za pomoc funkcji skrótu. Szyfrowanie dysków z u yciem mechanizmu LUKS (ang. Linux Unified Key Setup). Zastosowanie pliku sudoers — konfiguracja dost pu do polecenia sudo. Skanowanie hostów za pomoc programu Nmap. Zdobywanie uprawnie u ytkownika root w podatnym na ataki systemie Linux. Brak planu tworzenia kopii zapasowych.




Bezpiecze stwo systemu Linux w praktyce

22

Polityka bezpiecze stwaPolityka bezpiecze stwa to dokument okre laj cy zasady, metody, narz dzia i praktyki, któ-rych nale y u ywa i przestrzega w celu zapewnienia bezpiecze stwa rodowiska kompu-terowego danej firmy czy organizacji. Dodatkowo w polityce bezpiecze stwa okre lony jestsposób, w jaki organizacja powinna zarz dza wra liwymi danymi, chroni je i przetwarza .

Opracowanie polityki bezpiecze stwaTworz c polityk bezpiecze stwa, nale y pami ta , e powinna ona by prosta i zrozumia adla wszystkich u ytkowników. Celem tej polityki powinna by ochrona danych przy jedno-czesnym zachowaniu prywatno ci u ytkowników.

Polityka bezpiecze stwa powinna bra pod uwag nast puj ce zagadnienia: dost pno systemu, uprawnienia do instalacji oprogramowania w systemie, uprawnienia dost pu do danych, przywracanie normalnego dzia ania po awarii.

Zgodnie z regu ami polityki bezpiecze stwa u ytkownik powinien korzysta tylko z tychus ug, na korzystanie z których otrzyma pozwolenie. Wszystko, co nie jest dozwolone, powin-no by wyra nie okre lone w tej polityce. Przyjrzyjmy si zatem kilku powszechnym mitomna temat bezpiecze stwa systemu Linux.

Mity zwi zane z bezpiecze stwem systemu LinuxPlanuj c wykorzystanie systemów opartych na Linuksie w swojej firmie, wielu u ytkowni-ków mo e nieco pod wiadomie odczuwa pewien niepokój. Mo e to by spowodowane fa -szywymi pog oskami na temat bezpiecze stwa systemu Linux powoduj cymi, e cz sto nie-wiadomie stajemy si ofiarami ró nych powszechnie pokutuj cych mitów.

Mit — poniewa Linux jest systemem typu open source,uwa a si , e nie zapewnia odpowiedniego bezpiecze stwaLinux, b d cy wolnym i otwartym systemem operacyjnym, posiada wiele niezaprzeczalnychzalet. Zawdzi cza to du ej spo eczno ci mocno zaanga owanych programistów, którzy stalekontroluj kod ród owy pod k tem wszelkich mo liwych zagro e bezpiecze stwa; dewe-loperzy systemu mog zapewni szybkie wsparcie i naprawi ka dy potencjalny problem zwi -zany z bezpiecze stwem. Aktualizacje i poprawki zabezpiecze s niemal natychmiast poopracowaniu udost pniane u ytkownikom do testowania, dzi ki czemu droga do ich zainsta-lowania nie jest tak d uga i wyboista, jak to cz sto bywa w innych systemach z rodziny UNIX.




Rozdzia 1. • Problemy bezpiecze stwa w systemie Linux

23

Ze wzgl du na ogromn , ogólno wiatow spo eczno u ytkowników bezpiecze stwo Linuksajest testowane w wielu ró nych rodowiskach komputerowych, co czyni go jednym z naj-bardziej stabilnych i bezpiecznych systemów operacyjnych. To, e kod systemu Linux jestdost pny dla programistów na ca ym wiecie, przyczynia si do uzyskania lepszego poziomuzabezpiecze , zw aszcza w zakresie przypisywania i kontrolowania uprawnie u ytkowników.Sposób, w jaki dzia a ten mechanizm, tak e jest pochodn otwartego i dost pnego dla wszyst-kich kodu ród owego systemu.

Mit — Linux jest systemem tylko dla ekspertów i tylko oni wiedz ,jak skonfigurowa go pod wzgl dem bezpiecze stwaPrzyj cie za o enia, e Linux jest systemem tylko dla ekspertów, którzy wiedz , jak radzisobie z wirusami i atakami hakerów, jest powa nym b dem. Linux sta si jednym z najbar-dziej przyjaznych systemów operacyjnych, z którego mog korzysta wszyscy u ytkownicy— zarówno pocz tkuj cy, jak i eksperci.

Linux jest bezpieczny dzi ki swojej solidnej architekturze. Zwykli u ytkownicy tego syste-mu posiadaj konta o relatywnie niskich uprawnieniach, które nie maj przywilejów u yt-kownika root.

Mit — Linux jest systemem wolnym od wirusówNawet je eli Linux zostanie nara ony na niebezpiecze stwo, to ze wzgl du na jego solidni stabiln architektur wirusy zazwyczaj nie b d mia y dost pu do systemu na poziomieu ytkownika root i tym samym nie b d w stanie spowodowa adnych wi kszych uszko-dze systemu.

Na serwerach dzia aj cych pod kontrol systemu Linux wdra anych jest zazwyczaj kilka po-ziomów zabezpiecze . Serwery s równie cz ciej aktualizowane, co tak e pomaga zabez-pieczy je przed wirusami i atakami hakerów.

Nie zmienia to jednak w niczym faktu, e istnieje wiele wirusów przygotowanych do atako-wania systemu Linux, zatem z ca pewno ci nie mo na powiedzie , e Linux jest ca kowi-cie wolny od wirusów. Warto jednak zauwa y , e wi kszo z o liwego oprogramowaniadzia aj cego na tej platformie to wirusy o charakterze niezbyt destrukcyjnym.

Konfigurowanie zabezpiecze serwerówPo zainstalowaniu serwera linuksowego kolejnym krokiem powinno by wdro enie i skonfi-gurowanie odpowiednich mechanizmów zabezpiecze , tak aby zminimalizowa ryzyko zwi -zane z atakami hakerów oraz infekcjami z o liwym oprogramowaniem. G ówn przyczynudanych ataków na serwery linuksowe s niew a ciwie wdro one zabezpieczenia lub pozo-stawione luki. Podczas konfigurowania serwera nale y post powa zgodnie z wytycznymi polity-ki bezpiecze stwa firmy, tak aby stworzy solidne rodowisko, które b dzie odporne na ataki.





24

Jak to zrobi …W kolejnych sekcjach omówimy najwa niejsze zagadnienia zwi zane z konfigurowaniemserwerów.

Zarz dzanie kontami u ytkownikówAby bezpiecznie skonfigurowa konta u ytkowników, post puj zgodnie z poni szymi zasadami:

1. Podczas instalacji serwera linuksowego pierwszym kontem tworzonym domy lniejest zawsze konto u ytkownika root. Konto tego u ytkownika powinno byu ywane tylko do wst pnej konfiguracji serwera.

2. Po zako czeniu wst pnej konfiguracji konto u ytkownika root powinno zostawy czone za po rednictwem sesji SSH. Takie rozwi zanie znacz co utrudnipotencjalnemu napastnikowi dost p do Twojej maszyny z systemem Linux.

3. Nast pnie nale y utworzy dodatkowe konto u ytkownika, który po zalogowaniub dzie mia uprawnienia do zarz dzania systemem. Taki u ytkownik mo e mieuprawnienia do korzystania z polecenia sudo, je eli konieczne b dzie wykonywanieczynno ci administracyjnych.

Zasady tworzenia haseAby utworzy bezpieczne has a, post puj zgodnie z poni szymi zasadami:

1. Tworz c konta u ytkowników, upewnij si , e u ywasz silnych hase . Je eli jest tomo liwe, powiniene wymusi d ugo has a na poziomie od 12 do 14 znaków.

2. Je eli to mo liwe, wygeneruj has a losowo tak, aby zawiera y ma e i wielkie litery,cyfry oraz symbole (znaki specjalne).

3. Unikaj kombinacji hase , które mo na atwo odgadn , takich jak has a s ownikowe,wzory klawiaturowe, has a zawieraj ce nazwy kont u ytkowników, numeryidentyfikacyjne, daty urodzin, imienin.

4. Unikaj u ywania tego samego has a dwukrotnie.

Zasady konfiguracjiAby bezpiecznie skonfigurowa zabezpieczenia serwera, respektuj poni sze zasady:

1. System operacyjny dzia aj cy na serwerze powinien by skonfigurowany zgodniez dobrymi praktykami oraz wytycznymi zatwierdzonymi przez dzia IT Twojejfirmy lub organizacji.

2. Ka da us uga lub aplikacja, która nie jest u ywana, powinna by wy czonalub zablokowana (o ile to mo liwe).

3. Ka dy dost p do us ug i aplikacji na serwerze powinien by monitorowanyi rejestrowany. Logi aktywno ci powinny by odpowiednio chronione za pomocmetod kontroli dost pu. Wi cej szczegó owych informacji na ten temat znajdzieszw rozdziale 3. „Bezpiecze stwo lokalnego systemu plików”.





25

4. System powinien by cz sto aktualizowany, a wszelkie poprawki bezpiecze stwapublikowane przez dostawców oprogramowania powinny by instalowane na bie co,tak szybko, jak to tylko mo liwe.

5. Staraj si w jak najwi kszym stopniu unika korzystania z konta u ytkownika root.Pami taj, e w praktyce najlepiej stosowa regu najmniejszych niezb dnychuprawnie .

6. Wszelkiego rodzaju uprzywilejowany dost p powinien by realizowany poprzezbezpieczne po czenie SSH (o ile to mo liwe).

7. Dost p do serwera powinien odbywa si w kontrolowanym i monitorowanymrodowisku.

Zasady monitorowania 1. Wszystkie dzia ania zwi zane z bezpiecze stwem systemów serwerowychpowinny by rejestrowane, a raporty z audytu powinny by przechowywanew nast puj cy sposób:

Wszystkie dzienniki zwi zane z bezpiecze stwem powinny byprzechowywane i dost pne online przez miesi c.

Dzienne kopie zapasowe, jak równie cotygodniowe kopie zapasowe powinnyby przechowywane przez miesi c.

Miesi czne, pe ne kopie zapasowe powinny by przechowywane przezco najmniej dwa lata.

2. Wszelkie zdarzenia zwi zane z zagro eniami bezpiecze stwa powinny byzg aszane do odpowiedniego zespo u reagowania na incydenty wyznaczonegow dziale IT.

3. Poni ej przedstawiono kilka przyk adów zdarze zwi zanych z bezpiecze stwem: ataki powi zane ze skanowaniem portów, próby nieautoryzowanego dost pu do uprzywilejowanych kont u ytkowników, nietypowe zdarzenia spowodowane przez aplikacj dzia aj c na serwerze.

Jak to dzia a…Przestrzeganie zasad przedstawionych powy ej mo e u atwi przygotowanie podstawowejkonfiguracji serwera wewn trznego, który jest w asno ci danej organizacji lub jest przezni zarz dzany. Skuteczne wdro enie opisanych regu pozwala na zminimalizowanie ryzykanieautoryzowanego dost pu do poufnych i wra liwych informacji przechowywanych i prze-twarzanych na serwerze.





26

Polityka bezpiecze stwa— bezpiecze stwo serweraG ówn przyczyn udanych ataków na serwery Linuksa s niepoprawnie wdro one mecha-nizmy bezpiecze stwa lub podatno na ataki i luki w zabezpieczeniach. Podczas konfigu-rowania serwera nale y zawsze bra pod uwag wytyczne polityki bezpiecze stwa, dobrepraktyki i rekomendacje ekspertów.

Jak to zrobi …Oto kilka najwa niejszych zasad konfiguracji bezpiecznego serwera:

Zasady ogólneKonfiguruj c serwer, warto wzi pod uwag nast puj ce sprawy:

1. Zarz dzanie wszystkimi wewn trznymi serwerami w organizacji powinno nale edo obowi zków wyspecjalizowanego zespo u, który powinien równie czuwanad wszelkimi kwestiami zgodno ci z procedurami bezpiecze stwa IT. W raziewyst pienia jakichkolwiek problemów zwi zanych ze zgodno ci zespó takipowinien natychmiast dokona przegl du istniej cych procedur i wdro yzaktualizowan polityk bezpiecze stwa.

2. Rejestruj c serwery wewn trzne w bazie zasobów komputerowych rodowiska,nale y podawa szczegó owe dane, tak aby mo na by o zidentyfikowa konkretneurz dzenie na podstawie takich informacji jak:

lokalizacja serwera, wersja systemu operacyjnego i konfiguracja sprz towa, us ugi i aplikacje dzia aj ce na serwerze.

3. Wszelkie dane o serwerach i innych urz dzeniach zamieszczane i przechowywanew bazach zasobów komputerowych rodowiska powinny by aktualizowane na bie co.

Zasady konfiguracjiAby bezpiecznie skonfigurowa zabezpieczenia serwera, post puj zgodnie z poni szymi zasadami:

1. System operacyjny dzia aj cy na serwerze powinien by skonfigurowany zgodniez dobrymi praktykami oraz wytycznymi zatwierdzonymi przez dzia IT Twojejfirmy lub organizacji.

2. Ka da us uga lub aplikacja, która nie jest u ywana, powinna by wy czonalub zablokowana (o ile to mo liwe).

3. Ka dy dost p do us ug i aplikacji na serwerze powinien by monitorowanyi rejestrowany. Logi aktywno ci powinny by odpowiednio chronione za pomocmetod kontroli dost pu. Wi cej szczegó owych informacji na ten temat znajdzieszw rozdziale 3. „Bezpiecze stwo lokalnego systemu plików”.





27

4. System powinien by cz sto aktualizowany, a wszelkie poprawki bezpiecze stwapublikowane przez dostawców oprogramowania powinny by instalowanena bie co, tak szybko, jak to tylko mo liwe.

5. Staraj si w jak najwi kszym stopniu unika korzystania z konta u ytkownika root.Pami taj, e w praktyce najlepiej stosowa regu najmniejszych niezb dnychuprawnie .

6. Wszelkiego rodzaju uprzywilejowany dost p powinien by realizowany poprzezbezpieczne po czenie SSH (o ile to mo liwe).

7. Dost p do serwera powinien odbywa si w kontrolowanym i monitorowanymrodowisku.

Zasady monitorowaniaPoni ej przedstawiono kilka podstawowych zasad bezpiecznego monitorowania dzia aniaserwera:

1. Wszystkie dzia ania zwi zane z bezpiecze stwem systemów serwerowychpowinny by rejestrowane, a raporty z audytu powinny by przechowywanew nast puj cy sposób:

Wszystkie dzienniki zwi zane z bezpiecze stwem powinny byprzechowywane i dost pne online przez miesi c.

Dzienne kopie zapasowe, jak równie cotygodniowe kopie zapasowe powinnyby przechowywane przez miesi c.

Miesi czne, pe ne kopie zapasowe powinny by przechowywane przezco najmniej dwa lata.

2. Wszelkie zdarzenia zwi zane z zagro eniami bezpiecze stwa powinny byzg aszane do odpowiedniego zespo u reagowania na incydenty wyznaczonegow dziale IT.

3. Poni ej przedstawiamy kilka przyk adów zdarze zwi zanych z bezpiecze stwem: ataki powi zane ze skanowaniem portów, próby nieautoryzowanego dost pu do uprzywilejowanych kont u ytkowników, nietypowe zdarzenia spowodowane przez aplikacj dzia aj c na serwerze.

Jak to dzia a…Przestrzeganie powy szych zasad mo e u atwi przygotowanie podstawowej konfiguracjiserwera wewn trznego, który jest w asno ci danej organizacji lub jest przez ni zarz dzany.Skuteczne wdro enie opisanych regu pozwala na zminimalizowanie ryzyka nieautoryzowa-nego dost pu do poufnych i wra liwych informacji przechowywanych i przetwarzanychna serwerze.





28

Definiowanie listy kontrolnejbezpiecze stwaZabezpieczanie serwera linuksowego rozpoczyna si od przeprowadzenia procesu utwardzaniasystemu, co wymaga zdefiniowania listy kontrolnej bezpiecze stwa systemu, która pozwalana potwierdzenie, e odpowiednie mechanizmy zabezpiecze zosta y poprawnie wdro one.

Jak to zrobi …Oto przyk ady prostych list kontrolnych bezpiecze stwa serwera linuksowego:

InstalowaniePrzygotowuj c list kontroln bezpiecze stwa systemu, warto wzi pod uwag m.in. nast -puj ce rzeczy:

Integralno no ników instalacyjnych, takich jak dyski CD-ROM/DVDczy obrazy ISO, powinna by zweryfikowana przy u yciu sumy kontrolnej.

Przy pierwszej instalacji systemu nale y u y minimalnej konfiguracji niezb dnejdo dzia ania serwera.

Dobr praktyk jest tworzenie oddzielnych systemów plików dla katalogów/home i /tmp.

Dobr praktyk jest instalowanie na serwerze tylko minimalnej ilo cioprogramowania niezb dnego do poprawnego dzia ania serwera, co pozwalana zminimalizowanie ryzyka istnienia podatno ci na ataki czy luk wzabezpieczeniach.

J dro systemu Linux i oprogramowanie instalowane na serwerze powinno byzaktualizowane do najnowszych dost pnych wersji.

Uruchamianie oraz dyskiPrzygotowuj c list kontroln bezpiecze stwa systemu, warto wzi pod uwag m.in. nast -puj ce rzeczy:

Partycje dysków powinny zosta zaszyfrowane przy u yciu takich metod jakLUKS (ang. Linux Unified Key Setup).

Dost p do BIOS-u powinien zosta zabezpieczony za pomoc odpowiednioskonfigurowanego has a.

Liczba urz dze , z których mo na uruchomi system, powinna zostaograniczona do niezb dnego minimum (np. tylko dysk twardy).

Dost p do programu aduj cego dzia aj cego w trybie jednego u ytkownika(ang. single user mode) powinien by zabezpieczony za pomoc has a.





29

Sie i us ugiPrzygotowuj c list kontroln bezpiecze stwa systemu, we pod uwag m.in. nast puj ce rzeczy:

Sprawd us ugi dzia aj ce na serwerze, przeprowadzaj c skanowanie otwartychportów sieciowych.

U yj zapory sieciowej, takiej jak iptables/nftables, aby ograniczy dost pdo us ug w zale no ci od potrzeb.

Szyfruj wszystkie dane przesy ane przez sie . Unikaj korzystania z us ug takich jak FTP, Telnet i Rlogin/Rsh. Wy cz wszystkie niepotrzebne us ugi. Korzystaj ze scentralizowanej us ugi uwierzytelniania.

Wykrywanie w ama i ataki DoSPrzygotowuj c list kontroln bezpiecze stwa systemu, we pod uwag m.in. nast puj ce rzeczy:

Wa ne pliki powinny by na bie co monitorowane przy u yciu narz dzido sprawdzania integralno ci plików, takich jak AIDE, Samhain czy AFICK.

U ywaj programu antywirusowego, takiego jak ClamAV, aby chroni systemprzed z o liwymi skryptami.

Skonfiguruj us ug logowania tak, aby dzienniki zdarze systemowych by yzapisywane i przechowywane na zdalnym komputerze, co zabezpieczy je przedusuni ciem oraz u atwi wykrywanie i analiz incydentów bezpiecze stwa orazarchiwizacj dzienników zdarze .

U ywaj narz dzi pozwalaj cych na zapobieganie atakom si owym na mechanizmyuwierzytelniania u ytkowników.

Audyt i dost pno systemuPrzygotowuj c list kontroln bezpiecze stwa systemu, we pod uwag m.in. nast puj ce rzeczy:

Cz ste przegl danie dzienników zdarze pozwala na szybkie wykrywaniei monitorowanie podejrzanych aktywno ci u ytkowników.

Skonfiguruj us ug auditd, która pozwala na audyt zmian przeprowadzanychw systemie.

Sprawd , czy kopie zapasowe systemu i danych s tworzone zgodnie z planem, orazupewnij si , e z wykonanej kopii zapasowej rzeczywi cie mo na przywróci dane.

Jak to dzia a…Odpowiednie przygotowanie i wdro enie list kontrolnych bezpiecze stwa minimalizuje ry-zyko zwi zane z zagro eniami serwerów linuksowych i pomaga chroni Twoje dane przedatakami hakerów.





30

Sprawdzanie integralno ci no nikainstalacyjnego za pomoc funkcji skrótuZa ka dym razem, gdy pobierasz plik obrazu ISO dowolnej dystrybucji systemu Linux, po-winien on by sprawdzany pod k tem poprawno ci i bezpiecze stwa. Mo na to zrobipoprzez wygenerowanie skrótu MD5 pobranego pliku obrazu, a nast pnie porównanie goz oryginaln warto ci skrótu publikowan przez organizacj dostarczaj c plik obrazu.

Takie rozwi zanie pozwala na sprawdzenie integralno ci pobranego pliku. Je eli oryginalnyplik zosta sfa szowany lub w jakikolwiek inny sposób zmodyfikowany, mo emy to wykry zapomoc porównania warto ci skrótów MD5. Im wi kszy rozmiar pliku, tym potencjalniewi ksze mo liwo ci wprowadzenia w nim z o liwych zmian. W przypadku bardzo wa nychplików, takich jak obrazy instalacyjne systemu operacyjnego, powiniene zawsze sprawdzaintegralno plików, obliczaj c warto skrótu pobranego pliku i porównuj c z warto ciopublikowan przez autora.

Przygotuj siPolecenie md5sum jest domy lnie dost pne w wi kszo ci dystrybucji systemu Linux, wi c niemusisz go osobno instalowa .

Jak to zrobi …Wykonaj nast puj ce czynno ci:

1. Otwórz okno terminala i przejd do katalogu zawieraj cego pobrany plik ISO.

Poniewa w systemie Linux wielko liter ma znaczenie, upewnij si , e poprawnie wpisa e nazwfolderu. Na przyk ad Pobrane i pobrane to z punktu widzenia systemu Linux dwa ró ne katalogi.

2. Po przej ciu do katalogu z obrazem ISO wykonaj nast puj ce polecenie:

md5sum ubuntu-filename.iso

Polecenie md5sum wy wietli obliczon warto skrótu MD5 w jednym wierszuz nazw pliku, tak jak to zosta o pokazane poni ej:

8044d756b7f00b695ab8dce07dce43e5 ubuntu-filename.iso

Teraz mo na porówna obliczon warto skrótu MD5 z warto ci podanna stronie UbuntuHashes (https://help.ubuntu.com/community/UbuntuHashes).Po otwarciu strony UbuntuHashes wystarczy skopiowa wcze niej obliczonwarto skrótu i wklei w polu wyszukiwania na stronie.





31

Jak to dzia a…Je eli obliczona warto skrótu i warto podana na stronie UbuntuHashes s identyczne,wówczas mamy pewno , e pobrany plik nie jest uszkodzony. W przypadku gdy warto ciskrótów nie pasuj do siebie, istnieje mo liwo , e plik zosta sfa szowany lub uszkodzony.W takiej sytuacji powiniene ponownie pobra plik. Je eli problem nadal wyst puje, powi-niene zg osi go do administratora serwera.

Zobacz równieJe eli nie chcesz liczy skrótów z poziomu konsoli, mo esz skorzysta z jednego z wieluprogramów wyposa onych w graficzny interfejs u ytkownika.

Czasami obliczanie warto ci skrótów bezpo rednio z poziomu wiersza polece mo e byniewygodne albo po prostu niepraktyczne. Aby obliczy taki skrót, musisz zna dok adnnazw pobranego pliku, a tak e nazw folderu, w którym zosta zapisany, co na d u sz metmo e by nieco uci liwe.

Rozwi zaniem mo e by bardzo ma e i proste narz dzie o nazwie GtkHash, które zosta owyposa one w wygodny interfejs GUI (ang. Graphic User Interface). Program mo na pobra zestrony http://gtkhash.sourceforge.net/ albo zainstalowa za pomoc nast puj cego polecenia:

sudo apt-get install gtkhash

Szyfrowanie dyskówz u yciem mechanizmu LUKSW wielu firmach, organizacjach i urz dach pa stwowych do zabezpieczania wra liwych i po-ufnych informacji, takich jak dane osobowe pracowników i klientów, wa ne pliki, projekty,stosuje si szyfrowanie dysków. W systemie Linux dost pnych jest wiele mechanizmówkryptograficznych, które mog by u ywane do ochrony danych na urz dzeniach fizycznych,takich jak dyski twarde czy no niki wymienne. Jednym z takich rozwi za jest szyfrowaniedysków z u yciem mechanizmu LUKS (ang. Linux Unified Key Setup), który pozwala na szy-frowanie ca ych partycji systemu Linux.

Kilka najwa niejszych cech mechanizmu LUKS: Pozwala na szyfrowanie ca ych urz dze blokowych; LUKS doskonale nadaje si

do ochrony danych na no nikach wymiennych lub dyskach laptopów. Wykorzystuje sterownik device-mapper z j dra systemu Linux. Mo e wymusza stosowanie silnych hase , co pomaga chroni system przed

atakami s ownikowymi.





32

Przygotuj siAby opisany poni ej proces zadzia a poprawnie, podczas instalacji systemu Linux powinieneutworzy oddzieln partycj , która zostanie zaszyfrowana za pomoc mechanizmu LUKS.

Konfiguracja szyfrowania mechanizmu LUKS przy u yciu kroków podanych poni ej spowoduje usuni -cie wszystkich danych z szyfrowanej partycji. Z tego powodu przed rozpocz ciem korzystania z LUKS-a,upewnij si , e posiadasz kopi zapasow szyfrowanej partycji zapisan na dysku zewn trznym.

Jak to zrobi …Przygod z szyfrowaniem zaczniemy od r cznego zaszyfrowania wybranych katalogów. Abyto zrobi , powiniene wykona nast puj ce kroki:

1. Zainstaluj pakiet cryptsetup za pomoc polecenia pokazanego poni ej. Cryptsetupjest narz dziem u ywanym do tworzenia zaszyfrowanych systemów plików:

apt-get install cryptsetup

Wyniki wykonania tego polecenia zosta y pokazane na rysunku poni ej:

2. Zaszyfruj partycj /dev/sdb1, która w naszym przyk adzie jest urz dzeniemprzeno nym. Aby zaszyfrowa ca partycj , wpisz nast puj ce polecenie:

cryptsetup -y -v luksFormat /dev/sdb1

Oto wynik dzia ania tego polecenia:





33

Wykonanie tego polecenia powoduje zainicjowanie partycji oraz ustawienie has a.Upewnij si , e b dziesz pami ta ustawione has o.

3. Teraz otwórz nowo utworzone, zaszyfrowane urz dzenie, tworz c odpowiednie mapowanie:

4. Sprawd , czy zmapowane urz dzenie jest dost pne:

ls -l /dev/mapper/backup2

Wyniki dzia ania tego polecenia jest taki:

5. Sprawd status zmapowanego urz dzenia, wykonuj c nast puj ce polecenie:

6. Wy wietl nag ówek LUKS-a. Aby to zrobi , wykonaj nast puj ce polecenie:





34

7. Nast pnie zapisz ca e dost pne miejsce na urz dzeniu /dev/mapper/backup2zerami. Mo esz to zrobi przy u yciu nast puj cego polecenia:

Poniewa wykonanie polecenia dd mo e zaj wiele godzin, u ywamy tutajpolecenia pv do monitorowania post pów dzia ania.

8. Teraz utwórz system plików:

mkfs.ext4 /dev/mapper/backup2

Wyniki dzia ania tego polecenia pokazano poni ej:

9. Nast pnie zamontuj nowy system plików i upewnij si , e jest dost pny:





35

Gratulacje! Uda o Ci si utworzy zaszyfrowan partycj . Teraz mo esz bezpiecznie prze-chowywa na niej wszystkie swoje dane, nawet je eli komputer jest wy czony.

Co dalej?Wykonaj nast puj ce polecenia, aby odmontowa zaszyfrowan partycj i zabezpieczy naniej dane:

umount /backup2cryptsetup luksClose backup

Aby ponownie zamontowa zaszyfrowan partycj , nale y wykona nast puj ce polecenia:

cryptsetup luksOpen /dev/xvdc backup2mount /dev/mapper/backup2 /backup2df -Hmount





36

Zastosowanie pliku sudoers— konfiguracja dost pu do polecenia sudoPlik sudoers to bardzo u yteczny mechanizm systemu Linux, pozwalaj cy administratorowisystemu na przyznanie zwi kszonych uprawnie zaufanemu, regularnemu u ytkownikowi,jednak bez konieczno ci faktycznego dzielenia si has em u ytkownika root. Zamiast tegoadministrator musi po prostu doda nazw konta zwyk ego u ytkownika do listy sudoers.

Po dodaniu u ytkownika do listy sudoers mo e on wykona ka de polecenie administracyjne,poprzedzaj c je komend sudo. Nast pnie u ytkownik zostaje poproszony o podanie w asnegohas a. Po wpisaniu poprawnego has a polecenie administracyjne zostaje wykonane w taki samsposób jak przez u ytkownika root.

Przygotuj siPoniewa plik konfiguracyjny jest predefiniowany, a wszystkie u ywane polecenia s wbu-dowanymi poleceniami pow oki, przed rozpocz ciem tego wiczenia nie s potrzebne adnedodatkowe przygotowania.

Jak to zrobi …Wykonaj nast puj ce kroki:

1. Najpierw utworzysz normalne konto u ytkownika, a nast pnie dasz mu dost pdo polecenia sudo. Kiedy to zrobisz, b dziesz móg u y polecenia sudo z nowegokonta, a nast pnie b dziesz móg wykona polecenia administracyjne. Abyskonfigurowa dost p do polecenia sudo, powiniene uwa nie wykona opisane dalejkroki. Najpierw zaloguj si do systemu jako u ytkownik root, a nast pnie utwórznowe konto u ytkownika za pomoc polecenia useradd, jak pokazano na rysunku.Zamiast ci gu znaków USERNAME wpisz dan nazw konta u ytkownika:

2. Teraz, u ywaj c polecenia passwd, ustaw has o dla nowego konta u ytkownika,jak pokazano na kolejnym rysunku:





37

3. Nast pnie otwórz do edycji plik /etc/sudoers. Aby to zrobi , powinieneu y polecenia visudo, tak jak to zosta o pokazane na rysunku poni ej.Regu y u ywania polecenia sudo s definiowane w pliku /etc/sudoers:

4. Po otwarciu pliku w edytorze wyszukaj wiersze, które umo liwiaj dost pdo polecenia sudo u ytkownikom znajduj cym si w grupie test:

5. Wybran konfiguracj mo esz w czy , usuwaj c znak komentarza (#) znajduj cysi na pocz tku drugiego wiersza. Po dokonaniu zmian zapisz plik i wyjdz edytora. Nast pnie, u ywaj c polecenia usermod, dodaj wcze niej utworzonekonto u ytkownika do grupy test:

6. Teraz musisz sprawdzi , czy utworzona konfiguracja pozwala nowemuu ytkownikowi na uruchamianie polece przy u yciu sudo.

7. Aby prze czy si na nowo utworzone konto u ytkownika, nale y u ypolecenia su:

8. Teraz zastosuj polecenie groups, aby potwierdzi , e konto u ytkownika zosta ododane do grupy test:

Na koniec, z poziomu nowego konta, powiniene wykona polecenie sudo whoami.Poniewa polecenie sudo wykonujemy na tym koncie po raz pierwszy, na ekraniezostanie wy wietlony domy lny komunikat informacyjny, a nast pnie zostanieszpoproszony o podanie has a dla tego konta:





38

9. Ostatnim wierszem wy wietlanym na ekranie jest nazwa u ytkownika,b d ca wynikiem dzia ania polecenia whoami. Je eli polecenie sudo zosta oskonfigurowane poprawnie, na ekranie pojawi si nazwa root.

Uda o Ci si pomy lnie skonfigurowa konto u ytkownika z dost pem do polecenia sudo.Mo esz teraz zalogowa si na to nowe konto i u ywa sudo do uruchamiania innych pole-ce na prawach u ytkownika root.

Jak to dzia a…Gdy zak adasz nowe konto u ytkownika, nie ma ono uprawnie do uruchamiania poleceadministratora. Jednak po dodaniu do pliku /etc/sudoers odpowiedniego wpisu daj cegonowemu u ytkownikowi dost p do polecenia sudo mo na zacz u ywa tego nowego kontau ytkownika do uruchamiania wszystkich polece na prawach u ytkownika root.

Co dalej?Oto kilka dodatkowych rodków, które mo na podj w celu zwi kszenia bezpiecze stwasystemu.

Ocena podatno ciOcena podatno ci to proces kontroli bezpiecze stwa sieci i systemów, dzi ki któremu mo -na uzyska informacje na temat poufno ci, integralno ci i dost pno ci rodowiska kompute-rowego. Pierwszym etapem oceny podatno ci jest rozpoznanie, maj ce na celu zebranie in-formacji o badanym rodowisku. Nast pnie przechodzimy do skanowania w poszukiwaniupodatno ci, w ramach którego staramy si wyszuka wszystkie istniej ce luki i s abo ci za-bezpiecze . Wreszcie na koniec nast puje faza raportowania, w której opisujemy wszystkieznalezione podatno ci, grupuj c je wed ug kategorii niskiego, redniego i wysokiego ryzyka.





39

Skanowanie hostówza pomoc programu NmapNmap, który mo e by u ywany do skanowania sieci, jest jednym z najpopularniejszych na-rz dzi dost pnych w systemie Linux. Nmap jest dost pny ju od wielu lat i obecnie to jedenz najpopularniejszych skanerów sieciowych. Program ten jest u ywany przez administrato-rów do wyszukiwania hostów, skanowania otwartych portów, a nawet skanowania w poszu-kiwaniu podatno ci. Je eli planujesz przeprowadzenie oceny podatno ci Twojego systemu,Nmap jest z pewno ci narz dziem, którego nie mo esz przegapi .

Przygotuj siWi kszo wspó czesnych dystrybucji systemu Linux jest dostarczana z ju zainstalowanympakietem Nmap. Pomimo to Twoim pierwszym krokiem powinno zawsze by sprawdzenie,czy Nmap jest rzeczywi cie zainstalowany w Twoim systemie. Mo esz to zrobi za pomocnast puj cego polecenia:

nmap --version

Je eli Nmap jest zainstalowany, wyniki dzia ania powy szego polecenia powinny by mniejwi cej takie:

Je eli Nmap nie jest jednak zainstalowany, mo esz go pobra ze strony https://nmap.org/download.html.

Aby szybko zainstalowa pakiet Nmap w systemie Linux opartym na dystrybucji Debian,mo esz u y nast puj cego polecenia:

sudo apt-get install nmap

Jak to zrobi …Aby przeskanowa wybran podsie za pomoc programu Nmap, powiniene wykona na-st puj ce polecenia:

1. Najcz stszym zastosowaniem programu Nmap jest znalezienie wszystkich hostówdost pnych online w danym zakresie adresów IP. Skanowanie sieci z u yciemdomy lnych ustawie skanera Nmap mo e jednak troch potrwa , w zale no ciod rozmiarów skanowanej podsieci oraz liczby dost pnych w niej hostów.





40

2. Przyk ad takiego skanowania zosta pokazany poni ej:

3. Aby przeprowadzi skanowanie typu SYN hosta o wybranym adresie IP,powiniene u y nast puj cego polecenia:

4. Je eli skanowanie typu SYN nie dzia a poprawnie lub nie przynios ooczekiwanych rezultatów, mo esz równie u y skanowania typu Stealth:





41

5. Aby sprawdzi , jakie us ugi dzia aj na zdalnym komputerze, mo na wykonaskanowanie us ug z wykrywaniem numerów wersji (ang. Service VersionDetection) w nast puj cy sposób:

6. Je eli chcia by wykry system operacyjny dzia aj cy na zdalnym systemie,uruchom poni sze polecenie:

nmap -O 192.168.1.102





42

7. Fragment przyk adowych wyników dzia ania takiego polecenia zosta pokazanyna rysunku poni ej:

8. Je eli chcia by przeskanowa tylko wybrany port sieciowy danego hosta,np. port 80, mo esz u y nast puj cego polecenia:





43

Jak to dzia a…Za pomoc skanera Nmap mo emy sprawdzi , jakie us ugi dzia aj na poszczególnych por-tach sieciowych. Informacje takie pozwalaj administratorowi sieci wy cza niepotrzebneus ugi sieciowe i zamyka nieu ywane porty. W przyk adach przedstawionych powy ej po-kazano, jak zastosowa program Nmap do skanowania portów i badania otaczaj cej nas sieci.

Zobacz równieNmap posiada tak e w asny j zyk skryptowy, którego mo emy u ywa do pisania w asnychskryptów. Skrypty NSE (ang. Nmap Scripting Engine) mog by u ywane do automatyzowaniaprocesu skanowania i zwi kszania mo liwo ci programu.

Wi cej szczegó owych informacji na temat skanera Nmap znajdziesz na stronie https://nmap.org/.

Zdobywanie uprawnie u ytkownika rootw podatnym na ataki systemie LinuxKiedy chcesz si dowiedzie , jak skanowa i prze amywa zabezpieczenia systemu Linux,napotykasz zwykle na jeden powa ny problem: gdzie mo na tego spróbowa . W a nie w takimcelu zespó twórców pakietu Metasploit opracowa i udost pni maszyn wirtualn o nazwieMetasploitable, która zosta a celowo wyposa ona w szereg podatnych na ataki us ug i pro-gramów. Dzi ki temu maszyna Metasploitable jest wietn platform do wicze w zakresieskanowania i rozwijania umiej tno ci przeprowadzania testów penetracyjnych. W tym pod-rozdziale dowiemy si , jak skanowa systemy linuksowe, a tak e jak na podstawie otrzyma-nych wyników znale us ug podatn na ataki. Nast pnie, wykorzystuj c tak us ug , spró-bujemy uzyska nieautoryzowany dost p do systemu na poziomie u ytkownika root.

Przygotuj siW tej sekcji b dziemy u ywa systemu Kali Linux oraz maszyny wirtualnej Metasploitable.Pliki obrazów maszyny wirtualnej Metasploitable oraz systemu Kali Linux mo esz pobraz nast puj cych stron:

http://sourceforge.net/projects/metasploitable/files/Metasploitable2/, https://images.offensive-security.com/virtual-images/kali-linux-2018.2-vm-i386.zip.





44

Jak to zrobi …Metasploit Framework jest narz dziem typu open source u ywanym przez specjalistów ds.bezpiecze stwa na ca ym wiecie do przeprowadzania testów penetracyjnych i wykorzysty-wania exploitów. Pakiet Metasploit jest domy lnie zainstalowany w systemie Kali Linux (tensystem operacyjny jest najch tniej wybierany przez specjalistów).

Aby uzyska dost p na poziomie u ytkownika root do podatnego na ataki systemu Linux,post puj zgodnie z poni szymi wskazówkami:

1. W systemie Kali Linux uruchom konsol Metasploit. Aby to zrobi ,wykonaj nast puj c sekwencj polece :

service postgresql startmsfconsole

2. Po uruchomieniu na ekranie pojawia si kilka informacji oraz znak zach ty msf>konsoli Metasploit.

3. Teraz spróbujemy przeskanowa host o adresie 192.168.0.102, u ywaj c do tegocelu skanera Nmap, uruchomionego w osobnym oknie konsoli pow oki.





45

Przyk adowe wyniki skanowania zosta y pokazane poni ej:

4. Wyniki dzia ania skanera pokazuj , e na badanym ho cie uruchomionych jestwiele us ug sieciowych, dzia aj cych na ró nych portach. W ród nich mo emyznale serwer FTP dzia aj cy na porcie 21.

5. Skupimy si na us udze FTP. Na podstawie wyników skanowania mo na sidowiedzie , e us uga ta wykorzystuje serwer vsftpd w wersji 2.3.4.

6. Teraz powrócimy do Metasploita i spróbujemy znale exploit dla serwera vsftpd.Mo na to zrobi , wykonuj c komend search vsftp. Poni ej przedstawionowyniki wyszukiwania:

7. Wyniki dzia ania pokazuj , e Metasploit posiada modu exploita o nazwieVSFTPD Backdoor Command Execution o ocenie doskona ej, co oznacza,e ten exploit powinien bardzo dobrze zadzia a .

8. Aby u y tego exploita, wykonaj polecenia pokazane na kolejnym rysunku:





46

9. Jak atwo zauwa y , trzeba ustawi parametr RHOST, który w naszym przypadkub dzie mia warto 192.168.1.102.

10. Ustaw warto parametru RHOST i uruchom exploit, tak jak to zosta o pokazane poni ej:

11. Je eli wszystko zadzia a zgodnie z oczekiwaniami, to po uruchomieniu exploitapowiniene uzyska dost p na poziomie u ytkownika root do atakowanegosystemu, tak jak to pokazano na poprzednim rysunku.

Jak to dzia a…Najpierw za pomoc programu Nmap przeskanowali my badany system, aby sprawdzi , któreporty s otwarte i jakie dzia aj na nich us ugi. W wyniku skanowania znale li my us ug FTPdzia aj c na porcie 21. Nast pnie uda o nam si sprawdzi wersj serwera FTP. Po zebra-niu tych informacji powrócili my do konsoli Metasploita i poszukali my exploitów dla ser-wera VSFTPD. Znaleziony modu VSFTPD Backdoor Command Execution to w rzeczywi-sto ci odpowiednio spreparowany kod, który jest wysy any przez Metasploita i wykonywanyna maszynie docelowej, co jest mo liwe ze wzgl du na istniej c luk w oprogramowaniuserwera VSFTPD. Gdy kod exploita zostanie wykonany, otrzymujemy dost p do pow okiatakowanego systemu na poziomie u ytkownika root.





47

Co dalej?W sieci Internet znajdziesz wiele interesuj cych informacji na temat exploitów, podatno ci i lukw zabezpieczeniach systemu Linux.

Brak planu tworzenia kopii zapasowychW dobie z o liwych i niebezpiecznych cyberataków Twoje dane nigdy nie s ca kowiciebezpieczne i z pewno ci wymagaj czego wi cej ni tylko dobrze zabezpieczonego systemu— potrzebuj zabezpieczenia w postaci kopii zapasowych. Posiadanie takich kopii daje Ci pew-no , e nawet je eli Twoje dane zostan utracone, to b dziesz móg je szybko odtworzy .

Przygotuj siKiedy mówimy o tworzeniu kopii zapasowych danych w systemie Linux, jedn z kluczowychdecyzji jest wybór odpowiedniego do tego narz dzia, które b dzie odpowiada o Twoim po-trzebom biznesowym. Ka dy musi mie niezawodne narz dzie do tworzenia kopii zapaso-wych danych, ale nie zawsze oznacza to konieczno wydawania du ych pieni dzy na zakupwyrafinowanych programów. Narz dzie do tworzenia kopii zapasowych powinno umo liwiatworzenie lokalnych i zdalnych kopii zapasowych, kopii wykonywanych jednorazowo „na y-czenie”, kopii zapasowych wykonywanych zgodnie z zaplanowanym harmonogramem i innychfunkcji w zale no ci od Twoich potrzeb.

Jak to zrobi …Przedstawimy teraz kilka znakomitych narz dzi do tworzenia kopii zapasowych dla systemuLinux.

fwbackupsJest to chyba najprostsze ze wszystkich narz dzi do tworzenia kopii zapasowych dla systemuLinux. Program fwbackups posiada bardzo przyjazny interfejs u ytkownika i mo e by u y-wany do tworzenia pojedynczych kopii zapasowych, a tak e do okresowego wykonywaniakopii zapasowych zgodnie z zaplanowanym harmonogramem.

Kopie zapasowe, zarówno lokalne jak i zdalne, mog by zapisywane w ró nych formatach,takich jak tar, tar.gz, tar.bz lub rsync. Za pomoc tego narz dzia mo na utworzy kopizapasow tak pojedynczego pliku, jak i ca ego komputera.

Program fwbackups pozwala na atwe wykonywanie kopii zapasowych i równie atwe przy-wracanie danych. Dodatkowo narz dzie to umo liwia tworzenie przyrostowych oraz ró ni-cowych kopii zapasowych, co mo e znacz co przyspieszy ca y proces.





48

rsyncJest to zdecydowanie jedno z najcz ciej u ywanych narz dzi do tworzenia kopii zapasowychdla systemu Linux. Mo e by u ywane do tworzenia przyrostowych kopii zapasowych, za-równo lokalnych jak i zdalnych.

Program rsync mo e by u ywany do aktualizacji drzew katalogowych i systemów plikówprzy zachowaniu linków, w a ciwo ci, uprawnie i przywilejów.

B d c narz dziem wiersza polece , rsync mo e by z powodzeniem u ywane w prostychskryptach, co w po czeniu z narz dziem cron pozwala na stworzenie prostego rozwi zaniaautomatycznego tworzenia kopii zapasowych zgodnie z zaplanowanym harmonogramem.

Amanda (Advanced Maryland Automatic Network Disk Archiver)Jest to darmowe narz dzie o otwartym kodzie ród owym, opracowane dla „umiarkowaniedu ych centrów komputerowych”. Przeznaczone jest do tworzenia kopii zapasowych wielumaszyn na nap dach ta mowych, dyskach twardych lub dyskach optycznych za po rednic-twem sieci.

Amanda mo e by u ywana do tworzenia kopii zapasowych danych w rozproszonej sieciz zastosowaniem kombinacji g ównego serwera kopii zapasowych i systemów Linux lubWindows.

Program ten pozwala równie na tworzenie migawek woluminów LVM (ang. Logical VolumeManager).

Simple Backup Solution (SBS)Simple Backup Solution (SBS) to prosty program wyposa ony w graficzny interfejs u ytkow-nika. Mo e by u ywany do tworzenia kopii zapasowych plików i katalogów. Program tenpozwala równie na stosowanie ró nego rodzaju filtrów wykorzystuj cych wyra enia regu-larne do wybierania b d odrzucania plików, które zostan skopiowane.

SBS posiada predefiniowane zestawy ustawie konfiguracyjnych, które mog by u ywanedo tworzenia kopii zapasowych takich katalogów jak /var/, /etc/ czy /usr/local.

Narz dzie to mo e by wykorzystywane do tworzenia w asnych, niestandardowych kopiizapasowych oraz jednorazowych kopii zapasowych i zaplanowanych kopii zapasowych wy-konywanych zgodnie z ustalonym wcze niej harmonogramem.

BaculaBacula jest darmowym narz dziem o otwartym kodzie ród owym. Narz dzie to wymagazainstalowania odpowiedniego klienta w ka dym systemie, którego kopia zapasowa b dzietworzona. Poszczególne systemy s kontrolowane za pomoc serwera, który centralnie ob-s uguje regu y tworzenia kopii zapasowych.





49

Bacula posiada w asny format pliku, który nie jest jednak zastrze ony, poniewa jest to na-rz dzie typu open source.

Program pozwala na tworzenie pe nych i przyrostowych kopii zapasowych i znakomiciesprawdza si w rodowisku, gdzie wiele serwerów posiada swoje w asne nap dy ta mowe dozapisywania kopiowanych danych.

Szyfrowanie i macierze RAID równie s obs ugiwane przez ten program. Dodatkowo Baculaoferuje swój j zyk skryptów, pozwalaj cy na dostosowanie zada tworzenia kopii zapasowychoraz wprowadzenie szyfrowania.

Jak to dzia a…Narz dzia do tworzenia kopii zapasowych s niezb dne dla ka dego, kto pracuje w bran yIT lub jest bardziej zaawansowanym u ytkownikiem komputera. Narz dzia te powinny miemo liwo tworzenia zaplanowanych kopii zapasowych, kopii jednorazowych, kopii lokal-nych, zdalnych kopii zapasowych i wykonywania wielu innych funkcji w zale no ci od po-trzeb u ytkownika.





50




Skorowidz

Aadres

IP, 64, 162, 164blokowanie po cze , 174fa szowanie, 174

MAC, 64URI, 156URL, 255

aktualizacja repozytorium pakietów, 129aktualizacje, 291, 292, 295, 297algorytmy szyfrowania, 357Amanda, 48analiza pakietów, 165analizator pakietów, 165, 232analizowanie ustawie j dra, 73archiwum tar, 74ARM, 246ASCII, 167atak

DoS, 29, 174, 301brute force, 357FTP bounce, 356Shellshock, 281, 284, 285

ataki z fa szowaniem adresów hosta, 357audyt, 29, 378audytowanie

systemu, 365, 400us ug systemowych, 382

autoryzacja u ytkowników, 125

BBacula, 48Bashdoor, 281baza danych

GeoIP, 189Kerberos, 150Maxmind, 189Tripwire, 218

bezpiecze stwo, 197, 245, 285Postfiksa, 363przesy ania plików, 356serwera, 26serwera Linux, 349sieciowe, 161systemu plików, 77

biblioteka OpenSSL, 208blokowanie

konta u ytkownika, 116logowania, 113, 137ruchu przychodz cego, 178ruchu sieciowego, 186

b d braku pami ci, 73b dy, 63

j dra, 71programowe, 72typu MCE, 71

brama domy lna, 255BUG() macro, 72




Skorowidz

402

Ccertyfikat, 194, 195, 212

SSL, 195, 388ClamAV, 365CSR, Certificate Signing Request, 213CSR, Core Set Rules, 188

Ddebugowanie, 63

procesu uruchamiania j dra, 70DEFT Linux, 257

tworzenie raportów, 259dodawanie wyj tku, 212DoS, Denial of Service, 174, 301dost p

do systemu, 120, 128zdalny, 140

do serwera/hosta, 133dost pno systemu, 29dowi zanie symboliczne, 62dystrybucja

DEFT Linux, 257Kali Linux, 245NST Linux, 259pfSense, 251Qubes Linux, 273Security Onion, 385Security Onion Linux, 263Tails Linux, 270

dystrybucje systemu, 245dziennik

zdarze , 315, 335audytu, 378

Eekran BIOS-u, 70ekran mierci, 63e-mail, 359exploit, 301

Ffa szowanie adresu IP, 174framework Metasploit, 301FTP, File Transfer Protocol, 356funkcja Verbose, 252funkcje skrótu, 30fwbackups, 47

GGlances, 311GNOME 3, 247Grsync, 237

Hhas a

zasady tworzenia, 24has o pfsense, 256haszowanie, 357hipernadzorca Xen, 280historia monitorowania sieci, 334

IIAM, Identity and Access Management, 132IDAM, Identity and Access Management, 128IDS, 224IDS, Intrusion Detection System, 215ikona Settings, 249informacje o

plikach, 78po czeniu, 162serwerze, 212urz dzeniu, 121zdarzeniach, 348

inicjowanie modu u Netconsole, 67instalacja

Apache, 350klienta, 152zapory pfSense, 251

instalowanieaktualizacji, 297Glances, 312Grsync, 238j dra systemu, 60MultiTail, 316OSSEC, 226pakietu OpenSSL, 210programu antywirusowego, 365serwera LDAP, 100Shorewall, 221Snort, 233Tripwire, 215

integralno no nika instalacyjnego, 30interfejs

loopback, 172NSTWUI, 261, 262pfSensewebConfigurator, 255

IPTraf, 336




Skorowidz

403

Jj dro systemu

analizowanie ustawie , 73b d braku pami ci, 73b dy, 71

programowe, 72typu MCE, 71

debugowanie procesu uruchamiania, 70instalowanie, 60kod ród owy, 53kompilowanie, 60konfigurowanie, 51, 55korekcja b dów, 71optymalizowanie, 51parametry, 73przerwania niemaskowalne, 71testowanie, 63uruchamianie, 60usuwanie b dów, 63wykrywanie b dów, 71zakleszczenie, 72zawieszenia pozorne, 72

JDK, Java Development Kit, 128jednostki, 150

KKali Linux, 245

dost p do ustawie , 248menu Application, 251nagrywanie filmu, 248rodowisko graficzne, 247

kartaAuthentication, 295, 297Other Software, 294Statistics, 296, 297Ubuntu Software, 292Updates, 295, 297

katalog/boot, 62lynis, 74

kluczprywatny, 195, 286publiczny, 195, 286SSL, 194USB, 120

klucze, 140kod ród owy j dra systemu, 53, 54

komunikatCompleted successfully, 241, 242o b dzie, 115, 206, 208

konfiguracjadost pu do polecenia sudo, 36loadera GRUB, 96pakietu PHPldapadmin, 104serwera Kerberos, 147zapory Shorewall, 223

konfigurowaniej dra systemu, 55konsoli, 63modu u Netconsole, 66pakietu TCP Wrappers, 182serwera

Apache, 211, 349Kerberos, 147, 153LDAP, 100proxy, 206

Tripwire, 215zabezpiecze serwerów, 23zapory pfSense, 252

konsola do debugowania, 63konta u ytkowników, 24kontrola dost pu, 95kopie zapasowych, 47korekcja b dów, 71

LLDAP, Lightweight Directory Access Protocol,

100, 103, 155lista ACL, 86lista kontrolna bezpiecze stwa, 28

audyt, 29dost pno systemu, 29dyski, 28sie i us ugi, 29uruchamianie, 28

logowanie, 107blokowanie, 113, 137zdalne, 352, 363

bezpieczne, 354luka

Dirty Cow, 302Shellshock, 281, 284, 285, 290xt_TCPMSS, 300

luki w zabezpieczeniach, 281, 300LUKS, Linux Unified Key Setup, 31Lynis, 397




Skorowidz

404

MMAC, Mandatory Access Control, 95maska podsieci, 255maszyna wirtualna, 246mechanizm

LUKS, 31, 272PAM, 120, 159pam_usb, 122

mened eraktualizacji, 291, 292maszyn wirtualnych, 280sieci, 163

menuApplication, 251File systems, 58

ModSecurity, 186modu

Netconsole, 63, 67PAM, 120

monitorowanie, 25, 27aktywno ci u ytkowników, 116bezpiecze stwa sieci, 336, 385dzienników zdarze , 315ruchu, 165sieci, 307, 341

w czasie rzeczywistym, 331systemu, 303, 311

MultiTail, 315

Nnarz dzia

bezpiecze stwa, 197systemowe, 318, 322, 325, 328

narz dzie Git, 54nas uchiwanie, 333Nmap, 39, 307no nik startowy USB, 52NST Linux, 259

interfejs NSTWUI, 261, 262

Oobs uga SSL, 194, 210ocena podatno ci, 38ochrona plików wra liwych, 98odbiornik komunikatów, 69odrzucanie pakietów, 228

ograniczaniedost pu, 110zdalnego dost pu, 140

OpenNMS, 341OpenVAS, 389, 394operacje na plikach, 90OSSEC, 224

Ppakietacct, 116, 119

auditd, 376ClamAV, 368Glances, 311, 314Grsync, 238ICMP Echo, 179ICMP Host Unreachable, 180ICMP Time Exceeded, 179iptables, 169iptables-persistent, 173IPTraf, 331Java, 130JDK, 128krb5-config, 152Logcheck, 304, 306Lynis, 397, 400mod_security, 186ModSecurity, 188Netcat, 68Nmap, 200, 307OpenLDAP, 101OpenNMS, 341, 343, 344, 345, 348OpenSSH, 354openssh-client, 136openssh-server, 137, 285OpenSSL, 209OpenVAS, 389OSSEC, 224, 225, 227, 229, 231pam-usb, 124PHPldapadmin, 103, 106Postfix, 358Rsync, 238Shorewall, 220, 221, 222slapd, 106Snort, 232, 233, 235Squid, 204Suricata, 336, 337, 338, 339, 340sxid, 200sXid, 198




Skorowidz

405

Syslinux, 52TCP Wrappers, 182, 186Tcpdump, 166, 169Tripwire, 215, 216, 217, 218, 220Whowatch, 318WSO2 Identity Server, 128IPTraf, 331

PAM, Pluggable Authentication Modules, 120, 159parametry j dra, 73pfSense, 251

instalacja systemu, 257konfigurowanie zapory, 252

plik/etc/default/portsentry, 203/etc/environment, 129/etc/glances/glances.conf, 313/etc/host.conf, 177/etc/hostname, 342/etc/hosts, 147/etc/hosts.allow, 183, 184, 185/etc/hosts.deny, 183, 204/etc/krb5.conf, 150, 155/etc/logcheck/logcheck.conf, 305, 306/etc/logcheck/logcheck.logfiles, 306/etc/modprobe.d/netconsole.conf, 67/etc/modsecurity/crs-setup.conf, 189/etc/modules, 67/etc/network/interfaces, 162, 164, 231/etc/nsswitch.conf, 159/etc/pam.d/common-session, 159/etc/pam.d/login, 112/etc/pamusb.conf, 121, 122/etc/passwd, 114, 286, 289/etc/phpldapadmin/config.php, 158/etc/securetty, 112, 113/etc/security/access.conf, 112/etc/shadow, 114/etc/shorewall/rules, 223/etc/shorewall/zones, 222/etc/ssh/sshd_config, 137, 139, 153/etc/sudoers, 126, 127, 138/etc/sxid.conf, 199, 200/etc/sysctl.conf, 73/etc/tripwire/tw.pol, 218/var/ossec/etc/ossec.conf, 230~/netconsole.log, 68authorized_keys, 287, 288capture.pcap, 168carbon.xml, 130conn.log, 185CSR, 213file1.txt, 89

id_rsa, 141id_rsa.pub, 287local_rules.xml, 231lynis, 75modsecurity.conf, 187modsecurity.conf-recommended, 187permissions.acl, 89policy, 223securetty, 111sudoers, 36System.map, 62wtmp, 118

plikidziennika, 303, 306przenoszenie, 90rozszerzone atrybuty, 98synchronizacja, 243wra liwe, 98zdalne kopiowanie, 143zmiana nazwy, 90

poczta elektroniczna, 358podatno ci, 300polecenie

apt-get install glances, 312apt-get update, 343attr, 98aureport, 382ausearch, 379, 380, 382cat, 114chmod, 80, 83chown, 84cp, 90Details, 249diff, 300dmesg, 108File/Connect to Server, 145getfattr, 99glances, 312, 315gree, 109grsync, 239ifconfig, 163iptables, 172kadmin.local, 150, 153Keys, 320kinit tajinder, 154last, 109, 110lastb root, 108lastcomm, 119lastlog, 110lista princs, 151ls, 78




Skorowidz

406

polecenielshw, 163lsof, 325, 326, 327make, 118

install, 61, 118, 338menuconfig, 58

more, 111multitail, 316, 317mv, 90, 91, 92New Task, 392nmap localhost, 309openssl, 193pamusb-conf, 121patch, 299, 300polityka bezpiecze stwa, 22put, 287rsync, 243scp, 144, 155service

apache2 restart, 210shorewall restart, 224squid3 restart, 207

Set NST System Passwords, 260setenforce, 97setfacl, 88setfattr, 99Settings, 370sftp, 145Simulation, 241snort, 235ssh adres_IP, 135stat, 322, 323, 324strace, 328, 329, 330sudo, 36, 58, 126, 128, 169, 325sxid, 199systemctl, 382, 384tail, 330Targets, 390tcpdump, 166, 167, 168, 169unzip, 130usermod, 115vrfy, 363whowatch, 318, 319

poprawki bezpiecze stwa, 291, 297PortSentry, 200post p skanowania, 371Postfix, 360pow oka bash, 281, 284, 290prawo dost pu do plików i katalogów, 80, 86program

ARM, 246

aureport, 378ausearch, 378chkrootkit, 376ClamAV, 365, 367, 368fwbackups, 47Glances, 311Grsync, 237IDAM, 128IPTraf, 332, 336kadmin.local, 150Logcheck, 303Lynis, 73, 75, 397MultiTail, 315Netcat for Windows, 69Nikto, 395Nmap, 39, 203, 307OpenNMS, 341OpenSSH, 134OSSEC, 224PortSentry, 200rkhunter, 374, 376rozruchowy, 51

GRUB, 65, 70rsync, 48, 237scp, 146sftp, 145Shorewall, 220Snort, 232SSH, 182sXID, 197Systemd, 382Tripwire, 215Update Manager, 292VirtualBox, 246VMWare, 246Whowatch, 319, 321Wireshark, 353, 355

programy antywirusowe, 365protokó

HTTPS, 131, 213LDAP, 155SFTP, 146SMTP, 358SSH, 133SSL, 191, 192, 350TCP/IP, 161

przechwytywanie pakietów, 357przerwania niemaskowalne, 71przestrze nazw, 98punkty montowania, 53




Skorowidz

407

QQubes Linux, 273

hipernadzorca Xen, 280instalowanie, 273

systemu, 276konfiguracja systemu, 277lokalizacja systemu, 274

RRAM dysk, 62regu y

CSR, 188zapory iptables, 171, 172, 173, 175, 177, 179

rejestrowanie zdarze , 303repozytoria Ubuntu, 100repozytorium

GitHub, 225PPA Oracle, 129

rkhunter, 374root, 43rootkit, 224, 228, 372, 375rozszerzenie SELinux, 95, 96rozszerzone atrybuty plików, 98rsync, 48, 237

Sscreencasting, 248Security Onion, 385, 388

Linux, 263serwer

Apache, 186, 191, 209, 351FTP, 357Glances, 315Kerberos, 147LDAP, 100, 155, 157, 159OpenSSL, 208proxy Squid, 208Squid Proxy, 204SSH, 147, 287sshd, 136Ubuntu, 106WSO2 Identity Server, 131WWW, 349, 395

serwerybezpiecze stwo, 26zasady konfiguracji, 24, 26

sesjapo czenia, 154SSH, 137, 140

SFTP, Secure File Transfer Protocol, 146Shorewall, 220sieci TCP/IP, 161Simple Backup Solution, 48skaner

Nmap, 203, 307, 311OpenVAS, 394

skanowanie, 365, 394hostów, 39serwera, 390serwerów WWW, 395sieci, 310systemu, 368

skryptexample.sh, 289install.sh, 226konfiguracyjny, 117sample.sh, 287

s owo kluczoweacl, 207src, 207

SMTP, Simple Mail Transfer Protocol, 358sniffing, 357Snort, 232SSH, Secure Shell, 354SSL, Secure Sockets Layer, 208status pakietu OSSEC, 229statystyki interfejsu, 335sXID, 197sygnatury rootkitów, 373, 375synchronizacja plików, 243system

IDAM, 128Kerberos, 147klienta, 147plików

bezpiecze stwo, 77ext4, 59

Security Onion Linux, 385wykrywania w ama , 215, 224, 232

Systemd, 382szyfrowanie, 357

dysków, 31

TTails Linux, 270

podmenu Tails, 272TCP Wrappers, 182TCP/IP, 161Telnet, 352




Skorowidz

408

testowanie j dra, 63token uwierzytelniaj cy, 120Tripwire, 215tryb

analizatora pakietów, 232wymuszania, 97zezwalania, 96

tworzeniedomeny, 149has a, 150kopii zapasowych, 47

UUbuntu, 100uprawnienia do wykonania pliku, 81URI, Uniform Resource Identifier, 156urz d certyfikacji, 214urz dzenie USB, 123, 124us uga

auditd, 376, 378, 380, 382FTP, 356HTTPD, 349LDAP, 103nscd, 160OSSEC, 231PortSentry, 203postfix, 362shorewall, 224SMTP, 358Squid, 207SSH, 136, 139, 310, 354Telnet, 352, 363

ustawienia protoko u TCP/IP, 165usuwanie b dów, 63utwardzanie systemu, 397uwierzytelnianie, 295

lokalne, 107oparte na kluczach, 140PAM, 121USB, 124u ytkowników, 120, 155zdalne, 133

u ytkownik root, 43, 112, 137, 138

VVirtualBox, 246VMWare, 246

WWAF, Web Application Firewall, 186Whowatch, 318Wireshark, 353wirtualny host, 194w amania, 29w asno plików, 84wyj tek bezpiecze stwa, 212wykrywanie

b dów, 71rootkitów, 224, 228, 372w ama , 29, 232, 385

wyszukiwanie luk i podatno ci, 389wy wietlanie podkatalogów, 79

Zzabezpieczanie

ruchu sieciowego, 191serwerów, 23

zadanie skanowania, 392, 393zakleszczenie, 72zapora sieciowa

Shorewall, 220iptables, 169, 171ModSecurity, 186pfSense, 252UFW, 346

zarz dzanieaktualizacjami, 291dost pem, 128kontami u ytkowników, 24zarz dzanie plikami dziennika, 303sieciami TCP/IP, 161us ug LDAP, 103u ytkownikami, 155

zasadykonfiguracji serwera, 24, 26monitorowania, 25, 27tworzenia hase , 24

zawieszenia pozorne, 72zdalne kopiowanie plików, 143zdarzenia, 303, 315zmiana

nazwykatalogu, 91plików, 92

w a ciciela plików i katalogów, 84zmienne rodowiskowe pow oki, 283znaczniki czasu, 93




http://program-partnerski.helion.pl

Tytuł oryginału: Practical Linux Security Cookbook - Second Edition · 2019-05-15 · Tytuł...

Documents

Transcript of Tytuł oryginału: Practical Linux Security Cookbook - Second Edition · 2019-05-15 · Tytuł...