Безопасность с ssh

О том, что "враг не дремлет", знает каждый. Злые хакеры рыщут по Internetу, в надежде чем-нибудь поживиться. Поэтому каждый, кто ставит UNIX (читай Linux)-сервер тайно лелеет надежду, что его "пронесет". Но надежда - надеждой, а меры тоже надо принимать.

Конечно, самый простой и надежный способ обезопаситься от взлома - это убрать на компьютере все службы, отключить его от Сети, выключить питание и заклеить выключатель скотчем. Но если при этом еще требуется и дело делать? Тогда можно ограничиться полумерами:

снимаем все ненужные службы (ну в самом деле: у меня роутер, зачем же мне эта "прореха на секьюрити" - Sendmail?).

Качаем из Сети последние версии служб, устанавливаем;

Далее: грамотно конфигурируем работающие службы: Web-сервер - значит, конфигурируем Apache, почтовик - тяжело вздыхаем и правим sendmail.conf (глаза боятся - руки делают);

последнее: закрываем telnet, rlogin, rsh - входы;

Хорошо, если Ваш сервер имеет собственную клавиатуру, монитор и Вы можете его администрировать локально, если же нет, то придется какой-то вход оставить...
Чем же плох обычный telnet? Любой, обратившийся по порту 23, получает, в лучшем случае, приглашение

login:

а в худшем

Welcome to abc.def.ru!
Linux-1.2.13
login[root]:

Отсюда можно узнать тип системы, версию, может быть, даже аппаратную платформу сервера. Когда судили одного хакера, вломившегося в военную систему, его адвокаты пытались сослаться на то, что стандартный ответ системы приглашал их подзащитного войти (Welcome).
Кроме того, telnet-клиент обменивается с сервером незашифрованными сообщениями. Таким образом, все данные, в том числе и Ваш пароль, передаются по Сети в открытом виде. Если сервер избран объектом атаки, получить пароль, а потом его использовать "по назначению" не составляет труда.

Какой же выход?

Выход изобретен давно. Это secure shell (ssh). Особенность ее в том, что соединение устанавливается с аутентификацией, проверкой IP-адреса и доменного имени клиента, а общение ведется по каналу, зашифрованному с помощью различных алгоритмов, в числе которых DES и 3DES.
Система состоит из сервера sshd, который запускается на UNIX-машине, и клиента ssh, который может запускаться как на другой UNIX-, так и на Windows-машине. Клиент позволяет работать с удаленным сервером, как telnet.

Установка

Итак, берем исходные тексты здесь. По традиции UNIX, они представлены в архиве ssh-1.2.tar.gz. Кладем их куда-нибудь, скажем в каталог /usr/src.

Далее распаковываем архив командой

tar xzf ssh-1.2.tar.gz

и переходим в образовавшийся каталог

cd ssh-1.2

Даем команду

./configure

при этом происходит конфигурирование и настройка оболочки ssh на конкретную систему

Транслируем исходный текст командой

make

Теперь устанавливаем:

make install

После этого исходные тексты можно удалить, если у Вас, конечно, нет желания самому разработать какие-нибудь утилиты для ssh или исправить ошибки разработчиков :).

Конфигурирование

Собственно, оболочка ssh начинает работать сразу после запуска демона командой

sshd

Чтобы она запускалась при старте системы, эту команду нужно поместить в стартовый командный файл, лучше /etc/rc.d/rc.inet2 вместе с командами запуска служб inet. К сожалению, разработчики не предусмотрели совместную работу ssh и суперсервера inet, как, к примеру, это делает telnet.
Теперь, пробуем войти в эту машину через ssh. Для этого нужно либо поставить такой же пакет на другую Linux-машину, либо установить пакет ssh для Windows на какую-нибудь рабочую станцию Windows. Для входа из-под Linux достаточно выдать команду

ssh hostname

после этого происходит запрос пароля и соединение, которое можно прервать комбинацией клавиш Ctrl+D. В Windows-версии Вы вводите имя машины, имя пользователя и пароль в диалоговом окне, после чего устанавливаете соединение. Если соединение не устанавливается, попробуйте поставить метод кодирования сообщений blowfish (тройной DES будет позже!)
Далее работа в ssh аналогична работе с telnet.

После установки демона sshd в каталоге /etc Вашей Linux-машины появятся новые файлы конфигурации: ssh_conf и sshd_conf. Для того, чтобы теперь оградить свой сервер от незаконных вторжений извне, в sshd_conf можно прописать строчку

allowedadress адреса, с которых Вы будете заходить на сервер

Теперь связь можно организовывать с кодированием как по blowfish, так по DES и 3DES, а все попытки входа с адресов, не указанных явно, будут жестоко пресекаться...

www.sdteam.com

Операционные системы 30-01-2007

Против Microsoft в Китае подан судебный иск 24-10-2008 Операционные системы
Против Microsoft в Китае подан еще один иск. На сей раз китайский юрист Донг Дженвей подал иск против корпорации за ее программное обеспечение Windows Genuine Advantage, которое без ведома пользователей Windows устанавливается на компьютеры. Юрист требует в своем иске от Министерства общественной безопасности КНР возбудить против Microsoft дело о "взломе пользовательских компьютеров".Дженвей утверждает, что действия Microsoft с программ...

Возможности нового Планировщика заданий в Windows Server 2008 28-07-2008 Операционные системы
Планировщик заданий (Task scheduler) в Windows Server 2008 подвергся значительной модификации по сравнению с предыдущими версиями Windows Server. Теперь ключевыми элементами запланированных заданий стали триггеры (Triggers), действия (Actions), условия (Conditions) и параметры (Settings).Набор настроек триггеров и действий запланированного задания в Windows Server 2008 значительно расширился. Среди стандартных триггеров – возможность начинать зад...

Как намертво заблокировать процедуру входа в Windows Vista 02-07-2008 Операционные системы
Недавно в одной из статей в рамках серии обзоров возможностей Windows Vista я показал, как можно вручную войти в систему Windows Vista на домашнем компьютере: «Как обойти процедуру входа в Windows Vista». Несмотря на то, что данная там инструкция предназначалась для людей, единолично использующих Windows Vista на домашней машине, множество читателей не разделили мнение о том, что можно оставить систему незащищенной.Основываясь на этих отзывах, я ...

Оптимизация и настройка служб Windows Vista 25-06-2008 Операционные системы
По умолчанию окно Диспетчера задач (Task Manager) выглядит так, как показано на этом снимке. В нём отображены только процессы, работающие под вашей пользовательской учётной записью. Чтобы увидеть также и процессы, работающие под служебными учётными записями, нужно нажать кнопку Отображать процессы всех пользователей (Show processes from all users), которая находится в нижнем левом углу окна.Используйте Диспетчер задач для того, чтобы увидеть все ...

Персонализация функции быстрого поиска в меню «Пуск» Vista 19-05-2008 Операционные системы
К счастью, функцию быстрого поиска в меню «Пуск» (Start) Vista можно сделать еще удобнее, объединив ее с поиском Google. Для этого придется воспользоваться Редактором локальной групповой политики (Local Group Policy Editor). Чтобы его запустить, нажмите клавиши [Windows]+[R], введите в диалоговом окне «Открыть» (Run) фразу gpedit.msc и нажмите «OK». После этого появится диалоговое окно системы Контроля учетных записей пользователей (UAC), в котор...

Использование утилиты проверки диска Check Disk в системе Windows Vista 13-05-2008 Операционные системы
Утилита «Проверка диска» (Check disk) операционной системы Windows Vista позволяет проверить целостность диска, выявить повреждённые сектора и восстановить информацию.Щёлкните правой кнопкой на пиктограмме нужного диска и в раскрывшемся контекстном меню выберите пункт «Свойства» (Properties), как показано на изображениях A и B.Изображение A.Изображение B.В диалоговом окне «Свойства» (Properties) перейдите на вкладку «Сервис» (Tools) и нажмите кно...

При любом использовании материалов сайта ссылка на сайт www.archive.com.ua обязательна.