- •В.В. Бакланов
- •Защитные механизмы
- •Операционной системы
- •Екатеринбург
- •Оглавление
- •Введение
- •1. Пользователи и их права
- •Учетные записи пользователей и работа с ними
- •Video::18:
- •Ivanov:X:1002:101::/home/ivanov:/bin/bash
- •1.2. Процедура регистрации и ее безопасность
- •VI /etc/passwd
- •Initrd /boot/initrd.Img–2.6.18–5–686
- •Права доступа к файлам
- •Комбинированные права доступа
- •1.5. Решение практических задач на разграничение доступа
- •Использование механизма sudo
- •2. Безопасное управление процессами
- •2.1. Общие сведения о процессах
- •Virtual memory (kbytes, -V) unlimited
- •2.2. Средства наблюдения за процессами
- •2.3. Переменные окружения
- •2.4. Способы автоматического запуска и остановки программ
- •Id:3:initdefault:
- •Id:3:initdefault:
- •2.5. Периодически запускаемые процессы
- •2.6. Запуск и остановка программ в интерактивном и фоновом режимах
- •2.7. Средства взаимодействия между процессами
- •2.8. Перенаправление ввода/вывода
- •2.9. Файловая система /proc как «зеркало» процессов
- •2.10. Терминальный режим и консольные атаки
- •16:10:12 Up 15 min, 4 users, load average: 0,00, 0,00, 0,01
- •Ivanov tty2 - 16:07 3:08 0.01s 0.01s -sh
- •Ivanov tty2 2008-11-05 16:07
- •2.11. Сокрытие процессов
- •2.12. Аудит событий и его безопасность
- •3. Работа с объектами файловой системы
- •3.1. Действия над обычными файлами
- •3.2. Работа со специальными файлами устройств
- •255 Heads, 63 sectors/track, 19457 cylinders, total 312581808 sectors
- •255 Heads, 63 sectors/track, 91201 cylinders, total 1465149168 sectors
- •255 Heads, 63 sectors/track, 38913 cylinders, total 625142448 sectors
- •16 Heads, 32 sectors/track, 988 cylinders, total 505856 sectors
- •3.3. Монтирование файловых систем
- •3.4. Копирование и запись данных
- •2,0,0 200) 'Ata ' 'wdc wd3200bevt-2' '11.0' Disk
- •1000,0,0 100000) 'Hl-dt-st' 'dvdram gma-4082n' 'pt06' Removable cd-rom
- •3.5. Использование «жестких» и символических ссылок
- •4. Безопасность файловых систем ext*fs
- •4.1. Архитектура файловых систем ext*fs
- •Inode count: 438048
- •Inodes per group: 8112
- •Inode blocks per group: 507
- •Inode: 131329 (0x00020101)
- •Indirect block:
- •131329 Drwxr-xr-X 2 root root 4096 Мар 18 17:42
- •Inode: 527744 (0x00080d80)
- •Indirect block:
- •0X024f9040 73 79 6e 63 0a 00 00 00 : 00 00 00 00 00 00 00 00 sync............
- •4.2. Временные отметки файлов
- •4.3. Алгоритмы логического удаления и восстановления файлов
- •Сетевые возможности операционных систем linux
- •5.1. Контроль и настройка сетевых интерфейсов
- •Inet addr:192.168.0.4 Bcast:192.168.0.255 Mask:255.255.255.0
- •Interrupt:5 Base address:0x4000
- •Inet addr:127.0.0.1 Mask:255.0.0.0
- •Ifconfig eth0 -arp
- •Inet addr:192.168.0.4 Bcast:192.168.0.255 Mask:255.255.255.0
- •Interrupt:5 Base address:0x4000
- •Ifconfig eth0 promisc -arp
- •Iwconfig ath0 mode adhoc channel 1 essid “abcd”
- •5.2. Разведка сети
- •5.3. Перехват и анализ сетевого трафика
- •Лабораторный практикум
- •Общие требования
- •Памятка обучаемым
- •Выполнение работы
- •Лабораторная работа № 2 «Исследование архитектуры файловых систем ext*fs»
- •Контрольные вопросы
- •Контрольные вопросы
- •Лабораторная работа № 4 «Реализация политики разграничения доступа средствами ос Linux»
- •Временная нейтрализация парольной защиты
- •Контрольные вопросы
- •Лабораторная работа № 5 «Исследование процессов в ос Linux» Подготовка к работе
- •Наблюдение за файловой системой /proc
- •Просмотр и анализ информации о процессах
- •Управление процессами
- •Работа с консолями
- •Работа с каналами
- •Исследование опасных команд
- •Контрольные вопросы
- •ЛаборАторная работа № 6 «Исследование сетевых возможностей ос Linux»
- •Ifconfig eth0 –arp
- •Контрольные вопросы
- •Лабораторная работа № 7 «Исследование беспроводной сети WiFi под управлением ос Linux»
- •Interrupt:19
- •Inet addr:127.0.0.1 Mask:255.0.0.0
- •Iwconfig ath0 channel 1 essid "abcd"
- •Iwlist ath1 scan
- •Iwconfig ath0 key off
- •Iwconfig ath0 key 0123-4567-89ab-cdef
- •Контрольные вопросы
- •Лабораторная работа № 8 «Наблюдение и аудит в ос Linux»
- •Библиографический список
Iwconfig ath0 mode adhoc channel 1 essid “abcd”
Указывая значение параметра auto, мы доверяем интеллекту компьютерной программы (а точнее – ее автора).
Некоторые беспроводные адаптеры позволяют производить конфигурацию нескольких виртуальных интерфейсов на базе одного физического устройства. Так, с помощью одной команды можно эмулировать несколько беспроводных устройств различного типа на базе одного сетевого адаптера wifi0.
wlanconfig ath create wlandev wifi0 wlanmode <virt_dev>
Виртуальные адаптеры могут работать в режиме точки доступа (AP - access point), сетевого адаптера в одноранговой сети (adhoc), монитора (monitor) и др. Однако одновременно заставлять работать один физический радиопередатчик в несовместимых режимах нельзя. Так, невозможно одновременно эмулировать работу точки доступа и обычной точки ad-hoc.
5.2. Разведка сети
Прежде чем отправить сообщение, установить сеанс связи, требуется узнать сетевой адрес абонента, убедиться в наличии и активности сетевого узла и нужной сетевой службы. Для получения этой информации написано и успользуется множество утилит. В некоторых случаях получение информации о доступности сетей, узлов и протоколов транспортного уровня является прелюдией к сетевой атаке.
Наиболее простая и известная команда ping использует специальный протокол icmp и служит для зондирования эхо-запросами сетевых узлов для установления их наличия и доступности.
ping <параметры> <адрес_хоста> <номер_порта>
<параметры> (в зависимости от типа ОС могут использоваться иные символы):
-l count или -c count – отправка указанного числа пакетов. По умолчанию (в зависимости от версии ОС) посылается либо один пакет, либо бесконечная серия пакетов с интервалом в одну секунду. Непрерывная отправка прерывается нажатием Ctrl – C,
-s count_byte – общее количество байтов в icmp-пакете с эхо-запросом (длина заголовка icmp-пакета – 8 байтов),
-i timeout – временной интервал в следовании пакетов в секундах,
-f – направление пакетов с максимально возможной скоростью (только с правами root),
<адрес_хоста> – доменное имя или IP – адрес целевого компьютера,
<номер_порта> – номер, закрепленный за сетевой службой, запущенной на удаленном компьютере (смотри файл /etc/services).
Например, команда
ping –c 3 –i 5 192.168.1.2 21
направляет 3 стандартных icmp-пакета с пятисекундным интервалом в адрес FTP-сервера (порт 21) на узле с IP-адресом 192.168.1.2.
Утилита выводит данные построчно в следующем порядке: число байтов в принятом пакете, IP-адрес исследуемого узла, порядковый номер пакета, счетчик «жизни» пакета и время возврата.
Более сложным инструментом для сетевой разведки является утилита nmap (netmap – карта сети). Она использует девять различных видов сканирования сетевых узлов. Принципы сканирования основаны на передаче в адрес интересующего узла сетевых пакетов с определенным «наполнением» и анализом отклика. При этом используются особенности в реализации стека протоколов TCP/IP, присущие известным операционным системам и сетевым службам. Направляемые пакеты могут имитировать процесс установления или завершения сеанса, направление дейтаграммы, различные ошибочные ситуации и др.
Команда для сетевого сканирования выглядит так:
nmap <тип_сканирования> <параметры> <список узлов или сетей>
<тип_сканирования>
-sT – обычное TCP-сканирование с установлением соединения. Используется по умолчанию и может запускаться обычным пользователем,
-sP – обычное ping-сканирование,
-sS – TCP-сканирование с помощью сообщений SYN. Утилита инициирует установление TCP–сеанса, отправляя в адрес узел:порт первый пакет с установленным битом SYN. Адресат отвечает пакетом с установленными битами SYN и ACK, чем обозначает себя. Но вместо согласия на установление соединения утилита посылает пакет с установленным битом RST, чем разрывает соединение. Считается наилучшим из методов TCP-сканирования,
-sU – UDP-сканирование, при котором в адрес каждого порта направляется пустой UDP–пакет. Если порт закрыт, адресат отправляет клиенту пакет с установленным битом RST. Если порт открыт, он принимает пакет без ответа,
-sF – FIN-сканирование. Направляется пакет, сигнализирующий о разрыве соединения TCP (которое еще не было установлено). Если указанный порт закрыт, система отвечает пакетом с установленным битом RST, если открыт – пакет не направляется (кроме ОС Windows*),
-sN – нуль-сканирование. Направляется пакет, в котором не установлено ни одного битового флага. Результат аналогичен FIN-сканированию.
<параметры>
-O – режим изучения откликов для определения типа удаленной операционной системы. Большинство ОС обладают своей спецификой при управлении сетевыми протоколами. Для установления типа ОС программа посылает определенные пакеты в адреса конкретных портов и фиксирует реакцию на них,
-p <диапазон> – диапазон портов, которые будут сканироваться (указываются через запятую или дефис),
-v (–vv) – режим вывода подробной информации,
-T <число> – темп сканирования от «0» – очень медленно (один пакет в пять секунд) до «5» – максимально быстро (один пакет за 0.3 секунды).
<список узлов или сетей>
Доменные имена в списке указываются через запятую. Диапазон IP–адресов указывается в виде номера сети и сетевой маски, например 192.168.1.00/24. Любое число можно заменить символом звездочки *. Диапазон адресов в любом из октетов можно указывать в виде начального и конечного значения, через дефис, например 1–24. Наконец, нужные числовые значения можно указать через запятую, без пробела, например 192.168.2.3,7,17,24.
Исчерпывающую информацию о программе nmap можно получить в [3].