- •В.В. Бакланов
- •Защитные механизмы
- •Операционной системы
- •Екатеринбург
- •Оглавление
- •Введение
- •1. Пользователи и их права
- •Учетные записи пользователей и работа с ними
- •Video::18:
- •Ivanov:X:1002:101::/home/ivanov:/bin/bash
- •1.2. Процедура регистрации и ее безопасность
- •VI /etc/passwd
- •Initrd /boot/initrd.Img–2.6.18–5–686
- •Права доступа к файлам
- •Комбинированные права доступа
- •1.5. Решение практических задач на разграничение доступа
- •Использование механизма sudo
- •2. Безопасное управление процессами
- •2.1. Общие сведения о процессах
- •Virtual memory (kbytes, -V) unlimited
- •2.2. Средства наблюдения за процессами
- •2.3. Переменные окружения
- •2.4. Способы автоматического запуска и остановки программ
- •Id:3:initdefault:
- •Id:3:initdefault:
- •2.5. Периодически запускаемые процессы
- •2.6. Запуск и остановка программ в интерактивном и фоновом режимах
- •2.7. Средства взаимодействия между процессами
- •2.8. Перенаправление ввода/вывода
- •2.9. Файловая система /proc как «зеркало» процессов
- •2.10. Терминальный режим и консольные атаки
- •16:10:12 Up 15 min, 4 users, load average: 0,00, 0,00, 0,01
- •Ivanov tty2 - 16:07 3:08 0.01s 0.01s -sh
- •Ivanov tty2 2008-11-05 16:07
- •2.11. Сокрытие процессов
- •2.12. Аудит событий и его безопасность
- •3. Работа с объектами файловой системы
- •3.1. Действия над обычными файлами
- •3.2. Работа со специальными файлами устройств
- •255 Heads, 63 sectors/track, 19457 cylinders, total 312581808 sectors
- •255 Heads, 63 sectors/track, 91201 cylinders, total 1465149168 sectors
- •255 Heads, 63 sectors/track, 38913 cylinders, total 625142448 sectors
- •16 Heads, 32 sectors/track, 988 cylinders, total 505856 sectors
- •3.3. Монтирование файловых систем
- •3.4. Копирование и запись данных
- •2,0,0 200) 'Ata ' 'wdc wd3200bevt-2' '11.0' Disk
- •1000,0,0 100000) 'Hl-dt-st' 'dvdram gma-4082n' 'pt06' Removable cd-rom
- •3.5. Использование «жестких» и символических ссылок
- •4. Безопасность файловых систем ext*fs
- •4.1. Архитектура файловых систем ext*fs
- •Inode count: 438048
- •Inodes per group: 8112
- •Inode blocks per group: 507
- •Inode: 131329 (0x00020101)
- •Indirect block:
- •131329 Drwxr-xr-X 2 root root 4096 Мар 18 17:42
- •Inode: 527744 (0x00080d80)
- •Indirect block:
- •0X024f9040 73 79 6e 63 0a 00 00 00 : 00 00 00 00 00 00 00 00 sync............
- •4.2. Временные отметки файлов
- •4.3. Алгоритмы логического удаления и восстановления файлов
- •Сетевые возможности операционных систем linux
- •5.1. Контроль и настройка сетевых интерфейсов
- •Inet addr:192.168.0.4 Bcast:192.168.0.255 Mask:255.255.255.0
- •Interrupt:5 Base address:0x4000
- •Inet addr:127.0.0.1 Mask:255.0.0.0
- •Ifconfig eth0 -arp
- •Inet addr:192.168.0.4 Bcast:192.168.0.255 Mask:255.255.255.0
- •Interrupt:5 Base address:0x4000
- •Ifconfig eth0 promisc -arp
- •Iwconfig ath0 mode adhoc channel 1 essid “abcd”
- •5.2. Разведка сети
- •5.3. Перехват и анализ сетевого трафика
- •Лабораторный практикум
- •Общие требования
- •Памятка обучаемым
- •Выполнение работы
- •Лабораторная работа № 2 «Исследование архитектуры файловых систем ext*fs»
- •Контрольные вопросы
- •Контрольные вопросы
- •Лабораторная работа № 4 «Реализация политики разграничения доступа средствами ос Linux»
- •Временная нейтрализация парольной защиты
- •Контрольные вопросы
- •Лабораторная работа № 5 «Исследование процессов в ос Linux» Подготовка к работе
- •Наблюдение за файловой системой /proc
- •Просмотр и анализ информации о процессах
- •Управление процессами
- •Работа с консолями
- •Работа с каналами
- •Исследование опасных команд
- •Контрольные вопросы
- •ЛаборАторная работа № 6 «Исследование сетевых возможностей ос Linux»
- •Ifconfig eth0 –arp
- •Контрольные вопросы
- •Лабораторная работа № 7 «Исследование беспроводной сети WiFi под управлением ос Linux»
- •Interrupt:19
- •Inet addr:127.0.0.1 Mask:255.0.0.0
- •Iwconfig ath0 channel 1 essid "abcd"
- •Iwlist ath1 scan
- •Iwconfig ath0 key off
- •Iwconfig ath0 key 0123-4567-89ab-cdef
- •Контрольные вопросы
- •Лабораторная работа № 8 «Наблюдение и аудит в ос Linux»
- •Библиографический список
Ifconfig eth0 –arp
С помощью команды ifconfig eth0 убедитесь, что настройка выполнена.
-
Выждите несколько минут для сброса ARP-таблиц на компьютерах локальной сети и с одного из компьютеров сети с помощью утилиты ping постарайтесь обнаружить отклик своего компьютера. Достаточно ли надежно защищает компьютер от сканирования данная мера? Насколько нарушается при этом возможность работы в сети? Включите arp-отклик командой ifconfig eth0 arp.
-
Отключите сетевой интерфейс на своем компьютере с помощью команды ifconfig eth0 down. Повторите попытку обнаружения своего компьютера с одного из соседних узлов. Можете ли вы сами при этом проявлять какую-либо сетевую активность? Сделайте выводы. Вновь включите сетевой адаптер с помощью команды ifconfig eth0 up.
-
Переведите сетевой адаптер своего компьютера в режим перехвата всех пакетов с помощью команды ifconfig eth0 promisc. С помощью команды ifconfig eth0 убедитесь, что настройка выполнена. При этом сетевой адаптер превращается в устройство подслушивания, но одновременно он становится очень уязвимым к сетевым атакам на отказ в обслуживании.
-
Ознакомьтесь с синтаксисом команды tcpdump.
-
С помощью утилиты tcpdump перехватите и прочитайте сетевые пакеты:
-
отправленные из одного определенного адреса,
-
являющиеся результатом сетевого обмена между двумя хостами,
-
только Ethernet и IP-заголовки пакетов, направленных в адрес любого из компьютеров сети,
-
сеансы telnet и ssh в локальной сети,
-
ICMP-запросы в адрес вашего хоста,
-
иные пакеты по указанию преподавателя.
-
Запишите несколько перехваченных пакетов в файл и просмотрите их в шестнадцатеричном коде. Найдите характерные поля и идентификаторы в заголовках канального, сетевого и транспортного уровней. Определите аппаратные и сетевые адреса, номера портов, иные характерные признаки, идентифицирующие сетевые протоколы.
-
Выясните, можно ли использовать tcpdump на сетевом интерфейсе, за которым не закреплен ни один IP-адрес.
-
Используя виртуальные сетевые адреса на локальном компьютере, организуйте сеанс сетевого копирования и канал наблюдения за ним. Для этого потребуется работа с трех консолей с правами администратора.
-
В первой консоли подготовьте (но пока не вводите!) команду для копирования (передачи) небольшого текстового файла, например файла паролей:
cat /etc/passwd | nc –w 2 192.168.0.22 3333
-
Во второй консоли подготовьте команду для приема копируемого файла:
nc –l –p 3333 > /home/password1
-
В третьей консоли подготовьте команду для перехвата копируемой информации:
tcpdump –i lo –xx –vv –s 100 > /home/password2
-
После проверки синтаксиса команд произведите их поочередный запуск: вначале tcpdump из третьей консоли, затем команду приема данных из второй консоли и, наконец, команду передачи данных. Дождитесь завершения команд в первой и второй консолях и затем комбинацией клавиш Ctrl+C остановите сеанс прослушивания tcpdump.
-
С помощью команды cat или mcedit просмотрите результаты копирования и перехвата. Обратите внимание на то, что tcpdump перехватил, по меньшей мере, семь пакетов, из которых три первых и три последних предназначались для установления и завершения TCP-сеанса. По этой причине большой объем копируемых данных должен представлять собой один непрерывный поток. Для этого рекомендуется использовать утилиту блочного копирования dd или утилиту tar (см. Справочник по командам Linux). Сравните между собой содержимое скопированного и перехваченного файлов.
-
На двух произвольно выбранных компьютерах в ЛВС с моноканалом произведите копирование большого массива данных. Предварительно рекомендуется произвести контроль установленных по умолчанию параметров фиксированного жесткого диска. В отношении HDD с IDE-интерфейсом для этого рекомендуется использовать команду hdparm. Для хронометража процедуры копирования рекомендуется выполнить совместно с утилитой time. Если результаты копирования некуда записывать, перенаправьте вывод в нулевое устройство.
-
На первом компьютере следует запустить команду
time dd if=/dev/hda count=10000|nc –w 2 192.168.0.22 3333
-
На втором компьютере следует запустить команду
time nc –l –p 3333 | dd of=/dev/null
-
На любом из компьютеров для контроля запустите программу tcpdump.
tcpdump –i lo –xx –vv –с 10 –s 100 > /home/hda
-
Оцените скорость копирования.
-
Выполните файловое копирование с помощью команд tar и nc. Команда tar используется для создания в качестве объекта копирования одного большого (здесь уместнее сказать – длинного) файла.
tar –czvf /home | nc –w 2 192.168.0.22 3333