Дата публикации: четверг, 18 декабря 2008
Перевод: Коваленко А.М.
Дата перевода: 7 августа 2009 г.

Существует общее убеждение, что если кто-то переходит на использование дистрибутива Linux, например, такого как Ubuntu на настольном компьютере, то проблемы обеспечения безопасности решаются сами собой. К сожалению, в реальности этого не происходит. Подобно любой сегодняшней операционной системе, в Ubuntu также существуют потенциальные цели для эксплойтов. Переполнение буфера, переполнение стека, "грязный" код, ошибки пользователей - и это неполный список угроз, который можно было бы еще продолжить. Для противодействия этим и другим возможным угрозам, я покажу вам, как выполнить простые шаги, которые гарантируют, что вы используете разумные стратегии для безопасной работы в Ubuntu.

Анти-вирусная защита?

Один из наиболее часто возникающих споров - использовать или нет на компьютерах с Linux защиту от вирусов. Мое мнение следующее: руткиты и вирусы, чьей целью является Linux, существуют на самом деле. С одной стороны, они - бледная тень чистого объема эксплойтов, нацеленных на Microsoft Windows, и отсюда становится понятным тот факт, что обманчивое чувство безопасности, появляющееся от такой статистики, усыпляет бдительность людей.
С другой стороны, и я хочу это подчеркнуть, - идея сканировать содержание вашего компьютера для поиска опасных вирусов очень здравая. Использование съемных носителей, дисков, электронной почты - каждое из этих действий вполне может привести к случайному получению вирусов совместно с пользователями Windows. Обратите внимание, что я не призываю к излишней подозрительности, но предупреждаю об опасности любого пользователя, в чью домашнюю сеть входят без предупреждения.
Поэтому я должен дать вам совет, логично проистекающий из вышеизложенного - используйте какую-либо программу (например, ClamAV) для выполнения еженедельного вирусного сканирования. Хотя сейчас мы и живем в окружении компьютеров Windows, выполнение еженедельного сканирования - это на самом деле та важная операция, о которой каждый должен не только помнить, но и которую непременно должен выполнять.

Защита от злонамеренного программного обеспечения?

Значительная угроза со стороны злонамеренного программного обеспечения все еще существует. В свете этого, уже сам по себе отказ от установки или запуска неизвестных приложений может оказать большую помощь. Весьма неразумно устанавливать подозрительную программу, которую вы не знаете, на любую из платформ путем "слепой" установки вновь обнаруженного программного обеспечения без его предварительного изучения. Потому, как в случае, если оно использует закрытый программный код - вы не сможете даже узнать, что же эта программа делает с вашим компьютером на самом деле.
Статьи на эту тему:

• Облегчение написания скриптов SSH и SFTP с использованием Python
• Сайт электронной коммерции Firefox + Greasemonkey Turbocharge со стороны клиента
• Интерфейс командной строки Linux для начинающих, или, Не бойтесь командную строку Linux!
• Графическое удаленное управление компьютерами для Linux, часть 3

Подобная угроза существует и со стороны web браузера, поэтому я полагаю, что просто отключив Java и отказавшись от "слепой" установки расширений Firefox, без предварительного их изучения, вы сможете практически избежать любой будущей угрозы установки злонамеренного ПО и с этой стороны. Объединив обе эти рекомендации вы убедитесь, что даже если однажды злонамеренное ПО и станет проблемой, вам будет уже гораздо легче диагностировать способ попадания его на ваш компьютер.

Возможности защиты с использованием брандмауэра

Как и для любой операционной системы подключенной к Интернет в наши дни, для ОС Ubuntu, использование брандмауэра - обязательно. Для пользователей Ubuntu это означает использование IPTables через UFW (Uncomplicated Firewall (Простой Брандмауэр)).
Грустно, что идею использования брандмауэра, как и большинство идей придуманных инженерами, обычные пользователи не считают "простой", а все по причине того, что брандмауэр требует использования командной строки. Эта очевидная брешь в удобстве использования привела к разработке графического интерфейса - Gufw .
Gufw обеспечивает очень простые возможности для включения/выключения настроек IPTables во всех современных инсталляциях Ubuntu. Gufw также позволяет буквально "одним щелчком" управлять портами, применяя заранее настроенные или расширенные опции перенаправления портов.
Использование этого вида защиты будет обеспечивать подходящий уровень безопасности брандмауэра практически сразу при первом запуске. К несчастью, сам по себе брандмауэр ничего не делает с трафиком, передаваемым через вашу сеть или даже через Интернет. Резюмирую, - брандмауэр - это скорее "привратник" на входе, чем "полицейский на мотоцикле", отлавливающий потенциальные угрозы для вашей сети.

OpenVPN и OpenSSH

Несмотря на тот факт, что большинству корпоративных пользователей требуется использовать OpenVPN для подключения к сети предприятия, я был разочарован тем, что большинство людей не обращают внимания на OpenSSH как альтернативу для домашних работников, которым требуется подключение к безопасным не-VPN сетям.
Не вдаваясь в подробности реализации двух этих программ, скажу, что идея состоит в том, что пользователь может безопасно подключаться к удаленному компьютеру/серверу, получать доступ к удаленным разделяемым ресурсам/электронной почте/документам и т.п. без беспокойства о том, что его трафик на всем пути прохождения (туда и обратно) не будет скомпрометирован злоумышленником.
Что касается OpenVPN, - это программное обеспечение позволяет находящимся дома корпоративным пользователям подключаться к серверу виртуальной частной сети (VPN) их компании настолько просто, насколько это вообще возможно. Оттуда они могут получить доступ к своим рабочим компьютерам, управлять документами или просто проверять почту. Суть в том, что работники за пределами локального офиса могут спокойно пользоваться протоколами безопасности, которые установил IT персонал для подключения к сети предприятия снаружи, находясь где-либо вне корпоративной сети, будь то домашний офис или любая другая небезопасная сеть.
Установку OpenVPN соединения выполнить достаточно просто, необходимо только установить пакет network-manager-openvpn из вашего репозитория Ubuntu. После этого и установки других зависимостей, просто щелкните мышью на значке менеджера сети (network-manager) и начните процесс настройки VPN. В сегодняшнем, последнем релизе Ubuntu, 8.10 (прим. переводчика: на момент перевода статьи последним стабильным релизом Ubuntu является 9.04 ), пользователи сразу после установки ОС могут воспользоваться VPN соединениями, предварительно настроив их.

Усиление Удаленной и Локальной безопасности

Теперь вернемся домой. Лично я частично использую OpenSSH для соединения из дома с беспроводной сетью моего собственного кофе-магазина. Использование OpenSSH позволяет мне работать с такими Интернет приложениями, как Evolution (клиент электронной почты), Firefox (web-браузер) и т.п., которые иначе я не стал бы использовать в кофе-магазине для передачи информации.
OpenSSH так же обеспечивает замечательную возможность совместного доступа к файлам и папкам компьютеров в вашей локальной сети. Однако, используя совместный доступ вместе с No-IP (прим. переводчика: сервис, подменяющий динамически назначаемый IP-адрес компьютера каким-либо постоянным именем, доступным через Интернет ), вы можете организовать однообразный совместный доступ к файлам и папкам независимо от места, где вы находитесь в данный момент. При этом, где бы вы не находились, дома или на другом конце земного шара, вы получите одинаково надежный совместный доступ к файлам.
Подведем итог всего вышесказанного. SSH и VPN - это виртуальные безопасные мосты от компьютера к серверу или от компьютера к компьютеру. Но насколько бы безопасными не казались эти средства, это не означает, что при просматре Интернет-страницы или отправке электронной почты данные остаются в безопасности в процессе их передачи. Возможно, вы захотите внедрить дополнительно какие-то средства SSL, чтобы использовать протокол HTTPS для просмотра веб-страниц и SSL безопасность для передачи электронной почты туда и обратно.

Обеспечение безопасности вашего компьютера с Ubuntu для локального использования

На сегодняшний день, единственный и, пожалуй, самый большой риск для безопасности вашего компьютера, в общем случае, находится между монитором и стулом. Пользователи, особенно на совместно используемых компьютерах, обеспечивают больше проблем безопасности, чем любые вирусы или зловредное программное обеспечение, случайно проникшее на ваш компьютер.
Поскольку мы не можем проконтролировать, что делают другие пользователи на общем компьютере, я предлагаю список некоторых полезных инструментов и техник, которые наилучшим образом подготовят вас к ответным действиям на любые безрассудные поступки, совершенные другими пользователями.
Совет: Сохранение обновлений под контролем . Отказ от поддержания системы Ubuntu в актуальном состоянии - путь, приводящий к получению множества проблем в дальнейшем, уж лучше получить несколько ошибок, в случае выполнения регулярных обновлений. Обновления безопасности - первостепенны.
Совет: Блокирование других пользователей . Немедленное преимущество вы можете получить, спрятав ранее работающую рабочую инсталляцию Ubuntu от менее опытного члена семьи или друга. Наилучший путь для того, чтобы это выполнить - добавить ограниченную в правах учетную запись обычного пользователя для всех тех, кто еще помимо вас работает за компьютером. Из меню администрирования пользователей и групп, под своей собственной учетной записью супер-пользователя, просто отключите любые опции, которые вы хотите запретить, для вновь создаваемой ограниченной учетной записи пользователя.
Совет: Обеспечение безопасности вашего домашнего каталога . Больше для обеспечения тайны, чем для безопасности, избежав головной боли от использования шифрования, вы можете легко и просто поменять привилегии пользователей для доступа к каталогу, например, выполнив команду chmod 0700 /home/$USER в терминале. Предположим, только вы один имеете права суперпользователя (super user/root) на данном компьютере, больше никто не может видеть содержания вашего каталога. Если шифрование обязательно, то есть несколько замечательных HOWTO, лучший из которых . Да, сделать это очень нелегко.
Совет: OpenDNS для базовой фильтрации содержимого . Одним из наилучших путей оградить пользователей вашей системы Ubuntu от доступа к потенциально мошенническим сайтам или узлам со злонамеренным программным обеспечением является использование OpenDNS. Изменение настроек DNS в вашей сети может быть выполнено как на каждом компьютере в отдельности, так и на шлюзе, выполняющем роль маршрутизатора.

Ubuntu настолько безопасна, насколько вы ее таковой сделаете

Используя советы, которые я дал выше, вы несомненно встанете на путь безопасного использования Ubuntu. Но, несмотря на наличие этих рекомендаций, вы всегда можете нарваться на неприятности.
Поскольку Linux действительно весьма мощная система, любой у кого есть права супер-пользователя должен осознавать, что есть команды или сценарии оболочки, которые могут быть запущены в терминале и нанести при выполнении существенный вред . Один из типов такого вреда выражается в потере данных.
И еще, — вместо того, чтобы метаться по форумам, разыскивая решение проблемы, которая возникла сама по себе, лучше каждый раз консультироваться с доверенным источником перед запуском кода, с которым вы незнакомы. Один этот совет творит чудеса, гарантируя, что Ubuntu используется безопасно.
Благодарим за статью Datamation
А чтобы обеспечить безопасность территории вокруг вашего реального дома портебуеться настоящая защита. От несанкционированного проникновения дом защитит металлическая сетка рабитца натянутая по периметру участка.

Безусловно, можно сказать, что Linux более безопасен (защищен), чем Windows. Безопасность в Linux встроенная, а не прикрученная где то сбоку, как это реализовано в Windows. Безопасность системы Linux охватывает область от ядра до рабочего стола, но есть шансы для хакеров навредить вашему домашнему каталогу (/home).

Ваши байты с фотографиями, домашним видео, документами и данными кредитных карточек или кошельков — самая дорогая часть информации, содержащаяся на компьютере. Конечно, Linux не восприимчив ко всяким там интернет — червям и вирусам для Windows. Но злоумышленники могут найти способ для доступа к вашим данным на домашнем каталоге.

Подготовив свой старенький компьютер или жесткий диск перед продажей форматированием, вы думаете будет достаточно? Найдется куча современных инструментов для восстановления данных. Хакер с легкостью восстановит ваши данные с жесткого диска, не взирая на ОС в которой вы работали.

На эту тему вспоминается опыт одной компании по перекупке подержанных компьютеров и дисков. По ходу своей деятельности они вынесли вердикт, что 90% прежних хозяев своего компьютера перед продажей не позаботились должным образом об очистке своих носителей информации. И они извлекали очень щепетильные байты данных. Даже и представить страшно, что где — то в закромах вашего жесткого диска найдется информация для входа в ваш интернет банк или он — лайн кошелек.

Начните с основ безопасности Linux

Шагнем к основам (), которые подойдут почти к любым
дистрибутивам Linux.

Зашифруем файловую систему в Linux для более полной безопасности Linux

Пользовательские пароли не решат проблему, если вы хотите чтобы действительно никто не смог прочитать ваш домашний каталог (/home) или определенный размер байтов. Можно его так, чтобы даже пользователь с высшими привилегиями root не сможет сунуть свой нос.

Удаляйте щепетильные файлы так, чтобы их больше никто не восстановил

Если вы решили продать или подарить свой компьютер или носитель информации, не думайте, что простое форматирование безвозвратно удалит ваши файлы. Можно на ваш Linux установить инструмент secure-delete, в который входит утилита srm, предназначенная для безопасного удаления файлов.

Также не стоит забывать об имеющемся в ядре Linux брандмауэре. В состав всех дистрибутивов Linux входит lptables, которая является частью ядра. Lptables позволяет фильтровать сетевые пакеты. Конечно же, в терминале можно настроить эту утилиту. Но этот способ непосилен многим, в том числе и мне. Поэтому я устанавливаю, и произвожу настройку, с такой легкостью как будто играю в игру.

Как и все операционные системы, Linux склонен к накоплению всякого хлама при работе различных приложений. И это не его вина Linux, так как различные приложения, например, браузеры текстовые редакторы и даже видео плееры, работают не на уровне ядра и накапливают временные файлы. Можно установить утилиту BleachBit по универсальному удалению мусора.

Анонимный серфинг, скрываем свой IP — очень важно для безопасности вашей личности под ос Linux

В заключении я хочу поведать вам анонимном веб-серфинге. Иногда бывает так, что необходимо , как я это делаю, когда втайне от супруги посещаю сайты с эротическим содержанием. Конечно, я пошутил.

Атакующим будет сложно до вас добраться, если они не могут определить ваше место нахождения. Заметаем следы не сложной настройкой совместно работающих двух утилит под названием privoxy и tor.

По моему мнению, соблюдение и настройка всех этих правил обезопасит вас и ваш компьютер на 90%.

P.S. Я пользуясь облаком под названием dropbox. Храню в нем свои старые и новые, ещё не опубликованные статьи. Удобно иметь доступ к своим файлам с любой точки земли и на любом компьютере. При написании статей для сайта в текстовом редакторе, сохраняю свои текстовые документы с паролем и только после этого закачиваю на сервер dropbox. Никогда не стоит пренебрегать лишней безопасностью, которая сыграет вам только на руку.

Всем нам известно, что операционная система Linux намного безопаснее Windows благодаря своей архитектуре и особой системе распределения доступа между пользователями. Но программисты тоже люди, как бы нам это ненравилось они тоже ошибаются. И из-за этих ошибок в системе появляются дыры, через которые злоумышленники могут обойти системы защиты.

Эти ошибки называются уязвимости, они могут встречаться в различных программах и даже в самом ядре системы подрывая ее безопасность. За последние годы популярность Linux начала расти и исследователи безопасности обращают больше внимания на эту систему. Обнаруживаются все новые и новые уязвимости, а благодаря открытому исходному коду получается их очень быстро устранить. В этой статье мы рассмотрим самые опасные уязвимости Linux которые были обнаружены за последние несколько лет.

Перед тем как перейти к самому списку уязвимостей важно понять что это такое и какими они бывают. Как я уже сказал, уязвимость - это ошибка в программе, с помощью которой пользователь может использовать программу так, как это не было запланировано ее разработчиком.

Это может быть отсутствие проверки на правильность полученных данных, проверки источника данных и самое интересное - размера данных. Самые опасные уязвимости - это те, которые позволяют выполнять произвольный код. В оперативной памяти все данные имеют определенный размер и программа рассчитана на запись в память данных от пользователя определенного размера. Если пользователь передаст больше данных, то она должна выдать ошибку.

Но если программист допустил ошибку, то данные перезапишут код программы и процессор будет пытаться их выполнить, таким образом и возникают уязвимости переполнения буфера.

Также все уязвимости можно поделить на локальные, которые работают только если у хакера есть доступ к локальному компьютеру и удаленные, когда достаточно доступа через интернет. А теперь перейдем к списку уязвимостей.

1. Dirty COW

Первой в нашем списке будет свежая уязвимость, которая была обнаружена этой осенью. Название Dirty COW расшифровывается как Copy on Write. Ошибка возникает в файловой системе во время копирования при записи. Это локальная уязвимость, которая позволяет получить полный доступ к системе любому непривилегированному пользователю.

Если коротко, то для использования уязвимости нужно два файла, один доступен на запись только от имени суперпользователя, второй для нас. Начинаем очень много раз записывать данные в наш файл и читать из файла суперпользователя, через определенное время настанет момент, когда буферы обеих файлов смешаются и пользователь сможет записать данные в файл, запись которого ему недоступна, таким образом можно выдать себе права root в системе.

Уязвимость была в ядре около 10 лет, но после обнаружения была быстро устранена, хотя остались еще миллионы устройств Andoid в которых ядро не обновлялось и не думает и где эту уязвимость можно эксплуатировать. Уязвимость получила код CVE-2016-5195.

2. Уязвимость Glibc

Уязвимость получила код CVE-2015-7547. Это была одна из наиболее обсуждаемых уязвимостей среди проектов с открытым исходным кодом. В феврале 2016 выяснилось, что библиотека Glibc имеет очень серьезную уязвимость, которая позволяет злоумышленнику выполнить свой код на удаленной системе.

Важно заметить что Glibc - это реализация стандартной библиотеки Си и С++, которая используется в большинстве программ Linux, в том числе сервисов и языков программирования таких как PHP, Python, Perl.

Ошибка была допущена в коде разбора ответа DNS сервера. Таким образом, уязвимость могли использовать хакеры, к DNS которых обращались уязвимые машины, а также выполняющие MITM атаку. Но уязвимость давала полный контроль над системой

Уязвимость была в библиотеке еще с 2008 года, но после обнаружения достаточно быстро были выпущены патчи.

3. Heartbleed

В 2014 году была обнаружена одна из самых серьезных по масштабу и последствиям уязвимость. Она была вызвана ошибкой в модуле heartdead программы OpenSSL, отсюда и название Heartbleed. Уязвимость позволяла злоумышленникам получить прямой доступ к 64 килобайтам оперативной памяти сервера, атаку можно было повторять, пока вся память не будет прочитана.

Несмотря на то, что исправление было выпущено очень быстро, пострадало очень много сайтов и приложений. Фактически уязвимыми были все сайты, использующие HTTPS для защиты трафика. Злоумышленники могли получить пароли пользователей, их личные данные и все что находилось в памяти в момент атаки. Уязвимость получила код CVE-2014-0160.

4. Stagefright

Если уязвимость получила кодовое имя, это однозначно означает, что она заслуживает внимания. Уязвимость Stagerfight не исключение. Правда, это не совсем проблема Linux. Stagefright - это библиотека для обработки мультимедийных форматов в Android.

Она реализована на C++, а значит обходит все защитные механизмы Java. В 2015 году было обнаружено целую группу уязвимостей, которые позволяли выполнить удаленно произвольный код в системе. Вот они CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828 и CVE-2015-3829.

Злоумышленнику было достаточно отправить MMS на уязвимый смартфон со специально модифицированным медиафайлом, и он получал полный контроль над устройством с возможностью записывать и читать данные с карты памяти. Уязвимость была исправлена разработчиками Android но до сих пор миллионы устройств остаются уязвимыми.

5. Уязвимость нулевого дня ядра

Это локальная уязвимость, которая позволяет повысить права текущего пользователя до root из-за ошибки в системе работы с криптографическими данными ядра, которые хранятся в памяти. Она была обнаружена в феврале 2016 года и охватывала все ядра начиная от 3.8, а это значит что уязвимость существовала 4 года.

Ошибка могла использоваться хакерами или вредоносным программным обеспечением для повышения своих полномочий в системе, но очень быстро была исправлена.

6. Уязвимость в MySQL

Эта уязвимость получила код CVE-2016-6662 и затронула все доступные версии сервера баз данных MySQL (5.7.15, 5.6.33 и 5.5.52), базы данных Oracle и клоны MariaDB и PerconaDB.

Злоумышленники могли получить полный доступ к системе через SQL запрос передавался код, который позволял заменить my.conf на свою версию и перезагрузить сервер. Также была возможность выполнить вредоносный код с правами суперпользователя.

Решения MariaDB и PerconaDB выпустили патчи достаточно оперативно, Oracle отреагировал, но намного позже.

7. Shellshock

Эта уязвимость была обнаружена в 2014 году перед тем как просуществовала 22 года. Ей был присвоен код CVE-2014-6271 и кодовое имя Shellshock. Эта уязвимость сравнима по опасности с уже известной нам Heartbleed. Она вызвана ошибкой в интерпретаторе команд Bash, который используется по умолчанию в большинстве дистрибутивов Linux.

Bash позволяет объявлять переменные окружения без аутентификации пользователя, а вместе в ними можно выполнить любую команду. Особой опасности это набирает в CGI скриптах, которые поддерживаются большинством сайтов. Уязвимы не только серверы, но и персональные компьютеры пользователей, маршрутизаторы и другие устройства. По сути, злоумышленник может выполнить удаленно любую команду, это полноценное удаленное управление без аутентификации.

Уязвимости были подвержены все версии Bash, включая и 4.3, правда после обнаружения проблемы разработчики очень быстро выпустили исправление.

8. Quadrooter

Это целая серия уязвимостей в Android, которая была обнаружена в августе 2016. Они получили коды CVE-2016-5340, CVE-2016-2059, CVE-2016-2504, CVE-2016-2503. Ошибке подвержены более 900 миллионов Android устройств. Все уязвимости были обнаружены в драйвере ARM процессора Qualcomm и все они могут использоваться для получения root доступа к устройству.

Как и DirtyCOW здесь не нужно никаких полномочий, достаточно установить вредоносное приложение и оно сможет получить все ваши данные и передать их злоумышленнику.

9. Уязвимость в OpenJDK

Это очень серьезная уязвимость linux 2016 в Java машине OpenJDK с кодом CVE-2016-0636, она затрагивает всех пользователей, работающих с Oracle Java SE 7 Update 97 и 8 Update 73 и 74 для Windows, Solaris, Linux и Mac OS X. Эта уязвимость позволяет злоумышленнику выполнить произвольный код за пределами Java машины, если вы откроете специальную страницу в браузере с уязвимой версией Java.

Это позволяло злоумышленнику получить доступ к вашим паролям, личным данным, а также запускать программы на вашем компьютере. Во всех версиях Java ошибка была очень оперативно исправлена, она просуществовала с 2013 года.

10. Уязвимость протокола HTTP/2

Это целая серия уязвимостей, которая была обнаружена в 2016 году в протоколе HTTP/2. Они получили коды CVE-2015-8659, CVE-2016-0150, CVE-2016-1546, CVE-2016-2525, CVE-2016-1544. Уязвимостям были подвержены все реализации этого протокола в Apache, Nginx Microsoft, Jetty и nghttp2.

Все они позволяют злоумышленнику очень сильно замедлить работу веб-сервера и выполнить атаку отказ от обслуживания. Например, одна из ошибок приводила к возможности отправки небольшого сообщения, которое на сервере распаковывалось в гигабайты. Ошибка была очень быстро исправлена и поэтому не вызвала много шума в сообществе.

А вы в безопасности?

В этой статье мы рассмотрели самые опасные уязвимости Linux 2016, 2015 и 2014 годов. Большинство из них могли причинить серьезный вред системам если бы не были вовремя исправлены. Благодаря открытому исходному коду такие уязвимости Linux эффективно обнаруживается и быстро исправляются. Только не забывайте обновлять свою систему. Проблема остается только с Android. Некоторые устройства уже не получают обновлений и этой проблеме пока нет решения.

Всем привет… У всех начинающих админов под Ubuntu появляется задача настройки сетевых интерфейсов (сети, сетевых карт) В этой статье я покажу как это делать… Это делается очень просто…

Если каким то способом вы пропустили настройку сети или увидели сложность в при установке дистрибутива то сейчас мы это проделаем в ручную. И так дистрибутив у нас установлен и ждёт нас в рукоприкладстве… Нам необходимо настроить 2 сетевые карты….. Одна у нас смотрит в сторону провайдера а другая в локальную сеть. Сразу договоримся и обозначим наши интерфейсы и адреса.

eth0 — 192.168.0.1 (допустим это адрес который выдал провайдер) Интерфейс который смотрит в интернет (провайдер)
eth1 — 10.0.0.1 (адрес который мы с вами хотим дать этому интерфейсу) Интерфейс смотрящий в локальную сеть

Первым делом проверим какие у нас интерфейсы уже запущены командой ifconfig Вы увидите что то подобное (только со своими данными вместо ххххх)

Eth0 Link encap:Ethernet HWaddr хх:хх:хх:хх:хх:хх inet addr:ххх.ххх.ххх.ххх Bcast:ххх.ххх.хххх.ххх Mask:255.255.255.252 inet6 addr: ххх::ххх:ххх:ххх:хххх/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:31694097 errors:0 dropped:0 overruns:0 frame:0 TX packets:15166512 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:2215593127 (2.2 GB) TX bytes:1577680249 (1.5 GB) Память:b8820000-b8840000 eth1 Link encap:Ethernet HWaddr хх:хх:хх:хх:хх:хх inet addr:10.0.0.1 Bcast:10.0.0.255 Mask:255.255.255.0 inet6 хххх: хххх::хххх:хххf:ххх:хххх/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:11352041 errors:0 dropped:0 overruns:0 frame:0 TX packets:21539638 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:1262641422 (1.2 GB) TX bytes:1922838889 (1.9 GB) Память:b8800000-b8820000 lo Link encap:Локальная петля (Loopback) inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:3823 errors:0 dropped:0 overruns:0 frame:0 TX packets:3823 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:717663 (717.6 KB) TX bytes:717663 (717.6 KB)

Если у вас будет не будет отображаться один из интерфейсов, то ничего страшного. Он всего лишь отключен, Включим его командой sudo ifconfig eth1 up (вместо eth1 впечатайте ваш интерфейс, если у вас 2 сетевые карты значит всего есть 2 интерфейса это eth0 и eth1) И так включаем наш интерфейс:

sudo ifconfig eth1 up

И так начнём настройку.

Присвоим интерфейсу eth0 ip адрес выданнsq провайдером следующей командой:

sudo ifconfig eth1 inet 192.168.0.2

И укажем маску сети:

sudo ifconfig eth0 netmask 255.255.255.0

Сделанные настройки таким способом сбрасываются после перезагрузки сервера.
Чтобы такого не происходил необходимо поменять настройки в конфигурационном файле сетевых интерфейсов. Для этого нужны Root права. Получим права Root следующей командой:

sudo su

Конфигурационный файл сетевых интерфейсов находится по адресу /etc/network/interfaces Для его редактирования используем редактор Nano (вы можете пользоваться своим редактором) мне нравится Nano

nano /etc/network/interfaces

Видиим следующее:

# This file describes the network interfaces available on your system # and how to activate them. For more information, see interfaces(5). # The loopback network interface auto lo iface lo inet loopback # The primary network interface //Первичный сетевой интерфейс auto eth0 //Присвоение сетевому интерфейсу следующие атрибуты iface eth0 inet static //Автоматическое включение сетевого интерфейса address 192.168.0.2 //ip адрес нашей сетевой карты (выдаваемый провайдером) netmask 255.255.255.0 //Маска сети в которой находится наш IP network 192.168.0.0 //Сеть всего диапозона broadcast 192.168.0.255 //Макс. кол.адресов gateway 192.168.0.1 //Шлюз # dns-* options are implemented by the resolvconf package, if installed

Необходимо привести к следующему виду

# This file describes the network interfaces available on your system # and how to activate them. For more information, see interfaces(5). # The loopback network interface auto lo iface lo inet loopback # The primary network interface auto eth0 iface eth0 inet static address 192.168.0.2 netmask 255.255.255.0 network 192.168.0.0 gateway 192.168.0.1 # dns-* options are implemented by the resolvconf package, if installed dns-nameservers 192.168.22.22 192.168.33.33 #Интерфейс который смотрит в локальную сеть auto eth1 iface eth1 inet static address 10.0.0.1 netmask 255.255.255.0

Сохраним изменения нажатием клавиш Ctrl + O и выходим нажатием Ctrl + X

Адреса DNS серверов можно задать в файле /etc/network/interfaces , но управление адресами DNS серверов в Ubuntu осуществляется через файл /etc/resolv.conf, у меня он выглядит так:

nameserver хх.хх.хх.хх nameserver хх.хх.хх.хх

Настроим DNS, для этого вводим следующую команду в строке:

Sudo nano /etc/resolv.conf # IP адреса DNS серверов вашего провайдера nameserver хх.ххх.ххх.ххх nameserver ххх.ххх.хх.ххх

Сохраняемся Ctrl + O и выходим Ctrl +x также нужно перезагрузить сеть следующей командой.

Существует расхожее мнение о том, что Linux характеризуется слабой безопасностью, так как она бесплатно распространяется и создается огромным коллективом, разбросанным по всему миру. Так ли это на самом деле?

Linux представляет собой свободно распространяемое ядро Unix-подобной системы, написанное Линусом Торвалдсом (1991 г., Финляндия) при помощи большого числа добровольцев со всей сети Internet. Linux обладает всеми свойствами современной Unix-системы, включая настоящую многозадачность, развитую подсистему управления памятью и сетевую подсистему. Большую часть базовых системных компонентов Linux унаследовала от проекта GNU, целью которого является создание свободной микроядерной операционной системы (ОС) с лицом Unix.

ОС Linux создавалась сумбурной командой Unix-экспертов, хакеров и случайно прибившихся еще более подозрительных личностей. Хотя система невольно отражает эту тяжелую наследственность и хотя процесс создания Linux выглядел как дезорганизованные усилия добровольцев, система получилась на удивление мощной, надежной, быстрой и к тому же бесплатной.

На сегодняшний день существует множество различных поставок Linux, дистрибутивов, которые можно разделить на дистрибутивы общего назначения и специализированные (например, Linux Router - урезанная поставка Linux для создания дешевого маршрутизатора на базе старого PC и др.). В настоящей статье под словосочетанием <ОС Linux> будем понимать дистрибутивы Linux общего назначения.

Большая часть ядра Linux написана на языке С, благодаря чему система достаточно легко переносится на различные аппаратные архитектуры. Сегодня официальное ядро Linux работает на платформе Intel (начиная с i386), Digital Alpha (64-bit), Motorolla 68k, Mips, PowerPC, Sparc, Sparc64, StrongArm. Ядро Linux способно работать на многопроцессорных SMP-системах, обеспечивая эффективное использование всех процессоров. Разработчики Linux стараются соблюдать стандарты POSIX и Open Group, обеспечивая тем самым переносимость программного обеспечения (ПО) с другими Unix-платформами.

Диапазон применения Linux очень широк: от создания спецэффектов в фильме <Титаник> Джеймса Камерона до создания фирмой Intel в ближайшем будущем Internet-терминалов на базе именно этой ОС. Конечно, одной из причин огромной популярности Linux является ее бесплатность, что, безусловно, снижает себестоимость продуктов, для создания которых она применяется. Но не только в этом дело. Главная причина ее популярности состоит в том, что это действительно мощная и надежная, многопользовательская и многозадачная ОС.

Существует расхожее мнение о том, что Linux характеризуется слабой безопасностью. Но это в корне не верно. Linux - детище глобальной сети Internet и именно поэтому безопасности при ее разработке всегда уделялось огромное внимание. Не случайно в вопросах защищенности Linux всегда выгодно отличалась от многих современных ОС, в том числе многих коммерческих версий Unix.

В настоящее время существуют два основных подхода, используемых для обеспечения безопасности ОС: над слабо защищенной ОС <навешивается> для усиления защитный экран (firewall), или firewall наряду с десятком других средств защиты интегрируется на уровне ядра системы.

Первый подход использует фирма Microsoft и это подтверждает анализ последних версий Windows NT. Разработчики Linux выбрали для себя второй подход (код firewall встроен непосредственно в ядро Linux, начиная с версии 2.0). В результате была получена мощная интегрированная система защиты. Краткому знакомству с этой системой и посвящена данная статья.

При создании системы защиты для любой ОС нужно четко понимать, что реализовать на практике полностью безопасную компьютерную систему невозможно. Можно создать лишь дополнительные препятствия для злоумышленника, пытающегося проникнуть в систему. Причем объем и качество реализованных средств защиты зависят от области использования Linux. Кроме того, необходимо брать в расчет, что с ростом количества установленных средств защиты система становится все более враждебной для рядового пользователя. Поэтому главная задача при создании системы защиты - нащупать ту точку баланса, которая будет приемлемой для политики управления Linux-системой.

При использовании системы защиты необходимо выполнять простые правила: постоянно следить за активностью в системе с помощью системного журнала, поддерживать систему на самом современном уровне (установка текущих версий программного обеспечения, в которых имеются заплатки для обнаруженных в процессе эксплуатации так называемых дыр в защите). Во многих случаях этого более чем достаточно для обеспечения должного уровня безопасности.

Для того чтобы оценить эффективность системы защиты ОС Linux, необходимо четко разобраться с тем, какие же угрозы могут быть реализованы злоумышленниками на уровне ОС в той или иной конкретной ситуации.

Атаки на уровне ОС

На уровне ОС происходит большое количество хакерских атак. Это объясняется очень просто: ведь взломав защиту ОС, злоумышленник может получить доступ к любым ресурсам сети (вплоть до баз данных).

Среди людей несведущих бытует мнение, что самые эффективные атаки на ОС организуются с помощью сложнейших средств, использующих последние достижения науки и техники, а хакер должен быть программистом высочайшей квалификации. Это не совсем так. Конечно, хорошо быть в курсе всех новинок в области компьютерной техники. Да и высокая квалификация никогда не бывает лишней. Однако искусство хакера состоит отнюдь не в том, чтобы разрушать любую, самую <крутую> компьютерную защиту. Взломщику нужно просто найти слабое место в конкретной защитной системе и с максимальной выгодой для себя воспользоваться им. При этом простейшие методы атаки оказываются ничуть не хуже самых изощренных, поскольку простой алгоритм реже порождает ошибки и сбои.

Успех реализации того или иного алгоритма хакерской атаки на практике в значительной степени зависит от архитектуры и конфигурации конкретной ОС - объекта атаки. Рассмотрим, какие механизмы противодействия различным атакам применяются в ОС Linux.

Традиционные способы защиты, используемые в Linux

Традиционные способы защиты ОС в основном связаны с физической безопасностью. Физическая безопасность - это первый уровень безопасности, который необходимо обеспечить для любой компьютерной системы. Причем к очевидным методам обеспечения физической безопасности относятся замки на дверях, кабели в коробах, закрытые ящики столов, средства видеонаблюдения и т. п. Для усиления этих проверенных временем мероприятий можно использовать также компьютерные замки различных конструкций, основное назначение которых сводится к следующему:

Предотвращение хищения компьютера и его комплектующих;

Предотвращение возможности перезагрузки компьютера посторонним, а также использования собственных дисководов или иного периферийного оборудования;

Прерывание работы компьютера при вскрытии корпуса;

Блокировка работы с клавиатурой и мышью.

При установке Linux-системы необходимо внимательно ознакомиться с документацией на BIOS. BIOS представляет собой ближайший к аппаратным средствам слой ПО, и многие загрузчики Linux используют функции BIOS для защиты от перезагрузки системы злоумышленниками, а также манипулирования Linux-системой.

Некоторые загрузчики Linux позволяют установить пароль, запрашиваемый при загрузке системы. Так, при работе с LILO (Linux Loader) можно использовать параметры (позволяет установить пароль для начальной загрузки) и (разрешает загрузку после указания определенных опций в ответ на запрос LILO).

Периодически появляется необходимость отлучаться от компьютера. В таких ситуациях полезно заблокировать консоль, чтобы исключить возможность ознакомления с вашим именем и результатами работы. Для решения этой задачи в Linux используются программы xlock и vlock. С помощью xlock блокируется доступ для X дисплея (для восстановления доступа необходимо ввести регистрационный пароль). В отличие от xlock vlock позволяет заблокировать работу отдельных (или всех) виртуальных консолей Linux-машины. При использовании этих полезных программ нужно четко понимать, что они не защищают от перезагрузки или других способов прерывания работы системы.

Большинство методов, с помощью которых злоумышленник может получить доступ к ресурсам, требуют перезагрузки или выключения питания машины. В связи с этим нужно очень серьезно относиться к любым признакам взлома как на корпусе, так и внутри компьютера, фиксировать и анализировать все странности и несоответствия в системном журнале. При этом нужно исходить из того, что любой взломщик всегда пытается скрыть следы своего присутствия. Для просмотра системного журнала обычно достаточно проверить содержимое файлов syslog, messages, faillog и maillog в каталоге /var/log. Полезно также установить скрипт ротации журнальных файлов или демона, который сохраняет журналы на заданную глубину (в последних дистрибутивах Red Hat для этого используется пакет logrotate).

Несколько слов о локальной безопасности Linux-систем. Она обычно связана с двумя моментами: защита от локальных пользователей и защита от администратора системы. Не секрет, что получение доступа к счетам локальных пользователей - это первая задача, которую ставит перед собой злоумышленник, пытаясь проникнуть в систему. Если надежные средства локальной защиты отсутствуют, то, используя ошибки в ОС и/или неверно сконфигурированные службы, злоумышленник может легко изменить полномочия в сторону увеличения, что чревато тяжелыми последствиями. Общие правила, которые необходимо соблюдать для повышения локальной защиты состоят в следующем: предоставление минимально необходимого уровня привилегий; контроль за регистрацией всех пользователей; своевременное изъятие счетов пользователей. Нужно постоянно помнить о том, что неконтролируемые счета - идеальный плацдарм для проникновения в систему.

Необдуманные и некорректные действия администратора также представляют серьезную опасность для Linux-системы. Поэтому администратор всегда должен помнить о том, что постоянная работа со счетом суперпользователя (root) - очень опасный стиль (в качестве компромисса лучше использовать команды su или sudo). Права суперпользователя он должен использовать только для решения специфических задач, в остальных случаях рекомендуется использовать обычный пользовательский счет. В дополнение к этому при выполнении сложных команд администратор должен использовать такие режимы, которые не приведут к потере данных. И последнее: администратор не должен забывать о существовании <троянских коней>, так как программы этого типа при запуске с правами суперпользователя могут внести серьезные нарушения в систему защиты. Для исключения этого необходимо тщательно контролировать процесс установки программ на компьютере (в частности, дистрибутив RedHat предусматривает использование цифровых подписей md5 и pgp для проверки целостности rmp-файлов во время установки системы).

Защита Linux с помощью паролей

Анализ рисков на уровне ОС показывает, что наибольшую опасность представляют действия злоумышленников, связанные с кражей или подбором паролей. Защита паролей поэтому должна занимать ведущее место в системе защиты любой ОС.

Защита паролей - область, в которой Linux существенно отличается от многих коммерческих версий Unix и других ОС, причем в лучшую сторону.

В большинстве современных реализаций Linux программа passwd не позволяет пользователю вводить легко разгадываемые пароли путем предупреждения о потенциальной опасности пароля (ввод пароля при этом, к сожалению, не блокируется). Для проверки устойчивости ансамбля конкретного пароля к подбору существует немало программ. Причем используются они с успехом как системными администраторами, так и взломщиками. Наиболее распространенные представители этого класса программ - Crack и John Ripper. Стоит отметить, что эти программы требуют дополнительного процессорного времени, но эта потеря вполне оправдана - замена слабых паролей значительно снижает вероятность проникновения в систему.

Linux обеспечивает защиту паролей с помощью трех основных механизмов:

1. Шифрование паролей.

2. Механизм <теневых паролей>.

3. Механизм подключаемых модулей аутентификации PAM (Pluggable Authentication Modules).

Кратко рассмотрим суть этих механизмов.

Шифрование паролей.

В Linux для шифрования паролей традиционно используется алгоритм DES. Зашифрованный пароль обычно помещается в файл /etc/passwd. При попытке пользователя зарегистрироваться в системе введенный им пароль шифруется и затем сравнивается с записью в парольном файле. При совпадении система разрешает доступ. В программе шифрования паролей используется однонаправленное шифрование (достигается за счет того, что ключом для шифрования пароля является сам пароль). К сожалению, в настоящее время алгоритм DES уязвим к атаке со стороны мощных компьютеров (использование прямого перебора или подбора в большинстве случаев приводит к отгадыванию паролей). Поэтому для Linux были разработаны дополнительно к шифрованию еще два мощных механизма защиты.

Механизм <теневых паролей>.

Суть этого механизма проста: парольный файл, даже зашифрованный, доступен только системному администратору. Для этого он помещается в файл /etc/shadow, права на чтение которого принадлежат только суперпользователям. Для реализации подобной схемы защиты в Linux используется набор программных средств Shadow Suite. В большинстве дистрибутивов Linux механизм <теневых паролей> по умолчанию не задействован (кроме, пожалуй, RedHat). Но именно Linux выгодно отличает наличие новейшего механизма, с помощью которого можно легко организовать мощную систему защиты. Это технология подключаемых модулей аутентификации (PAM).

Механизм PAM.

Модули безопасности - это набор открытых библиотек, предназначенных для выполнения набора функций (ввод пароля или проверка его подлинности). Любая программа, использующая систему защиты, может использовать PAM-модули и обеспечить в результате любой уровень безопасности. При использовании этого новейшего механизма программист концентрирует свое внимание на решении прикладной задачи. Ему не надо изобретать систему защиты, при этом также гарантируется, что он в этой системе не наставит <дыр>. Технология PAM позволяет реализовать некоторые новые возможности при создании системы защиты: в модулях безопасности применяются нестандартные процедуры шифрования (MD5 и им подобные); установка ограничений на использование пользователями системных ресурсов (предотвращение инициализации атак типа <Отказ в обслуживании>); установка разрешения отдельным пользователям регистрации только в фиксированные промежутки времени и только с определенных терминалов или узлов.

Дополнительные средства защиты Linux

Защита данных.

Для контроля целостности данных, которая может быть нарушена в результате как локальных, так и сетевых атак, в Linux используется пакет Tripwire. При запуске он вычисляет контрольные суммы всех основных двоичных и конфигурационных файлов, после чего сравнивает их с эталонными значениями, хранящимися в специальной базе данных. В результате администратор имеет возможность контролировать любые изменения в системе. Целесообразно разместить Tripwire на закрытом от записи гибком магнитном диске и ежедневно запускать.

Безусловно, что для повышения конфиденциальности полезно хранить данные на дисках в зашифрованном виде. Для обеспечения сквозного шифрования всей файловой системы в Linux используются криптографические файловые системы CFS (Cryptographic File System) и TCFS (Transparent Cryptographic File System).

Защита дисплеев.

Защита графического дисплея - важный момент в обеспечении безопасности системы. Она направлена на исключение возможности перехвата пароля, ознакомления с информацией, выводимой на экран, и т. п. Для организации этой защиты в Linux предусмотрены следующие средства:

Программа xhost (позволяет указать, каким узлам разрешен доступ к вашему дисплею);

Регистрация с использованием xdm (x display manager) - для каждого пользователя генерируется 128-битный ключ (cookie);

Организация обмена с помощью защищенной оболочки ssh (secure shell) - в сети исключается поток незашифрованных данных.

Дополнительно к этому для организации контроля доступа к видеоподсистеме компьютера в рамках Linux разработан проект GGI (Generic Graphics Interface). Идея GGI состоит в переносе части кода, обслуживающего видеоадаптеры, в ядро Linux. С помощью GGI практически исключается возможность запуска на вашей консоли фальшивых программ регистрации.

Сетевая защита. По мере развития сетевых технологий вопросы безопасности при работе в сети становятся все более актуальными. Практика показывает, что зачастую именно сетевые атаки проходят наиболее успешно. Поэтому в современных ОС сетевой защите уделяется очень серьезное внимание. В Linux для обеспечения сетевой безопасности тоже применяется несколько эффективных средств:

Защищенная оболочка ssh для предотвращения атак, в которых для получения паролей используются анализаторы протоколов;

Программы tcp_wrapper для ограничения доступа к различным службам вашего компьютера;

Сетевые сканеры для выявления уязвимых мест компьютера;

Демон tcpd для обнаружения попыток сканирования портов со стороны злоумышленников (в дополнение к этому средству полезно регулярно просматривать файлы системного журнала);

Системашифрования PGP (Pretty Good Privacy);

Программа stelnet (защищенная версия хорошо известной программы telnet);

Программа qmail (защищенная доставка электронной почты);

Программа ipfwadm для настройки межсетевых экранов (firewall);

Режим проверки паролей входных соединений для систем, разрешающих подключение по внешним коммутируемым линиям связи или локальной сети.

Отрадно отметить, что многие из перечисленных средств включены в состав последних дистрибутивов Linux.

Заключение

Linux - это уникальная ОС, построенная на основе ОС Unix с двадцатипятилетней историей. На сегодняшний день это, пожалуй, единственный пример столь масштабного и плодотворного сотрудничества специалистов всего мира, объединенных сетью Internet. Именно поэтому любая подсистема этой ОС, в том числе и подсистема защиты, представляет большой практический интерес и содержит много особенностей, некоторые из них не нашли свое достаточное отражение в данной статье.

Несмотря на оголтелую пропаганду решений <от Microsoft>, ОС семейства Unix, к числу которых относится и Linux, получают все большее распространение и захватывают те области применения микроЭВМ, для которых важна надежность системы в целом, означающая не только безотказность работы в течение длительного времени (месяцы и годы), но также и защиту от несанкционированного доступа.

В рамках Linux разработана мощная интегрированная система защиты, способная обеспечить безопасность систем, работающих в различных условиях (от домашних компьютеров до банковских систем). Благодаря самому духу разработки Linux различные заплатки в системе защиты появляются гораздо быстрее, чем это происходит в коммерческих ОС, и это делает Linux идеальной платформой для построения надежных вычислительных систем.

Специалисты по безопасности ОС считают, что будущее именно за технологией подключаемых модулей аутентификации (PAM), разработанной в ОС Linux. И снова Linux впереди и ждет, когда за ней последует весь мир