ПО Linux: безопасность

Мередит М. Акула сетей

cырохман Che

Мередит М. Акула сетей [Текст] : [Противодействие угрозам конфиденциальности информации методами шифрования] / Мартин Мередит (Martin Meredith)  //  Linux Format. — 2010. — № 1 (126-127), янв.. — С. 44-47. — (Wireshark). — Прил.: "Перехват данных WordPress" [Таблица] : [Сведения, перехваченные Wireshark] ; "Скорая помощь. Если вы пользуетесь Google mail, перейдите в меню Настройки и установите переключатель Использовать только HTTPS, чтобы всегда подключаться только через безопасное соединение." ; "Сертификаты SSL" : [Подписанные сертификаты CAcert — получение бесплатно по модели Web of Trust (WoT)­]. — С. 45 ; "Слежение за переговорами" : [Команда «Follow TCP Stream» в Wireshark позволяет следить за переговорами по протоколу TCP]. — С. 46 ; "Случайно == безопаснее" : [Случайные данные (энтропия) на компьютере и ее использование в методах шифрования; аппаратное увеличение энтропии системы при помощи USB­-накопителя "Entropy Key" компании Simtec Electronics (www.entropykey.com)] ; "Скорая помощь. Чтобы программа автоматически прекратила захват в определенное время, воспользуйтесь меню Capture > Options [Захват > Параметры].". — С. 47.
      Аннотация
      Демонстрация перехвата отправленных через Интернет данных WordPress и электронной почты анализатором трафика Wireshark (www.wireshark.org/) и рассказ о пресечении шпионажа при помощи технологии шифрования конфиденциальной информации методами SSL (Secure Sockets Layer) и TLS (Transport Layer Security). 
      Основы технологии шифрования на базе сертификатов и ключей: ключи и сертификаты SSL.
      Практическое применение ключей и сертификатов: настройка защищенного сервера в Apache, настройка безопасной электронной почты — сервера получения почты Postfix и сервера отправки почты Courier. 

 

Ченнел Э. Безопасность: Рулим правами

cырохман Che

Ченнел Э. Безопасность: Рулим правами [Текст] / Энди Ченнел  //  Linux Format. — 2009. — № 12 (125), дек.. — С. 52-53. — (Первые шаги. Учебник). — Прил.: "Шаг за шагом: Шифруем и дешифруем данные" : [Пошаговое руководство по работе в программе Seahorse в системе под Ubuntu с рабочим окружением Gnome]. — С. 53.
      Аннотация
      Как ограничить домочадцев только чтением своих файлов, только просмотром каталогов, а то и запретом на доступ к своим каталогам. 
      Как зашифровать информацию в каталоге при помощи программы Seahorse.

Кемп Д. Обслуживаем страницы с Lighttpd

cырохман Che

Кемп Д. Обслуживаем страницы с Lighttpd [Текст] : [Настройка веб-сервера Lighttpd] / Джульетта Кемп  //  Linux Format. — 2009. — № 12 (125), дек.. — С. 32-33. — (Lighttpd). — Прил.: "Меняем порт" : [Как тестировать Lighttpd совместно с другим веб-сервером в системе]. — С. 32 ; "Переписываем правила" : [Правила под Lighttpd в файле .htaccess, канонизация расширений файлов]. — С. 33.
      Аннотация
      Настройка веб-сервера Lighttpd в системе под Debian Lenny и Ubuntu 9.04 для работы с динамическим содержимым по протоколу FastCGI: подключение mod_fastcgi (из /etc/lighttpd/modsavailable/), запуск FastCGI с PHP и PHP5­CGI, настройка SSL, настройка виртуального сервера.

Браун К. Аутентификация : Эксперименты с PAM

cырохман Che

Браун К. Аутентификация [Текст] : учебник : Эксперименты с PAM / Крис Браун // Linux Format. — 2007. — № 12 (99), дек.. — С. 62-65. — (Аутентификация. Учебник). — Веблиогр. "Документация PAM": с. 63 (1 назв.). — Прил.: "Рис. 1. Архитектура PAM и взаимосвязь ее частей" [Изображение]. — С. 62 ; "Рис. 2: Синтаксис файла конфигурации PAM" [Изображение] ; "Использует ли программа PAM?" :[Как узнать] ; "Скорая помощь" : [Если вы что-то напутаете с настройкой PAM, то запросто можете запретить любой вход в систему, даже для администратора, а поэтому сохраните копию исходных файлов конфигурации pam, и будьте готовы выполнить экстренную загрузку, если понадобится их восстановить]. — С. 63 ; "Рис. 3: Параметры модуля pam_passwdqc" [Изображение] ; "Приемлем ли пароль?" [Таблица]. — С. 64 ; "Часто используемые модули PAM" [Таблица]. — С. 65. 
     Аннотация
     Если у вас есть Linux, то есть и PAM (Pluggable Authentication Modules – подключаемые модули аутентификации), даже если вы об этом еще не знаете! 
     В Linux Format уже была статья Грэма Моррисона (Linux Format, 2006, № 9 (83), сент., С. 74-77.), в которой он провел обзор PAM и продемонстрировал ее гибкость, показав, как с ее помощью расширить аутентификацию пользователя в Linux, используя цифровой ключ, записанный на USB-брелок. Крис Браун расширяет наше представление о PAM и предлагает пойти дальше, чтобы рассмотреть более существенное повышение безопасности системы с помощью PAM. Cтатья предлагает шесть экспериментов с изменением настроек PAM — позволим всем пользователям переключаться в root без пароля через su, запретим всем пользователям использовать su, разрешим su только пользователям из некоторой группы, запретим вход в систему как root, используем сложные пароли, запретим обычным пользователям выключать систему. Они придадут достаточно уверенности в себе и понимания работы PAM, чтобы начать свои собственные эксперименты.

Боровский А. RADIUS : Часть 2. Linux в сети WPA: есть контакт!

cырохман Che

Боровский А. RADIUS [Текст] : Часть 2. Linux в сети WPA: есть контакт! / Андрей Боровский  //  Linux Format. — 2007. — № 10 (97), окт.. — С. 94-97. — (RADIUS. Учебник). — Прил.: "Выбираем беспроводной адаптер". — С. 94.
     Аннотация
     Настройка авторизации беспроводных клиентов Linux в сетях, использующих авторизацию WPA Enterprise. 
     При описании настройки авторизации беспроводного Linux-клиента предполагается, что уже пройден мучительный процесс поиска и установки Linux-драйвера для Wi-Fi-карты (или подобрана поддерживаемая Linux Wi-Fi-карта) и пользователь научился "поднимать" беспроводной сетевой интерфейс в своей системе. 
     Также понадобятся демон управления сетями NetworkManager, утилита wavemon, а также, в зависимости от того, по какому пути пойдет настройка – графическая оболочка GNOME NetworkManager Applet (или ее KDE-аналог – KNetworkManager), утилиты wpa_gui и KWlan. 
     Настройка WPA с помощью NetworkManager и утилиты GNOME NetworkManager Applet.
     Ручная настройка демона аутентификации wpa_suppplicant. 
     Настройка подключения к сети: PEAP MSCHAP V2 и EAP-TLS. 
     Проверка параметров подключения к беспроводной сети с помощью консольной утилиты wavemon. 
     Поиск точек доступа, настройка протоколов, методов и параметров аутентификации в беспроводных сетях с помощью утилиты wpa_gui.
     Настройка протоколов и методов аутентификации, создание нескольких профилей для подключения к разным сетям с помощью сетевого менеджера KWlan.

Боровский А. RADIUS : Часть 1. WPA Enterprise на дому

cырохман Che

Боровский А. RADIUS [Текст] : Часть 1. WPA Enterprise на дому / Андрей Боровский  //  Linux Format. — 2007. — № 9 (96), сент.. — С. 84-87. — (RADIUS. Учебник). — Прил.: "Терминология" : [Аутентификация, авторизация, аутентификатор]. — С. 84.
    Аннотация
    Как поднять безопасность домашней сети до уровня предприятия, настроив сервер FreeRADIUS 1.1.7 и аутентификацию по протоколам PEAP MS CHAP V2, EAP-TLS на компьютере с установленным Linux. 

Ченнел Э. Firestarter : Пуск брандмауэра

cырохман Che

Ченнел Э. Firestarter [Текст] : Пуск брандмауэра / Энди Ченнел  //  Linux Format. — 2009. — № 9 (122), сент.. — С. 50-51. — (Первые шаги. Учебник). — Прил.: "Скорая помощь. Даже если вы используете в своем маршрутизаторе аппаратный брандмауэр, не вредно запустить еще и программный." ; "Скорая помощь. Используйте кнопку Lock Firewall (Запереть брандмауэр) на панели инструментов Firestarter, чтобы запретить другим пользователям отключать брандмауэр.". — С. 50 ; "Шаг за шагом: Продвинутая настройка брандмауэра" : [Пошаговое руководство]. — С. 51
      Аннотация
      Установка и запуск графической утилиты настройки правил брандмауэра Firestarter в системах под управлением Ubuntu, Fedora и Debian, проверка эффективности ее работы, добавление нескольких правил, чтобы отдельные приложения могли создавать соединения, необходимые им для работы. Кроме того, кратко рассмотрено выполнение этих действий в большинстве популярных аппаратных брандмауэров. 

Шарма Ш. Incognito. По секрету, осторожно

cырохман Che

Шарма Ш. Incognito. По секрету, осторожно [Текст] : обзор [инструментов Live CD дистрибутива Incognito] / Шашанк Шарма  //  Linux Format. — 2009. — № 9 (122), сент.. — С. 34-35. — Прил.: "Tor 101" : [Справка о механизме работы сети Tor (The Onion Router – «Луковичный» маршрутизатор)]. — С. 34 ; "Скорая помощь. Incognito включает еще и Vidalia Tormanager. Запускайте его из Меню > Интернет > Tor GUI." ; "Скорая помощь. Генерация ключей – весьма ресурсоемкая задача. Машины с менее чем 512 МБ ОЗУ могут при этом начать задумываться." ; "Шаг за шагом: Шифруем письмо с помощью FireGPG" : [Пошаговое руководство]. — С. 35
      Аннотация
      Возможности Live CD Incognito по обеспечению анонимности в Интернете. Демонстрация инструментов Incognito — сети Tor, его графической обертки и менеджера анонимности Tork, сети Mixminion, функции FireGPG, которая позволяет отправлять шифрованные email-сообщения через любой почтовый веб-сервис, встроенного клиента электронной почты Thunderbird и его расширения Enigmail.   
 

Мередит М. Безопасность : Для вашего сервера

cырохман Che

Мередит М. Безопасность [Текст] : Для вашего сервера / Мартин Мередит  //  Linux Format. — 2009. — № 8 (121), авг.. — С. 80-83. — (Hardcore Linux. Учебник). — Прил.: "Скорая помощь. Запуск netstat ­pnl от имени root сообщит вам, какие программы слушают порты." ; "Вы видите эту диаграмму раньше, чем я про нее рассказал — все и вправду так просто" [Изображение] : [Схема места брандмауэра в безопасности сервера]. — С. 81 ; "Скорая помощь. Вы можете запускать правила брандмауэра при старте системы, добавив команду iptables-­restore в /etc/rc.local." ; "Скажи «Пароль»!" : [Программа Fail2ban (www.fail2ban.org) для противодействия брутфорсу пароля на доступ к серверу]. — С. 82 ; "Альтернатива командной строке" : [Webmin — инструмент, позволяющий управлять сервером через веб-­браузер — настройка правил брандмауэра]. — С. 83
      Аннотация
      Обладание выделенным или частным виртуальным сервером (Virtual Private Server, VPS) подразумевает осведомленность о множестве потенциальных проблем с безопасностью, которым владелец подвержен в Интернете. В наши дни на большинстве домашних компьютеров установлен брандмауэр, или соединение идет через маршрутизатор, способный защитить от таящихся в Сети угроз. Если у вас собственный сервер, вам все равно нужен брандмауэр, но ради безопасности можно сделать гораздо больше. 
      Мартин Мередит показывает: как определить при помощи nmap и netstat лишние и потенциально опасные порты; как закрыть брандмауэром лишние порты, создав правила iptables (рассмотрена и сопровождается комментариями структура правил, а из таблиц рассмотрена только таблица фильтрации); как провести снаружи сканирование сервера на предмет уязвимостей при помощи программы Nessus. 
      Также рассказано о системе обнаружения вторжений Tripwire (http://tripwire.sf.net), которая проверяет целостность файлов в системе, об утилите Logwatch, которая читает файлы журналов сервера и может отправлять владельцу сервера ежедневные сообщения о наиболее интересных их частях. 
 

Боровский А. Электронные подписи : Ч. 2. Защити свои данные

cырохман Che

Боровский А. Электронные подписи [Текст] : Часть 2. Защити свои данные / Андрей Боровский // Linux Format. — 2007. — № 7 (94), июль. — С. 94-97. — (Электронные подписи. Учебник). — Прил.: "Особенности национальной сертификации" : [Российская Федерация]. — С. 94 ; "Файлы сертификатов X.509". — С. 95 ; "Как попасть в «сети доверия»?". — С. 97.
      Аннотация
      Как получить цифровой сертификат, как установить и использовать цифровой сертификат X.509 в популярных открытых приложениях Linux (KMail, Thunderbird и в пакете OpenOffice.org).

Боровский А. Электронные подписи : Ч. 1. Электронные подписи и и цифровые сертификаты

cырохман Che

Боровский А. Электронные подписи [Текст] : Часть 1. Электронные подписи и и цифровые сертификаты / Андрей Боровский  //  Linux Format. — 2007. — № 6 (93), июнь. — С. 90-93. — (Электронные подписи. Учебник). — Прил.: "О терминологии" : [Термины, используемые в этой статье, взяты из книги "Краткий словарь понятий, сокращений и терминов PGP, криптографии и информационной безопасности" (http://www.pgpru.com/)]. — С. 90
      Аннотация
      Общее знакомство с сертификатами системы PKI (Public Key Infrastructure, Инфраструктура открытых ключей) с точки зрения пользователя. 

Браун К. Безопасность : Часть 5: Ищем лазутчиков

cырохман Che

Браун К. Безопасность [Текст] : Часть 5: Ищем лазутчиков / Крис Браун ; послесл. авт. "Мысли напоследок"  //   Linux Format. — 2007. — № 2 (89), февр.. — С. 66-69. — (Безопасность строгого режима. Учебник). — Прил.: "Свойства файла в Aide" [Таблица]. — С. 66 ; "Скорая помощь. Подход истинного параноика – запускать Aide с надежного CD, а файл .conf и базу данных моментальных снимков хранить на носителях в режиме «только для чтения»" ; "Польза от слежки" : [Можно не только обнаружить вторжения, а, например, в корпоративной сети можно обнаружить пользователей, устанавливающих неразрешенное ПО или обновляющих свой компьютер]. — С. 67 ; "Основные компоненты Tripwire" [Таблица]. — С. 68 ; "Скорая помощь. Для поучительного чтения попробуйте «Linux Server Security» Майкла Бауэра [Michael Bauer], опубликованную O’Reilly. Превосходная книга. Помимо вопросов, затронутых в настоящей серии, охватывает множество других. Настоятельно рекомендую". — С. 69
      Аннотация
      Обнаружение вторжений с помощью Aide и Tripwire, созданных для отслеживания несанкционированных изменений файловой системы. 
      Tripwire и Aide делают "снимок" состояния файловой системы (по крайней мере, значимых ее частей) в тот момент, когда есть уверенность в ее нетронутом состоянии. Затем с регулярными интервалами программа запускается снова и состояние файловой системы сравнивается с исходным снимком. Каждый раз составляется отчет с описанием изменений, который должен изучаться, чтобы от инструментов обнаружения вторжений был прок.
     Программа с открытым исходным кодом Aide (Automatic Intrusion Detection Environment — среда автоматического обнаружения вторжений). Программу написали Рами Лехти (Rami Lehti) и Пабло Виролайнен (Pablo Virolainen]. Отметим, что Лехти учился в технологическом университете Тампере (Финляндия) и копию учебника по Aide до сих пор можно найти на университетском сайте по адресу: www.cs.tut.fi/~rammer/Aide/manual.html. Позднее проект был подхвачен Ричардом ван ден Бергом (Richard van den Berg) и Майком Маркли (Mike Markley) и исходный код находится на http://sourceforge.net/projects/Aide. Крис Браун использует пакет из состава SUSE Linux Enterprise Desktop 10 и весьма подробно описывает работу Aide, особенно конфигурационный файл, указывая и на минусы программы. 
     Tripwire, принадлежащая на время написания статьи Tripwire Incorporation. Существует и свободная версия Tripwire по адресу: http://sourceforge.net/projects/Tripwire. Крис Браун использует ее в системе Fedora Core 5.
     Концепция Tripwire во многом схожа с Aide, но административно она более сложна. Усложнение частично происходит из-за того, что Tripwire шифрует свои файлы и снабжает цифровыми подписями, что устраняет нужду в защищенных носителях. Поэтому существуют, например, текстовая и шифрованная версии конфигурационного файла, и такие же версии файла политики (в файле политики перечисляются файлы и директории для мониторинга, а также параметры проверки). Описан конкретный пример реакции программы на действие пользователя, который просто добавит новую учетную запись командой # useradd barney…
     Очень интересны "Мысли напоследок" — послесловие к циклу статей по безопасности в Linux, где изложены 7 ключевых принципов безопасности системы. 

Браун К. Безопасность : Часть 4: Строим межсетевой экран на базе Linux

cырохман Che

Браун К. Безопасность [Текст] : Часть 4: Строим межсетевой экран на базе Linux [Текст] / Крис Браун   //   Linux Format. — 2007. — № 1 (87-88), янв.. — С. 60-63. — (Безопасность строгого режима. Учебник). — Прил.: "Зачем вам брандмауэр?" ; "Рекомендуется прочесть" : [Linux Firewalls by Steve Sturing and Robert Ziegler, 3rd Edition, publisher Novell Press)] ; "Скорая помощь. Будьте осторожны, когда настраиваете брандмауэр на машине, к которой у вас нет физического доступа. Очень легко заблокировать все входящие соединения, задавая политику по умолчанию: вы и охнуть не успеете. Верьте мне! Я уже пробовал…". — С. 61 ; "Скорая помощь. Рискуя быть навязчивым, я хочу подчеркнуть важность политики безопасности. Пока вы не сядете и не зададитесь вопросом «Кто и что может делать с моей машиной?», вы не готовы настраивать правила межсетевого экрана, отключать ненужные сервисы и повышать безопасность компьютера" ; "Рис. 2. Межсетевой экран с тремя интерфейсами защищает DMZ и внутреннюю сеть от внешнего мира. Для каждой сети можно выбрать свой уровень фильтрации" [Изображение]. — С. 62 ; "Скорая помощь. Сканер портов, типа Nmap, рассмотренного на прошлом уроке — отличная утилита для проверки корректной работы правил вашего межсетевого экрана" ; "Скорая помощь. Если вы столкнетесь с проблемами, заставляя какой-либо сетевой сервис работать, стоит проверить, не стоит ли на его пути netfilter. Мне случалось потерять много времени, прежде чем я обнаруживал, что все дело в брандмауэре. Его отключение (ненадолго!) значительно упростит настройку" ; "Предотвращение скрытого сканирования" : [Скрытое сканирование с помощью Nmap можно упредить при помощи netfilter]". — С. 63
     Аннотация
     Сложный путь настройки межсетевого экрана — настройка netfilter с помощью полного набора правил и команды iptables.
     Простой путь — использование утилит, которые позволят указать политику безопасности на более высоком уровне и сгенерируют команды iptables сами. Автор рассматривает модуль конфигурации брандмауэра YaST в SUSE и утилиту system-config-securitylevel, входящую в Fedora.
     В приложении к уроку показано на практике предотвращение при помощи netfilter скрытого сканирования (FIN-сканирования), осуществляемого Nmap. 

Браун К. Безопасность : Часть 3: Нет ли у вас дыр?

cырохман Che

Браун К. Безопасность [Текст] : Часть 3: Нет ли у вас дыр? / Крис Браун   //   Linux Format. — 2006. — № 12 (86), дек.. — С. 54-57. — (Безопасность строгого режима. Учебник). — Прил.: "Опции Nmap – краткое руководство по составлению команды сканирования с помощью Nmap (о типах сканирования см. man-страницу)" : [Изображение]. — С. 54 ; "Как Nmap говорит с вами" : [Информация о состоянии портов] ; "Уязвимость vs эксплойт" : [Различия]. — С. 55 ; "Бойтесь сканеров". — С. 56.
      Аннотация
      Как тестировать сеть на окна и черные ходы со всей серьезностью: сканеры уязвимостей – Nmap, Nessus и утилита Sussen — в системе под Fedora Core 5.
     Внимательно вчитайтесь в эти строки: "Очевидно, что искать уязвимости можно как с честными, так и с дурными намерениями, посему повторю то, что сказал на первом нашем уроке: во-первых, я абсолютно не поощряю использование этих утилит для получения неавторизованного доступа. Во-вторых, перед запуском этих утилит на работе вы должны получить разрешение у вашего начальника [то же самое относится и к домашним сетям, принадлежащим интернет-провайдерам, – прим. ред.]." (С. 54).

 

Браун К. Безопасность : Часть 2: Ограничить в обслуживании!

cырохман Che

Браун К. Безопасность [Текст] : Часть 2: Ограничить в обслуживании! / Крис Браун   //   Linux Format. — 2006. — № 11 (85), нояб.. — С. 82-85. — (Безопасность строгого режима. Учебник). — Прил.: "Ограничение на вход в систему от имени root". — С. 83 ; "SUID-программы" : [Программы, принадлежащие root, – всегда возможная уязвимость] ; "Права доступа к файлам в SUSE" : [Таблица]. — С. 85
      Аннотация
      Находим и отключаем в системе ненужные сервисы, применяем системные инструменты ограничения прав доступа к файлам и познакомимся с некоторыми инструментами (Bastille, мастер безопасности SUSE Linux), которые помогут нам в этом.