Ubuntu-da təhlükəsiz sörfinq. Ubuntu-da təhlükəsiz sörfinq Lazımsız xidmətləri söndürün
Bir çox istifadəçi Ubuntu-nu pop və Ubuntu Serverini ciddi hesab etmir. Bir çox insanlar unudurlar ki, Ubuntu Server 5 ildir dəstəklənir, Debian 5.0 isə 3 il - 2009-cu ildən 2012-ci ilə qədər bazarda olub.
Dəstək qiymətləri ilə - Red Hat ilə müqayisədə Ubuntu Serveri demək olar və demək lazımdır - 24x7x365 gecə-gündüz dəstək sifariş etsəniz belə, onu pulsuz əldə etdiniz.
Ubuntu-nun bütün versiyalarında hansı təhlükəsizlik həllərinin tətbiq olunduğuna baxın və onu təhlükəsiz və etibarlı edin.
İmkanlar
Təhlükəsizlik qabiliyyəti matrisi
| Fürsət | 8.04 LTS(Hardy Heron) | 10.04 LTS(Lucid Lynx) | 11.04 (Natty Narwhal) | 11.10 (Oneirik Ocelot) | 12.04 LTS(Dəqiq Pangolin) | 12.10 (Kvantal Quetzal) |
| Açıq port yoxdur | siyasət | siyasət | siyasət | siyasət | siyasət | siyasət |
| Parol hash | md5 | sha512 | sha512 | sha512 | sha512 | sha512 |
| SYN kukiləri | -- | nüvə və sistem | nüvə və sistem | nüvə və sistem | nüvə və sistem | nüvə və sistem |
| Fayl sistemi imkanları | -- | ləpə | ləpə | ləpə | ləpə | ləpə |
| Konfiqurasiya edilə bilən firewall | ufw | ufw | ufw | ufw | ufw | ufw |
| PR_SET_SECCOMP | ləpə | ləpə | ləpə | ləpə | ləpə | ləpə |
| AppArmor | 2.1 | 2.5 | 2.6.1 | 2.7.0~beta1 | 2.7.0 | 2.7.0 |
| SELinux | kainat | kainat | kainat | kainat | kainat | kainat |
| SMAK | -- | ləpə | ləpə | ləpə | ləpə | ləpə |
| Şifrələnmiş LVM | alternativ quraşdırıcı | alternativ quraşdırıcı | alternativ quraşdırıcı | alternativ quraşdırıcı | alternativ quraşdırıcı | alternativ quraşdırıcı |
| eCryptfs | -- | ~/Şəxsi və ya ~, fayl adları | ~/Şəxsi və ya ~, fayl adları | ~/Şəxsi və ya ~, fayl adları | ~/Şəxsi və ya ~, fayl adları | ~/Şəxsi və ya ~, fayl adları |
| Yığın qorunması | gcc yaması | gcc yaması | gcc yaması | gcc yaması | gcc yaması | gcc yaması |
| Yığın qorunması | glibc | glibc | glibc | glibc | glibc | glibc |
| Qarışıq göstərici | glibc | glibc | glibc | glibc | glibc | glibc |
| ASLR yığını | ləpə | ləpə | ləpə | ləpə | ləpə | ləpə |
| Libs/mmap ASLR | ləpə | ləpə | ləpə | ləpə | ləpə | ləpə |
| Exec ASLR | nüvə (-mm yamaq) | ləpə | ləpə | ləpə | ləpə | ləpə |
| brk ASLR | nüvə (exec ASLR) | ləpə | ləpə | ləpə | ləpə | ləpə |
| VDSO ASLR | ləpə | ləpə | ləpə | ləpə | ləpə | ləpə |
| PIE ilə bina | -- | paket siyahısı | paket siyahısı | paket siyahısı | paket siyahısı | paket siyahısı |
| -- | gcc yaması | gcc yaması | gcc yaması | gcc yaması | gcc yaması | |
| RELRO ilə montaj | -- | gcc yaması | gcc yaması | gcc yaması | gcc yaması | gcc yaması |
| BIND_NOW ilə tikinti | -- | paket siyahısı | paket siyahısı | paket siyahısı | paket siyahısı | paket siyahısı |
| İcra olunmayan Yaddaş | Yalnız PAE | PAE, ia32 qismən NX emulyasiyası | PAE, ia32 qismən NX emulyasiyası | PAE, ia32 qismən NX emulyasiyası | PAE, ia32 qismən NX emulyasiyası | |
| /proc/$pid/xəritələri qoruyun | nüvə və sistem | ləpə | ləpə | ləpə | ləpə | ləpə |
| Simvolik bağlantıların məhdudiyyətləri | -- | -- | ləpə | ləpə | ləpə | ləpə |
| Sərt Linklərin Məhdudiyyətləri | -- | -- | ləpə | ləpə | ləpə | ləpə |
| ptrace əhatə dairəsi | -- | -- | ləpə | ləpə | ləpə | ləpə |
| 0 ünvanlı qorunma | nüvə və sistem | ləpə | ləpə | ləpə | ləpə | ləpə |
| /dev/mem-i qoruyun | nüvə (-mm yamaq) | ləpə | ləpə | ləpə | ləpə | ləpə |
| /dev/kmem deaktiv edilib | nüvə (-mm yamaq) | ləpə | ləpə | ləpə | ləpə | ləpə |
| Modul yüklənməsinin bloklanması | CAP_SYS_MODULES-i buraxın | sistem | sistem | sistem | sistem | sistem |
| ləpə | ləpə | ləpə | ləpə | ləpə | ləpə | |
| Kernel yığınının qorunması | -- | ləpə | ləpə | ləpə | ləpə | ləpə |
| RO/NX modulu | -- | -- | ləpə | ləpə | ləpə | ləpə |
| -- | -- | ləpə | ləpə | ləpə | ləpə | |
| -- | -- | ləpə | ləpə | ləpə | ləpə | |
| Sistem zənglərinin filtrasiyası | -- | -- | -- | ləpə | ləpə | ləpə |
Açıq port yoxdur
Defolt Ubuntu quraşdırmasında şəbəkədən kənardan əldə edilə bilən açıq portlar yoxdur. Bu qayda üçün yeganə istisna DHCP müştəri və mDNS (Avahi/ZeroConf) kimi şəbəkə infrastrukturu xidmətləri üçündür.
Ubuntu Server quraşdırıldıqda, administrator Apache veb serveri kimi əlavə şəbəkə xidmətləri quraşdıra bilər. Ancaq standart olaraq, yeni quraşdırılmış sistemdə, əgər netstat -an --inet | etsəniz grep DİNLEYİN | grep -v 127.0.0.1 , onda siz asanlıqla əmin ola bilərsiniz ki, Ubuntu şəbəkələrdən sistemə daxil olmaq üçün lazımsız olaraq portları açmır.
Parol hash
Ubuntu-ya daxil olmaq üçün istifadə edilən sistem parolu /etc/shadow-da saxlanılır. Bir zamanlar /etc/passwd-də DES parol hashı saxlanılırdı. Lakin müasir Linux uzun müddətdir ki, xeşləri /etc/shadow-da saxlayır və əvvəlcə duzlu MD5-ə əsaslanan hash istifadə olunurdu (duzlu MD5-əsaslı hashlər crypt id 1). Eyni parollar duzdan istifadə etmədən eyni hashlara malik olduğundan, duzun tətbiqi təhlükəsizliyi yaxşılaşdırmağa və sistemin bir çox istifadəçisinin parollarını sındırmağı çətinləşdirməyə imkan verdi.
İndi MD5 etibarsız hesab edilir və kompüterlərin hesablama imkanlarının artması ilə Ubuntu 8.10 ilə SHA-512 duzlu hash istifadə olunur (duzlu SHA-512 əsaslı parol heşləri crypt id 6). Bu, bütün variantları sınamaqla kobud güc sındırmasını inanılmaz dərəcədə çətin və vaxt aparan edir.
Man crypt haqqında daha ətraflı məlumat.
Testlər üçün test-glibc-security.py istifadə edin.
SYN kukiləri
Sistem yeni şəbəkə bağlantıları ilə su altında qaldıqda, SYN kuki mexanizmi SYN daşqın hücumlarından zərəri azaltmağa kömək edir.
Fayl sistemi imkanları
Onları işlədən şəxsdən daha yüksək icazələrlə işləyən setuid proqramlara ehtiyac, xattrs kimi fayl sistemi imkanlarından istifadə etməklə azaldıla bilər. Bu cür xüsusiyyətlər potensial təhlükəli quraşdırma proqramlarından sui-istifadə riskini azaldır.
Linux nüvəsi setuid proqramlarının təhlükəsizliyini artırmaq üçün xattrs tipli fayl imkanlarından istifadə etmək üçün libcap2-bin dəstəyi və alətləri təmin edir.
Testlər üçün test-kernel-security.py istifadə edin.
Konfiqurasiya edilə bilən firewall
ufw Ubuntu-da quraşdırılan və istifadə olunan iptables üçün ön hissədir, lakin istifadəçi onu müstəqil şəkildə aktivləşdirməlidir. UFW, zəncirləri və cədvəlləri ilə iptables firewall anlayışları ilə tanış olmayan insanlar üçün istifadəsi asan interfeys təmin etmək üçün nəzərdə tutulmuşdur.
Eyni zamanda, UFW nə etdiyini bilən idarəçiyə kömək etmək üçün mürəkkəb iptables əmrlərini sadələşdirir.
UFW köməkçi və qrafik frontendlər üçün əsasdır.
Testlər üçün ufw testlərindən istifadə edin.
PR_SET_SECCOMP
AppArmor
SELinux
SELinux, fayl sistemi indeksi deskriptoru olan inode konsepsiyasına əsaslanan məcburi girişə nəzarət sistemidir.
selinux paketinin quraşdırılması PC işə salınarkən lazımi dəyişiklikləri və düzəlişləri edəcək.
Testlər üçün test-kernel-security.py istifadə edin.
SMAK
SMACK inode konsepsiyasına əsaslanan çevik məcburi girişə nəzarət sistemidir - fayl sistemi indeksi deskriptoru.
Testlər üçün test-kernel-security.py istifadə edin.
Fayl sisteminin şifrələnməsi
LVM şifrələməsi
Alternativ quraşdırıcıdan istifadə edən istifadəçilər, dəyişdirmə bölməsi də daxil olmaqla, bütün bölmələri şifrələyəcək şifrələnmiş LVM-də (Məntiqi Həcmi İdarəetmə) Ubuntu quraşdıra bilərlər.
eCryptfs
Şifrələnmiş qovluqlar ilk dəfə Ubuntu 8.10-da mühüm istifadəçi məlumatlarını saxlamaq üçün təhlükəsiz yer kimi tətbiq edilmişdir.
Alternativ və Server disk quraşdırıcısı ilk istifadəçi üçün şifrələnmiş qovluqlar qurmağa imkan verir.
Ubuntu 9.04-də qovluqların şifrələnməsi dəstəyi genişləndirildi və istifadəçi bütün ev qovluğunu şifrələyə bilərdi. Ev qovluğunun şifrələnməsi Alternativ quraşdırıcıda və Masaüstü quraşdırıcıda user-setup/encrypt-home=true parametri vasitəsilə dəstəklənir.
İstifadəçi Məkanının Təhlükəsizliyinin Gücləndirilməsi
Bir çox təhlükəsizlik xüsusiyyətləri proqram paketləri və nüvəni qurarkən kompilyasiya bayraqları vasitəsilə həyata keçirilir.
Yığın qorunması
gcc -fstack-protector bayrağı kiçik bir təsadüfi ədədi marker kimi yerləşdirməklə yığının daşmasından mühafizəni təmin edir. Bu üsul müxtəlif istismarlar üçün yığın daşmasını çətinləşdirir.
Az sayda proqramlar bu parametrlə tərtib edildikdə zəif işləyir və onlar üçün -fstack-protector qeyri-aktivdir.
Testlər üçün test-gcc-security.py istifadə edin.
Yığın qorunması
GNU C Kitabxanasının yığın mühafizəsi (avtomatik olaraq ptmalloc tərəfindən və əl ilə) glibc yaddaş menecerində pozulmuş siyahı/bağlantıyı kəsmək/ikiqat pulsuz/daşmaqdan qorunma təmin edir.
Bu, yığın yaddaşının daşması vasitəsilə ixtiyari kodun icrası imkanının qarşısını alır və bununla da yığın bölgəsinin strukturunu korlayır.
Bu müdafiə zaman keçdikcə inkişaf etdi və getdikcə daha çox müdafiə variantları əlavə etdi. Hazırkı vəziyyətində glibc 2.10 hətta incə hücum şərtlərinə də uğurla müqavimət göstərir.
Qarışıq göstərici
Bəzi glibc göstəriciləri PTR_MANGLE/PTR_UNMANGLE makroları vasitəsilə daxili olaraq glibc-də gizlədilir və bu göstəricilərin icra zamanı üzərinə yazılmasının qarşısını alır.
test-glibc-security.py testlərindən istifadə edin.
Ünvan məkanında təsadüfi yerləşdirmə. Ünvan Kosmosunun Randomizasiyası (ASLR)
ASLR nüvədə həyata keçirilir və ELF yükləyicisi ən vacib strukturları təsadüfi ünvanlarda yerləşdirir: yığın, yığın, paylaşılan kitabxanalar və s.
Bu, təcavüzkar istismarlardan istifadə etməyə çalışarkən ünvanları proqnozlaşdırmağı çətinləşdirir.
ASLR qlobal olaraq /proc/sys/kernel/randomize_va_space vasitəsilə dəyişdirilir. Ubuntu 8.10-dan əvvəl dəyər "1" idi (aktivdir). brk ASLR daxil olan sonrakı buraxılışlarda dəyər "2" olaraq təyin edilir (brk ASLR ilə aktivləşdirilir).
ASLR yığını
Hər bir proqramın icrasının nəticələri yığının müxtəlif hissələrinə yerləşdirilir. Zərərli yük əlavə edərək yaddaşı tapmaq və proqrama hücum etmək çətindir.
Libs/mmap ASLR
Kitabxanalar dinamik olaraq müxtəlif yaddaş yerlərinə yüklənir, bu da təcavüzkarın qayıdış nöqtəsini tapmasını çətinləşdirir.
Qoruma kernel 2.6.15-dən (Ubuntu 6.06) mövcuddur.
Exec ASLR
"-fPIE -pie" seçimi ilə qurulmuş proqramlar müxtəlif yaddaş yerlərinə yüklənir. Bu, yaddaş modifikasiyası hücumunu həyata keçirmək üçün hücumu və ya ünvana keçməyi çətinləşdirir.
Qoruma kernel 2.6.25-dən (Ubuntu 8.04 LTS) mövcuddur.
brk ASLR
Exec ASLR kimi, brk ASLR kiçik yaddaş ayrılması sorğuları üçün exec və brk arasında yaddaş ünvanlarını tənzimləyir. Randomization brk exec yaddaş ofseti nüvə 2.6.26 (Ubuntu 8.10) əlavə edildi.
VDSO ASLR
Proqram hər dəfə işə salındıqda nəticələr fərqli vdso-da yerləşdirilir. Əvvəlcə kernel 2.6.18 (x86, PPC) və 2.6.22 (x86_64) versiyalarında ortaya çıxdı, lakin Ubuntu 8.04 LTS-də silinən COMPAT_VDSO səbəbindən Ubuntu 6.10-a daxil edilmədi.
Sistemə keçid hücumlarından qoruyur.
Yalnız x86 glibc 2.6 tərəfindən dəstəklənir. glibc 2.7 (Ubuntu 8.04 LTS) artıq x86_64 ASLR vdso dəstəkləyir.
Qədim statik pre-libc6 vdso-ya ehtiyacı olanlar kernel parametri kimi "vdso=2" istifadə edib yenidən COMPAT_VDSO əldə edə bilərlər.
PIE ilə bina
"-fPIE -pie" seçimi ilə Mövqe Müstəqil İcraedicilər (PIE) ilə tərtib edilmiş bütün proqramlar exec ASLR qorunmasından istifadə edə bilər.
Bu, "mətnə qayıt" hücumlarından qoruyur və adi yaddaş modifikasiyası hücumlarını faydasız edir.
PIE səbəbiylə, ümumi təyinatlı registrləri (x86 kimi) az olan arxitekturalarda böyük performans azalması (5-10%) var.
Buna görə də, PIE az sayda təhlükəsizlik baxımından kritik paketlər üçün istifadə olunur.
x86_64 üçün PIE-də heç bir performans problemi yoxdur və bütün paketlər üçün istifadə olunur, lakin daha yaxşı sınaq tələb olunur.
| Plastik torba | 8.04 LTS | 9.04 | 9.10 | 10.04 LTS | 10.10 | 11.04 | 11.10 |
| openssh | Bəli | Bəli | Bəli | Bəli | Bəli | Bəli | Bəli |
| apache2 | -- | Bəli | Bəli | Bəli | Bəli | Bəli | Bəli |
| bağlamaq9 | -- | Bəli | Bəli | Bəli | Bəli | Bəli | Bəli |
| openldap | -- | Bəli | Bəli | Bəli | Bəli | Bəli | Bəli |
| postfiks | -- | Bəli | Bəli | Bəli | Bəli | Bəli | Bəli |
| fincanlar | -- | Bəli | Bəli | Bəli | Bəli | Bəli | Bəli |
| postgresql-8.3 | -- | Bəli | Bəli | Bəli | Bəli | Bəli | Bəli |
| samba | -- | Bəli | Bəli | Bəli | Bəli | Bəli | Bəli |
| göyərçin | -- | Bəli | Bəli | Bəli | Bəli | Bəli | Bəli |
| dhcp3 | -- | Bəli | Bəli | Bəli | Bəli | Bəli | Bəli |
| ntp | -- | -- | Bəli | Bəli | Bəli | Bəli | Bəli |
| amavisd-yeni | -- | -- | Bəli | Bəli | Bəli | Bəli | Bəli |
| kalamar | -- | -- | Bəli | Bəli | Bəli | Bəli | Bəli |
| cyrus-sasl2 | -- | -- | Bəli | Bəli | Bəli | Bəli | Bəli |
| exim4 | -- | -- | Bəli | Bəli | Bəli | Bəli | Bəli |
| nagios3 | -- | -- | Bəli | Bəli | Bəli | Bəli | Bəli |
| nagios-pluginlər | -- | -- | Bəli | Bəli | Bəli | Bəli | Bəli |
| xinetd | -- | -- | Bəli | Bəli | Bəli | Bəli | Bəli |
| ipsec alətləri | -- | -- | Bəli | Bəli | Bəli | Bəli | Bəli |
| mysql-dfsg-5.1 | -- | -- | Bəli | Bəli | Bəli | Bəli | Bəli |
| sübut | -- | -- | -- | Bəli | Bəli | Bəli | Bəli |
| firefox | -- | -- | -- | Bəli | Bəli | Bəli | Bəli |
| gnome-nəzarət mərkəzi | -- | -- | -- | -- | -- | Bəli | Bəli |
| tiff | -- | -- | -- | -- | -- | Bəli | Bəli |
| totem | -- | -- | -- | -- | -- | Bəli | Bəli |
| qemu-kvm | -- | -- | -- | -- | -- | -- | Bəli |
| pidgin | -- | -- | -- | -- | -- | -- | Bəli |
Fortify Source ilə qurun
"-D_FORTIFY_SOURCE=2" (və -O1 və ya daha yüksək) ilə qurulmuş proqramlar glibc-də bir neçə kompilyasiya və iş vaxtı mühafizəsini təmin edir:
- Müəyyən edilməmiş sərhədləri olan "sprintf", "strcpy" çağırışları bufer ölçüsü əvvəlcədən məlum olduqda məhdud N ilə əlaqəli funksiyalarla əvəz olunur. Bu yaddaş daşqınlarından qoruyur.
- sətir yazma girişi olan yaddaş seqmentində olduqda "%n" sətir formatı vasitəsilə hücumun dayandırılması.
- ən vacib funksiyaların və arqumentlərin qaytarılması kodlarının yoxlanılmasını tələb edir (məsələn, sistem üçün, yazmaq, açmaq).
- faylı yaratarkən maskanın açıq şəkildə göstərilməsini tələb edir.
RELRO ilə montaj
Bootloader yaddaşının üzərinə yazılması ilə mübarizə aparmaq üçün ELF proqramlarının sərtləşdirilməsi. GOT-overwrite-stil hücumu ehtimalını azaldır.
test-gcc-security.py testlərindən istifadə edin.
BIND_NOW ilə tikinti
ELF proqramlarını, "dərhal bağlama" kimi də tanınan, tələb üzrə deyil, başlanğıcda dinamik simvolları həll etmək üçün qeyd edir.
Bu, RELRO parametri ilə birlikdə GOT-u tamamilə oxumaq üçün edir.
test-built-binaries.py testlərindən istifadə edin.
İcra olunmayan Yaddaş
Müasir prosessorlar verilənlərin yaddaş sahələrini (yığın, yığın) kodun icrasından qoruyur.
Bu texnologiya Non-eXecute (NX) və ya eXecute-Disable (XD) kimi tanınır. Qoruma təcavüzkarın ixtiyari kod yerləşdirmək qabiliyyətini azaldır.
Qoruma "PAE" tələb edir ki, bu da 3 GB-dan yuxarı RAM-a müraciət etməyə imkan verir. 64bit və 32bit -server və -generic-pae nüvələri artıq PAE ilə qurulub.
Ubuntu 9.10-dan başlayaraq NX aparatını dəstəkləməyən prosessorlar üçün 32-bit nüvələrdə qorunma qismən təqlid edilir.
Yüklədikdən sonra NX qoruma dəstəyi səviyyəsini görə bilərsiniz:
- Avadanlıq: [ 0.000000] NX (Execute Disable) mühafizəsi: aktivdir
- Emulyasiya:
[ 0.000000] NX qorunmasının təxmini üçün x86 seqment məhdudiyyətlərindən istifadə
Əgər NX haqqında heç bir qeyd görmürsünüzsə, BIOS parametrlərinizi yoxlayın. Ubuntu 11.04-dən etibarən NX üçün BIOS parametrləri nüvə tərəfindən nəzərə alınmır.
| Ubuntu 9.04 və daha əvvəl | ||||
| CPU NX-i dəstəkləyir | CPU NX-i dəstəkləmir | |||
| BIOS-da NX aktivləşdirilib | NX BIOS-da deaktiv edilib | |||
| i386 | -386, -ümumi nüvə (PAE olmayan) | nx dəstəklənmir | nx dəstəklənmir | nx dəstəklənmir |
| -server nüvəsi (PAE) | real nx | nx dəstəklənmir | nx dəstəklənmir | |
| amd64 | hər hansı bir nüvə (PAE) | real nx | nx dəstəklənmir | nx dəstəklənmir |
test-kernel-security.py testlərindən istifadə edin.
/proc/$pid/xəritələri qoruyun
ASLR işləyərkən proseslərin cari yaddaş xəritələri təcavüzkar üçün çox dəyərli olur. Xəritə faylı yalnız prosesin özü və proses sahibi tərəfindən oxuna bilər.
Kernel 2.6.22-dən etibarən mövcuddur.
test-kernel-security.py testlərindən istifadə edin.
Simvolik bağlantıların məhdudiyyətləri
Bu qüsurdan istifadə etməyin ən çox yayılmış yolu, kök imtiyazları ilə zərərli hərəkəti yerinə yetirmək üçün təcavüzkar tərəfindən yaradılmış simvolik keçiddən istifadə etməyə məcbur etməkdir.
Ubuntu 10.10-dan etibarən, "izləyici" və kataloqun sahibi simvolik əlaqənin sahibi ilə eyni deyilsə, /tmp kimi kataloqlardakı simvolik keçidləri izləmək olmaz.
Bu mexanizm Yama mexanizmi /proc/sys/kernel/yama/protected_sticky_symlinks tərəfindən idarə olunur. Yama Canonical tərəfindən hazırlanmışdır.
test-kernel-security.py testlərindən istifadə edin.
Sərt Linklərin Məhdudiyyətləri
Əgər /etc/ və /home/ qovluqları eyni bölmədə yerləşirsə, adi istifadəçi öz ana qovluğunda parol heşləri ilə /etc/shadow faylına sərt keçid yarada bilər. Təbii ki, əgər müəyyən bir fayl istifadəçi tərəfindən oxuna bilmirsə və ya yaza bilmirsə, həmin faylın sərt keçidi eyni icazələrə malik olacaq və buna görə də həmin istifadəçi üçün əlçatan olmayacaq. Bununla belə, sərt keçidlərdən istifadə edərək təcavüzkar belə bir faylı ona daxil olmaq hüququ olan proqrama “sürüşdürə” bilər.
Yama, mənbə fayllarına daxil olmaq icazəsi olmayan istifadəçilərin sərt keçidlər yaratmasının qarşısını alaraq bu hücumu bloklamağa imkan verir.
Davranış /proc/sys/kernel/yama/protected_nonaccess_hardlinks Yama tərəfindən idarə olunur.
ptrace əhatə dairəsi
Müvafiq Yama mühafizəsi olmadan, CAP_SYS_PTRACE imtiyazlı istənilən proses eyni UID ilə bütün proseslərin yaddaşına daxil ola bilər.
Ubuntu 10.10 və daha köhnə versiyalarda istifadəçilər ptrace-dən istifadə edərək prosesləri sazlaya bilməzlər, əgər onlar onun nəslindən deyillər.
Davranış /proc/sys/kernel/yama/ptrace_scope Yama tərəfindən idarə olunur.
test-kernel-security.py testlərindən istifadə edin.
Nüvə qorunmasının gücləndirilməsi
Hücumları çətinləşdirmək üçün nüvə müdafiə mexanizmlərini aktivləşdirdi.
0 ünvanlı qorunma
Nüvə və istifadəçi sahəsi virtual yaddaş ünvanlarını paylaşdığından, "NULL" yaddaş qorunmalıdır və "istifadəçi" yaddaşı 0 ünvanından başlaya bilməz, bununla da nüvə ünvanının dereferensiyasının - "NULL dereference" hücumunun qarşısını alır.
Qoruma 2.6.22 nüvəsindən sysctl parametri "mmap_min_addr" vasitəsilə mümkündür. Ubuntu 9.04-dən etibarən mmap_min_addr nüvəyə quraşdırılmışdır - x86 üçün 64k, ARM üçün 32k ünvan.
test-kernel-security.py testlərindən istifadə edin.
/dev/mem-i qoruyun
Xorg kimi bəzi proqramlar istifadəçi məkanında fiziki yaddaşa birbaşa giriş tələb edir. Xüsusi fayl /dev/mem belə girişi təmin edir.
Əvvəllər, təcavüzkar kök girişi əldə edərsə, bu fayl vasitəsilə nüvə yaddaşına baxmaq və dəyişdirmək mümkün idi.
Bu cür cəhdlərin qarşısını almaq üçün CONFIG_STRICT_DEVMEM seçimi təqdim edildi (seçim əvvəlcə CONFIG_NONPROMISC_DEVMEM adlanırdı).
test-kernel-security.py testlərindən istifadə edin.
/dev/kmem deaktiv edilib
Müasir istifadəçi üçün /dev/kmem aktual deyil, çünki o, əsasən təcavüzkarlar tərəfindən rootkitləri yükləmək üçün istifadə olunurdu.
CONFIG_DEVKMEM indi "n" olaraq təyin edilib.
/dev/kmem faylı Ubuntu 8.04 LTS-dən Ubuntu 9.04-ə qədər buraxılışlarda mövcuddur, lakin nüvədə heç nə ilə əlaqələndirilməyib və istifadə edilmir.
test-kernel-security.py testlərindən istifadə edin.
Modul yüklənməsinin bloklanması
Ubuntu 8.04 LTS və ondan əvvəlki versiyalarda CAP_SYS_MODULES funksiyasını silmək və bununla da yeni nüvə modullarının yüklənməsinin qarşısını almaq mümkün idi.
Bu, təhlükə altında olan sistem işə salındıqda, rootkitləri endirməmək üçün başqa bir müdafiə səviyyəsi idi.
Kernel 2.6.25-də (Ubuntu 8.10) bu funksionallıq yoxa çıxdı. Ubuntu 9.10-dan etibarən, /proc/sys/kernel/modules_disabled-i "1"-ə təyin etməklə modulları yenidən söndürmək mümkündür.
test-kernel-security.py testlərindən istifadə edin.
Yalnız oxumaq üçün məlumat bölməsi
Nüvə məlumatı bölməsinin yalnız oxunan kimi qeyd edilməsi dəyişikliklərin bloklanmasını təmin edir. Bu, bəzi rootkitlərdən qorunmağa kömək edir. CONFIG_DEBUG_RODATA seçimi ilə aktivləşdirilib.
test-kernel-security.py testlərindən istifadə edin.
Kernel yığınının qorunması
İstifadəçi məkanında ELF proqramlarını qorumaq kimi, nüvə də CONFIG_CC_STACKPROTECTOR seçimi vasitəsilə daxili yığınını qoruya bilər.
test-kernel-security.py testlərindən istifadə edin.
RO/NX modulu
Bu funksiya yüklənmiş nüvə modullarına məhdudiyyətlər daxil etmək üçün CONFIG_DEBUG_RODATA-nı genişləndirir. Bu, istismarın qarşısını almağa kömək edir. CONFIG_DEBUG_MODULE_RONX parametri vasitəsilə aktivləşdirilib.
test-kernel-security.py testlərindən istifadə edin.
Kernel Ünvanı Göstərmə Məhdudiyyəti
Təcavüzkarlar nüvə zəifliklərindən istifadə edərək istənilən yerdə istismarı inkişaf etdirməyə çalışdıqda, daxili nüvə strukturlarının yerini bilməlidirlər.
Kernel ünvanları vacib məlumat kimi adi istifadəçilər üçün əlçatan deyil.
Ubuntu 11.04-dən başlayaraq, /proc/sys/kernel/kptr_restrict "1"-ə təyin edilib və nüvə ünvanı məlumatlarının sızmasını bloklayır.
Həmçinin, müxtəlif fayl və qovluqlar yalnız kök tərəfindən oxunmaq üçün hazırlanır
/boot/vmlinuz*, /boot/System.map*, /sys/kernel/debug/, /proc/slabinfo
test-kernel-security.py testlərindən istifadə edin.
Nadir protokolların qara siyahısı
Tipik olaraq, nüvə bütün şəbəkə protokollarının MODULE_ALIAS_NETPROTO(PF_...) makrosları vasitəsilə tələb olunduqda avtomatik yüklənməsinə imkan verir.
Bu protokolların bir çoxu köhnəlmiş, nadir və adi Ubuntu istifadəçisi üçün az istifadə olunduğundan və naməlum boşluqlar ola biləcəyindən, Ubuntu 11.04-dən bəri onlar qara siyahıya salınıb.
Qara siyahıya salınıb: ax25, netrom, x25, rose, decnet, econet, rds və af_802154.
Bu protokollardan hər hansı birinə ehtiyac olarsa, onlar modprobe vasitəsilə və ya /etc/modprobe.d/blacklist-rare-network.conf-u redaktə etməklə yüklənə bilər.
test-kernel-security.py testlərindən istifadə edin.
Sistem zənglərinin filtrasiyası
Proqramlar seccomp_filter istifadə edərək kernel zənglərini süzgəcdən keçirə bilər.
Bu, potensial etibarsız proqramı daha da məhdudlaşdırmaq üçün konteynerlərdə və ya qum qutularında edilir.
test-kernel-security.py testlərindən istifadə edin.
Alt xətt
Oxuduqdan sonra aydın olur ki, daxil Canonical Ubuntu təhlükəsizliyinə ciddi yanaşır. İki layihə, AppArmor və Yama, uzun müddətdir Ubuntu ilə əlaqələndirilir və təhlükəsizliyin yaxşılaşdırılmasına kömək edir. Ubuntu standart olaraq şəbəkədə lazımsız port-qapıları açmır və bağlantıların-macəraların gəlməsini gözləmir. Proqramları nəzarətdə saxlayan şəbəkə ilə işləyən əsas proqramlar üçün AppArmor profilləri yaradılmışdır.
Ubuntu ilə kompüteriniz təhlükəsiz olacaq!
Linux OS ilə işləyən serverlərin ən təhlükəsiz və xarici müdaxilələrdən qorunduğuna dair ümumi bir yanlış fikir var. Təəssüf ki, bu, hər hansı bir serverin təhlükəsizliyini təmin etmək üçün bir sıra amillərdən və tədbirlərdən asılıdır və istifadə olunan əməliyyat sistemindən praktiki olaraq müstəqildir;
Ubuntu Server ilə şəbəkə təhlükəsizliyinə həsr olunmuş bir sıra məqalələrə başlamaq qərarına gəldik, çünki bu platformadakı həllər oxucularımız üçün böyük maraq doğurur və çoxları Linux həllərinin özlüyündə təhlükəsiz olduğuna inanır.
Eyni zamanda, xüsusi bir IP ünvanı olan bir marşrutlaşdırıcı yerli şəbəkənin "qapısı" dır və bu qapının etibarlı bir maneə olub-olmayacağı və ya bir ölkə qapısı ilə bağlanacağı yalnız idarəçidən asılı olacaq. dırnaq.
Başqa bir ümumi yanlış fikir, "kimə lazımdır, bizim serverimiz, maraqlı bir şeyimiz yoxdur" üslubunda əsaslandırmadır. Həqiqətən də, sizin yerli şəbəkəniz təcavüzkarlar üçün heç bir maraq kəsb etməyə bilər, lakin onlar spam göndərmək, digər serverlərə hücumlar, anonim proksi, bir sözlə, öz kölgəli sövdələşmələri üçün başlanğıc nöqtəsi kimi sındırılmış serverdən istifadə edə bilərlər.
Və bu, artıq xoşagəlməzdir və müxtəlif problemlərin mənbəyi kimi xidmət edə bilər: provayderdən tutmuş hüquq-mühafizə orqanlarına qədər. Virusların yayılması, vacib məlumatların oğurlanması və məhv edilməsi, habelə müəssisənin dayanmasının kifayət qədər maddi itkilərə səbəb olduğunu unutmamalısınız.
Məqalənin Ubuntu Serverinə həsr olunmasına baxmayaraq, əvvəlcə hər hansı bir platformaya eyni dərəcədə aid olan və əsas olan ümumi təhlükəsizlik məsələlərinə baxacağıq, onsuz məsələni daha ətraflı müzakirə etməyin mənası yoxdur.
Təhlükəsizlik haradan başlayır?
Xeyr, təhlükəsizlik firewall ilə başlamır, ümumiyyətlə hardware ilə başlamır, təhlükəsizlik istifadəçidən başlayır. Axı, sahibi açarı xalçanın altında qoyarsa, ən yaxşı mütəxəssislər tərəfindən quraşdırılmış ən yaxşı metal qapının nə faydası var?
Buna görə etməli olduğunuz ilk şey təhlükəsizlik yoxlaması aparmaqdır. Bu sözdən qorxmayın, hər şey o qədər də mürəkkəb deyil: təhlükəsiz zonanı, potensial təhlükə zonasını və yüksək təhlükə zonasını qeyd etdiyiniz sxematik şəbəkə planını çəkin, həmçinin (olmalıdır) olan istifadəçilərin siyahısını tərtib edin. giriş) bu zonalara.
Təhlükəsiz zona xaricdən əlçatan olmayan və aşağı təhlükəsizlik səviyyəsinin məqbul olduğu daxili şəbəkə resurslarını əhatə etməlidir. Bunlar iş stansiyaları, fayl serverləri və s. ola bilər. giriş müəssisənin yerli şəbəkəsi ilə məhdudlaşan cihazlar.
Potensial təhlükə zonasına xarici şəbəkəyə birbaşa çıxışı olmayan, lakin fərdi xidmətlərinə xaricdən daxil olmaq mümkün olan serverlər və qurğular, məsələn, firewall arxasında yerləşən, lakin hələ də xarici şəbəkədən sorğulara xidmət edən veb və poçt serverləri daxildir.
Təhlükəli zonaya birbaşa xaricdən daxil olan qurğular daxil edilməlidir, bu, bir marşrutlaşdırıcı olmalıdır;
Mümkünsə, potensial təhlükəli zona ayrıca alt şəbəkədə yerləşdirilməlidir - əsas şəbəkədən əlavə təhlükəsizlik divarı ilə ayrılan silahsızlaşdırılmış zona (DMZ).
LAN cihazlarının DMZ-də yalnız SMTP, POP3, HTTP kimi ehtiyac duyduğu xidmətlərə çıxışı olmalıdır və digər bağlantılar bloklanmalıdır. Bu, silahsızlaşdırılmış zonada ayrıca xidmətdə zəiflikdən istifadə edən təcavüzkarı və ya zərərli proqramı etibarlı şəkildə təcrid etməyə imkan verəcək və onların əsas şəbəkəyə çıxışını qadağan edəcək.
Fiziki olaraq, bir DMZ ayrı bir server / hardware firewall quraşdırmaqla və ya marşrutlaşdırıcıya əlavə bir şəbəkə kartı əlavə etməklə təşkil edilə bilər, lakin ikinci halda marşrutlaşdırıcının təhlükəsizliyinə çox diqqət yetirməli olacaqsınız. Amma istənilən halda bir serverin təhlükəsizliyini təmin etmək bir qrup serverdən daha asandır.
Növbəti addım istifadəçilərin siyahısını təhlil etmək, onların hamısının DMZ-yə və marşrutlaşdırıcıya (dövlət xidmətləri istisna olmaqla) daxil olmasına ehtiyac olub-olmaması olmalıdır, kənardan qoşulan istifadəçilərə xüsusi diqqət yetirilməlidir.
Bir qayda olaraq, bu, parol siyasətinin tətbiqi ilə bağlı çox populyar olmayan addımı tələb edir. Kritik xidmətlərə çıxışı olan və kənardan qoşulma imkanı olan istifadəçilər üçün bütün parollar ən azı 6 simvoldan ibarət olmalıdır və kiçik hərflərə əlavə olaraq üç kateqoriyadan iki kateqoriyadan olan simvolları ehtiva etməlidir: böyük hərflər, rəqəmlər, qeyri-əlifba simvolları .
Bundan əlavə, parol istifadəçinin loqini və ya onun bir hissəsini ehtiva etməməli, istifadəçi ilə əlaqələndirilə bilən tarixləri və ya adları ehtiva etməməli və tercihen lüğət sözü olmamalıdır.
Hər 30-40 gündən bir parolların dəyişdirilməsi praktikasına daxil olmaq yaxşı bir fikirdir. Aydındır ki, belə bir siyasət istifadəçilərin rədd edilməsinə səbəb ola bilər, lakin parolların bəyənildiyini həmişə yadda saxlamalısınız 123 və ya qwerty xalçanın altında açar qoymağa bərabərdir.
Server təhlükəsizliyi - əlavə heç nə.
İndi nəyi və nədən qorumaq istədiyimizi anlayaraq serverin özünə keçək. Bütün xidmət və xidmətlərin siyahısını tərtib edin, sonra onların hamısının bu xüsusi serverə lazım olub-olmadığını və ya başqa yerə köçürülə biləcəyini düşünün.
Xidmətlər nə qədər az olarsa, təhlükəsizliyi təmin etmək bir o qədər asan olar və onlardan birində kritik zəiflik vasitəsilə serverin təhlükə altına düşmə şansı bir o qədər az olar.
Yerli şəbəkəyə xidmət edən xidmətləri (məsələn, squid) konfiqurasiya edin ki, sorğuları yalnız yerli interfeysdən qəbul etsinlər. Xarici xidmətlər nə qədər az olsa, bir o qədər yaxşıdır.
Zəiflik skaneri təhlükəsizliyin təmin edilməsində yaxşı köməkçi olacaq; o, serverin xarici interfeysini skan etmək üçün istifadə edilməlidir; Ən məşhur məhsullardan birinin - XSpider 7.7-nin demo versiyasından istifadə etdik.
Skaner açıq portları göstərir, işləyən xidmətin növünü və uğurlu olarsa, zəifliklərini müəyyən etməyə çalışır. Gördüyünüz kimi, düzgün konfiqurasiya edilmiş sistem kifayət qədər təhlükəsizdir, lakin siz açarı xalça altında qoymamalısınız, marşrutlaşdırıcıda 1723 (VPN) və 3389 (terminal serverinə yönləndirilmiş RDP) portlarının olması; parol siyasəti haqqında düşünmək üçün yaxşı səbəb.
SSH təhlükəsizliyi haqqında da danışmalıyıq ki, bu xidmət adətən administratorlar tərəfindən serverin uzaqdan idarə olunması üçün istifadə olunur və təcavüzkarların böyük marağına səbəb olur. SSH parametrləri faylda saxlanılır /etc/ssh/sshd_config, aşağıda təsvir edilən bütün dəyişikliklər ona edilir. Bunun üçün ilk növbədə, kök istifadəçi altında avtorizasiyanı söndürməlisiniz, seçimi əlavə edin;
PermitRootLogin nömrəsi
İndi təcavüzkar təkcə parolu deyil, həm də girişi təxmin etməli olacaq və o, hələ də super istifadəçi parolunu bilməyəcək (ümid edirik ki, bu, parolunuza uyğun gəlmir). Kənardan qoşulma zamanı bütün inzibati tapşırıqlar aşağıdan yerinə yetirilməlidir sudo imtiyazsız istifadəçi kimi daxil olmaq.
İcazə verilən istifadəçilərin siyahısını açıq şəkildə göstərməyə dəyər və siz kimi girişlərdən istifadə edə bilərsiniz user@host, bu, göstərilən istifadəçiyə yalnız göstərilən hostdan qoşulmağa imkan verir. Məsələn, ivanov istifadəçisinə evdən qoşulmağa icazə vermək üçün (IP 1.2.3.4) aşağıdakı girişi əlavə etməlisiniz:
İstifadəçiyə icazə verin [email protected]
Həm də köhnəlmiş və daha az təhlükəsiz SSH1 protokolunun istifadəsini söndürün, protokolun yalnız ikinci versiyasına icazə verin, bunun üçün aşağıdakı sətri forma dəyişdirin:
Protokol 2
Görülən bütün tədbirlərə baxmayaraq, parolun təxmin edilməsinin qarşısını almaq üçün SSH və digər ictimai xidmətlərə qoşulmaq cəhdləri hələ də olacaq; fail2ban, bu, bir neçə uğursuz giriş cəhdindən sonra istifadəçini avtomatik olaraq qadağan etməyə imkan verir. Bunu əmrlə quraşdıra bilərsiniz:
Sudo apt-get install fail2ban
Bu yardım proqramı quraşdırıldıqdan dərhal sonra işləməyə hazırdır, lakin bunu etmək üçün dərhal bəzi parametrləri dəyişdirməyi, fayla dəyişiklik etməyi məsləhət görürük; /etc/fail2ban/jail.conf. Varsayılan olaraq, yalnız SSH-ə giriş idarə olunur və qadağa müddəti 10 dəqiqədir (600 saniyə), fikrimizcə, aşağıdakı seçimi dəyişdirərək onu artırmağa dəyər:
Bantime = 6000
Sonra faylı vərəqləyin və müvafiq bölmənin adından sonra parametr qoyaraq sisteminizdə işləyən xidmətlər üçün bölmələri aktivləşdirin. aktivləşdirilib bir vəziyyətdə doğru məsələn, xidmət üçün proftpd belə görünəcək:
aktiv = doğrudur
Başqa bir vacib parametr maxretry, qoşulma cəhdlərinin maksimum sayından məsul olan. Parametrləri dəyişdikdən sonra xidməti yenidən başlatmağı unutmayın:
Sudo /etc/init.d/fail2ban yenidən başladın
Utility jurnalına burada baxa bilərsiniz /var/log/fail2ban.log.
2015-ci ildə keçirilən illik LinuxCon konfransında GNU/Linux nüvəsinin yaradıcısı Linus Torvalds sistem təhlükəsizliyi ilə bağlı fikirlərini bölüşüb. O, müəyyən səhvlərin təsirini səlahiyyətli mühafizə ilə yumşaltmağın vacibliyini vurğuladı ki, bir komponent nasaz olarsa, növbəti təbəqə problemi əhatə etsin.
Bu materialda bu mövzunu praktiki baxımdan əhatə etməyə çalışacağıq:
7. Firewallları quraşdırın
Bu yaxınlarda Linux ilə işləyən serverlərə DDoS hücumlarına imkan verən yeni boşluq yaranıb. Sistem nüvəsində bir səhv 2012-ci ilin sonunda 3.6 versiyası ilə ortaya çıxdı. Zəiflik hakerlərə yüklənmiş fayllara, veb-səhifələrə və açıq Tor bağlantılarına virus yeritməyə imkan verir və sındırma çox səy tələb etmir - İP saxtakarlığı metodu işləyəcək.Şifrələnmiş HTTPS və ya SSH bağlantıları üçün maksimum zərər əlaqənin kəsilməsidir, lakin təcavüzkar qorunmayan trafikə zərərli proqram da daxil olmaqla yeni məzmun daxil edə bilər. Bu cür hücumlardan qorunmaq üçün bir firewall uyğun gəlir.
Firewall istifadə edərək girişi bloklayın
Firewall, arzuolunmaz gələn trafikin qarşısını almaq üçün ən vacib vasitələrdən biridir. Biz yalnız həqiqətən zəruri olan trafikə icazə verməyi və digərlərini tamamilə bloklamağı tövsiyə edirik.
Paket filtrasiyası üçün əksər Linux paylamalarında iptables nəzarətçisi var. O, adətən qabaqcıl istifadəçilər tərəfindən istifadə olunur və sadələşdirilmiş quraşdırma üçün siz Debian/Ubuntu-da və ya Fedora-da FirewallD-də UFW yardım proqramlarından istifadə edə bilərsiniz.
8. Lazımsız xidmətləri söndürün
Virciniya Universitetinin mütəxəssisləri istifadə etmədiyiniz bütün xidmətləri söndürməyi tövsiyə edir. Bəzi fon prosesləri avtomatik işə salınacaq və sistem bağlanana qədər işləyəcək. Bu proqramları konfiqurasiya etmək üçün başlatma skriptlərini yoxlamaq lazımdır. Xidmətlər inetd və ya xinetd vasitəsilə başlana bilər.Sisteminiz inetd vasitəsilə konfiqurasiya edilibsə, o zaman /etc/inetd.conf faylında xidmətin yüklənməsini söndürmək üçün arxa planda olan “daemon” proqramlarının siyahısını redaktə edə bilərsiniz, sadəcə olaraq xəttin əvvəlinə “#” işarəsi qoyun; onu icra edilə biləndən şərhə çevirmək.
Sistem xinetd istifadə edirsə, onda onun konfiqurasiyası /etc/xinetd.d kataloqunda olacaq. Hər bir kataloq faylı bu misalda olduğu kimi disable = yes işarəsi ilə deaktiv edilə bilən xidməti müəyyən edir:
Xidmət barmağı ( socket_type = axın gözləyin = istifadəçi yoxdur = heç kim server = /usr/sbin/in.fingerd disable = bəli )
Həmçinin inetd və ya xinetd tərəfindən idarə olunmayan davamlı prosesləri yoxlamağa dəyər. Siz /etc/init.d və ya /etc/inittab qovluqlarında başlanğıc skriptlərini konfiqurasiya edə bilərsiniz. Dəyişikliklər edildikdən sonra, kök hesabın altındakı əmri işə salın.
/etc/rc.d/init.d/inet yenidən başladın
9. Serveri fiziki olaraq qoruyun
Serverə fiziki girişi olan təcavüzkarın hücumlarından tam qorunmaq mümkün deyil. Buna görə də, sisteminizin yerləşdiyi otağın təhlükəsizliyini təmin etmək lazımdır. Məlumat mərkəzləri təhlükəsizliyi ciddi şəkildə izləyir, serverlərə girişi məhdudlaşdırır, təhlükəsizlik kameraları quraşdırır və daimi təhlükəsizlik təyin edir.Məlumat mərkəzinə daxil olmaq üçün bütün ziyarətçilər müəyyən autentifikasiya addımlarından keçməlidirlər. Həmçinin mərkəzin bütün sahələrində hərəkət sensorlarından istifadə etmək tövsiyə olunur.
10. Serveri icazəsiz girişdən qoruyun
İcazəsiz giriş sistemi və ya IDS sistem konfiqurasiyası və fayl məlumatlarını toplayır və bu məlumatların sistem üçün zərərli olub-olmadığını müəyyən etmək üçün yeni dəyişikliklərlə müqayisə edir.Məsələn, Tripwire və Aide alətləri sistem fayllarının məlumat bazasını toplayır və onları bir sıra düymələrdən istifadə edərək qoruyur. Psad firewall hesabatlarından istifadə edərək şübhəli fəaliyyətə nəzarət etmək üçün istifadə olunur.
Bro şəbəkəyə nəzarət etmək, şübhəli fəaliyyət nümunələrini izləmək, statistika toplamaq, sistem əmrlərini yerinə yetirmək və xəbərdarlıqlar yaratmaq üçün nəzərdə tutulub. RKHunter viruslardan, əksər hallarda rootkitlərdən qorunmaq üçün istifadə edilə bilər. Bu yardım proqramı sisteminizi məlum zəifliklərin verilənlər bazası ilə yoxlayır və tətbiqlərdə təhlükəli parametrləri müəyyən edə bilər.
Nəticə
Yuxarıda sadalanan alətlər və parametrlər sistemi qismən qorumağa kömək edəcək, lakin təhlükəsizlik davranışınızdan və vəziyyəti başa düşməyinizdən asılıdır. Diqqət, ehtiyatlılıq və daimi öz-özünə təhsil olmadan bütün qoruyucu tədbirlər nəticə verməyə bilər.cvedetails.com saytının məlumatına görə, 1999-cu ildən bəri Linux nüvəsində 1305 boşluq aşkar edilib ki, onlardan 68-i 2015-ci ildə aşkar edilib. Onların əksəriyyəti heç bir xüsusi problem yaratmır, onlar Yerli və Aşağı kimi qeyd olunur və bəziləri yalnız müəyyən proqramlara və ya OS parametrlərinə qoşulduqda çağırıla bilər. Prinsipcə, rəqəmlər kiçikdir, lakin nüvə bütün OS deyil. Zəifliklərə həmçinin GNU Coreutils, Binutils, glibs və əlbəttə ki, istifadəçi proqramlarında rast gəlinir. Ən maraqlılarına baxaq.
LİNux LƏDƏSİNDƏ ZƏFƏLLƏR
ƏS: Linux
Səviyyə: Orta, Aşağı
Vektor: Uzaqdan
CVE: CVE-2015-3331, CVE-2015-4001, CVE-2015-4002, CVE-2015-4003
İstismar edin: konsepsiya, https://lkml.org/lkml/2015/5/13/740, https://lkml.org/lkml/2015/5/13/744
Arx/x86/crypto/aesni-intel_glue.c-də __driver_rfc4106_decrypt funksiyasında iyun ayında Linux nüvəsində 3.19.3-dən əvvəl aşkar edilmiş boşluq AES təlimat dəstinin genişləndirilməsi AES-NI (təqdim edilir) dəstəkləyən x86 prosessorları üçün RFC4106 tətbiqi ilə əlaqədardır. Intel, Intel Advanced Encryption Standard Instructions) bəzi hallarda bufer ünvanlarını düzgün hesablamır. IPsec tuneli bu rejimi istifadə etmək üçün konfiqurasiya edilibsə (AES alqoritmi - CONFIG_CRYPTO_AES_NI_INTEL), zəiflik yaddaşın pozulmasına, qəzalara və potensial olaraq uzaqdan CryptoAPI kodunun icrasına səbəb ola bilər. Üstəlik, ən maraqlısı odur ki, problem öz-özünə, tamamilə qanuni trafikdə, kənar müdaxilə olmadan yarana bilər. Nəşr zamanı məsələ öz həllini tapıb.
Eksperimental statusa malik Linux 4.0.5 ozwpan drayverində beş boşluq müəyyən edilib ki, onlardan dördü xüsusi hazırlanmış paketlər göndərməklə kerneli sındırmaqla DoS hücumunu təşkil etməyə imkan verir. Problem, imzalanmış tam ədədlərin düzgün işləməməsi səbəbindən bufer daşması ilə əlaqədardır, bu zaman memcpy-də tələb olunan_size və ofset arasındakı hesablama mənfi ədədi qaytardı, nəticədə məlumat yığına kopyalanır.
drivers/staging/ozwpan/ozhcd.c-də oz_hcd_get_desc_cnf funksiyasında və drivers/staging/ozwpan/ozusbsvc1.c faylının oz_usb_rx və oz_usb_handle_ep_data funksiyalarında tapılıb. Digər zəifliklər 0-a mümkün bölünmə, sistemin dövrələnməsi və ya ayrılmış buferin hüdudlarından kənar ərazilərdən oxumaq imkanı ilə bağlı idi.
Linux-a yeni əlavə olan ozwpan sürücüsü mövcud Ozmo Devices (Wi-Fi Direct) uyğun simsiz cihazlarla birləşdirilə bilər. USB host nəzarətçisinin həyata keçirilməsini təmin edir, lakin hiylə odur ki, fiziki əlaqə əvəzinə periferik Wi-Fi vasitəsilə əlaqə qurur. Sürücü (ethertype) 0x892e tipli şəbəkə paketlərini qəbul edir, sonra onları təhlil edir və müxtəlif USB funksionallığına çevirir. Hələlik o, nadir hallarda istifadə olunur, ona görə də ozwpan.ko modulunu boşaltmaqla onu söndürmək olar.
LINUX UBUNTU
ƏS: Linux Ubuntu 12.04–15.04 (kernel 15 iyun 2015-ci ilə qədər)
Səviyyə: Tənqidi
Vektor: yerli
CVE: CVE-2015-1328
İstismar edin: https://www.exploit-db.com/exploits/37292/
OverlayFS fayl sistemindəki kritik zəiflik imtiyazsız istifadəçi tərəfindən OverlayFS bölmələrinin quraşdırılmasına imkan verən Ubuntu sistemlərində kök girişinə imkan verir. Zəiflikdən istifadə etmək üçün tələb olunan standart parametrlər Ubuntu 12.04–15.04-ün bütün filiallarında istifadə olunur. OverlayFS özü Linux nüvəsində nisbətən yaxınlarda meydana çıxdı - 3.18-rc2 (2014) ilə başlayaraq, UnionFS və AUFS-i əvəz edən SUSE inkişafıdır. OverlayFS sizə digər fayl sistemlərinin bir neçə hissəsini birləşdirən virtual çoxqatlı fayl sistemi yaratmağa imkan verir.
Fayl sistemi hər biri ayrı-ayrı qovluqlara əlavə olunan aşağı və yuxarı təbəqədən yaradılmışdır. Alt təbəqə yalnız Linux-da dəstəklənən istənilən fayl sistemlərinin, o cümlədən şəbəkə sistemlərinin qovluqlarını oxumaq üçün istifadə olunur. Üst təbəqə adətən yazıla bilir və fayllar təkrarlanırsa, alt qatdakı məlumatları ləğv edəcək. Canlı paylamalarda, konteyner virtuallaşdırma sistemlərində və bəzi masa üstü proqramlar üçün konteynerlərin işini təşkil etmək üçün tələb olunur. İstifadəçi ad boşluqları konteynerlərdə öz istifadəçi və qrup identifikatorlarınızı yaratmağa imkan verir. Zəiflik əsas fayl sisteminin kataloqunda yeni fayllar yaratarkən giriş hüquqlarının düzgün yoxlanılması nəticəsində yaranır.
Əgər nüvə CONFIG_USER_NS=y (istifadəçi ad sahəsini aktivləşdir) ilə qurulubsa və montaj zamanı FS_USERNS_MOUNT bayrağı göstərilibsə, OverlayFS kök əməliyyatlarına icazə verənlər də daxil olmaqla, normal istifadəçi tərəfindən başqa ad məkanında quraşdırıla bilər. Bu halda, belə ad boşluqlarında həyata keçirilən kök hüquqlarına malik fayllarla əməliyyatlar əsas fayl sistemi ilə hərəkətlər edərkən eyni imtiyazları alır. Beləliklə, siz istənilən FS bölməsini quraşdıra və istənilən fayl və ya kataloqa baxa və ya dəyişdirə bilərsiniz.
Nəşr zamanı Ubuntu-dan sabit OverlayFS modulu ilə nüvə yeniləməsi artıq mövcud idi. Və sistem yenilənirsə, heç bir problem olmamalıdır. Eyni halda, yeniləmə mümkün olmadıqda, müvəqqəti tədbir olaraq, overlayfs.ko modulunu çıxararaq OverlayFS-dən istifadəni dayandırmalısınız.
ƏSAS TƏTBİQLƏRDƏ ZƏFƏLLƏR
ƏS: Linux
Səviyyə: Tənqidi
Vektor: yerli, uzaq
CVE: CVE-2015-0235
İstismar edin: https://www.qualys.com/research/security-advisories/exim_ghost_bof.rb
Linux ƏS-nin əsas hissəsi olan GNU glibc standart kitabxanasında və Oracle Communications Applications və Oracle Pillar Axiom-un bəzi versiyalarında Qualys hakerləri tərəfindən kod auditi zamanı aşkar edilmiş təhlükəli boşluq. GHOST kod adını aldı. Bu, __nss_hostname_digits_dots() funksiyası daxilində bufer daşmasıdır, ondan gethostbyname() və gethostbyname2() kimi glibc funksiyaları tərəfindən host adını (buna görə də GetHOST adı) əldə etmək üçün istifadə olunur. Zəiflikdən istifadə etmək üçün DNS vasitəsilə ad həllini həyata keçirən proqrama etibarsız host adı arqumentindən istifadə edərək bufer daşmasına səbəb olmalısınız. Yəni nəzəri cəhətdən bu zəiflik şəbəkədən bu və ya digər dərəcədə istifadə edən istənilən proqrama şamil edilə bilər. İxtiyari kodun icrasına imkan verən yerli və ya uzaqdan çağırıla bilər.
Ən maraqlısı odur ki, xəta 2013-cü ilin may ayında düzəldilib, glibc 2.17 və 2.18 buraxılışları arasında yamaq təqdim edilib, lakin problem təhlükəsizlik yaması kimi təsnif olunmayıb, ona görə də ona diqqət yetirilməyib. Nəticədə, bir çox paylamalar həssas oldu. İlkin olaraq ilk həssas versiyanın 10 noyabr 2000-ci il tarixli 2.2 olduğu bildirilmişdi, lakin onun 2.0-a qədər görünməsi ehtimalı var. Digərləri arasında RHEL/CentOS 5.x–7.x, Debian 7 və Ubuntu 12.04 LTS paylamaları təsirləndi. Düzəlişlər hazırda mövcuddur. Hakerlər özləri zəifliyin mahiyyətini izah edən və sisteminizi yoxlamağa imkan verən yardım proqramı təklif ediblər. Ubuntu 12.04.4 LTS-də hər şey yaxşıdır:
$ wget https: //goo.gl/RuunlE $gcc gistfile1. c - o CVE - 2015 - 0235 $. / CVE - 2015 - 0235 həssas deyil |
Sistemin GHOST-da yoxlanılması
Demək olar ki, dərhal, işləyən Exim poçt serveri (helo_try_verify_hosts və ya helo_verify_hosts parametri aktivləşdirilmiş) ilə x86 və x86_64 Linux-da uzaqdan kodun icrasına imkan verən modul buraxıldı. Daha sonra digər tətbiqlər, məsələn, WordPress-də bloqu yoxlamaq üçün Metasploit modulu ortaya çıxdı.
Bir az sonra, 2015-ci ildə GNU glibc-də uzaqdan istifadəçiyə DoS hücumu həyata keçirməyə və ya yığın hüdudlarından kənar yaddaş hüceyrələrinin üzərinə yazmağa imkan verən daha üç boşluq aşkar edildi: CVE-2015-1472, CVE-2015-1473, CVE-2015- 1781.
ƏS: Linux (GNU Coreutils)
Səviyyə: Aşağı
Vektor: Yerli, Uzaqdan
CVE: CVE-2014-9471
İstismar edin: Yox
GNU Coreutils, demək olar ki, bütün əsas yardım proqramları (cat, ls, rm, date...) daxil olmaqla, əsas *nix paketlərindən biridir. Problem tarixdə tapıldı. parse_datetime funksiyasındakı qüsur sistemdə hesabı olmayan uzaqdan hücumçuya xidmətdən imtinaya səbəb ola bilər və vaxt qurşağından istifadə edərək xüsusi hazırlanmış tarix sətri vasitəsilə ixtiyari kodu icra edə bilər. Zəiflik belə görünür:
$ toxunun ‘-- tarix = TZ = ”123”345”@1’ Seqmentasiya xətası $ tarix - d ‘TZ = ”Avropa / Moskva” “00 : 00 + 1 saat”’ Seqmentasiya xətası $ tarix '-- tarix = TZ = "123"345"@1' * * * “Tarixdə” xəta: pulsuz () : etibarsız göstərici : 0xbfc11414 * * * |
GNU Coreutils-də zəiflik
Heç bir boşluq yoxdursa, yanlış tarix formatı haqqında mesaj alacağıq. Demək olar ki, bütün Linux paylama tərtibatçıları zəifliyin olması barədə məlumat veriblər. Hazırda yeniləmə mövcuddur.
Yamaqlanmış GNU Coreutils-in normal çıxışı ƏS: Linux (grep 2.19–2.21)
Səviyyə: Aşağı
Vektor: yerli
CVE: CVE-2015-1345
İstismar edin: Yox
Naxışdan istifadə edərək mətni axtarmaq üçün istifadə edilən grep yardım proqramında zəifliklərə nadir hallarda rast gəlinir. Ancaq bu yardım proqramı tez-tez sistem proqramları da daxil olmaqla digər proqramlar tərəfindən çağırılır, buna görə zəifliklərin olması ilk baxışdan göründüyündən daha problemlidir. kwset.c-də bmexec_trans funksiyasındakı səhv ayrılmış buferdən kənar ərazidən başlamamış məlumatların oxunması və ya proqramın sıradan çıxmasına səbəb ola bilər. Haker grep -F-dən istifadə edərək proqram girişinə verilən xüsusi məlumat dəstini yaratmaqla bundan yararlana bilər. Hazırda yeniləmələr mövcuddur. Zəiflikdən və ya Metasploit üçün moduldan istifadə edən heç bir istismar yoxdur.
FREEBSD-DƏ SƏHİFLİK
ƏS: PulsuzBSD
Səviyyə: Aşağı
Vektor: Yerli, Uzaqdan
CVE: CVE-2014-0998, CVE-2014-8612, CVE-2014-8613
İstismar edin: https://www.exploit-db.com/exploits/35938/
2015-ci il üçün CVE verilənlər bazasında çoxlu boşluqlar yoxdur, daha dəqiq desək - cəmi altı. 2015-ci ilin yanvar ayının sonunda Core Exploit Writers Team-in tədqiqatçıları tərəfindən FreeBSD 8.4–10.x-də üç boşluq aşkar edildi. CVE-2014-0998 /boot/loader.conf-da kern.vty=vt parametri ilə aktivləşdirilmiş çoxsaylı virtual terminalları təmin edən VT konsol drayverinin (Newcons) tətbiqi ilə bağlıdır.
CVE-2014-8612 SCTP protokolundan istifadə edərkən baş verir və SCTP soketlərini (yerli port 4444) həyata keçirən SCTP axın identifikatoru doğrulama kodundakı xəta nəticəsində yaranır. Mahiyyət sctp_setopt() funksiyasında (sys/netinet/sctp_userreq.c) yaddaşdan kənar xətadır. Bu, yerli imtiyazsız istifadəçiyə 16 bit kernel yaddaş məlumatını yazmaq və ya oxumaq və sistemdə öz imtiyazlarını artırmaq, həssas məlumatları aşkar etmək və ya sistemi çökdürmək imkanı verir.
CVE-2014-8613, SCTP_SS_VALUE SCTP yuva seçimi təyin edildikdə, xaricdən qəbul edilmiş SCTP paketini emal edərkən NULL göstərici referensiyasının işə salınmasına imkan verir. Əvvəlki versiyalardan fərqli olaraq, CVE-2014-8613 xüsusi hazırlanmış paketlər göndərməklə uzaqdan nüvə qəzasına səbəb olmaq üçün istifadə edilə bilər. FreeBSD 10.1-də siz net.inet.sctp.reconfig_enable dəyişənini 0-a təyin etməklə özünüzü qoruya və bununla da RE_CONFIG bloklarının işlənməsini dayandıra bilərsiniz. Və ya sadəcə proqramların (brauzerlər, e-poçt müştəriləri və s.) SCTP bağlantılarından istifadəsini qadağan edin. Baxmayaraq ki, nəşr zamanı tərtibatçılar artıq bir yeniləmə buraxmışdılar.
FreeBSD Zəiflik Statistikası OPENSSL-DƏ ZƏFƏR
ƏS: OpenSSL
Səviyyə: Uzaqdan
Vektor: yerli
CVE: CVE-2015-1793
İstismar edin: Yox
2014-cü ildə SSL/TLS ilə işləmək üçün geniş istifadə olunan kriptoqrafik paket olan OpenSSL-də Heartbleed-in kritik zəifliyi aşkar edilmişdir. Hadisə bir vaxtlar kodun keyfiyyəti ilə bağlı kütləvi tənqidlərə səbəb oldu və bu, bir tərəfdən LibreSSL kimi alternativlərin ortaya çıxmasına səbəb oldu, digər tərəfdən isə tərtibatçıların özləri nəhayət işə başladılar.
Zəifliklərə görə ən yaxşı satıcılar Kritik boşluq Google-dan Adam Lenqli və BoringSSL-dən David Benjamin tərəfindən aşkar edilib. OpenSSL 1.0.1n və 1.0.2b versiyalarında edilən dəyişikliklər etibar zəncirinin qurulması üçün ilk cəhd uğursuz olarsa, OpenSSL-in alternativ sertifikat yoxlama zənciri tapmağa cəhd etməsinə səbəb oldu. Bu, sertifikatın yoxlanılması prosedurundan yan keçməyə və saxta sertifikatdan istifadə etməklə təsdiqlənmiş əlaqəni təşkil etməyə, başqa sözlə - istifadəçini sakitcə saxta saytlara və ya e-poçt serverinə cəlb etməyə və ya sertifikatın istifadə edildiyi hər hansı MITM hücumunu həyata keçirməyə imkan verir.
Boşluq aşkar edildikdən sonra tərtibatçılar iyulun 9-da bu problemi həll edən 1.0.1p və 1.0.2d relizlərini buraxdılar. 0.9.8 və ya 1.0.0 versiyalarında bu zəiflik yoxdur.
Linux.Encoder
Payızın sonu 2500-dən çox saytı yoluxduran bir sıra şifrələmə viruslarının, ilk olaraq Linux.Encoder.0, daha sonra Linux.Encoder.1 və Linux.Encoder.2 modifikasiyalarının yaranması ilə əlamətdar oldu. Antivirus şirkətlərinin məlumatına görə, müxtəlif CMS-lərdən - WordPress, Magento CMS, Joomla və başqalarından istifadə etməklə işləyən vebsaytları olan Linux və FreeBSD serverləri hücuma məruz qalır. Hakerlər naməlum boşluqdan istifadə edirlər. Sonra, qabıq skripti yerləşdirildi (fayl error.php), onun köməyi ilə hər hansı digər hərəkətlər yerinə yetirildi (brauzer vasitəsilə). Xüsusilə, Linux kodlayıcı Trojan işə salındı.
OS arxitekturasını təyin edən və ransomware proqramını işə salan kodlayıcı. Kodlayıcı veb server hüquqları ilə işə salınıb (Ubuntu - www-data), bu, CMS faylları və komponentlərinin saxlandığı qovluqdakı faylları şifrələmək üçün kifayətdir. Şifrələnmiş fayllar yeni uzantı alır.encrypted.
Ransomware həmçinin digər OS qovluqlarını keçməyə çalışır; əgər hüquqlar yanlış konfiqurasiya olunubsa, o, asanlıqla veb-saytın hüdudlarından kənara çıxa bilər. Sonra README_FOR_DECRYPT.txt faylı faylların şifrəsini açmaq üçün təlimatları və hakerin tələblərini ehtiva edən kataloqda saxlandı. Hazırda antivirus şirkətləri kataloqların şifrəsini açmağa imkan verən kommunal proqramlar təqdim ediblər. Məsələn, Bitdefender-dən bir dəst. Ancaq yadda saxlamalısınız ki, faylların şifrəsini açmaq üçün nəzərdə tutulmuş bütün kommunal proqramlar qabıq kodunu silmir və hər şey yenidən baş verə bilər.
Nəzərə alsaq ki, veb-saytın idarə edilməsi ilə məşğul olan və ya təcrübə aparan bir çox istifadəçi tez-tez ev kompüterində veb server quraşdırır, siz təhlükəsizlikdən narahat olmalısınız: kənardan girişi bloklayın, proqram təminatını yeniləyin, VM-də təcrübələr keçirin. Və ideyanın özü gələcəkdə ev sistemlərinə hücum etmək üçün istifadə edilə bilər.
NƏTİCƏ
Fiziki olaraq səhvləri olmayan mürəkkəb proqram təminatı mövcud deyil, buna görə də zəifliklərin daim aşkar ediləcəyi ilə barışmalısınız. Ancaq bunların hamısı həqiqətən problemli ola bilməz. Və sadə addımlar atmaqla özünüzü qoruya bilərsiniz: istifadə olunmamış proqram təminatını silin, yeni boşluqları izləyin və təhlükəsizlik yeniləmələrini quraşdırdığınızdan əmin olun, firewall konfiqurasiya edin, antivirus quraşdırın. SELinux kimi xüsusi texnologiyalar haqqında daemon və ya istifadəçi tətbiqini poza bilən texnologiyaları da unutma.
İdarəetmə alətlərinin quraşdırılması və konfiqurasiyası, şəbəkə konfiqurasiyası
Əsas əməliyyat sistemi ubuntu14.04-ü minimal paylamadan quraşdırdıqdan sonra narahat olmağımız lazım olan ilk şey onu necə rahat idarə etməkdir. Əsasən, ssh/telnet *nix əsaslı serverləri konfiqurasiya etmək və idarə etmək üçün istifadə olunur, lakin son vaxtlar bunun üçün veb interfeyslərə əsaslanan kifayət qədər uyğun alətlər də peyda olub. Pulsuz həllərdən istifadə edirəm Webmin Və Ajenti. Bu panellərin hər ikisi diqqətə layiqdir və hər şeyi fərdi şəkildə edə bilmələrinə baxmayaraq, hər biri bəzi şeylər üçün daha uyğundur, buna görə də hər ikisinə sahib olmaq daha yaxşıdır. Qeyd etməliyəm ki, döyüş istehsalı serverlərində təhlükəsizlik əsasında belə həllər quraşdırılmır. Yenə də nəzarət sistemləri nə qədər çox olarsa, onlarda zəiflik tapmaq ehtimalı bir o qədər çox olar. Buna görə də, təhlükəsizlik tələbləriniz "paranoid" səviyyəsindədirsə, sadəcə olaraq qəbul edin ki, serverlə yalnız ssh vasitəsilə (konsol vasitəsilə) işləməli olacaqsınız.
Ubuntu 14.04-də şəbəkənin qurulması
Şəbəkə üzərindən serverimizlə əlaqə saxlamaq üçün əvvəlcə onu konfiqurasiya etməlisiniz. Varsayılan olaraq, quraşdırma zamanı şəbəkə avtomatik olaraq konfiqurasiya edilmişdir və quraşdırıcı şəbəkədə bir DHCP serveri aşkar edərsə, çox güman ki, hər şeyi lazım olduğu kimi konfiqurasiya etmişdir. Şəbəkədə DHCP serveri yoxdursa, quraşdırıcı hələ də şəbəkə kartının qoşulduğu marşrutlaşdırıcının sorğusuna əsasən hər şeyi konfiqurasiya etdi. Şəbəkənin hazırda necə konfiqurasiya olunduğunu görmək üçün terminala yazın:
Burada nə görürük:
Bizim iki şəbəkə interfeysimiz var eth0 və lo, burada lo “geri dönmə interfeysi” və eth0 şəbəkə kartımızın adıdır və əgər lo dəyişməz şəbəkə interfeysidirsə, bütün digər interfeyslər adlarına görə fərqlənə bilər. Sistem blokunda iki şəbəkə kartı quraşdırılıbsa, onda onların interfeysləri çox güman ki, eth0 və eth1 və s. İnterfeys adının növü şəbəkə kartının növündən asılıdır, məsələn, əgər şəbəkə kartı WiFi protokolu ilə işləyirsə, çox güman ki, onun adı wlan0 olacaqdır.
Şəbəkəni konfiqurasiya etmək üçün aşağıdakı faylı redaktə edək:
sudo nano /etc/network/interfaces
Onu bu formaya gətirək:
iface eth0 inet statik
ünvan 192.168.0.184
şəbəkə maskası 255.255.255.0
şlüz 192.168.0.1
avtomatik et0
dns-ad serverləri 8.8.8.8 8.8.4.4
Harada: iface eth0 inet statik— interfeysin (iface eth0) statik ip (statik) ilə IPv4 (inet) ünvanları diapazonunda olduğunu göstərir;
ünvan 192.168.0.184— şəbəkə kartımızın IP ünvanının 192.168.0.184 olduğunu göstərir;
şəbəkə maskası 255.255.255.0— alt şəbəkə maskamızın (netmask) 255.255.255.0 olduğunu göstərir;
şlüz 192.168.0.1— standart şluz ünvanı 192.168.0.254;
avtomatik et0— sistem yuxarıda göstərilən parametrlərlə yükləndikdə eth0 interfeysinin avtomatik işə salınmalı olduğunu sistemə bildirir.
et0— qoşulacaq interfeysin adı. İnterfeyslərin siyahısına ifconfig yazmaqla baxmaq olar
dns-ad serverləri— DNS serverləri boşluqla ayrılaraq yazılır.
Mənim vəziyyətimdə gördüyünüz kimi, mən statik ip 192.168.0.184 təyin etmək qərarına gəldim.
əmri ilə serveri yenidən başladın
Şəbəkədən serverimizə ping göndəririk və onun göründüyünə əmin oluruq. İndi bunu etmək üçün SSH vasitəsilə onunla əlaqə qurmağın vaxtı gəldi, biz əslində ssh serverini quraşdıracağıq:
sudo apt-get quraşdırma ssh
İndi siz macun proqramı vasitəsilə ssh vasitəsilə serverimizə qoşula bilərsiniz, məsələn, indi əmrləri əl ilə deyil, lazım olan sətirləri ssh müştərisinə kopyalayıb yapışdırmaqla daxil edə bilərsiniz, çünki gələcəkdə bu, quraşdırmanı təəccüblü dərəcədə asanlaşdıracaq. , tezliklə özünüz görəcəksiniz:
BU SƏTİRDƏN AŞAĞIDAKİ BÜTÜN ƏMƏRLƏR SUPERİSTİFADƏÇİ KİMİ DAXİL OLUNUR, və super istifadəçi rejiminə daxil olmaq üçün aşağıdakıları yazmalısınız:
Webmin quraşdırılır
echo "deb https://download.webmin.com/download/repository sarge contrib" >> /etc/apt/sources.list echo "deb https://webmin.mirror.somersettechsolutions.co.uk/repository sarge töhfə" >> /etc/apt/sources.list wget https://www.webmin.com/jcameron-key.asc apt-key əlavə et jcameron-key.asc apt-get update apt-get install -y webmin
əks-səda "deb https://download.webmin.com/download/repository sarge töhfə">> əks-səda "deb https://webmin.mirror.somersettechsolutions.co.uk/repository sarge töhfə">> /etc/apt/sources. siyahı wget https: //www.webmin.com/jcameron-key.asc apt - açar əlavə jcameron - açar. asc apt - yeniləmə əldə edin apt - quraşdırın - y webmin |
Hamısı! 6 ardıcıl daxil edilmiş əmrlər və webmin quraşdırılıb konfiqurasiya edilir. İndi brauzerinizə daxil ola bilərsiniz:
https://192.168.0.184:10000
Varsayılan olaraq, webmin minimalist görünür, standart interfeys ingilis dilində göstərilir, lakin hər şey fərdiləşdirilə bilər!
Bunu belə edirik:
Belə çıxır:
