LXF105:Спецрепортаж

Цель: Linux

Linux – заманчивый объект атаки для хакеров со всего света. Здесь рассказано, как опередить их на шаг...

Cознайтесь: вы уверены в полной безопасности вашей Linux-машины, правда? Большинство пользователей Windows запускают программы-брандмауэры, заставляют антивирусы работать в режиме 24/7, ставят антишпионские программы, антиспам и анти-все-подряд. Но после перехода на Linux что-то меняется: они, кажется, вообще перестают об этом заботиться.

Причина тут, видимо, в репутации Linux как операционной системы типа «поставил и забыл» – установив его, можно расслабиться. Также, видимо, людям не верится, что Linux находится под прицелом, из-за его малого, по сравнению с Windows, присутствия на рынке настольных систем. Но вот беда: ни то, ни другое вовсе не правда. Дерзнем сказать большее: машины с Linux даже привлекательнее для атаки, чем Windows-компьютеры. Они реже перезагружаются, внедренный руткит обнаружить сложнее, наличие антивирусных программ – редкость, а установленные приложения частенько стары и имеют незакрытые дыры.

Видите ли, одно из главных преимуществ Linux – регулярный и частый выход новых дистрибутивов – оборачивается и его главным недостатком: многие пользователи отнюдь не рвутся обновлять свою ОС дважды в год, и в итоге работают на таких одрах, чинить которые все давно уже бросили. Того хуже, многие из нас компилируют и запускают собственные приложения, автоматически перекладывая ответственность за создание заплаток с плеч авторов дистрибутива на свои. Алекс Рыбак [Alex Rybak], ведущий инженер по техническим решениям из open-source экспертизы уязвимостей Palamida, утверждает: «Открытое приложение всегда будет исправлено быстрее, но без коммерческой поддержки это исправление не всегда достигает пользователей. А если открытое приложение основано на другом открытом приложении, вы еще и зависите от получения исправлений другими».

Впрочем, не будем забегать вперед. На следующих восьми страницах мы расскажем вам о возможных уязвимостях вашей системы, а также посоветуем, как уберечь вашу Linux-машину от опасностей. Но сначала надо убедиться, что у вас все в порядке с основами.

Пароли

Мы уже говорили это много раз, и другие скажут вам то же самое: надежные пароли – это Очень-Очень Важно. Но удивительно, как много людей считают, что обычное слово или слово плюс пара цифр будет хорошим паролем.Чтобы прояснить ситуацию, вырежьте и повесьте на видное место следующий путеводитель по правильным паролям:

• Метамодернизм в позднем творчестве В.Г. Сорокина
• ЛитРПГ - последняя отрыжка постмодерна
• "Ричард III и семиотика"
• 3D-визуализация обложки Ridero создаем обложку книги при работе над самиздатом.
• Архитектура метамодерна - говоря о современном искусстве, невозможно не поговорить об архитектуре. В данной статье будет отмечено несколько интересных принципов, характерных для построек "новой волны", столь притягательных и скандальных.
• Литература
• Метамодерн
• Рокер-Прометей против изначального зла в «Песне про советскую милицию» Вени Дркина, Автор: Нина Ищенко, к.ф.н, член Союза Писателей ЛНР - перепубликация из журнала "Топос".
• Как избавиться от комаров? Лучшие типы ловушек.
• Что делать если роблокс вылетает на windows
• Что делать, если ребенок смотрит порно?
• Почему собака прыгает на людей при встрече?
• Какое масло лить в Задний дифференциал (мост) Visco diff 38434AA050
• О чем может рассказать хвост вашей кошки?
• Верветки
• Отчетность бюджетных учреждений при закупках по Закону № 223-ФЗ
• Срок исковой давности как правильно рассчитать
• Дмитрий Патрушев минсельхоз будет ли преемником Путина
• Кто такой Владислав Поздняков? Что такое "Мужское Государство" и почему его признали экстремистским в России?
• Как правильно выбрать машинное масло в Димитровграде?
• Как стать богатым и знаменитым в России?
• Почему фильм "Пипец" (Kick-Ass) стал популярен по всему миру?
• Как стать мудрецом?
• Как правильно установить FreeBSD
• Как стать таким как Путин?
• Где лучше жить - в Димитровграде или в Ульяновске?
• Почему город Димитровград так называется?
• Что такое метамодерн?
• ВАЖНО! Временное ограничение движения автотранспортных средств в Димитровграде
• Тарифы на электроэнергию для майнеров предложено повысить

Пояснения:

1. Взломщики паролей прекрасно знакомы с методом замены букв похожими цифрами – и «password», и «passw0rd» проверяются первым делом и мигом обнаруживаются.
2. Добавление спецсимволов и заглавных букв очень помогает.
3. Однако букв, специфических для вашей страны, вроде £, может не найтись на клавиатуре, если вы поедете за границу.
4. Использование первых букв слов какой-нибудь фразы может дать вам сильный сложно подбираемый пароль. Например, ‘slat4atf!‘ происходит от названия книги Дугласа Адамса [Douglas Adams]. Аналогично, «CEsiAFOD» означает «Clint Eastwood stars in A Fistful of Dollars [Клинт Иствуд в фильме За пригоршню долларов]» – отсюда и знаки доллара по бокам.
5. Лучше всего, конечно, использовать полностью случайный пароль, но если он и вправду случайный, да еще и длинный, то его a) трудно запомнить и b) трудно набрать. Если вы – главный сисадмин в банке, отвечающий за особо важную сеть, вам нужен очень сильный пароль root’а. Если нет – неумеренные сложности будут лишней морокой.

Защищая вашу систему, Linux много чего делает за сценой, и очень часто атаки захлебываются, не дав вам сообразить, что они имели место: например, широко используется технология Exec Shield, пресекающая переполнение буфера, которое раньше было одним из наискорейших способов вызвать сбой или получить удаленный контроль над программами. Прорыв через Exec Shield упрется в следующую линию обороны – SELinux. Она включена по умолчанию в большинстве дистрибутивов и следит, чтобы определенные приложения, например, Apache, имели не больше привилегий, чем нужно для их работы, и даже под контролем взломщика могли бы причинить лишь ограниченный ущерб. Умелые Exec Shield и SELinux повышают безопасность без всяких усилий с вашей стороны. Отсюда вывод: не отключайте SELinux!

Опасности Sudo

С точки зрения пользователя, приложения sudo следует остерегаться. Вначале оно было разработано, чтобы системный администратор мог разрешить некоторым пользователям запускать задачи c привилегиями root’а, и вести журнал их действий. Но в некоторых дистрибутивах, например, Ubuntu, sudo стало стандартным способом выполнять задачи администратора, а значит, ваш обычный пароль пользователя не хуже пароля root’а. Раньше совет «сделайте свой пароль трудным для угадывания, а пароль root – очень трудным» считался хорошим, но раз sudo дозволяет пользователю почти столько же, сколько root’у, пренебрежение своим паролем неуместно.

Мнение эксперта. Марк Браун

Многие говорят мне, что у меня работа-мечта – мне платят за взломы клиентов. Так и есть, а еще – за идеи, как другие могут взломать наших клиентов. Увы, моя работа не содержит эпизодов по типу фильма «Меч-рыба», зато мне попадаются очень милые взломы, и многие из них нацелены на «безопасные» Linux-системы.

Происшествия вроде тех, что мы наблюдаем каждый день, вряд ли годятся как сюжет для кино: чаще всего это результат игнорирования простейших принципов безопасности. Нельзя сказать, что мы не видим ничего интересного: например, я однажды получил полный контроль над сетью клиента через устройство чтения карт – дверных ключей, привинченное ко внешней стене на автостоянке, которое оказалось сетевым, да еще и входящим в корпоративную сети.

Клиенты часто спрашивают нас, не следует ли им использовать Linux «из-за его более высокой безопасности». Правда в том, что большинство инцидентов безопасности, которые я повидал, могли бы случиться и на Windows-машине. Все сводится к слабым местам любых систем – процессам поддержки и настройки.

Держите сети в безопасности!

Неважно, насколько защищенными вы считаете свои серверы: слабость всего одной машины в вашей сети может ввергнуть вас в бездну неприятностей.