Безопасность

Безопасность

Сообщение Olej » 01 янв 2017, 21:56

С одной стороны, юзеры из вчерашних вынь-даунов задолбали вопросами: "А как бороться с вирусами в Linux?".
И получающие справедливый ответ: "Да нет в Linux вирусов".

Но, с другой стороны, хоть и нет вирусов ... но есть определённое число руткитов ... и других неприятностей, которые можно ожидать со стороны недоброжелателей.

Для того, чтобы не распылять упоминание различных потенциальных угроз + способов их нейтрализации по разным темам (а потом их не найдёшь), решил я собирать в одной теме ссылки, публикации и цитаты, которые показались мне актуальными (потому что 95% публикаций на эту тему - спекуляции).

Считаем, что физического доступа к компьютеру (локальной сети) злоумышленник в 99% случаях не имеет. Поэтому и тему эту я открыл в сетевом разделе форума. Но и вопросы безопасности при прямом физическом доступе к компьютеру (если возникнет что интересное) не будем чваниться :) и не оставим в стороне.

И последнее ... во введении :D : всё это касается вопросов безопасности Linux систем.
А вынь-дауны?
А вынь-дауны пусть решают свои скорбные проблемы сами.
Olej
 
Стаж: 48 лет 8 месяцев 23 дня

Безопасность

Спонсор

Спонсор
 

Re: Безопасность

Сообщение Olej » 01 янв 2017, 22:01

Евгений Зобнин, Гайд по обеспечению безопасности Linux-системы
Цитата:
02.10.2014
Может быть, я и раздолбай, но я твердо уверен, что подобные казусы случались со многими, кто читает эти строки.

Не всё в этом руководстве мне показалось актуальным и значимым, но кой-какие вещи интересны:

Генерация паролей:
Код: выделить все
[olej@dell draft-temp]$ openssl rand -base64 6
e6u2P3bw
[olej@dell draft-temp]$ openssl rand -base64 8
aKROQhEBaHw=

Код: выделить все
[olej@dell draft-temp]$ dnf list pwgen
Последняя проверка окончания срока действия метаданных: 6 days, 21:52:07 назад, Sat Dec 24 17:13:48 2016.
Доступные пакеты
pwgen.x86_64                                                        2.07-2.fc23                                                         fedora

[olej@dell draft-temp]$ sudo dnf install pwgen
[sudo] пароль для olej:
Последняя проверка окончания срока действия метаданных: 1:22:08 назад, Sat Dec 31 13:45:12 2016.
Зависимости разрешены.
==============================================================================================================================================
 Package                        Архитектура                     Версия                                  Репозиторий                     Размер
==============================================================================================================================================
Установка:
 pwgen                          x86_64                          2.07-2.fc23                             fedora                           29 k

Результат операции
==============================================================================================================================================
Установка  1 Пакет

Объем загрузки: 29 k
Объем изменений: 41 k
Продолжить? [д/Н]: y
Загрузка пакетов:
pwgen-2.07-2.fc23.x86_64.rpm                                                                                  223 kB/s |  29 kB     00:00   
----------------------------------------------------------------------------------------------------------------------------------------------
Общий размер                                                                                                   17 kB/s |  29 kB     00:01     
Проверка транзакции
Проверка транзакции успешно завершена.
Идет проверка транзакции
Тест транзакции проведен успешно
Выполнение транзакции
  Установка    : pwgen-2.07-2.fc23.x86_64                                                                                                 1/1
  Проверка     : pwgen-2.07-2.fc23.x86_64                                                                                                 1/1

Установлено:
  pwgen.x86_64 2.07-2.fc23                                                                                                                   

Выполнено!

Код: выделить все
[olej@dell draft-temp]$ pwgen
laecha1A phi4Baom aK5ielim oNeeh8lo EikaiS1b iexa9oHu heed3uGh ahyaip3A
Af9ooche zu5eiy5T eH9Aequa bol0Eiqu iceeP4Ch een2iePh Fohgh5du oa1aiMuu
OoGho0pi leiLae9s ENoomu8L Ziof2mee uh2naeW2 oej2Gahc ACha4ieB Ohc6iquu
zaPhe2op iH5ahxoa Lie3eghe pieX2Iez Ohqu5eiv oMaf8ief Ohl2Quu0 huZ2Tai7
yie9yoaJ Pie2IShi Eh9mee8u Id2ga3ah Xai6Ohde oj3Waifi Aepoh2ee eeJ6xeto
ahT4ahx7 ahk7oChu ephohM2i Cuico1va saoth3Oh ipho2Ien Ieze8ouJ Amieha4f
eikooW4U reiX9voo ie8aeChu ahziCee9 Neshoh0e eedohp9N beeR0hee Ohjeech0
EeghieB7 Eeboh2so saZ4eiso Ahl2IGha Ey7Uphi2 Eech3nah oo1Xiema kie9aiW7
AhfeoC9a UYai2Oot tha7Ael1 Ohrox3em ohf7Otha AeBah5os yienahL1 Ju6quaiX
Moo7Ohng iejaeV5I Aigoh0AN Aih2mowi ze7chooJ Ci6axooy lahGoo5I Rui6Puse
Xieyaa9y eeh1Oox1 jiesh7Us aexao6Ie dee0yeSu ixuQu6Ik Chooc1oo aefi7Roo
amied7uH fohRief9 ohGhah2e Chai5ook ab8Eekai neiZau7J aj3aB8go taeC0hae
Neix7ahz aiP9vahl eCh0aith ji4EiCha yah0aiK3 Eez2Eiti Too6iciu Helaugh3
thu7Epe7 Oogh7AeJ eecahK5o La9phoht lu9sePhi Thol6ooS Eepho1Du Woht3Foo
aWahf0za Phie6Quo phi7Fae3 ohTh9Och Eich2Eek zie1Yee5 aij1eiR8 airoo1Qu
eeF3ieXi iowoo6eM Kieph2An eiT7yiur shieTh2w miaqu3Ub iedooS0w Ahsik2th
Iem1yi9h AeBei8su aaGh7Goh aib1eiJo Zicai2sa ahzaiT5o eephiu8E Eibie3uv
Hai9lai1 Ithoowu3 lamiiY2p zahz5aeZ uow9Eet0 EiT5uu0j Iebaish0 Ep1fahsi
eeX3Ieba vax8ieSa toh7Ail3 ohrohM4v phahY4yu pooyae5A teiTh7ne the4Sie7
uMej6sha ceiTh8qu xaig7Ra5 ainge4Ma oit6aiL9 aPh3ee4u ahfo9suW Iezae4va

Код: выделить все
[olej@dell draft-temp]$ pwgen -Bs 10 1
Ta5JAMcQwX
Olej
 
Стаж: 48 лет 8 месяцев 23 дня

Re: Безопасность

Сообщение Olej » 01 янв 2017, 22:03


Цитата:
Кто-то наследил…
Кто-то особенно умный смог обойти наш брандмауэр, пройти мимо Snort, получить права root в системе и теперь ходит в систему регулярно, используя установленный бэкдор. Нехорошо, бэкдор надо найти, удалить, а систему обновить. Для поиска руткитов и бэкдоров используем rkhunter:
Код: выделить все
$ sudo apt-get install rkhunter

Запускаем:
Код: выделить все
$ sudo rkhunter -c --sk

Софтина проверит всю систему на наличие руткитов и выведет на экран результаты. Если зловред все-таки найдется, rkhunter укажет на место и его можно будет затереть.

Код: выделить все
[olej@dell ~]$ dnf list rkhunter
Последняя проверка окончания срока действия метаданных: 1 day, 3:59:49 назад, Sat Dec 31 16:28:58 2016.
Доступные пакеты
rkhunter.noarch                                                  1.4.2-11.fc23                                                  updates

[olej@dell ~]$ sudo dnf install rkhunter
[sudo] пароль для olej:
Последняя проверка окончания срока действия метаданных: 0:22:25 назад, Sun Jan  1 20:11:17 2017.
Зависимости разрешены.
=======================================================================================================================================
 Package                        Архитектура                  Версия                                Репозиторий                   Размер
=======================================================================================================================================
Установка:
 rkhunter                       noarch                       1.4.2-11.fc23                         updates                       201 k

Результат операции
=======================================================================================================================================
Установка  1 Пакет

Объем загрузки: 201 k
Объем изменений: 794 k
Продолжить? [д/Н]: y
Загрузка пакетов:
rkhunter-1.4.2-11.fc23.noarch.rpm                                                                      838 kB/s | 201 kB     00:00   
---------------------------------------------------------------------------------------------------------------------------------------
Общий размер                                                                                           124 kB/s | 201 kB     00:01     
Проверка транзакции
Проверка транзакции успешно завершена.
Идет проверка транзакции
Тест транзакции проведен успешно
Выполнение транзакции
  Установка    : rkhunter-1.4.2-11.fc23.noarch                                                                                     1/1
  Проверка     : rkhunter-1.4.2-11.fc23.noarch                                                                                     1/1

Установлено:
  rkhunter.noarch 1.4.2-11.fc23                                                                                                       

Выполнено!
Olej
 
Стаж: 48 лет 8 месяцев 23 дня

Re: Безопасность

Сообщение Olej » 01 янв 2017, 22:05

Код: выделить все
[olej@dell ~]$ time sudo rkhunter -c --sk
[ Rootkit Hunter version 1.4.2 ]

Checking system commands...

  Performing 'strings' command checks
    Checking 'strings' command                               [ OK ]

  Performing 'shared libraries' checks
    Checking for preloading variables                        [ None found ]
    Checking for preloaded libraries                         [ None found ]
    Checking LD_LIBRARY_PATH variable                        [ Not found ]

  Performing file properties checks
    Checking for prerequisites                               [ Warning ]
    /usr/sbin/adduser                                        [ OK ]
    /usr/sbin/chkconfig                                      [ OK ]
    /usr/sbin/chroot                                         [ OK ]
    /usr/sbin/depmod                                         [ OK ]
    /usr/sbin/fsck                                           [ OK ]
    /usr/sbin/fuser                                          [ OK ]
    /usr/sbin/groupadd                                       [ OK ]
    /usr/sbin/groupdel                                       [ OK ]
    /usr/sbin/groupmod                                       [ OK ]
    /usr/sbin/grpck                                          [ OK ]
    /usr/sbin/ifconfig                                       [ OK ]
    /usr/sbin/ifdown                                         [ Warning ]
    /usr/sbin/ifup                                           [ Warning ]
    /usr/sbin/init                                           [ OK ]
    /usr/sbin/insmod                                         [ OK ]
    /usr/sbin/ip                                             [ OK ]
    /usr/sbin/lsmod                                          [ OK ]
    /usr/sbin/lsof                                           [ OK ]
    /usr/sbin/modinfo                                        [ OK ]
    /usr/sbin/modprobe                                       [ OK ]
    /usr/sbin/nologin                                        [ OK ]
    /usr/sbin/pwck                                           [ OK ]
    /usr/sbin/rmmod                                          [ OK ]
    /usr/sbin/route                                          [ OK ]
    /usr/sbin/rsyslogd                                       [ OK ]
    /usr/sbin/runlevel                                       [ OK ]
    /usr/sbin/sestatus                                       [ OK ]
    /usr/sbin/sshd                                           [ OK ]
    /usr/sbin/sulogin                                        [ OK ]
    /usr/sbin/sysctl                                         [ OK ]
    /usr/sbin/tcpd                                           [ OK ]
    /usr/sbin/useradd                                        [ OK ]
    /usr/sbin/userdel                                        [ OK ]
    /usr/sbin/usermod                                        [ OK ]
    /usr/sbin/vipw                                           [ OK ]
    /usr/bin/awk                                             [ OK ]
    /usr/bin/basename                                        [ OK ]
    /usr/bin/bash                                            [ OK ]
    /usr/bin/cat                                             [ OK ]
    /usr/bin/chattr                                          [ OK ]
    /usr/bin/chmod                                           [ OK ]
    /usr/bin/chown                                           [ OK ]
    /usr/bin/cp                                              [ OK ]
    /usr/bin/curl                                            [ OK ]
    /usr/bin/cut                                             [ OK ]
    /usr/bin/date                                            [ OK ]
    /usr/bin/df                                              [ OK ]
    /usr/bin/diff                                            [ OK ]
    /usr/bin/dirname                                         [ OK ]
    /usr/bin/dmesg                                           [ OK ]
    /usr/bin/du                                              [ OK ]
    /usr/bin/echo                                            [ OK ]
    /usr/bin/ed                                              [ OK ]
    /usr/bin/egrep                                           [ Warning ]
    /usr/bin/env                                             [ OK ]
    /usr/bin/fgrep                                           [ Warning ]
    /usr/bin/file                                            [ OK ]
    /usr/bin/find                                            [ OK ]
    /usr/bin/GET                                             [ OK ]
    /usr/bin/grep                                            [ OK ]
    /usr/bin/groups                                          [ OK ]
    /usr/bin/head                                            [ OK ]
    /usr/bin/id                                              [ OK ]
    /usr/bin/kill                                            [ OK ]
    /usr/bin/killall                                         [ OK ]
    /usr/bin/last                                            [ OK ]
    /usr/bin/lastlog                                         [ OK ]
    /usr/bin/ldd                                             [ OK ]
    /usr/bin/less                                            [ OK ]
    /usr/bin/locate                                          [ OK ]
    /usr/bin/logger                                          [ OK ]
    /usr/bin/login                                           [ OK ]
    /usr/bin/ls                                              [ OK ]
    /usr/bin/lsattr                                          [ OK ]
    /usr/bin/mail                                            [ OK ]
    /usr/bin/md5sum                                          [ OK ]
    /usr/bin/mktemp                                          [ OK ]
    /usr/bin/more                                            [ OK ]
    /usr/bin/mount                                           [ OK ]
    /usr/bin/mv                                              [ OK ]
    /usr/bin/netstat                                         [ OK ]
    /usr/bin/newgrp                                          [ OK ]
    /usr/bin/passwd                                          [ OK ]
    /usr/bin/perl                                            [ OK ]
    /usr/bin/pgrep                                           [ OK ]
    /usr/bin/ping                                            [ OK ]
    /usr/bin/pkill                                           [ OK ]
    /usr/bin/ps                                              [ OK ]
    /usr/bin/pstree                                          [ OK ]
    /usr/bin/pwd                                             [ OK ]
    /usr/bin/readlink                                        [ OK ]
    /usr/bin/rkhunter                                        [ OK ]
    /usr/bin/rpm                                             [ OK ]
    /usr/bin/runcon                                          [ OK ]
    /usr/bin/sed                                             [ OK ]
    /usr/bin/sh                                              [ OK ]
    /usr/bin/sha1sum                                         [ OK ]
    /usr/bin/sha224sum                                       [ OK ]
    /usr/bin/sha256sum                                       [ OK ]
    /usr/bin/sha384sum                                       [ OK ]
    /usr/bin/sha512sum                                       [ OK ]
    /usr/bin/size                                            [ OK ]
    /usr/bin/sort                                            [ OK ]
    /usr/bin/ssh                                             [ OK ]
    /usr/bin/stat                                            [ OK ]
    /usr/bin/strings                                         [ OK ]
    /usr/bin/su                                              [ OK ]
    /usr/bin/sudo                                            [ OK ]
    /usr/bin/tail                                            [ OK ]
    /usr/bin/telnet                                          [ OK ]
    /usr/bin/test                                            [ OK ]
    /usr/bin/top                                             [ OK ]
    /usr/bin/touch                                           [ OK ]
    /usr/bin/tr                                              [ OK ]
    /usr/bin/uname                                           [ OK ]
    /usr/bin/uniq                                            [ OK ]
    /usr/bin/users                                           [ OK ]
    /usr/bin/vmstat                                          [ OK ]
    /usr/bin/w                                               [ OK ]
    /usr/bin/watch                                           [ OK ]
    /usr/bin/wc                                              [ OK ]
    /usr/bin/wget                                            [ OK ]
    /usr/bin/whatis                                          [ OK ]
    /usr/bin/whereis                                         [ OK ]
    /usr/bin/which                                           [ OK ]
    /usr/bin/who                                             [ OK ]
    /usr/bin/whoami                                          [ OK ]
    /usr/bin/kmod                                            [ OK ]
    /usr/bin/systemctl                                       [ OK ]
    /usr/bin/gawk                                            [ OK ]
    /usr/bin/mailx                                           [ OK ]
    /usr/lib/systemd/systemd                                 [ OK ]

Checking for rootkits...

  Performing check of known rootkit files and directories
    55808 Trojan - Variant A                                 [ Not found ]
    ADM Worm                                                 [ Not found ]
    AjaKit Rootkit                                           [ Not found ]
    Adore Rootkit                                            [ Not found ]
    aPa Kit                                                  [ Not found ]
    Apache Worm                                              [ Not found ]
    Ambient (ark) Rootkit                                    [ Not found ]
    Balaur Rootkit                                           [ Not found ]
    BeastKit Rootkit                                         [ Not found ]
    beX2 Rootkit                                             [ Not found ]
    BOBKit Rootkit                                           [ Not found ]
    cb Rootkit                                               [ Not found ]
    CiNIK Worm (Slapper.B variant)                           [ Not found ]
    Danny-Boy's Abuse Kit                                    [ Not found ]
    Devil RootKit                                            [ Not found ]
    Dica-Kit Rootkit                                         [ Not found ]
    Dreams Rootkit                                           [ Not found ]
    Duarawkz Rootkit                                         [ Not found ]
    Enye LKM                                                 [ Not found ]
    Flea Linux Rootkit                                       [ Not found ]
    Fu Rootkit                                               [ Not found ]
    Fuck`it Rootkit                                          [ Not found ]
    GasKit Rootkit                                           [ Not found ]
    Heroin LKM                                               [ Not found ]
    HjC Kit                                                  [ Not found ]
    ignoKit Rootkit                                          [ Not found ]
    IntoXonia-NG Rootkit                                     [ Not found ]
    Irix Rootkit                                             [ Not found ]
    Jynx Rootkit                                             [ Not found ]
    KBeast Rootkit                                           [ Not found ]
    Kitko Rootkit                                            [ Not found ]
    Knark Rootkit                                            [ Not found ]
    ld-linuxv.so Rootkit                                     [ Not found ]
    Li0n Worm                                                [ Not found ]
    Lockit / LJK2 Rootkit                                    [ Not found ]
    Mood-NT Rootkit                                          [ Not found ]
    MRK Rootkit                                              [ Not found ]
    Ni0 Rootkit                                              [ Not found ]
    Ohhara Rootkit                                           [ Not found ]
    Optic Kit (Tux) Worm                                     [ Not found ]
    Oz Rootkit                                               [ Not found ]
    Phalanx Rootkit                                          [ Not found ]
    Phalanx2 Rootkit                                         [ Not found ]
    Phalanx2 Rootkit (extended tests)                        [ Not found ]
    Portacelo Rootkit                                        [ Not found ]
    R3dstorm Toolkit                                         [ Not found ]
    RH-Sharpe's Rootkit                                      [ Not found ]
    RSHA's Rootkit                                           [ Not found ]
    Scalper Worm                                             [ Not found ]
    Sebek LKM                                                [ Not found ]
    Shutdown Rootkit                                         [ Not found ]
    SHV4 Rootkit                                             [ Not found ]
    SHV5 Rootkit                                             [ Not found ]
    Sin Rootkit                                              [ Not found ]
    Slapper Worm                                             [ Not found ]
    Sneakin Rootkit                                          [ Not found ]
    'Spanish' Rootkit                                        [ Not found ]
    Suckit Rootkit                                           [ Not found ]
    Superkit Rootkit                                         [ Not found ]
    TBD (Telnet BackDoor)                                    [ Not found ]
    TeLeKiT Rootkit                                          [ Not found ]
    T0rn Rootkit                                             [ Not found ]
    trNkit Rootkit                                           [ Not found ]
    Trojanit Kit                                             [ Not found ]
    Tuxtendo Rootkit                                         [ Not found ]
    URK Rootkit                                              [ Not found ]
    Vampire Rootkit                                          [ Not found ]
    VcKit Rootkit                                            [ Not found ]
    Volc Rootkit                                             [ Not found ]
    Xzibit Rootkit                                           [ Not found ]
    zaRwT.KiT Rootkit                                        [ Not found ]
    ZK Rootkit                                               [ Not found ]

  Performing additional rootkit checks
    Suckit Rookit additional checks                          [ OK ]
    Checking for possible rootkit files and directories      [ None found ]
    Checking for possible rootkit strings                    [ None found ]

  Performing malware checks
    Checking running processes for suspicious files          [ None found ]
    Checking for hidden processes                            [ Skipped ]
    Checking for login backdoors                             [ None found ]
    Checking for suspicious directories                      [ None found ]
    Checking for sniffer log files                           [ None found ]
    Suspicious Shared Memory segments                        [ None found ]
    Checking for Apache backdoor                             [ Not found ]

  Performing Linux specific checks
    Checking loaded kernel modules                           [ OK ]
    Checking kernel module names                             [ OK ]

Checking the network...

  Performing checks on the network ports
    Checking for backdoor ports                              [ None found ]

  Performing checks on the network interfaces
    Checking for promiscuous interfaces                      [ None found ]

Checking the local host...

  Performing system boot checks
    Checking for local host name                             [ Found ]
    Checking for system startup files                        [ Found ]
    Checking system startup files for malware                [ None found ]

  Performing group and account checks
    Checking for passwd file                                 [ Found ]
    Checking for root equivalent (UID 0) accounts            [ None found ]
    Checking for passwordless accounts                       [ None found ]
    Checking for passwd file changes                         [ Warning ]
    Checking for group file changes                          [ Warning ]
    Checking root account shell history files                [ OK ]

  Performing system configuration file checks
    Checking for an SSH configuration file                   [ Found ]
    Checking if SSH root access is allowed                   [ Allowed ]
    Checking if SSH protocol v1 is allowed                   [ Not set ]
    Checking for a running system logging daemon             [ Found ]
    Checking for a system logging configuration file         [ Found ]
    Checking if syslog remote logging is allowed             [ Not allowed ]

  Performing filesystem checks
    Checking /dev for suspicious file types                  [ None found ]
    Checking for hidden files and directories                [ None found ]


System checks summary
=====================

File properties checks...
    Required commands check failed
    Files checked: 132
    Suspect files: 4

Rootkit checks...
    Rootkits checked : 384
    Possible rootkits: 0

Applications checks...
    All checks skipped

The system checks took: 1 minute and 34 seconds

All results have been written to the log file: /var/log/rkhunter/rkhunter.log

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter/rkhunter.log)


real   1m38.211s
user   0m37.310s
sys   1m23.876s

Обратите внимание на время выполнения.
Лог здесь:
Код: выделить все
[root@dell rkhunter]# tail /var/log/rkhunter/rkhunter.log
[20:37:22] Rootkit checks...
[20:37:22] Rootkits checked : 384
[20:37:22] Possible rootkits: 0
[20:37:22]
[20:37:22] Applications checks...
[20:37:22] All checks skipped
[20:37:22]
[20:37:22] The system checks took: 1 minute and 34 seconds
[20:37:22]
[20:37:22] Info: End date is Вс янв  1 20:37:22 EET 2017
Olej
 
Стаж: 48 лет 8 месяцев 23 дня

Re: Безопасность

Сообщение Olej » 01 янв 2017, 22:30


Там ещё есть ряд любопытных мелочей ... сами почитаете ;-)
Цитата:
Выводы
Вот и все. Не вдаваясь в детали и без необходимости изучения мануалов мы создали Linux-box, который защищен от вторжения извне, от руткитов и прочей заразы, от непосредственно вмешательства человека, от перехвата трафика и слежки. Остается лишь регулярно обновлять систему, запретить парольный вход по SSH, убрать лишние сервисы и не допускать ошибок конфигурирования.
Olej
 
Стаж: 48 лет 8 месяцев 23 дня


Вернуться в Сети. Настройка и администрирование

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 3

cron