Все о Linux. LinuxRSP.Ru


Cвежие новости Linux и BSD, анонсы статей и книг прямо в почтовый ящик!
Подписаться письмом


 Сегодняшние новости:

25 лет исполнилось ядру Linux

Релиз KDevelop 5.0

Oracle открывает код JDK9 для ARM

Выпущен Timewarrior 1.0.0

Релиз Android 7.0

Percona Memory Engine для MongoDB на базе WiredTiger

PowerShell открыт и доступен для Linux

Форк TrueCrypt: VeraCrypt 1.18

Релиз Snapcraft 2.14

Релиз Go 1.7

Стабильный выпуск рабочего стола Lumina

Вышла первая версия аналога OpenCV - DCV 0.1

Выпуск минималистичной программы для мониторинга jsonmon 3

В MIT разработали новый язык программирования

Первый релиз Qt5Gtk2

Godot 2.1 - новая версия открытого игрового движка

Свободная цифровая станция звукозаписи: Ardour 5.0

Обновление SkypeWeb Plugin for Pidgin

Вышла версия 3.0 Android File Transfer для Linux (и для OS X)

Программный аналог MIDI-контроллера для создания музыки: Launchpadd v1.3

Mozilla спонсирует поддержку Python 3.5 в PyPy

Ef 0.08 - программа для моделирования динамики заряженных частиц

Обновление текстового редактора TEA до версии 42.0.0

Релиз OpenOrienteering Mapper 0.6.4

Вышли Guix и GuixSD 0.11

Релиз Opera 39

Выпуск LibreOffice 5.2

В OpenSSH обнаружены и устранены некоторые уязвимости

Эмулятор FCEUX 2.2.3

Компания Билайн переходит на российскую СУБД с открытым исходным кодом Tarantool

Google

 Новые статьи :

Утилиты для восстановления потерянных данных в Linux

Лучшие файловые менеджеры для Android

20 лучших бесплатных книг о Linux

Как сгенерировать открытый/закрытый SSH-ключ в Linux

Grive - клиент Google Drive для Linux с открытым исходным кодом

Протокол IPv6: варианты подключения

Сервер из образа: DHCP + TFTP + Initrd + OpenVZ

Обзор веб-панелей управления хостингом

Приёмы работы с Vim

Nginx как Reverse Proxy для сайта, использующего SSL

Разработка модулей ядра Linux

Мониторинг нагрузки http-сервера Apache 2

Перевод комментариев к файлу конфигурации Squid

Решение проблем при использовании "1c предприятие" 8.2 в Linux

Advanced Bash-Scripting Guide Искусство программирования на языке сценариев командной оболочки







Rambler's Top100





 
 

Безопасность с ssh

      О том, что "враг не дремлет", знает каждый. Злые хакеры рыщут по Internetу, в надежде чем-нибудь поживиться. Поэтому каждый, кто ставит UNIX (читай Linux)-сервер тайно лелеет надежду, что его "пронесет". Но надежда - надеждой, а меры тоже надо принимать.
      Конечно, самый простой и надежный способ обезопаситься от взлома - это убрать на компьютере все службы, отключить его от Сети, выключить питание и заклеить выключатель скотчем. Но если при этом еще требуется и дело делать? Тогда можно ограничиться полумерами:

  • снимаем все ненужные службы (ну в самом деле: у меня роутер, зачем же мне эта "прореха на секьюрити" - Sendmail?).
  • Качаем из Сети последние версии служб, устанавливаем;
  • Далее: грамотно конфигурируем работающие службы: Web-сервер - значит, конфигурируем Apache, почтовик - тяжело вздыхаем и правим sendmail.conf (глаза боятся - руки делают);
  • последнее: закрываем telnet, rlogin, rsh - входы;

      Хорошо, если Ваш сервер имеет собственную клавиатуру, монитор и Вы можете его администрировать локально, если же нет, то придется какой-то вход оставить...
      Чем же плох обычный telnet? Любой, обратившийся по порту 23, получает, в лучшем случае, приглашение

login:
а в худшем
Welcome to abc.def.ru!

Linux-1.2.13

login[root]:

      Отсюда можно узнать тип системы, версию, может быть, даже аппаратную платформу сервера. Когда судили одного хакера, вломившегося в военную систему, его адвокаты пытались сослаться на то, что стандартный ответ системы приглашал их подзащитного войти (Welcome).
      Кроме того, telnet-клиент обменивается с сервером незашифрованными сообщениями. Таким образом, все данные, в том числе и Ваш пароль, передаются по Сети в открытом виде. Если сервер избран объектом атаки, получить пароль, а потом его использовать "по назначению" не составляет труда.

Какой же выход?

      Выход изобретен давно. Это secure shell (ssh). Особенность ее в том, что соединение устанавливается с аутентификацией, проверкой IP-адреса и доменного имени клиента, а общение ведется по каналу, зашифрованному с помощью различных алгоритмов, в числе которых DES и 3DES.
      Система состоит из сервера sshd, который запускается на UNIX-машине, и клиента ssh, который может запускаться как на другой UNIX-, так и на Windows-машине. Клиент позволяет работать с удаленным сервером, как telnet.

Установка

  • Итак, берем исходные тексты здесь. По традиции UNIX, они представлены в архиве ssh-1.2.tar.gz. Кладем их куда-нибудь, скажем в каталог /usr/src.
  • Далее распаковываем архив командой
    tar xzf ssh-1.2.tar.gz
    и переходим в образовавшийся каталог
    cd ssh-1.2
  • Даем команду
    ./configure
    при этом происходит конфигурирование и настройка оболочки ssh на конкретную систему
  • Транслируем исходный текст командой
    make
  • Теперь устанавливаем:
    make install

      После этого исходные тексты можно удалить, если у Вас, конечно, нет желания самому разработать какие-нибудь утилиты для ssh или исправить ошибки разработчиков :).

Конфигурирование

      Собственно, оболочка ssh начинает работать сразу после запуска демона командой
sshd

      Чтобы она запускалась при старте системы, эту команду нужно поместить в стартовый командный файл, лучше /etc/rc.d/rc.inet2 вместе с командами запуска служб inet. К сожалению, разработчики не предусмотрели совместную работу ssh и суперсервера inet, как, к примеру, это делает telnet.
      Теперь, пробуем войти в эту машину через ssh. Для этого нужно либо поставить такой же пакет на другую Linux-машину, либо установить пакет ssh для Windows на какую-нибудь рабочую станцию Windows. Для входа из-под Linux достаточно выдать команду

ssh hostname

после этого происходит запрос пароля и соединение, которое можно прервать комбинацией клавиш Ctrl+D. В Windows-версии Вы вводите имя машины, имя пользователя и пароль в диалоговом окне, после чего устанавливаете соединение. Если соединение не устанавливается, попробуйте поставить метод кодирования сообщений blowfish (тройной DES будет позже!)
Далее работа в ssh аналогична работе с telnet.

      После установки демона sshd в каталоге /etc Вашей Linux-машины появятся новые файлы конфигурации: ssh_conf и sshd_conf. Для того, чтобы теперь оградить свой сервер от незаконных вторжений извне, в sshd_conf можно прописать строчку

allowedadress адреса, с которых Вы будете заходить на сервер

      Теперь связь можно организовывать с кодированием как по blowfish, так по DES и 3DES, а все попытки входа с адресов, не указанных явно, будут жестоко пресекаться...


      

Связь | О проекте LinuxRSP | Реклама | О Linux
© 1999-2017 LinuxRSP