[ Pobierz całość w formacie PDF ]
ich zawartości została ustawiona na wartość 700 (rwx------).
Należy się upewnić, że port 443. na serwerze WWW nie jest blokowany. Wszystkie
żądania https są kierowane do portu 443. Jeżeli ten port zostanie zablokowany,
obsługa bezpiecznych stron będzie niemożliwa.
Certyfikat jest ważny przez okres jednego roku. Po upłynięciu roku certyfikat należy
odnowić we właściwym centrum autoryzacji. Każde centrum posiada własną
procedurę odnawiania certyfikatu, warto sprawdzić odpowiednie informacje
na witrynie danego centrum.
Należy się upewnić, że został zainstalowany pakiet mod_ssl. Jeżeli tak nie jest,
serwer WWW nie będzie mógł obsłużyć żadnego ruchu związanego z SSL.
Używanie narzędzi bezpieczeństwa
systemu Linux uruchamianego z nośnika
Jeżeli istnieje podejrzenie, że komputer lub sieć zostały zaatakowane, użytkownik dyspo-
nuje całą gamą narzędzi bezpieczeństwa, których może użyć do przeprowadzenia skano-
wania antywirusem, analizy lub monitorowania aktywności intruza. Najlepszym sposobem
nauczenia się obsługi wielu z tych narzędzi jest wykorzystanie dystrybucji systemu Linux
dedykowanych i zbudowanych specjalnie pod kątem bezpieczeństwa i uruchamianych
z nośnika.
Zalety odnośnie bezpieczeństwa dystrybucji
działających z nośnika
Główną zaletą używania dystrybucji działającej bezpośrednio z nośnika CD lub DVD do
sprawdzania bezpieczeństwa systemu jest fakt, że oddziela ona używane narzędzia od
sprawdzanego systemu. Innymi słowy, ponieważ narzędzia do odnajdywania problemów
na zainstalowanym systemie same mogły zostać naruszone, dystrybucja typu live CD,
zawierająca zaufane oprogramowanie, jest gwarancją, że potencjalnie zainfekowany sys-
tem jest sprawdzany za pomocą czystych narzędzi.
Jeżeli pomimo największych wysiłków (dobre hasła, zapory sieciowe, sprawdzanie plików
dzienników zdarzeń) użytkownik jest przekonany, że intruz mógł uzyskać kontrolę nad
286 Część II Linux w praktyce
systemem, użycie dystrybucji działającej z nośnika jest dobrym rozwiązaniem. Systemy
bezpieczeństwa w postaci live DC, takie jak System Rescue CD, INSERT lub BackTrack
(wszystkie zostały umieszczone na płytach CD i DVD dołączonych do książki), są dosko-
nałymi narzędziami sprawdzania i naprawy systemu.
Korzystanie z narzędzia INSERT
do wykrywania kodu typu rootkit
Jeżeli intruz uzyska dostęp do systemu Linux i spróbuje przejąć kontrolę nad tym sys-
temem (i użyć do czegoś więcej niż tylko włamania i ucieczki), może zainstalować kod
nazwany rootkit. Wspomniany rootkit jest zestawem oprogramowania, które intruz chce
wykorzystać do:
realizacji swoich planów (na przykład do hostingu fałszywej zawartości WWW
za pomocą przejętego serwera),
ukrycia własnej aktywności.
Kod typu rootkit może stosować różne sposoby ukrywania własnego przeznaczenia. Bardzo
często zdarza się, że rootkit zastępuje własnymi wersjami polecenia systemowe. Dlatego
też na przykład polecenia ls oraz ps mogą zostać zmodyfikowane w taki sposób, aby nie
wyświetlały odpowiednio pewnej zawartości dodanej do systemu lub ustalonych procesów
działających w systemie.
Polecenie chkrootkit jest dobrym narzędziem wyszukiwania kodu rootkit. Służy również
do sprawdzenia, czy pliki systemowe nie zostały zainfekowane. Narzędzie sprawdzi rów-
nież potencjalne infekcje w poleceniach sprawdzania dysku (takich jak du, find i ls),
poleceniach operacji na procesach (ps i pstree), poleceniach zwiÄ…zanych z logowaniem
(login, rlogin, slogin) oraz wielu innych. Poniżej przedstawiono sposób uruchomienia
narzędzia chkrootkit z dystrybucji INSERT:
1. Do napędu CD włóż płytę CD dołączoną do książki.
2. Gdy na ekranie pojawi się znak zachęty, wpisz insert i naciśnij klawisz Enter.
Podane polecenie spowoduje uruchomienie dystrybucji INSERT.
3. Aby móc sprawdzić system Linux zainstalowany na dysku twardym, należy
zamontować partycje reprezentujące zainstalowany system Linux. Używając
apletu mount.app (wyświetlany w prawym dolnym rogu ekranu), kliknij kursorem
na aplecie, przechodząc przez kolejne dostępne urządzenia. Jeżeli Linux był
zainstalowany na pierwszej partycji pierwszego dysku twardego, należy wybrać
hda1. Po wybraniu urządzenia kliknij przycisk Mount, który powoduje
zamontowanie partycji.
4. Otwórz terminal, klikając pulpit prawym przyciskiem myszy i wybierając Terminal
Session/Aterm super user. Na ekranie zostanie wyświetlone okno terminalu.
5. Wydaj polecenie chkrootkit, a jego dane wyjściowe zapisz w pliku. Na przykład
wydanie poniższego polecenia spowoduje sprawdzenie systemu plików
zamontowanego w punkcie /mnt/hda1 i zapisanie danych wyjściowych w pliku
chkroot-output.txt:
Rozdział 6. Bezpieczeństwo systemu Linux 287
# chkrootkit -r /mnt/hda1 > /tmp/chkroot-output.txt
6. Kiedy polecenie zakończy swoje działanie, przejrzyj dane wyjściowe.
Przykładowo:
# less /tmp/chkroot-output.txt
ROOTDIR is '/mnt/hda1/'
Checking 'amd' ... not found
Checking 'basename' ... not infected
.
.
.
[ Pobierz całość w formacie PDF ]