- •В.В. Бакланов
- •Защитные механизмы
- •Операционной системы
- •Екатеринбург
- •Оглавление
- •Введение
- •1. Пользователи и их права
- •Учетные записи пользователей и работа с ними
- •Video::18:
- •Ivanov:X:1002:101::/home/ivanov:/bin/bash
- •1.2. Процедура регистрации и ее безопасность
- •VI /etc/passwd
- •Initrd /boot/initrd.Img–2.6.18–5–686
- •Права доступа к файлам
- •Комбинированные права доступа
- •1.5. Решение практических задач на разграничение доступа
- •Использование механизма sudo
- •2. Безопасное управление процессами
- •2.1. Общие сведения о процессах
- •Virtual memory (kbytes, -V) unlimited
- •2.2. Средства наблюдения за процессами
- •2.3. Переменные окружения
- •2.4. Способы автоматического запуска и остановки программ
- •Id:3:initdefault:
- •Id:3:initdefault:
- •2.5. Периодически запускаемые процессы
- •2.6. Запуск и остановка программ в интерактивном и фоновом режимах
- •2.7. Средства взаимодействия между процессами
- •2.8. Перенаправление ввода/вывода
- •2.9. Файловая система /proc как «зеркало» процессов
- •2.10. Терминальный режим и консольные атаки
- •16:10:12 Up 15 min, 4 users, load average: 0,00, 0,00, 0,01
- •Ivanov tty2 - 16:07 3:08 0.01s 0.01s -sh
- •Ivanov tty2 2008-11-05 16:07
- •2.11. Сокрытие процессов
- •2.12. Аудит событий и его безопасность
- •3. Работа с объектами файловой системы
- •3.1. Действия над обычными файлами
- •3.2. Работа со специальными файлами устройств
- •255 Heads, 63 sectors/track, 19457 cylinders, total 312581808 sectors
- •255 Heads, 63 sectors/track, 91201 cylinders, total 1465149168 sectors
- •255 Heads, 63 sectors/track, 38913 cylinders, total 625142448 sectors
- •16 Heads, 32 sectors/track, 988 cylinders, total 505856 sectors
- •3.3. Монтирование файловых систем
- •3.4. Копирование и запись данных
- •2,0,0 200) 'Ata ' 'wdc wd3200bevt-2' '11.0' Disk
- •1000,0,0 100000) 'Hl-dt-st' 'dvdram gma-4082n' 'pt06' Removable cd-rom
- •3.5. Использование «жестких» и символических ссылок
- •4. Безопасность файловых систем ext*fs
- •4.1. Архитектура файловых систем ext*fs
- •Inode count: 438048
- •Inodes per group: 8112
- •Inode blocks per group: 507
- •Inode: 131329 (0x00020101)
- •Indirect block:
- •131329 Drwxr-xr-X 2 root root 4096 Мар 18 17:42
- •Inode: 527744 (0x00080d80)
- •Indirect block:
- •0X024f9040 73 79 6e 63 0a 00 00 00 : 00 00 00 00 00 00 00 00 sync............
- •4.2. Временные отметки файлов
- •4.3. Алгоритмы логического удаления и восстановления файлов
- •Сетевые возможности операционных систем linux
- •5.1. Контроль и настройка сетевых интерфейсов
- •Inet addr:192.168.0.4 Bcast:192.168.0.255 Mask:255.255.255.0
- •Interrupt:5 Base address:0x4000
- •Inet addr:127.0.0.1 Mask:255.0.0.0
- •Ifconfig eth0 -arp
- •Inet addr:192.168.0.4 Bcast:192.168.0.255 Mask:255.255.255.0
- •Interrupt:5 Base address:0x4000
- •Ifconfig eth0 promisc -arp
- •Iwconfig ath0 mode adhoc channel 1 essid “abcd”
- •5.2. Разведка сети
- •5.3. Перехват и анализ сетевого трафика
- •Лабораторный практикум
- •Общие требования
- •Памятка обучаемым
- •Выполнение работы
- •Лабораторная работа № 2 «Исследование архитектуры файловых систем ext*fs»
- •Контрольные вопросы
- •Контрольные вопросы
- •Лабораторная работа № 4 «Реализация политики разграничения доступа средствами ос Linux»
- •Временная нейтрализация парольной защиты
- •Контрольные вопросы
- •Лабораторная работа № 5 «Исследование процессов в ос Linux» Подготовка к работе
- •Наблюдение за файловой системой /proc
- •Просмотр и анализ информации о процессах
- •Управление процессами
- •Работа с консолями
- •Работа с каналами
- •Исследование опасных команд
- •Контрольные вопросы
- •ЛаборАторная работа № 6 «Исследование сетевых возможностей ос Linux»
- •Ifconfig eth0 –arp
- •Контрольные вопросы
- •Лабораторная работа № 7 «Исследование беспроводной сети WiFi под управлением ос Linux»
- •Interrupt:19
- •Inet addr:127.0.0.1 Mask:255.0.0.0
- •Iwconfig ath0 channel 1 essid "abcd"
- •Iwlist ath1 scan
- •Iwconfig ath0 key off
- •Iwconfig ath0 key 0123-4567-89ab-cdef
- •Контрольные вопросы
- •Лабораторная работа № 8 «Наблюдение и аудит в ос Linux»
- •Библиографический список
Inet addr:192.168.0.4 Bcast:192.168.0.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
Interrupt:5 Base address:0x4000
lo Link encap:Local Loopback
Inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
Рис. 5.1. Информация, выводимая с помощью команды ifconfig –a
Параметр Link encap указывает тип интерфейса инкапсуляции линии связи. Такими интерфейсами, в частности, являются физические адаптеры типа Ethernet и логическое построение в стеке протоколов, носящее наименование «обратная петля» (Local Loopback).
Hwaddr – это шестибайтный MAC-адрес сетевого адаптера. Большинство адаптеров позволяют его изменять программным путем. Но, поскольку изменение аппаратного адреса сетевого адаптера производится с помощью утилиты ifconfig только на сеанс (до выключения питания), представляется, что перепрограммирование ниже уровня драйвера устройства не опускается. Необходимость в изменении аппаратного адреса может возникнуть при скрытном подключении компьютера к исследуемой локальной сети. Некоторые операционные системы регистрируют случаи, когда в сети появляются два узла с одинаковыми аппаратными адресами. Но, с другой стороны, нет ничего неправильного в том, что одному MAC-адресу соответствует несколько IP-адресов.
Для того чтобы перепрограммировать MAC-адрес, необходимо вначале отключить сетевой интерфейс от стека протоколов. Делается это с помощью команды
ifconfig eth0 down
Затем вводится командная строка, изменяющая аппаратный адрес
ifconfig eth0 hw ether 01:02:03:04:05:06
Наконец, адаптер вновь встраивается в стек сетевых протоколов
ifconfig eth0 up
Вводя команду ifconfig eth0, нетрудно убедиться, что адрес изменен, а интерфейс активен (up).
Задать или изменить IP-адрес еще проще. Для этого достаточно ввести команду
ifconfig eth0 192.168.0.1 netmask 255.255.255.0
При установке или смене IP-адресов отключать и затем включать интерфейс не требуется. Маску сети можно опустить, и она будет введена по умолчанию (предполагается, что это сеть класса С).
При необходимости одному физическому адаптеру можно поставить в соответствие несколько IP-адресов (сколько именно – выяснить не удалось). Делается это с помощью любой из двух команд:
ifconfig eth0:1 192.168.0.2
ifconfig eth0 add 192.168.0.2
В некоторых версиях Linux с помощью второй команды удается добавить только один IP-адрес. Система не отказывается выполнить вторую команду неограниченное число раз, но при этом второй из адресов просто перезаписывается. Указывать виртуальные интерфейсы eth0:1, eth0:2, eth0:3, eth0:4, eth0:5 и т. д. с различными IP-адресами оказывается надежнее.
Таким образом, на одном компьютере можно создать небольшую виртуальную сеть. Например, используя два адреса для сетевого обмена, можно имитировать трафик, а с третьего адреса запустить анализатор пакетов для перехвата трафика.
Следует обратить внимание на индикаторы UP и RUNNING , которые отображают состояние сетевого интерфейса. Индикатор UP означает, что адаптер работает в стеке сетевых протоколов в составе компьютера. Индикатор RUNNING указывает на подключение к сети и режим сетевого обмена. Если извлечь из адаптера сетевой кабель, то надпись RUNNING не будет отображаться.
Для того, чтобы узел был доступен для сетевого обмена, для него должен быть задан как аппаратный, так и IP-адрес. Информация о соответствии между этими двумя адресами формируется с помощью двух протоколов, ARP и RARP, и хранится в области оперативной памяти, которая именуется ARP-кэшем. ARP-кэш представляет собой таблицу размером до 254 записей [3]. Информация в ARP-кэше устаревает и стирается через 30-120 сек после очередного обновления.
Для того чтобы сделать узел недоступным и относительно невидимым в ЛВС, можно отключить ARP-отклик. Делается это с помощью команды