ROZDZIA 11. Zabezpieczanie pojedynczego serwera

Transkrypt

1 ROZDZIA 11 Zabezpieczanie pojedynczego serwera 251

2 252 LINUX - ADMINISTRACJA - KURS PODSTAWOWY Nie musisz szukaæ d³ugo, aby dowiedzieæ siê, e ktoœ odkry³ now¹, œwietn¹ metodê na w³amywanie siê do systemów. Strony takie jak oraz listy dyskusyjne, jak np. BugTraq, regularnie og³aszaj¹ publicznie takie nowe odkrycia. Aby uczyniæ sytuacjê administratorów sieci jeszcze bardziej k³opotliw¹, coraz czêœciej rozpowszechnia siê korzystanie ze skryptów, za pomoc¹ których dzieciaki próbuj¹ siê w³amaæ do systemów. Ludzie propaguj¹cy taki proceder nie posiadaj¹ wiedzy na temat tego, jak w³amaæ siê do jakiejœ sieci; u ywaj¹ oni napisanych przez kogoœ innego skryptów, zazwyczaj w celu zaimponowania znajomym oraz uprzykrzenia pracy administratorom. Pozytywnym skutkiem tego zjawiska jest to, e spo³ecznoœæ systemu Linux bardzo szybko reaguje na wykrycie w nim jakiejœ dziury. atki wypuszczane s¹ w czasie krótszym ni 24 godziny od og³oszenia b³êdu. W tym rozdziale omówimy podstawowe techniki zabezpieczania serwera. Jeœli zastosujesz siê do tych podpowiedzi, to masz wiêksz¹ szansê na uodpornienie siê na dzia³anie wy ej wymienionych skryptów. Musisz jednak wiedzieæ: nie ma systemów doskona³ych. Nowe dziury s¹ odkrywane z dnia na dzieñ, a narzêdzia do atakowania serwerów wychodz¹ czêœciej ni chcielibyœmy sobie to wyobraziæ. Zabezpieczanie systemu jest jak walczenie z chorob¹: jeœli stosujesz siê do podstawowych zasad higieny, to wszystko powinno byæ w porz¹dku, ale nigdy nie bêdziesz nienaruszalny. Hackerzy i crackerzy Zanim zostanê spalony na popió³ przez t³um hackerów, to pozwolê sobie wyjaœniæ kilka rzeczy. Hackerzy nie s¹ Ÿli. Wiêkszoœæ z nich (zazwyczaj) nie w³amuje siê do systemów w celu wyrz¹dzenia szkód. Posiadaj¹ oni imponuj¹c¹ wiedzê o wnêtrzu systemu i dziêki temu bardzo czêsto wymyœlaj¹ sprytne rozwi¹zania k³opotliwych problemów. Tak naprawdê to szybka ³atka na uszkodzony system jest zazwyczaj nazywana hack, poniewa jest to sprytne, ale niekoniecznie w³aœciwe rozwi¹zanie. Po prostu dzia³a i powinno byæ cenione za to, czym w ogóle jest. Ogólne okreœlenie dla ludzi, którzy za cel stawiaj¹ sobie w³amywanie siê do innych systemów to crackerzy ludzie, którzy wy³amuj¹ sobie dziurê w systemie (ang. crack wy³amywaæ). Nadaj¹ oni hackerom z³¹ s³awê i powoduj¹ powstawanie paniki w Inetrnecie. Niestety, media przypisuj¹ tym, którzy robi¹ coœ z³ego w Internecie nazwê hackerzy. Jakiego terminu nale y wiêc u ywaæ? To zale y. Jeœli rozmawiasz ze znajomymi administratorami, programistami, itp., to powinieneœ trzymaæ siê terminu cracker. Jeœli rozmawiasz z kimœ, kto generalnie nie jest zbytnio w temacie, to u ywaj nazwy hacker (jakby ycie ju nie by³o wystarczaj¹co skomplikowane ). Prawie wszystkie teksty napisane przez administratorów zawieraj¹ rozdzia³y takie jak ten, wyjaœniaj¹ce, które ze wspania³ych i u ytecznych funkcji sieciowych musisz wy³¹czyæ, aby crackerzy nie mogli zrobiæ z nich niew³aœciwego u ytku. Ze wzglêdu na programy przyjazne dla crackerów, takie jak Back Orifice, trzeba byæ ci¹gle czujnym

3 Rozdzia³ 11: Zabezpieczanie pojedynczego serwera 253 i chroniæ systemy Windows NT/2000 przed niepowo³anym dostêpem. Niestety, smutna ta nasza rzeczywistoœæ. TCP/IP I BEZPIECZEÑSTWO SIECI Ten rozdzia³ zak³ada, e masz ju doœwiadczenie w konfigurowaniu systemu do dzia³ania w sieci TCP/IP. Poniewa skupiamy siê tutaj na bezpieczeñstwie sieci, a nie na wstêpie do sieci, w tej sekcji omówione bêd¹ jedynie te czêœci TCP/IP, które maj¹ wp³yw na bezpieczeñstwo systemu. Jeœli jesteœ ciekawy wewnêtrznego dzia³ania TCP/IP, przeczytaj rozdzia³ 24. Waga numerów portów Ka dy host w sieci opartej na IP posiada przynajmniej jeden adres IP. Oprócz tego, na ka dym hoœcie pracuj¹cym w systemie Linux dzia³a jednoczeœnie wiele procesów. Ka dy proces mo e byæ klientem sieci, serwerem, albo obydwoma naraz. Oczywiœcie, gdyby przeznaczenie pakietu by³o okreœlane tylko za pomoc¹ adresu IP, to system operacyjny nie móg³by wiedzieæ, do jakiego procesu nale y dostarczyæ zawartoœæ pakietu. Aby rozwi¹zaæ ten problem, TCP/IP dodaje komponent okreœlaj¹cy port TCP (lub UDP). Ka de po³¹czenie jednego hosta z innym posiada port Ÿród³owy i port przeznaczenia. Ka dy z portów jest oznaczony liczb¹ ca³kowit¹ z zakresu Aby rozró niæ ka de mo liwe po³¹czenie miêdzy dwoma hostami, system operacyjny œledzi cztery parametry: Ÿród³owy adres IP, adres IP przeznaczenia, numer portu Ÿród³ówego i numer portu przeznacznia. Kombinacja tych czterech wartoœci ma gwarantowan¹ niepowtarzalnoœæ dla wszystkich po³¹czeñ dwóch hostów (tak naprawdê to system operacyjny œledzi znacznie wiêcej parametrów po³¹czenia, ale tylko te cztery elementy s¹ wymagane do unikalnej identyfikacji po³¹czenia). Host inicjuj¹cy po³¹czenie okreœla adres i numer portu przeznaczenia. Oczywiœcie Ÿród³owy adres IP jest ju znany. Ale numer portu Ÿród³owego - wartoœæ, która czyni po³¹czenie niepowtarzalnym - jest przydzielany przez system operacyjny. System przeszukuje listê otwartych po³¹czeñ i przydziela pierwszy wolny numer portu. Numer ten jest zawsze wiêkszy od 1024 (porty od 0 do 1023 s¹ zarezerwowane dla systemu). Technicznie, host Ÿród³owy mo e tak e wybraæ swój numer portu Ÿród³owego. Aby to zrobiæ, inny proces nie mo e ju mieæ zarezerwowanego portu, który ma byæ przydzielony. Generalnie, wiêkszoœæ aplikacji pozwala systemowi operacyjnemu decydowaæ o numerze portu. Znaj¹c ten mechanizm widzimy, e Ÿród³owy host (A) mo e otworzyæ wiele po³¹czeñ jednej us³ugi z hostem przeznaczenia (B). Adres IP i numer portu hosta B nie bêd¹ siê zmieniaæ, ale numer portu hosta A bêdzie inny dla ka dego z po³¹czeñ. Kombinacja adresu IP Ÿród³a i przeznaczenia oraz numerów portów bêdzie wiêc niepowtarzalna, czyli oba systemy bêd¹ mog³y posiadaæ wiele niezale nych strumieni danych (po³¹czeñ) miêdzy sob¹. Aby serwer móg³ oferowaæ us³ugi, musz¹ na nim byæ uruchomione programy, które nas³uchuj¹ na okreœlonych numerach portów. Wiele z tych numerów portów jest zwanych

4 254 LINUX - ADMINISTRACJA - KURS PODSTAWOWY dobrze znanymi us³ugami, poniewa us³ugi powi¹zane z tymi numerami portów s¹ przyjête jako standard. Na przyk³ad port 80 jest dobrze znanym portem us³ugi protoko³u HTTP. W U ywanie komendy netstat, w dalszej czêœci tego rozdzia³u, przyjrzymy siê poleceniu netstat, które jest wa nym narzêdziem dla bezpieczeñstwa sieci. Gdy rozumiesz, co przedstawiaj¹ numery portów, to bêdziesz w stanie w ³atwy sposób zidentyfikowaæ i zinterpretowaæ statystyki o bezpieczeñstwie sieci uzyskiwane za pomoc¹ programu netstat. Wiêcej informacji o TCP/IP Oprócz rozdzia³u 24 istnieje jeszcze wiele œwietnych ksi¹ ek omawiaj¹cych dok³adniej protokó³ TCP/IP. Dobrym punktem startowym jest ksi¹ ka The Network Administrators Reference napisana przez Tere Parnella i Christophera Nulla (Osborne/McGraw-Hill, 1998). Ksi¹ ka ta omawia administracjê sieci z bardzo wysokiego punktu widzenia i jest bardzo solidn¹ pozycj¹ (pomimo tego, e jest bardzo NT-centryczna). Omawia ona TCP/IP, ale nie zag³êbia siê za bardzo w jego wnêtrze. Elementarn¹ bibli¹ TCP/IP (nazywan¹ tak przez programistów i administratorów na ca³ym œwiecie) jest seria ksi¹ ek W. Richarda Stevensa TCP/ IP Illustrated (Addison-Wesley, ). Ksi¹ ki te omawiaj¹ TCP/IP i pokrewne us³ugi w zabójczych szczegó³ach. Jako administrator systemu najbardziej zainteresowany bêdziesz czêœci¹ pierwsz¹, poœwiêcon¹ protoko³om, która omawia ca³y ich zestaw oraz dobrze wyjaœnia stosy IP. Jeœli gdzieœ w tobie znajduje siê hacker, który jest ciekawy wiadomoœci o implementacji TCP/IP, to przeczytaj czêœæ drug¹, która zawiera analizê kodu sieciowego BSD linia po linii (pomimo, e w kodzie sieciowym systemu Linux s¹ pewne ró nice, to generalny kierunek i filozofia jest taka sama). Inn¹ œwietn¹ ksi¹ k¹ jest TCP/IP Network Administration autorstwa Craiga Hunta (O Reilly & Associates, 1998), która jest doskona³ym materia³em dla administratora. Zawiera ona szerszy zakres tematów (ale za to opisanych mniej szczegó³owo) ni pierwsza czêœæ ksi¹ ki Stevensa. Wreszcie, jeœli zamierzasz skonfigurowaæ firewalla (do czego gor¹co Ciê zachêcam), to dobr¹ ksi¹ k¹ na ten temat jest pozycja Building Inernet irewalls (2000x) autorstwa B. Brenta Chapmana, et el., oraz ksi¹ ka Cheswicka i Bellovina (ludzi, którzy zbudowali pierwszy firewall dla AT&T) irewalls and Internet Security (Addison-Wesley, 2001). Pierwsze wydanie z roku 1994 nadal jest interesuj¹ce, choæ ju nieco przeterminowane. Nowe wydanie z roku 2001 zosta³o zaktualizowane. ŒLEDZENIE US UG Us³ugi dostarczane przez serwer s¹ jego rol¹. Us³ugi te s¹ wykonywane przez procesy, które siedz¹ na portach sieciowych i nas³uchuj¹ nadchodz¹cych ¹dañ. Na przyk³ad,

5 Rozdzia³ 11: Zabezpieczanie pojedynczego serwera 255 serwer sieci Web posiada proces nas³uchuj¹cy na porcie 80 ¹dañ œci¹gniêcia strony internetowej. Jeœli na danym porcie nie istnieje nas³uchuj¹cy proces, to system Linux po prostu zignoruje pakiety wysy³ane na ten port. ZAUWA : Pamiêtaj, e gdy proces wysy³a ¹danie do innego serwera, to równie otwiera po³¹czenie na porcie. W efekcie proces ten nas³uchuje na tym otwartym porcie. Klient jednak wie, z kim rozmawia, poniewa to on zainicjowa³ po³¹czenie, automatycznie bêdzie wiêc ignorowa³ jakiekolwiek pakiety wys³ane do niego spoza serwera, z którym siê kontaktuje. Ta sekcja omawia u ywanie polecenia netstat, które jest narzêdziem do œledzenia po³¹czeñ sieciowych (wœród innych rzeczy) w Twoim systemie. Bez w¹tpienia jest to jedno z najlepszych narzêdzi do wykrywania b³êdów wœród arsena³u programów do rozwi¹zywania codziennych problemów z sieci¹ i bezpieczeñstwem. U ywanie polecenia netstat Aby sprawdziæ, jakie porty s¹ otwarte, oraz jakie procesy na nich nas³uchuj¹, u yjemy polecenia netstat. Na przyk³ad: [root@ford /root]# netstat natu Active Internet Connections (servers and established) Proto Recv-Q Send-Q Local Address oregin Address Sate tcp : :80 CLOSE_WAIT tcp : :80 CLOSE_WAIT tcp : :21 CLOSE_WAIT tcp : :1052 ESTABLISHED tcp : :6000 ESTABLISHED tcp : :* LISTEN tcp : :* LISTEN tcp : :* LISTEN tcp : :* LISTEN tcp : :* LISTEN tcp : :* LISTEN tcp : :* LISTEN tcp : :* LISTEN tcp : :* LISTEN tcp : :* LISTEN tcp : :* LISTEN tcp : :* LISTEN tcp : :* LISTEN tcp : :* LISTEN tcp : :* LISTEN tcp : :* LISTEN tcp : :* LISTEN tcp : :* LISTEN udp : :*

6 256 LINUX - ADMINISTRACJA - KURS PODSTAWOWY udp : :* udp : :* udp : :* [root@ford /root]# Domyœlnie (bez parmetrów) netstat poka e wszyskie nawi¹zane po³¹czenia dla socketów sieci i domeny. Oznacza to, e zobaczymy nie tylko po³¹czenia, które dzia³aj¹ przez sieæ, ale tak e komunikacjê miêdzy procesami (co z punktu widzenia monitorowania bezpieczeñstwa nie jest u yteczne). Tak wiêc w komendzie wywo³anej powy ej poprosiliœmy netstat, aby pokazal nam wszystkie porty (-a) te, które nas³uchuj¹ i te po³¹czone TCP (-t) i UDP (-u). Kazaliœmy programowi netstat, aby nie marnowa³ czasu na rozpoznawanie nazw hostów z adresów IP (-n). W danych wyjœciowych programu netstat ka da linia przedstawia port sieciowy TCP, albo UDP, co jest oznaczone w pierwszej kolumnie. Kolumna Rec-Q (kolejka odbierania) pokazuje liczbê bajtów odebranych przez j¹dro, ale nieprzeczytanych przez proces. Nastêpna kolumna, Send-Q, pokazuje liczbê bajtów wys³anych do odbiorcy, ale niepotwierdzonych. Czwarta, pi¹ta i szósta kolumna s¹ najbardziej interesuj¹ce, jeœli chodzi o bezpieczeñstwo. Kolumna Local Address mówi nam o adresie IP naszego serwera i numerze portu. Pamiêtaj, e Twój serwer rozpoznaje samego siebie jako , oraz jako normalny adres IP. W przypadku posiadania wielu kart sieciowych, ka dy port, na którym odbywa siê nas³uchiwanie ujawni nam dwa interfejsy, czyli dwa ró ne adresy IP. Numer portu oddzielony jest od adresu IP dwukropkiem W powy szym przyk³adzie, jedno urz¹dzenie Ethernet ma adres IP , a po³¹czenie PPP ma adres (Twój adres IP zale y od Twoich ustawieñ). Pi¹ta kolumna, oregin Address, okreœla drug¹ stronê po³¹czenia. W przypadku portu, na którym nas³uchiwane s¹ po³¹czenia wartoœæ tej kolumny wynosi :*. Ten adres IP nic nie oznacza, poniewa nadal czekamy, a jakiœ zdalny host siê z nami po³¹czy. Szósta kolumna przedstawia stan po³¹czenia. Na stronie man polecenia netstat mo na znaleÿæ wszystkie mo liwe stany. Najczêœciej spotykanymi s¹: LISTEN i ESTABLISHED. Stan LISTEN oznacza, e na danym porcie znajduje siê proces, który nas³uchuje i jest gotowy do przyjêcia nowych po³¹czeñ. Stan ESTABLISHED oznacza, e po³¹czenie pomiêdzy klientem i serwerem zosta³o nawi¹zane. Zagadnienia bezpieczeñstwa i program netstat Widz¹c listê wszystkich dostêpnych po³¹czeñ, mo esz wytworzyæ sobie obraz tego, co system robi. Powinieneœ umieæ wyjaœniæ i uzasadniæ wszystkie wypisane porty. Jeœli Twój system nas³uchuje na porcie, którego nie jesteœ w stanie wyjaœniæ, powinno to wzbudziæ Twoje podejrzenia. Jeœli u ywa³eœ swoich komórek pamiêciowych do innych celów i nie zapamiêta³eœ us³ug i ich numerów portów, mo esz sprawdziæ te informacje w pliku /etc/services.

7 Rozdzia³ 11: Zabezpieczanie pojedynczego serwera 257 Niektóre us³ugi jednak (najczêœciej te, które u ywaj¹ portmappera) nie maj¹ ustawionych numerów portów, ale s¹ prawid³owymi us³ugami. Aby sprawdziæ, jaki proces jest pod³¹czony do portu, u yj z poleceniem netstat opcji p. Zwracaj uwagê na dziwne i niespotykane procesy u ywaj¹ce sieci. Na przyk³ad mo esz byæ pewien, e dzieje siê coœ dziwnego, jeœli na porcie sieciowym nas³uchuje pow³oka BASH. Wreszcie, pamiêtaj, e interesuje Ciê jedynie port przeznaczenia po³¹czenia mówi on, do której us³ugi siê ³¹czymy i czy jest ona dozwolona. Niestety, netstat nie mówi jawnie, od kogo pochodzi po³¹czenie, ale mo emy siê tego ³atwo domyœliæ. Oczywiœcie, najlepsz¹ metod¹ okreœlenia, od kogo i gdzie jest skierowane po³¹czenie jest zaznajomienie siê z uruchamianymi aplikacjami i u ywanymi przez nie numerami portów. Generalnie stosuje siê zasadê, e strona, której numer portu jest wiêkszy od 1024 to nadawca po³¹czenia. Ta regu³a naturalnie nie stosuje siê do us³ug dzia³aj¹cych normalnie na portach wiêkszych od 1024, na przyk³ad X Windows dzia³a na porcie Wy³¹czanie us³ug Jednym z celów uruchamiania polecenia netstat jest okreœlenie, jakie us³ugi s¹ w³¹czone na Twoich serwerach. U³atwianie instalacji systemu Linux tak, aby by³ gotowy do dzia³ania zaraz po skopiowaniu go na dysk, wymusi³o koniecznoœæ wprowadzenia wielu ustawieñ domyœlnych, które nie s¹ bezpieczne, tak wiêc œledzenie tego, które us³ugi s¹ uruchomione jest bardzo wa ne. Gdy próbujesz okreœliæ, które us³ugi maj¹ zostaæ, a które powinny byæ wy³¹czone, to odpowiedz sobie na nastêpuj¹ce pytania: 1. Czy potrzebna mi ta us³uga? OdpowiedŸ na to pytanie jest bardzo wa na. W wiêkszoœci sytuacji powinieneœ dojœæ do tego, e musisz wy³¹czyæ wiêkszoœæ domyœlnie uruchamianych us³ug. Na przyk³ad, samodzielny serwer nie powinien potrzebowaæ uruchamiania N S. 2. Jeœli potrzebna mi jest dana us³uga, to czy jej domyœlna konfiguracja jest bezpieczna? To pytanie tak e pomo e Ci wyeliminowaæ niektóre us³ugi jeœli nie s¹ one bezpieczne i nie mo na ich uczyniæ bezpiecznymi, to nale y je wy³¹czyæ. Na przyk³ad, us³uga Telnet jest dobrym kandydatem do szybkiego usuniêcia, poniewa przesy³a ona przez sieæ niezaszyfrowane has³a. 3. Czy oprogramowanie systemowe wymaga uaktualnienia? Ka dy program, znajduj¹cy siê na przyk³ad na serwerze Web czy TP, od czasu do czasu wymaga uaktualnienia. Jest tak, poniewa z czasem dodawane s¹ nowe funkcje oraz pojawiaj¹ siê nowe problemy zwi¹zane z bezpieczeñstwem. Pamiêtaj wiêc, aby œledziæ rozwój oprogramowania serwera i w razie czego jak najszybciej instalowaæ uaktualnienia. Wy³¹czanie us³ug korzystaj¹cych z inetd i xinetd Aby wy³¹czyæ us³ugê, która jest uruchamiana przez program xinetd, po prostu zmieñ plik konfiguracyjny znajduj¹cy siê w katalogu /etc/xinetd tak, aby zmienna disable

8 258 LINUX - ADMINISTRACJA - KURS PODSTAWOWY mia³a wartoœæ Yes. Jeœli u ywasz programu inetd, to edytuj plik /etc/inetd.conf i skomentuj us³ugê, któr¹ chcesz wy³¹czyæ. Aby oznaczyæ us³ugê jako komentarz, na pocz¹tku linii dodaj hasz (#). Wiêcej informacji o xinetd i inetd znajdziesz w rozdziale 9. Pamiêtaj o wys³aniu do programu inetd sygna³u HUP oraz sygna³u SIGUSR2 do programu xinetd, aby dokonane zmiany zosta³y uwzglêdnione. Jeœli u ywasz sytemu Red Hat Linux, to mo esz tak e wpisaæ poni sze polecenie: [root@ford /root]# /etc/rc.d/init.d/xinetd reload Wy³¹czanie us³ug spoza inetd Jeœli us³uga nie jest uruchamiana przez inetd, to prawdopodobnie obs³uguje j¹ proces uruchamiany podczas rozruchu systemu. Najprostszym sposobem na jej zatrzymanie jest zmienienie ³¹cza symbolicznego. WejdŸ do katalogu /etc/rc.d/ i znajdÿ w jednym z katalogów rc*.d ³¹cza, które wskazuj¹ na skrypt uruchomieniowy (wiêcej informacji o skryptach uruchomieniowych znajdziesz w rozdziale 7). Zmieñ nazwê ³¹cza tak, aby zaczyna³o siê od X, zamiast od S. Jeœli zdecydujesz siê na ponowne w³¹czenie us³ugi, wystarczy po prostu z powrotem zmieniæ nazwê ³¹cza tak, aby zaczyna³a siê od S. Jeœli zmieni³eœ nazwê skryptu uruchomieniowego i chcesz zatrzymaæ obecnie dzia³aj¹cy proces, to u yj polecenia ps w celu odnalezienia identyfikatora procesu, a nastêpnie polecenia kill w celu zakoñczenia procesu. Na przyk³ad, oto polecenia koñcz¹ce proces portmap oraz to, co pojawi siê na ekranie: [root@ford /root]# ps auxw grep portmap bin ? S Jul08 0:00 portmap root pts/0 S 01:55 0:00 grep portmap ZAUWA : Jak zawsze, b¹dÿ pewny, jaki proces wy³¹czasz, zw³aszcza na serwerze przemys³owym. Uwaga o us³udze syslogd Jedn¹ z us³ug spoza inetd, która pojawi siê po wykonaniu polecenia netstat i któr¹ mo na bêdzie bezpiecznie zignorowaæ jest syslogd. Us³uga ta jest tradycyjnie skonfigurowana na pod³¹czanie siê do portu sieciowego i nas³uchiwanie wiadomoœci do zarejestrowania. Ze wzglêdu na niebezpieczeñstwo rejestrowania losowych wiadomoœci przychodz¹cych z sieci, programiœci dodali mechanizm dzia³aj¹cy w ten sposób, e syslogd rejestruje wiadomoœci od innych hostów jedynie wtedy, gdy uruchomimy go z opcj¹ r. Domyœlnie syslogd nie jest uruchamiany z t¹ opcj¹, a wiêc mo esz go bezpiecznie zostawiæ w pamiêci. MONITOROWANIE SYSTEMU Proces zacieœniania bezpieczeñstwa na Twoim serwerze nie ma jedynie na celu zabezpieczenia serwera, daje on Ci tak e mo liwoœæ doskona³ego zaobserwowania, jak

9 Rozdzia³ 11: Zabezpieczanie pojedynczego serwera 259 powinno wygl¹daæ normalne dzia³anie Twojego serwera. Gdy bêdziesz wiedzia³, jak serwer powinien siê zachowywaæ, to wszelkie nieprawid³owoœci bêd¹ Ci siê rzucaæ w oczy (np. jeœli podczas konfigurowania serwera wy³¹czy³eœ us³ugê Telnet, a w rejestrze widzisz wpis tej us³ugi, to coœ jest nie tak!). Istniej¹ komercyjne pakiety do monitoringu systemu, na które warto zwróciæ uwagê, ale dyskusjê o ich mo liwoœciach pozostawiê czasopismom takim jak Network World czy PC Week. Tutaj spojrzymy na ró norakie inne doskona³e narzêdzia pomagaj¹ce w monitorowaniu systemu, z których czêœæ jest zawarta we wszystkich dystrybucjach systemu Linux, a czêœæ nie, ale za to wszystkie s¹ darmowe i ³atwe do dostania. Najlepsze wykorzystywanie syslog W rozdziale 9 omówiliœmy program syslog, który zapisuje wiadomoœci od ró nych programów do zestawu plików tekstowych. Prawdopodobnie ju widzia³eœ, jak wygl¹daj¹ wiadomoœci, które zapisuje syslog. Zawieraj¹ one wiadomoœci odnoœnie bezpieczeñstwa, np. kto siê zalogowa³ do systemu, kiedy itd. Jak mo esz sobie wyobraziæ, mo liwa jest analiza tych plików rejestru, aby otrzymaæ informacje o u ywaniu us³ug systemowych. Dane te mog¹ tak e wskazywaæ na podejrzane dzia³ania, na przyk³ad dlaczego host crackerlamer.nie.maj¹cy.nic.lepszego.do.roboty wysy³a do nas tak wiele ¹dañ w tak krótkim okresie czasu? Czego on szuka? A mo e znalaz³ dziurê w systemie? Przechowywanie plików rejestru Okresowe sprawdzanie plików rejestru systemu jest wa n¹ czêœci¹ utrzymywania bezpieczeñstwa. Niestety, przegl¹danie ca³odziennego zestawu wiadomoœci jest bardzo czasoch³onnym i niezwykle nudnym zajêciem, które mo e w najlepszym przypadku ujawniæ kilka wa nych zdarzeñ. Aby wymazaæ niepotrzebne wpisy, napisz za pomoc¹ jêzyka skryptowego (np. Perl) ma³y skrypcik, który bêdzie analizowa³ pliki rejestru. Dobrze zaprojektowany skrypt dzia³a w taki sposób, e odrzuca wszystkie zdarzenia, które uwa ane s¹ za normalne, a pokazuje wszystkie inne. Mo e to zredukowaæ tysi¹ce wpisów rejestru z ca³odziennej pracy systemu do kilkunastu. Jest to efektywna metoda wykrywania prób w³amania i prawdopodobnych luk w systemie bezpieczeñstwa. Czasem mo na siê trochê zabawiæ, obserwuj¹c dzieciaki, próbuj¹ce nieskutecznie w³amaæ siê do naszego systemu za pomoc¹ skryptów. Sortowanie wpisów rejestru Niestety, analiza plików rejestru mo e nie byæ wystarczaj¹ca. Jeœli ktoœ w³amie siê do Twojego systemu, to mo liwe, e wykasuje Twoje pliki rejestru co oznacza, e Twoje cudowne skrypty nie bêd¹ w stanie nic Ci powiedzieæ. Aby rozwi¹zaæ ten problem, mo na przeznaczyæ jeden komputer w sieci do przechowywania plików rejestru. Skonfiguruj swój plik /etc/syslog.conf, aby wszystkie wiadomoœci by³y wysy³ane do jakiegoœ konkretnego hosta, a ten host skonfiguruj do nas³uchiwania jedynie na porcie

10 260 LINUX - ADMINISTRACJA - KURS PODSTAWOWY syslog (514). W wiêkszoœci przypadków powinno to byæ wystarczaj¹ce do wy³apania dowodów wszelkich z³ych dzia³añ. Jeœli naprawdê masz obsesjê na punkcie bezpieczeñstwa, mo esz pod³¹czyæ przez port szeregowy do hosta zapisuj¹cego wiadomoœci komputer pracuj¹cy w systemie DOS i za pomoc¹ pakietu do emulacji terminala, takiego jak Telix, zapisywaæ wszystkie wiadomoœci wysy³ane do tego hosta (mo esz tak e u yæ innego komputera pracuj¹cego w systemie Linux, u ywaj¹cego programu minicom w trybie rejestrowania nie pod³¹czaj jednak tego drugiego komputera do sieci!!!). Skonfiguruj wtedy plik /etc/syslog.conf na dedykowanym hoœcie do wysy³ania wszystkich wiadomoœci na urz¹dzenie /dev/ttys0 (COM1) lub /dev/ttys1 (COM2), w zale noœci od u ywanego portu. Nie pod³¹czaj oczywiœcie komputera pracuj¹cego w DOSie do sieci. W ten sposób, nawet jeœli Twój host przeznaczony do rejestrowania te zostanie zaatakowany, to pliki rejestru nie bêd¹ zniszczone bêd¹ one bezpiecznie sobie siedzieæ w systemie DOS, na który nie mo na siê zalogowaæ bez adresu fizycznego. Jeœli chcesz uzyskaæ najwy szy poziom monitoringu, to pod³¹cz do komputera DOS-owego przez port równoleg³y drukarkê i skonfiguruj pakiet emulacji terminala do powtarzania wszystkiego, co zostanie odebrane z portu szeregowego na port równoleg³y. Jeœli nawet wysi¹dzie wtedy komputer pracuj¹cy w DOSie, albo zostanie on w jakiœ sposób zaatakowany, to bêdziesz mia³ wszystkie wiadomoœci rejestru na papierze (zauwa, e powa nym minusem posiadania rejestru na papierze jest to, e nie mo esz odfiltrowaæ niepotrzebnych wiadomoœci. Jeœli wybierzesz taki sposób zabezpieczenia, to pamiêtaj o przechowywaniu rejestru tak e w wersji elektronicznej). PODPOWIED : Rozwa tak e zainstalowanie pakietu takiego jak swatch, który mo e Ciê alarmowaæ w razie pojawienia siê wpisu rejestru, który oznacza k³opoty. Wiêcej o tym programie mo esz siê dowiedzieæ na stronie: Monitorowanie u ywanego pasma sieci za pomoc¹ MRTG Monitorowanie iloœci pasma, u ywanego na Twoich serwerach pozwala na uzyskanie bardzo u ytecznych informacji. Najpraktyczniejszym zastosowaniem jest sprawdzenie, czy serwery nie s¹ za wolne i czy nie wymagaj¹ ulepszenia. Pokazuj¹c poziom obci¹ enia zarz¹dowi Twojej firmy powinieneœ bez problemu uzasadniæ tê potrzebê. Mo esz tak e przedstawiæ dane w postaci grafu przedstawiciele zarz¹du uwielbiaj¹ grafy! Innym po ytecznym aspektem monitorowania u ywanego pasma sieci jest identyfikacja w¹skich garde³ w systemie, co pomo e Ci w lepszy sposób rozk³adaæ obci¹ enie systemu. Ale najwa niejszym aspektem tego dzia³ania jest okreœlenie, kiedy sprawy nabieraj¹ z³ego obrotu. Gdy zainstalujesz pakiet MRTG (Multi Router Traffic Grapher, dostêpny pod adresem: monitoruj¹cy pasmo, to szybko wyrobisz sobie kryteria, co jest normalne w Twojej sieci. Nag³y spadek lub wzrost obci¹ enia jest czymœ, co nale y zbadaæ. SprawdŸ wtedy pliki rejestru oraz pliki konfiguracyjne w poszukiwaniu dziwnych wpisów.

11 Rozdzia³ 11: Zabezpieczanie pojedynczego serwera 261 COPS Narzêdzie COPS (Computer Oracle Password System) dostarcza prostej i zautomatyzowanej metody sprawdzania nietypowych ustawieñ systemu. Takie sprawdzanie zawiera poszukiwanie w katalogach domowych programów SetUID nietypowych ustawieñ pozwoleñ, plików konfiguracyjnych, które ods³aniaj¹ Twój system œwiatowi zewnêtrznemu bez autoryzacji, itd. Jedn¹ z najwa niejszych funkcji programu COPS jest to, e jest on zaprojektowany do automatycznego uruchamiania za pomoc¹ programu cron (wiêcej o cron w rozdziale 9) ka dej nocy. Raport, jeœli jest w ogóle co raportowaæ, jest wysy³any do Ciebie poczt¹ elektroniczn¹. Najnowsz¹ wersjê programu COPS mo na œci¹gn¹æ z lokacji: ftp://ftp.cert.org/pub/ tools. TripWire TripWire, który obecnie jest pakietem komercyjnym, posiada doœæ chore podejœcie do bezpieczeñstwa: jeœli cokolwiek siê zmienia, to TripWire Ciê o tym powiadamia. Takie podejœcie jednak zmniejsza szansê postawienia sobie przez kogoœ tylnej furtki lub bomby zegarowej w Twoim systemie. TripWire generuje i zapisuje w zakodowanym formacie sumê kontroln¹ MD5 dla ka dego pliku w systemie. Gdy chcesz sprawdziæ, czy coœ siê zmieni³o, to mo esz porównaæ zapisane sumy z nowo wyliczonymi sumami kontrolnymi wszystkich plików w systemie. Wszystkie zmiany bêd¹ Ci pokazane. Sposób u ycia tego programu powinien byæ nastêpuj¹cy: instalujemy system i konfigurujemy go do pod³¹czenia do sieci. Przed samym pod³¹czeniem uruchamiamy program TripWire, aby wygenerowa³ i zapisa³ sumy kontrolne. Mo esz byæ spokojny o ich listê, jest ona zakodowana i zapisana na dysku. U ywanie programu TripWire niestety jest doœæ czasoch³onne, ale oprócz od³¹czenia systemu od sieci, trudno jest lepiej zabezpieczyæ system. SATAN SATAN (System Administrators Tool or Analyzing Networks narzêdzie administratorów systemu do analizy sieci) zosta³o wypuszczone i spopularyzowa³o siê w po³owie lat 90. na fali sugestii prasowych, e jest to zestaw narzêdzi hackerów. Sam autor, Dan armer, tak e deklarowa³, e w mniejszym lub wiêkszym stopniu by³ to zestaw narzêdzi hackerów, ale przeznaczony raczej dla administratorów systemu, a nie dla szkodników. SATAN dzia³a przez sprawdzanie sieci w poszukiwaniu potencjalnych dziur w zabezpieczeniach. Program ten jest szczególnie interesuj¹cy, poniewa mo e dzia³aæ z obu stron: wewn¹trz sieci (dla Ciebie) i z zewn¹trz (przeciwko Tobie). Gdy program jest uruchamiany z zewn¹trz, jest efektywnym narzêdziem do ujawniania luk w firewallach, gdy natomiast uruchamiany go z hosta znajduj¹cego siê wewn¹trz sieci, to mo emy w ³atwy sposób wykazaæ s³aboœæ wewnêtrznych zabezpieczeñ.

12 262 LINUX - ADMINISTRACJA - KURS PODSTAWOWY Pomimo e SATAN jest doœæ starym programem i nie rozpoznaje wielu z nowoczesnych metod atakowania, to robi on coœ, co mo na okreœliæ jako przekrêæ klamkê, aby sprawdziæ, czy siê otworzy, co jest niemniej wa ne. Powinieneœ z góry za³o yæ, e inni spróbuj¹ u yæ tego programu przeciwko Tobie, sprawdÿ wiêc za pomoc¹ tego programu, czy Twój system ma jakieœ s³abe punkty i napraw je najszybciej, jak to mo liwe. Podobnie jak COPS, pogram SATAN mo na znaleÿæ pod adresem ftp://ftp.cert.org/ pub/tools. POMOCNE STRONY INTERNETOWE I LISTY DYSKUSYJNE Podobnie jak w przypadku TCP/IP, dostêpnych jest o wiele wiêcej informacji na temat bezpieczeñstwa sieci, ni mo emy opisaæ w tym rozdziale. Najlepszym sposobem bycia ca³y czas na bie ¹co jest regularne odwiedzanie stron internetowych i czytanie list dyskusyjnych zajmuj¹cych siê tym tematem. Mo na tam znaleÿæ regularnie pojawiaj¹ce siê og³oszenia oraz programy. CERT Pierwsz¹ i najlepsz¹ stron¹, na której mo na znaleÿæ rzetelne i regularne informacje o bezpieczeñstwie systemu jest strona Computer Emergency Response Team (CERT): Pojawiaj¹ siê tu czêste og³oszenia i narzêdzia do zabezpieczania sieci. Jeszcze bardziej imponuj¹ca jest mo liwoœæ telefonicznego kontaktu z CERT, aby znaj¹cy siê na rzeczy ludzie pomogli Ci w radzeniu sobie z atakami na Twoj¹ sieæ. Informacje na temat kontaktu telefonicznego znajduj¹ siê na stronie CERT. Mo esz tak e przy³¹czyæ siê tutaj do listy dyskusyjnej comp.security.announce oraz do listy pocztowej CERT, aby otrzymywaæ og³oszenia od CERT. Rzadko zdarza siê, aby pojawi³y siê wiêcej ni dwa og³oszenia na miesi¹c, nie martw siê wiêc o zapchanie Twojej, pewnie ju pe³nej skrzynki, dodatkowymi listami. BugTraq Innym dobrym Ÿród³em informacji jest lista BugTraq. Lista ta ma doœæ du y ruch, ale poniewa wiadomoœci s¹ klasyfikowane, to nie musisz siê martwiæ o bezu yteczne spamy zajmuj¹ce Twoj¹ skrzynkê. Dyskusje nie s¹ konkretnie o bezpieczeñstwie, ale raczej o powa nych b³êdach, które maj¹ wp³yw na wszystkie typy systemów. Jako administrator systemu, znajdziesz tutaj wiele u ytecznych informacji. Informacje na temat przy³¹czenia siê do BugTraq mo na znaleÿæ na stronie Znajdziesz tam tak e archiwum poprzednich dyskusji. Rootshell Strona ostatnio zdobywa coraz wiêksz¹ popularnoœæ ze wzglêdu na liczbê dziur w bezpieczeñstwie, jakie s¹ tam codziennie og³aszane. Nie

13 Rozdzia³ 11: Zabezpieczanie pojedynczego serwera 263 prowadzi ona listy dyskusyjnej, ale pojawia siê na niej od 30 do 40 zagadnieñ dotycz¹cych bezpieczeñstwa wszystkich systemów operacyjnych miesiêcznie. Wiele raportów zawiera przyk³adowe narzêdzia, które pozwalaj¹ Ci sprawdziæ, czy Twój system jest zabezpieczony. Security ocus Podobnie do Rootshell, Security ocus ( jest w pe³ni jawn¹ stron¹ na temat zagadnieñ bezpieczeñstwa wszystkich systemów operacyjnych. Jest ona prowadzona w sposób aktywny; nowe informacje pojawiaj¹ siê niemal codziennie. Zawiera ona tak e ³¹cza do innych stron o tej tematyce. INNE ZAGADNIENIA BEZPIECZEÑSTWA Zanim przejdziemy do nastêpnego rozdzia³u, pragnê przedstawiæ te zagadnienia zwi¹zane z bezpieczeñstwem, które nie maj¹ nic wspólnego z systemem Linux, ale które sprawiaj¹ i zawsze bêd¹ sprawia³y problem. Pierwsze to bezpieczeñstwo przez tajemnicê. Te s³owa opisuj¹ zachowanie ludzi, którzy naiwnie myœl¹, e dziêki utrzymywaniu w tajemnicy swojego systemu albo jakichœ dzia³añ ich system jest bezpieczny. Jest to po prostu nieprawda. Programy mog¹ byæ dekompilowane, co mo e dostarczyæ wiêcej informacji o wnêtrzu systemu sieciowego ni chcielibyœmy ujawniæ. Klasycznym przyk³adem tego, e bezpieczeñstwo przez tajemnicê nie dzia³a jest PGP (Preety Good Privacy ca³kiem niez³a prywatnoœæ, / Poniewa jego kod i algorytmy zosta³y ujawnione œwiatu i sprawdzone przez ekspertów w dziedzinie kryptografii, to PGP jest uwa any za najbezpieczniejsz¹ metodê przechowywania informacji. aden inny system kryptograficzny nie osi¹gn¹³ jeszcze takiego poziomu zaufania. Drugim zagadnieniem jest in ynieria spo³eczna. Jest to zjawisko, w którym przysz³y w³amywacz u ywa telefonu, zanim podejdzie do klawiatury. Niewiarygodne, jak du o mo na siê dowiedzieæ wykonuj¹c kilka telefonów, podaj¹c siê za przedstawiciela w³adz i wyci¹gaj¹c od nic nie podejrzewaj¹cych ludzi informacje. Ta technika jest zazwyczaj u ywana przez reporterów, chc¹cych uzyskaæ informacje o jakimœ wydarzeniu. In ynieria spo³eczna dzia³a tak e do wyci¹gania hase³, informacji o infrastrukturze sieciowej, systemach operacyjnych, itd. Jedynym sposobem na zapobie enie naruszeniu przez in ynieriê spo³eczn¹ bezpieczeñstwa Twojej sieci jest pouczenie u ytkowników systemu. Powinni oni byæ ostrze eni przed ujawnianiem wa nych informacji osobie pytaj¹cej o nie przez telefon. Zasady nie musz¹ byæ skomplikowane, ale efektywne, na przyk³ad: Jeœli ktokolwiek pyta o Twoje has³o, niezw³ocznie zg³oœ to administratorowi. Ostatnim zagadnieniem jest bezpieczeñstwo fizyczne. Polega ono na zabezpieczeniu Twoich komputerów przez bezpoœrednim niepowo³anym dostêpem. Jest to konieczne, poniewa osoba, która ma fizyczny dostêp do komputera mo e zrobiæ z nim, co tylko zechce od prostego dzia³ania, polegaj¹cego na wy³¹czeniu g³ównego serwera (potencjalnie zabójczy krok w œwiecie serwerów internetowych) do bardziej wyszukanego

14 264 LINUX - ADMINISTRACJA - KURS PODSTAWOWY dzia³ania, polegaj¹cego na za³o eniu pluskwy na ³¹czu sieciowym, co umo liwia monitorowane ca³ego ruchu w sieci, kradzie hase³, itd. Oczywiœcie, oba te przypadki s¹ ekstremalne. Realny atak mo e polegaæ na tym, e ktoœ mo e próbowaæ uruchomiæ system z dyskietki rozruchowej pod³¹czaj¹c Twój g³ówny system plików, a nastêpnie tworz¹c dla siebie konto, aby mo na by³o póÿniej uzyskaæ zdalny dostêp do systemu. Jest tak e prostszy scenariusz: nagle mo e siê okazaæ, e Twój system nie posiada pamiêci RAM albo nowo zakupionych (czytaj: drogich) procesorów. Mój punkt widzenia jest taki: mo esz posiadaæ najwy szy poziom bezpieczeñstwa elektronicznego, ale niepowo³ana osoba, posiadaj¹ca fizyczny dostêp do Twojego komputera mo e z ³atwoœci¹ namieszaæ w systemie. Chroñ wiêc swoje maszyny! PODSUMOWANIE Bezpieczeñstwo jest jednym z tych tematów, o których nigdy nie mo na powiedzieæ wystarczaj¹co du o. Podczas pisania tego rozdzia³u rozwa a³em poruszenie wielu innych tematów, które s¹ daleko poza zakresem tej ksi¹ ki. Omówienie tych tematów wymaga³oby jednak powiêkszenia tej ksi¹ ki o wiele dodatkowych rozdzia³ów. Nie rezygnuj z przyjmowania aktywnej postawy w badaniu zagadnieñ bezpieczeñstwa Twojego systemu. Jest to niesamowicie czasoch³onne zajêcie, ale nie mo e ono byæ zignorowane w erze z³o onych sieci i systemów operacyjnych. Jeœli Twoje œrodowisko jest podobne do typowego w dzisiejszych czasach, to prawdopodobnie posiadasz komputery pracuj¹ce na kilku ró nych systemach operacyjnych; musisz zapewniæ bezpieczeñstwo dla wszystkich.