shiori bilan xavfsizlikning eng muhim afsonalaridan biriga qarshi turish uchun: "Xavfsizlik bu jarayon,

mahsulot emas ”. Himoyalanadigan aktivlar vaqt o'tishi bilan o'zgarib boradi, tahdidlar ham va

potentsial hujumchilar uchun mavjud bo'lgan vositalar. Dastlab xavfsizlik siyosati amalga oshirilgan bo'lsa ham

mukammal ishlab chiqilgan va amalga oshirilgan, siz hech qachon erishilgan yutuqlarga to'xtamasligingiz kerak. Xavf

komponentlar rivojlanib boradi va ushbu xavfga javob tegishli ravishda rivojlanishi kerak.

Qo'shimcha cheklovlarni ham hisobga olish kerak, chunki ular mavjud doirani cheklashlari mumkin

siyosatlar. Tizimni xavfsizligini ta'minlash uchun qancha masofaga borishga tayyormisiz? Bu savol katta ta'sir ko'rsatadi

qaysi siyosatni amalga oshirish. Ko'pincha, javob faqat pul xarajatlari bilan belgilanadi,

150

tizim foydalanuvchilari yoki ishlashning pasayishi.

Xavf modellashtirilgandan so'ng, siz haqiqiy xavfsizlik siyosatini ishlab chiqish haqida o'ylashni boshlashingiz mumkin.

Xavfsizlikni himoya qilish darajasini belgilashda haddan tashqari haddan tashqari kuchlar mavjud

asrab olish. Bir tomondan, tizimning asosiy xavfsizligini ta'minlash juda oddiy bo'lishi mumkin.

Forinstance, agar tizim himoyalangan bo'lsa, faqat ikkinchi darajali kompyuterni o'z ichiga oladi, faqatgina

bu kun oxirida bir nechta raqamlarni qo'shib, himoya qilish uchun maxsus narsa qilmaslikka qaror qildi

bu juda o'rinli bo'lar edi. Tizimning ichki qiymati past va ma'lumotlarning qiymati

nolga teng, chunki ular kompyuterda saqlanmaydi. Ushbu tizimga kirib borishi mumkin bo'lgan tajovuzkor

faqat kalkulyatorga ega bo'ladi. Bunday tizimni ta'minlash qiymati, ehtimol, kattaroq bo'lishi mumkin

buzilish qiymati.

Spektrning boshqa uchida siz maxfiy ma'lumotlarning maxfiyligini himoya qilishni xohlashingiz mumkin

mumkin bo'lgan eng keng qamrovli usul, boshqa har qanday mulohazani soxtalashtirish. Bunday holda, tasdiqlangan

priate javobi ma'lumotlarning to'liq yo'q qilinishi (fayllarni xavfsiz o'chirish, maydalash) bo'lishi mumkin

thedharddiskstobits, so'ngra bu bititsinatsidni eritib yuborish) Ifthereisanadditionalrequire-

kelgusida foydalanish uchun ma'lumotlar saqlanishi kerakligini yodda tuting (bu osonlikcha mavjud bo'lmasa ham),

va agar narx hali ham omil bo'lmasa, unda boshlang'ich ma'lumot iridiy-platinada saqlanadi

dunyodagi turli tog'lar ostida bomba saqlanadigan bunkerlarda saqlanadigan qotishma plitalari, ularning har biri

(albatta) ham yashirin, ham butun qo'shinlar tomonidan qo'riqlanadi.

Bu misollar juda tuyulishi mumkin, ammo ular bunga munosib javob bo'lishi mumkin

hisobga olinadigan fikrlash jarayoni natijasi ekan, ma'lum bir aniqlangan xatarlar

maqsadli do'kon va cheklovlarni to'ldirish. Qarorni qabul qilish paytida, xavfsizlik

siyosat boshqalarga qaraganda ko'proq yoki kamroq hurmatga sazovor.

Odatda odatiy holatga qaytadigan bo'lsak, axborot tizimini izchil va

asosan mustaqil quyi tizimlar. Har bir quyi tizim o'z talablari va cheklovlariga ega bo'ladi,

va shuning uchun xavfni baholash va xavfsizlik siyosatini ishlab chiqish alohida amalga oshirilishi kerak

har biriga. Shuni yodda tutish kerakki, kichik hujum yuzasini himoya qilish a ga qaraganda osonroq

katta. Tarmoq tashkiloti ham shunga muvofiq ishlab chiqilishi kerak: nozik xizmatlar

kam sonli mashinalarda to'plangan bo'lishi kerak va bu mashinalar faqat

minimal marshrutlar yoki nazorat punktlari orqali to'xtash. Mantiq to'g'ri: bu osonroq

barcha sezgir mashinalarni butunligidan himoya qilishdan ko'ra, ushbu nazorat punktlarini himoya qilish

tashqi dunyo. Aynan shu vaqtda tarmoqni filtrlashning foydaliligi (shu jumladan, xavfsizlik devorlari tomonidan)

aniq bo'ladi. Ushbu filtrlashni maxsus jihozlar yordamida amalga oshirish mumkin, ammo oddiyroq va

yanada moslashuvchan echim Linux yadrosiga o'rnatilgan dasturiy ta'minot xavfsizlik devoridan foydalanishdir.

151

7-bob - Kali Linux-ning xavfsizligi va monitoringi

Oldingi bo'limda aytib o'tilganidek, Kalini qanday ta'minlash kerakligi haqidagi savolga bitta javob yo'q

Linux. Hammasi uni qanday ishlatishingizga va nimani himoya qilishga harakat qilayotganingizga bog'liq.

7.2.1. Serverda

Agar siz Kali Linux-ni umumiy foydalanish mumkin bo'lgan serverda ishlatsangiz, ehtimol siz tarmoq serverlarini himoya qilishni xohlaysiz.

sozlanishi mumkin bo'lgan har qanday standart parollarni o'zgartirish orqali buzilishlar ( 7.3- bo'limga qarang) , “ Tarmoq xavfsizligini ta'minlash

yozildi  7,4 , " Firewall yoki paketi filtrlash”[153-bet]).

Agar siz foydalanuvchi hisoblarini to'g'ridan-to'g'ri serverda yoki xizmatlardan birida tarqatsangiz, buni xohlaysiz

kuchli parollarni o'rnatganingizga ishonch hosil qiling (ular qo'pol hujumlarga qarshi turishlari kerak). Xuddi shu paytni o'zida,

tarmoq (muvaffaqiyatsiz kirish urinishlari chegarasidan oshib ketgan IP-manzillarni filtrlash orqali). O'rnatish

Agar siz veb-xizmatlardan foydalansangiz, ularni HTTPS orqali joylashtirishni xohlashingiz mumkin.

sizning trafikingizni hidlashdan saqlanadigan kundaliklar (bu autentifikatsiya cookies-fayllarini o'z ichiga olishi mumkin).

7.2.2. Noutbukda

Penetratsiyani sinovdan o'tkazadigan noutbukda ommaviy server kabi xavflar mavjud emas: masalan,

senariy kididlaridan tasodifiy tekshiruvlarga duchor bo'lish ehtimoli kamroq va hatto siz ham

ehtimol biron bir tarmoq xizmati yoqilmagan bo'ladi.

Haqiqiy xavf ko'pincha bir mijozdan ikkinchisiga sayohat qilganingizda paydo bo'ladi. Masalan, sizning tizza kompyuteringiz

sayohat paytida o'g'irlanishi yoki bojxona tomonidan olib qo'yilishi mumkin. Shuning uchun siz to'liq foydalanishni xohlaysiz

diskni shifrlash ( 4.2.2 bo'limiga qarang  , « To'liq shifrlangan fayl tizimiga o'rnatish”[85-bet]) va

ehtimol "nuke" xususiyatini sozlang (qarang: "Qo'shimcha xavfsizlik uchun Nuke parolini qo'shish”[246-bet]):

sizning kelishuvlaringiz davomida yig'ilgan ma'lumotlar, maxfiy va eng zarur narsalar

himoya qilish.

Sizga xavfsizlik devori qoidalari ham kerak bo'lishi mumkin (bo'limga qarang 7.4 , "Xavfsizlik devori yoki paketlarni filtrlash”[153-bet]), ammo unday emas

serverda bo'lgani kabi. Dan tashqari barcha tashqi trafikni taqiqlashni xohlashingiz mumkin

sizning VPN-ga kirish orqali hosil qilingan trafik. Bu xavfsizlik tarmog'i sifatida, VPN ishlamay qolganda,

darhol buni sezasiz (mahalliy tarmoqqa qaytish o'rniga). Shunday qilib, siz

Internetda yoki boshqa Internetda ishlayotganingizda, mijozlaringizning IP-manzillarini oshkor qilmang

tadbirlar. Bundan tashqari, agar siz mahalliy ichki ishni bajarayotgan bo'lsangiz, unda qolish yaxshiroqdir

sizni ogohlantirishi mumkin bo'lgan tarmoqdagi shovqinni kamaytirish uchun barcha harakatlaringizni boshqarish

mijoz va ularning mudofaa tizimlari.

152

Umuman olganda, siz foydalanmaydigan xizmatlarni o'chirib qo'yish yaxshidir. Kali buni qilishni osonlashtiradi

chunki ko'pchilik tarmoq xizmatlari sukut bo'yicha o'chirib qo'yilgan.

Xizmatlar o'chirib qo'yilgan ekan, ular xavfsizlikka tahdid solmaydi. Biroq, siz shunday bo'lishingiz kerak

ularni yoqishda ehtiyot bo'ling, chunki:

• sukut bo'yicha xavfsizlik devori mavjud emas, shuning uchun ular barcha tarmoq interfeyslarini tinglasalar, ular samarali bo'ladi

hammaga ochiq.

• ba'zi xizmatlarda autentifikatsiya ma'lumotlari yo'q va ularni birinchi foydalanishga o'rnatishga ruxsat berish; boshqalar

standart (va shuning uchun keng tanilgan) hisobga olish ma'lumotlariga oldindan o'rnatilgan bo'lishi kerak. Parolni qayta o'rnatganingizga ishonch hosil qiling

faqat siz biladigan narsaga.

• ko'plab xizmatlar to'liq administrator imtiyozlari bilan ildiz sifatida ishlaydi, shuning uchun noxush oqibatlar

xurujli kirish yoki xavfsizlikni buzish odatda jiddiy hisoblanadi.

tekshirish README.Debian tegishli paketlar faylni, shuningdek docs.kali.org 1

va Tools.kali.org 2 xizmatni ta'minlash uchun ba'zi bir ehtiyotkorlik zarurligini tekshirish uchun.

Agar siz jonli rejimda ishlasangiz , root hisobining paroli " toor" dir . Siz shunday qilishingiz kerak

root hisobining parolini o'zgartirishdan oldin yoki unga kirishdan oldin SSH-ni yoqmang

parolga asoslangan kirishni taqiqlash uchun uning konfiguratsiyasini o'zgartirdi.

Shuni ham unutmangki, BeEF loyihasi (allaqachon o'rnatilgan beef-xss to'plamidan )

foydalanuvchi standart ma'lumotlariga ega ekanligi ma'lum bo'lgan "mol go'shti", parol "mol go'shti") kodida kodlangan

xato konfiguratsiya fayli.

7.4. Xavfsizlik devori yoki paketlarni filtrlash

A , xavfsizlik devori in- ajralish apparat, dasturiy ta'minot, yoki har ikkalasi bilan kompyuter texnikasini bir parcha

chiquvchi yoki chiquvchi tarmoq paketlari (mahalliy tarmoqqa kirish yoki undan chiqish) va faqat ruxsat beradi

oldindan aniqlangan shartlarga mos keladiganlar orqali.

Filtrlovchi tarmoq shlyuzi - bu butun tarmoqni himoya qiladigan xavfsizlik devorining bir turi. Odatda shunday bo'ladi

barchasini ajratib turishi uchun tarmoq uchun shlyuz sifatida sozlangan maxsus mashinaga o'rnatildi

paketlar to'plami Shu bilan bir qatorda, alokalfirlov hammasi bo'lib xizmat ko'rsatadigan xizmatga tegishli

ushbu mashinadagi ba'zi xizmatlarni filtrlash yoki ularga kirishni cheklash uchun bitta mashinada ishlaydi,

yoki ehtimol foydalanuvchi xohlagan holda yoki xohlamagan holda yolg'on dasturiy ta'minot bilan chiqadigan ulanishlarni oldini olish uchun

o'rnatilgan.

1

https://docs.kali.org

2018-04-02 121 2

153

xavfsizlik devori, chunki tarmoq va foydalanuvchi talablari farq qiladi. Biroq, siz netfilterni foydalanuvchidan boshqarishingiz mumkin

bo'sh joy iptables va ip6tables buyruqlari. Buyruqlar orasidagi farq

birinchisi IPv4 tarmoqlarida ishlaydi, ikkinchisi IPv6 da ishlaydi. Ikkala tarmoqdan beri

protokol to'plamlari, ehtimol, ko'p yillar davomida mavjud bo'lib, ikkala vositani ham parallel ravishda ishlatish kerak bo'ladi.

Bundan tashqari siz GUI-ga asoslangan fwbuilder -ning mukammal vositasidan foydalanishingiz mumkin, bu esa grafik tasvirlarni taqdim etadi.

filtrlash qoidalarining qoidalari.

Ammo siz uni sozlashga qaror qilsangiz ham, netfilter Linuxning xavfsizlik devorini amalga oshiradi, shuning uchun

qanday ishlashini batafsil ko'rib chiqing.

7.4.1. Netfilter harakati

• filtr filtrlash qoidalariga tegishli (paketni qabul qilish, rad etish yoki e'tiborsiz qoldirish);

• nat (Tarmoq manzili tarjimasi) manba yoki manzil manzillarining tarjimasiga taalluqlidir

va paketlar portlari;

• manglay IP-paketlaridagi boshqa o'zgarishlar bilan bog'liq (shu jumladan, ToS - Xizmat turi - maydon)

va variantlar);

• xom-ashyo paketga ulanish yo'lidan oldin boshqa qo'lda o'zgartirishga imkon beradi -

ing tizimi.

Har bir jadvalda zanjir deb nomlangan qoidalar ro'yxati mavjud . Xavfsizlik devori paketlarni boshqarish uchun standart zanjirlardan foydalanadi

oldindan belgilangan holatlarga asoslanib. Administrator boshqa zanjirlarni yaratishi mumkin, bu faqat

standart zanjirlardan biri (to'g'ridan-to'g'ri yoki bilvosita) tomonidan ko'rsatilganda ishlatilishi mumkin.

Filtrlar jadvalida uchta standart zanjir mavjud:

• INPUT: manzili xavfsizlik devori bo'lgan paketlarga tegishli;

• OUTPUT: xavfsizlik devori chiqaradigan paketlarga tegishli;

• Oldinga: xavfsizlik devori orqali o'tadigan paketlarga tegishli (bu ularning manbasi ham emas)

na ularning borishi).

Nat jadvalida uchta standart zanjir mavjud:

• PREROUTING: paketlar kelishi bilanoq ularni o'zgartirish;

• POSTROUTING: yo'lga chiqishga tayyor bo'lganda paketlarni o'zgartirish;

• OUTPUT: xavfsizlik devori tomonidan yaratilgan paketlarni o'zgartirish uchun.

Ushbu zanjirlar 7.1- rasmda tasvirlangan , " Qanday Netfilter Zanjirlar deyiladi [sahifa 155]".

154

Har bir zanjir qoidalar ro'yxati; har bir qoida - bu shartlar to'plami va qachon bajarilishi kerak bo'lgan harakat

shartlar bajariladi. Paketni qayta ishlashda xavfsizlik devori tegishli zanjirni tekshiradi, bitta qoida

ikkinchisidan keyin va bitta qoida uchun shartlar bajarilganda, u sakraydi (shuning uchun -j varianti

buyruqlar) qayta ishlashni davom ettirish uchun belgilangan harakatga. Eng keng tarqalgan xatti-harakatlar stan-

jasoratli va maqsadga muvofiqlik mavjud. Oddiy harakatlarni to'xtatish, ularni to'xtatish

zanjirni qayta ishlash, chunki paketlar taqdiri allaqachon muhrlangan (istisno qilinmagan holda aytib o'tilgan)

quyida). Quyida Netfilter amallari keltirilgan.

• QABUL QILING: paketning o'z yo'lida ketishiga imkon bering.

• REJECT: Internet-boshqaruv xabarlari protokoli (ICMP) bilan paketni rad etish

( iptables -reject-with turi opsiyasi yuboriladigan xato turini aniqlaydi).

• DROP: paketni o'chirish (e'tiborsiz qoldirish).

• LOG: log ( syslogd orqali ) paket tavsifi bilan xabar. Ushbu harakatga e'tibor bering

ishlov berishni to'xtatmaydi va zanjirning bajarilishi keyingi qoidada davom etadi,

qaysi logotipdan voz kechilgan paketlardan ikkalasini ham talab qiladiLOGANDREJECT / DROP qoidasi. Umumiy

ro'yxatga olish bilan bog'liq parametrlarga quyidagilar kiradi:

xabarga kiritilgan: navbati bilan TCP tartib raqami, TCP parametrlari va

IP-parametrlar.

• ULOG: ulogd orqali xabarni ro'yxatdan o'tkazing , u moslashtirilishi va samaraliroq bo'lishi mumkin

ko'p sonli xabarlarni boshqarish uchun syslogd ; LOG singari ushbu harakat ham qayta

qayta ishlashni qo'ng'iroq zanjiridagi keyingi qoidaga o'tkazadi.

• zanjir nomi : berilgan zanjirga sakrab o'ting va uning qoidalarini baholang.

155

joriy zanjir standart zanjir, chaqiruv zanjiri yo'q, shuning uchun standart harakat (belgilangan)

o'rniga iptables -P opsiyasi bilan ) amalga oshiriladi.

• SNAT (faqat nat jadvalida): manba tarmoq manzili tarjimasini (SNAT) qo'llang . Qo'shimcha imkoniyatlar

qo'llaniladigan aniq o'zgarishlarni tavsiflang, shu jumladan - manba manzili : port opsiyasi, bu

yangi manba IP-manzilini va / yoki portni belgilaydi.

• DNAT (faqat nat jadvalida): Destination Network Address Translation (DNAT) dasturini qo'llang. Qo'shimcha ish

manzilga manzilni o'z ichiga olgan holda, aniq o'zgartirishlarni belgilang : port opsiyasi,

bu yangi manzil IP-manzilini va / yoki portni belgilaydi.

• MASQUERADE (faqat nat jadvalida): maskaralashni qo'llang ( Source NAT- ning alohida holati ).

• REDIRECT (faqat nat jadvalida): paketni shaffof ravishda berilgan portga yo'naltirish

xavfsizlik devorining o'zi; bu shaffof veb-proksi-serverni sozlash uchun ishlatilishi mumkin, u hech qanday kelishuvsiz ishlaydi.

mijoz tomonida figuratsiya, chunki mijoz uni qabul qiluvchiga ulanadi, deb o'ylaydi

aloqa aslida proksi orqali o'tadi. --To-portlar port (lar) opsiyasi

paket yoki yo'naltiriladigan port oralig'i.

Boshqa harakatlar, xususan manglay stoliga oid harakatlar, ushbu matn doirasidan tashqarida.

Iptables (8) va ip6tables (8) odam sahifalar keng qamrovli ro'yxat bor.

ICMP nima? Internet Control Message Protocol (ICMP) - bu yordamchi uzatishda ishlatiladigan protokol

aloqa to'g'risidagi ma'lumotlar. U tarmoq ulanishini ping com bilan sinovdan o'tkazadi.

mand, bu qabul qiluvchiga mo'ljallangan ICMP echo so'rovi xabarini yuboradi

ICMP echo javob xabari bilan javob bering . Bu xavfsizlik devorining paketni rad etishini bildiradi.

qabul qilish buferidagi to'ldirishni belgilaydi, keyingi paketlar uchun yaxshiroq marshrutni taklif qiladi

ulanish va boshqalar. Ushbu protokol bir nechta RFC hujjatlari bilan belgilanadi. RFC777

va RFC792 birinchi bo'lib, boshqalarning ko'plari protokolni kengaytirdilar va / yoki qayta ko'rib chiqdilar.

² http://www.faqs.org/rfcs/rfc777.html

² http://www.faqs.org/rfcs/rfc792.html

Ma'lumot uchun, qabul qiluvchi bufer - bu vaqt oralig'ida ma'lumotlarni saqlaydigan kichik xotira zonasi

u tarmoqdan keladi va yadro uni boshqaradigan vaqt. Agar ushbu zona to'la bo'lsa, yangi

ma'lumotlar qabul qilinmaydi va ICMP muammoni signal beradi, shunda emitent sekinlashishi mumkin

uning uzatish tezligini pasaytiradi (bu bir muncha vaqt o'tgach muvozanatni saqlashi kerak).

E'tibor bering, IPv4 tarmog'i ICMP holda ishlashga qodir bo'lsa ham, ICMPv6 qat'iyan qayta ishlaydi.

IPv6 tarmog'i uchun talab qilingan, chunki u IPv4-da bo'lgan bir nechta funktsiyalarni birlashtiradi

dunyo, ICMPv4, Internet guruhiga a'zolik protokoli (IGMP) va Ad-

² http://www.faqs.org/rfcs/rfc4443.html

156

Kali Linux ochildi

Iptables va ip6tables buyruqlar jadvallar, zanjirlarni va qoidalarini manipulyatsiya uchun ishlatiladi. Ularning

-t jadval opsiyasi qaysi jadvalda ishlashni bildiradi (sukut bo'yicha filtr).

Buyruqlar

Zanjirlar bilan o'zaro aloqaning asosiy variantlari quyida keltirilgan:

• -L zanjiri zanjirdagi qoidalarni sanab beradi. Odatda bu o'chirish uchun -n opsiyasi bilan ishlatiladi

nom o'lchamlari (masalan, iptables -n -L INPUT in- ga tegishli qoidalarni aks ettiradi

keladigan paketlar).

• -N zanjiri yangi zanjir hosil qiladi. Maqsadlar uchun yangi zanjirlar, shu jumladan

yangi tarmoq xizmatini sinovdan o'tkazish yoki tarmoq hujumini oldini olish.

• -X zanjiri bo'sh va foydalanilmagan zanjirni o'chiradi (masalan, iptables -X ddos-hujum ).

• -Zanjir qoidasi berilgan zanjirning oxiriga qoida qo'shadi. Qoidalar qayta ishlanganligini unutmang

yuqoridan pastgacha, shuning uchun qoidalarni qo'shishda buni yodda tuting.

• Men qoida_num zanjiri qoida qo'shimchalari tartibida raqamlar qoidalari_num . Asviththe-Aoption,

zanjirga yangi qoidalarni kiritishda ishlov berish tartibini yodda tuting.

• -D zanjir qoidasi_num (yoki -D zanjir qoidasi ) zanjirdagi qoidani o'chiradi; birinchi sintaksis

qoida raqami bilan o'chirilishi kerak ( iptables -L - layn-number bu raqamlarni aks ettiradi -

bers), ikkinchisi esa uni tarkibiga qarab belgilaydi.

• -F zanjiri zanjirni yuvadi (uning barcha qoidalarini o'chirib tashlaydi). Masalan, tegishli barcha qoidalarni o'chirish uchun

chiquvchi paketlarga siz iptables -F OUTPUT-ni ishlatasiz . Agar zanjir haqida so'z yuritilmasa, barchasi

jadvaldagi qoidalar o'chirildi.

• -P zanjiri harakati ma'lum bir zanjir uchun standart harakatni yoki "siyosatni" belgilaydi; faqat stan- ekanligini unutmang

dard zanjirlari bunday siyosatga ega bo'lishi mumkin. Barcha kiruvchi trafikni sukut bo'yicha o'chirish uchun siz ishlaysiz

iptables -P INPUT DROP .

Qoidalar

Har bir qoida sifatida ifoda etiladi shartlar -j harakat action_options . Agar bir nechta shartlar tavsiflangan bo'lsa

xuddi shu qoidada, mezon shartlarning birlashmasi (mantiqiy VA ) bo'lib, u erda

har bir alohida shart kabi eng kam cheklov.

-P protokoli sharti IP paketining protokol maydoniga mos keladi. Eng keng tarqalgan qadriyatlar

tcp, udp, icmp va icmpv6. Ushbu shart TCP-dagi shartlar bilan to'ldirilishi mumkin

portlar, -source-port port va --destination-port port kabi bandlar bilan .

157

-p variantidagi shartni bekor qilish "boshqa protokolga ega bo'lgan har qanday paketga mos keladi

ko'rsatilganidan ko'ra. ” Ushbu inkor qilish mexanizmi boshqa barcha sharoitlarda qo'llanilishi mumkin.

tions ham.

-S manzili yoki -s tarmoq / niqob holati paketning manba manziliga mos keladi. To'g'ri

-d- manzil yoki -d- tarmoq / niqob belgilangan manzilga mos keladi.

-I interfeysi holati berilgan tarmoq interfeysidan keladigan paketlarni tanlaydi. - interfeys

ma'lum bir interfeysda chiqadigan paketlarni tanlaydi.

- davlat holati ulanishdagi paket holatiga mos keladi (buning uchun ipt_ kerak

conntrack yadro moduli, ulanishni kuzatish uchun). YANGI holat paketning boshlanishini tavsiflaydi

ESTABLISHED yangi ulanish allaqachon mavjud ulanishga tegishli paketlarga mos keladi,

va RELATED mavjud bo'lgan bilan bog'liq bo'lgan yangi ulanishni boshlaydigan paketlarga mos keladi (ya'ni

FTP protokolining "faol" rejimida ftp-ma'lumot ulanishlari uchun foydali).

U erda uchun ko'p mavjud imkoniyatlari bor , iptables va ip6tables va ularni o'zlashtirish, barcha talab

katta o'rganish va tajriba. Biroq, siz tez-tez ishlatadigan variantlardan biri bu

xost yoki qator xostlardan zararli tarmoq trafigini blokirovka qilish uchun. Masalan, jimgina blokirovka qilish

kiruvchi trafik IP-manzil 10.0.1.5 va 31.13.74.0/24 C sinf kichik tarmog'i:

# iptables -A KIRISH -lar 10.0.1.5 -j DROP

# iptables -A KIRISH -lar 31.13.74.0/24 -j DROP

# iptables -n -L INPUT

INPUT zanjiri (QABUL QILING)

nishon

boradigan joy

YO'Q

barchasi - 10.0.1.5

YO'Q

0.0.0.0/0

Boshqa keng tarqalgan ishlatiladigan iptables buyrug'i - bu ma'lum bir xizmat uchun tarmoq trafigiga ruxsat berish yoki

port. Foydalanuvchilarga SSH, HTTP va IMAP-ga ulanishga ruxsat berish uchun siz quyidagi buyruqlarni bajarishingiz mumkin:

# iptables -A INPUT -m holati - davlat NEW -p tcp --dport 22 -j QABUL

# iptables -A INPUT -m holati - davlat NEW -p tcp --dport 80 -j QABUL

# iptables -A INPUT -m holati - davlat NEW -p tcp --dport 143 -j QABUL

# iptables -n -L INPUT

INPUT zanjiri (QABUL QILING)

nishon

boradigan joy

YO'Q

barchasi - 10.0.1.5

YO'Q

0.0.0.0/0

QABUL QILING

tcp - 0.0.0.0/0

0.0.0.0/0

davlat YANGI tcp dpt: 22

QABUL QILING

tcp - 0.0.0.0/0

0.0.0.0/0

davlat YANGI tcp dpt: 80

QABUL QILING

tcp - 0.0.0.0/0

0.0.0.0/0

davlat YANGI tcp dpt: 143

Eski va keraksiz qoidalarni tozalash uchun yaxshi kompyuter gigienasi deb hisoblanadi . Eng oson

iptables qoidalarini yo'q qilish usuli - bu siz olishingiz mumkin bo'lgan satr raqami bo'yicha qoidalarga murojaat qilishdir

158

Kali Linux ochildi

zanjirning pastki qismida.

# iptables -n -L INPUT - qator raqamlari

INPUT zanjiri (QABUL QILING)

num maqsad

prot opt ​​manbai

boradigan joy

1

YO'Q

0.0.0.0/0

2018-04-02 121 2

YO'Q

0.0.0.0/0

3

QABUL QILING

0.0.0.0/0

davlat YANGI tcp dpt: 22

4

QABUL QILING

0.0.0.0/0

davlat YANGI tcp dpt: 80

5

QABUL QILING

0.0.0.0/0

davlat YANGI tcp dpt: 143

# iptables -D INPUT 2

# iptables -D INPUT 1

# iptables -n -L INPUT - qator raqamlari

INPUT zanjiri (QABUL QILING)

num maqsad

prot opt ​​manbai

boradigan joy

1

QABUL QILING

0.0.0.0/0

davlat YANGI tcp dpt: 22

2018-04-02 121 2

QABUL QILING

tcp - 0.0.0.0/0

0.0.0.0/0

davlat YANGI tcp dpt: 80

3

QABUL QILING

0.0.0.0/0

davlat YANGI tcp dpt: 143

Yuqorida tavsiflangan umumiy sharoitlarga qarab aniqroq shartlar mavjud. Uchun

qo'shimcha ma'lumotlar iptables (8) va ip6tables (8) ga qarang.

7.4.3. Qoidalarni yaratish

Har bir qoida yaratish uchun iptables yoki ip6tables-dan bitta chaqiruv talab qilinadi . Ushbu buyruqlarni terish

qo'lda zerikarli bo'lishi mumkin, shuning uchun qo'ng'iroqlar odatda skriptda saqlanadi, shunda tizim avtomatlashtiriladi

mashina har yuklanganda xuddi shu tarzda sozlangan. Ushbu skriptni qo'l bilan yozish mumkin

lekin uni fwbuilder kabi yuqori darajadagi vosita bilan tayyorlash ham qiziq bo'lishi mumkin .

# apt install fwbuilder

Bu tamoyil oddiy. Birinchi bosqichda tarkibiga kiradigan barcha elementlarni tavsiflang

haqiqiy qoidalar:

• Xavfsizlik devorining o'zi, uning tarmoq interfeyslari bilan

• O'zlarining tegishli IP-diapazonlari bo'lgan tarmoqlar

• Serverlar

• Serverlarda joylashtirilgan xizmatlarga tegishli portlar

Keyin, rasmda ko'rsatilgandek, ob'ektlarda oddiy sudrab olib tashlash amallari bilan qoidalar yarating 7.2 ,

" Fwbuilderning asosiy oynasi " [160-bet]. Bir nechta kontekstli menyular vaziyatni o'zgartirishi mumkin (salbiy -

masalan, ing). Keyin harakatni tanlash va sozlash kerak.

IPv6-ga kelsak, siz IPv4 va IPv6 uchun ikkita alohida qoidalar yaratishingiz yoki yaratishingiz mumkin.

faqat bittasi va fwbuilder qoidalarni ob'ektlarga berilgan manzillar bo'yicha tarjima qilsin .

159

7-bob - Kali Linux-ning xavfsizligi va monitoringi

fwbuilder xavfsizlik devorini siz o'rnatgan qoidalarga muvofiq sozlash skriptini yaratadi

belgilangan. Uning modulli arxitekturasi turli xil tizimlarni stsenariyni nishonga olish qobiliyatini yaratadi

shu jumladan Linux uchun iptables , FreeBSD uchun ipf va OpenBSD uchun pf .

7.4.4. Har bir yuklashda qoidalarni o'rnatish

Mashinani har safar yuklashda xavfsizlik devori qoidalarini amalga oshirish uchun siz ro'yxatdan o'tishingiz kerak bo'ladi

/ etc / network / interfaces faylining yuqoridagi ko'rsatmasidagi konfiguratsiya skriptini . Quyida

Masalan, skript /usr/local/etc/arrakis.fw ostida saqlanadi .

avtomatik eth0

iface eth0 inet statik

192.168.0.1 manzili

tarmoq 192.168.0.0

netmask 255.255.255.0

translyatsiya 192.168.0.255

yuqoriga /usr/local/etc/arrakis.fw

160

boshqa narsadan foydalanmoqdalar (masalan, NetworkManager yoki systemd-networkd ), keyin tegishli narsalarga murojaat qiling

interfeys yaratilgandan so'ng skriptni bajarish usullarini topish uchun hujjatlar.

7.5. Monitoring va jurnalga yozish

Ma'lumotlarning maxfiyligi va himoyasi xavfsizlikning muhim jihati hisoblanadi, ammo u bir xil darajada muhimdir

xizmatlarning mavjudligini ta'minlash. Ma'mur va xavfsizlik bo'yicha mutaxassis sifatida siz buni ta'minlashingiz kerak

har bir narsa kutilganidek ishlaydi, va g'ayritabiiy xatti-harakatlarni aniqlash sizning zimmangizdadir

xizmatni o'z vaqtida buzilishi. Bunda monitoring va jurnalga yozish dasturi muhim rol o'ynaydi

tizim va tarmoqda sodir bo'layotgan voqealarni tushunishni ta'minlaydigan xavfsizlik jihati.

Ushbu bo'limda biz Kalining bir nechta jihatlarini kuzatish uchun ishlatilishi mumkin bo'lgan ba'zi vositalarni ko'rib chiqamiz

tizim.

Logcheck dasturi monitorlar log sukut har soatda fayllar va g'ayrioddiy log xabarlarni yuboradi

keyingi tahlil qilish uchun administratorga yuborilgan elektron pochta xabarlarida.

Nazorat qilinadigan fayllar ro'yxati /etc/logcheck/logcheck.logfiles-da saqlanadi . Standart qiymatlar

/etc/rsyslog.conf fayli to'liq ta'mirlanmagan bo'lsa yaxshi ishlaydi .

logcheck turli darajadagi tafsilotlar bo'yicha xabar berishi mumkin: paranoid , server va ish stantsiyasi . paranoid bo'lib juda

batafsil va ehtimol xavfsizlik devorlari kabi maxsus serverlar bilan cheklanishi kerak. server odatiy hisoblanadi

rejimi va ko'p serverlar uchun tavsiya etiladi. ish stantsiyasi , albatta, ish stantsiyalari uchun mo'ljallangan

va boshqa variantlarga qaraganda ko'proq xabarlarni filtrlaydigan juda vaqtinchalik.

Barcha uch hollarda, logcheck ehtimol dekompressiyasini (ba'zi qo'shimcha xabarlarni istisno qilish tayyorlangan bo'lishi kerak

agar siz haqiqatan ham soatlab uzoq vaqt olib tashlanadigan to'plamlarni olishni istamasangiz).

ajoyib elektron pochta xabarlari. Xabarlarni tanlash mexanizmi ancha murakkab bo'lgani uchun, / usr / share / doc /

logcheck-database / README.logcheck-database.gz talab qilinadi, agar qiyin bo'lsa - o'qish.

Amaldagi qoidalar bir necha turlarga bo'linishi mumkin:

• xabarni yorilishga urinish deb topadiganlar (faylda / etc / logcheck / da saqlanadi

cracking.d / katalog);

• yorilish urinishlari e'tiborsiz qoldirildi ( /etc/logcheck/cracking.ignore.d/ );

• xabarni xavfsizlik to'g'risida ogohlantirish sifatida tasniflaganlar ( /etc/logcheck/violations.d/ );

• xavfsizlik signallari e'tiborsiz qoldirilgan ( /etc/logcheck/violations.ignore.d/ );

• nihoyat, qolgan xabarlarga murojaat qiluvchilar ( tizim voqealari deb hisoblanadi ).

161

7-bob - Kali Linux-ning xavfsizligi va monitoringi

urinish yoki xavfsizlik to'g'risida ogohlantirish ( /etc/logcheck/violations.d/myfile-da saqlangan qoidaga rioya qilish

fayl) faqat /etc/logcheck/violations.ignore.d/myfile yoki / etc /

logcheck / зөрiqlar.ignore.d / myfile- kengaytma fayli.

/Etc/logcheck/ignore.d-ning birida qoida bo'lmasa, tizim hodisasi doimo signallanadi .

{paranoid, server, ish stantsiyasi} / kataloglarda ushbu hodisani e'tiborsiz qoldirish kerakligi ko'rsatilgan. Albatta

shunchaki tenglik yoki undan yuqori darajadagi moslik darajalariga mos keladigan kataloglar hisobga olinadi

tanlangan ish rejimidan ko'ra.

7.5.2. Haqiqiy vaqt rejimida faoliyatni monitoring qilish

top - bu amaldagi jarayonlarning ro'yxatini aks ettiruvchi interaktiv vosita. Odatiy tartiblash

protsessordan foydalanishning hozirgi miqdoriga asoslanadi va uni P tugmasi yordamida olish mumkin. Boshqa xil

buyurtmalar band qilingan xotira (M tugmachasi), protsessorning umumiy vaqti (T tugmasi) va jarayon bo'yicha saralashni o'z ichiga oladi

identifikator (N tugmachasi). K tugmachasi jarayon identifikatorini kiritish orqali jarayonni o'ldiradi. R tugmasi o'zgaradi

jarayonning ustuvorligi.

Tizim haddan tashqari yuklangan bo'lib tuyulsa, yuqori qism qaysi jarayonlarning raqobatdoshligini ko'rish uchun ajoyib vosita hisoblanadi.

protsessor vaqtini olish yoki juda ko'p xotirani iste'mol qilish. Xususan, ko'pincha bu qiziq

resurslarni iste'mol qiladigan jarayonlar mashinaga ma'lum bo'lgan haqiqiy xizmatlarga mos kelishini tekshiring

mezbon. "Www-data" foydalanuvchisi sifatida ishlaydigan noma'lum jarayon haqiqatan ham ajralib turishi va xabardor bo'lishi kerak.

chunki u tizimda o'rnatilgan va bajarilgan dasturiy ta'minotning bir nusxasi bo'lishi mumkin

veb-ilovadagi zaiflik.

top - bu juda moslashuvchan vosita va uning qo'llanma sahifasida displeyni qanday sozlash haqida batafsil ma'lumot berilgan

uni shaxsiy ehtiyojlaringiz va odatlaringizga moslashtiring.

Gnome-tizimi-monitor grafik vositasi o'xshaydi yuqori va deyarli bir xil fea- beradi

turlar.

Tizim o'rnatilgandan va tuzilgandan so'ng, ko'pchilik tizim fayllari shu vaqtgacha nisbatan harakatsiz turishi kerak

tizim yangilandi. Shuning uchun tizim fayllaridagi o'zgarishlarni har qanday vaqtdan beri kuzatib borish maqsadga muvofiqdir

kutilmagan o'zgarish xavotirga sabab bo'lishi mumkin va tekshirilishi kerak. Ushbu bo'lim a

tizim fayllarini kuzatish, o'zgarishlarni aniqlash va ixtiyoriy ravishda xabardor qilish uchun ishlatiladigan eng keng tarqalgan vositalardan bir nechtasi

Siz tizim ma'muri sifatida.

dpkg --verify (yoki dpkg -V ) - bu qiziqarli vosita, chunki u tizim fayllarini namoyish etadi

o'zgartirilgan (potentsial tajovuzkor tomonidan), ammo bu mahsulot tuz donasi bilan olinishi kerak. Kimga

162

(topilgan / bor / lib / dpkg / info / paketi .md5sums ). Shuning uchun puxta tajovuzkor o'zgaradi

bu fayllar subvert qilingan fayllar uchun yangi summani yoki rivojlangan tajovuzkorni o'z ichiga oladi

paketingizni Debian oynangizda buzadi. Ushbu hujum sinfidan himoya qilish uchun foydalaning

APT raqamli imzoni tekshirish tizimi ( 8.3.6 bo'limiga qarang  , " Paketning haqiqiyligini tasdiqlash ")

[202-bet]) paketlarni to'g'ri tekshirish uchun.

Eslatib o'tamiz: barmoq izi bu qiymat, ko'pincha raqam (o'n oltinchi raqamda -

fayl mazmuni uchun imzo turini o'z ichiga olgan tation). Ushbu imzo

algoritm bilan hisoblab chiqilgan (MD5 yoki SHA1 taniqli misollar)

yoki undan kamroq fayl tarkibidagi eng kichik o'zgarish ham natijaga olib kelishiga kafolat beradi

barmoq izini o'zgartirish; bu "ko'chki effekti" deb nomlanadi. Oddiy raqamli

barmoq izi keyinchalik fayl tarkibida yoki yo'qligini tekshirish uchun litmus testi bo'lib xizmat qiladi

o'zgartirilgan. Ushbu algoritmlar qaytarib berilmaydi; boshqacha qilib aytganda, ularning aksariyati uchun,

barmoq izini bilish tegishli tarkibni topishga imkon bermaydi. So'nggi matematik

bema'ni yutuqlar ushbu tamoyillarning mutlaqligini susaytiradi, lekin ulardan foydalanish

hozirgacha shubha ostiga olinmagan, chunki har xil tarkibni yaratish bir xil hosil beradi

barmoq izi hali ham juda qiyin vazifa bo'lib tuyuladi.

Ishlayotgan dpkg -v barcha o'rnatilgan paketlarini tekshirish qiladi va muvaffaqiyatsiz Har bir fayl uchun bir chiziq chop etadi

tekshirish. Har bir belgi ba'zi bir aniq meta-ma'lumotlar bo'yicha testni bildiradi. Afsuski, dpkg shunday qiladi

aksariyat testlar uchun zarur bo'lgan meta-ma'lumotlarni saqlamang va shu bilan ular uchun savol belgilarini chiqaring. Cur-

faqat uchta summa testi uchinchi belgida 5 ni berishi mumkin (u ishlamay qolganda).

# dpkg -V

?? 5 ??????

/lib/systemd/system/ssh.service

?? 5 ?????? c /etc/libvirt/qemu/networks/default.xml

?? 5 ?????? c /etc/lvm/lvm.conf

?? 5 ?????? c / etc / tuz / reestr

Yuqoridagi misolda, dpkg administrator tomonidan kiritilgan SSH xizmatining faylini o'zgartirish haqida xabar beradi

o'rniga tegishli foydalanish joylashtirilgan fayl /etc/systemd/system/ssh.service bekor

( har qanday konfiguratsiya o'zgarishi kabi quyida saqlanadigan / va hokazo ). Bundan tashqari, bir nechta ro'yxat berilgan

qonuniy bo'lgan konfiguratsiya fayllari (ikkinchi maydonda "c" harfi bilan aniqlangan)

o'zgartirilgan.

Fayllarni kuzatish: AIDE

Kengaytirilgan hujumni aniqlash muhiti (AIDE) faylning yaxlitligini tekshiradi va boshqasini aniqlaydi

joriy tizimning ilgari yozib olingan tasviriga nisbatan o'zgartirish. Rasm ma'lumotlar bazasi sifatida saqlanadi

( /var/lib/aide/aide.db ) tizimning barcha fayllarida tegishli ma'lumotlarni o'z ichiga olgan ( barmoq-

nashrlar, ruxsatnomalar, vaqt tamg'alari va boshqalar).

AIDE-ni apt update-ni ishga tushirib, so'ngra apt install aide-ni o'rnatib o'rnatishingiz mumkin . Siz avval boshlangich

ma'lumotlar bazasini aideinit bilan ize qilish ; keyin har kuni ishlaydi ( /etc/cron.daily/aide skript orqali ) ga

163

( /var/log/aide/*.log ) va o'z xulosalarini elektron pochta orqali administratorga yuboradi.

uning natijalari ma'lumotlar bazasining haqiqiyligi bilan bevosita bog'liqdir. Agar tajovuzkor ildiz otsa

buzilgan tizimdagi ruxsatlar, ular ma'lumotlar bazasini almashtirishlari mumkin va

izlarini yoping. Ushbu buzg'unchilikning oldini olish usullaridan biri bu ma'lumotnomalarni saqlashdir

faqat o'qish uchun saqlash vositalarida.

Siz yordam paketining xatti-harakatlarini o'zgartirish uchun / etc / default / aide- dagi parametrlardan foydalanishingiz mumkin . The

AIDE konfiguratsiyasi tegishli /etc/aide/aide.conf va /etc/aide/aide.conf.d/ ( ac-

har doim bu fayllar /var/lib/aide/aide.conf yaratish uchun faqat update-aide.conf tomonidan ishlatiladi .

avtogeneratsiya qilingan ). Konfiguratsiya qaysi fayllarning qaysi xususiyatlarini tekshirish kerakligini ko'rsatadi.

Masalan, jurnal fayllari tarkibi muntazam ravishda o'zgarib turadi va bunday o'zgarishlarga e'tibor berilmasligi mumkin

chunki ushbu fayllarning ruxsatlari bir xil bo'lib qoladi, lekin ikkala tarkibi va bajarilishi mumkin bo'lgan ruxsatlari

dasturlar doimiy bo'lishi kerak. Juda murakkab bo'lmasa ham, konfiguratsiya sintaksisi to'liq emas

intuitiv va qo'shimcha ma'lumot uchun aide.conf (5) qo'llanma sahifasini o'qishni tavsiya etamiz .

Ma'lumotlar bazasining yangi versiyasi har kuni /var/lib/aide/aide.db.new da yaratiladi ; agar barchasi yozilgan bo'lsa

o'zgarishlar qonuniy edi, undan ma'lumot bazasini almashtirish uchun foydalanish mumkin.

Tripwire AIDE ga juda o'xshaydi; hattoki konfiguratsiya fayli sintaksisi deyarli bir xil. Asosiy

uni ma'lumot bazasining boshqa versiyasiga ishora qila olmaydi.

Samhain shuningdek shunga o'xshash xususiyatlarni va rootkitlarni aniqlashga yordam beradigan ba'zi funktsiyalarni taqdim etadi

yon panel “Tekshirish xavfsizligi va chkrootkit / rkhunter paketlari »[164-bet]). U shuningdek tarqatilishi mumkin

global miqyosda tarmoqda va uning izlarini markaziy serverga yozib qo'ying (imzo bilan).

Tekshirish xavfsizligi va

chkrootkit / rkhunter

paketlar

checksecurity tizimda asosiy tekshiruvlarni amalga oshiradigan bir nechta kichik skriptlardan iborat

(bo'sh parollarni, yangi setuid fayllarini qidirish va h.k.) va agar ular bo'lsa, sizni ogohlantiring

sharoitlar aniqlandi. Uning aniq nomiga qaramay, siz faqatgina unga ishonmasligingiz kerak

Linux tizimining xavfsizligiga ishonch hosil qiling.

tizim. Eslatib o'tamiz, bu kelishuvni yashirish uchun mo'ljallangan dasturiy ta'minotdir.

tizimni boshqarish vositasi ehtiyotkorlik bilan mashinani boshqarishda. Sinovlar emas

100 foiz ishonchli, ammo ular odatda sizning e'tiboringizni yuzaga kelishi mumkin bo'lgan muammolarga jalb qilishi mumkin.

Ushbu bobda biz xavfsizlik siyosatining kontseptsiyasini ko'rib chiqdik va turli fikrlarni ta'kidladik

bunday siyosatni belgilashda va tizimingizga va sizga bo'lgan ba'zi tahdidlarni belgilashda e'tiborga oling

shaxsan xavfsizlik bo'yicha mutaxassis sifatida. Biz noutbuk va ish stolidagi xavfsizlik choralarini ham muhokama qildik

164

Kali Linux ochildi

tizimingizga mumkin bo'lgan tahdidlarni aniqlash uchun ularni qanday qilib eng yaxshi tarzda amalga oshirish kerakligi.

Qisqacha ko'rsatmalar:

• Keng qamrovli xavfsizlik siyosatini belgilashga vaqt ajrating.

• Agar siz Kali-ni ochiq serverda ishlayotgan bo'lsangiz, uchun standart parollarni o'zgartiring

tuzilishi mumkin bo'lgan xizmatlar ( 7.3- bo'limga qarang , “ Tarmoq xizmatlarini xavfsizligini ta'minlash”[153-bet])

va ularni xavfsizlik devori bilan cheklash ( 7.4- bo'limga qarang  , “Xavfsizlik devori yoki paketlarni filtrlash”[Sahifa

153]) ularni ishga tushirishdan oldin.

• fail2ban todetectandblockpassword-guessingattacks andremotebruteforcepassword-dan foydalaning

hujumlar.

• Agar siz veb-xizmatlarni ishlatsangiz, tarmoq vositachilarining oldini olish uchun ularni HTTPS orqali joylashtiring

sizning trafikingizni hidlash (autentifikatsiya cookies-fayllarini o'z ichiga olishi mumkin).

• Haqiqiy xavf ko'pincha bir mijozdan ikkinchisiga sayohat qilganingizda paydo bo'ladi. Masalan, sizning tizzangiz

sayohat paytida o'g'irlanishi yoki bojxona tomonidan olib qo'yilishi mumkin. Ushbu noxush holatlarga tayyorlaning

to'liq disk shifrlash yordamida imkoniyatlar ( 4.2.2- bo'limga qarang  , “To'liq shifrlangan holda o'rnatish

Fayl tizimi"[85-bet]) va nuke xususiyatini ko'rib chiqing (qarang" Nuke parolini qo'shish uchun

Qo'shimcha xavfsizlik ”[246 bet]]) mijozlaringizni himoya qilish uchun.

• Xavfsizlik devori qoidalarini bajaring (bo'limga qarang 7.4, “ Xavfsizlik devori yoki paketlarni filtrlash”[153-bet]) taqiqlansin

sizning VPNaccess orqali yaratilgan trafikni boshqarish Bu xavfsizlik xavfsizligi

net, shuning uchun VPN ishlamay qolganda darhol buni sezasiz (orqaga qaytish o'rniga)

mahalliy tarmoqqa kirish).

• Siz foydalanmaydigan xizmatlarni o'chirib qo'ying. Kali buni barcha tashqi tarmoqlardan beri osonlashtiradi

xizmatlar sukut bo'yicha o'chirib qo'yilgan.

• Linux yadrosi netfilter xavfsizlik devorini o'rnatadi . Konfiguratsiya uchun kalit echim yo'q

har qanday xavfsizlik devori, chunki tarmoq va foydalanuvchi talablari turlicha. Biroq, siz netfilterni boshqarishingiz mumkin

iptables va ip6tables buyruqlari bilan foydalanuvchi maydonidan .

• Logcheck dasturi sukut bo'yicha har soatda jurnal fayllarini kuzatib boradi va g'ayrioddiy jurnal xabarlarini yuboradi.

donishmandlar qo'shimcha tahlil qilish uchun administratorga yuborilgan elektron pochta xabarlarida.

• top - bu amaldagi jarayonlarning ro'yxatini aks ettiruvchi interaktiv vosita.

• dpkg --verify (yoki dpkg -V ) o'zgartirilgan tizim fayllarini aks ettiradi (potentsial)

tajovuzkor tomonidan), ammo aqlli tajovuzkor tomonidan o'zgartirilishi mumkin bo'lgan nazorat sumlariga asoslanadi.

• TheAdvancedIntrusionDetectionEn Environment (AIDE) asboblar tekshiruvi faylni yaxlitligi va aniqlanishi

amaldagi tizimning oldindan yozib olingan tasviriga nisbatan har qanday o'zgarishlar.

• Tripwire AIDE-ga juda o'xshash, ammo konfiguratsiya faylini imzolash mexanizmidan foydalanadi

tajovuzkor uni ma'lumot bazasining boshqa versiyasiga ishora qila olmaydi.

• rootkitlarni aniqlashda yordam berish uchun rkhunter , checksecurity va chkrootkit- dan foydalanishni ko'rib chiqing .

sizning tizimingiz.

165

Kalining Debian ildizlari orqasidagi kuchni tezda anglab etadi va ishlab chiquvchilarga qanday ega ekanligini bilib olishadi

bu kuchdan foydalangan. Ogohlantiring, keyingi bob juda zich, ammo siz uni o'chirishingiz juda muhimdir

Debian asoslarini va agar siz Kali elektr energiyasidan foydalanuvchi bo'lishni istasangiz, paketlarni boshqarishni tushunmang.

166

Kali Linux ochildi

Debian to'plami

Menejment

Mundarija

APT 170 ga kirish

Paketning asosiy o'zaro ta'siri 175

Kengaytirilgan APT konfiguratsiyasi va ishlatilishi 194

Paket ma'lumotnomasi: Debian paket tizimiga chuqurroq kirib borish 204

Xulosa 216

tarqatish. Bunday tarqatishlarda, jumladan Kali, Debian to'plami kanonik yo'ldir

dasturiy ta'minotni oxirgi foydalanuvchilarga taqdim etish. Paketlarni boshqarish tizimini tushunish beradi

Kali qanday tuzilganligi haqida sizga katta ma'lumot beradi, muammolarni bartaraf etishda sizga yordam beradi

muammolar va tezkorlik bilan ishlarni bajarish tartibini belgilash va hujjatlarni rasmiylashtirish.

Kali Linux-ga kiritilgan.

Inthischapter, bizDebianpackagemanagements tizimini tanishtiramiz va dpkg-ni kiritamiz va

theAPTsuiteoftools. Paketning egiluvchanligi bilan Kalining birlamchi kuchi

muammosiz o'rnatish, yangilashni ta'minlash uchun ushbu vositalardan foydalanadigan boshqaruv tizimi

dasturiy ta'minotni va hattoki bazaviy operatsion tizimni o'zi olib tashlash va boshqarish.

Ushbu tizim Kali-dan maksimal darajada foydalanish va tartibga solish uchun qanday ishlashini tushunishingiz juda muhimdir

sizning harakatlaringiz. Og'riqli kompilyatsiya kunlari, halokatli yangilanishlar, gcc , make va

konfiguratsiya muammolari allaqachon yo'q bo'lib ketgan, ammo mavjud dasturlar soni portlab ketgan

va ulardan foydalanish uchun mo'ljallangan vositalarni tushunishingiz kerak. Bu ham juda muhimdir

mahorat, chunki litsenziyalash yoki boshqa muammolar tufayli bo'lishi mumkin bo'lmagan bir qator xavfsizlik vositalari mavjud

Kaliga kiritilgan, ammo yuklab olish uchun Debian paketlari mavjud. Siz bilishingiz muhim

paketlarni qanday o'rnatish va o'rnatish, xususan, ular

kutilganidek bormang.

Biz APT-ning ba'zi bir asosiy obzorlaridan boshlaymiz, ikkilik va ning tuzilishi va tarkibini tavsiflaymiz

paketlar, ba'zi bir asosiy vositalar va stsenariylarni ko'rib chiqing va keyin sizga yordam berish uchun chuqurroq o'rganing

ushbu ajoyib paketlar to'plamidan va vositalar to'plamidan har bir untsiyani tortib olish.

8.1. APTga kirish

Debian paketlari haqida ba'zi bir asosiy ta'riflar, umumiy ma'lumot va tarixdan boshlaymiz,

dpkg va APT bilan boshlanadi .

8.1.1. APT va dpkg o'rtasidagi munosabatlar

Debian to'plami dasturiy ta'minotning siqilgan arxividir. A ikkilik paketi (a .deb fayl)

to'g'ridan-to'g'ri ishlatilishi mumkin bo'lgan fayllarni o'z ichiga oladi (masalan, dasturlar yoki hujjatlar), manba to'plami esa

paket. A Debian paketi boshqa shuningdek programmaning fayllarni o'z ichiga olgan huzur qilish , shu jumladan,

dasturga bog'liq bo'lgan bog'liqliklar nomlari, shuningdek ularni bajarilishini ta'minlaydigan skriptlar

paketning ishlash davrining turli bosqichlarida buyruqlar (o'rnatish, olib tashlash va yangilash).

Dpkg vositasi jarayoni uchun mo'ljallangan va o'rnatish edi .deb paketlarini, lekin agar u unsat- duch

paketni o'rnatishga to'sqinlik qiladigan (etishmayotgan kutubxona kabi) bog'liqlik, dpkg

etishmayotgan qaramlikni shunchaki sanab o'tishi kerak edi, chunki u bilish yoki ichki mantiqqa ega emas edi

ushbu bog'liqliklarni qondirishi mumkin bo'lgan paketlarni qayta ishlash. Advanced Package Tool (APT),

170

Kali Linux ochildi

ushbu muammolarni hal qilish. Ikkala dpkg va APT vositalari haqida ushbu bobda gaplashamiz .

Tizimda Debian paketlarini boshqarish uchun asosiy buyruq dpkg bo'lib , u installa- bajaradi.

.deb paketlarini va ularning tarkibini tahlil qilish yoki tahlil qilish . Biroq, dpkg ning faqat qisman ko'rinishi mavjud

Debian koinot: u tizimda nima o'rnatilganligini va nima taqdim qilayotganingizni hamma biladi.

mand liniyasi, ammo boshqa mavjud paketlar haqida hech narsa bilmaydi. Shunday qilib, agar qaramlik bo'lsa, u muvaffaqiyatsiz bo'ladi

bajarilmadi. APT cheklovlarni ko'rib chiqadi.

APBizning veb-paketimiz, sizning veb-tizimingizdagi ora dasturlari. Siz

ilovalarni o'rnatish va o'chirish, paketlarni yangilash va hattoki butunlay yangilash uchun APT-dan foydalanishi mumkin

tizim. APT sehrlari bu to'liq paketlarni boshqarish tizimi ekanligidadir

nafaqat paketni o'rnatadi yoki olib tashlamaydi, balki uning talablari va bog'liqliklarini ko'rib chiqadi

qadoqlangan dastur (va hatto ularning talablari va bog'liqliklari) va qondirishga harakat qilish

ularni avtomatik ravishda. APT dpkg-ga ishonadi, ammo APT dpkg- dan farq qiladi , chunki avvalgisi so'nggi versiyani o'rnatadi

to'plami onlayn manbadan va bog'liqliklarni hal qilish uchun ishlaydi, dpkg esa paketni o'rnatadi

mahalliy tizimingizda joylashgan va bog'liqliklarni avtomatik ravishda hal qilmaydi.

Agar siz gcc bilan dasturlarni kompilyatsiya qilishni eslab qolish uchun etarlicha vaqt bo'lgan bo'lsangiz (hatto. Bilan ham)

qilish va sozlash kabi yordamchi dasturlarning yordami ), ehtimol bu og'riqli jarayon ekanligini eslaysiz,

ayniqsa, agar dastur bir nechta bog'liqliklarga ega bo'lsa. Turli xil ogohlantirishlarni ochish orqali va

xato xabarlari, siz kodning qaysi qismi ishlamay qolganligini va ko'pincha aniqlashingiz mumkin

bu muvaffaqiyatsizlik kutubxonaning etishmasligi yoki boshqa qaramlikka bog'liq edi. Keyin buni kuzatib borasiz

etishmayotgan kutubxona yoki qaramlik, uni to'g'rilab, qaytadan urining. Keyin, agar omadingiz bo'lsa, kompilyatsiya qiling

nihoyasiga etkazadi, lekin ko'pincha qurilish yana bir marta muvaffaqiyatsiz bo'ladi va boshqa buzilgan depressiyadan shikoyat qiladi

xushyoqish.

APT muammoni hal qilish uchun mo'ljallangan, dastur dasturining talablari va bog'liqliklari,

va ularni hal qilish. Ushbu funktsiya Kali Linux-da ishlamaydi, ammo u aqldan ozmaydi. Bu

Debian va Kalining qadoqlash tizimi qanday ishlashini tushunishingiz muhim, chunki buni tushunasiz

paketlarni o'rnatish, dasturiy ta'minotni yangilash yoki paketlar bilan bog'liq muammolarni bartaraf etish kerak. Siz foydalanasiz

Kali Linux bilan kundalik ishingizda APT va ushbu bobda biz sizni APT bilan tanishtiramiz

va sizga paketlarni o'rnatish, olib tashlash, yangilash va boshqarish va hatto qanday qilishni ko'rsatib bering

paketlarni turli xil Linux tarqatmalari o'rtasida ko'chirish. Shuningdek, biz grafik vositalar haqida gaplashamiz

APT-ni qo'llang, sizga paketlarning haqiqiyligini qanday tasdiqlashni ko'rsating va kontseptsiyani o'rganing

prokat tarqatish, bu sizning Kali tizimingizga kunlik yangilanishlarni olib keladigan usul.

Paketlarni o'rnatish va boshqarish uchun dpkg va APT-dan qanday foydalanishni sizga ko'rsatmasdan oldin

APTning ba'zi ichki ishlarini chuqur o'rganishimiz va ba'zi bir terminologiyani muhokama qilishimiz muhimdir

uni o'rab turgan.

Paket manbai va

Manba to'plami

So'z manbai noaniq bo'lishi mumkin. Manba to'plami - o'z ichiga olgan paket

dasturning manba kodi - paket manbai bilan aralashtirilmasligi kerak - reposi-

paketlar mavjud tory (veb-sayt, FTP-server, CD-ROM, mahalliy katalog va boshqalar).

171

8-bob - Debian paketlarini boshqarish

manba". /Etc/apt/sources.list fayl ro'yxati turli saqlash (yoki manbalar) pub- deb

lish Debian paketlari.

8.1.2. Source.list faylini tushunish

Sources.list fayl paketi manbalarini aniqlash uchun asosiy konfiguratsiya fayli, va u ertaroq bo'ladi

u qanday tuzilganligini va uni qanday sozlashni tushunishni istamayman, chunki APT a holda ishlamaydi

paket manbalarining to'g'ri belgilangan ro'yxati. Keling, uning sintaksisini muhokama qilaylik, turli xil ma'lumotlarga e'tibor bering.

Kali Linux tomonidan qo'llaniladigan va ko'zgular va oynalarni qayta yo'naltirishni muhokama qiladigan nazariyalar

APT-ni ishlatishga tayyor.

/Etc/apt/sources.list faylining har bir faol satri (va /etc/apt/sources.list.d/*.

ro'yxat fayllari) bo'shliqlar bilan ajratilgan uch qismdan iborat manbaning tavsifini o'z ichiga oladi. Kom-

mentli chiziqlar # belgidan boshlanadi:

# deb cdrom: [Debian GNU / Linux 2016.1 _Kali-rolling_ - Rasmiy oniy tasvir amd64 LIVE /

¯ O'RNATISH Binary 20160830-11: 29] / kali-prokat hissasi asosiy bepul

deb http://http.kali.org/kali kali-prokat asosiy bepul hissa

Keling, ushbu faylning sintaksisini ko'rib chiqamiz. Birinchi maydon manba turini bildiradi:

• ikkilik paketlar uchun debet,

• manba paketlar uchun deb-src.

Ikkinchi maydon manbaning asosiy URL manzilini beradi: bu Debian oynasi yoki boshqa oynadan iborat bo'lishi mumkin

uchinchi tomon tomonidan o'rnatilgan paket arxivi. Mahalliy manbani ko'rsatish uchun URL fayl: // bilan boshlanishi mumkin

tizimning fayllar ierarxiyasida, http: // bilan, vebdan kirish manbasini ko'rsatish uchun o'rnatilgan

server, orwithftp: // forasourceavailableonanFTPserver. TheURLcanalsostdwithcdrom: uchun

CD-ROM / DVD-ROM / Blu-ray disklarga asoslangan o'rnatish, ammo tarmoqdan beri bu kamroq bo'ladi.

asoslangan o'rnatish usullari tobora keng tarqalgan.

CDrom yozuvlari sizdagi CD / DVD-ROMlarni tavsiflaydi. Boshqa yozuvlardan farqli o'laroq, CD-ROM

har doim ham mavjud emas, chunki u diskka kiritilishi kerak va odatda faqat bitta disk o'qilishi mumkin

bir vaqtning o'zida. Shu sabablarga ko'ra ushbu manbalar biroz boshqacha tarzda boshqariladi va kerak

apt-cdrom dasturi bilan qo'shiladi , odatda add parametri bilan bajariladi. Ikkinchisi bo'ladi

keyin diskni diskka kiritilishini so'rang va uning tarkibini Paketlarni qidirib toping

fayllar. Ushbu fayllarni mavjud paketlar bazasini yangilash uchun ishlatadi (odatda bu operatsiya)

apt update buyrug'i bilan amalga oshiriladi ). Shundan so'ng, APT paketga muhtoj bo'lsa, diskdan so'raydi

unda saqlanadi.

Oxirgi maydonning sintaksisi omborning tuzilishiga bog'liq. Eng oddiy holatlarda siz

kerakli manbaning pastki katalogini (kerakli slash bilan) ko'rsatishi mumkin (bu shunday)

ko'pincha oddiy " ./ ", bu pastki katalogning yo'qligini anglatadi - bu paketlar to'g'ridan-to'g'ri

172

Debian oynasi, ularning har biri bir nechta tarkibiy qismlarga ega bo'lgan bir nechta tarqatish bilan. Bunday hollarda,

tanlangan taqsimotni nomlang, so'ngra uni yoqish uchun komponentlarni (yoki bo'limlarni). Biroz vaqt olaylik

ushbu bo'limlarni tanishtirish.

Debian va Kali tanlagan litsenziyalar bo'yicha paketlarni farqlash uchun uchta bo'limdan foydalanadilar

har bir asar mualliflari.

Asosiy tarkibida Debian Free Software 1- ko'rsatmalariga to'liq mos keladigan barcha paketlar mavjud .

Bepul bo'lmagan arxiv boshqacha, chunki unda (to'liq) mos kelmaydigan dastur mavjud

ushbu printsiplar, ammo baribir cheklovlarsiz tarqatilishi mumkin.

Contribution (hissalar) - bu ochiq manbali dasturiy ta'minot to'plami bo'lib, ular ba'zi bir bo'lmagan holda ishlamaydi.

bepul elementlar. Ushbu elementlar bepul bo'lmagan qismdan yoki bepul bo'lmagan fayllardan dasturlarni o'z ichiga olishi mumkin

masalan, o'yin ROM-lari, konsollarning BIOS-lari va boshqalar. Contribor tarkibiga kompilyatsiya qilingan bepul dastur ham kiradi

uchun bepul bo'lgan kompilyatorni talab qiladigan VirtualBox kabi mulkiy elementlar kerak

uning ba'zi fayllari.

Keling, standart Kali Linux to'plami manbalarini yoki havzalarini ko'rib chiqamiz.

8.1.3. Kali omborlari

Astandard sources.list fileforasystemrunningKaliLinuxreferstoonerepository (kali-prokat)

va ilgari aytib o'tilgan uchta komponent: asosiy, hissa qo'shadigan va bepul:

# Asosiy Kali ombori

deb http://http.kali.org/kali kali-rolling asosiy hissasi bepul

Keling, turli xil Kali omborlarini ko'rib chiqaylik.

Kali-Rolling ombori

Thisisthemainrepositoryforend-users. Har doim o'rnatiladigan va so'nggi paketlar mavjud.

Uni Debian Testing va Kaliga xos paketlarni birlashtiradigan vosita boshqaradi

har bir paketning bog'liqligini kali-prokat paytida qondirishni ta'minlaydi. Boshqa so'z bilan aytganda,

parvarishlovchi skriptlarida xatolarga yo'l qo'ymaslik, barcha paketlar o'rnatilishi kerak.

Debian Testing har kuni rivojlanib borgani uchun, Kali Rolling ham o'zgarib bormoqda. Kaliga xos bo'lgan paketlar ham tartibga solinadi

Biz eng muhim paketlarning yuqoridagi chiqishlarini kuzatib borganimizda, ular juda yangilandi.

1

https://www.debian.org/social_contract#guidelines

173

8-bob - Debian paketlarini boshqarish

Ushbu ombor omma uchun ishlatilmaydi. Bu Kali ishlab chiqaruvchilari qaramlik muammosini hal qiladigan joy.

Kaliyga xos paketlarni Debian Testingga qo'shilishidan kelib chiqadigan lemlar.

Bu, shuningdek, yangilangan paketlar birinchi bo'lib tushadigan joy, shuning uchun agar sizga yangilangan versiya kerak bo'lsa

Yaqinda va shu qadar saqlanmagan, kaliy-dumaloq, siz bu erda saqlaning.

Bu doimiy foydalanuvchilar uchun tavsiya etilmaydi.

Ushbu omborda Git (yoki Subversion) oqimida avtomatik ravishda o'rnatilgan paketlar mavjud

ombor. Ters tomoni shundaki, siz darhol eng so'nggi xususiyatlarga va xatolarni tuzatishga kirishingiz mumkin

ular sodir etilganidan 24 soat o'tmay. Bu sizning xatoingizni tekshirishning eng yaxshi usuli

yuqori oqim aniqlandi.

Salbiy tomoni shundaki, bu paketlar sinovdan o'tkazilmagan yoki tekshirilmagan: agar oqim yuqori qismida o'zgarsa

qadoqlashga ta'sir qildi (yangi qaramlikni qo'shdi), keyin bu paket ishlamay qolishi mumkin. Chunki

Buning ichida ombor APT avtomatik ravishda paketlarni o'rnatmaydigan qilib belgilanadi

undan, ayniqsa yangilash paytida.

Siz omborni /etc/apt/sources.list tahrirlash orqali yoki yangisini yaratish orqali ro'yxatdan o'tkazishingiz mumkin

/etc/apt/sources.list.d katalogi ostidagi fayl , asl nusxasini qoldirish afzalligi bor

tizim manbalari.list ro'yxati o'zgartirilmagan. Ushbu misolda biz alohida / etc / apt / yaratishni tanlaymiz

ources.list.d / kali-hemoring-edge.list fayli quyidagicha:

# Kali Bleeding Edge ombori

deb http://http.kali.org/kali kali-blood-edge asosiy hissasi bepul emas

Kali Linux oynalari

Sources.list ekstraktlari yuqorida http.kali.org murojaat: bu ishlaydigan bir server hisoblanadi MirrorBrain2 ,

bu sizning HTTP so'rovlaringizni sizga yaqin bo'lgan rasmiy oynaga yo'naltiradi. MirrorBrain monitorlari

ularning ishlashini va zamonaviyligini ta'minlash uchun har bir oyna; u sizni doimo yaxshilikka yo'naltiradi

oyna.

Oynani disk raskadrovka

Qayta yo'naltirish

Agar siz oynada muammoga duch kelsangiz (masalan, apt yangilanishi ishlamay qolsa)

qaerga yo'naltirilayotganingizni ko'rish uchun curl -sI dan foydalanishi mumkin :

$ curl -sI http://http.kali.org/README

HTTP / 1.1 302 topildi

Sana: 2016 yil 11-aprel, dushanba, 09:43:21

2018-04-02 121 2

http://mirrorbrain.org

174

X-MirrorBrain-Mirror: ftp.free.fr

X-MirrorBrain-Realm: mamlakat

Havola: