Sahifa 1 Kali Linux Fosh etildi
Download 0.74 Mb.
|
kali linux
- Bu sahifa navigatsiya:
- Sahifa 303 Sahifa 304
- Ananaviy penetratsion sinov Ilova baholash Hujum turlari Xizmatni rad etish
- Sahifa 305 Bob 11
- 11.1. Kali Linux baholashda
- Sahifa 309 11.2. Baholash turlari
dhcp-boot = pxelinux.0 enable-tftp # Xizmat qilish uchun xosting fayllari katalogi tftp-root = / tftpboot / • 32-bit (i386), 64-bit (amd64), standart yoki grafik (gtk) o'rnatish yuklash fayllarini paketidan chiqarib oling. Kali arxivi / tftpboot / ga . Arxivlarni bu erda topishingiz mumkin: ²
rasmlar / netboot / gtk / netboot.tar.gz ²
rasmlar / netboot / netboot.tar.gz ²
rasmlar / netboot / gtk / netboot.tar.gz ²
rasmlar / netboot / netboot.tar.gz # mkdir / tftpboot # CD / tftpboot # wget http://http.kali.org/dists/kali-rolling/main/installer-amd64/current/ ¯ rasmlar / netboot / netboot.tar.gz # tar xf netboot.tar.gz • txt.cfg- ni oldindan belgilangan parametrlarga yoki maxsus vaqt tugashiga o'zgartiring. 4.3 bo'limiga qarang , “ Qarovsiz o'rnatmalar”[91-bet]. Keyinchalik, siz konfiguratsiya boshqaruvidan foydalanishingiz mumkin mashinalarni boshqarish yoki masofaviy kompyuterlarni istalgan holatga sozlash uchun vositalar. • SaltStack - konfiguratsiyani boshqarish bo'yicha markazlashgan xizmat: Tuz ustasi ko'pchilikni boshqaradi Tuzli minionlar. Tuz-master paketini ulanadigan serverga va tuz minion-ni man- ga o'rnating. keksa mezbonlar. • / etc / salt / minion YAML formatidagi konfiguratsiya faylini tahrirlang va master kalitini DNS-ga o'rnating Tuz ustasining nomi (yoki IP-manzili). • minionning o'ziga xos identifikatorini / etc / salt / minion_id-ga o'rnating : minion # echo kali-scratch> / etc / salt / minion_id minion # systemctl tuzni minion qilishga imkon beradi minion # systemctl start tuz-minion • Kalit almashinuvi amalga oshiriladi. Magistrda minion identifikatsiya kalitini qabul qiling. Keyingi ulanishlar avtomatik bo'ladi: master # systemctl tuz-masterni yoqish master # systemctl start salt-master master # salt-key - barchasini ro'yxatlash 274
Kali Linux ochildi
Qabul qilingan kalitlar: Rad etilgan kalitlar: Qabul qilinmagan kalitlar: kali-skretch Rad etilgan kalitlar: master # salt-key - kali-skretchni qabul qiling Quyidagi kalitlar qabul qilinadi: Qabul qilinmagan kalitlar: kali-skretch Davom etasizmi? [n / Y] y Minion kali-skretch uchun kalit qabul qilindi. • Minionlar ulangandan so'ng, ular ustasidan buyruqlarni bajarishingiz mumkin. Imtihon ples: master # tuz '*' test.ping kali-skretch: To'g'ri
kali-usta: To'g'ri
master # salt kali-scratch cmd.shell 'ish vaqti; uname -a ' master # salt kali-scratch sys.doc ' master # salt '*' service.enable ssh [...]
master # salt '*' service.start ssh-ni boshlang [...]
master # tuz '*' pkg.refresh_db [...]
master # salt '*' pkg.upgrade dist_upgrade = To'g'ri server # tuz '*' cmd.shell 'pkill -f dnmap_client' • Amalga oshiriladigan modullarning to'liq ro'yxati bilan https://docs.saltstack.com/en/ tanishishingiz mumkin.
• Amallarni rejalashtirish, ma'lumotlar yig'ish yoki- uchun tuz holati fayllaridan foydalaning (qayta ishlatiladigan konfiguratsiya shablonlari). bir nechta minionlarda operatsiyalarning xestratlar ketma-ketligi, bulutli tizimlarni ta'minlash va olib kelish ularni boshqarish ostida va boshqalar. Oldindan tuzlangan formulalar bilan vaqtni tejang: ²
• Qachonki qadoqni qadoqlash kerak bo'lsa, birinchi dori-darmonlarni davolash vositasi. Mana ahamiyatsiz kamchiliklar va kamchiliklar. Ehtiyotkorlik bilan ko'rib chiqing. Kali-huzur , desktop-
to'plam qo'rqinchli bo'lishi mumkin va uni umumlashtirish qiyin. 275 10-bob - Korxonadagi Kali Linux
Endi biz o'rnatish, sozlash, sozlash bo'yicha barcha bazalarni ko'rib chiqdik, va Kali Linux-ni joylashtirish, keling, Kali Linuxning Axborot sohasidagi roliga murojaat qilaylik Xavfsizlik. 276
Kali Linux ochildi
Kalit so'zlar Baholash turlari Zaiflik baholash Muvofiqlik penetratsion sinov An'anaviy penetratsion sinov Ilova baholash Hujum turlari Xizmatni rad etish Xotiradagi buzilish Internetdagi zaifliklar Parol bilan hujumlar Mijozlar tomonidan hujumlar
Bob 11 Kirish
Xavfsizlik Baholash
Mundarija Kali Linux baholashda 281 Baholash turlari 283 Bahoni rasmiylashtirish 293 294. Hujum turlari Xulosa 297
Biz shu paytgacha Kali Linux-ga tegishli ko'plab xususiyatlarni ko'rib chiqdik, shuning uchun siz kuchli bo'lishi kerak Kalini nimaga xosligini va bir qator murakkab vazifalarni qanday bajarishni tushunish. Ammo Kalini ishlatishdan oldin xavfsizlikni baholash bilan bog'liq bir nechta tushunchalar mavjud tushunishingiz kerak. Ushbu bobda biz sizni boshlash uchun ushbu tushunchalarni taqdim etamiz va xavfsizlikni baholash uchun Kali-dan foydalanishingiz kerak bo'lsa, sizga yordam beradigan ma'lumotnomalarni taqdim eting. Birinchidan, muomala paytida "xavfsizlik" nimani anglatishini o'rganish uchun biroz vaqt sarflash kerak axborot tizimlari bilan. Axborot tizimini xavfsiz holatga keltirishda siz uchta narsaga e'tibor qaratasiz tizimning asosiy xususiyatlari: • Maxfiylik : tizimga kirish yoki ma'lumot olish huquqiga ega bo'lmagan aktyorlar tizimmi yoki ma'lumotmi? • Butunlik : ma'lumotlar yoki tizim maqsadga muvofiq bo'lmagan tarzda o'zgartirilishi mumkinmi? • Mavjudligi : qachon yoki qanday qilib mo'ljallangan ma'lumotlarga yoki tizimga kirish mumkinmi? Ushbu tushunchalar birgalikda Markaziy razvedka boshqarmasi (Maxfiylik, halollik, mavjudlik) uchligini va katta qismi, siz tizimni standart sifatida ta'minlashda e'tiboringizni qaratadigan asosiy narsalardir joylashtirish, texnik xizmat ko'rsatish yoki baholash. Shuni ham ta'kidlash kerakki, ba'zi holatlarda sizni bir jihat ko'proq tashvishga solishi mumkin boshqalarga qaraganda Markaziy razvedka boshqarmasi uchligining. Misol uchun, agar sizning shaxsiy jurnalingiz bo'lsa, unda eng ko'p narsalarni o'z ichiga oladi maxfiy fikrlar, jurnalning maxfiyligi siz uchun bundan ham muhimroq bo'lishi mumkin yaxlitlik yoki mavjudlik. Boshqacha qilib aytganda, siz ba'zi bir narsalar haqida tashvishlanmasligingiz mumkin. jurnalga yozish mumkin (uni o'qishdan farqli o'laroq) yoki jurnal doimo bo'ladimi yoki yo'qmi kirish mumkin. Boshqa tomondan, agar siz tibbiy retseptlarni kuzatadigan tizimni ta'minlasangiz, the ma'lumotlarning yaxlitligi eng muhim bo'ladi. Boshqa odamlarning o'qishiga yo'l qo'ymaslik muhim bo'lsa-da kimdir qanday dorilarni ishlatishini va ushbu dorilar ro'yxatiga kirishingiz muhim, agar kimdir tizim tarkibini o'zgartira olsa (yaxlitlikni o'zgartirib), bu olib kelishi mumkin hayot uchun xavfli natijalar. Siz xavfsizlik tizimini aniqlaganingizda, siz shu bilan bog'liq bo'lgan narsalarni ko'rib chiqasiz. uchta kontseptsiya yoki ularning qaysi birlashmasida masala tushadi. Bu sizga tushunishga yordam beradi muammoni yanada kengroq qamrab oladi va muammolarni turkumlash va javob berishga imkon beradi shunga ko'ra. Bitta yoki bir nechta narsalarga ta'sir ko'rsatadigan zaif tomonlarni aniqlash mumkin Markaziy razvedka boshqarmasi uchligi. SQL in'ektsiyasi zaifligi bo'lgan veb-ilovadan misol sifatida foydalanish uchun: • Maxfiylik : tajovuzkorga to'liq kelishuvni olish imkoniyatini beradigan SQL in'ektsiyasi zaifligi. barcha dasturlarni o'qish uchun to'liq kirish huquqini beruvchi veb-dasturning chodirlari, ammo yo'q ma'lumotni o'zgartirish yoki ma'lumotlar bazasiga kirishni o'chirib qo'yish qobiliyati. • yaxlitlik : tajovuzkorga mavjud ma'lumotni o'zgartirishga imkon beruvchi SQL in'ektsiyasi zaifligi. ma'lumotlar bazasida mation. Tajovuzkor ma'lumotni o'qiy olmaydi yoki boshqalarning kirishiga to'sqinlik qiladi ma'lumotlar bazasi. 280 Kali Linux ochildi
• Mavjudligi : uzoq davom etadigan so'rovni boshlaydigan SQL in'ektsiyasining zaifligi serverdagi katta miqdordagi resurslar. Ushbu so'rov bir necha marta boshlanganda olib keladi xizmatni rad etish (DoS) holati. Tajovuzkor ma'lumotlarga kirish yoki o'zgartirish qobiliyatiga ega emas, ammo qonuniy foydalanuvchilarning veb-dasturga kirishiga to'sqinlik qilishi mumkin. • Bir nechta : SQL in'ektsiyasining zaifligi xost op-ga to'liq interaktiv qobiq bilan kirishga olib keladi. veb-dasturni ishlaydigan tizimni o'chirish. Ushbu kirish bilan tajovuzkor buzilishi mumkin ma'lumotlarni istaganicha kirish orqali tizimning maxfiyligi, butunligini buzadi ma'lumotlarni o'zgartirish orqali tizim va agar ular tanlasalar, veb-dasturni yo'q qiling, natijada a tizimning mavjudligini murosaga keltirish. Markaziy razvedka boshqarmasi uchligining asosidagi tushunchalar o'ta murakkab emas va haqiqatan ham siz o'zingizning narsangizdir intuitiv ravishda ishlaydi, hatto uni tanimasangiz ham. Biroq, diqqat bilan e'tibor berish muhimdir Kontseptsiya bilan o'zaro aloqalar, sizning sodiqligingiz bo'yicha amalga oshiriladigan sa'y-harakatlarni tanib olishingiz mumkin. Ushbu kontseptsiya fond sizning tizimlaringizning muhim tarkibiy qismlarini aniqlashda sizga yordam beradi va aniqlangan muammolarni tuzatishga sarmoya kiritishga arziydigan kuch va mablag 'miqdori. Biz batafsil ko'rib chiqadigan yana bir kontseptsiya - bu xavf va uning tahdid va zaifliklardan iboratligi.
kontseptsiyalarni keyinchalik batafsilroq, ammo yuqori darajada, eng yaxshisi tavakkalchilikni o'zingiz izlayotgan narsa deb o'ylang sodir bo'lishining oldini olish , kim sizga buni qiladi deb tahdid qilish va ularga imkon beradigan zaiflik ish. Maqsadni cheklash bilan tahdid qilish xavfi mavjudligini nazorat qilish beputinni joylashtirish xavf. Masalan, dunyoning ba'zi qismlariga tashrif buyurganingizda, sizni ovlash xavfi katta bo'lishi mumkin bezgak. Buning sababi shundaki, ba'zi joylarda chivinlarning tahdidi juda yuqori va siz deyarlisiz albatta bezgakka qarshi immunitetga ega emas. Yaxshiyamki, siz zaiflikni dorilar bilan boshqarishingiz mumkin va hasharotlarga qarshi vosita va chivinli tarmoqlardan foydalangan holda tahdidni nazorat qilishga urinish . Boshqaruv elementlari bilan Har ikki hal joyda tahdid va zaifligini , siz ta'minlash yordam berishi mumkin bo'lgan xavf emas realizatsiya qilish.
Kali Linux-dan dalada foydalanishga tayyorgarlik ko'rayotganda, avvalo toza, ishchan ekanligingizga ishonch hosil qilishingiz kerak o'rnatish. Ko'pgina yangi boshlang'ich xavfsizlik mutaxassislari tomonidan qilingan keng tarqalgan xato bitta bir nechta baholash bo'yicha o'rnatish. Bu ikkita asosiy sababga ko'ra muammo: • Baholash jarayonida siz tez-tez qo'lda o'rnatasiz, o'zgartirasiz yoki boshqacha tarzda tizimingizni o'zgartiring. Ushbu bir martalik o'zgarishlar sizni tezda ishga tushirishi yoki hal qilishi mumkin ma'lum bir muammo, ammo ularni kuzatib borish qiyin; ular sizning tizimingizni yanada ko'proq qilishadi parvarish qilish qiyin; va ular kelajakdagi konfiguratsiyalarni murakkablashtiradi. • Har bir xavfsizlikni baholash o'ziga xosdir. Notalarni, kodni va boshqa o'zgarishlarni qoldirib ketishimiz mumkin chalkashliklarga yoki undan ham yomoni - mijoz ma'lumotlarining o'zaro ifloslanishi. 281 11-bob - Xavfsizlikni baholashga kirish
Shuning uchun toza Kali o'rnatishni boshlash juda tavsiya etiladi va nima uchun oldindan Avtomatik o'rnatishga tayyor bo'lgan Kali Linuxning moslashtirilgan versiyasi tezda o'z samarasini beradi. Ishonch hosil qiling 9.3- bo'limga qaytish uchun , " Custom Kali Live ISO rasmlarini yaratish " [237 bet] va bo'lim 4.3 , Buni qanday qilish kerakligi to'g'risida " qarovsiz o'rnatmalar " [91-bet], chunki bugun siz qanchalik ko'p avtomatlashtirsangiz, ertaga kamroq vaqt sarflaysiz. Kali Linux-ni qachon tuzilganligini qanday yoqtirishi haqida gap ketganda, har kim har xil talablarga ega ular maydonda, odatda biron bir erni ta'qib qilishni xohlaydigan biron bir joyda tavsiya etiladi. Birinchidan, shifrlangan o'rnatishni 4.2.2- bo'limda keltirilgan "A-ga o'rnatish FullyEncryptedFileSystem”[85-bet]. Bu sizning fizikaviy mashinangizni himoya qiladi, bu Agar sizning tizza kompyuteringiz o'g'irlansa, u hayotni saqlab qoladi. Sayohat paytida qo'shimcha xavfsizlik uchun parolni ochish tugmachasini bosishingiz mumkin (qarang: “Nuke qo'shish
ofisdagi ishchi. Shunday qilib, sizning ofisingizga qaytib kelguningizcha ma'lumotlaringiz xavfsizdir shifrni ochish kaliti bilan noutbukni tiklang. O'rnatilgan yana bir narsa, ikki marta tekshiriladigan ro'yxat to'plami. Ko'rib chiqing amalga oshirishni rejalashtirayotgan ish uchun sizga qanday vositalar kerak bo'lishi mumkin. Masalan, agar siz shunday bo'lsangiz simsiz xavfsizlikni baholashni boshlash bilan siz kali-linux-simsizni o'rnatishni o'ylashingiz mumkin KaliLinux, orifaweb-da simsiz baholash vositalaridan foydalanish mumkin bo'lgan metapaket. dasturni baholash arafasida, mavjud bo'lgan barcha veb-dastur sinovlarini o'rnatishingiz mumkin bilan vositalari Kali-Linux-veb metapackage. Sizga osonlikcha kirish imkoni bo'lmaydi deb o'ylash yaxshidir xavfsizlikni baholash paytida Internetga, shuning uchun iloji boricha tayyorlanishingizga ishonch hosil qiling oldindan. Xuddi shu sababga ko'ra siz tarmoq sozlamalarini ko'rib chiqishni xohlashingiz mumkin ( 5.1- bo'limga qarang.) , " Config- Tarmoqni boshqarish”[104-bet] va 7.3- bo'lim , “ Tarmoq xizmatlarini xavfsizligini ta'minlash”[153-bet]). Ikki marta DHCP sozlamalarini tekshiring va tayinlangan IP-manzilingizni tinglayotgan xizmatlarni ko'rib chiqing. Ushbu sozlamalar sizning muvaffaqiyatingizga hal qiluvchi ta'sir ko'rsatishi mumkin. Siz ko'rmaydigan narsani baholay olmaysiz va ortiqcha tinglash xizmatlari sizning tizimingizga bayroq qo'yishi va sizni olishdan oldin o'chirib qo'yishi mumkin boshlandi. Agar sizning rolingiz tarmoqdagi tajovuzlarni tekshirishni o'z ichiga oladigan bo'lsa, sizning tarmoq majmuangizga e'tibor bering. tings yanada muhimroq va ta'sirlangan tizimlarni o'zgartirishdan qochishingiz kerak. Tayyorlangan
disklarni matematik ravishda o'rnatish yoki almashtirish bo'limidan foydalanish. Shu tarzda, siz yaxlitligini saqlashga yordam berasiz Kali Linux-da mavjud bo'lgan ko'plab sud ekspertizasi vositalaridan foydalangan holda tahlil qilinayotgan tizim. Kali Linux o'rnatilishini ish uchun to'g'ri tayyorlashingiz juda muhimdir. Siz buni topasiz toza, samarali va samarali Kali muhiti har doim ko'p narsalarni kuzatib boradi silliqroq. 282 Kali Linux ochildi
11.2. Baholash turlari Endi siz Kali muhitining tayyor bo'lishini ta'minladingiz, keyingi qadam aniq belgilanadi qanday baho beryapsiz. Eng yuqori darajada biz to'rt turini tavsiflashimiz mumkin baholash: a zaifliklarni baholash , bir muvofiqligi sinov , a an'anaviy kirib sinov va bir applica- tion baholash . Shartnoma har bir baholash turining turli elementlarini o'z ichiga olishi mumkin, ammo bu shunday ularni batafsil tavsiflash va ularning Kali Linux tuzilishi bilan bog'liqligini tushuntirishga arziydi atrof-muhit. Har xil baholash turlarini ko'rib chiqishdan oldin, avval farqni ta'kidlash kerak zaiflik va ekspluatatsiya o'rtasida. A zaifliklarni , afzalliklaridan olingan bo'lsa, confiden- murosa qiladi bir qusur sifatida belgilangan axborot tizimining muhimligi, yaxlitligi yoki mavjudligi. Vulning turli xil turlari mavjud duch kelishi mumkin bo'lgan kamchiliklar, jumladan: • Fayllarni qo'shish : Fayllarni kiritishning zaif tomonlari1 veb-ilovalar siz uchun imkon beradi o'z ichiga oladi dasturni hisoblashda mahalliy yoki uzoqdagi fayllarning mazmuni. Masalan, veb dasturda fayl mazmunini o'qiydigan "Kunning xabarlari" funksiyasi bo'lishi mumkin veb-sahifa pagetodisplayittoteuserni o'z ichiga oladi. Xizmatlar dasturlashtirilganda noto'g'ri bo'lsa, bu tajovuzkorga veb-so'rovini o'zgartirishi va saytni majburan qo'shishi mumkin o'zlari tanlagan faylning tarkibi. • SQL in'ektsiyasi: SQL in'ektsiyasi2 hujum - bu kirish tekshiruvi tartib-qoidalari dastur chetlab o'tib, tajovuzkorga maqsadli dastur uchun SQL buyruqlar berishiga imkon beradi. gramm ijro etish. Bu potentsial xavfsizlikka olib kelishi mumkin bo'lgan buyruqni bajarish shakli masalalar. • Buferdan oshib ketish: 3 ta buferdan oshib ketish - bu kirish tekshiruvini bekor qiladigan zaiflik. tamponning qo'shni xotirasiga ma'lumotlarni yozish uchun tines. Ba'zi hollarda, bu qo'shni xotira joylashuv maqsadli dasturning ishlashi va kodni boshqarish uchun juda muhim bo'lishi mumkin. ogohlantirishni yozilgan xotira ma'lumotlarini ehtiyotkorlik bilan boshqarish orqali olish mumkin. • Musobaqa shartlari: 4- poyga sharti - bu vaqtga bog'liqlikdan foydalanadigan zaiflik. dasturdagi bo'shliqlar. Ba'zi hollarda, dasturning ish jarayoni ma'lum bir narsaga bog'liq sodir bo'ladigan voqealar ketma-ketligi. Agar siz ushbu voqealar ketma-ketligini o'zgartira olsangiz, bu a ga olib kelishi mumkin zaiflik.
An foydalanish , boshqa tomondan, ishlatiladigan bo'lsa, ma'lum bir vulner- foyda oladi dasturi, qobiliyat, garchi barcha zaifliklar foydalanib bo'lmaydigan bo'lsa ham. Chunki ekspluatatsiya yugurishni o'zgartirishi kerak jarayon, uni istalmagan harakatni bajarishga majbur qilish, ekspluatatsiya yaratish murakkab bo'lishi mumkin. Bundan tashqari, zamonaviy hisoblash platformalarida ekspluatatsiyaga qarshi bir qator texnologiyalar mavjud 1
2018-04-02 121 2 https://en.wikipedia.org/wiki/SQL_injection 3
4
283
11-bob - Xavfsizlikni baholashga kirish
Download 0.74 Mb. Do'stlaringiz bilan baham: |
ma'muriyatiga murojaat qiling