Портал для веб-мастера
Вход пользователей
Поиск статей
WoWeb.ru » Статьи » Сетевая безопасность » Принципы взлома

Проблемы безопасности UNIX-подобных ОС и Web V

129. DNS. Его настройка производится автоматически. Именно этот момент может послужить для несанкционированного просмотра информации (этакий нестандартный снифер) – пользователь может даже не знать, что такое DNS, да и администратор тоже может забыть, что его нужно вручную настраивать. Ниже описаны основные конфигурационные файлы. Здесь не говорится прямо, как организовать доступ – прочитав данный пункт Вы сами сделаете выводы. Итак, файл /etc/host.conf. Его содержимое:

order hosts,bind multi on

Эта запись означает, что сначала будет просмотрен файл /etc/hosts (о его предназначении написано в первой части), а лишь затем послан запрос DNS серверу. А к какому DNS? В файле /etc/resolf.conf находятся подобные строки:

nameserver 192.168.233.2 search localdomain

или

nameserver 195.155.2.22 search site.ru

Два примера приведены для локальной NAT-сети с выходом в интернет через шлюз 192.168.233.2 и для компьютера, непосредственно подключеного к сети соответственно. Например, если во втором примере пользователь обратится (введет в браузере) book, то система попробует обратится к компьютеру book.site.ru. В первой строчке файла /etc/resolf.conf – IP-адрес DNS-сервера, к которому обратится машина. Для случая с локальной NAT-сетью это Gateway (шлюз).

130. Почтовая система Postfix. Проста в настройке. Для работы создается группа postfix и postdrop, в первую добавляется пользователь postfix, с правами которого работает сама система Postfix. Конфигурационные файлы расположены в каталоге /etc/postfix. Основные настройки заданы в файле /etc/postfix/main.cf. Он снабжен подробными комментариями, которые начинаются с символа #. Настройки по умолчанию позволяют серверу работать только в пределах самой машины.
Доверенные хосты задаются в вышеназванном файле конфигурации. Например, так:

# если адрес компьютера клиента входит в данный диапазон, он может отправить почту через сервер mynetworks=192.168.12.0/24, 127.0.0.0/8

Все компьютеры из заданных сетей могут посылать почту через сервер с такими настройками. Еще полезно знать следующее (всю информацию можно почерпнуть из комментариев в файле):

# имя хоста
myhostname=book.site.ru

# имя домена
mydomain=site.ru

# ждем SMTP-соединений с данными интерфейсами. all – все интерфейсы
inet_interfaces=192.168.12.2, 194.88.88.88

# домены, обслуживаемые программой. Для удобства подставляются значения из myhostname и mydomain.
mydestination=$myhostname, $mydomain

# можно создавать почтовые псевдонимы, тогда следует прописать путь к файлу с ними
alias_database=dbm:/etc/postfix/aliases


131. FTP. Дополнение к предыдущей части. Если в файле /etc/passw пользователям ftp-сервера в поле, служащее для задания командной оболочки записать вместо стандартного /dev/null командный интерпритатор, то данные пользователи будут иметь доступ к реальному интерпретатору (например, /bin/bash). Также необходимо запретить пользователям некоторые использовать некоторые логины, например,

root    bin    sync    shutdown    operator    uucp
halt    daemon nobody  games       mail        news
adm     lp


И другие. В случае использования в качестве сервера wu-ftp, это можно сделать в файле /etc/ftpusers.

132. NFS. Замена п. 24. Для функционирования NFS необходима служба RPC (portmapper). Хосты, имеющие право доступа к службе RPC перечислены в файле /etc/hosts.allow, а запрещенные – в файле /etc/hosts.deny.
Для хранения перечня экспортируемых файловых систем первоначально использовался файл /etc/exports. Формат этого файла:

<каталог> <параметры>[<дополнительные параметры>]

Например, так

/home/user/documents user2(ro)

То есть компьютер (хост) с именем user2 может читать (ro – read only) файлы из каталога не выше /home/user/documents. Параметры позволяют задать список компьютеров, которым разрешено монтирование файловой системы. Наихудший вариант конфигурации файла /etc/exports выгладит так:

/ rw


Чтобы изменения вступили в дейтсвие вам необходимо выполнить команду

/usr/sbin/exportfs va

То есть корневая файловая система экспортируется всем компьютерам и сетям с правами чтения-записи. Выполнив команду mount на удаленном компьютере, любой пользователь может просматривать и редактировать любой файл.

root# mount <хост>:<файловая система> <локальный каталог>

Например,

mount -o rsize=1024, wsize=1024 user:/home/user/documents /mnt/doc


А для автоматического монтирования можно в файл /etc/fstab добавить следующую строчку

user:/home/user/documents /mnt/doc nfs rsize=1024, wsize=1024, hard, intr 0 0


Здесь rsize – размер блока чтения (байт, по умолчанию 8192), wsize – размер блока записи (аналогично), hard – при разрыве связи с сервером программа клиента приостановит выполнение и процесс не будет "убит", если не будет опции intr.
Чтобы защитить собственные файловые системы от доступа извне, следует заблокировать обращение извне к порту 2049. Лучше вообще службу NFS не запускать. Отключить ее можно с помощью редактирования файла /etc/rc#.d.

Автор: Алексеев В. С. · Добавлена: 2005-09-03
Источник статьи · Просмотров: 3817 · Рейтинг: 0.0

Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]

Категории раздела
Flash
Apache
WWW
PhotoShop
Веб-дизайн
Раскрутка и реклама
Базы данных
3D графика
Хостинг
Истории веб-мастеров
Web-технологии
Сетевая безопасность
Программирование для Web
Операционные системы

Новые статьи
Лучшие статьи
Популярные статьи
Комментируемые статьи
Разделы сайта
Скрипты
Статьи
Шрифты
Флэш исходники
HTML шаблоны
Партнерки
Клипарты
Смайлы
Фоны
Гифы
Иконки
Опрос сайта
Есть ли у вас свой сайт?
Всего ответов: 140579
Наша кнопка
WoWeb.ru - портал для веб-мастера