פורסם: 30/10/2004 - 02:34
נושא ההודעה: תחרות האקינג ואבטחת מידע
|
שלום לכולם,
במכללה שבה אני לומד מתקיימת תחרות אבטחת לינוקס ולמנצח מובטח פרס של שובר של 1000 ש"ח לקניית ספרים, מה שמאוד קורץ לי
בקיצור, המטרה היא לקחת מערכת לינוקס, איזה שאנו בוחרים ולאבטח אותה בצורה פראנואית למדי.
המערכת צריך לתפקד כשרת קבצים, כשרת מדפסות של רשת, לאפשר כניסה ל FTP, לאפשר גלישה לאתרים, לאפשר TELNET, לאפשר SSH, ולאפשר תקשורת בתוכנות כגון LICQ,XCHAT,AMULE ודומותיהן.
אז נרשמתי לתחרות ועכשיו יש לי כמה שאלות.
האם תועילו בטובכם לתת לי עצות איך לאבטח את המערכת כמו שצריך?
אני לא מבקש שתתחילו לכתוב כאן שורות ארוכות להכנסה ל IPTABLES אלה משהו כזה
צריך ככה:
1: בלה בלה והנה לינוקס ללוד עליו
2. בלה בלה ולינק ללמוד עליו.
אני מקווה שהבנתם את הרעיון
יש יותר טובים בלינוקס שמתחרים נגדי אך עם עזרתכם אני אלמד ואולי אקח מקום 2 או 3 שהם גם טובים.
יש לי שבוע לביצוע המשימה.
לאחר מכן ישב המורה שלנו והאות הראשוני שלו לאיך להגיע אלינו יהיה דרך LICQ, אח"כ אם הוא לא יצליח הוא יקבל את מספר האיפי האמיתי שלנו וינסה, אם הוא לא יצליח גם בזאת הוא יקבל גישה פיזית למחשב ואם הוא לא יצליח בזה אנו נחשבים "בלתי חדירים ברמה גבוהה" ואז מוגדרים כעולים לגמר, אח"כ אם יהיו כמה "בלתי חדירים" הם יקבלו את הפרס.
באופן כללי מה שאני חשבתי עליו הוא כך:
1) להתקין סלאק.
2) להגדיר IPTABLES שלא יתנו אישור לשום פורט חוץ מהפורטים של הדברים הנ"ל ליצור קשר, וגם לאלו הנ"ל ליצור קשר רק אם אני מתחיל אותו.
כאן יש לי 2 שאלות
1) איך אנ מגדיר פרוקסי כללי למחשב, 2) איך אני הופך פורטים ל"מסוננים" הצלחתי רק לסגור אותם או להשאיר פתוחים.
3) להכניס את המחשב ל"כלוב" פיזי שלא יוכל להתעסק עם החומרה (כי הרי תהיה לו גישה פיזית אח"כ) ולכן הוא יכול רק להכניס סידי ולא להתחיל לפרק לי הארד דיסקים או להכניס הארד דיסקים משלו.
זהו בעקרון, מי שיכול לעזור לי יותר אני אשמח, מאוד חשוב לי ללמוד וגם לזכות.
תודה!
|
|
חזרה לתוכן הדיון |
פורסם: 30/10/2004 - 03:01
נושא ההודעה:
|
נקודת התחלה סבירה היא:
http://netfilter.org/documentation/index.html
ההפצות ה"גדולות" לא כל־כך שונות האחת ממשנתה . אם אתה מקדיש מספיק תשומת לב לפרטים הבסיסיים, כגון מה רץ, לא תתקל בבעיות מיוחדות. תשתמש בהפצה שאתה מכיר היטב. אל תפחד לבנות מחדש את הקרנל במקרה הצורך.
האתגר העיקרי כאן נראה לי שילוב של "שרת קבצים". על איזה פרוטוקול מדובר? סמבה? NFS? שניהם לא סימפטיים מבחינת ה־firewall מכיוון שהעברת הקבצים מתבצעת בנפרד.
שירותים צריכים לרוץ עם מינימום הרשאות:
* מה שלא צריך לרוץ: שלא ירוץ. לדוגמה: תעיף את xfs . תעיף גם את X אם אין דרישה מפורשת שהוא ירוץ.
* מה שלא צריך להקשיב: שלא יקשיב: אם יש שירות שצריך להקשיב על פורט אבל לא צריך להיות חשוף לרשת הבדיקה: שישקשיב רק על lo .
* להריץ שירותים ב־chroot jail
* להשתמש ב־iptables
וכמובן: לדאוג למערכת עדכנית: לעדכן את כל העדכונים מההפצה, לא להתקין חבילות מיותרות שלא מההפצה (שמא יש בהן חורים לא מתוקנים)
אגב: מה רע בזה שהמורה "יצליח להגיע אליכם דרך licq"? הרי licq היא תוכנה שאמורה להקשיב על פורט ולא מתפקדת בצורה מלאה אם אין לה קשר ישיר לצד השני.
לגבי התגוננות מגישה פיזית: מניחית שמותר לו לכבות את המערכת? (בשביל לכבות את המערכת מספיק לנתק אותה מהחשמל. את זה מסובך ומיותר לנסות למנוע). אם כן: מה כן חייב לרוץ על הקונסול?
|
|
חזרה לתוכן הדיון |
פורסם: 30/10/2004 - 03:16
נושא ההודעה:
|
תודה, אני אעיין בזה.
צפריר : |
ההפצות ה"גדולות" לא כל־כך שונות האחת ממשנתה . אם אתה מקדיש מספיק תשומת לב לפרטים הבסיסיים, כגון מה רץ, לא תתקל בבעיות מיוחדות. תשתמש בהפצה שאתה מכיר היטב. אל תפחד לבנות מחדש את הקרנל במקרה הצורך.
|
חשבתי להתקין סלאק כי היא נחשבת מאוד יציב, נבנתה ע"י בן אדם אחד ולכן יותר קל להתשתלט עליה מבחינת הגודל ובכלל נחשבת בפצה לש מקצוענים.
חשבתי גם על דביאן, אני עוד חושב מה לבחור...
צפריר : |
האתגר העיקרי כאן נראה לי שילוב של "שרת קבצים". על איזה פרוטוקול מדובר? סמבה? NFS? שניהם לא סימפטיים מבחינת ה־firewall מכיוון שהעברת הקבצים מתבצעת בנפרד.
|
מדובר על סמבה, וכן אני יודע שזה לא קל, אבל בשביל זה יש גוגל ואת הפורום הזה .
צפריר : |
שירותים צריכים לרוץ עם מינימום הרשאות:
* מה שלא צריך לרוץ: שלא ירוץ. לדוגמה: תעיף את xfs . תעיף גם את X אם אין דרישה מפורשת שהוא ירוץ.
* מה שלא צריך להקשיב: שלא יקשיב: אם יש שירות שצריך להקשיב על פורט אבל לא צריך להיות חשוף לרשת הבדיקה: שישקשיב רק על lo .
* להריץ שירותים ב־chroot jail
* להשתמש ב־iptables
|
חובה שיהיה ממשק גרפי של KDE (ככה הוחלט, אני לא מבין למה, אבל ככה).
בקשר להקשבה על lo אשמח לאיזה howto.
בקשר ל chroot jail אשמח לאיזה howto.
בקשר ל iptables אני יודע איך לעבוד עם זה.
צפריר : |
וכמובן: לדאוג למערכת עדכנית: לעדכן את כל העדכונים מההפצה, לא להתקין חבילות מיותרות שלא מההפצה (שמא יש בהן חורים לא מתוקנים)
|
כן, לעדכן והכל זה בסדר, הבעיה שצריך AMULE ודומותיה וזאת בעיה.
צפריר : |
אגב: מה רע בזה שהמורה "יצליח להגיע אליכם דרך licq"? הרי licq היא תוכנה שאמורה להקשיב על פורט ולא מתפקדת בצורה מלאה אם אין לה קשר ישיר לצד השני.
|
יכול להיות שלא הבנת את כוונתי.
הכוונה של התחרות היא לפרוץ אלי, ואם המורה לא יצור איתי איזה קשר לא משנה איזה האקר טוב הוא הוא לא ידע להגיע אלי.
ולכן נשלחת אליו הודעה מה LICQ שלי ומשם הוא אמור לנסות לקחת את האיפי, אבל אני אסתיר זאת עם פרוקסי טוב בתקווה שהוא לא יצליח, או אפילו עם שרשרת, חשבתי על להסתיר בכלל את כל הגלישה לנט עם שרשרת פרוקסי וגם כן אשמח לאיזה howto טוב כי לא מצאתי משהו רציני.
צפריר : |
לגבי התגוננות מגישה פיזית: מניחית שמותר לו לכבות את המערכת? (בשביל לכבות את המערכת מספיק לנתק אותה מהחשמל. את זה מסובך ומיותר לנסות למנוע). אם כן: מה כן חייב לרוץ על הקונסול? |
מותר לו לכבות את המערכת.
מה חייב לרוץ על הקונסול? מה שיש, קודם כל הוא מקבל גישה למחשב והמחשב אמור להיות מחשב רגיל, ז"א אחד כזה שאפשר להפעיל עליו משחקים וכל תוכנה, הבעיה (שלו) שהוא לא מקבל שום יוזר אפילו לא רגיל ואפילו לא דל הרשאות אז לפי דעתי הוא ילך על משהו עם איזה לייבסידי.
תודה!
|
|
חזרה לתוכן הדיון |
פורסם: 30/10/2004 - 04:16
נושא ההודעה:
|
אם אפשר להפעיל את המחשב עם לייב סידי, אז אפשר לפרוץ בלי בעיה את סיסמת הרוט. נסה לבדוק בכיוון של הצפנת מערכת הקבצים כדי לחסום אפשרות לקבל גישה למערכת:
http://koeln.ccc.de/archiv/drt/crypto/linux-disk.html
http://www.linuxjournal.com/article.php?sid=2590
לגבי הגבלת הרשאות ושליטה יותר טובה במה אפשר להפעיל, בדוק את SELinux;
http://www.nsa.gov/selinux
לא אמורה להיות בעיה לבנות קרנל שכולל את הטלאים האלו אם אתה בוחר הפצה כגון סלאק, או לחילופין אתה יכול להתקין את פדורה שאמורה לכלול תמיכה בזה.
לגבי מדריך להפעלת תהליכים ב chroot jail, חפש בפינגווין.
כמו כן תוכל להעזר ב:
http://www.gentoo.org/doc/en/gentoo-security.xml
http://www.debian.org/doc/user-manuals#securing
בהצלחה!
|
|
חזרה לתוכן הדיון |
פורסם: 30/10/2004 - 04:53
נושא ההודעה:
|
דבר נוסף שאתה יכול לעשות כדי להקשות לו את החיים, זה לעשות disable ליוזר root, ולעשות מה שאתה צריך עם su. בנוסף, תאשר login רק מ LOCAL. זה למעשה ימנע ממנו כל נסיון ל login דרך root, ואם יש לך שם משתמש מספיק מוזר, אתה די בטוח...אלה רק טיפים לרשת כמובן, כי כפי שציינו מכובדי לפני, עם live-cd אין הרבה בעיות להכנס למחשבים על הפצה ממוצעת. אז גם שים סיסמא בביוס (למרות שגם את זה אפשר לעקוף), תעשה בביוס בוט מהארדיסק בלבד, ואל תתקין grub אלא תשתמש ב lilo, כי למרות שהוא פחות מתוחכם, עם grub אפשר להשתמש כדי לשנות את הפרמטרים של הבוט באופן דינאמי. ושים 0 ב timeout. כמובן שהכי טוב, זה לעשות encryption למחיצה, ואז שום live-cd לא יעזור
נ.ב.
גם אני ממליץ להשתמש בהפצה עם דגש על security כדוגמאת selinux.
נ.ב.נ.
אל תשכח לסגור את הפורטים של X, ואם אתה משתמש ב gdm/kdm וכו', תריץ עם nodaemon.
בהצלחה.
|
|
חזרה לתוכן הדיון |
פורסם: 30/10/2004 - 06:01
נושא ההודעה:
|
תודה, אני אצפין את הקבצים.
האם יש לך ניסיון אישי איתה? האם לפי דעתך היא מספיק טובה?
תודה!
|
|
חזרה לתוכן הדיון |
פורסם: 30/10/2004 - 06:06
נושא ההודעה:
|
Anonymous : | דבר נוסף שאתה יכול לעשות כדי להקשות לו את החיים, זה לעשות disable ליוזר root, ולעשות מה שאתה צריך עם su.
|
אסור לעשות דבר כזה לפי החוקים
Anonymous : |
בנוסף, תאשר login רק מ LOCAL. זה למעשה ימנע ממנו כל נסיון ל login דרך root, ואם יש לך שם משתמש מספיק מוזר, אתה די בטוח...אלה רק טיפים לרשת כמובן, כי כפי שציינו מכובדי לפני, עם live-cd אין הרבה בעיות להכנס למחשבים על הפצה ממוצעת.
|
יש מדריך לאפשרות אישור רק מלוקאל?
וכן, יש שם מספיק מוזר...
Anonymous : |
אז גם שים סיסמא בביוס (למרות שגם את זה אפשר לעקוף), תעשה בביוס בוט מהארדיסק בלבד, ואל תתקין grub אלא תשתמש ב lilo, כי למרות שהוא פחות מתוחכם, עם grub אפשר להשתמש כדי לשנות את הפרמטרים של הבוט באופן דינאמי. ושים 0 ב timeout. כמובן שהכי טוב, זה לעשות encryption למחיצה, ואז שום live-cd לא יעזור
|
שמתי סיסמה בביוס והתקנתי את לילו, למה לשים TIMEOUT 0? כדי שלא יוכל לשחק עם משהו אחר?
Anonymous : |
נ.ב.
גם אני ממליץ להשתמש בהפצה עם דגש על security כדוגמאת selinux.
|
האם ניסית אותה באופן אישי? היא יציבה?
Anonymous : |
נ.ב.נ.
אל תשכח לסגור את הפורטים של X, ואם אתה משתמש ב gdm/kdm וכו', תריץ עם nodaemon.
בהצלחה. |
אני אעשה את זה, תודה!
|
|
חזרה לתוכן הדיון |
פורסם: 30/10/2004 - 06:46
נושא ההודעה:
|
בתור מעריץ דביאן מושבע הייתי ממליץ על debian woodie (הגרסא החדשה כוללת כמעט את כל עדכוני האבטחה).
שים לב להפעיל את iptables במצב tateful inspection, על מנת לבדוק את המידע הנכנס על פי תוכן הפקט ולא רק על פי פורט.
פרטים על זה ועוד קצת: http://www.fwbuilder.org/archives/cat_faq.html
הייתי ממליץ גם להתקין snort ו tripwire על מנת לאבחן את הפריצה בזמן אמת ולנסות לחסום את הפרצות (במידה ומותר על פי הכללים).
בנוגע לפרוקסי, צור איתי קשר ב corwinon AT gmail DOT com
_________________ אני לא עושה תריסים, חלונות ופאנלים. בעיקר חלונות...
|
|
חזרה לתוכן הדיון |
פורסם: 30/10/2004 - 06:47
נושא ההודעה:
|
לאישור רק מלוקאל (זה יכול להיות שונה מהפצה להפצה, חפש את הקובץ המתאים) הוסף בקובץ
ציטוט: | /etc/security/access.conf |
קוד: | -:wheel:ALL EXCEPT LOCAL |
בקשר ל timeout, כן, זה רק ליתר בטחון, כי אני לא ממש זוכר את lilo
בקשר ל selinux, לא ניסיתי אותה, אבל כדאי לבדוק בפורום שלה קודם לכן. אל תשכח אבל שזה מהבית של nsa כמובן, שכל הפצה (ראויה) אתה יכול לאבטח ממסד עד טפחות בעצמך - selinux פשוט מגיעה עם רוב הצעות ה security מוטמעות כ default.
ולדוביקס ששם את הלינק של gentoo על security - וואוו, תודה. תמיד לומדים המון מ gentoo (גם אם לדעתי זה בזבוז של cpu power )
|
|
חזרה לתוכן הדיון |
פורסם: 30/10/2004 - 06:52
נושא ההודעה:
|
אגב, אישית הייתי מאוד מעונין לקרוא את התהליך הסופי של כל ההגנה שעשית. זה יכול להיות מאוד מעניין, ובהחלט מאוד מעשי
|
|
חזרה לתוכן הדיון |
פורסם: 30/10/2004 - 06:58
נושא ההודעה:
|
Anonymous : | אגב, אישית הייתי מאוד מעונין לקרוא את התהליך הסופי של כל ההגנה שעשית. זה יכול להיות מאוד מעניין, ובהחלט מאוד מעשי |
מצטרף לבקשה
_________________ אני לא עושה תריסים, חלונות ופאנלים. בעיקר חלונות...
|
|
חזרה לתוכן הדיון |
פורסם: 30/10/2004 - 07:01
נושא ההודעה:
|
corwin : | בתור מעריץ דביאן מושבע הייתי ממליץ על debian woodie (הגרסא החדשה כוללת כמעט את כל עדכוני האבטחה).
|
אני עוד מתלבט בין דביאן לסלאק וגם בין הדביאנים השונים.
corwin : |
שים לב להפעיל את iptables במצב tateful inspection, על מנת לבדוק את המידע הנכנס על פי תוכן הפקט ולא רק על פי פורט.
פרטים על זה ועוד קצת: http://www.fwbuilder.org/archives/cat_faq.html
הייתי ממליץ גם להתקין snort ו tripwire על מנת לאבחן את הפריצה בזמן אמת ולנסות לחסום את הפרצות (במידה ומותר על פי הכללים).
|
אפשר מידע על שני הדברים?
snort
tripwire
corwin : |
בנוגע לפרוקסי, צור איתי קשר ב corwinon AT gmail DOT com |
[/quote]
אני אצור קשר, תודה!
|
|
חזרה לתוכן הדיון |
פורסם: 30/10/2004 - 07:02
נושא ההודעה:
|
|
|
חזרה לתוכן הדיון |
פורסם: 30/10/2004 - 07:04
נושא ההודעה:
|
|
|
חזרה לתוכן הדיון |
פורסם: 30/10/2004 - 09:32
נושא ההודעה:
|
אגב, עוד סתם משהו קטן לשגע אותו שחשבתי עליו עכשיו - שים ב .bashrc של root פקודת logout ככה אי אפשר יהיה לעשות איתו login והוא עדיין enabled
|
|
חזרה לתוכן הדיון |
פורסם: 30/10/2004 - 18:32
נושא ההודעה:
|
נסה לשים פונקציה אשר שמה הודעה כאשר שמים קובץ חדש
ודורשת קוד כאשר מנסים להוסיף קובץ
|
|
חזרה לתוכן הדיון |
פורסם: 30/10/2004 - 18:33
נושא ההודעה:
|
ושים הצפנה בכדי להכנס לקבצים
לגעת בהם וכוו...
|
|
חזרה לתוכן הדיון |
פורסם: 30/10/2004 - 18:45
נושא ההודעה:
|
קרא גם על תחרות ההקינג שהייתה באוגוסט פינגווין האחרון.
אחד הדברים היה לקחת מערכת קבצים שלמה כקובץ(אני לא זוכר איזה סוג של קובץ) ולבצע לה mount כך שבוט מ-cd לא יראה אותה כלל כמחיצה.
_________________ איזי גולדנברג
|
|
חזרה לתוכן הדיון |
פורסם: 30/10/2004 - 18:47
נושא ההודעה:
|
להסתרת ip באי סי קיו נסה http://www.daniel.koala.co.il/madrih.php?lname=ip
לאבטחת קבצים במחשב הביתי נסה
http://www.interscope.ro/blackbox/default_.asp
כמו כן חפש תוכנה המגבילה גישה של אי פי מסוים למחשב
|
|
חזרה לתוכן הדיון |
פורסם: 30/10/2004 - 18:58
נושא ההודעה:
|
כמה מהמגיבים לקחו את עניין ההרשאות ברצינות רבה מדי.
אם מישהו מעלה את המערכת עם קרנל משלו ממש לא יפריע לו אם על המערכת מותקן selinux או כל מערכת הרשאות אחרת.
אף אחד לא העלה כאן שום סיבה להשתמש במערכת הרשאות שונה ממערכת ההרשאות הרגילה והמוכרת. בסה"כ יש כאן מערכת עם משתמש רגיל אחד. היתרון שלה הוא שהיא מוכרת ולכן יש הרבה פחות סיכויים לעשות איתה שטויות.
|
|
חזרה לתוכן הדיון |
פורסם: 30/10/2004 - 19:18
נושא ההודעה:
|
שקרא את המדריכים בפינגויין:
http://penguin.whatsup.org.il/
Jonatan44
|
|
חזרה לתוכן הדיון |
פורסם: 30/10/2004 - 19:29
נושא ההודעה:
|
מה שהם עשו באוגוסט פנגויין זה להשתמש במערכת קבצים (לא זכור לי השם) שיש לה "מספר קסם" ובלי המספר הזה אי אפשר לעשות לה MOUNT
יכל להיות נחמד ליצור מערכת קבצים חדשה משהו כמו EXT3 שעובדת עם הקרנל הפרטי שלך אבל זה יכול להיות קשהואולי נגד החוקים
|
|
חזרה לתוכן הדיון |
פורסם: 30/10/2004 - 19:34
נושא ההודעה:
|
תכנסו לאתר בסוף כתוב "LINUX IS A REGRISTED TRADEMARK OF LINDUS..."
מה הם מפגרים הם לא הבינו מה זה לינוקס?
|
|
חזרה לתוכן הדיון |
פורסם: 15/11/2004 - 18:30
נושא ההודעה:
|
איזה כבוד!
המדריך שכתבתי מגיע לשירשור אבטחה.
- עשית לי את היום.
|
|
חזרה לתוכן הדיון |
פורסם: 15/11/2004 - 18:37
נושא ההודעה:
|
שלום לכל החבר'ה, עברתי כבר 3 שלבים בתחרות ובמקביל אני עובד על מדריך אבטחה בצירוף המלצותיכם, אני מקווה לסיים אותו בקרוב, יש לי עוד 2 שלבים לעבור בדרך לגמר היות ושינו קצת את חוקי התחרות.
יעקוב - פותח ההודעה.
|
|
חזרה לתוכן הדיון |
פורסם: 15/11/2004 - 18:37
נושא ההודעה:
|
שלום לכל החבר'ה, עברתי כבר 3 שלבים בתחרות ובמקביל אני עובד על מדריך אבטחה בצירוף המלצותיכם, אני מקווה לסיים אותו בקרוב, יש לי עוד 2 שלבים לעבור בדרך לגמר היות ושינו קצת את חוקי התחרות.
יעקוב - פותח ההודעה.
|
|
חזרה לתוכן הדיון |
פורסם: 29/12/2004 - 10:20
נושא ההודעה: מה קורה עם השרשור הזה מת?
|
מה קורה עם השרשור הזה מת?
מה קרה לתחרות בסוף?
|
|
חזרה לתוכן הדיון |
פורסם: 29/12/2004 - 10:59
נושא ההודעה: Re: מה קורה עם השרשור הזה מת?
|
Anonymous : | מה קורה עם השרשור הזה מת?
מה קרה לתחרות בסוף? |
חברים, אני עובד קשה על המדריך, אם ישנם אנשים שיכולים לעזור לי בכתיבתו אני אשמח אם הם ישאיר פה את המייל שלהם כדי שאוכל ליצור קשה.
בקשר לסיפור שהיה, אני מתכוון לכתוב אותו ואלי לשלוח לחדשות האתר...עו טיפה סבלנות.
יעקב.
|
|
חזרה לתוכן הדיון |
פורסם: 02/01/2005 - 23:42
נושא ההודעה: מחכה כבר למדריך...
|
מחכה למדריך...
galtux@inter.net.il
לעזור במה בדיוק?
|
|
חזרה לתוכן הדיון |
פורסם: 05/02/2005 - 05:52
נושא ההודעה: הקפצה
|
הקפצה
|
|
חזרה לתוכן הדיון |
|