��������� ������������
������� ����������� Linux

���������: � ���� ������ �������������� � ���, ��� ���������
�������������� ����� �������� ���� ������� �� ���������.
��� �������� �������� �������� ����� ��������� ������������
Linux ������

��������

������ ������� ������ �� ����� ����������� � Internet ����� ������� ��������. ������� �� ������ Linux � FreeBSD ����� �������� ������� ��� ����, ������������ ������������ ������� � imapd � BIND. ������ ���� �� 20,000 ����������� ������ �������� BUGTRAQ ��������� ���������, ����������� ������ ��������� � �������� ������������ (���� �� ������ ����������� ������ �� ���� ������ �������� �� ������������ - BUGTRAQ ��� ��� ��, ��� ��� �����)

����������� ����� ������������, ��� ���� �� ���� �� ���� 19,305 ����������� ������� ���� for() � ������� ���������� �������� ������ ��������� cut+paste � ������� �������� ������ � ����������� ����� �����������...

���� ��� ������ ���� �������� ����� ������ ����������, ������� ������� ���� ����� �������.

�������� �� ��������� ��������� '���������', ��������� � ��������� ���������� ������������ ������� �� ��� ������, ��� ��������������. ������� "��������� �����������������" �������� � ���� � ����� �������, ��� ������ �� ��������� �� ���������� ����. ��� ������ ������������� ��������� ���� ����������������, ������� � ����������, ������������ ������� ������� RedHat Linux. �������� �� ��, ��� ��� ������ ������������� ��������� ������ ������ �� ���������, ��� �� �������� ������ ������������.

������������� ����� ������������ ����� ��������� ����������� � ���������, ������� ������� ���� ������� �� ���������. �������� ������ ������� ��� ���������� �� ��� ����������� ����� ����. ��������������: ���� �� �� ������, ��� �� �������, �� �� ������� �����. ��������� �� ������������� ����� ��������� ������ ������� ���������. �������� ��������������� �� ������, ������� � ������ ���� (� ���� �� ���? ����. ���.) ������ �� ��������� �������������� ��������� ��������� � �����

���� � ������������

1. ������� ��� �������� ������� ������� �� ����� �������. ��� ������ ����� ������������ ����������� � ����� �����������, ��� ������ ������ �� ���� � ���� ������� �� �������� ���������. ��������������� ��� �������� � /etc/inetd.conf. ��� �� �����, ����� �� ���� ������� ����� ���� ����� ��������? ������������ ��� ������. �� �� ��������� � ftpd,rshd,rexecd,gopher,chargen, echo,pop3d � �.�.
�� �������� ��������� 'killall -HUP inetd' ����� �������������� inetd.conf. ����� �� ������������� ����������� /etc/rc.d/init.d ��������� ������� ������� (BIND,������ ��������) �������� ������������ �����������, ������������ �� ���� ��������.

2. ���������� SSH. SSH - ��� ���������� ������ ����������� 'r' ��������. �������� �������� SSH - http://www.cs.hut.fi/ssh.

SSH (Secure Shell) ��� ���������, ����������� ��� ����� ��
��������� ���������, ��� ���������� ������ �� ��������� ������ � ���
����������� ������ ����� ��������. SSH ������������� ������� �������
�������������� � ������������ �������� ��� ������������� ������������ �������.

SSH ����� ������ ����� ������ �����, ������� ���������� ������������ ����������� ������. �� ������ ��������� SSH � http://ftp.rge.com/pub/ssh .

3. ����������� vipw(1) ��� ���������� ���������, �� ��������������� ��� �����. ������, ��� � RedHat Linux �������� � �������� ������� ������������ ���� � �������� /bin/sh, ���, ��� �������, ������������. ����� ��������������, ��� �� ���� �� ����� ��������� �� ����� ������ ������� �����. ����� ������� ������ ����� ����� ������� ������ ���������� �������

  daemon:*:2:2:daemon:/sbin:/bin/sync
  adm:*:3:4:adm:/var/adm:/bin/sync
  lp:*:4:7:lp:/var/spool/lpd:/bin/sync
  sync:*:5:0:sync:/sbin:/bin/sync
  shutdown:*:6:0:shutdown:/bin:/sync
  halt:*:7:0:halt:/sbin:/bin:/sync
  mail:*:8:12:mail:/var/spool/mail:/bin/sync
  news:*:9:13:news:/var/spool/news:/bin/sync
  uucp:*:10:14:uucp:/var/spool/uucp:/bin/sync
  operator:*:11:0:operator:/root:/bin/sync
  games:*:12:100:games:/usr/games:/bin/sync
  gopher:*:13:30:gopher:/usr/lib/gopher-data:/bin/sync
  ftp:*:14:50:FTP User:/home/ftp:/bin/sync
  nobody:*:99:99:Nobody:/:/bin/sync                    

4. ������� ��� 's' � ��������, ���������� ������� �������� root, � ������� �� ������� ���������� root. ��� ����� ���� ��������� � ������� ������� 'chmod a-s' � ���������� � ���� ����� �����

������������� ������ ��� 's' � ��������� ����� ��������:

1. ���������, ������� �� ������� �� �����������
2. ���������, ������� ����� ���� �������� ������ ������������� root � ����� ������
3. ���������, ������� �� ����������� ����� �� ������� � ��� ������� ������� �� ������ ��������������� su(1).

� ��������� ������� � �������� ��������� (*) ����� ������ ���������, � ������� ������������� ������ ��� 's' ������, ��� ��� ���������� ������ ����� ������� ���������� ��������� suid root ��������� , ��� ��� ������ ���������.

����� �� ������ ������� ����������� ������ 'suidexec' � ��������� � ��� �������� �������������, ������� ������ ��������� suid root ���������. �������� chgrp(1) ��� suid �������� ��� ������ suidexec � ������� ���������� �� ���������� ��� world.

     
# find / -user root -perm "-u+s"    
*/bin/ping              
*/bin/mount              -- ������ root ����� ����������� �������� �������
*/bin/umount             -- �� ��
/bin/su                  -- �� ��������!
/bin/login
/sbin/pwdb_chkpwd
*/sbin/cardctl           -- ������� ���������� PCMCIA �������
*/usr/bin/rcp            -- ����������� ssh
*/usr/bin/rlogin         --  "
*/usr/bin/rsh            --  "
*/usr/bin/at             -- ����������� cron ��� ���������
*/usr/bin/lpq            -- ���������� LPRNG
*/usr/bin/lpr            -- "
*/usr/bin/lprm           -- "
*/usr/bin/mh/inc
*/usr/bin/mh/msgchk
/usr/bin/passwd          -- �� ��������! 
*/usr/bin/suidperl       -- � ������ ����� ������ suidperl ���� ������������
                            ������
*/usr/bin/sperl5.003     -- ����������� ������ ��� �������������
/usr/bin/procmail        -- 
*/usr/bin/chfn
*/usr/bin/chsh
*/usr/bin/newgrp
*/usr/bin/crontab               
*/usr/X11R6/bin/dga      -- � X ���� ����� ������������ ������
*/usr/X11R6/bin/xterm    -- "
*/usr/X11R6/bin/XF86_SVGA   -- "    
*/usr/sbin/usernetctl           
/usr/sbin/sendmail
*/usr/sbin/traceroute    -- �� ������ ������ ������ root ��� �������������

5. �������� sendmail. ��������� �������� ������ � ftp://ftp.sendmail.org/pub/sendma il.

���������� �� � ���������� ����������. ���� � ��� ���� �����, ���������� smrsh (���������� � ������ sendmail) ��� ��������� ��������� � sendmail ��������� �����������, ��� ��������, ������� ����� ����������� ���������� �������������� sendmail.cf � ���������� ����� 'PrivacyOptions' � 'goaway':

        O PrivacyOptions=goaway

���� �� �� ���������� �������� ����������� �����, �� ���������� SENDMAIL � ������ ������ (sendmail -bd)!. � ���� ������, ��������� /etc/rc.d/init.d/sendmail.init � �������� 'killall -TERM sendmail'. � ���� ������ �� ��� ��� ������ �������� �������� ��������� �����, ��������� Sendmail.

6. �������� BIND, ���� �� ��� �����������. ��������� ������ BIND ����� ���� ������� �� http://www.isc.org . �����, �������� ������������� BIND.

7. ���������������� ����. � ������ ����� ���, ��� ��� ���� �� ��������� ����� �� ��������� ��� ����� ������� ��� ������������ ������������� ������� ������������ �����: �������� ��� ����� firewall, ���� ���� ��� ��������� �� firewall.

       
        CONFIG_FIREWALL=y
        CONFIG_NET_ALIAS=y
        CONFIG_INET=y
        # CONFIG_IP_FORWARD is not set
        # CONFIG_IP_MULTICAST is not set
        CONFIG_SYN_COOKIES=y
        CONFIG_RST_COOKIES=y
        CONFIG_IP_FIREWALL=y
        CONFIG_IP_FIREWALL_VERBOSE=y
        # CONFIG_IP_MASQUERADE is not set
        # CONFIG_IP_TRANSPARENT_PROXY is not set
        CONFIG_IP_ALWAYS_DEFRAG=y
        CONFIG_IP_ACCT=y
        # CONFIG_IP_ROUTER is not set
        # CONFIG_NET_IPIP is not set
        CONFIG_IP_ALIAS=m

8. ����������� �����: �������� � ����������� ���� ��������� �������� � RedHat ����� ���� ������� �� RedHat Errata pages, (��. http://www.redhat.com/support/docs/errata.html ) ��� ����� ������� ����� ��� ����� ������ �������. RedHat ��������� ��������� ��� �������� ����� �� ����� ��������� ����� ������.

9. ��������������� tcp_wrappers: Tcp_wrappers - ��� ����� ����������� ����������� � ����, ������� ��������� "��������" � ����� �����������. ���� �����, ���������� ���� � �������� ������������ Wieste Venema, ������������� ����� �����������, ����������� �� inetd (��� ������������� � �������������� ���������� inetd), ����� �� ���������������� ����� ��� ����������� ���������� ��� ���������� ������� ����������. ��������, ��� ���������� telnet & ftp � �������� ������ ����� ������ ISP, � ������ ���� ��������� ���������� �������� ��������� � ��� /etc/hosts.allow:

        in.ftpd : .dialup.your-isp.com : allow
        all : all : deny 

SSH, sendmail � ������ ������ ����� ���� ������� � ���������� tcp_wrappers ���������� �������� ������ tcpd(1) ��� ��������� �������������� ����������.

�������������� ������: Secure Linux patches by Solar Designer:
http://www.false.com/security/li nux/

replay.com RedHat crypto pages:
http://www.replay.com/redhat/

Improving the Security of Your Site by Breaking Into it:
http://www.alw.nih.gov/Security/Docs/admin-guide-to-cracking.101.html

Slashdot - ������� �������� ��������� ��������:
http://www.slashdot.org

FreshMeat - ������������� �������� ��������� - ����� ������� �������� ��������, ����������� � ����� ��������:
http://www.freshmeat.net

Smashing the stack:
http:/ /reality.sgi.com/nate/machines/security/P49-14-Aleph-One

�������: ������ �������
http://www.falconWB.da.ru