Запуск Bastille Linux
- Если при установке ОС вы не задали запуск X-Window при загрузке, наберите startx в командной строке, и на экране появится графический интерфейс X-Window.
- Запустите Bastille в интерактивном режиме, щелкнув мышью на значке Bastille, расположенном в каталоге /usr/bin/bastille. Можно также набрать bastille в терминальном окне, открытом в Х.
-
Если вы не хотите или в силу каких-то причин не можете использовать Bastille в X-Window, можно запустить Bastille из командной строки, используя интерфейс на основе Curses.
Наберите
bastille c
в командной строке. Оба интерфейса дадут одинаковые результаты.
Можно запустить Bastille и в неинтерактивном режиме. В этом случае Bastille выполняется автоматически, не задавая никаких вопросов и действуя согласно предварительно созданному конфигурационному файлу. Конфигурационный файл создается при каждом запуске Bastille. После этого его можно использовать для выполнения Bastille на других компьютерах в неинтерактивном режиме. Этот метод полезен для быстрого повышения безопасности множества компьютеров. Если у вас есть конфигурационный файл, который делает то, что требуется, просто загрузите Bastille на другие машины и скопируйте на них конфигурационный файл (или предоставьте им доступ к этому файлу по сети). Затем введите bastille non-interactive config-file (здесь config-file - это маршрутное имя нужного конфигурационного файла).
Чаще всего, однако, Bastille будет выполняться в интерактивном режиме. В этом режиме вы отвечаете на последовательность вопросов о том, как вы будете использовать компьютер. На основе ответов Bastille выключает ненужные службы или ограничивает привилегии пользователей и служб. Он спрашивает что-нибудь вроде: "Вы собираетесь использовать этот компьютер для доступа к машинам с Windows?" При отрицательном ответе он отключает сервер Samba, который позволяет вашему компьютеру взаимодействовать с Windows-машинами. Потенциально Samba может создать некоторые уязвимости в вашей системе, поэтому, если он не нужен, его лучше отключить.
Если требуется запускать некоторые серверы (например, SSH), то Bastille будет пытаться установить их с ограниченными привилегиями или использовать сдвиг корня файловой системы. Последнее означает, что если сервер должен выполняться с привилегиями root, его возможности по воздействию на другие части системы будут ограничены. Это смягчает последствия успешных атак на службу.
Каждый вопрос сопровождается пояснением, почему эта настройка важна, так что можно решить, подходит ли она для вашей установки. Имеется также кнопка "More detail" (Подробнее) для получения дополнительной информации. Bastille использует новейший подход, пытаясь обучать администратора в процессе повышения безопасности системы. Чем больше у вас информации, тем лучше вы будете вооружены для выполнения обязанностей по защите сети.
Можно пропустить вопрос, если вы не вполне уверены в ответе, и вернуться к нему позднее. Не беспокойтесь, в конце у вас будет возможность придать окончательный вид всем настройкам. Можно также запустить Bastille позже, когда ответ будет найден, и изменить настройку в это время. Еще одна приятная особенность данного средства - предоставление в конце сеанса списка "недоделок" для всех элементов, оставшихся ненастроенными.
Теперь вы получили защищенный компьютер Linux для запуска средств безопасности. Если вы новичок в операционных системах на основе UNIX, то желательно ознакомиться с основными командами и навигацией. Если вы когда-то использовали DOS, то многие команды окажутся знакомыми, хотя их синтаксис несколько отличается. Одно из наиболее существенных различий между Windows и Linux и другими операционными системами на основе UNIX состоит в учете регистра символов в файловой системе. Приложение B содержит краткую таблицу наиболее часто используемых команд Linux и UNIX. Найдите время попрактиковаться в работе с операционной системой и убедитесь, что можете делать простые вещи, такие как смена текущего каталога, копирование файлов и т.д.
Существует несколько команд операционной системы, которые часто используются в защитной деятельности.
Они не являются в полном смысле слова отдельными программами для защиты скорее - это утилиты операционной системы, которые можно применять для генерации данных безопасности. Они настолько часто используются в последующих лекциях и в целом в работе по обеспечению безопасности, что я хотел бы детально обсудить их.
ping Автор: Mike Muus (покойный) Web-сайт: http://ftp.arl.mil/~mike/ping.html Платформы: Большинство платформ UNIX и Windows Лицензии: Различные Справочная информация в UNIX: Наберите man ping в командной строке. |
Система A посылает ping системе B: Echo Request, "Есть кто-нибудь?"
Система B получает запрос отклика и отправляет назад отклик, "Да, есть."
В типичном сеансе ping это повторяется несколько раз, чтобы проверить, теряют ли пакеты целевая машина или сеть. ping применяется также для определения задержки, то есть времени, которое требуется пакету для перемещения между двумя точками.
При использовании ping можно получить от хоста и другие типы ICMP-сообщений. Каждый из них имеет свой смысл, объясняемый в последующих лекциях.
- Сеть недоступна.
- Хост недоступен.
С помощью ping о хосте можно узнать не только то, работает он или нет, но и многое другое. Как вы увидите далее, способ, которым компьютер отвечает на ping, часто показывает, какая операционная система на нем функционирует. Можно также использовать ping для генерации поискового DNS-запроса и получения имени целевого хоста (если таковое имеется). Иногда это позволяет определить, является ли компьютер сервером, маршрутизатором или, возможно, домашним компьютером с коммутируемым или широкополосным соединением. Можно эхо-тестировать IP-адрес или полностью заданное доменное имя. В табл. 2.1 перечислены дополнительные ключи и опции команды ping, которые могут оказаться полезными.
-c count | Посылает сообщение ping count раз. В системах Linux и UNIX по умолчанию сообщения посылаются непрерывно, в Windows - четыре раза |
-f | Ping-наводнение. Посылается максимально возможное число пакетов в максимально быстром темпе. Это полезно для тестирования, чтобы увидеть, теряет ли хост пакеты, так как графически отображается, на сколько запросов поступили ответы. Будьте очень осторожны с этой командой, так как она может очень легко забить машину или сеть |
-n | Не выполнять DNS на IP-адрес. Это может ускорить ответ и исключить проблемы с DNS при диагностике сетевых проблем |
-s size | Посылает пакеты длины size. Это полезно при тестировании того, как машина или маршрутизатор обрабатывает большие пакеты. Ненормально большие пакеты часто используют в атаках на доступность, чтобы сбить или подавить систему |
-p pattern | Посылает pattern в качестве полезной нагрузки пакета ICMP. Это также хорошая проверка того, как машина реагирует на необычные ICMP-воздействия |