אבטחה ושיתוף אינטרנט

האם בלינוקס יש Firewall?

כן.
סינון חבילות רשת נעשה בליבת המערכת (kernel), וכלים מיוחדים שומרים על טבלת-כללים המאפשרים סינון זה.

הכלים הם ipchains לליבות מגרסא 2.2 ומעלה ו- iptables לליבות מגרסא 2.4 ומעלה. סט הכללים ישמר בד”כ בסקריפט שיעלה אוטומטית עם איתחול המערכת, במידה ואין ביכולתך לבנות סקריפט כזה, חיפוש במנוע חיפוש יעלה מגוון רחב של סקריפטים מוכנים.

חשוב לציין שאת אפשרות סינון החבילות יש לבחור בזמן הידור הליבה,אם כי רוב הליבות המהודרות יבואו עם אפשרות זו מהודרת כבר. כמו כן לא ניתן להפעיל בו זמנית גם את ipchains וגם את iptables.
למידע נוסף פנה ל how-to הרלוונטים.

קישורים: ראשית נציין את המדריך בעברית (מאת אודי רומנו), שיכול לשמש כמבוא, הנמצא באתר הפינגווין: http://www.penguin.org.il/guides/iptables-intro/index.html

כמו כן יש אתר הלינקים הבאים למקורות מקצועיים באנגלית:

iptables  - http://www.linuxguruz.org/iptables/howto/iptables-HOWTO.html
ipchains - http://www.tldp.org/HOWTO/IPCHAINS-HOWTO.html

חשוב לציין שבעזרת כלי כמו iptables אפשר להגדיר “קיר אש” (פיירוואל) מקצועי לכל דבר ועניין, שיכול להתחרות בכלים מקצועיים ויקרים מאוד, אך בעלות נמוכה בהרבה, ובעל דרישות מערכת מאוד מצומצמות.

מה ההבדל בין ipchains ל iptables ?

אין הבדל ממשי למשתמש הביתי הממוצע.

בעיקרון ipchains נוצר לליבה בגרסא 2.2.0 ואילו iptables נוצר לליבות מגרסא 2.4.0. ההבדל בינהם הוא בעיקר בדרך כתיבת החוקים.

תוספת חשובה, שנוספה ל- iptabels, היא ה- Statefull Inspection. אופציה שמאפשרת ל- Firewall, להתייחס לזרם נתונים (Data stream) מסויים, במקום לבדוק כל חבילה שמגיע. הדבר מוסיף גמישות לחוקים שניתן לכתוב, ושיפור ביצועים בבדיקת חבילות נכנסות.

דוגמאות:
# ב-iptables יש להכניס את סוג השרשאת ( INPUT,OUTPUT וכו' ) באותיות גדולות ,לעומת ipchains שלא הייתה רגישה להבדל בין אותיות קטנות לגדולות. #ב-iptables מבחינים בין ממשק (interface) יוצא לממשק נכנס.

את כל ההבדלים תוכל למצוא בכתובת http://www.linuxguruz.org/iptables/howto/iptables-HOWTO-7.html

כיצד ניתן לשתף את חיבור האינטרנט לעוד מחשבים ?

הקדמה בנושא ניתן לקרוא במבוא של אודי רומנו: http://www.penguin.org.il/faq/downloads/nat-intro/index.html

הקוד מקור פתוח לכל, זה לא אומר שהמערכת פחות מאובטחת ?

כידוע לכל, הקוד מקור של לינוקס, זמין לכל, מה שיוצר לנו לכאורה בעיות אבטחת - כל אחד יכול להציץ בקוד המקור, למצוא פרצות ולנצל אותם (כל אחד שמבין מספיק בתכנות). בפועל, מסתבר שקוד פתוח במקרים מסויימים, לא רק שהוא בטוח, הוא אפילו בטוח הרבה יותר מקוד סגור.

הסיבה היא שקוד פתוח מבטיח שאלפי תכנתים ברחבי העולם, מסתכלים על הקוד ומשפרים אותו מתוך בהתנדבות.
לפיכך, הסיכוי שיהיה חור שלא יתגלה על ידם טרם השחרור של הקוד הוא נמוך.

כמו כן השיטה שבא עובד הקוד הפתוח, מאפשר במקרים שבהם מתגלה חור אבטחה, ליצור פתרון מהיר ביותר (בד”כ תוך שעות ספורות יש תיקון). בעולם הקוד הסגור, בהרבה מקרים, תיקוני אבטחה נדחים למשך זמן ארוך יחסית.

למעשה, פורסם שגופים כמו גופי הבטחון של מדינת ישראל, עושים שימוש בקוד פתוח במערכות רגישות, בשל היכולת של ארגונים כאלה, לדעת מה הם מקבלים במדויק, ולהיות בטוחים, שיש להם את המערכת המאובטחת ביותר שיכולה להיות.

האם הסיסמאות מבטיחות הגנה מפני משתמש אחר מקומי (שאינו דרך הרשת)?

שאלה טובה.
אני לא בטוח שהיא נשאלת יותר מדיי פעמים, אבל חשוב להבהיר אותה חד פעמית: זה שיש לנו ססמאות קשות לפיצוח של משתמש ה root , וזה שיש לנו סיסמאות בכלל במערכת, זה טוב ונחמד, אבל זה לא מונע ממישהו אחר שיש לו גישה פיזית למחשב (לא גישה דרך רשת כלשהי) לעשות ככל העולה על רצונו.

במה מדובר.
כשאנחנו מפעילים את המחשב, בצורה רגילה, אנחנו מגיעים לחלון לוגין בד”כ (גרפי או לא זה לא משנה), ולכאורה נדמה לנו, שמי שאין לו סיסמא פשוט לא יכול להכנס.

אז למי שלא יודע אני אחדש - זה לחלוטין לא המצב.
מערכת ההרשאות, נועדה לאבטח מהיבט של רשת בעיקר (שהרי לינוקס היא מערכת שנוצרה במקור תוך שימת דגש לכיוון של רשתות).

למעשה, אפרט כאן כמה אפשרויות להתגבר על נושא הסיסמא.
ההסבר אינו מיועד למטרות האקינג, כי אם להבנה טובה יותר של המערכת, ואיך היא עובדת (ולהמנע מטעויות מביכות):

כניסה למערכת כ single

אפשר להריץ את המערכת כסינגל, כלומר ב runlevel 1 , היא תעלה בצורה מאוד מינימלית (בלי ריבוי משתמשים, בלי רשת וכו'), אבל הגישת root למערכת היא ללא סיסמא ! ! ! השימוש ב single אמור לתת לנו גישה למערכת במקרי חירום (למשל המערכת לא עולה במצב רגיל, אז נכנסים אליה בצורה הכי מינימלית שיש למטרות תיקון ובדיקה). כמו כן שכחנו את הסיסמא של root נכנסים ב linus single ויש לנו אפשרות ליצוא סיסמא חדשה ל root בעזרת passwd .

העברה של פרמטר אחר לקרנל למשל /bin/bash

שוב, נמצא במצב דומה ל linux single

אתחול מדיסקט אן CD

אפשר לבצע איתחול מדיסקט של הפצת לינוקס שנכנסת לדיסקט (ויש כמה כאלה) או מתקליטור של הפצה שעובדת ישירות מה cd ומשם, לבצע mount למחיצות של הדיסק הקשיח, ומשם הדרך לפריצת המערכת היא קצרה מאוד…..

חשוב לציין שאבטחה פיזית של השרת, בד”כ באה בעזרת אמצעים שונים, כמו מעקב (מצלמות), נעילית חדר השרתים וכו'….. יש מגוון אמצעים ודרכים, אבל בסופו של דבר מניעת גישה פיזית למי שאינו מורשה לזה, ושאינו רצוי שיגע בשרת (ואם זה מחשב תחנת עבודה אז כנ”ל) הוא אמצעי מאוד חשוב, אולי הראשון במעלה.

לסיכום, כדי לסבר יותר את האוזן, אפנה לת'רד חביב בנושא שהתפתח בפורום התוסס של “תפוז”, אתם מוזמנים להציץ ולהבין עד כמה הנושא הזה אינו פשוט: http://www.tapuz.co.il/tapuzforum/sponsor/Viewmsg.asp?id=236&msgid=6856716

היכן אני מציץ בלוגים של המערכת ?

רבים מהשרותים של לינוקס מבוססים השירות syslog שהוא שירות שמטרתו, לנהל את הלוגים ! הקובץ קונפיגורציה שלו הוא:

/etc/syslog.conf

בקובץ זה נאמר לאן ינותבו הלוגים. בד”כ הלוגים יושבים תחת הספריה /var/log

כמובן שלעיתים נרצה לערוך את הקובץ, ולהוסיף התאמה אישית של ניתוב הלוגים. למשל, אם נרצה לקבל קובץ לוגים של הקרנל (בברירת מחדל של ראד האט, לעיתים הלוגים הללו לא מנותבים כלל, ואינם יופיעו בשום קובץ ! ) נוכל להוסיף את השורה הבאה:

kern.* /var/log/kernel.log

במקרה הזה הלוגים של הקרנל יופנו לקובץ בשם:

/var/log/kernel.log

אין צורך ליצור אותו, הקובץ יבנה אוטומטית על ידי שרת הלוגים.

עוד אפשרות, היא לגרום ללוג להופיע על המסך, וזאת על ידי הפניה ל /dev/tty הרצויה למשל:

kern.*     /dev/tty0

כאן הלוגים של הקרנל מופנים ל /dev/tty0 שהוא הטרמינל הראשון במערכת.

חשוב לציין שהלוגים של הקרנל הם חשובים, שכן בהם מקבלים מידע מאוד חיוני, על הפעולות של הקרנל, כולל החלק החשוב של פעילות הקרנל (iptables למשל).

שרת ה syslog מופעל אוטומטית באתחול (ואם לא, יש לדאוג בעזרת ntsysv להפעיל אותו), וכדי להפעילו מיידית עם השינוים, כמו כל שירות אחר ניתן להריץ:

$ service syslog restart

או לחילופין:

$ /etc/init.d/syslog restart

הלוגים של שרת האפצ'י (שרת ה web הפופולארי בעולם) בד”כ יושבים תחת:

/var/log/httpd/

כשלינק סימבולי לתקיה הזאת נמצא גם ב:

/etc/httpd/logs

* קודם - עברית
* ראשי
* הבא - רשתות תחת לינוקס

שות/אבטחה_ושיתוף_אינטרנט.txt · שונה לאחרונה ב: 2008/06/19 18:34 (עריכה חיצונית)
chimeric.de = chi`s home Creative Commons License Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0