конецформыначалоформыПароли в разных ОС:
A/UX 3.0s — /tcb/files/auth/?/*
FreeBSD 4.3 — /etc/master.passwd
ConvexOS 10 — /etc/shadpw
ConvexOS 11 — /etc/shadow
DG/UX — /etc/tcb/aa/user/
HP-UX — /.secure/etc/passwd
IRIX 5 — /etc/shadow
Linux 1.1 — /etc/shadow
SunOS 4.1 — /etc/security/passwd.adjunct
SunOS 5.0 — /etc/shadow
UNICOS — /etc/udb
Win 95/98 — c:\windows\*.pwl
AIX 3 — /etc/security/passwd или /tcb/auth/files/первый символ логина/логин
BSD4.3-Reno — /etc/master.passwd
EP/IX — /etc/shadow
OSF/1 — /etc/passwd[.dir|.pag]
SCO Unix #.2.x — /tcb/auth/files/первый символ логина/логин
System V Release 4.0 — /etc/shadow
System V Release 4.2 — /etc/security/* database
Ultrix 4 — /etc/auth[.dir|.pag]
Пароли в различных серверах:
Samba — /etc/samba/smbpasswd
Apache — /usr/local/apache/pwd
Основные виды хэшей:
e9a7656f277ba63618e20628fefad321 — md5
14FB05A326C16B2B — MySQL
$l$12345678$6KdMANluuNMmoxB4v4SyQ0 — MD5 (Unix)
9ABB8717D8B02F4181274D347622C6927F82725C — SHA-1
5m84advre2a0p — DES
__________________________________________________________________________________________
_ЗАЩИТА:
Итак, мы рассказали о некоторых моментах взлома сервера.Для того, чтобы понять как лучше
защитить свой сервер ещё раз вспомним написанное выше и подведём итог.Из всего
вышеизложенного можно вывести несколько правил/условий/советов:
- использование только проверенных скриптов, обновление их версий
- чем меньше сайтов на сервере, тем меньше вероятность взлома через веб уязвимости
- удаление копирайта скриптов/форумов и др
- следить за логами сервера
- запрет на исполнение консольных команд простым пользователям
- установка chmod’ов на важные каталоги/файлы
- сложные и разные пароли везде! (MySQL, etc/passwd, ftp, и др)
- жёсткие правила межсетевого экрана
Вот и всё.Самые важные правила соблюдая которые процентная вероятность взлома вашего
сервера стала намного меньше, нежели раньше.
Теперь приступим непосредственно к практическим аспектам защиты некоторых разновидностей
серверов, демонов, и др.
-[Лог файлы]:
Для того, чтобы обнаружить на своём сервере веб шелл, либо уязвимый скрипт можно воспользоваться
скриптом под названием Checklog (автор rel4nium, www.rel.unl0ck.net/art/d/checklog.rar) этот скрипт
предназначен для проверки логов сервера на предмет пребывания веб шелов, выполнения команд на
сервере.Очень прост в обращении, запустив его вы получите резульатат в удобной форме отчёта о
сканировании лог файла.Скрипт ищет обращение к шелам, ведёт поиск по названиям веб шеллов и
самое главное по http запросам(методом пост) используемых в веб шелах что повышает процент
вероятности нахождения шелов.
-[Пароли]:
Установка сложных паролей, так как хеширование паролей не есть та должная степень безопасности
которой должен обладать пароль. Подобрать буквенный пароль можно в считанные минуты. Длинный,
с использованием букв, цифр и спец символов — именно такой должен быть пароль + везде разные
пароли, на админки и др можно ставить русские, так как большая часть брутфорсов подбирает
только латинские пароли.
-[Safe Mode]:
Safe Mode — это специальная директива в PHP которая ограничивает права скриптов на выполнение
критичных для безопасности системы функций.Для того, чтобы отпугнуть скрипт-кидди нужно
сделать следующие преобразования в файле php.ini:
safe_mode = On
safe_mode_gid = On
sql.safe_mode = On
-[Защита сервера Samba]:
Для создания пользователя в samba используем команду:
adduser -s /bin/false user
passwd pass
В данном случае adduser — команда создания пользователя, ключ -s устанавливает обалочку
для пользователя, у нас это /bin/false, т.е эта оболочка не работает с консолью, и у кого
она будет установлена в качестве параметра в ключе -s, у того нет прав для выполнения
консольных команд, user — имя пользователя.passwd — устанавливает пароль пользователя,
в нашем случае это pass.После создания пользователей нужно установить на файл паролей
chmod таким образом:
chmod 600 /etc/samba/smbpasswd
Теперь этот файл не посылам прочитать простому пользователю.
-[Защита Apache]:
После настройки сервера нужно расставить чмоды на файлы:
chmod 511 /usr/sbin/httpd
chmod 700 /etc/httpd/conf/
chmod 700 /var/log/httpd /
Но конечно эти каталоги могут менятся в зависимости от настройки сервера.
-[Защита Pro-ftpd]:
нужно в файле /etc/proftpd.conf, в директиве DefaultRoot указать символ ~ (т.е домашний
каталог пользователя).После этого пользователи ftp сервера будут видеть только свой
домашний каталог и ничего кроме него:
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
# Корневым для пользователя будет его домашний каталог
DefaultRoot «~»
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
После нужно установить опцию RequireValidShell в состояние on
-[MySQL]:
1) chmod +t /var/lib/mysql — устанавливаем липкий бит на /var/lib/mysql, чтобы нельзя было
удалить оттуда файлы.
-[Профилактические меры]:
+Для профилактики защищённости сервера можно использовать такие сканеры как Nessus, nmap.
+Как бы это не банально звучало — обновление версий демонов/сервисов и обновление ядра
+Установка и обновление антивируса (например KAV) и руткит хантера (например Chkrootkit)
+Слежение за логами сервера
Это и есть некоторые практические меры, соблюдая которые вы отпугнёте не очень опытных
взломщиков.
Думаю, что эта статья помогла Вам понять, как мыслит взломщик, что он будет искать на
вашем сервере и какие меры (с Вашей стороны) нужно принять чтобы пресечь попытки взлома.
Конечно меры эти самые минемальные и для того, чтобы быть увереным, что сервер не взломают
нужно подходить к конкретному серверу со своей стороны.Поэтому если Вам потребуется
качественная и надёжная защита сервера обращайтесь к нам.