LX-04 – ĆWICZENIA DO SZKOLENIA – BEZPIECZEŃSTWO SYSTEMU LINUX – EDUKACJA.ABCDATA.PL

Marcin Josef (

marcin.kubiak@abcdata.pl

)

1

LL-00

ĆĆĆĆĆĆĆĆĆ

Autor:

Marcin Josef

marcin.kubiak@abcdata.pl

LX-04 – ĆWICZENIA DO SZKOLENIA – BEZPIECZEŃSTWO SYSTEMU LINUX – EDUKACJA.ABCDATA.PL

Marcin Josef (

marcin.kubiak@abcdata.pl

)

2

1. Bezpieczeństwo lokalne.

-

GRUB,

-

LILO,

-

Płyta LiveCD.

-

USB.

PODPOĆĆĆDŹ:

Jak wygląda procedura uruchamiania systemu.

1.1. ĆĆĆĆĆĆĆĆĆ.

Wykonaj awaryjne logowanie do lokalnego systemu bez znajomości hasła użytkownika root.

a)

Wykorzystaj metodę podstawiania pod proces INIT,

b)

Wykorzystaj montowanie dysków z płyty LiveCD oraz manipulację wpisami w plikach,

c)

Wykorzystaj backup pliku haseł oraz podstawienie hasha znanego hasła,

d)

Sprawdź jakie moduły PAM są odpowiedzialne za proces logowania w systemach Debian 4.0

i SuSE 10. Sprawdź czy można logować się bez hasła lokalnie i przez ssh,

e)

Wymuś stosowanie silnych haseł w systemie Debian,

f)

Zabezpieczenie gruba.

LX-04 – ĆWICZENIA DO SZKOLENIA – BEZPIECZEŃSTWO SYSTEMU LINUX – EDUKACJA.ABCDATA.PL

Marcin Josef (

marcin.kubiak@abcdata.pl

)

3

Ćwiczenie 1.1.a.

Wykorzystaj metodę podstawiania pod proces INIT,

PODPOĆĆĆDŹ.

/etc/shells, /etc/inittab, zadania procesu INIT, parametry bootloadera.

LX-04 – ĆWICZENIA DO SZKOLENIA – BEZPIECZEŃSTWO SYSTEMU LINUX – EDUKACJA.ABCDATA.PL

Marcin Josef (

marcin.kubiak@abcdata.pl

)

4

Ćwiczenie 1.1.b.

Wykorzystaj montowanie dysków z płyty LiveCD oraz manipulację wpisami w odpowiednich.

PODPOĆĆĆDŻ.

- najlepsze dystrybucje,

- przemontowanie systemu plików,

LX-04 – ĆWICZENIA DO SZKOLENIA – BEZPIECZEŃSTWO SYSTEMU LINUX – EDUKACJA.ABCDATA.PL

Marcin Josef (

marcin.kubiak@abcdata.pl

)

5

Ćwiczenia 1.1.c.

Wykorzystaj backup pliku haseł oraz podstawienie hasha znanego hasła.

PODPOĆĆĆDŹ.

fdisk -l

mount /dev/sda2 /system

mount /proc /system/proc -o bind

chroot /system

LX-04 – ĆWICZENIA DO SZKOLENIA – BEZPIECZEŃSTWO SYSTEMU LINUX – EDUKACJA.ABCDATA.PL

Marcin Josef (

marcin.kubiak@abcdata.pl

)

6

Ćykonanie ćwiczenia 1.1.d.

Sprawdź jakie moduły PAM są odpowiedzialne za proces logowania w systemach Debian 4.0 i SuSE 10.

Umożliw i zabrob logowania się bez hasła lokalnie i przez ssh.

PODPOĆĆĆDŹ 1.

PODPOĆĆĆDŹ 2.

- Zmieb zawartość /etc/pam.d/comm-auth – usunąć/dodać wpis nullok-secure oraz

usunąć/dodać linię auth required pam_permit.so

- Ustawienie konto bez hasła passwd –d maia

- Puste hasła ssh – wpis w /etc/ssh/sshd_config

/etc/pam.d/*

# pliki konfiguracyjne PAM

/etc/pam.d/login

# plik konfiguracyjny PAM dla programu login

/etc/security/*

# ustawienia modułów PAM

/etc/securetty

# terminale, na których może pracować root (login)

/etc/login.defs

# ustawienia programu login (login)

LX-04 – ĆWICZENIA DO SZKOLENIA – BEZPIECZEŃSTWO SYSTEMU LINUX – EDUKACJA.ABCDATA.PL

Marcin Josef (

marcin.kubiak@abcdata.pl

)

7

Ćykonanie ćwiczenia 1.1.e.

Wymuś stosowanie silnych haseł w systemie Debian. Wykorzystaj metodę cracklib.

PODPOĆĆĆDŹ.

- Wpisy w pliku /etc/pam.d/common-password

- Metoda domyślna i metoda cracrlib (należy doinstalować).

NP.: password required pam_cracklib.so retry=3 minlen=6 difok=3

apt-get – system zarządzania pakietami.

DODĆTĆK: SĆYFROĆĆĆĆĆ BLOĆFĆSH

1.

Edycja plików:

/etc/pam.d/common-auth oraz /etc/pam.d/common-password

W obu zamieb pam_unip.so na pam_unip2.so.

W common-password zamiast md5 wpisz blowfish.

Od tego momentu skrót hasła do każdego nowego konta będzie generowany za

pomocą algorytmu Blowfish.

Użytkownik, który ma już konto w systemie, musi skorzystać z polecenia passwd -

czyli po prostu zmienić hasło - aby zostało zabezpieczone za pomocą Blowfisha.

LX-04 – ĆWICZENIA DO SZKOLENIA – BEZPIECZEŃSTWO SYSTEMU LINUX – EDUKACJA.ABCDATA.PL

Marcin Josef (

marcin.kubiak@abcdata.pl

)

8

Ćykonanie ćwiczenia 1.1.f.

Zabezpieczenie gruba. Ustawienie hasła na tryby i parametry jądra oraz hasła na systemy.

10 min.

PODPOĆĆĆDŹ.

Ćwiczenie dodatkowe:

Zastosowanie programów - John The Ripper.

PODPOĆĆĆDŹ.

-

http://packages.debian.org/etch-backport/i386/john/download

- sprawdź sumę MD5,

- dpkg

- sprawdź konta z pustymi hasłami

- ustaw hasło ze słownika i sprawdź efekt poleceniem:

john /etc/passwd /etc/shadow > /wynik_john

Generator hasha md5: grub-md5-crypt

Plik konfiguracyjny gruba: /boot/grub/menu.lst

Opcje gruba:

password –md5 asdnhasdhjkashd8iusydiuasydiuasy

title m,pcn,p

lock

Ustawienie praw do pliku konfiguracyjnego.

LX-04 – ĆWICZENIA DO SZKOLENIA – BEZPIECZEŃSTWO SYSTEMU LINUX – EDUKACJA.ABCDATA.PL

Marcin Josef (

marcin.kubiak@abcdata.pl

)

9

Wykrzystaj narzędzie z BackTrack 2.0 – RainbowTables oraz tablice z

http://www.freerainbowtables.com/en/tables/md5/

Ćwiczenie dodatkowe:

Konfiguracja sudo. Dodanie użytkownika administracyjnego do /etc/sudoers – DEBIAN.

Ćwiczenie dodatkowe.

Zabezpieczenie przed przypadkowym restartem CTRL+ALT+DEL.

Ćwiczenie dodatkowe.

Blokowanie konsoli wirtualnej.

PODPOĆĆĆDŹ.

Zainstaluj i przetestuj program vlock.

Ćwiczenie dodatkowe:

Wykrywanie bitów SUID, bity SGID.

PODPĆĆĆĆDŹ.

find / -user root –perm -004000 –print

find / -group root –perm -002000 –print

lub

find / \( -perm -004000 -o -perm -002000 \) -type f –print

LX-04 – ĆWICZENIA DO SZKOLENIA – BEZPIECZEŃSTWO SYSTEMU LINUX – EDUKACJA.ABCDATA.PL

Marcin Josef (

marcin.kubiak@abcdata.pl

)

10

Ćwiczenie dodatkowe.

Podłączenie do crona skryptu sprawdzającego codziennie stan bitów SUID i SGID.

PODPOĆĆĆDŹ.

find / -type f \( -perm -04000 –o –perm -02000 \) –epec ls –l {} \;

Ćwiczenie dodatkowe.

Bezpieczne montowanie systemów plików.

PODPOĆĆĆDŹ:

mount -o nodev,noepec,nosuid /dev/hda3 /tmp

/etc/fstab -> /dev/hda3 /tmp ept3 defaults,nodev,noepec,nosuid 1 2

Ćwiczenie dodatkowe.

Bezpieczne montowanie systemów plików.

PODPOĆĆĆDŹ.

apt-get install quota

apt-get install quotatool

/etc.fstab – defaults.usrquota

update-rc.d –f quota remove

update-rc.d quota defaults

reboot

quotaoff /home

quotacheck –avug

LX-04 – ĆWICZENIA DO SZKOLENIA – BEZPIECZEŃSTWO SYSTEMU LINUX – EDUKACJA.ABCDATA.PL

Marcin Josef (

marcin.kubiak@abcdata.pl

)

11

quotaon -avug

quotatool –u maia –bq 100M –bl 110M /home

repquota –a –s

edquota -p maia `awk -F: '$3 > 499 {print $1}' /etc/passwd`

Ćwiczenie dodatkowe.

Tropienie pożeraczy dysku.

PODPOĆĆĆDŹ:

Polecenia: df, du. Oraz polecenie: du –cks * | sort –rn | head -11

Ćwiczenie dodatkowe.

Limity. Limity wielkości plików. Limity maksymalnej liczby procesów potomnych.

PODPOĆĆĆDŹ.

Ograniczenia w pliku /etc/profile.

- ulimit –a (wyświetlenie ustawieb),

- ulimit –f 100 (maksymalny rozmiar plików w kilobajtach). Sprawdzenie np.

ulimit –f 100

#yes ‘SPAM…..’ > spam.tpt

# ls –la.spam.tpt

Ć takim razie: po co quota?

ulimit –u 10

#vim procesy

LX-04 – ĆWICZENIA DO SZKOLENIA – BEZPIECZEŃSTWO SYSTEMU LINUX – EDUKACJA.ABCDATA.PL

Marcin Josef (

marcin.kubiak@abcdata.pl

)

12

#!/bin/bash

Export RUN=$((RUN+1))

Echo $RUN

$0

Ćwiczenie dodatkowe.

Sprzątanie po użytkownikach.

PODPOĆĆĆDŹ:

- usuwanie użytkowników,

- usuwanie crona

- PS

- find / -user maia > /maia.tpt

Ćwiczenia dodatkowe:

Tripwire.

PODPOĆĆĆDŹ:

apt-get

Konfiguracja wstępna (automat)

tripwire –init

tripwire –check

Dodaj konto

Dodaj bit suid do chmod

Dodaj plik

LX-04 – ĆWICZENIA DO SZKOLENIA – BEZPIECZEŃSTWO SYSTEMU LINUX – EDUKACJA.ABCDATA.PL

Marcin Josef (

marcin.kubiak@abcdata.pl

)

13

Sprawdź działanie

Tripwire –update

Ćwiczenie dodatkowe.

Wyłącznie zbędnych usług.

PODPOWIEDŹ.

SUSE, REDHAT, PLD: chkconfig.

DEBIAN.

ĆĆDĆĆĆĆ.

Sprawdź nasłuchiwanie na portach dla świeżej instalacji systemu. ZADANIE WYKONAJ W DEBIAN I SUSE.

PODPOĆĆĆDŹ.

netstat –a –n –p | grep 0.0.0.0

update-rc.d –f portmap remove lub chkconfig ….

DODĆTĆK:

DEBIAN: można doinstalować pakiety rcconf oraz

sysv-rc-conf oraz sysv-init.

ĆĆDĆĆĆĆ.

Sprawdzanie zainstalowanych pakietów. ZADANIE WYKONAJ W DEBIAN I SUSE.

PODPOĆĆĆDŹ.

rpm –qa oraz dpkg –l.

LX-04 – ĆWICZENIA DO SZKOLENIA – BEZPIECZEŃSTWO SYSTEMU LINUX – EDUKACJA.ABCDATA.PL

Marcin Josef (

marcin.kubiak@abcdata.pl

)

14

ĆĆDĆĆĆĆ.

Prawidłowa instalacja systemu.

Wykonaj początek instalacji w SUSE i DEBIAN.

ĆĆDĆĆĆĆ PRĆYGOTOĆĆĆĆĆĆ.

SKONFIGURUJ SIEĆ. (BEZ FIRAWALLI)

Ć.10.0.0.2-----------10.0.0.1.Ć.192.168.1.2------- 192.168.1.1 Ć.192.168.3.2 ----------192.168.3.1.D.-----LAN

B.192.168.2.2 ---------- 192.168.2.1. Ć.