Giunsa ang Pag-audit sa Pagganap sa Network, Seguridad, ug Pag-troubleshoot sa Linux - Bahin 12
Ang usa ka maayo nga pagtuki sa usa ka network sa kompyuter nagsugod pinaagi sa pagsabut kung unsa ang magamit nga mga himan aron mahimo ang buluhaton, kung giunsa pagpili ang (mga) husto alang sa matag lakang sa dalan, ug katapusan apan dili labing gamay, kung asa magsugod.
Mao ni ang kataposang bahin sa LFCE (Linux Foundation Certified Engineer) nga serye, dinhi atong ribyuhon ang pipila ka iladong mga himan aron masusi ang performance ug madugangan ang seguridad sa usa ka network , ug unsa ang buhaton kung ang mga butang dili mahitabo sama sa gipaabut.
Palihug timan-i nga kini nga lista dili magpakaaron-ingnon nga komprehensibo, busa ayaw pagduhaduha sa pagkomento sa kini nga post gamit ang porma sa ilawom kung gusto nimo magdugang usa ka mapuslanon nga gamit nga mahimo namon nga nawala.
Usa sa mga una nga butang nga kinahanglan mahibal-an sa usa ka tagdumala sa sistema bahin sa matag sistema mao kung unsang mga serbisyo ang nagdagan ug ngano. Uban sa kana nga kasayuran sa kamot, kini usa ka maalamon nga desisyon nga pag-disable ang tanan nga dili higpit nga kinahanglan ug likayan ang pag-host sa daghang mga server sa parehas nga pisikal nga makina.
Pananglitan, kinahanglan nimo nga i-disable ang imong FTP server kung ang imong network wala magkinahanglan og usa (adunay mas luwas nga mga pamaagi sa pagpaambit sa mga file sa usa ka network, sa paagi). Dugang pa, kinahanglan nimong likayan nga adunay usa ka web server ug usa ka database server sa parehas nga sistema. Kung ang usa ka sangkap makompromiso, ang nahabilin adunay peligro nga makompromiso usab.
Ang ss gigamit sa paglabay sa mga estadistika sa socket ug nagpakita sa impormasyon nga susama sa netstat, bisan pa kini makapakita ug mas daghang impormasyon sa TCP ug estado kay sa ubang mga himan. Dugang pa, gilista kini sa man netstat isip puli sa netstat, nga dili na magamit.
Bisan pa, sa kini nga artikulo magpunting kami sa kasayuran nga may kalabotan sa seguridad sa network lamang.
Ang tanan nga mga serbisyo nga nagdagan sa ilang mga default nga pantalan (ie http sa 80, mysql sa 3306) gipakita sa ilang mga ngalan. Ang uban (gitago dinhi tungod sa mga hinungdan sa pagkapribado) gipakita sa ilang numero nga porma.
# ss -t -a
Ang unang kolum nagpakita sa TCP nga estado, samtang ang ikaduha ug ikatulo nga kolum nagpakita sa gidaghanon sa datos nga kasamtangang nakapila para sa pagdawat ug pagpasa. Ang ikaupat ug ikalima nga kolum nagpakita sa tinubdan ug destinasyon nga mga socket sa matag koneksyon.
Sa usa ka side note, mahimo nimong susihon ang RFC 793 aron ma-refresh ang imong panumduman bahin sa posible nga mga estado sa TCP tungod kay kinahanglan nimo nga susihon ang numero ug ang kahimtang sa bukas nga mga koneksyon sa TCP aron mahibal-an ang mga pag-atake sa (D)DoS.
# ss -t -o
Sa output sa ibabaw, imong makita nga adunay 2 ka natukod nga koneksyon sa SSH. Kung imong namatikdan ang bili sa ikaduhang field sa timer:, imong mamatikdan ang kantidad nga 36 minuto sa unang koneksyon. Kana ang gidugayon sa oras hangtod ipadala ang sunod nga keepalive probe.
Tungod kay kini usa ka koneksyon nga gipadayon nga buhi, mahimo nimo nga luwas nga hunahunaon nga kana usa ka dili aktibo nga koneksyon ug sa ingon makapatay sa proseso pagkahuman mahibal-an ang PID niini.
Sama sa alang sa ikaduha nga koneksyon, imong makita nga kini gigamit karon (sama sa gipakita sa on).
Ibutang ta nga gusto nimo i-filter ang mga koneksyon sa TCP pinaagi sa socket. Gikan sa punto sa pagtan-aw sa server, kinahanglan nimo nga susihon ang mga koneksyon kung diin ang gigikanan nga pantalan 80.
# ss -tn sport = :80
Resulta sa..
Ang pag-scan sa pantalan usa ka kasagarang pamaagi nga gigamit sa mga crackers aron mailhan ang mga aktibo nga host ug bukas nga mga pantalan sa usa ka network. Kung madiskubre ang usa ka kahuyang, gipahimuslan kini aron makakuha og access sa sistema.
Ang usa ka maalamon nga sysadmin kinahanglan nga susihon kung giunsa ang iyang mga sistema makita sa mga tagagawas, ug siguroha nga wala’y nahabilin sa higayon pinaagi sa kanunay nga pag-awdit niini. Gitawag kana nga \defensive port scanning.
Mahimo nimong gamiton ang mosunud nga mando aron ma-scan kung unsang mga pantalan ang bukas sa imong sistema o sa usa ka hilit nga host:
# nmap -A -sS [IP address or hostname]
Ang sugo sa ibabaw mag-scan sa host alang sa OS ug bersyon pagtuki, impormasyon sa pantalan, ug traceroute (-A). Sa kataposan, ang -sS nagpadala ug TCP SYN scan, nga nagpugong sa nmap nga makompleto ang 3-way TCP handshake ug sa ingon kasagarang wala magbilin ug mga log sa target nga makina.
Sa dili pa ipadayon ang sunod nga pananglitan, palihug hinumdomi nga ang pag-scan sa pantalan dili usa ka ilegal nga kalihokan. Unsa ang ilegal mao ang paggamit sa mga resulta alang sa usa ka malisyoso nga katuyoan.
Pananglitan, ang output sa sugo sa ibabaw nga gipadagan batok sa nag-unang server sa usa ka lokal nga unibersidad mibalik sa mosunod (bahin lamang sa resulta ang gipakita alang sa kamubo):
Sama sa imong nakita, nadiskubrehan namon ang daghang mga anomaliya nga kinahanglan namon nga ireport sa mga tagdumala sa sistema sa kini nga lokal nga unibersidad.
Kining espesipikong port scan nga operasyon naghatag sa tanang impormasyon nga mahimo usab nga makuha sa ubang mga sugo, sama sa:
# nmap -p [port] [hostname or address]
# nmap -A [hostname or address]
Mahimo usab nimo nga i-scan ang daghang mga pantalan (range) o mga subnet, sama sa mosunod:
# nmap -p 21,22,80 192.168.0.0/24
Mubo nga sulat: Nga ang sugo sa ibabaw nag-scan sa mga port 21, 22, ug 80 sa tanan nga mga host sa bahin sa network.
Mahimo nimong tan-awon ang man page alang sa dugang nga mga detalye kung giunsa paghimo ang ubang mga klase sa pag-scan sa pantalan. Ang Nmap sa pagkatinuod usa ka gamhanan kaayo ug daghag gamit nga network mapper utility, ug kinahanglan nga pamilyar ka kaayo niini aron mapanalipdan ang mga sistema nga imong responsibilidad batok sa mga pag-atake nga naggikan human sa usa ka malisyosong port scan sa mga tagagawas.