Установка и конфигурирование SSH-сервера

Уровень сложности:

Шаг Защититесь от определения вашего оборудования

При подключении к новым Wi-Fi сетям и маршрутизаторам подделывайте MAC-адрес вашего Wi-Fi адаптера. Конечно, это не помешает мотивированному хакеру узнать, какую операционную систему вы используете, но может его запутать и не дать ему собрать информацию о вашем оборудовании.

Например, хакер, подключенный к Wi-Fi сети в кафе, может сосредоточить свои усилия на взломе любых устройств, кроме Apple. Если же вы появляетесь в сети с MAC-адресом Apple, то злоумышленник полностью проигнорирует ваше устройство. Или же он может попробовать на вашем устройстве некоторые атаки, специфичные для MacOS, которые не сработают, потому что вы на самом деле не используете MacBook, вы только отображаетесь в сети так, как будто используете технику Apple. В сочетании с поддельным User-Agent браузера это сможет действительно запутать не очень умного противника.

Шаг Защититесь от определения вашего оборудования

Чтобы изменить MAC-адрес в Ubuntu, откройте Network Manager и перейдите в меню «Edit» вашего Wi-Fi-соединения. На вкладке «Identity» введите в поле «Cloned Address» MAC-адрес, который вы хотите использовать.

Аннотация

Целью изучения дисциплины «CS-LINUX. Обеспечение безопасности ОС Linux» является формирование у слушателей знаний и навыков, необходимых для обеспечения информационной безопасности при использовании операционных систем семейства Linux.

Знания и умения, полученные в результате обучения По окончании курса слушатели смогут: Использовать средства дискреционного доступа операционной системы. Контролировать привилегированный доступ пользователей средствами sudo. Управлять требованиями стойкости паролей учетных записей. Настраивать подсистему аутентификации PAM для процессов и сервисов операционной системы. Настраивать систему журнализации ОС Linux. Настраивать и использовать систему аудита для отслеживания критичных с точки зрения безопасности событий. Использовать систему обнаружения вторжений уровня узла AIDE для отслеживания изменения критичных с точки зрения безопасности элементов системы. Использовать шифрование на уровне файлов и разделов для защиты конфиденциальной информации. Настраивать безопсную аутентификацию пользователей в службе SSHD. Обеспечивать безопасность сервисов сетевого обмена файлов — NFS, FTP. Создавать ключи и запрашивать сертификаты публичных ключей посредством openssl. Настраивать Web-сервер на использование серверных сертификатов и работу по протоколу HTTPS. Настраивать безопасность инфраструктуры разрешения доменных имен в соответствии со стандартом DNSSEC. Защищать сетевой доступ к серверам ОС Linux средствами фильтрации трафика iptables/UFW/FirewallD. Использовать средства разграничения мандатного доступа SELinux и Apparmor для повышения безопасности узлов ОС Linux. Обеспечивать актуальность установленных в системе обновлений безопасности. Оценивать безопасность системы средствами сканеров безопасности и сканеров уязвимостей.Преподаватели

  • Журавель Евгений Павлович
  • Орлов Егор Сергеевич
Читайте также:  Анимированные эмодзи на iPhone X — как использовать

Курсы, в освоении которых помогут приобретенные знания

  • CS-NET. Защита информации в компьютерных сетях
  • CS-SCAN. Анализ защищенности и сканирование уязвимостей узлов и сетей
  • CS-EVENT. Обработка событий безопасности сети предприятия

Курсы связанных направлений

  • Системное администрирование
  • Linux NDG
  • Linux
  • Информационная безопасность
  • Информационная безопасность

Протокол SSH

Раньше для организации удаленного доступа к консоли сервера использовал­ся протокол telnet. В каждой сетевой операционной системе — будь то FreeBSD или Windows 95 (которую, впрочем, сложно назвать сетевой) — есть telnet-клиент. Данная программа так и называется — telnetWindowstelnet.exe).

После подключения с помощью telnet к удаленному компьютеру вы можете работать с ним, как обычно. В окне telnet-клиента вы увидите как бы консоль удаленного компьютера — вы будете вводить команды и получать результат их выполнения — все так. если бы вы работали непосредственно за удаленным компьютером.

Но технологии не стоят на месте, и протокол telnet устарел. Сейчас им практически никто не пользуется. На его смену пришел протокол SSH (Secure Shell). SSH, как видно из названия, представляет собой безопасную оболочку. Главное отличие от telnet состоит в том, что все данные (включая пароли доступа к удаленному компьютеру, передаваемые по SSH файлы) передаются в зашифрованном виде. Во времена telnet участились случаи перехвата паролей и другой важной информации, что и стало причиной создания SSH.

SSH использует следующие алгоритмы для шифрования передаваемых данных: BIowFish, 3DES (Data Encryption Standard), IDEA (International Data Encryption Algorithm) и RSA (RivestShamirAdelman algorithm). Самыми надежными являются алгоритмы IDEA и RSA. Поэтому если вы передаете действительно конфиденциальные данные, лучше использовать один из этих алгоритмов.

Для установки SSH-клиента (программы, которая подключается к SSH-cерверу) и самого SSH-сервера нужно установить пакеты opensshclient и opensshserver. Данная разновидность SSH-сервера называется OpenSSH. Если вам нужен традиционный сервер SSH, тогда вам следует установить пакет ssh, содержащий и клиента, и сервер.

Протокол SSH

Если у вас на рабочей станции установлена Windows и вам нужно подключиться к SSH-серверу, запущенному на Linux-машине, то используя Yandex или Google можно скачать бесплатный SSH/telnet-клиент PuTTY. А лучше сразу заглянуть на сайт русского сообщества — , где есть что скачать и почитать.

Работать с SSH-клиентом очень просто. Для подключения к удаленному компьютеру введите команду:

ssh [опции] <адрес_удаленного_компьютера>

Читайте также:  Команды для PuTTY, SSH, Unix и Linux серверов

В качестве адреса можно указать как IP-адрес, так и доменное имя компьютера.

Выбрать подходящий дистрибутив Linux

Скорее всего, вы выберете популярные дистрибутивы — Fedora, Ubuntu, Arch, Debian, или другие близкие ответвления. В любом случае, вам нужно учитывать обязательное наличие этих функций:

  • Поддержка принудительного (MAC) и ролевого контроля доступа (RBAC): SELinux/AppArmor/GrSecurity
  • Публикация бюллетеней безопасности
  • Регулярный выпуск обновлений безопасности
  • Криптографическая верификация пакетов
  • Поддержка UEFI и SecureBoot
  • Поддержка полного нативного шифрования диска

Рекомендации по установке дистрибутивов

Все дистрибутивы отличаются, но существуют моменты, на которые обязательно стоит обратить внимание и выполнить:

  • Использовать полное шифрование диска (LUKS) с надёжной ключевой фразой
  • Процесс подкачки страниц должен быть зашифрован
  • Установить пароль для редактирования boot-загрузчика
  • Надёжный пароль на root-доступ
  • Использовать аккаунт без привилегий, относящийся к группе администраторов
  • Установить для пользователя надёжный пароль, отличный от пароля на root

Исходный код

Миф 1. Linux небезопасен, так как исходные коды программ доступны для изучения хакерам. Рядовые пользователи вряд ли будут ковырять сложный код, а вот хакеры будут, чтобы потом эксплуатировать найденные уязвимости. К тому же,

Что на самом деле: вручную просматривать миллионы строк исходного кода и не требуется. Эта задача решается статистическими анализаторами кода и специальными программными комплексами для аудита. Случайные и преднамеренные ошибки вылавливаются автоматом и затем уже эксперт разбирается с каждым конкретным случаем. Для закрытого бинарного кода Windows это не работает. Вот уже где действительно можно легко спрятать закладку.

Читайте также:  iPad Air 4 vs iPad 8 (2020). Какой планшет Apple выбрать в 2021 году?