• Боевой Софт / Обзор хакерского Софта для *nix
  • FAQ / Спрашивали? Отвечаем!
  • Глоссарий / Основные понятия по взлому *nix-систем
  • WEB / Полезные ресурсы интернета
  • Books / Обзор интересной литературы
  • Special Delivery

    Боевой Софт / Обзор хакерского Софта для *nix

    Vint (vint@vpost.ru)

    Существует огромное количество различного хакерского софта для никсов. Это и переборщики паролей, и сканеры портов, и сниферы, и руткиты, и, и, и… Как выбрать наиболее подходящий? Читай этот обзор!

    knockers (www.knocker.sourceforge.net)

    Очень простой, но чрезвычайно функциональный сканер портов. Размер дистрибутива – всего 72 килобайта. Собирается на любой UNIX-like-машине с помощью трех стандартных команд. Вся работа происходит из консоли. Скорость работы просто феноменальная. Много режимов сканирования: сканирование одного порта, группы портов, всех возможных портов. Показывает не только номер открытого порта, но и сервис, скрытый за ним. Очень удобно использовать именно этот сканер при анализе с удаленной машины: встроена опция, позволяющая отправлять весь вывод в отдельный файл.

    Давно не обновлялся. Нет возможности изучать сразу несколько машин или всю сеть. Нельзя сканировать UDP-порты. Используется сканирование «в лоб», то есть твои исследования могут быть легко обнаружены бдительным админом.

    Софтина определенно заслуживает твоего внимания. Это маленькая, но незаменимая утилита в арсенале хакера. Со сканированием TCP-портов удаленного хоста она справляется хорошо.

    Web Password Checker (WPC) v 0.1

    (www.downloads.securityfocus.com/tools/wpc-0_1b.tar.gz)

    Утилита, предназначенная для перебора паролей web-страниц. Пригодится тебе, когда нужно подобрать связку логин-пароль для формы регистрации.

    Возможна работа через прокси-сервер. Программа способна искать пароли как по словарю, так и брутфорсом. Есть возможность «растягивать», то есть делать паузы между попытками, что позволяет дольше оставаться незамеченным. WPC пытается использовать общеизвестные механизмы трансформации логина и полученный мод скармливает форме в качестве пароля; есть возможность задать уровень сложности. Примером такого запроса может служить вариант: логин – root, пароль – toor (root1 и т.д.), это одна из самых простых связок, выдаваемых программой.

    Непродуман брутфорс-механизм – нет возможности ограничить используемые символы пароля, что резко сократило бы время поиска. Не поддерживается SSL, а, значит, атака на многие сервисы невозможна (тот же Webmin).

    Сразу видно, что программа имеет очень широкий диапазон применения. Удобно использовать эту софтину для взлома чатов, почтовых ящиков. Но подобрать пароли на защищенных страницах невозможно.

    Ettercap (www.ettercap.sourceforge.net)

    Твоему вниманию предлагается свободно распространяемый снифер с кучей возможностей. Разработанный механизм плагинов делает этот инструмент очень гибким и расширяемым. Так, если в базовой конфигурации мы имеем только «нюхача», то дополнительные модули позволяют проге выполнять функции поисковика другого Ettercap’a (вдруг администратор-параноик и сам снифает локаль в поисках хакеров!) и т.д. Просмотреть все подключенные плагины можно, отдав команду «ettercap -p list». Кроме того, снифер привлекателен своим графическим интерфейсом (UNIX начал активно использовать красивые фейсы). Отображая все компьютеры, найденные в сети, программа предлагает тебе выбрать необходимые для изучения хосты и действия на них. Если где-то тормозишь – снифер имеет обработчик кнопочки «F1». Дополнительно Ettercap может определять удаленную систему, используя отпечатки из базы nmap.

    Минусы Возможна работа только с eth, а PPP и lo не поддерживаются. Хотя практического интереса в этих двух интерфейсах нет, но кто сказал, что мы не хотим тренироваться на своей машине?

    Программа определенно достойна твоего внимания. Попробовать, изучить, сохранить в локальном арсенале – вот путь данной софтины.

    Ethereal (www.ethereal.com)

    Эта утилита по функциональности похожа на Ettercap, но имеет некоторые необходимые фичи.

    Основным отличием Ethereal является gtk-base-интерфейс. Еще софтина поддерживает не только eth-интерфейсы, но и lo с PPP. Если говорить о функциональности, то и тут сканер на высоте: имеется не только очень простая и мощная система фильтров, которая заметно облегчает процесс сбора информации, но и способность объединения отдельных пакетов в документы (html-странички, электронные письма). Кстати, крайне полезная штука: автоматически собранные странички сейвятся на локальном диске, и, поставив на ночь снифер, ты сможешь просмотреть утром, где же были твои соседи. С этого момента все порноресурсы интернета станут для тебя бесплатными ;-).

    Пока не реализовано соединения пакетов ICQ-протокола, но это можно объяснить особенностью транспортировки сообщения.

    Советую скачать этот снифер, сравнить его с конкурентом и выбрать, что тебе понравится больше. Программа очень мощная, особенно если изучить руководство и man.

    SCANSSH V2.0 (www.monkey.org/~provos/scanssh/)

    Софтина сканит локальную сеть в поисках запущенных демонов SSH и определяет версию сервера.

    Маленькая утилитка делает огромную работу по упрощению изучения сетей. Таким образом, с помощью этого приложения в течение нескольких минут можно просмотреть всю локалку и получить IP хостов, на которых запущенны сервисы SSH. Но самое главное назначение – это определение версии демона. После такого анализа, рассматривая логи, можно легко найти жертву для взлома.

    Обновляется недостаточно часто, и, как результат, не все сервера определяются корректно.

    Софтина должна сопровождать хакера в его нелегком пути. Очень часто определяющую роль в успешности взлома играет скорость опознавания бажных сервисов, а эта программа и www.bugtraq.org сделают это максимально быстро.

    Nessus v 2.1.1 (www.nessus.org)

    Считается одной из самых лучших программ для анализа удаленных систем.

    Модульность, постоянное обновление, доступность исходных кодов, простота использования, малое количество ложных срабатываний делают Nessus лучшим помощником как администратора, так и хакера. Вот интереснейшая цитата по этому приложению: « Продукт Nessus получил сертификат Гостехкомиссии при Президенте РФ на соответствие представленной версии продукта заявленным техническим характеристикам». Хорошо развитая система Plug-in позволяет назвать этот комплекс однозначным лидером среди сканеров безопасности для UNIX-like-систем. Один из лучших сканеров не только по юзабельности, но и по интерфейсу. Программа имеет красивый и простой фейс, в лучших традициях gtk-base-программ. Разработчики не забывают и поддерживают свое детище: практически сразу после сообщения о новой уязвимости Nessus уже может определять ее. Поэтому иногда именно эта программа используется вместо nmap для изучения атакуемого хоста.

    Программа для локального использования, то есть использовать в походных боевых условиях ее вряд ли удастся из-за размера и необходимых библиотек-зависимостей.

    Must have. Достаточно один раз поставить и изучить это приложение, после чего ты поймешь, почему практически все админы считают программу лучшей в своем классе.

    Security Administrator's Integrated Network Tool v5.5

    (www.saintcorporation.com)

    Коммерческий сканер безопасности для UNIX-like-платформ. К сожалению, не бесплатен, но это компенсируется тем, что использовать его не для коммерческих целей можно вполне свободно.

    Программа основана на легендарном SATAN’е (он же SANTA ;-)), но в отличии от своего прародителя постоянно обновляется и совершенствуется. Основными плюсами можно считать сканирование через фаерволы, возможность обновления баз уязвимостей через интернет, высокая скорость работы. Все взаимодействие с программой осуществляется через web-интерфейс. То есть для работы SAINT просто необходимо на машине иметь браузер, можно даже текстовой. Кроме этого, для генерации выводов необходим Perl, так как он служит основным языком создания динамических страниц в данном ПО. В целом, тесты этой софтины показали очень даже интересные результаты: при исследовании машин иногда находят такие уязвимости и сервисы, о которых многие аналогичные программы молчат. А если включить смекалку и посмотреть в каталог с установленным SAINT, то можно заметить папочку bin, где лежат запускные файла анализатора. Их можно оттуда позаимствовать и использовать как маленькие и автономные утилиты хакера ;-) (правда, это уже другая история, но намек понял?).

    Эту программу также сложно назвать походным инструментом хакера – размер около 2,5 мегабайт, да и браузер, интерпретатор Perl для работы… Платная, что сужает область использования ПО, ведь не будешь же ты на каждый сканируемый хост заказывать свой ключ!

    Неплохо бы иметь. Хоть и платный, но есть и свободно доступные реализации. Работа с программой очень удобная и эффективная, правда, только на стационарной машине, где все настроено и отточено. Кроме этого, есть целый склад миниутилит, которые просто грех не применить в жизни отдельно от всего комплекса.

    Nmap 3.55 (www.insecure.org)

    Вот добрались и до суперпопулярного анализатора сетей. Пожалуй, это самый популярный сканер-уневерсал как среди юниксоидов, так и среди виндузятников.

    Самый главный плюс – превосходный поисковик открытых портов с огромным количеством опций для настройки. Вот далеко не полный список возможностей: сканирование диапазонов IP-адресов, целых подсетей, стелс-сканирование портов. Сканирование портов с установкой адреса возврата, то есть происходит корректировка заголовка IP-пакета, что очень удобно при наличии 2 сетевых карт на машине. Стелс-сканирование и простой механизм TCP-подключений, первый способ доступен только пользователю root, что легко можно объяснить с точки зрения IT-безопасности. Программа позволяет также эффективно изучать удаленный хост и по UDP-протоколу. Если говорить о сканировании подсетей, то есть возможность провести простой ping-scan и таким образом найти включенные машины. Как и у младших собратьев? у данной софтины имеется возможность сканирования произвольного диапазона портов, вывод подробных данных в свой лог-файл. Сканер дополнен хорошим механизмом определения удаленной операционной системы. Очень сильные способы определения серверов, висящих на определенных портах хоста. Программа ищет демона на порту и узнает его версию с точностью до третьего знака (например, OpenSSH 3.6.1), что просто не может не радовать скрипткидисов. За счет встроенного fingerprinting'a nmap превращается в мощный комплекс анализа хостов в сети. С каждой новой версией пополняется база данных отпечатков различных систем, и уже сейчас nmap определяет не только версию Виндов, но и номер ядра, если это Linux-машина.

    Размер, как у и любого комплекса сетевого анализа nmap, достаточно большой. Хотя и совершенствуется способ «снятия отпечатков», все еще достаточно часто приходится получать аналогичные этому выводы программы: «Это точно Винда. Версия? Или Миллениум, или 2к сервер, возможно, и 2к адванс-сервер, хотя похоже на ХР, даже вроде с первым сервиспаком». При этом Linux определяется достаточно четко.

    Однозначный must have. Любой удаленный анализ сильно упрощается при использовании этой софтины. Программа считается одно из основных утилит хакера.

    Yakrk – Yet Another Kernel Rootkit

    (www.robota.net/download?file=93)

    Эта утилита представляет собой набор руткитов для ядер 2.4. Вполне интересная софтина, тем более если учесть, что все еще очень многие сервера крутятся на ядрах серии 2.4.

    Основной плюс набора – минимальное изменение системной конфигурации. Работает приложение на уровне ядра, перехватывая некоторые системные вызовы ОС.

    Пока возможности этого руткита очень ограниченны. Он способен лишь скрывать сетевую активность некоторых приложений.

    Если нужно установить маленький и очень простой руткит – это ПО для тебя. Неплохо, когда эта софтина лежит у тебя в боекомплекте, но и без нее можно спокойно обойтись ;-).

    VANISH2

    (http://packetstormsecurity.org/UNIX/penetration/log-wipers/vanish2.tgz)

    Одна из самых необходимых утилит на захваченной машине – чистильщик лог-файлов. После долгих и упорных тестов я предлагаю использовать Vanish2.

    В архиве обнаружился только файл кода на языке С и хедер. Добавить make программистам уже не хватило сил, поэтому компилировать программу следует так: «gcc vanish2.c -o vanish2».

    Очень грамотная чистка как текстовых, так и бинарных логов всей системы. Основное внимание следует обратить на чистки журналов messages, secure и httpd.access_log. С этой задачей ПО справилось очень хорошо: все чисто и ровно. Также к сильной стороне чистильщика следует отнести и отсутствие временных файлов после работы, они создаются во время чистки, но удаляются по ее завершении. Если процесс будет прибит, а анализ журнала не закончен, то останутся временные файлы, по которым можно вычислить, что работал логвайпер. Отсутствовали и core-файлы, то есть после работы в системе не остается практически никаких следов.

    Пожалуй, единственный недостаток – это скорость работы. Полный анализ двухнедельных логов сервера занял около 10 минут.

    Must have. Лучший чистильщик из всех предложенных. С задачей сокрытия следов твоей деятельности справится очень хорошо, правда, затратив на это уйму времени.

    SendIP

    (http://www.earth.li/projectpurple/progs/sendip.html)

    Размер очень маленький, а возможности интересные. Главная задача данного ПО – это отправлять пакеты на определенный IP с измененным адресом возврата. Возможность отправки пакетов от других IP-адресов поможет тебе скрыть свою активность в сети. Например, если появятся признаки того, что тебя засекли, просто запускаешь программу, указываешь ей необходимые параметры… В результате на жертву обрушиваются пакеты как будто от вполне миролюбивого хоста, что легко может сбить с толку админа. Но следует учитывать, что правильно расставленные админом сниферы выдадут тебя с потрохами «благодаря» этой софтине.

    Очень общие настройки параметров исходящих пакетов, что не позволяет использовать эту программу против грамотных админов и IT-специалистов.

    Если намечается атака на защищенный UNIX-хост, то запастись программой крайне желательно. При правильном использовании удастся сбить с толку подавляющее большинство администраторов. Запас беды не чинит, поэтому не поленись скачать, скомпилить и научиться пользоваться данной программой – на войне все средства хороши.

    PATH (Perl Advanced TCP Hijacking)

    (www.p-a-t-h.sourceforge.net)

    Это целый набор хакера, написанный на языке Perl. Для работы достаточно иметь на машине интерпретатор Perl, и уже можно исследовать сети.

    В дистрибутиве, датированном 09.11.2003, содержатся следующие утилиты: программа-генератор произвольных пакетов, неплохой снифер, ICMP и ARP-роутер. Что интересно, этот комплекс комплектуется как консольной версией, так несложным GUI-интерфейсом. Нас, прежде всего, интересует консоль, которая реализована очень хорошо. А функциональности всего комплекса я бы поставил твердую «троечку». Просто аналогичных утилит очень много, причем они включаются как в состав целых комплексов, так и плавают по интернету в виде отдельных бинарников. Основной плюс (а часто минус) этого комплекта – это использование интерпретируемого языка для выполнения своей работы.

    Требуется интерпретатор Perl.

    Если тебя интересуют маленькие и могучие программы на Perl или твоя задача – разобраться с работой сниферов, то этот набор для тебя. Если нет – его легко можно заменить бинарниками, описанными выше.

    FAQ / Спрашивали? Отвечаем!

    Докучаев Дмитрий aka Forb (forb@real.xakep.ru)

    Q: Как определить, пересылаются ли логи на другие машины в сети или нет?

    A: Функцию пересылки логов поддерживает демон syslogd. Во-первых, обрати внимание на процесс сервиса. Если он запущен с параметром –ss, можешь не волноваться – пересылки логов нет. Если параметры опущены, загляни в /etc/syslog.conf и поищи подстроку «@адрес_системы». Если таковая имеется, можно сделать вывод, что логи пересылаются на сторонний сервер в автоматическом режиме.

    Q: Что может светить за нелегальное сканирование портов?

    A: Сканирование портов – нарушение порядка в сети. Ты можешь возмутиться, мол, я же ничего не сделал – просто посмотрел состояние портов. В лучшем случае админ удаленного сервера ничего не заметит, но, если на сервере стоит утилита, отслеживающая скан, сисадм может пресечь твою деятельность, отписав провайдеру. Часто у провайдера имеется так называемый регламент, в котором есть пункт, оговаривающий сканирование. Так что, учитывая серьезность ситуации, тебя могут отключить от сети. Впрочем, физическое отключение – довольно редкое явление, но все же я рекомендую сканировать порты с удаленного шелла консольной программой (например, nmap’ом).

    Q: Существуют ли специальные услуги по проверке серверов на прочность?

    A: Да, такие услуги оказываются. Например, компания Positive Technologies (www.ptsecurity.ru) предлагает взломать сервер всего за $1000. Сотрудники компании пытаются хакнуть заказчика, получить там шелл и стащить конфиденциальную информацию, которая бы являлась доказательством того, что взлом удался. Эта услуга была названа «penetration testing». Естественно, проверить свой сервер на дырки – удовольствие дорогое. Клиентами займутся сотрудники PT и SecurityLab. Они гарантируют абсолютную конфиденциальность и полноту тестирования. На рынке присутствуют и другие компании: Digital Security (www.dsec.ru), НПО «Информзащита» (www.infosec.ru). Впрочем, можно пойти другим путем – пригласить знакомого хакера, если таковой имеется.

    Q: Я залил руткит на сервер, а новые бинарники перестали запускаться. Что мне теперь делать?

    A: Искать бэкапы. Руткиты, выполненные в виде прекомпиленных бинарных файлов, ненадежны. То есть вполне возможно, что кит не переварится новыми глибсами. Бывает, что бинарник объявит об отсутствии какой-либо библиотеки, а иногда может вообще не запуститься. В этом случае ищи бэкап системы на другом носителе либо вручную переустанавливай испорченные файлы. А затем воспользуйся другим руткитом, на основе LKM, например.

    Q: Что такое LKM-руткит?

    A: Это очень полезная штука! LKM – Linux Kernel Module, руткит, построенный на нем, представляет собой набор ядерных модулей, которые после загрузки перехватывают системные вызовы, стирают себя из списка модулей и т.д. Преимущество налицо: руткит не заменяет никаких файлов, поэтому даже после переустановки бинарников хакерские модули будут работать. Только вот незадача: существует софт, который позволяет увидеть установленный в системе LKM-руткит.

    Q: Наша сеть строится на хабах. Как можно фаерволом заблокировать нелегальную попытку смены IP-адреса?

    A: В этом случае нужно оформлять статическую прописку ARP-таблицы. Но, раз уж ты заговорил о фаерволе, поделюсь правилом, которое привяжет нужный IP-адрес к MAC. Это достигается при помощи модуля mac.so. Рулес будет выглядеть следующим образом:

    iptables –A INPUT –s 192.168.0.1 –m mac –mac-source 00:C0:DF:10:19:FB –j ACCEPT.

    При желании ты можешь указать параметр -mac-desitination, чтобы разрешить соединение с узлом, имеющим определенный MAC.

    Q: Хочу, чтобы мой *nix-сервер жил только на CD. Порекомендуй хороший живой дистрибутив.

    A: Из «компактных» пингвинов я сталкивался только с SuSE и Knoppix. Второй порадовал меня больше: система полностью русифицирована, грузится сразу в Иксы, имеет возможность сохранять настройки на жестком диске, снабжена всеми необходимыми сервисами. Словом, то, что доктор прописал :).

    Q: Я нашел бажный скрипт, но добился выполнения только команды в одно слово. Со вторым параметром запрос просто игнорируется. Что можешь посоветовать в этом случае?

    A: В списке переменных окружения присутствует так называемая пустая строка $IFS. Ее и следует использовать в запросе. То есть, если бажный скрипт file.cgi имеет параметр file, принимающий лишь одно слово, реквест будет выглядеть следующим образом: http://host.com/cgi-bin/file.cgi?file=|uname$ifs-a|.

    Q: Можно ли «выключить» установленный на сервере фаервол?

    A: Еще как! Для этого хакеру нужны минимальные права, а также дырка в сервере :). Допустим, на машине крутится бажное ядро, а взломщик имеет доступ к Web-шеллу. Чтобы деактивировать фаервол, он заливает на сервер ptrace-эксплоит (либо какой-нибудь другой) со слегка измененным кодом. Вместо запуска /bin/sh будет стартоваться сценарий, который обращается к /etc/init.d/iptables с параметром stop. Как правило, запуск внешней команды не выносится в shell-код, так что исправить сишник сможет даже темный человек :). После компиляции и запуска сплоита фаервол должен выключиться.

    Q: Я взломал сервер одной крутой компании. Уверен, что админы защитили машину на все 100%. На какие секурные процессы мне следует обратить особое внимание?

    A: На машине могут стоять утилиты, тестирующие систему на безопасность. Обращай внимания на запущенные программы tripwire, portcentry, различные IDS, а также на программу chkrootkit, которая может и не светиться в процесс-листе.

    Q: В моей системе стали спонтанно пропадать файлы. Вернее, файл существует, но /bin/ls его не показывает! С чем это связано?

    A: На ум сразу приходит: тебя взломали. Тестируй сервер на наличие руткитов и выявляй злоумышленника. Хакер, видимо, прописал в конфиг руткита маску, под которую попал системный файл. В результате этого файл исчез из поля зрения ls. Впрочем, такая аномалия может возникнуть, если на винте имеются бэды. На всякий случай запусти fsck и удостоверься, что файловая система в норме.

    Q: Когда я просматривал таблицы MySQL на взломанном сервере, то напоролся на какие-то учетные записи. Только вот пароли там зашифрованы, и я не могу их взломать.

    A: Ты наткнулся на MD5-хэши. MD5 является необратимым алгоритмом, поэтому единственный способ расшифровать пароль – воспользоваться программой-брутфорсером. Таких программ много, могу порекомендовать md5crack и md5Inside. Вторая софтина имеет графический интерфейс и поддерживает потоки, так что расшифровка займет не очень много времени.

    Q: В каталоге /tmp я обнаружил странноватый файл .bugtraq. Все бы ничего, но его владелец – юзер nobody. Меня взломали?

    A: Да, к сожалению, тебя взломали. Файл, который ты обнаружил, является частью системы для проведения DDoS. Иными словами, твою машину попросту зомбировали через баг в httpd. Немедленно удали этот файл и переустанови Apache на более свежий релиз. Кроме этого, проверь систему на наличие руткита – возможно, взломщик до сих пор использует ресурсы твоего сервера.

    Q: Хочу для грамотной защиты организовать в сети машинку только для логов. Как заставить syslogd удаленно пересылать на нее данные?

    A: Для пересылки логов syslogd открывает 514 udp-порт, который служит для приема данных. Установи сервис с открытым портом на машине для хранения журналов (запускай демон с параметром –r). Затем занеси в /etc/syslog.conf (на серверах, с отсылаемыми логами) строку вида *.* @адрес_системы, и все журналы будут передаваться на удаленный сервер.

    Q: Как закачать файл на сервер через бажный WWW-скрипт, если на машине отсутствует wget?

    A: Существует несколько способов заливки файлов через уязвимые скрипты. Даже если на сервере отсутствует wget, проверь наличие fetch или get. Можно использовать FTP-сценарий и вытянуть нужный файл через /usr/bin/ftp. При этом используй опцию –n, чтобы передать логин и пароль в одной строке. Сам сценарий запиши построчно в файл с помощью команды /bin/echo.

    Q: Я коннекчусь к серверу через бэкдор, а затем запускаю логклинер. Процесс зачистки логов занимает около 5 минут, так как wtmp весит порядка 500 Мб. Можно ли как-нибудь ускорить очистку?

    A: Ни в коем случае не удаляй /var/log/wtmp, так как администратор сразу почует неладное. Выбери другой логклинер. Дело в том, что логвайпер, который ты используешь, начинает искать записи с начала файла. Однако в сети много чистильщиков, которые ставят указатель в конец wtmp, а затем начинают поиск. Такой алгоритм используется, например, в утилите grlogwipe. Бьюсь об заклад, что ты юзаешь vanish2, так как именно он очищает wtmp с самого начала.

    Q: Нашел старенький Linux в локальной сети. На сервере крутится DNS и больше ничего. У меня есть эксплоит для bind, но я не знаю его версию. Можно ли ее определить какой-нибудь утилитой?

    A: Запусти утилиту dig с параметром «@адрес_сервера chaos txt version.bind», и увидишь версию сервера. Можно отфильтровать вывод по шаблону VERSION.BIND, тогда ответ займет всего одну строку. Набери man dig, и узнаешь, что еще можно сделать с помощью этой чудесной утилиты.

    Q: Есть ли способ узнать, находится ли взломщик в консоли, если он установил руткит и логклинер?

    A: Есть один верный способ, определяющий левых юзеров даже после зачистки логов. Выполни команду ls –la /dev/pts и сравни число открытых псевдоустройств с числом активных юзеров. Если ты обнаружишь пару лишних псевдотерминалов, знай, что на твоей машине хостится хакер :). Правда, некоторые процессы, например radius, берут для себя pts, но это исключение из правил.

    Q: Посоветуй простой бэкдор, который бы удаленно открывал порт на взломанной через WWW машине.

    A: Пожалуйста! Можешь воспользоваться моим любимым перловым бэкдором. Скрипт открывает порт 37900 и при подключении запускает /bin/sh в интерактивном режиме. Сценарий весит всего 317 байт, забирай его с моего сервера http://forb.convex.ru/bd.pl.

    Глоссарий / Основные понятия по взлому *nix-систем

    Докучаев Дмитрий aka Forb (forb@real.xakep.ru)

    Бэкдор (backdoor) – небольшая программа, оставляющая лазейку для удачливого злоумышленика на взломанной им системе. Бэкдор может представлять собой уже скомпилированный файл или сценарий на подручном языке, например, на Perl. Как правило, бэкдор открывает порт на сервере и ожидает подключения. Если коннект произошел, запускается /bin/sh. Навороченные бэкдоры имеют возможность закрыть соединение по тайм-ауту в целях безопасности.

    Руткит (rootkit) – комплект, предназначенный для сокрытия взломщиком своего пребывания на сервере. Благодаря установке руткита все действия хакера остаются засекреченными: открытые порты не светятся в netstat, /bin/ls не показывает определенные файлы, /bin/ps скрывает процессы и т.п. Если говорить о том, какими бывают руткиты, то можно выделить два вида: изготовленные в форме прекомпиленных бинарников либо изготовленные в форме ядерных модулей. Второй вариант предпочтительнее и безопаснее, ибо LKM подменяет системные вызовы, а затем стирает себя из таблицы загруженных модулей. Соответственно, все бинарники остаются старыми, а утилиты типа chkrootkit говорят, что система в полном порядке :) (это справедливо лишь для самых тривиальных утилит подобного рода – прим. AvaLANche'а).

    Chkrootkit – специальная программа, позволяющая проверить систему на наличие установленного руткита. Прога поставляется с базой всех известных хакерских комплектов. По этой базе и ведется сканирование. Также chkrootkit обращает внимание на наличие сниферов и исследует MD5-сумму бинарных файлов. В случае ее изменения программа оповещает админа о возможном вторжении хакера.

    Logwiper (logcleaner) – небольшая программа, позволяющая чистить системные журналы (логи). Обычно logwiper'ы создаются для бинарных логов (/var/log/wtmp, /var/run/utmp/, /var/log/lastlog), которые вычистить не так-то просто. Для обращения к этим логам нужно знать специальную структуру utmp, которая описана в хидере /usr/include/utmp.h. Именно поэтому большинство logwiper'ов написано на Си. В качестве примеров могу привести три хороших logcleaner'а: Vanish2, grlogwipe и Zap2.

    Аккаунт (account) – учетная запись на сервере. Один из фактов взлома – получение валидного аккаунта. При этом слово «валидный» означает то, что юзер должен иметь хороший командный интерпретатор (/bin/sh, /bin/bash и т.д.) в качестве оболочки. В противном случае взломщику нет никакой выгоды от добытого аккаунта.

    Дефейс (deface) – замена главной HTML-страницы на web-сайте. Несмотря на то что дефейс – удел скрипткидисов (script-kiddies – подвид мегахакеров, умеющих использовать только известные баги и готовые эксплоиты), на популярных порталах по безопасности вывешен TOP дефейсов известных сайтов. Но, по мнению серьезных хакеров, дефейс – это просто ребячество. Настоящий взлом должен приводить к абсолютным правам на атакуемом сервере.

    Хэш (hash) – значение некоторой (однозначной, в противном случае происходит коллизия) фунции (хэш-функции) какого-либо аргумента. Причем по хэшу, даже зная вид функции, нельзя вичислить ее аргумент (то есть то, от чего «берется хэш»). Звучит немного запутанно, но именно эта формулировка наиболее точно описывает то, что сейчас называют хэшем. Хэширование в последнее время применяют для «шифрования» паролей: в системе хранится только значение хэш-функции от текстовой строки – самого пароля. При антентификации заново вычисляется хэш от вводимого пользователем пароля, и если он совпадает с хранящимся в системе, ползователь «пускается» в систему. Хэширование может осуществляться каким угодно алгоритмом, но если говорить о *nix-системах (да и не только о них), наиболее распространенным является MD5. Он нашел свое применение в шифровании теневых (shadow) паролей, а также паролей, хранящихся в MySQL.

    Зарутать (порутать) – получить права root в *nix-системе каким-нибудь методом, будь то локальная или удаленная атака.

    Задосить – провести DoS/DDoS-атаку. Такое нападение приводит к тому, что атакуемый сервер перестает нормально функционирвать (виснет, перестает отвечать на удаленные запросы). Оно и понятно, ведь DoS чаще всего основывается на беспорядочном флуде (посылке огромного количества сетевых пакетов), в результате которого сервер просто захлебывается в приходящем мусоре и не успевает анализировать данные.

    Эксплоит, сплоит (exploit) – программа, реализующая какую-то ошибку в сервисе или системном бинарнике. Сплоит можно назвать эффективным, если он ломает удаленный демон, открывая на машине удаленный рутовый шелл. Но реальных эксплоитов очень мало, обычно рядовые сплоиты основаны на срыве буфера (buffer overflow) у локальных файлов или добыче прав nobody через модуль HTTPD.

    Маскарад (masquerade) – не только веселый праздник, но и подмена внутреннего IP-адреса хостов, находащихся в «виртуальной» сети (типа 10.0.0.0, 192.168.0.0), IP-адресов шлюза, посредствам которого эта сеть подключена в интернет. В результате чего локальные машины (часто говорят: «С нереальными адресами») получают право использовать интернет на полную катушку.

    Фаервол, брандмауэр, сетевой экран (firewall) – программное или аппаратное средство, предназначенное для защиты компьютера (компьютерной сети) от внешних вторжений. В аппаратном виде фаервол представляет собой отдельный компьютер (или устройство), специально предназначенный для обработки сетевых пакетов. Как правило, такие машины снабжены операционкой реального времени (с минимальными задержками между командами), поэтому они могут справиться с масштабной DDoS-атакой. Понятно, что их цена очень высока. В локальных сетях общего назначения применяются программные фаерволы. В Linux такая программа называется iptables, в FreeBSD – ipfw, в OpenBSD – pf. Эти проги выполняют одну роль – анализируют заголовки пакетов и принимают различные решения на основе правил, написанных системным администратором.

    Рулес (от rule) – правило, которое записывается в таблицы фаервола. Рулесы могут задаваться как для разрешения, так и для запрещения приема/отправки пакета. Обычно подобное правило включает в себя адрес отправителя/получателя и порт назначения, а также политику. Однако рулесы могут включать в себя очень много параметров, а могут не включать ничего, кроме политики. Все зависит от админа и его умственных способностей :).

    Брутфорс (brute force) – взлом «грубой силой», основанный на тупом (не всегда, чаще – упорядоченном) переборе пароля в лоб. Если взломщик добыл парольный хэш, он может осуществить брутфорс по словарю либо по произвольным символам. Исход брутфорса никто предугадать не может: в случае действительно сложного и длинного пароля взломщику понадобится много (миллионов) лет, чтобы перебрать все возможные варианты.

    Брутфорсер (bruteforcer) – программа, позволяющая организовать длительный процесс брутфорса. Если говорить об удаленном переборе (когда негодяй подбирает пароль на определенный удаленный сервис), хорошим брутфорсером является софтина Brutus под Win32 и hydra под UNIX. Хотя никто не мешает написать собственный брутфорсер и отточить его под конкретный сервис. Так делают многие хакеры. В случае локальных атак, когда у злоумышленника имеется парольный хэш, он прибегает к утилитам MD5Inside, John The Ripper или L0phtcrack.

    Вордлист (word list) – словарь, по которому ведется перебор паролей. Не думай, что он содержит беспорядочный набор английских слов – вордлисты могут составляться по определенной тематике. Скажем, получил взломщик права на итальянском сервере, а затем добыл /etc/shadow. 99%, что пароль админа состоит из итальянского слова. Взломщик ищет иностранный вордлист, качает его и скармливает John The Ripper'у. Через несколько часов брутфорсер объявляет, что пароль успешно подобрался (если админ попался ушастый). В принципе, язык не единственный критерий сортировки, иногда вордлисты состоят из списка женских имен или названий городов. Некоторые словари ты можешь найти на сайте www.nsd.ru.

    Бот (bot, от robot)– специальная программа-робот, послушно выполняющяя удаленные команды хозяина (ботовода), чаще всего через IRC. Как только команда поступает, бот осуществляет злые действия – проводит DoS, ищет баги в софте, закидывает приватами жертву и т.д. Ситуация усугубляется, когда на одном канале находятся до тысячи ботов. Все они, как ты уже догадался, запущены на взломанных серверах (или затрояненных десктопах).

    Авторутер (autorooter) – софтина, ищущая баг в сервисах и автоматически его эксплуатирующая. Как правило, авторутер снабжен сканером и эксплоитом. После запуска сканер находит IP-адрес с уязвимым сервисом. Затем запускается эксплоит, который делает свое черное дело и создает хакерский аккаунт на удаленной системе, а затем отчитывается об успешной работе аттакующему. После всего процесс повторяется. Авторутеры используются при эпидемиях, когда мир узнает о масштабной уязвимости в операционной системе. Бывает, что авторутерами снабжаются боты, сидящие в IRC. При этом робот ищет новую жертву, затем устанавливает на машине копию и запускает ее. Словом, размножается как кролик :).

    Пайп (pipe) – символ «|», применяющийся в Perl-сценариях (и командах *nix shell – прим. ред.). Если передать функции open() файл blabla.txt с пайпом на конце, он будет открыт в режиме исполнения. То есть в случае, когда взломщик найдет скрипт, принимающий параметр в виде имени файла, он может изменить имя на |команда| и тем самым добиться выполнения произвольной команды. Это самая распространенная ошибка в CGI-приложениях.

    Баннер (banner) – заголовок какого-либо сервиса. Баннер по умолчанию выводит полную информацию о названии и версии службы, а также может содержать данные об операционной системе. Небезопасно, правда? Именно поэтому баннеры стараются подменять или урезать. Если админ назовет бажный ProFTPD защищенным VsFTPD, это отпугнет неопытного взломщика, и сервер сломают не так быстро. Часто администраторы заменяют баннер у HTTPd, FTPd и SMTPd.

    Снифинг (sniffing) – перехват данных при помощи специальных программ – сниферов. Как правило, они устанавливаются на маршрутизаторе и перехватывают пакеты во всей локальной сети. В пакетах может содержаться как мусор, так и важная информация, но взломщиков интересуют обычно только пароли на различные сервисы. Именно эти данные снифер и старается поймать. Правда, ему не всегда это удается – часто админы запускают сервисы через защищенное SSL-соединение. Можешь ознакомиться со сниферами под *тшч на странице http://packetstormsecurity.nl/sniffers.

    Спуфинг (spoofing) – подмена адреса (обычно обратного) в сетевом пакете. Особый интерес в последнее время представляет ARP-спуфинг, позволяющий заниматься снифингом даже в коммутируемых сетях.

    WEB / Полезные ресурсы интернета

    Оганесян Ашот (ashot@real.xakep.ru)

    Прочитав этот номер, ты, вероятнее всего, захочешь с головой окунуться в мир Open Source. Но не забывай о главных правилах этого мира – учиться и думать. О том, где в инете почерпнуть огромное множество полезной информации по всему, что связано с *nix-системами, читай в этом обзоре.

    www.linux.org.ru

    Один из самых популярных ресурсов сети по Linux. Здесь ты найдешь общие сведения о Linux и многих дистрибутивах этой замечательной ОСи, а также большое количество линков на интересные ресурсы. Тематически ресурс поделен на несколько разделов: Новости, Галерея, О Linux, Форум, Дистрибутивы, Документация и Ссылки. Имеется неплохой поиск по ключевым словам. Отдельно необходимо сказать о документации. На сайте содержится огромное количество всевозможных доков на русском языке. Это и статьи, и обзоры и FAQ’и по Linux. Имеется хорошая коллекция русскоязычных MAN’ов, руководства по программам GNU, всевозможные книги по Linux и Unix и даже перевод лицензий GNU :-). А переводы серии Linux HOWTO вообще вынесены на отдельную страницу. Короче, настоящий информационный рай для начинающих и не только. Век живи – век учись!

    www.opennet.ru

    Многие говорят об этом сайте как о лучшем сайте для разработчиков программ с открытым кодом. И это действительно так. Приятно поражают четкость и грамотная структурированность информации. Только в разделе Программы, содержащем ссылки на различное программное обеспечение, более девяти крупных подразделов, которые в свою очередь разбиваются в среднем на 10-15 подпунктов. Потрясающая детализация! Более того, организован даже поиск необходимой тебе программы. Ежедневно обновляемые новости, большое количество статей (опять же прекрасно структурированных), различная документация и много другой полезной инфы из мира Open Source. Имеется большое разнообразие MAN’ов под Linux, FreeBSD и Solaris. В разделе Советы ты найдешь ответы на многие вопросы и большое количество полезных рекомендаций. Кроме этого, портал разбит на тематические мини-порталы: solaris.opennet.ru, bsd.opennet.ru, cisco.opennet.ru, linux.opennet.ru, web.opennet.ru, security.opennet.ru, palm.opennet.ru и ftp.opennet.ru, что, несомненно, что делает значительно удобнее и быстрее поиске действительно полезной информации. Отличный форум, большое количество ссылок, документации и многое другое – ресурс действительно незаменим.

    www.linuxrsp.ru

    Неплохой сайт со ставшим уже стандартным «джентльменским» набором: Статьи, Документация, Программы, Ссылки… Есть возможность подписаться на весьма популярную (сейчас более 18 тысяч подписчиков) рассылку свежих новостей несколько раз в неделю. Есть так называемая «дискуссионная рассылка» – своего рода FAQ, а, точнее, вопросы и ответы, возникающие при работе с ОС Linux. Удобная и полезная штука. Неплохие тематические ссылки и наличие официальных пресс-релизов делают этот сайт довольно интересным и познавательным.

    www.security.nnov.ru

    Один из лучших отечественных ресурсов по безопасности. Создал проект широко известный в узких кругах ЗАРАЗа. Он же его практически в одиночку и поддерживает. На сайте собрано большое количество различной информации по вопросам безопасности, регулярно обновляющиеся новости, подробные описания различных багов, а также отличная коллекция эксплоитов. Все это, помноженное на отличный и грамотный поисковый движок, приводит к тому, что любой мало-мальски уважающий себя хакер обязательно заглядывает гости к ЗАРАЗе.

    www.securitylab.ru

    Уж коли затронули безопасность, нельзя не упомянуть еще один крутой и мегапопулярный портал. Да, да, именно СекЛаб! Одна только коллекция полезных софтин и утилит (более 5000!) говорит сама за себя. Ежедневные новости из мира компьютерной безопасности, отличная рассылка, возможность задать свой вопрос и получить на него ответ, большое количество документации, подробнейшее описание багов на русском языке, прекрасный поиск – все это поможет тебе грамотно защитить и настроить свой комп и прекрасно соориентироваться в мире security.

    www.nixp.ru

    «Цель проекта – помогать начинающим в UNIX-основанных операционных системах, быть источником интересной и нужной информации пользователям *nix, самосовершенствоваться в этой сфере…». И ресурс действительно служит этой благородной цели. Большое количество статей по установке, настройке, работе и т.п. в *nix-системах, свежие новости, ссылки, софт, обзоры софта по никсы, голосование посетителей за любимые софтины… Имеются даже обои на рабочий стол :-). Ресурс имеет свой канал в IRC: #nixp в сети WeNet (irc.wenet.ru), также функционирует Web-гейт для выхода в IRC через сайт. Все это снабжено очень приятным и дружественным «а-ля *nix» интерфейсом, создающим атмосферу полного погружения в мир *nix.

    www.undeadly.org

    Undeadly.org или OpenBSD Journal. Интересное название (особенно в свете того, что в период с 2001 г. по апрель 2004 г. портал назывался deadly.org :-)) объясняется тем, что в один прекрасный момент (а именно 1 апреля 2004 г :-)) создатели журнала ушли из журнала и наложили свои копирайты на все материалы. После соблюдения всех авторских прав, Daniel Hartmeier смог сохранить для «жаждущих» более 1100 статей с более чем 14000 комментами и назвал ресурс undeadly. Это хороший англоязычный сайт, посвященный OpenBSD. Крупный форум-FAQ по большому количеству самых различных вопросов, связанных с миром OpenBSD. Постоянная живая дискуссия по возникающим проблемам, различным настройкам, конфигурированию и т.д. Множество различных ссылок и другой информации. Регулярно обновляется.

    www.bsdnews.com

    Еще один известный англоязычный ресурс по BSD-системам. Добротный новостной портал. Разделы: Daemon News Ezine (статьи), BSDNews (новости), BSD Mall (магазин с широким ассортиментом из мира BSD – дистрибутивы, утилиты, различная атрибутика), BSD Support Forum (саппорт-форум :-)) и др. Реальные люди, уважающие BSD и знающие английский язык, наверняка найдут здесь много интересного.

    www.linux.ru

    Крупный русскоязычный Linux-портал, основанный еще в 1999 году. Приличное количество документации и маленькое количество программ :-(. Интересные обзорные статьи. Хорошо сделан «каталогизатор» по русскоязычным, англоязычным и прочим ресурсам. Свежие новости (с российских и зарубежных ресурсов), пресс-релизы, продажа дистрибутивов. Неплохой сайт, но, на мой взгляд, не очень насыщенный и динамичный.

    www.linuxcenter.ru

    Своей главной задачей Linux-центр ставит ни много ни мало продвижение операционной системы Linux в России. Благодаря прямым контактам с производителями дистрибутивов и ПО многие новинки в мире *nix-систем появляются в Linux-центре практически одновременно с мировой премьерой. Действует хороший новостной канал, ведутся различные интересные рейтинги. В рамках проекта идет работа над «Виртуальной энциклопедией Linux» – своего рода систематизированным каталогом по русскоязычным ресурсам, посвященным Linux. «Книга» действительно очень интересна и будет полезна многим. В собственном интернет-магазине продаются книги, дистрибутивы, софт, игры, различная атрибутика – все, что так или иначе связано с Linux. Ресурс оставил очень приятное впечатление.

    www.packetstormsecurity.nl

    Отличный портал по безопасности. Статьи, интересные ссылки, подробные описания багов… Но главное – огромный выбор самого различного софта. Здесь есть чем поживиться! Руткиты, сниферы, бэкдоры – все, что душе угодно! Причем софт очень удобно разделен на категории, что значительно облегчит твой нелегкий труд :-). Стоит сказать и об отличном, функциональном поиске. Один минус – англоязычный, гад! :-). Но ведь для реального хакера это не проблема, правда?

    www.xakep.ru

    Самое главное чуть не забыли! :-) Не зря мы тебя со страниц каждого номера призываем: «не ведись на чепуху – читай www.xakep.ru!» Здесь ты найдешь множество самой различной инфы из хакерского мира и не только. Ресурс постоянно обновляется, и, будь уверен, ты всегда найдешь тут свеженький эксплоит и описания багов на русском языке. Кроме этого, статьи по взлому, защите и всему-всему-всему! Знай наших!

    www.linuxtoday.com

    Еще один англоязычный ресурс, посвященный Linux. Довольно крупный портал, на котором собрано много полезной информации. Название четко определяет концепцию – сайт регулярно обновляется и тщательно следит за малейшими «дуновениями» в мире Linux. Статьи, новости, обновления безопасности, обсуждение различных тем, большое количество полезных и интересных ссылок – все это и многое другое ты найдешь на страницах данного ресурса.

    www.bugtrack.ru

    Еще один старожил рунета в области информационной безопасности. Очень популярный ресурс (средняя посещаемость – около 3500 человек в день), на котором содержится огромное количество вкусной инфы. Тут и прекрасная библиотека – постоянно обновляющаяся подборка статей и книг, и новости, и возможность «большой» рассылки (можно выбрать как по отдельности любой из разделов: BuqTraq: Обзор, RSN, БСК, Закон есть закон, так и в любой «комплектации» включая полную). Ресурс обладает весьма почетными наградами и по праву считается одним из достойных.

    www.nsd.ru

    Сайт команды NSD – постоянных авторов X (смотри, например, «Эксплоитный ликбез» в июньском номере ][), на котором содержится много разной информации по взлому и безопасности, интересные новости, снабженные поиском… Уделено отдельное внимание безопасности и грамотной настройке *nix-систем. Большое количество удобно структурированного софта и т.д.

    www.bsdnewsletter.com

    Англоязычный ресурс, посвященный BSD-системам. Новости, статьи, мануалы, FAQ – короче, полный набор приличного портала. Также есть разбитый на категории софт (например Archivers, Communication, Networking, Servers, Programming и т.д.). Отдельно на сайте выделены разделы Programming и Security. Имеется также приличная коллекция самых различных драйверов. Правда, по всей видимости, обновляется ресурс не очень активно (во всяком случае, в разделе «Recent BSD News and Articles» последний материал датирован 6 июня), что, конечно, не совсем гуд :-(.

    www.linuxjournal.com

    Linux Journal – ежемесячный журнал Linux-сообщества, а www.linuxjournal.com – официальный сайт этого журнала :-). Здесь ты найдешь описание журнала, каждой из рубрик, анонсы новых номеров, статьи и различные материалы из предыдущих выпусков и другое. Помимо освещения самого журнала на сайте представлено большое количество разных пресс-релизов из «жизни Linux-community». Имеется возможность оформления подписки и рассылки. Англоязычный :-).

    Кто ищет – тот всегда найдет!

    Теперь ты немного ориентируешься в пространстве *nix. Читай, проверяй, тестируй, пиши и думай, думай, думай! Только так ты почувствуешь дух свободы и настоящего креатива в мире Open Source!

    Books / Обзор интересной литературы

    Каролик Андрей (andrusha@sl.ru)

    С появлением интернета поиск информации значительно облегчился. Многое можно найти, минуя книги и библиотеки (уже забыли, что это такое). Но, что ни говори, многие базовые вещи удобнее воспринимать в печатном виде, к тому же, некоторой информации в инете просто нет.

    Книжка: Конфигурирование и настройка баз данных на платформе Solaris и в других системах UNIX. – СПб.: ООО «ДиаСофтЮП», 2003 / Пэкер Алан Н. / 512 страниц

    Разумная цена: 520 рублей

    Если ты работаешь с системами баз данных Oracle, Sybase или Infomix, то эта книга тебе пригодится. В ней приведены практические советы по определению параметров системы (в первую очередь книга заточена под Solaris), грамотному конфигурированию ЦП, памяти и оптимизации данных. Все телодвижения снабжены реальными примерами и наглядными листингами. Подробно рассмотрена реализация мониторинга: инструментарий, интервалы мониторинга, мониторинг памяти, мониторинг дисков, мониторинг сети, мониторинг ЦП, мониторинг процессов, мониторинг прерываний, мониторинг самой СУБД. Все это поможет грамотно настроить собственную БД, обеспечив надежность и высокую производительность.

    Книжка: UNIX изнутри – СПб.: Питер, 2003 / Вахалия Ю. / 844 страницы

    Разумная цена: 415 рублей

    Название книги оправдывает ее содержание: подробно рассматривается внутреннее устройство UNIX. Рассмотрены важнейшие компоненты ядра, сравниваются структуры в различных вариантах UNIX. Описаны и давно используемые средства (многонитиевые ядра, многопроцессорные системы, системы реального времени, распределенные файловые системы), и современные средства, используемые в SVR4.x, Solaris, SunOS, 4.4BSD, Mach, OSF/1. Достаточно упомянуть, что автор книги Юреш Вахалия сам разрабатывал подсистемы ядра нескольких вариантов UNIX и читает лекции о внутреннем устройстве UNIX. В книге найдутся ответы на большинство практических вопросов.

    Книжка: UNIX: Руководство системного администратора. Для профессионалов – СПб.: Питер, 2004 / Немет Э. / 925 страниц

    Разумная цена: 325 рублей

    В одной книге собрано множество практических приемов работы с различными ресурсами UNIX. Условно книга разбита на три части: основы администрирования (с чего начать, запуск и останов системы, привилегии, управление процессами, файловая система, пользователи, последовательные устройства, периодические процессы, резервное копирование, логи, драйвера), работа в сетях (сети TCP/IP, маршрутизация, сетевые аппаратные средства, система доменных имен, сетевая файловая система, почта, безопасность, web-хостинг) и разные жизненные ситуации, которые часто встречаются на практике (печать, анализ производительности, взаимодействие с Windows, политика администрирования, процессы-демоны). Изложенный материал касается четырех систем: Red Hat Linux, Solaris, HP-UX и FreeBSD.

    Книжка: Linux IP Stacks в комментариях – К.: Издательство «ДиаСофт», 2001 / Сэтчэлл Стефан Т. / 288 страниц

    Разумная цена: 216 рублей

    Книга посвящена организации и функционированию исходного кода ядра Linux с упором на реализацию стека IP-протоколов, включая TCP/IP, ICMP и UDP. Подробная информация по программному коду семейства протоколов TCP/IP. Детали реализации каждого протокола, соответствие между содержимым исходного кода ядра и документами с рекомендациями по конкретной реализации TCP/IP (RFC – Request for Comment). Дополнительно указано, как можно улучшить функции, расширить, исправить или добавить. Содержимое книги ориентировано на продвинутых администраторов систем безопасности сетей. На прилагающемся диске ты найдешь исходный код ядра Linux, документы RFC и набор полезных сценариев.

    Книжка: Linux. – СПб.: БХВ-Петербург, 2004 / Стахнов А. / 912 страниц

    Разумная цена: 290 рублей

    Установка, настройка и администрирование Linux. Особенности и возможности, идеология файловой системы, инсталляция и основные команды, компиляция ядра и настройка сервисов. Подробно описаны различные сервера и службы: электронная почта, WWW, FTP, INN, прокси, NTP и обеспечение их безопасности. Указаны способы настройки рабочих станций, установка и настройка графической среды типа X Window, конфигурирование принтеров, сканеров, КПК, мобильников и прочих внешних девайсов.

    Книжка: UNIX: Практическое пособие администратора. – СПб.: Символ-Плюс, 2003 / Торчинский Ф. / 352 страницы

    Разумная цена: 174 рубля

    Книга для тех, кто только намылился стать администратором UNIX. То есть знания данной системы не обязательны, достаточно быть в курсе того, как работает любая многопользовательская система (Novell Netware, Windows NT или VAX VMS). С помощью инструкций в книге можно установить и настроить систему. Основное внимание уделено FreeBSD и Linux, так как они наиболее популярны. Рассмотрены установка «стандартного» сервера, настройка POP3– и IMAP-серверов, установка и настройка СУБД, аутентификация с помощью PAM-модулей и русификация. Те, кто уже работает с UNIX, могут использовать книгу как справочник.

    Книжка: Samba: интеграция Linux/UNIX-компьютеров в сети Windows – Мн.: Новое знание, 2003 / Кюнель Йенц / 399 страниц

    Разумная цена: 185 рублей

    Часто необходимо выбирать между Linux и Windows, но некоторые не хотят или не могут отказаться от одной системы в пользу другой. Для этого существует Samba – контактная среда между Microsoft и Linux. Samba позволяет использовать файлы и принтеры Linux/UNIX-сервера под Windows 9x/NT, непосредственно управлять пользователями NT, оптимально комбинировать безопасность данных и стабильную работу. Образно говоря, Samba придает UNIX-системе свойства сети NT. Описаны возможности Samba, в том числе SWAT, поддержка 64-битных функций, автоматическая конфигурация под конкретную версию UNIX и многое другое.

    Книжка: UNIX: взаимодействие процессов – СПб.: Питер, 2003 / Стивенс У. / 576 страниц

    Разумная цена: 260 рублей

    Если интересуешься разработкой сложных программ для UNIX, то тебе не обойтись без межпроцессорного взаимодействия. В книге рассказывается об одной из его форм – IPC. Описываются четыре возможности разделения решаемых задач между несколькими процессами или потоками одного процесса: передача сообщений, синхронизация, разделяемая память и удаленный вызов процедур. Разобраны темы: каналы и FIFO, очереди сообщений Posix и System V, семафоры и условные переменные, блокировки чтения-записи, разделяемая память Posix и System V, измерение производительности IPC и многое другое.

    Книжка: Секреты UNIX. – М.: Издательский дом «Вильямс», 2001 / Армстронг (мл.) Джеймс / 1072 страницы

    Разумная цена: 306 рублей

    Сотни полезных секретов UNIX и практических советов по их применению. Книга состоит из множества небольших глав, в которых описаны нюансы работы и администрирования UNIX, от простого (управление учетными записями, работа в оболочках, навигация по файловой системе) до более сложного (сетевые возможности UNIX, системное администрирование, графические возможности). Особое внимание уделено вопросам разработки собственных приложений для UNIX. Советы экспертов, методики и готовые решения конкретных задач.

    Книжка: Сетевое администрирование Linux. – СПб.: БХВ-Петербург, 2004 / Стаханов А. / 480 страниц

    Разумная цена: 173 рубля

    Практическое руководство, как поднять и настроить локальную сеть под управлением Linux. Подробное описание процессов, происходящих в сети, и практические примеры, которые не раз пригодятся в сетевой жизни. От первоначальной настройки до надежной защиты от атак извне. Рассматриваются сетевые модели, протоколы, адреса, службы, конфигурирование сетевых интерфейсов, настройка серверов FTP, Proxy, INN, Apache, Samba, Mars и т.д. Сетевые принтеры, шлюз в инет, настройка фаервола, учет трафика и т.п. Приведено множество программ для обслуживания сети и ее безопасности.

    Книжка: Администрирование Apache – М.: Издательство «Лори», 2002 / Марк Арнольд / 418 страниц

    Разумная цена: 208 рублей

    Не секрет, что Apache – наиболее популярный web-сервер. Его характеризуют высокая производительность, надежность, безопасность и бесплатное распространение. Поэтому было бы неплохо владеть навыками ежедневной работы по администрированию Apache, если ты хочешь работать в дальнейшем администратором. В книге приведены пошаговые инструкции по обеспечению безопасности, программированию web-сервера и созданию многодоменных сайтов на одном сервере. Описаны средства, необходимые для создания, запуска и поддержки сервера Apache. Для продвинутых книга послужит отличным настольным справочником.

    Книжка: UNIX: полезные советы для системных администраторов – М.: ДМК Пресс, 2002 / Уэйнгроу К. / 416 страниц

    Разумная цена: 115 рублей

    Книга для продвинутых пользователей, знакомых с основными функциями и особенностями UNIX. Показано, как можно автоматизировать рутинную работу и создать командные файлы, используя которые ты значительно повысишь производительность. Рассмотренные приемы автор опробовал в разных версиях системы, и можно воспользоваться его наработками. Более подробно рассмотрены: администрирование сети, безопасность ОС, настройка и работа с учетными записями, эмуляция терминалов и многое другое.

    Книжка: Linux для интернета и интранета – Мн.: Новое знание, 2002 / Хольц Х. / 464 страницы

    Разумная цена: 197 рублей

    В книге рассмотрены разные случаи применения (интернет и интранет) и дано подробное описание необходимой конфигурации системы. Рассмотрены вопросы инсталляции и настройки системы, вопросы безопасности и использование интернет-сервисов. Уделено внимание специфичному применению: в качестве автономного компьютера и в качестве сервера (к примеру, чтобы предоставлять услуги провайдера).

    Книжка: Маршрутизация в Linux – М.: Издательский дом «Вильямс», 2002 / Брокмайер Джо / 240 страниц

    Разумная цена: 129 рублей

    Основная задача книги – помочь грамотно настроить подсистему маршрутизации в Linux. Для этого изложена теория маршрутизации, описаны основные протоколы и утилиты, имеющиеся в распоряжении, указаны эффективные способы их применения на практике. Ты научишься конфигурировать демон маршрутизации, освоишь принципы бесклассовой адресации в стандарте IPv4, узнаешь множество сетевых утилит Linux, инструменты анализа сетевого трафика, познакомишься со средствами защиты сетей, имеющихся в Linux, и др.

    Книжка: Максимальная безопасность в Linux – К.: Издательство «ДиаСофт», 2000 / Анонимный автор / 400 страниц

    Разумная цена: 249 рублей

    Впервые вижу книгу, подписанную анонимным автором :). Как написано на обложке, автор – опытный компьютерный хакер, осужденный за серию финансовых преступлений, совершенных после разработки методики обхода защиты банкоматов. Срок, видимо, повлиял на парня :), и теперь он пишет книжки. В данной книге описаны дыры в защите Linux-системы при стандартной установке, рассказано, к чему они могут привести при подключении компьютера к сети и как их прикрыть. Предлагаемые рецепты позволят тебе достаточно быстро повысить безопасность критически важных для работы приложений и гарантировать безопасную работу основных служб инета. Описаны программы и утилиты для выявления и устранения слабых мест, а также инструментарий взломщиков, с помощью которого ты можешь сам проверить свою стойкость к вторжениям извне.

    Книжки живьем нам предоставил букинистический интернет-магазин «OS-Книга». Все описанные книги ты можешь приобрести по указанным ценам у них на сайте – www.osbook.ru. Книг там значительно больше, чем в нашем обзоре :).






     


    Главная | В избранное | Наш E-MAIL | Добавить материал | Нашёл ошибку | Наверх