Владислав Кабак | Omegicus CIO

NebKa

Создаем нежный ирис из фоамирана

Автор мастер-класса: Марина Теплякова  Предлагаю сделать цветок из фоамирана. В данном случае ирис на заколке-зажиме 12 см. Нам понадобится: - фоамиран, два цвета; - клей резиновый; - утюг; - проволока; - шаблоны; - пинцет; - основа для заколки.    Берем фоамиран для основного цветка сиреневого цвета. Три размера



читать далее »

Животные

У осьминогов прямоугольные зрачки.


читать далее »

Украшаем интерьер шторками из бусин

Для создания таких шторок понадобятся разноцветные бусины, пластиковые или деревянные шарики и леска. А схему можно использовать любую - ту, что для вышивки крестиком



читать далее »

Космос

Когда ученый Вильям Гершель открыл планету Уран в 1781 году, он получил право назвать свое открытие. Он выбрал имя Georgium Sidus (Звезда Георга), в честь короля Георга III. Вот что ученый по этому поводу сказал:


читать далее »

Скетчи

Cindy Liebel      Marla Kress  Virginia Nebel  Summer Fullerton     12x12 pocket style  Rebecca Keppel  12x12 pocket style  Mindy Niebuhr   12x12 pocket style  Kristine Davidson  12x12  Heather Leopard  12x12  Lisa Swift    Wendy Atenucci    Shellye McDaniel  Melissa Stinson  Nancy Damiano источник: http://www.pagemaps.com/pagemaps_jpeg.htm


читать далее »

Анекдот

Любовник у замужней женщины.— слушай, офигенную позу знаю! Значит так, ты встаешь у окна раком, я залезаю на люстру, и оттуда прыгаю на тебя!!!— нее, у меня попугай говорящий, все мужу расскажет!Голос попугая — ОТРЕЖТЕ


читать далее »

Мой совет:

ХРАНЕНИЕ МАСЛЯНЫХ И АЛКИДНЫХ КРАСОК Краски, которые остаются после окрашивания, сохраняются в хорошо закрытых банках или другой посуде. Посуду с краской ставьте в прохладное место с температурой не ниже —5 °С. Неплотно закрытые масляные и алкидные


читать далее »

Анекдот

- Света!!! - Светааа! - Света, блин быстрее иди сюда!!! - Быстрее, ну быстрее! - Что случилось!?- Свет, подай пожалуйста пульт от телика...


читать далее »

МЫЛО ДЛЯ БРИТЬЯ

МЫЛО ДЛЯ БРИТЬЯ Состав: 100 г мыльной массы (натереть на терке, затем растворить на водяной бане или воспользоваться готовой смесью)25 капель масла лаванды10 капель масла чайного дерева10 капель масла лаврового листа (если имеется)5 мл бетаина (загуститель)Все перемешать.   Источник: http://my-hand-made.com.ua  


читать далее »

Вязание. НОСКИ СПИЦАМИ ЗА ДВА ЧАСА

На размер ноги 37-39. Вяжем носки снизу вверх. Cпицы 9 (шестерка).Коллаж 1. Набрать на спицах 84 петли. Вяжем 5 см платочной вязкой (всё лиц. петлями).Коллаж 2. После провязывания платочной вязкой переходим к чулочной вязке (ряд



читать далее »

Наука

Витамин K необходим для свертывания крови.


читать далее »

Анекдот

Приходит секретарша к шефу и спрашвает:- Я, что уволена?- Нет, конечно!- А почему диванчик из кабинета убрали?


читать далее »

Мода на наращивание волос и ресниц

Украшение и мечта всех женщин Ни для кого не секрет, что девушки и женщины во все времена хотели быть красивыми. Одним из главных женских украшений на протяжении веков считаются длинные волосы. Густая копна волос – мечта любой представительницы



читать далее »

Мой совет:

СТЕНЫ В ДОМЕ: ОБОИ И ДРУГИЕ ПОКРЫТИЯ Оклеивание обоями Обои придают жилому помещению уют, изолируют от холода и шума. Небольшие помещения выглядят больше, если они оклеены светлыми обоями с мелким рисунком. Для больших помещений можно использовать обои


читать далее »

Вязаные элементы в одежде

Даже только научившись вязать крючком вы можете обновить или переделать некоторые предметы гардероба, используя элементы ивставки, связанные крючком. Сделать из простой футболки изящный топ или сшить эффектный сарафан с вязаной кокеткой намного быстрее и проще, чем



читать далее »

Животные

Язык хамелеона в два раза длиннее его самого.


читать далее »

Анекдот

Брат сестре:- Родная, тебя никто не обижает?- Нет, мой защитник.- Ну смотри, обижать будут, не обижайся


читать далее »

ВЯЗАНИЕ НОСКОВ С ПЯТКОЙ «БУМЕРАНГ»

Вязание пятки бумеранг от традиционного отличается тем, что форма пятки достигается с помощью частичного вязания (укороченных рядов). knitting-club.info



читать далее »

Имитация веточки коралла - декоративный элемент своими руками

Сегодня мы хотим предложить вам сделать своими руками декоративный элемент для украшения интерьера, а имеено имитацию веточки коралла.Для работы понадобятся:- крупы (горох и рис);- клей ПВА;- краска в балончике (красная);- веточка от дерева.Ход работы: Для удобства



читать далее »

Растаявший фарфор

  Лондонская художница-скульптор, чилийского происхождения Ливия Марин (Livia Marin), увлекается китайским фарфором. Однако, подает его с оригинальным ракурсом. Будто вся посуда начинает потихоньку таять, образуя лужи.Причем, сами лужи также содержат узоры, как и не растаявшая часть



читать далее »

Бой у высоты 776

14 лет назад произошел один из самых трагических эпизодов Второй чеченской войны, наглядно демонстрирующий всю мерзость и глубину предательства уходящей ельцинской эпохи. Но обо всем по порядку. 29 февраля 2000 года водружается российский флаг над Шатоем. Кажется,



читать далее »

География

В состав государства Папуа Новая Гвинея входят острова Новая Британия и Новая Ирландия.


читать далее »

Пасхальные фоны

                                                                                                                                                       



читать далее »

Шьем ШИКАРНУЮ блузку! Быстро и легко!!! Справится даже начинающая портниха))

Какая роскошная блузка! Сшить такую блузку не составит никакого труда даже для начинающей портнихе. Блузку рекомендуется шить из трикотажных тканей. Строить выкройку-основу блузки не обязательно, достаточно знать основные мерки.Как смоделировать и сшить блузку:Строить выкройку для



читать далее »

Фактурная штукатурка своими руками

Чаще всего для отделки стен выбираются обои. Они очень удобны в применении, их может поклеить даже новичок. Декоративная штукатурка – это более сложный процесс. Чтобы самостоятельно декорировать стены этим экологическим и прочным материалом, следует воспользоваться всей



читать далее »

Dan Balan ft. Tany Vander & Brasco - Lendo Calendo 2013

 


читать далее »

Вальдорфский котик спицами, мастер-класс

Вышивание мордочек здесь не предусмотрено, так как играть ими будут детишки из вальдорфского детского садика (вязала на заказ). Вальдорфская систем образования основана на развитии природных способностей ребенка, и игрушки призваны способствовать этому. Они создаются из



читать далее »

Человек

В организме человека порядка 2000 вкусовых рецепторов.


читать далее »

Сумочка Albem из Berroco!

Сумочка Albem из Berroco!Красивая небольшая сумочка с аранами-рельефами.Описание-перевод из журнала "Мастерица".    



читать далее »

Креативнейшие стены

Кнопки от клавиатур! 



читать далее »

Животные

Белые медведи, имеют больше проблем с перегревом, чем с холодом. Даже в очень холодную погоду, они быстро перегреваются, когда пытаются бежать.


читать далее »

Открытки,коробочки,подарки

   



читать далее »

Кофточка ленточным кружевом



читать далее »

Элегантный комплект в технике сцепного гипюра.

ИСТОЧНИК:Журнал Мод_566



читать далее »

Обновляем босоножки мотивами ацтеков. Мастер класс

Хочу поделиться своим опытом преображения старых босоножек. Я их очень люблю т.к. они кожаные и долго мне прослужили, но вид у них стал не очень и откровенно говоря, надо с ним попрощаться бы...но сердце сжимается



читать далее »

Природа

В Южной Америке, в Андах, на высоте 3812 м находится самое большое высокогорное озеро мира - Титикака.


читать далее »

Анекдот

В троллейбусе две девчушки 15-16 лет сидят, беседуют. На остановке заходит парень, становится рядом и говорит, улыбаясь:- О, какие девушки симпатичные.Девушки смущаются:- Да прям уж симпатичные...Парень:- Ну ладно, шучу, шучу...


читать далее »

Анекдот

Внук спрaшивaет у дедa:- Дед, a ты в молодости где сидел: в контaкте или в одноклaссникaх?Дед:- Я в обезьяннике сидел зa контaкт с одноклaссницей!


читать далее »

Деревянный ящик для цветов и растений своими руками

Для создания деревянного ящика нам понадобится: фанера или старые доски, толщиной не менее 1,2 см деревянные рейки Пила рулетка или линейка металлические угольники клей для дерева дрель и сверла отвертка краска для дерева или морилка керамические черепки или кусочки пенопласта Приступим. Нам нужно отпилить два одинаковых



читать далее »

Мой совет:

В теплое время для ухода за обувью лучше использовать эмульсионные кремы, которые хорошо растворяются и пропускают воздух, а зимой - кремы на органических растворителях (они дают воздухо- и водонепроницаемую пленку).


читать далее »

Двухцветный набор

Заинтриговала?На концах пряжи обоих цветов делаем по скользящему узлу.Спицу с узлами отправляем в левую руку, правой спицей провязываем первую петлю левой спицы лицевой петлей нитью контрастного цвета.Продолжаем работать тем же цветом. Делаем накид......тем же цветом



читать далее »

Летние трансформеры. Выкройки , идеи.

Оригинальное решение с порео или просто с куском трикотажа, поможет Вам создать неповторимый образ летом. Попробуйте поэкспериментировать с выкройкой, думаю, что результат порадует. 1.2.3.4.5.6.7.8.9.10.11.12.13.14.15.  



читать далее »

Анекдот

Охотник собрался на охоту в тайгу, местности не знает, берёт с собой проводника из местных,идут по тайге - проводник впереди, прорубает чащу топором с длинным топорищем,охотник идёт за ним с ружьём, в спину дышит...Хлоп! из


читать далее »

История

Только в 1947 году в Англии была отменена должность человека, который должен был при въезде в Англию Наполеона Бонапарта выстрелить из пушки.


читать далее »

Арт деко. Украшаем интерьер. Делаем панно с подсветкой своими руками. Мастер-класс

Сегодня я хочу вам предложить заняться украшением интерьера и оформить его в стиле Арт деко. Вы думаете, идея слишком грандиозная и сложная? Вовсе нет. И сейчас в этом убедитесь. Вам понадобится рамка с натянутым холстом.



читать далее »

Человек

Зуб - единственная часть человеческого организма, которая неспособна к самовосстановлению.


читать далее »

Анекдот

- Есть предложения, как сегодня Хэллоуин отпраздновать?! - Ну... Можно снять баб пострашнее...


читать далее »

Идеи необычных рубашек (подборка)

Необычно — рукав трикотажный, но манжет с рубашки как будто. И спинки под катом. А еще планка и много другое: Планка — пуговки срезали, тесьму пристрочили, пуговки нашили поверх. Этот приемчик должен стройнить.А так рубашку можно



читать далее »

НЕЖНЫЙ ЦВЕТОК ИЗ ПОЛИМЕРНОЙ ГЛИНЫ

       источник: http://barrellab.ru/



читать далее »

Полезная для жизни китайская продукция))

Полезная для жизни китайская продукция))   Источник: http://odessa.net  



читать далее »

Мой совет:

ПОКУПКА ТОВАРА ПО ПРАВИЛАМ Правильная покупка товара - залог хорошего настроения! Многие люди с легкостью определяют, каким образом, где и почем осуществляется покупка авто, например, или покупка квартиры в Москве, причем за выгодную цену, некоторые, наоборот, в


читать далее »

Анекдот

Витя понял, что у него не все в порядке, когда медсестры начали фотографироваться с его манту


читать далее »

Шьем вьетнамскую штору.

Статья о том, как сшить вьетнамскую штору самостоятельно. Вчера, мы совершили небольшой экскурс в историю пошива штор, а сегодня рассмотрим вариант пошива своими руками вьетнамской шторы, которая поможет нам подольше повалятся в кроватке, когда этого так хочется. Очень



читать далее »

Мой совет:

Жирное пятно на обоях можно вывести, приложив к нему на 2-3 минуты кусок мягкой толстой ткани, смоченной чистым бензином и слегка отжатой. Жир, растворенный бензином, впитается в ткань. С этой же целью используется зубной порошок,


читать далее »

Мой совет:

Уксус поможет сделать шерстяные свитера более пушистыми: достаточно добавить немного уксуса при полоскании.


читать далее »

Кошачий домик. Мастер-класс

Автор мастер-класса: tanya_kamnerez Мастер класс не новый. На сегодняшний день добавился ещё один хвост, а с ней ещё один гамак и ещё пара больших полок, как раз до конца стены, так что комплекс ограничивается длиной стены и



читать далее »

Мягкая игрушка подушка

В каждой детской комнате есть мягкие игрушки. А сегодня я предлагаю мастер-класс по шитью  мягкой игрушки из остатков ткани, которая может служить и подушкой. Мордочку можете сшить по своему усмотрению в виде зверюшки или гномика,



читать далее »

Интерьерные композиции из мха. Благородный шик! Мастер класс по венку из мха

Я уже давно пользуюсь сухим мхом, он продается в магазинчиках, где в ассортименте все для рукоделия или во флористических. Но фантазии не хватило на такие красивые композиции, просто использовала как почву для своих топиариев.   Вот этот,



читать далее »

Анекдот

У сборщика Сидорова, устанавливающего заряд на атомную бомбу, дрогнула рука. Никтоэтого не заметил. Поэтому обосрался только он.


читать далее »

Анекдот

На грузинскoй свадьбе oдин другoму: — На мнoгих свадьба я бывал, нo такoгo невеста еще не видел - не пoйму вooбще — баба этo или мужик. — Эй, замoлчи вooбще, а тo я тебе зарежу


читать далее »

Вязаные кольца

Связать кольца по схемам из журнала Crochet Today быстро и несложно. Связанные из остатков пряжи колечки станут прекрасным дополнением к основному изделию. Вязать кольца рекомендуется из не слишком мягкой хлопковой пряжи с добавлением люрекса. В журнале



читать далее »

Вкусные сувениры Натальи Русак...

Увидела расписные пряники Натальи Русак, похожие на искусную вышивку и решила, что это отличная идея новогодних сувениров.   расписные архангельские пряники от Натальи Русак. Наталья Русак из тех счастливчиков, у которых увлечение переросло в любимую работу. Она занимается



читать далее »

КАК СВЯЗАТЬ КОКЕТКУ СПИЦАМИ : МАСТЕР-КЛАСС ВИДЕО

        


читать далее »

Скрап. Декупаж баночки. Декор. Мастер класс

Автор мастер класса: Annet Bee. И специально для Вас,девчата,я подготовила МК.Очень легко и просто!!! Начинаем: Баночку я купила в магазине"Всё по 38".Подойдёт любая. Баночку и крышку обезжириваем спиртом,сушим.Красивая и аккуратная работа получится,если предварительно покрыть баночку белой



читать далее »
Здесь пока пусто

Unauthorized.

TOP10 ошибок конфигурации Linux/BSD

2011.10.08

Автор: (c)Крис Касперски ака мыщъх

Воздвигнуть Linux/BSD - не проблема, инсталлятор все сделает за нас, а вот правильно настроить систему, чтобы ее тут же не атаковали хакеры, удается далеко не каждому. Проанализировав ситуацию, мыщъх отобрал десяток наиболее распространенных ошибок, допускаемых не только начинающими линуксоидами, но и "матерыми" пользователями.

Введение

Логотип на главной странице OpenBSD все видели? "Всего лишь две удаленных уязвимости в конфигурации по умолчанию за десять лет промышленной эксплуатации". Означает ли это, что установив OpenBSD на свою машину, мы можем пить пиво (курить траву, сушить грибы) и ничего не опасаться? Нет, нет и еще раз нет!

Несмотря на то, что в xBSD и особенно в Linux'е имеется достаточное количество дыр, под которые написано множество exploit'ов, большинство атак совершается не через них (хотя и через них тоже), а "благодаря" грубым ошибкам конфигурации, допущенных администратором.

Это справедливо как для серверов, так и для рабочих станций, однако сервера имеют свою специфику, в которой доминируют дыры в PHP/Perl-скриптах, SQL-injecting и т.д., о чем уже неоднократно писалось, так что оставим сервера в покое (о них есть, кому позаботиться) и сосредоточимся на рабочих станциях, воздвигаемых на домашних компьютерах неопытными пользователями, обучающихся методом тыка, и совершенно незнакомых с тактикой ведения боя против хакеров.

Легендарная надежность OpenBSD

Рисунок 1. Легендарная надежность OpenBSD - всего лишь две удаленных дыры в конфигурации по умолчанию за десять лет промышленной эксплуатации.

1. Использование одинаковых паролей

Как ни печально, но большинство пользователей, выбрав себе пароль, используют его везде, где только возможно: на вход в систему, для доступа к почтовому ящику, при регистрации на различных форумах и других сетевых ресурсах, забывая о том, что во всех этих случаях пароли передаются в открытом виде и могут быть выловлены любым sniffer'ом или путем отправки фальшивого ответа от имени DNS-сервера, перенаправляющего жертву на узел злоумышленника (подробнее об этом рассказывается в пункте 4). Также не стоит забывать и о том, что хакер под тем или иным предлогом может заманить вас на свою страничку, требующую регистрации (например, для записи в гостевой книге) или предложить вам бесплатный почтовый сервис.

Заполучив пароль, используемый более чем на одном ресурсе, хакер сорвет банк и хорошо еще, если тут же не сменит пароли, лишая вас законного доступа к своим аккаунтам. Практически все знают, что постоянно сидеть под root'ом нехорошо, но при этом сплошь и рядом назначают одинаковые пароли как на root'а, так и на простого пользователя.

С другой стороны, удержать в голове целую кучу паролей практически невозможно, особенно если они не вводятся с клавиатуры каждый раз, а автоматически "подставляются" программой. Но за это удобство приходится платить и через некоторое время пароли начисто забываются. Что делать? Как быть? Записывать пароли?! Так ведь это не выход. Если листок со списком паролей спрятать в секретном месте, то при выходе в сеть с чужой машины нам он все равно не поможет, а хранить пароли в записной книжке слишком рискованно. Мир не без любопытствующих товарищей! Никому доверять нельзя! А бумаге - тем более.

Некоторые используют довольно хитрый трюк, слегка видоизменяя пароли или включая в пароль имя ресурса, например, используем в качестве базового пароля rfn3g1k-h, добавляя к нему 1nb0x при регистрации почтового ящика на inbox.ru и 030n при создании аккаунта в интернет-магазине www.ozon.ru.

Пароль, выловленный sniffer'ом

Рисунок 2. Пароль "rESLP0!", выловленный sniffer'ом в POP3-сессии, использовался владельцем машины не только для доступа к почтовому ящику, но и во многих других местах.

2. Установка открытого proxy

Proxy-сервера на рабочих станциях встречаются намного чаще, чем можно подумать. Во-первых, они справляются с кэшированием Web-страничек намного лучше, чем браузеры. К тому же, при использовании нескольких браузеров (равно как и браузеров, запускаемых из-под разных пользователей) каждый из них ведет свой кэш, что не только нецелесообразно, но и неэкономично!

Локальный proxy позволяет взять кэширование на себя, отключив его в настройках браузеров (кстати говоря, работа Горящего Лиса после этого заметно ускоряется). Во-вторых, proxy решает проблему совместного доступа в Интернет для всех членов семьи и виртуальных машин (типа VM Ware), делая это намного эффективнее, чем NAT. В-третьих, многие устанавливают proxy-сервер просто "на всякий случай", даже не разобравшись, что это за штука и нужна ли она им или нет.

Proxy

Рисунок 3. Proxy, установленный на локальной машине, позволяет блуждать по сети из-под Windows 2000, запущенной на VM Ware.

При этом по умолчанию proxy-сервер обычно доступен всем желающим и такие желающие находятся достаточно быстро. Какой резон в использовании чужого proxy? Начнем с того, что большинство интернет-провайдеров либо вообще не тарифицирует внутрисетевой трафик, либо продают его значительнее дешевле, чем внешний. Таким образом, отыскав свободный proxy внутри сети провайдера, хакер кидает жертву на бабки. Или, что еще хуже, совершает через него атаку, оставляя в логах чужой IP.

Некоторые переводят proxy на нестандартные порты, надеясь, что там хакеры его не найдут. Наивные! Хакеры ищут не вручную, а через сканеры и им, в общем-то, совершенно безразлично, сколько продлится сканирование.

Другие предпочитают закрывать доступ на proxy паролем, что в смысле защищенности выглядит блестящим решением, но, к сожалению, далеко не все прикладные программы поддерживают функцию авторизации, причем даже если сегодня таких программ у нас нет, они могут появится в будущем, так что лучше сразу настраивать proxy на "века".

Для отсечения всех "левых" хакеров достаточно использовать привязку к интерфейсам, IP- и/или MAC-адресам. Поясним, что это такое. Каждое коммуникационное устройство трактуется операционной системой как сетевой интерфейс, которому может быть присвоен IP-адрес, после чего оно приобретает возможность посылать и отправлять пакеты во "внешний мир", действуя согласно правилам, прописанным в таблицах маршрутизации. Грубо говоря, если у нас есть сетевая карта, в которую воткнут кабель от свитча, обслуживающего домашнюю сеть, мы можем "привязать" proxy-сервер к ее интерфейсу, заблокировав все остальные и пользоваться proxy смогут только члены локальной сети, однако если в свитч воткнут кабель от DSL-модема с Ethernet-портом, proxy-сервер становится "общенародным" достоянием всего Интернета, что, очевидно, не входит в наши планы.

Привязка proxy-сервера

Рисунок 4. Привязка proxy-сервера к IP-адресам, с которых разрешен доступ.

Привязка к IP-адресам разрешает доступ только с тех узлов, чей IP входит в перечисленный диапазон. Это достаточно надежный способ защиты и хотя существует ряд атак, позволяющих ее обойти и надежнее привязываться к MAC-адресам узлов своей домашней сети, главное в воздвижении защиты - это не переусердствовать. Если пренебречь угрозой целенаправленной атаки, привязки к IP-адресам вполне достаточно.

Привязка может выполняться как на proxy-сервере, так и на брандмауэре. В чем разница? Закрытие доступа на брандмауэре экономит немного трафика и потому более целесообразно. С другой стороны, поскольку брандмауэр можно обойти, лучше продублировать привязку и на proxy-сервере (если, конечно, он это позволяет).

3. Включение поддержки IPv6

Поддержка IPv6 в BSD и Linux появилась не вчера и даже не позавчера, между тем IPv6-стек все еще остается сырым и подверженным целому спектру атак: от отказа в обслуживании до захвата управления машиной, причем реально IPv6 никому не нужен. Сегодня с ним можно разве что поиграться, да и то в основном на серверах, а не на рабочих станциях. Пройдет немало лет, прежде чем протокол IPv6 окажется востребованным, но и тогда останется возможность работы через древний IPv4, так что нет никаких оснований держать IPv6 на своей машине, подвергая ее ненужному и совершенно неоправданному риску хакерской атаки.

Примеры дыр

Рисунок 5. Примеры дыр, найденных в IPv6-стеке.

Выбор протокола IPv6 осуществляется на стадии установки и в дальнейшем отказаться от него без перекомпиляции ядра не так-то просто, однако существует более простой путь - заблокировать весь IPv6-трафик на брандмауэре, для этого на xBSD-системах необходимо выполнить следующую последовательность действий.

# добавить следующую строку в файл /etc/pf.conf:
block in quick inet6 all

# загрузить обновленный pf.conf
# внутрь запущенного PF посредством утилиты pfctl
pfctl -f /etc/pf.conf

# разрешить его использование
pfctl -e -f /etc/pf.conf

# посмотреть текущий статус
# на предмет проверки успешности принятия нового правила
pfctl -s rules

Листинг 1. Блокирование всего IPv6-трафика на встроенном брандмауэре.

4. DNS на UDP

DNS-протокол, по умолчанию работающий на UDP, небезопасен и хакер может запросто перенаправить нас на свой узел, просто отправив подложный ответ от имени DNS-сервера. Чтобы этого не происходило, необходимо общаться с DNS-сервером только по TCP-протоколу. Это чуть медленнее, зато намного надежнее, поскольку в отличие от UDP, TCP работает с установкой соединения, включающего в себя операцию "рукопожатия", то есть просто так отправить TCP-пакет с поддельным IP в заголовке нельзя - как минимум требуется угадать идентификатор последовательности, чтобы подделать все остальные пакеты.

Проще всего это сделать путем блокировки всего UDP-трафика на 53-м порту, однако если DNS-сервер провайдера не поддерживает работу через TCP (как, например, djbdns), то мы не сможем разрешать доменные имена вообще, что очень нехорошо.

А почему бы не установить свой собственный локальный DNS-сервер?! Как показывает практика, DNS-сервера большинства провайдеров тормозят со страшной силой и гораздо выгоднее общаться к корневым DNS-серверам, к тому же это еще и безопаснее. DNS-сервер входит в поставку практически любого дистрибутива (см. "man named") и уже содержит все необходимое, в том числе и адреса корневых DNS-серверов, прописанные в конфигурационных файлов. Все, что нужно - это указать инсталлятору, что мы хотим установить DNS.

Для большей надежности рекомендуется задействовать цифровую подпись, установив параметр auth-nxdomain (как правило, находящийся в /etc/bind/named.conf.options файле) в значение "yes".

Использование цифровой подписи

Рисунок 6. Использование цифровой подписи предотвращает посылку подложных DNS-ответов хакером.

5. Запуск подозрительных программ под root'ом

Считается, что вирусов под Linux/BSD не существует. Это неверно. Вирусы есть и там, просто они не получили большого распространения в силу низкой распространенности самого Linux/BSD, а также того факта, что нормальные люди сидят не под root'ом, а под простым пользователем, не имеющем права модификации уже установленных исполняемых файлов. Тем не менее, если запустить вируса под root'ом, он сможет такого натворить, что потом не разгребешь за всю оставшуюся жизнь.

Причем, это относится не только к запуску, но и... к компиляции! А точнее - к сборке исходных текстов утилитой make, обрабатывающей файл makefile, который может включать в себя команды операционной системы, дающие хакеру неограниченную власть над машиной.

Если программа получена из ненадежных источников, то необходимо либо выполнить аудит исходных текстов, либо запускать ее от имени специального пользователя, не имеющего доступа ни к каким файлам, кроме тех, которые явно необходимы для работы программы. В отличие от Windows, операционные системы семейства UNIX действительно являются многопользовательскими, так что грех не использовать эту возможность.

Кстати говоря, набирая "make install", не забудьте перекреститься. Далеко не все пакеты устанавливаются "гладко" и многие из них потом приходится "выковыривать" из системы зачастую путем полной переустановки или капитальных работ по восстановлению. Программы, запущенные от имени простого пользователя, могут разрушить только конфигурацию этого самого пользователя, что не является проблемой, поскольку для установки программ всегда можно создать специального пользователя с конфигурацией по умолчанию и только убедившись, что программа работает правильно, устанавливать ее от своего имени.

Однако если программа тянет за собой загружаемые модули ядра или нуждается в изменении системных конфигурационных файлов, ей приходится предоставлять права root'а, идя на сознательный риск. Или же... отправить такую программу в /dev/nul, где ей и место.

Команды операционной системы

Рисунок 7. Команды операционной системы в makefile-файле.

6. Использование Горящего Лиса

Лис считался надежным браузером лишь до тех пор, пока на него никто не обращал внимания, но теперь... по количеству обнаруженных дыр он вплотную приближается к печально известному IE и хотя массовых атак на Лиса пока не отмечено, это не значит, что можно и дальше бродить по сети. Беспечная жизнь закончилась. Лис уже отхватил солидную долю рынка, что делает его весьма соблазнительной мишенью в хакерских глазах.

Даже оперативная установка самых свежих заплаток не гарантирует безопасности! К счастью, помимо Лиса есть и другие браузеры - например, Conquer, интегрированный в KDE, а также текстовый браузер Lynx (входящий в большинство дистрибутивов по умолчанию), которым очень любит пользоваться мыщъх.

Lynx

Рисунок 8. Lynx - надежный, быстрый, безопасный текстовый браузер.

7. Использование готового ядра без перекомпиляции

Большинство exploit'ов, эксплуатирующих дыры в ядре Linux/BSD, содержат в себе жесткого прошитые (hardcoded) адреса машинных команд, меняющиеся от версии к версии и, естественно, при перекомпиляции.

Ядро из коробки довольно предсказуемо и атакующий может без труда установить, какой именно байт передаваемых данных затирает адрес возврата и чем его необходимо заменить, чтобы передать управление на shell-код. В большинстве случаев его заменяют на адрес машинной инструкции jmp esp, а если выполнение в стеке запрещено, то выделяют блок памяти посредством вызова malloc с последующей установкой атрибутов исполнения через функцию mprotect и копирования shell-кода на новое место обитания функцией memcpy. Естественно, адреса всех этих функций атакующий должен знать заранее, иначе у него ничего не получится. Уязвимая программа выбросит исключение, которое будет отловлено ядром и если программист не предусмотрел специальной обработки критических ситуаций, программа завершится в аварийном режиме. То есть, дальше банального DoS'а хакер не продвинется.

Атаковать систему с перекомпилированным ядром и всеми стандартными библиотеками практически нереально и это по плечу только настоящим профессионалам, а не подросткам, научившимся скачивать exploit'ы из сети.

8. Неудаленный map-файл

Файл System.map (обычно расположенный в каталоге /boot) включает в себя символьную информацию о глобальных переменных и функциях, экспортируемых ядром, и широко используется rootkit'ами, прячущих от глаз администратора враждебные файлы, процессы и сетевые соединения. И хотя некоторые (между прочим, достаточно многие) rootkit'ы могут находить необходимые им функции и без System.map'a, его удаление существенно уменьшает вероятность атаки.

В "мирных целях" System.map нужен разве что отладчикам, да некоторым низкоуровневым программам. На всякий случай, чтобы потом не перекомпилировать ядро (а system.map создается именно при перекомпиляции ядра), скопируйте его в надежное место (например, на внешний носитель) или просто переименуйте во что-то менее напряженное.

Фрагмент файла System.map

Рисунок 9. Фрагмент файла System.map.

9. Отсутствующие директории в lib

Порядок поиска динамических библиотек задается системной переменной LD_LIBRARY_PATH, значение которой берется из конфигурационного файла /etc/ld.so.config, перечисляющего директории с динамическими библиотеками. В правильно установленной системе право создания новых файлов в этих директориях имеет только root, что логично. Поскольку в противном случае любой желающий смог бы добавить свою зловредную библиотеку в вышестоящую директорию так, чтобы она загружалась вместо оригинала (кстати, проверьте свою систему, вдруг она ведет себя не так?!).

Некоторые инсталляторы (например, установщик KNOPPIX'а) прописывают в файле /etc/ld.so.config пути к несуществующим директориям. Казалось бы, ну что тут такого? Мелочь... На самом деле, это огромная дыра в безопасности, поскольку для создания директорий иметь права root'а совершенно необязательно и в них можно размещать библиотеки-спутники, работающие по принципу вирусов-спутников, известных еще со времен MS-DOS. Откройте файл /etc/ld.so.config и удалите из него все несуществующие пути, если таковые там присутствуют.

10. Игнорирование битов NX/XD

Долгое время x86-процессоры поддерживали только два атрибута защиты на уровне страниц - атрибут доступности и атрибут записи. Атрибут исполнения кода поддерживался только на уровне селекторов и практически все UNIX-подобные системы размещали стек, код, данные и кучу в едином адресном пространстве, доступном для исполнения.

Несмотря на то, что функция mprotect поддерживает четыре атрибута защиты: PROT_NONE, PROT_READ, PROT_WRITE и PROT_EXEC, на аппаратном уровне атрибут PROT_EXEC является синонимом атрибута PROT_READ, то есть если страницу можно прочитать, с тем же успехом ее можно исполнять. Этой дырой воспользовались хакеры, размещая исполняемый код в стеке и хотя было предложено множество защитных комплексов, размещающих стек в неисполняемой области памяти, все они были глючными и ненадежными.

Настоящая революция наступила только с появлением новых атрибутов защиты в каталогах страниц называемых NX (Not eXecutable) и XD (eXecutable Disabled) в процессорах Intel и AMD, соответственно. Последние версии Linux/BSD поддерживают эти биты в том или ином виде, спрашивая пользователя при установке, нужен ли ему неисполняемый стек или нет? Однако поскольку ряд честных программ (и прежде всего runtime-компиляторов, транслирующих код "на лету" прямо в память) нуждаются в исполняемом стеке, по умолчанию защита выключена во всех системах, кроме OpenBSD.

И хотя неисполняемые биты отнюдь не панацея (хакеры уже давно научились обходить их), они тем не менее чрезвычайно затрудняют атаку, а в сочетании с перекомпилированным ядром и стандартными библиотеками, делают ее практически невозможной, так что смысл в этой защите все-таки есть и лучше держать ее на взводе.

https://nebka.ru/?uid=1&post=20964