Владислав Кабак | Omegicus CIO

NebKa

Пальто D&G осень 2015 (спицами) Описание+схема

Еще один похожий узорчик  



читать далее »

Веночек из соленого теста и дракончик.

Добрый день! Спешу поделиться своей первой работой с соленым тестом) Я думала что слепить из него нет ничего сложного,ведь пельмени умею же готовить) А как оказалось,это довольно сложно)) Лепили мы напару с доцей и вот


читать далее »

Шьем кроватку для питомца

Сделайте приятное для вашего любимого питомца, сшейте ему мягкую подушку-лежанку! Ну а как ее сшить, подробно узнаем в этом мастер-классе! По своим размерам - эта лежанка предназначена для малогабаритных собачек и кошечек. Если же ваш



читать далее »

Мой совет:

Потемневшие эмалированные кастрюли надо прокипятить с любым составом для мытья посуды, а затем промыть горячей водой. Но если два раза в месяц кипятить их с раствором уксуса, они не будут темнеть.


читать далее »

Стратегия выживания

Все мы, так или иначе, осознанно или подсознательно придерживаемся в своих подготовительных действиях какой-то концепции. Для начала расскажу, как формировалась концепция выживания в моей голове. Первоначально я, ни разу не блеснув оригинальностью, прорабатывал идею соскока в



читать далее »

Человек

По статистике лишь один человек на 2 миллиарда перешагивает порог 116 лет.


читать далее »

ЛИЛИЯ ИЗ БУМАГИ

  Источник: http://barrellab.ru



читать далее »

Летний наряд для девочки

Посмотрите как можно сшить оригинальный наряд для девочки. Не говорите, что лето уже закончилось))еще одно будет. Здесь показано как сделать самим выкройки, а потом сшить летнюю майечку-халатик. Красиво, просто, оригинально и как раз для жары 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. 21. 22. 23. 24. 25. 27. 28. http://karat773.ru/post234485790/



читать далее »

Платье

1.2.3.4.5.6.7.



читать далее »

Гарантированное возмездие: как работает российская система "Периметр"

Главным сдерживающим фактором Третьей мировой войны является наличие у России системы, позволяющей нанести ответный ядерный удар даже при полном уничтожении командных пунктов и линий связи РВСН. Называется она "Периметр", в США ее прозвали "Dead hand"    "Периметр"


читать далее »

Человек

Вросшие ногти - наследственная черта.


читать далее »

Освежитель воздуха своими руками

В магазинах часто можно встретить освежители воздуха с палочками, которые очень легко можно сделать своими руками. Попробуем? У нас получится)!   Нам понадобится деревянные палочки-шпажки для гриля и шашлыков, ароматическое масло  красивые вазочки или пузырьки -  у меня старинные аптекарские



читать далее »

Мой совет:

Свежие пятна от яблок, малины, черешни смоются тампоном, смоченным тёплым молоком и мыльной водой.


читать далее »

Анекдот

Мужчина ждёт в школе ребенка. Проходит учительница и спрашивает: "Вы ребенка ждете?" Он отвечает:"Нет, я всегда такой толстый"


читать далее »

Декупаж шкатулки, мастер-класс

Автор: Оксана   Здравствуйте, уважаемые читатели сайта! Многие мастерицы и рукодельницы любят создавать своими руками трогательные вещицы в технике декупаж для украшения и придания уюта своему дому. Вот и наша кудесница сайта Алена продолжает радовать нас своими эксклюзивными



читать далее »

Животные

Язык хамелеона в два раза длиннее его самого.


читать далее »

Мой совет:

Живот растет, и в привычных брюках стало тяжело дышать? Резинка позволит дольше пользоваться привычным гардеробом. Сделайте петлю, а потом просто прикройте застежку одеждой. Будущие мамы совсем не сразу дорастают до одежды для беременных.


читать далее »

Комодик из гипсокартона. Мастер-класс

Итак, смотрим мастер-класс по использованию остатков гипсокартона и созданию комодика для бижутерии. Хочу заметить, если вы для работы используете влагостойкий гипсокартон, он обычно бывает зеленого цвета и его применяют для отделки ванных комнат, то комодик



читать далее »

Анекдот

На операционном столе лежит тесть, хирург - зять: - Сынок, ты, главное, когда начнешь, не забудь о том, что если моя супруга станет вдовой, она непременно захочет переехать жить к вам с Машей.


читать далее »

"Книга-дверь". Имитация чугуна и ржавчины

Авторский декор "Интеръерона"   Посетила меня странная идея создать предмет декора в виде двери-книги. Вдохновившись, перечитала и пересмотрела множество фотографий старинных торцов и фасадов и конечно ж дверей и приступила к задуманному. Двери и книги — это как



читать далее »

Пасхальный яичный зайка. Мастер-класс

Пасхальные зайцы  Здравствуйте, милые рукодельницы! Поздравляю всех с первыми днями долгожданной весны!!! Весна наступила, а значит еще немного и к нам придет светлый праздник Пасха! Я уже начала готовить  подарочки своим друзьям.Знакомьтесь — веселые  яичные зайки !Такие малыши


читать далее »

Разное

Миндаль член семейства персика.


читать далее »

Мой совет:

Если обувь не удается сделать блестящей, нужно протереть ее ломтиком лимона и отполировать бархоткой.


читать далее »

Космос

Планетой с самым длинным годом еще недавно считали Плутон, обращающийся вокруг Солнца за 248 земных лет. После лишения Плутона статуса планеты его место в данном отношении занял Нептун, продолжительность года на котором составляет 165 земных


читать далее »

Разное

Имена трех мудрых обезьян: Мизару (не вижу зла), Киказару (не слышу зла), и Ивазару (не говорю зла).


читать далее »

ШИКАРНОЕ ПЛАТЬЕ КРЮЧКОМ

    источник: http://barrellab.ru/



читать далее »

ЛЕТНЯЯ ТУНИКА



читать далее »

Простая выкройка тельняшки



читать далее »

Колье "Марлен"

Колье "Марлен"   Автор: Дарина Никонова Сайт автора: Дарина Никонова. Украшения из бисера Необычные женские украшения - ожерелье и серьги из кружева ручной работы Плела я колье «Марлен» для себя. Колье простое, но милое. Тёплое, лучистое, золотистое. Колье «Марлен» выполнено в технике АНКАРС



читать далее »

Мастер-класс по квиллингу: Царская птица

Автор: Ольшак Ольга Геннадьевна Ох, девочки, опять натворила! На этот раз нашла новое применение бахроме- окантовать ею пёрышки на хвосте павлина.Ну, а если есть хвост, значит будет и сам павлин! Вот такая царская птичка у меня получилась.Работа очень



читать далее »

Блузка с филейной вставкой

Летняя блузка с нежной филейной вставкой, связанной крючком.   Модель из журнала Верена за май 1990 года. Мода со времени выхода журнала изменилась, фасоны стали другими, но идея актуальности не потеряла. Нежная филейная вставка будет прекрасно смотреться на современных моделях



читать далее »

Анекдот

- Я вчера в лесу три ведра грибов собрал для тёщи. - А вдруг они ядовитые? - Что значит "вдруг"?!!


читать далее »

Java под атакой

Java под атакой Автор: (c)Крис Касперски ака мыщъх Долгое время Java считалась абсолютно безопасной, однако лавинообразный рост открывшихся уязвимостей доказал обратное, впрочем ничуть не помешав Java продолжить завоевание рынка, в результате чего сейчас наблюдается яростный шквал хакерских атак, часть которых отражается путем


читать далее »

«Fore-edge painting» — живопись на обрезе книги.

«Fore-edge painting» — живопись на обрезе книги.   «Fore-edge painting» - живопись  на обрезе книги я открыла для себя недавно,  это старинное английское  книжное искусство, которое в наш век информационных технологий почти забыто. «Fore-edge painting» - живопись на



читать далее »

Мой совет:

Серебреные монеты. Выбор метода чистки зависит от степени окисленности и пробы металла. Если монеты высокой пробы долгое время пребывали в земле или подвергались воздействию других неблагоприятных факторов и покрылись плотным слоем окислов, их нужно поместить


читать далее »

Сумка-кошелек.

 



читать далее »

Переносим изображение на ткань! Очень просто и экономно!

Интересный способ переноса изображения на ткань при помощи ее накрахмаливания Автор:  Надежда donna-kupidonna  Здравствуйте, дорогие мастера и мастерицы! Думаю, я не единственный человек, который задумывался о переносе изображения прямиком на ткань! Вы можете сказать, что возможностей есть



читать далее »

Анекдот

Из учебникa по русскому языку для 2 клaссa: "(Кaкaя?) (что?) зaвелa нaс в (кaкой?) лес."


читать далее »

Ажурное платье с пелериной

Ажурное платье с пелериной Ажурное летнее платье с красивой пелериной – совершенно милое и романтичное, с простыми узорами, но выглядит очень эффектно. Итальянская модель. Не пугайтесь, схемы и выкройка очень понятны. А расчеты для опыта – ничего сложного



читать далее »

Мой совет:

Пятно от марганцовки на белой ткани можно удалить раствором щавелевой кислоты. Одна чайная ложка на 1/2 стакана воды, после чего вещь промыть в горячей, затем в тёплой воде.


читать далее »

Понравилось оформление коробочки в стиле шебби шик

Замечательное оформление коробочки в стиле шебби шик. Идея с сайта shabbychicinspired.blogspot.com. Ниже прилагаю винтажное изображение птички для распечатки на принтере  



читать далее »

История

Первой столицей Японии был город Нара, построенный в 710 году нашей эры под наблюдением китайских мастеров на юге острова Хонсю. В 794 году Нару в качестве столицы сменил Хэйан, в 1192 году переименованный в Киото.


читать далее »

Как сделать решетку для системы кондиционирования своими руками. Мастер-класс

автор admin  Наверное, у каждого из нас в доме есть система кондиционирования – невзрачные решетки, которые не очень привлекательно выглядят. Вы никогда не задумались сделать своими руками что-то привлекательное для этого места? Сегодня я Вам покажу, как



читать далее »

Космос

Земля весит около 6 588 000 000 000 000 000 000 000 тонн.


читать далее »

Природа

Льды и айсберги занимают почти 10% территории Земли.


читать далее »

Космос

В нашей Галактике есть своя черная дыра - ее массу оценивают приблизительно в 2,4 миллиона солнечных.


читать далее »

Аисты из газетных трубочек

А эти аисты, ниже, вырезаны из пенопласта, у них только клювы, ножки и гнездо из газетных трубочек Для работы  нам понадобятся трубочки из кассовой ленты, газет или журналов, белая и красная акриловая краска, лак для дерева,



читать далее »

ШЬЕМ САРАФАН! ИЛИ НОЧНУШКУ?

Чем мне нравится летняя пора – можно одеваться очень легко, особенно в жаркие дни. Для таких дней конечно, незаменимысарафаны,  но речь пойдет не совсем о сарафане. Я хочу рассказать вам об очень простой технологии пошива, используя которую



читать далее »

Анекдот

- Что ты больше любишь - вино или женщин? - Ёто зависит от года изготовления.


читать далее »

Природа

В США ежегодно происходит более 1000 торнадо.


читать далее »

Что сделать интересного своими руками: органайзер фотографий

Вам понадобится: - картон - ткань - лента - ножницы - суперклей или горячий клей - клей-карандаш - карандаш - небольшая тарелка - прищепки - фотографии (любые картинки) - акриловые краски и кисточка 1. Из картона вырежьте круг. Чтобы его начертить можете использовать тарелку.   2. Положите вырезанный круг



читать далее »

Как сделать цветочный горшок из дискет

Технический прогресс неумолимо движется со скоростью континентального локомотива, и после него остаются обломки багажа прошлого. Так и с дискетами — раньше мы их покупали за бешеные деньги, тряслись, чтобы они не посыпались, хранили в красивых разноцветных и прозрачных коробочках. А



читать далее »

Роза из гофрированной бумаги



читать далее »

Ромашка из фоамирана. Мастер-класс

Ещё раз, привет! Вот мой второй мастер-класс, ромашка из фома. Все тот же веночек и все те же цветочки для него. Потом покажу и сам веночек ;) Вот такие ромашки буду делать: Для таких ромашек нам


читать далее »

Необычные домики для птиц

Впереди долгие зимние вечера. Почему бы в ожидании весны не заняться сооружением домиков для птиц, которые с первым теплом вернутся в родные края? А заодно и свой участок украсить оригинальными и необычными сооружениями. Вот, к



читать далее »

КОФТОЧКА-СЕТКА

КОФТОЧКА-СЕТКА   Источник: http://barrellab.ru/



читать далее »

Мой совет:

Крупу и крахмал лучше хранить в банках с притертой крышкой - жестяных, стеклянных или фаянсовых. Чтобы в крупе не заводились жучки, прежде чем засыпать в банки, крупу нужно прокалить на сковородке или в духовке, а


читать далее »

Мой совет:

Если туфли великоваты и "хлопают" на ногах, можно приклеить полоску поролона на задник.


читать далее »

Очень красивое пальто крючком

1.  2.  3. 



читать далее »

Копилка СВИНКА из пластиковой трубы и фетра



читать далее »

Детские шапочки для фотоссесий. Идеи и описания.

 



читать далее »

Платье и косынка для девочки крючком. Схема

 



читать далее »

Вязание круглой сумки крючком

Вязание круглой сумки крючком Радужная сумочка круглой формы связана крючком. Для вязания сумочки вам понадобится крючок №3,5 и 280 г. толстой хлопковой нити и 3 пуговицы. Сумочка вяжется по кругу. Всего вам нужно будет связать две



читать далее »

Декор шкатулки для рукоделия. Мастер-класс

Мастер-класс по созданию шкатулки для рукоделия, с мягкой крышкой и декупажем на канве. Автор Елена Ермилова Может кому-нибудь пригодится. Для работы потребуется: 1. Деревянная заготовка 2. Канва 3. Бумага для выпечки 4. Салфетки с рисунками 5. Текстильный клей "Textil POTCH" 6. Нитки мулине 7



читать далее »
Здесь пока пусто

Unauthorized.

TOP10 ошибок конфигурации Linux/BSD

2011.10.08

Автор: (c)Крис Касперски ака мыщъх

Воздвигнуть Linux/BSD - не проблема, инсталлятор все сделает за нас, а вот правильно настроить систему, чтобы ее тут же не атаковали хакеры, удается далеко не каждому. Проанализировав ситуацию, мыщъх отобрал десяток наиболее распространенных ошибок, допускаемых не только начинающими линуксоидами, но и "матерыми" пользователями.

Введение

Логотип на главной странице OpenBSD все видели? "Всего лишь две удаленных уязвимости в конфигурации по умолчанию за десять лет промышленной эксплуатации". Означает ли это, что установив OpenBSD на свою машину, мы можем пить пиво (курить траву, сушить грибы) и ничего не опасаться? Нет, нет и еще раз нет!

Несмотря на то, что в xBSD и особенно в Linux'е имеется достаточное количество дыр, под которые написано множество exploit'ов, большинство атак совершается не через них (хотя и через них тоже), а "благодаря" грубым ошибкам конфигурации, допущенных администратором.

Это справедливо как для серверов, так и для рабочих станций, однако сервера имеют свою специфику, в которой доминируют дыры в PHP/Perl-скриптах, SQL-injecting и т.д., о чем уже неоднократно писалось, так что оставим сервера в покое (о них есть, кому позаботиться) и сосредоточимся на рабочих станциях, воздвигаемых на домашних компьютерах неопытными пользователями, обучающихся методом тыка, и совершенно незнакомых с тактикой ведения боя против хакеров.

Легендарная надежность OpenBSD

Рисунок 1. Легендарная надежность OpenBSD - всего лишь две удаленных дыры в конфигурации по умолчанию за десять лет промышленной эксплуатации.

1. Использование одинаковых паролей

Как ни печально, но большинство пользователей, выбрав себе пароль, используют его везде, где только возможно: на вход в систему, для доступа к почтовому ящику, при регистрации на различных форумах и других сетевых ресурсах, забывая о том, что во всех этих случаях пароли передаются в открытом виде и могут быть выловлены любым sniffer'ом или путем отправки фальшивого ответа от имени DNS-сервера, перенаправляющего жертву на узел злоумышленника (подробнее об этом рассказывается в пункте 4). Также не стоит забывать и о том, что хакер под тем или иным предлогом может заманить вас на свою страничку, требующую регистрации (например, для записи в гостевой книге) или предложить вам бесплатный почтовый сервис.

Заполучив пароль, используемый более чем на одном ресурсе, хакер сорвет банк и хорошо еще, если тут же не сменит пароли, лишая вас законного доступа к своим аккаунтам. Практически все знают, что постоянно сидеть под root'ом нехорошо, но при этом сплошь и рядом назначают одинаковые пароли как на root'а, так и на простого пользователя.

С другой стороны, удержать в голове целую кучу паролей практически невозможно, особенно если они не вводятся с клавиатуры каждый раз, а автоматически "подставляются" программой. Но за это удобство приходится платить и через некоторое время пароли начисто забываются. Что делать? Как быть? Записывать пароли?! Так ведь это не выход. Если листок со списком паролей спрятать в секретном месте, то при выходе в сеть с чужой машины нам он все равно не поможет, а хранить пароли в записной книжке слишком рискованно. Мир не без любопытствующих товарищей! Никому доверять нельзя! А бумаге - тем более.

Некоторые используют довольно хитрый трюк, слегка видоизменяя пароли или включая в пароль имя ресурса, например, используем в качестве базового пароля rfn3g1k-h, добавляя к нему 1nb0x при регистрации почтового ящика на inbox.ru и 030n при создании аккаунта в интернет-магазине www.ozon.ru.

Пароль, выловленный sniffer'ом

Рисунок 2. Пароль "rESLP0!", выловленный sniffer'ом в POP3-сессии, использовался владельцем машины не только для доступа к почтовому ящику, но и во многих других местах.

2. Установка открытого proxy

Proxy-сервера на рабочих станциях встречаются намного чаще, чем можно подумать. Во-первых, они справляются с кэшированием Web-страничек намного лучше, чем браузеры. К тому же, при использовании нескольких браузеров (равно как и браузеров, запускаемых из-под разных пользователей) каждый из них ведет свой кэш, что не только нецелесообразно, но и неэкономично!

Локальный proxy позволяет взять кэширование на себя, отключив его в настройках браузеров (кстати говоря, работа Горящего Лиса после этого заметно ускоряется). Во-вторых, proxy решает проблему совместного доступа в Интернет для всех членов семьи и виртуальных машин (типа VM Ware), делая это намного эффективнее, чем NAT. В-третьих, многие устанавливают proxy-сервер просто "на всякий случай", даже не разобравшись, что это за штука и нужна ли она им или нет.

Proxy

Рисунок 3. Proxy, установленный на локальной машине, позволяет блуждать по сети из-под Windows 2000, запущенной на VM Ware.

При этом по умолчанию proxy-сервер обычно доступен всем желающим и такие желающие находятся достаточно быстро. Какой резон в использовании чужого proxy? Начнем с того, что большинство интернет-провайдеров либо вообще не тарифицирует внутрисетевой трафик, либо продают его значительнее дешевле, чем внешний. Таким образом, отыскав свободный proxy внутри сети провайдера, хакер кидает жертву на бабки. Или, что еще хуже, совершает через него атаку, оставляя в логах чужой IP.

Некоторые переводят proxy на нестандартные порты, надеясь, что там хакеры его не найдут. Наивные! Хакеры ищут не вручную, а через сканеры и им, в общем-то, совершенно безразлично, сколько продлится сканирование.

Другие предпочитают закрывать доступ на proxy паролем, что в смысле защищенности выглядит блестящим решением, но, к сожалению, далеко не все прикладные программы поддерживают функцию авторизации, причем даже если сегодня таких программ у нас нет, они могут появится в будущем, так что лучше сразу настраивать proxy на "века".

Для отсечения всех "левых" хакеров достаточно использовать привязку к интерфейсам, IP- и/или MAC-адресам. Поясним, что это такое. Каждое коммуникационное устройство трактуется операционной системой как сетевой интерфейс, которому может быть присвоен IP-адрес, после чего оно приобретает возможность посылать и отправлять пакеты во "внешний мир", действуя согласно правилам, прописанным в таблицах маршрутизации. Грубо говоря, если у нас есть сетевая карта, в которую воткнут кабель от свитча, обслуживающего домашнюю сеть, мы можем "привязать" proxy-сервер к ее интерфейсу, заблокировав все остальные и пользоваться proxy смогут только члены локальной сети, однако если в свитч воткнут кабель от DSL-модема с Ethernet-портом, proxy-сервер становится "общенародным" достоянием всего Интернета, что, очевидно, не входит в наши планы.

Привязка proxy-сервера

Рисунок 4. Привязка proxy-сервера к IP-адресам, с которых разрешен доступ.

Привязка к IP-адресам разрешает доступ только с тех узлов, чей IP входит в перечисленный диапазон. Это достаточно надежный способ защиты и хотя существует ряд атак, позволяющих ее обойти и надежнее привязываться к MAC-адресам узлов своей домашней сети, главное в воздвижении защиты - это не переусердствовать. Если пренебречь угрозой целенаправленной атаки, привязки к IP-адресам вполне достаточно.

Привязка может выполняться как на proxy-сервере, так и на брандмауэре. В чем разница? Закрытие доступа на брандмауэре экономит немного трафика и потому более целесообразно. С другой стороны, поскольку брандмауэр можно обойти, лучше продублировать привязку и на proxy-сервере (если, конечно, он это позволяет).

3. Включение поддержки IPv6

Поддержка IPv6 в BSD и Linux появилась не вчера и даже не позавчера, между тем IPv6-стек все еще остается сырым и подверженным целому спектру атак: от отказа в обслуживании до захвата управления машиной, причем реально IPv6 никому не нужен. Сегодня с ним можно разве что поиграться, да и то в основном на серверах, а не на рабочих станциях. Пройдет немало лет, прежде чем протокол IPv6 окажется востребованным, но и тогда останется возможность работы через древний IPv4, так что нет никаких оснований держать IPv6 на своей машине, подвергая ее ненужному и совершенно неоправданному риску хакерской атаки.

Примеры дыр

Рисунок 5. Примеры дыр, найденных в IPv6-стеке.

Выбор протокола IPv6 осуществляется на стадии установки и в дальнейшем отказаться от него без перекомпиляции ядра не так-то просто, однако существует более простой путь - заблокировать весь IPv6-трафик на брандмауэре, для этого на xBSD-системах необходимо выполнить следующую последовательность действий.

# добавить следующую строку в файл /etc/pf.conf:
block in quick inet6 all

# загрузить обновленный pf.conf
# внутрь запущенного PF посредством утилиты pfctl
pfctl -f /etc/pf.conf

# разрешить его использование
pfctl -e -f /etc/pf.conf

# посмотреть текущий статус
# на предмет проверки успешности принятия нового правила
pfctl -s rules

Листинг 1. Блокирование всего IPv6-трафика на встроенном брандмауэре.

4. DNS на UDP

DNS-протокол, по умолчанию работающий на UDP, небезопасен и хакер может запросто перенаправить нас на свой узел, просто отправив подложный ответ от имени DNS-сервера. Чтобы этого не происходило, необходимо общаться с DNS-сервером только по TCP-протоколу. Это чуть медленнее, зато намного надежнее, поскольку в отличие от UDP, TCP работает с установкой соединения, включающего в себя операцию "рукопожатия", то есть просто так отправить TCP-пакет с поддельным IP в заголовке нельзя - как минимум требуется угадать идентификатор последовательности, чтобы подделать все остальные пакеты.

Проще всего это сделать путем блокировки всего UDP-трафика на 53-м порту, однако если DNS-сервер провайдера не поддерживает работу через TCP (как, например, djbdns), то мы не сможем разрешать доменные имена вообще, что очень нехорошо.

А почему бы не установить свой собственный локальный DNS-сервер?! Как показывает практика, DNS-сервера большинства провайдеров тормозят со страшной силой и гораздо выгоднее общаться к корневым DNS-серверам, к тому же это еще и безопаснее. DNS-сервер входит в поставку практически любого дистрибутива (см. "man named") и уже содержит все необходимое, в том числе и адреса корневых DNS-серверов, прописанные в конфигурационных файлов. Все, что нужно - это указать инсталлятору, что мы хотим установить DNS.

Для большей надежности рекомендуется задействовать цифровую подпись, установив параметр auth-nxdomain (как правило, находящийся в /etc/bind/named.conf.options файле) в значение "yes".

Использование цифровой подписи

Рисунок 6. Использование цифровой подписи предотвращает посылку подложных DNS-ответов хакером.

5. Запуск подозрительных программ под root'ом

Считается, что вирусов под Linux/BSD не существует. Это неверно. Вирусы есть и там, просто они не получили большого распространения в силу низкой распространенности самого Linux/BSD, а также того факта, что нормальные люди сидят не под root'ом, а под простым пользователем, не имеющем права модификации уже установленных исполняемых файлов. Тем не менее, если запустить вируса под root'ом, он сможет такого натворить, что потом не разгребешь за всю оставшуюся жизнь.

Причем, это относится не только к запуску, но и... к компиляции! А точнее - к сборке исходных текстов утилитой make, обрабатывающей файл makefile, который может включать в себя команды операционной системы, дающие хакеру неограниченную власть над машиной.

Если программа получена из ненадежных источников, то необходимо либо выполнить аудит исходных текстов, либо запускать ее от имени специального пользователя, не имеющего доступа ни к каким файлам, кроме тех, которые явно необходимы для работы программы. В отличие от Windows, операционные системы семейства UNIX действительно являются многопользовательскими, так что грех не использовать эту возможность.

Кстати говоря, набирая "make install", не забудьте перекреститься. Далеко не все пакеты устанавливаются "гладко" и многие из них потом приходится "выковыривать" из системы зачастую путем полной переустановки или капитальных работ по восстановлению. Программы, запущенные от имени простого пользователя, могут разрушить только конфигурацию этого самого пользователя, что не является проблемой, поскольку для установки программ всегда можно создать специального пользователя с конфигурацией по умолчанию и только убедившись, что программа работает правильно, устанавливать ее от своего имени.

Однако если программа тянет за собой загружаемые модули ядра или нуждается в изменении системных конфигурационных файлов, ей приходится предоставлять права root'а, идя на сознательный риск. Или же... отправить такую программу в /dev/nul, где ей и место.

Команды операционной системы

Рисунок 7. Команды операционной системы в makefile-файле.

6. Использование Горящего Лиса

Лис считался надежным браузером лишь до тех пор, пока на него никто не обращал внимания, но теперь... по количеству обнаруженных дыр он вплотную приближается к печально известному IE и хотя массовых атак на Лиса пока не отмечено, это не значит, что можно и дальше бродить по сети. Беспечная жизнь закончилась. Лис уже отхватил солидную долю рынка, что делает его весьма соблазнительной мишенью в хакерских глазах.

Даже оперативная установка самых свежих заплаток не гарантирует безопасности! К счастью, помимо Лиса есть и другие браузеры - например, Conquer, интегрированный в KDE, а также текстовый браузер Lynx (входящий в большинство дистрибутивов по умолчанию), которым очень любит пользоваться мыщъх.

Lynx

Рисунок 8. Lynx - надежный, быстрый, безопасный текстовый браузер.

7. Использование готового ядра без перекомпиляции

Большинство exploit'ов, эксплуатирующих дыры в ядре Linux/BSD, содержат в себе жесткого прошитые (hardcoded) адреса машинных команд, меняющиеся от версии к версии и, естественно, при перекомпиляции.

Ядро из коробки довольно предсказуемо и атакующий может без труда установить, какой именно байт передаваемых данных затирает адрес возврата и чем его необходимо заменить, чтобы передать управление на shell-код. В большинстве случаев его заменяют на адрес машинной инструкции jmp esp, а если выполнение в стеке запрещено, то выделяют блок памяти посредством вызова malloc с последующей установкой атрибутов исполнения через функцию mprotect и копирования shell-кода на новое место обитания функцией memcpy. Естественно, адреса всех этих функций атакующий должен знать заранее, иначе у него ничего не получится. Уязвимая программа выбросит исключение, которое будет отловлено ядром и если программист не предусмотрел специальной обработки критических ситуаций, программа завершится в аварийном режиме. То есть, дальше банального DoS'а хакер не продвинется.

Атаковать систему с перекомпилированным ядром и всеми стандартными библиотеками практически нереально и это по плечу только настоящим профессионалам, а не подросткам, научившимся скачивать exploit'ы из сети.

8. Неудаленный map-файл

Файл System.map (обычно расположенный в каталоге /boot) включает в себя символьную информацию о глобальных переменных и функциях, экспортируемых ядром, и широко используется rootkit'ами, прячущих от глаз администратора враждебные файлы, процессы и сетевые соединения. И хотя некоторые (между прочим, достаточно многие) rootkit'ы могут находить необходимые им функции и без System.map'a, его удаление существенно уменьшает вероятность атаки.

В "мирных целях" System.map нужен разве что отладчикам, да некоторым низкоуровневым программам. На всякий случай, чтобы потом не перекомпилировать ядро (а system.map создается именно при перекомпиляции ядра), скопируйте его в надежное место (например, на внешний носитель) или просто переименуйте во что-то менее напряженное.

Фрагмент файла System.map

Рисунок 9. Фрагмент файла System.map.

9. Отсутствующие директории в lib

Порядок поиска динамических библиотек задается системной переменной LD_LIBRARY_PATH, значение которой берется из конфигурационного файла /etc/ld.so.config, перечисляющего директории с динамическими библиотеками. В правильно установленной системе право создания новых файлов в этих директориях имеет только root, что логично. Поскольку в противном случае любой желающий смог бы добавить свою зловредную библиотеку в вышестоящую директорию так, чтобы она загружалась вместо оригинала (кстати, проверьте свою систему, вдруг она ведет себя не так?!).

Некоторые инсталляторы (например, установщик KNOPPIX'а) прописывают в файле /etc/ld.so.config пути к несуществующим директориям. Казалось бы, ну что тут такого? Мелочь... На самом деле, это огромная дыра в безопасности, поскольку для создания директорий иметь права root'а совершенно необязательно и в них можно размещать библиотеки-спутники, работающие по принципу вирусов-спутников, известных еще со времен MS-DOS. Откройте файл /etc/ld.so.config и удалите из него все несуществующие пути, если таковые там присутствуют.

10. Игнорирование битов NX/XD

Долгое время x86-процессоры поддерживали только два атрибута защиты на уровне страниц - атрибут доступности и атрибут записи. Атрибут исполнения кода поддерживался только на уровне селекторов и практически все UNIX-подобные системы размещали стек, код, данные и кучу в едином адресном пространстве, доступном для исполнения.

Несмотря на то, что функция mprotect поддерживает четыре атрибута защиты: PROT_NONE, PROT_READ, PROT_WRITE и PROT_EXEC, на аппаратном уровне атрибут PROT_EXEC является синонимом атрибута PROT_READ, то есть если страницу можно прочитать, с тем же успехом ее можно исполнять. Этой дырой воспользовались хакеры, размещая исполняемый код в стеке и хотя было предложено множество защитных комплексов, размещающих стек в неисполняемой области памяти, все они были глючными и ненадежными.

Настоящая революция наступила только с появлением новых атрибутов защиты в каталогах страниц называемых NX (Not eXecutable) и XD (eXecutable Disabled) в процессорах Intel и AMD, соответственно. Последние версии Linux/BSD поддерживают эти биты в том или ином виде, спрашивая пользователя при установке, нужен ли ему неисполняемый стек или нет? Однако поскольку ряд честных программ (и прежде всего runtime-компиляторов, транслирующих код "на лету" прямо в память) нуждаются в исполняемом стеке, по умолчанию защита выключена во всех системах, кроме OpenBSD.

И хотя неисполняемые биты отнюдь не панацея (хакеры уже давно научились обходить их), они тем не менее чрезвычайно затрудняют атаку, а в сочетании с перекомпилированным ядром и стандартными библиотеками, делают ее практически невозможной, так что смысл в этой защите все-таки есть и лучше держать ее на взводе.

https://nebka.ru/?uid=1&post=20964