Мэдээжийн хэрэг, бид үүнийг хэлж чадна Линуксилүү аюулгүй(хамгаалагдсан) Windows-ээс илүү. Аюулгүй байдалВ Линукссуулгасан бөгөөд Windows-д хэрэгждэг шиг хажуу тийшээ хаа нэгтээ шургаагүй. Аюулгүй байдалсистемүүд Линуксцөмөөс ширээний компьютер хүртэлх хэсгийг хамардаг боловч хакерууд таны гэрийн лавлахыг (/home) гэмтээж болзошгүй.

Таны байт зураг, гэрийн видео, баримт бичиг, зээлийн карт эсвэл хэтэвчний өгөгдөл нь компьютерт агуулагдах хамгийн үнэ цэнэтэй мэдээлэл юм. Мэдээжийн хэрэг, Линукс нь Windows-д зориулсан бүх төрлийн интернетийн хорхой, вируст өртөмтгий биш юм. Гэхдээ халдагчид таны гэрийн лавлах дээрх таны өгөгдөлд хандах арга замыг олж мэднэ.

Хуучин компьютерээ бэлдсэн эсвэл HDDзарахаасаа өмнө форматлах нь хангалттай гэж бодож байна уу? Мэдээлэл сэргээх орчин үеийн олон хэрэгслүүд байдаг. Хакер таны өгөгдлийг хялбархан сэргээх боломжтой хатуу диск, таны ажиллаж байсан үйлдлийн системээс үл хамааран.

Энэ сэдвээр би нэг компанийн хуучин компьютер, дискийг дахин худалдаж авсан туршлагыг санаж байна. Үйл ажиллагааныхаа явцад тэд компьютерийнхээ өмнөх эзэмшигчдийн 90% нь компьютерээ зарахаас өмнө хадгалах хэрэгслийг цэвэрлэх талаар зохих ёсоор анхаараагүй гэсэн дүгнэлт гаргасан. Мөн тэд маш эмзэг байт өгөгдлийг гаргаж авсан. Таны хатуу дискний хогийн саванд онлайн банк эсвэл онлайн түрийвч рүү нэвтрэх мэдээлэл байна гэж төсөөлөхөд ч аймшигтай.

Линуксийн аюулгүй байдлын үндсийг ашиглаж эхлээрэй

Бараг бүх зүйлд тохирох үндсэн () руу алхъя
Линукс түгээлтүүд.

Линуксийн бүрэн аюулгүй байдлыг хангахын тулд Линукс дээрх файлын системийг шифрлэцгээе

Хэрэв та хэн ч таны гэрийн лавлах (/home) эсвэл тодорхой байт хэмжээг уншихыг хүсэхгүй л бол тусгай нууц үг нь асуудлыг шийдэхгүй. Та үүнийг хамгийн өндөр root эрхтэй хэрэглэгч хүртэл хамраа нугалж чадахгүй байхаар хийж болно.

Эмзэг файлуудыг устгаснаар өөр хэн ч сэргээх боломжгүй болно

Хэрэв та компьютер эсвэл хадгалах хэрэгслийг зарах эсвэл бусдад өгөхөөр шийдсэн бол үүнийг форматлах нь таны файлуудыг бүрмөсөн устгах болно гэж бүү бодоорой. Та Линукс дээрээ файлуудыг аюулгүй устгах srm хэрэгслийг агуулсан аюулгүй устгах хэрэгслийг суулгаж болно.

Мөн Линукс цөм дэх галт ханын талаар бүү мартаарай. Бүгдэд нь багтсан Линукс түгээлтүүдүндсэн хэсэг болох lptables багтана. Lptables нь сүлжээний пакетуудыг шүүх боломжийг олгодог. Мэдээжийн хэрэг та энэ хэрэгслийг терминал дээр тохируулж болно. Гэхдээ энэ арга олон хүний, тэр дундаа миний чадвараас давсан арга юм. Тиймээс би үүнийг тоглоом тоглож байгаа юм шиг хялбархан суулгаж, тохируулдаг.

Бүх үйлдлийн системүүдийн нэгэн адил Линукс нь янз бүрийн програмуудыг ажиллуулахдаа бүх төрлийн хог хаягдал хуримтлагдах хандлагатай байдаг. Хөтөч, текст засварлагч, тэр ч байтугай видео тоглуулагч зэрэг янз бүрийн програмууд цөмийн түвшинд ажилладаггүй бөгөөд түр зуурын файлуудыг хуримтлуулдаг тул энэ нь Линуксийн буруу биш юм. Та бүх нийтийн хог зайлуулах зориулалттай BleachBit хэрэгслийг суулгаж болно.

Нэргүй серфинг хийх, өөрийн IP хаягийг нуух нь Линукс дээр таны хувийн мэдээллийг хамгаалахад маш чухал юм

Эцэст нь хэлэхэд, би танд нэргүй вэб серфинг хийх талаар хэлэхийг хүсч байна. Заримдаа би эхнэрээсээ нууцаар эротик контент бүхий сайтуудаар зочилдог шиг ийм хэрэг гардаг. Мэдээж би тоглож байсан.

Халдагчид таны байршлыг тодорхойлж чадахгүй бол тантай холбогдоход хэцүү байх болно. Бид privoxy болон tor нэртэй хамт ажилладаг хоёр хэрэгслийн энгийн тохиргоогоор замаа хамардаг.

Миний бодлоор эдгээр бүх дүрмийг дагаж мөрдөж, тохируулах нь таныг болон таны компьютерийг 90% аюулгүй байлгах болно.

P.S. Би dropbox хэмээх үүл ашиглаж байна. Би хуучин болон шинэ, хараахан хэвлэгдээгүй нийтлэлүүдээ хадгалдаг. Энэ нь дэлхийн хаанаас ч, ямар ч компьютерээс өөрийн файлд хандахад тохиромжтой. Вэбсайтад зориулж нийтлэл бичих үед текст засварлагч, би өөрийгөө хадгалдаг текст баримт бичигнууц үгтэй бөгөөд зөвхөн үүний дараа би үүнийг dropbox серверт байршуулдаг. Та нэмэлт хамгаалалтыг хэзээ ч үл тоомсорлож болохгүй, энэ нь зөвхөн таны гарт тоглох болно.

Сайн байцгаана уу... Ubuntu-ийн бүх шинэхэн администраторууд сүлжээний интерфэйсүүдийг (сүлжээ, сүлжээний картууд) тохируулах үүрэгтэй. Энэ нийтлэлд би үүнийг хэрхэн хийхийг харуулах болно... Энэ нь маш энгийн байдлаар хийгдсэн ...

Хэрэв та ямар нэгэн байдлаар сүлжээгээ тохируулахаа орхисон эсвэл түгээлтийг суулгахад бэрхшээлтэй байсан бол одоо бид үүнийг гараар хийх болно. Тиймээс бид түгээлтийг суулгасан бөгөөд биднийг дайралтанд хүлээж байна ... Бид 2 сүлжээний картыг тохируулах хэрэгтэй ..... Бидний нэг нь үйлчилгээ үзүүлэгчтэй, нөгөө нь нүүр тулдаг. дотоод сүлжээ. Нэн даруй зөвшөөрч, интерфэйс болон хаягаа тодорхойлъё.

eth0— 192.168.0.1 (энэ нь үйлчилгээ үзүүлэгчийн гаргасан хаяг гэж бодъё) Интернэт рүү хардаг интерфейс (үзүүлэгч)
eth1— 10.0.0.1 (бидний энэ интерфейс рүү өгөхийг хүссэн хаяг) Дотоод сүлжээнд тулгарч буй интерфейс

Юуны өмнө бид аль интерфэйсүүдийг командаар эхлүүлсэн болохыг шалгацгаая ifconfigТа үүнтэй төстэй зүйлийг харах болно (ххххх биш зөвхөн таны датагаар)

Eth0 Link encap:Ethernet HWaddr хх:хх:хх:хх:хх:хх inet хаяг:xxx.xxx.xxx.xxx Bcast:xxx.xxx.xxxx.xxx Маск:255.255.255.252 inet6 addr: xxx:x :xxx:xxxx/64 Хамрах хүрээ:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Метрик:1 RX пакет:31694097 алдаа:0 уналт:0 хэтрүүлсэн: 0 фрейм:0 TX багц:15166512 алдаа:0 хэтэрсэн:0ri 0 мөргөлдөөн: 0 txqueuelen: 100 RX байт: 2215593127 (2.2 ГБ) TX байт: 1577680249 (1.5 ГБ) Санах ой: b8820000-b8840000 eth1 Холбоосын хавтас: Ethernet Hxxx: 0.x inc: Ethernet HWadrx: 0.x: 1.x нэмэх. 0.1 Bcast:10.0.0.255 Mask:255.255.255.0 inet6 xxxx: xxxx::xxxx:xxxf:xxx:xxx/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:11352041 errors:0 dropped:0 overruns :0 хүрээ: 0 TX пакетууд: 21539638 алдаа: 0 уналт: 0 хэтэрсэн: 0 зөөгч: 0 зөрчил: 0 txqueuelen: 100 RX байт: 1262641422 (1.2 ГБ) TX байт: 1922838889 (1:9 GB) lo8000y Link-080y encap:Local loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Хамрах хүрээ:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX пакет:3823 алдаа:0 уналт:0 фрэйм: overrun 0 TX пакетууд: 3823 алдаа: 0 уналт: 0 хэтэрсэн: 0 зөөгч: 0 мөргөлдөөн: 0 txqueuelen: 0 RX байт: 717663 (717.6 KB) TX байт: 717663 (717.6 KB)

Хэрэв интерфэйсүүдийн аль нэг нь харагдахгүй байвал зүгээр. Зүгээр л идэвхгүй болсон, командаар асаацгаая sudo ifconfig eth1 дээш(eth1-ийн оронд интерфэйсээ бичнэ үү, хэрэв танд 2 сүлжээний карт байгаа бол зөвхөн 2 интерфейс байна: eth0 болон eth1) Тиймээс бид интерфэйсээ идэвхжүүлнэ:

sudo ifconfig eth1 дээш

Ингээд тохируулж эхэлцгээе.

Дараах тушаалаар үйлчилгээ үзүүлэгчээс гаргасан IP хаягийг eth0 интерфэйсэд оноож үзье.

sudo ifconfig eth1 inet 192.168.0.2

Мөн сүлжээний маскыг зааж өгнө үү:

sudo ifconfig eth0 сүлжээний маск 255.255.255.0

Серверийг дахин ачаалсны дараа ийм байдлаар хийсэн тохиргоог дахин тохируулна.
Үүнээс урьдчилан сэргийлэхийн тулд та тохиргоог өөрчлөх хэрэгтэй тохиргооны файлсүлжээний интерфейсүүд. Үүний тулд танд Root эрх хэрэгтэй. Эрхийг нь авцгаая Үндэсдараах тушаалаар:

sudo su

Сүлжээний интерфейсийн тохиргооны файл нь дараах хаягаар байрлана /etc/network/interfacesҮүнийг засахын тулд бид Nano засварлагчийг ашигладаг (та өөрийн редакторыг ашиглаж болно) Надад таалагдаж байна Нано

нано /гэх мэт/сүлжээ/интерфэйсүүд

Бид дараахь зүйлийг харж байна.

# Энэ файл нь таны системд байгаа сүлжээний интерфэйсүүдийг тодорхойлдог # мөн тэдгээрийг хэрхэн идэвхжүүлэх талаар. Дэлгэрэнгүй мэдээллийг интерфэйс(5)-аас үзнэ үү. # Сүлжээний холболтын интерфейс авто хар iface lo inet loopback # Сүлжээний үндсэн интерфейс//Үндсэн сүлжээний интерфейс автомат eth0//Сүлжээний интерфэйсэд дараах шинж чанаруудыг оноож байна iface eth0 inet статик//Сүлжээний интерфейсийг автоматаар идэвхжүүлнэ хаяг 192.168.0.2// манай сүлжээний картын IP хаяг (үйлчилгээ үзүүлэгчээс гаргасан) сүлжээний маск 255.255.255.0//Манай IP байрладаг сүлжээний маск сүлжээ 192.168.0.0//Бүх хүрээний сүлжээ нэвтрүүлэг 192.168.0.255//Макс. хаягийн тоо гарц 192.168.0.1//Гарц Хэрэв суулгасан бол # dns-* сонголтуудыг resolvconf багц хэрэгжүүлдэг

Үүнийг дараах хэлбэрт оруулах шаардлагатай байна

# Энэ файл нь таны системд байгаа сүлжээний интерфэйсүүд болон тэдгээрийг хэрхэн идэвхжүүлэх талаар тайлбарласан болно. Дэлгэрэнгүй мэдээллийг интерфэйс(5)-аас үзнэ үү. # Сүлжээний сүлжээний интерфэйс auto lo iface lo inet loopback # Сүлжээний үндсэн интерфэйс auto eth0 iface eth0 inet статик хаяг 192.168.0.2 сүлжээний маск 255.255.255.0 сүлжээ 192.168.0.0 гарц 192.168.0.0 багц сонголтуудыг дахин хэрэгжүүлсэн. dns-nameservers суулгасан бол 192.168.22.22 192.168.33.33 #Дотоодын сүлжээнд харагдах интерфэйс авто eth1 iface eth1 inet статик хаяг 10.0.0.1 сүлжээний маск 255.255.255.0

Өөрчлөлтүүдийг дарж хадгална уу Ctrl товчлуурууд+ O ба Ctrl + X дарж гарна уу

DNS серверийн хаягийг /etc/network/interfaces файлд тохируулж болох боловч Ubuntu дахь DNS серверийн хаягийг /etc/resolv.conf файлаар удирддаг; миний хувьд дараах байдалтай байна.

нэрийн сервер xx.xx.xx.xx нэрийн сервер xx.xx.xx.xx

DNS тохиргоог хийцгээе, үүнийг хийхийн тулд мөрөнд дараах тушаалыг оруулна уу.

Sudo nano /etc/resolv.conf # Таны үйлчилгээ үзүүлэгчийн DNS серверийн нэрийн серверийн IP хаягууд хх.ххх.ххх.ххх нэрийн сервер ххх.ххх.хх.ххх

Хадгалцгаая Ctrl+Oтэгээд бид гадагш гарна Ctrl + xта мөн дараах тушаалаар сүлжээг дахин ачаалах хэрэгтэй.

Мэс заслын өрөө гэдгийг бид бүгд мэднэ Линукс системих Windows-ээс илүү аюулгүйархитектур, хэрэглэгчдийн хооронд хандалтыг түгээх тусгай системийн ачаар. Гэхдээ програмистууд ч гэсэн хүмүүс байдаг, бид хичнээн дуртай байсан ч алдаа гаргадаг. Мөн эдгээр алдааны улмаас халдагчид хамгаалалтын системийг тойрч гарах нүхнүүд системд гарч ирдэг.

Эдгээр алдааг эмзэг байдал гэж нэрлэдэг бөгөөд эдгээрт тохиолдож болно янз бүрийн хөтөлбөрүүдтэр ч байтугай системийн гол цөмд хүртэл аюулгүй байдлыг нь алдагдуулдаг. Ард нь өнгөрсөн жилЛинуксийн нэр хүнд өсч эхэлсэн бөгөөд аюулгүй байдлын судлаачид энэ системд илүү их анхаарал хандуулж байна. Илүү олон эмзэг байдлыг илрүүлж байгаа бөгөөд нээлттэй эх кодын ачаар тэдгээрийг маш хурдан арилгах боломжтой. Энэ нийтлэлд бид сүүлийн хэдэн жилийн турш илрүүлсэн Линуксийн хамгийн аюултай сул талуудыг авч үзэх болно.

Эмзэг байдлын жагсаалт руу шилжихээсээ өмнө тэдгээр нь юу болох, юу болохыг ойлгох нь чухал юм. Миний хэлсэнчлэн эмзэг байдал гэдэг нь тухайн программыг хөгжүүлэгчийн зориулаагүй байдлаар ашиглах боломжийг хэрэглэгчдэд олгодог програмын алдаа юм.

Энэ нь хүлээн авсан өгөгдлийн үнэн зөв эсэхийг шалгах, мэдээллийн эх сурвалжийг шалгах, хамгийн сонирхолтой нь өгөгдлийн хэмжээг шалгах дутагдалтай байж магадгүй юм. Хамгийн аюултай сул талууд нь дур зоргоороо кодыг гүйцэтгэх боломжийг олгодог. IN санамсаргүй хандалт санах ойбүх өгөгдөл нь тодорхой хэмжээтэй байдаг бөгөөд програм нь тодорхой хэмжээний хэрэглэгчийн өгөгдлийг санах ойд бичих зориулалттай. Хэрэв хэрэглэгч илүү их мэдээлэл дамжуулвал алдаа гаргах ёстой.

Харин программист алдаа гаргавал өгөгдөл нь програмын кодыг дарж бичих ба процессор нь түүнийг ажиллуулахыг оролдох бөгөөд ингэснээр буфер халих эмзэг байдлыг бий болгоно.

Түүнчлэн, бүх эмзэг байдлыг дотоодод хувааж болох бөгөөд энэ нь зөвхөн хакерт хандах боломжтой тохиолдолд л ажилладаг орон нутгийн компьютерИнтернэтээр нэвтрэх хангалттай үед алсаас. Одоо эмзэг байдлын жагсаалт руу шилжье.

1.Халтар үхэр

Манай жагсаалтын эхнийх нь энэ намар илэрсэн шинэ эмзэг байдал байх болно. Dirty COW гэдэг нэр нь Copy on Write гэсэн үг юм. Бичих-хуулбарлах явцад файлын системд алдаа гардаг. Энэ нь ямар ч эрхгүй хэрэглэгч системд бүрэн нэвтрэх боломжийг олгодог орон нутгийн эмзэг байдал юм.

Товчхондоо, эмзэг байдлыг ашиглахын тулд танд хоёр файл хэрэгтэй бөгөөд нэгийг нь зөвхөн супер хэрэглэгчийн нэрийн өмнөөс бичих боломжтой, хоёр дахь нь бидний хувьд. Бид файлдаа өгөгдлийг олон удаа бичиж, супер хэрэглэгчийн файлаас уншиж эхэлдэг тодорхой хугацааХоёр файлын буфер холилдож, хэрэглэгч өөрөө бичиж чадахгүй байгаа файл руу өгөгдөл бичих боломжтой болж, улмаар систем дэх үндсэн эрхийг өөртөө өгөх цаг ирнэ.

Энэ эмзэг байдал нь цөмд 10 орчим жил байсан боловч илрүүлсний дараа үүнийг хурдан зассан боловч цөм нь шинэчлэгдээгүй, огт боддоггүй олон сая Andoid төхөөрөмж байсаар байгаа бөгөөд энэ эмзэг байдлыг хаана ашиглаж болох юм. Эмзэг байдлын код нь CVE-2016-5195 байсан.

2. Glibc-ийн эмзэг байдал

Эмзэг байдлын код нь CVE-2015-7547 байсан. Энэ бол нээлттэй эхийн төслүүдийн дунд хамгийн их яригддаг эмзэг байдлын нэг юм. 2016 оны 2-р сард Glibc номын сан нь халдагчид алсын систем дээр өөрийн кодыг ажиллуулах боломжийг олгодог маш ноцтой сул талтай болохыг олж мэдсэн.

Glibc нь ихэнхэд хэрэглэгддэг стандарт C ба C++ номын сангийн хэрэгжилт гэдгийг анхаарах нь чухал Линукс програмууд PHP, Python, Perl зэрэг үйлчилгээ, програмчлалын хэлийг багтаасан болно.

DNS серверийн хариуг задлан шинжлэх кодонд алдаа гарлаа. Иймээс DNS-д эмзэг машинуудаар хандсан хакерууд болон MITM халдлага хийж байгаа хүмүүс энэ эмзэг байдлыг ашиглаж болно. Гэхдээ эмзэг байдал нь системийг бүрэн хянах боломжийг олгосон

Энэ эмзэг байдал нь 2008 оноос хойш номын санд байсан боловч илрүүлсний дараа засварууд нэлээд хурдан гарсан.

3. Зүрхний цус алдалт

2014 онд цар хүрээ, үр дагаврын хувьд хамгийн ноцтой эмзэг байдлын нэг нь илэрсэн. Энэ нь OpenSSL програмын зүрхний үхсэн модулийн алдаанаас болж үүссэн тул Heartbleed гэж нэрлэсэн. Энэ эмзэг байдал нь халдагчдад 64 килобайт серверийн RAM-д шууд хандах боломжийг олгосон бөгөөд бүх санах ойг унших хүртэл халдлага давтагдах боломжтой.

Хэдийгээр засвар маш хурдан гарсан ч олон сайт, програмууд нөлөөлсөн. Үнэн хэрэгтээ, траффикийг хамгаалахын тулд HTTPS ашигладаг бүх сайтууд эмзэг байсан. Халдагчид хэрэглэгчийн нууц үг, тэдний хувийн мэдээлэл болон халдлагын үед санах ойд байсан бүх зүйлийг олж авах боломжтой. Эмзэг байдлын код нь CVE-2014-0160 байсан.

4. Тайзны айдас

Хэрэв эмзэг байдал нь код нэр авсан бол энэ нь анхаарал хандуулах ёстой гэсэн үг юм. Stagerfight-ийн эмзэг байдал нь үл хамаарах зүйл биш юм. Үнэн, энэ нь Линуксийн асуудал биш юм. Stagefright бол Android дээр мультимедиа форматыг боловсруулах номын сан юм.

Энэ нь C++ хэл дээр хэрэгжсэн бөгөөд энэ нь Java-ийн аюулгүй байдлын бүх механизмыг давж гардаг гэсэн үг юм. 2015 онд систем дээр дурын кодыг алсаас ажиллуулах боломжтой болсон бүхэл бүтэн бүлэг эмзэг байдлыг илрүүлсэн. Үүнд: CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828 болон CVE-2015-3829.

Халдагчид тусгайлан өөрчилсөн медиа файл бүхий эмзэг ухаалаг гар утас руу MMS илгээхэд л хангалттай байсан бөгөөд тэрээр санах ойн картнаас өгөгдөл бичих, унших чадвартай төхөөрөмжөө бүрэн хянах болно. Эмзэг байдлыг Android хөгжүүлэгчид зассан боловч сая сая төхөөрөмжүүд эмзэг хэвээр байна.

5. Цөмийн тэг өдрийн эмзэг байдал

Энэ нь эрх мэдлийг нэмэгдүүлэх боломжийг олгодог орон нутгийн эмзэг байдал юм. одоогийн хэрэглэгчсанах ойд хадгалагдсан цөмийн криптограф өгөгдөлтэй ажиллах системд алдаа гарсны улмаас root. Энэ нь 2016 оны 2-р сард нээгдсэн бөгөөд 3.8-аас эхлэн бүх цөмийг хамарсан бөгөөд энэ нь эмзэг байдал 4 жилийн турш байсан гэсэн үг юм.

Алдааг хакерууд эсвэл хорлонтой хүмүүс ашиглаж болно програм хангамжсистем дэх эрх мэдлээ нэмэгдүүлэх, гэхдээ маш хурдан засч залруулсан.

6. MySQL-ийн эмзэг байдал

Энэ эмзэг байдал нь CVE-2016-6662 кодыг хүлээн авсан бөгөөд бүгд нөлөөлсөн боломжтой хувилбаруудмэдээллийн сангийн серверүүд MySQL өгөгдөл(5.7.15, 5.6.33 ба 5.5.52), Oracle мэдээллийн сан болон MariaDB болон PerconaDB клонууд.

Халдагчид системд бүрэн нэвтрэх боломжтой SQL асуулгакодыг дамжуулсан бөгөөд энэ нь танд my.conf-г өөрийн хувилбараар сольж серверийг дахин ачаалах боломжийг олгосон. Мөн супер хэрэглэгчийн эрхээр хортой кодыг ажиллуулах боломжтой байсан.

MariaDB болон PerconaDB шийдлүүд засваруудыг маш хурдан гаргасан гэж Oracle хариу өгсөн боловч нэлээд хожуу.

7. Shellshock

Энэхүү эмзэг байдлыг 2014 онд нээсэн бөгөөд 22 жил үргэлжилсэн. Энэ нь CVE-2014-6271 гэж оноосон бөгөөд Shellshock код нэртэй. Энэ эмзэг байдал нь бидний аль хэдийн мэддэг Heartbleed-тэй адил аюултай юм. Энэ нь ихэнх Linux түгээлтийн өгөгдмөл тушаалын орчуулагч болох Bash командын орчуулагчийн алдаанаас үүдэлтэй.

Bash нь танд мэдэгдэх боломжийг олгодог орчны хувьсагчхэрэглэгчийн баталгаажуулалтгүйгээр, гэхдээ хамтдаа та тэдгээрт дурын командыг гүйцэтгэж болно. Энэ нь ихэнх сайтуудын дэмждэг CGI скриптүүдэд онцгой аюултай. Зөвхөн серверүүд ч эмзэг байдаг хувийн компьютеруудхэрэглэгчид, чиглүүлэгчид болон бусад төхөөрөмжүүд. Үнэн хэрэгтээ халдагч ямар ч тушаалыг алсаас гүйцэтгэх боломжтой бөгөөд энэ нь баталгаажуулалтгүйгээр бүрэн алсын удирдлага юм.

Bash-ийн бүх хувилбарууд, тэр дундаа 4.3-т нөлөөлсөн боловч алдааг олж мэдсэний дараа хөгжүүлэгчид засварыг хурдан гаргасан.

8. Квадрутер

Энэ бол 2016 оны 8-р сард илрүүлсэн Android үйлдлийн системийн бүхэл бүтэн цуврал эмзэг байдал. Тэд CVE-2016-5340, CVE-2016-2059, CVE-2016-2504, CVE-2016-2503 кодуудыг хүлээн авсан. 900 сая гаруй хүн алдааны улмаас хохирч байна Android төхөөрөмжүүд. Бүх эмзэг байдлыг Qualcomm ARM процессорын драйвераас олсон бөгөөд бүгдийг нь ашиглаж болно үндэс авахтөхөөрөмжид хандах.

DirtyCOW-ийн нэгэн адил танд ямар ч зөвшөөрөл хэрэггүй, зүгээр л хортой програм суулгаснаар таны бүх мэдээллийг авч, халдагч руу шилжүүлэх боломжтой болно.

9. OpenJDK дахь эмзэг байдал

Энэ нь CVE-2016-0636 кодтой OpenJDK Java машин дахь Linux 2016-ийн маш ноцтой эмзэг байдал бөгөөд Windows, Solaris, Linux болон Mac OS X-д зориулсан Oracle Java SE 7 Update 97, 8 Update 73, 74-ийг ажиллуулж байгаа бүх хэрэглэгчдэд нөлөөлдөг. эмзэг байдал нь Java-ийн эмзэг хувилбартай хөтөч дээр тусгай хуудас нээвэл халдагчид Java машинаас гадна дурын кодыг ажиллуулах боломжийг олгодог.

Энэ нь халдагчид таны нууц үг, хувийн мэдээлэлд хандах, мөн таны компьютер дээрх програмуудыг ажиллуулах боломжийг олгосон. Бүгдээрээ Java хувилбаруудАлдааг маш хурдан зассан бөгөөд энэ нь 2013 оноос хойш бий болсон.

10. HTTP/2 протоколын эмзэг байдал

Энэ бол 2016 онд HTTP/2 протоколоос илрүүлсэн бүхэл бүтэн цуврал эмзэг байдал юм. Тэд CVE-2015-8659, CVE-2016-0150, CVE-2016-1546, CVE-2016-2525, CVE-2016-1544 кодуудыг хүлээн авсан. Apache, Nginx Microsoft, Jetty болон nghttp2 дээрх энэ протоколын бүх хэрэгжилт эмзэг байсан.

Эдгээр нь бүгд халдагчид вэб серверийг удаашруулж, үйлчилгээг үгүйсгэх халдлага хийх боломжийг олгодог. Жишээлбэл, алдаануудын нэг нь сервер дээр гигабайтаар задлагдсан жижиг мессеж илгээх боломжийг бий болгосон. Алдааг маш хурдан зассан тул нийгэмд нэг их шуугиан тарьсангүй.

Та аюулгүй юу?

Энэ нийтлэлд бид 2016, 2015, 2014 оны хамгийн аюултай Линуксийн сул талуудыг авч үзсэн. Тэдний ихэнх нь цаг тухайд нь засч залруулахгүй бол системд ноцтой хохирол учруулж болзошгүй юм. Нээлттэй эх кодын ачаар Линуксийн ийм эмзэг байдлыг үр дүнтэй илрүүлж, хурдан засдаг. Зүгээр л системээ шинэчлэхээ мартуузай. Асуудал нь зөвхөн Android-д хэвээр байна. Зарим төхөөрөмж шинэчлэлт хүлээн авахаа больсон бөгөөд энэ асуудлыг шийдэх ямар ч шийдэл алга.

Линукс үйлдлийн системтэй серверүүд нь хамгийн найдвартай, гадны халдлагаас хамгаалагдсан байдаг гэсэн буруу ойлголт байдаг. Харамсалтай нь энэ нь тийм биш бөгөөд аливаа серверийн аюулгүй байдал нь түүнийг хангах хэд хэдэн хүчин зүйл, арга хэмжээнээс хамаардаг бөгөөд ашигласан үйлдлийн системээс бараг хамааралгүй байдаг.

Энэ платформ дээрх шийдлүүд манай уншигчдын сонирхлыг их татаж байгаа бөгөөд Линуксийн шийдлүүд өөрөө аюулгүй гэдэгт олон хүн итгэдэг тул бид Ubuntu Server-ийн сүлжээний аюулгүй байдлын тухай цуврал нийтлэлийг эхлүүлэхээр шийдсэн.

Үүний зэрэгцээ тусгай IP хаягтай чиглүүлэгч нь дотоод сүлжээнд нэвтрэх "хаалга" бөгөөд энэ хаалга нь найдвартай хаалт байх уу, эсвэл хаагдсан улсын хаалга болох уу гэдэг нь зөвхөн администратороос хамаарна. хадаас.

Өөр нэг нийтлэг буруу ойлголт бол "хэнд хэрэгтэй вэ, манай сервер, бидэнд сонирхолтой зүйл байхгүй" гэсэн хэв маягаар тайлбарлах явдал юм. Үнэхээр таны дотоод сүлжээ халдагчид ямар ч сонирхолгүй байж болох ч тэд хакердсан серверийг ашиглан спам илгээх, бусад серверүүд рүү халдлага хийх, нэргүй прокси, товчоор хэлбэл, тэдний сүүдэртэй наймааны эхлэл болгон ашиглаж болно.

Энэ нь аль хэдийн тааламжгүй бөгөөд янз бүрийн асуудлын эх үүсвэр болж чаддаг: үйлчилгээ үзүүлэгчээс эхлээд хууль сахиулах байгууллагууд хүртэл. Мөн вирусын тархалт, хулгай, сүйрлийн тухай чухал мэдээлэлАж ахуйн нэгжийн зогсолт нь мэдэгдэхүйц алдагдалд хүргэдэг гэдгийг мартаж болохгүй.

Нийтлэл нь Ubuntu Server-д зориулагдсан хэдий ч бид эхлээд ямар ч платформд адилхан хамаарах аюулгүй байдлын ерөнхий асуудлуудыг авч үзэх бөгөөд үүнгүйгээр асуудлыг нарийвчлан хэлэлцэх нь утгагүй юм.

Аюулгүй байдал хаанаас эхэлдэг вэ?

Үгүй ээ, аюулгүй байдал нь галт ханаас эхэлдэггүй, галт хананаас огт эхэлдэггүй. техникийн хэрэгсэл, аюулгүй байдал нь хэрэглэгчээс эхэлдэг. Эцсийн эцэст, эзэн нь түлхүүрээ хивсний доор үлдээвэл хамгийн сайн мэргэжилтнүүдийн суурилуулсан хамгийн дажгүй төмөр хаалга ямар хэрэгтэй вэ?

Тиймээс хамгийн түрүүнд хийх ёстой зүйл бол аюулгүй байдлын аудит хийх явдал юм. Энэ үгнээс бүү ай, бүх зүйл тийм ч төвөгтэй биш: аюулгүй бүс, болзошгүй аюулын бүс, өндөр аюултай бүсийг тэмдэглэсэн сүлжээний бүдүүвч төлөвлөгөөг зурж, (байх ёстой) хэрэглэгчдийн жагсаалтыг гарга. нэвтрэх) эдгээр бүсэд.

Аюулгүй бүсэд оруулах ёстой дотоод нөөцгаднаас нэвтрэх боломжгүй, аюулгүй байдлын доод түвшнийг хүлээн зөвшөөрөх боломжтой сүлжээнүүд. Эдгээр нь ажлын станц, файлын сервер гэх мэт байж болно. аж ахуйн нэгжийн дотоод сүлжээнд хандах хандалт хязгаарлагдмал төхөөрөмжүүд.

Болзошгүй аюулын бүсэд гадаад сүлжээнд шууд нэвтрэх боломжгүй, гэхдээ бие даасан үйлчилгээ нь гаднаас хандах боломжтой серверүүд, төхөөрөмжүүд, тухайлбал, галт хананы ард байрладаг, гэхдээ гадаад сүлжээний хүсэлтэд үйлчилдэг вэб болон шуудангийн серверүүд орно.

Аюултай бүсэд гаднаас шууд нэвтрэх боломжтой төхөөрөмжүүд байх ёстой бөгөөд хамгийн тохиромжтой нь энэ нь нэг чиглүүлэгч байх ёстой.

Боломжтой бол аюултай байж болзошгүй бүсийг тусдаа дэд сүлжээнд байрлуулах хэрэгтэй - үндсэн сүлжээнээс нэмэлт галт ханаар тусгаарлагдсан цэрэггүй бүс (DMZ).

LAN төхөөрөмжүүд нь зөвхөн SMTP, POP3, HTTP гэх мэт шаардлагатай DMZ үйлчилгээнүүдэд хандах эрхтэй байх ёстой болон бусад холболтуудыг хаах ёстой. Энэ нь цэрэггүй бүс дэх тусдаа үйлчилгээний эмзэг байдлыг ашигласан халдагч эсвэл хортой програмыг найдвартай тусгаарлаж, үндсэн сүлжээнд нэвтрэхийг хориглох боломжийг танд олгоно.

Бие махбодийн хувьд DMZ-ийг тусдаа сервер / техник хангамжийн галт хана суурилуулах эсвэл нэмэлт төхөөрөмж нэмэх замаар зохион байгуулж болно. сүлжээний картчиглүүлэгч рүү оруулна, гэхдээ сүүлчийн тохиолдолд та чиглүүлэгчийн аюулгүй байдалд анхаарлаа хандуулах хэрэгтэй болно. Гэхдээ ямар ч тохиолдолд нэг серверийн аюулгүй байдлыг хангах нь хэсэг серверээс хамаагүй хялбар юм.

Дараагийн алхам бол хэрэглэгчдийн жагсаалтад дүн шинжилгээ хийх, тэд бүгд DMZ болон чиглүүлэгч рүү нэвтрэх шаардлагатай эсэх (төрийн үйлчилгээг эс тооцвол) гаднаас холбогдох хэрэглэгчдэд онцгой анхаарал хандуулах хэрэгтэй.

Ерөнхийдөө энэ нь нууц үгийн бодлогыг хэрэгжүүлэхэд тийм ч таатай бус алхамыг шаарддаг. Чухал үйлчилгээнд хандах эрхтэй, гаднаас холбогдох боломжтой хэрэглэгчдийн бүх нууц үг нь дор хаяж 6 тэмдэгт агуулсан байх ёстой. жижиг үсэгнүүд, гурван ангилалаас хоёр ангиллын тэмдэгтүүд: том үсэг, тоо, цагаан толгойн үсгийн бус тэмдэгт.

Нэмж дурдахад, нууц үг нь хэрэглэгчийн нэвтрэлт болон түүний хэсгийг агуулаагүй, хэрэглэгчтэй холбоотой байж болох огноо, нэрийг агуулаагүй, толь бичгийн үг байж болохгүй.

30-40 хоног тутамд нууц үг солих дадлага хийх нь зүйтэй. Ийм бодлого нь хэрэглэгчдэд татгалзах шалтгаан болох нь ойлгомжтой, гэхдээ та нууц үгэнд дуртай гэдгийг үргэлж санаж байх хэрэгтэй 123 эсвэл qwertyхивсний доор түлхүүр үлдээсэнтэй тэнцэнэ.

Серверийн аюулгүй байдал - нэмэлт зүйл байхгүй.

Одоо бид юунаас хамгаалах, юунаас хамгаалахыг хүсч байгаагаа ойлгоод сервер рүүгээ шилжье. Бүх үйлчилгээ, үйлчилгээний жагсаалтыг гаргаад дараа нь тэдгээр нь тухайн серверт хэрэгтэй эсэх, эсвэл өөр газар зөөж болох эсэх талаар бодож үзээрэй.

Үйлчилгээ цөөхөн байх тусам аюулгүй байдлыг хангахад хялбар байх ба тэдгээрийн аль нэгэнд нь чухал эмзэг байдлаас болж серверт халдах магадлал бага байх болно.

Дотоод сүлжээнд үйлчилдэг үйлчилгээнүүдийг (жишээлбэл, далайн амьтан) зөвхөн дотоод интерфейсээс хүсэлтийг хүлээн авахаар тохируулаарай. Гаднаас авах үйлчилгээ цөөхөн байх тусмаа сайн.

Эмзэг байдлын сканнер нь аюулгүй байдлыг хангахад сайн туслагч байх тул серверийн гадаад интерфейсийг скан хийхэд ашиглах ёстой. Бид хамгийн алдартай бүтээгдэхүүнүүдийн нэг болох XSpider 7.7-ийн демо хувилбарыг ашигласан.

Сканнер харуулж байна нээлттэй портууд, ажиллаж байгаа үйлчилгээний төрлийг тодорхойлох оролдлого, хэрэв амжилттай бол түүний сул талыг тодорхойлох. Таны харж байгаагаар зөв тохируулсан систем нь маш аюулгүй боловч түлхүүрийг хивсний доор орхиж болохгүй, нээлттэй портууд 1723 (VPN) ба 3389 (RDP, дамжуулсан) терминал сервер) нь таны нууц үгийн бодлогын талаар бодох сайн шалтгаан юм.

Бид мөн SSH аюулгүй байдлын талаар ярих ёстой; энэ үйлчилгээг администраторууд ихэвчлэн ашигладаг алсын удирдлагасервер бөгөөд халдагчдын сонирхлыг ихэсгэдэг. SSH тохиргоонууд нь файлд хадгалагддаг /etc/ssh/sshd_config, доор тайлбарласан бүх өөрчлөлтүүд үүнд хийгдсэн. Юуны өмнө та root хэрэглэгчийн зөвшөөрлийг идэвхгүй болгох хэрэгтэй бөгөөд үүнийг хийхийн тулд дараах сонголтыг нэмнэ үү.

PermitRootLogin дугаар

Одоо халдагчид зөвхөн нууц үг төдийгүй нэвтрэх эрхийг таах хэрэгтэй бөгөөд супер хэрэглэгчийн нууц үгийг мэдэхгүй хэвээр байх болно (энэ нь таны нууц үгтэй таарахгүй гэж найдаж байна). Гаднаас холбогдох үед захиргааны бүх ажлыг доороос нь хийх ёстой sudoдавуу эрхгүй хэрэглэгчээр нэвтрэх.

Зөвшөөрөгдсөн хэрэглэгчдийн жагсаалтыг тодорхой зааж өгөх нь зүйтэй бөгөөд та ийм оруулгуудыг ашиглаж болно хэрэглэгч @ хост, энэ нь заасан хэрэглэгчийг зөвхөн заасан хостоос холбох боломжийг олгодог. Жишээлбэл, ivanov хэрэглэгчийг гэрээсээ холбогдохыг зөвшөөрөхийн тулд (IP 1.2.3.4) та дараах оруулгыг нэмэх хэрэгтэй.

Хэрэглэгчийг зөвшөөрөх [имэйлээр хамгаалагдсан]

Мөн хуучирсан, хамгаалалт багатай SSH1 протоколын хэрэглээг идэвхгүй болгож, зөвхөн протоколын хоёр дахь хувилбарыг зөвшөөрч, үүнийг хийхийн тулд дараах мөрийг маягт болгон өөрчил.

Протокол 2

Авсан бүх арга хэмжээг үл харгалзан SSH болон бусад төрийн үйлчилгээнд холбогдох оролдлого байсаар байх болно; нууц үг таамаглахаас урьдчилан сэргийлэхийн тулд хэрэгслийг ашиглана уу. амжилтгүй2 хориглох, энэ нь хэд хэдэн амжилтгүй нэвтрэх оролдлогын дараа хэрэглэгчийг автоматаар хориглох боломжийг олгодог. Та үүнийг дараах тушаалаар суулгаж болно.

Sudo apt-get install fail2ban

Энэ хэрэгсэл нь суулгасны дараа шууд ажиллахад бэлэн байгаа хэдий ч бид танд зарим параметрүүдийг нэн даруй өөрчлөхийг зөвлөж байна; үүнийг хийхийн тулд файлд өөрчлөлт оруулна уу. /etc/fail2ban/jail.conf. Анхдагч байдлаар, зөвхөн SSH-д хандах хандалтыг хянадаг бөгөөд хориглох хугацаа нь 10 минут (600 секунд) бөгөөд бидний бодлоор дараах сонголтыг өөрчлөх замаар үүнийг нэмэгдүүлэх нь зүйтэй юм.

Bantime = 6000

Дараа нь файлыг гүйлгэж, холбогдох хэсгийн нэрний ард параметрийг тохируулж систем дээрээ ажиллаж байгаа үйлчилгээний хэсгүүдийг идэвхжүүлнэ үү. идэвхжүүлсэнмужид үнэн, жишээлбэл, үйлчилгээний хувьд proftpdэнэ нь иймэрхүү харагдах болно:

идэвхжүүлсэн = үнэн

Өөр чухал параметр макретри, энэ нь хамгийн их холболт хийх оролдлогыг хариуцдаг. Тохиргоог өөрчилсний дараа үйлчилгээг дахин эхлүүлэхээ бүү мартаарай:

Sudo /etc/init.d/fail2ban дахин эхлүүлэх

Та хэрэгслийн бүртгэлийг эндээс харж болно /var/log/fail2ban.log.

cvedetails.com сайтын мэдээлснээр 1999 оноос хойш Линуксийн цөмд 1305 сул тал илэрсэн бөгөөд үүнээс 68 нь 2015 онд илэрсэн байна. Тэдгээрийн ихэнх нь ямар нэгэн онцгой асуудал үүсгэдэггүй, Local болон Low гэж тэмдэглэгдсэн байдаг бөгөөд заримыг нь зөвхөн тодорхой программууд эсвэл үйлдлийн системийн тохиргоотой холбосон үед л дуудаж болно. Зарчмын хувьд тоонууд нь бага боловч цөм нь бүхэл бүтэн OS биш юм. Мөн эмзэг байдал нь GNU Coreutils, Binutils, glibs болон мэдээжийн хэрэг хэрэглэгчийн программуудаас олддог. Хамгийн сонирхолтойг нь авч үзье.

LINUX ЦӨМ ДАХЬ ЭМЗЭГ БАЙДАЛ

Үйлдлийн систем:Линукс
Түвшин:Дунд, бага
Вектор:Алсын удирдлага
CVE: CVE-2015-3331, CVE-2015-4001, CVE-2015-4002, CVE-2015-4003
Ашиглах:үзэл баримтлал, https://lkml.org/lkml/2015/5/13/740, https://lkml.org/lkml/2015/5/13/744

Ark/x86/crypto/aesni-intel_glue.c доторх __driver_rfc4106_decrypt функцээс 6-р сард 3.19.3-аас өмнө Линуксийн цөмд илэрсэн сул тал нь AES зааврын багц өргөтгөл AES-NI (зөвшөөрөгдсөн) дэмждэг x86 процессоруудад зориулсан RFC4106-г хэрэгжүүлсэнтэй холбоотой юм. Intel, Intel Advanced Encryption Standard Instructions) нь зарим тохиолдолд буфер хаягийг зөв тооцдоггүй. Хэрэв IPsec туннелийг энэ горимыг (AES алгоритм - CONFIG_CRYPTO_AES_NI_INTEL) ашиглахаар тохируулсан бол эмзэг байдал нь санах ойн эвдрэл, эвдрэл, CryptoAPI кодыг алсаас гүйцэтгэхэд хүргэж болзошгүй. Түүгээр ч барахгүй хамгийн сонирхолтой зүйл бол асуудал өөрөө, бүрэн хууль ёсны замын хөдөлгөөнд гадны оролцоогүйгээр үүсч болно. Нийтлэх үед асуудал шийдэгдсэн.

Туршилтын статустай Linux 4.0.5 ozwpan драйверт таван эмзэг байдал илэрсэн бөгөөд эдгээрийн дөрөв нь тусгайлан боловсруулсан пакетуудыг илгээж цөмийг эвдэж DoS халдлага зохион байгуулах боломжийг олгодог. Асуудал нь гарын үсэг зурсан бүхэл тоонуудын буруу харьцсаны улмаас буфер халихтай холбоотой бөгөөд memcpy-д шаардлагатай_size ба офсет хоёрын хоорондох тооцоолол сөрөг тоог гаргаж, үр дүнд нь өгөгдлийг овоолго руу хуулсан.

Drivers/staging/ozwpan/ozhcd.c доторх oz_hcd_get_desc_cnf функц болон drivers/staging/ozwpan/ozusbsvc1.c файлын oz_usb_rx болон oz_usb_handle_ep_data функцуудаас олдсон. Бусад эмзэг байдал нь 0-д хуваагдах, системийн давталт эсвэл хуваарилагдсан буферийн хязгаараас гадуурх хэсгээс унших чадвар зэрэгтэй холбоотой.

Linux-ийн шинэ нэмэлт болох ozwpan драйверийг Ozmo Devices технологид нийцсэн одоо байгаа утасгүй төхөөрөмжтэй хослуулах боломжтой. Wi-Fi Direct). Энэ нь USB хост хянагчийн хэрэгжилтийг хангадаг боловч заль мэх нь физик холболтын оронд захын төхөөрөмж нь Wi-Fi-аар холбогддог. Драйвер нь 0x892e төрлийн (ethertype) сүлжээний пакетуудыг хүлээн авч, тэдгээрийг задлан шинжилж, төрөл бүрийн USB функцэд хөрвүүлдэг. Одоогоор үүнийг ховор тохиолдолд ашиглаж байгаа тул ozwpan.ko модулийг буулгах замаар үүнийг идэвхгүй болгож болно.

LINUX UBUNTU

Үйлдлийн систем: Linux Ubuntu 04/12–04/15 (2015 оны 6-р сарын 15 хүртэл үндсэн)
Түвшин:Шүүмжтэй
Вектор:Орон нутгийн
CVE: CVE-2015-1328
Ашиглах: https://www.exploit-db.com/exploits/37292/

OverlayFS файлын системийн чухал сул тал нь Ubuntu системд root хандалт хийх боломжийг олгодог бөгөөд энэ нь давуу эрхгүй хэрэглэгч OverlayFS хуваалтуудыг холбох боломжийг олгодог. Эмзэг байдлыг ашиглахад шаардлагатай үндсэн тохиргоог Ubuntu 12.04–15.04-ийн бүх салбаруудад ашигладаг. OverlayFS өөрөө Линуксийн цөмд харьцангуй саяхан гарч ирсэн - 3.18-rc2 (2014) -ээс эхлэн энэ нь UnionFS болон AUFS-ийг орлох SUSE хөгжүүлэлт юм. OverlayFS нь виртуал олон давхарга үүсгэх боломжийг танд олгоно Файлын систем, бусад файлын системийн хэд хэдэн хэсгийг нэгтгэдэг.

Файлын систем нь доод ба дээд давхаргаас бүтээгдсэн бөгөөд тус бүр нь тусдаа сангуудад хавсаргасан байдаг. Доод давхарга нь зөвхөн Линукс дээр дэмжигдсэн аливаа файлын систем, түүний дотор сүлжээний сангуудыг уншихад ашиглагддаг. Дээд давхарга нь ихэвчлэн бичих боломжтой байдаг ба файлууд давхардсан тохиолдолд доод давхарга дахь өгөгдлийг хүчингүй болгодог. Энэ нь Live түгээлт, контейнер виртуалчлалын систем, зарим ширээний програмуудад зориулсан контейнерийн ажиллагааг зохион байгуулахад эрэлт хэрэгцээтэй байдаг. Хэрэглэгчийн нэрийн орон зай нь танд өөрийн хэрэглэгчийн болон бүлгийн ID-г контейнерт үүсгэх боломжийг олгодог. Энэ эмзэг байдал нь үндсэн файлын системийн лавлахад шинэ файл үүсгэх үед нэвтрэх эрхийг буруу шалгаснаас үүдэлтэй.

Хэрэв цөм нь CONFIG_USER_NS=y (хэрэглэгчийн нэрийн талбарыг идэвхжүүлдэг) -ээр бүтээгдсэн бөгөөд холбохдоо FS_USERNS_MOUNT тугийг зааж өгсөн бол OverlayFS-ийг энгийн хэрэглэгч өөр нэрийн зайд суулгаж болно. язгуур эрх. Энэ тохиолдолд ийм нэрийн талбарт хийгдсэн эх эрхтэй файлуудтай хийсэн үйлдлүүд нь үндсэн файлын системтэй үйлдэл хийх үед ижил эрхийг хүлээн авдаг. Тиймээс та дурын FS хуваалтыг холбож, дурын файл эсвэл лавлахыг харах, өөрчлөх боломжтой.

Нийтлэгдсэн үед Ubuntu-аас тогтсон OverlayFS модуль бүхий цөмийн шинэчлэл аль хэдийн бэлэн байсан. Хэрэв систем шинэчлэгдсэн бол ямар ч асуудал гарах ёсгүй. Үүнтэй ижил тохиолдолд, шинэчлэлт хийх боломжгүй үед түр зуурын арга хэмжээ болгон та overlayfs.ko модулийг устгаж OverlayFS ашиглахаа зогсоох хэрэгтэй.

ГОЛ ХЭРЭГЛЭЭНД ЭМЗЭГ БАЙДАЛ

Үйлдлийн систем:Линукс
Түвшин:Шүүмжтэй
Вектор:орон нутгийн, алслагдсан
CVE: CVE-2015-0235
Ашиглах: https://www.qualys.com/research/security-advisories/exim_ghost_bof.rb

Аюултай эмзэг байдал стандарт номын сан Linux үйлдлийн системийн үндсэн хэсэг болох GNU glibc болон Oracle Communications Applications болон Oracle Pillar Axiom-ийн зарим хувилбаруудаас Qualys хакеруудын кодын аудит хийх явцад илрүүлсэн. GHOST код нэрийг хүлээн авсан. Энэ нь __nss_hostname_digits_dots() функцийн доторх буфер халилт бөгөөд үүнийг gethostbyname() болон gethostbyname2() зэрэг glibc функцууд хостын нэрийг (тиймээс GetHOST гэдэг) авахын тулд ашигладаг. Эмзэг байдлыг ашиглахын тулд та DNS-ээр дамжуулан нэрийн шийдэл хийж буй програмд ​​хүчингүй хостын нэр аргумент ашиглан буфер хэт их ачаалал үүсгэх ёстой. Өөрөөр хэлбэл, онолын хувьд энэ эмзэг байдлыг сүлжээг аль нэг хэмжээгээр ашигладаг аливаа програмд ​​ашиглаж болно. Орон нутгийн болон алсаас дуудаж, дурын кодыг гүйцэтгэх боломжтой.

Хамгийн сонирхолтой нь алдааг 2013 оны 5-р сард зассан, glibc 2.17 болон 2.18 хувилбаруудын хооронд нөхөөсийг танилцуулсан боловч асуудал нь аюулгүй байдлын засвар гэж ангилагдаагүй тул үүнд анхаарлаа хандуулаагүй. Үүний үр дүнд олон хуваарилалт эмзэг болсон. Хамгийн анхны эмзэг хувилбар нь 2000 оны 11-р сарын 10-ны өдрийн 2.2 хувилбар байсан гэж анх мэдээлж байсан ч 2.0 хүртэл гарч ирэх магадлал бий. Бусад хүмүүсийн дунд RHEL/CentOS 5.x–7.x, Debian 7 болон Ubuntu 12.04 LTS түгээлтүүд нөлөөлсөн. Одоогоор засваруудыг ашиглах боломжтой. Хакерууд өөрсдөө эмзэг байдлын мөн чанарыг тайлбарлаж, системээ шалгах боломжийг олгодог хэрэгслийг санал болгосон. Ubuntu 12.04.4 LTS дээр бүх зүйл хэвийн байна:

$ wget https: //goo.gl/RuunlE $gcc gistfile1. c - o CVE - 2015 - 0235 доллар. / CVE - 2015 - 0235 эмзэг биш

GHOST дээр системийг шалгаж байна

Бараг тэр даруйдаа x86 ба x86_64 Linux дээр кодыг алсаас ажиллуулах боломжийг олгодог модуль гарсан. шуудангийн сервер Exim (helo_try_verify_hosts эсвэл helo_verify_hosts идэвхжүүлсэн). Хожим нь бусад хэрэгжүүлэлтүүд гарч ирэв, жишээлбэл, WordPress дээр блог шалгах Metasploit модуль.

Хэсэг хугацааны дараа, 2015 онд GNU glibc дээр алсын хэрэглэгчдэд DoS халдлага хийх эсвэл санах ойн эсүүдийг стекийн хилийн гадна дарж бичих боломжийг олгосон өөр гурван эмзэг байдал илэрсэн: CVE-2015-1472, CVE-2015-1473, CVE-2015- 1781.

Үйлдлийн систем:Линукс (GNU Coreutils)
Түвшин:Бага
Вектор:Орон нутгийн, Алсын
CVE: CVE-2014-9471
Ашиглах:Үгүй

GNU Coreutils нь бараг бүх үндсэн хэрэгслүүдийг (cat, ls, rm, date...) багтаасан үндсэн *nix багцуудын нэг юм. Асуудал нь огнооноос олдсон. parse_datetime функцийн алдаа нь алсын халдлага үйлдэгчдэд ямар ч шаардлагагүй боломжийг олгодог данссистем дээр үйлчилгээ үзүүлэхээс татгалзах шалтгаан болж, цагийн бүсийг ашиглан тусгайлан боловсруулсан огнооны мөрөөр дурын кодыг ажиллуулж болно. Эмзэг байдал дараах байдлаар харагдаж байна.

$ хүрнэ үү ‘-- огноо = TZ = ”123”345”@1’ Сегментийн алдаа $ огноо - d ‘TZ = ”Европ / Москва” “00 : 00 + 1 цаг”’ Сегментийн алдаа $ огноо ‘-- огноо = TZ = ”123”345”@1’ * * * Огнооны алдаа: үнэгүй () : буруу заагч: 0xbfc11414 * * *

GNU Coreutils-ийн эмзэг байдал

Хэрэв эмзэг байдал байхгүй бол бид буруу огнооны форматын тухай мессеж хүлээн авах болно. Бараг бүх Линукс түгээлтийн хөгжүүлэгчид эмзэг байдлын талаар мэдээлсэн. Одоогоор шинэчлэлт бэлэн байна.

Засварласан GNU Coreutils-ийн хэвийн гаралт

Үйлдлийн систем: Linux (grep 2.19–2.21)
Түвшин:Бага
Вектор:Орон нутгийн
CVE: CVE-2015-1345
Ашиглах:Үгүй

Загвар ашиглан текст хайхад ашигладаг grep хэрэгсэлд эмзэг байдал ховор тохиолддог. Гэхдээ энэ хэрэгслийг бусад програмууд, түүний дотор системийн програмууд ихэвчлэн дууддаг тул эмзэг байдал нь анх харахад харагдахаас хамаагүй илүү асуудалтай байдаг. kwset.c дахь bmexec_trans функцийн алдаа нь хуваарилагдсан буферийн гаднах хэсгээс эхлээгүй өгөгдлийг унших эсвэл програмыг сүйрүүлэхэд хүргэж болзошгүй. Хакер нь grep -F ашиглан програмын оролтод нийлүүлсэн өгөгдлийн тусгай багц үүсгэснээр үүнийг ашиглаж болно. Одоогоор шинэчлэлтүүд бэлэн байна. Эмзэг байдал эсвэл Metasploit-д зориулсан модулийг ашигладаг мөлжлөг байхгүй байна.

FREEBSD ДАХЬ ЭМЗЭГ БАЙДАЛ

Үйлдлийн систем: FreeBSD
Түвшин:Бага
Вектор:Орон нутгийн, Алсын
CVE: CVE-2014-0998, CVE-2014-8612, CVE-2014-8613
Ашиглах: https://www.exploit-db.com/exploits/35938/

2015 оны CVE мэдээллийн санд тийм ч их эмзэг байдал байхгүй, илүү нарийвчлалтай хэлэхэд ердөө зургаа. 2015 оны 1-р сарын сүүлчээр FreeBSD 8.4–10.x дээр гурван эмзэг байдлыг Core Exploit Writers Team-ийн судлаачид олсон. CVE-2014-0998 нь /boot/loader.conf доторх kern.vty=vt параметрээр идэвхжсэн олон виртуал терминалуудыг хангадаг VT консол драйверийг (Newcons) хэрэгжүүлэхтэй холбоотой.
CVE-2014-8612 нь SCTP протоколыг ашиглах үед үүсдэг бөгөөд SCTP сокетуудыг (локал порт 4444) хэрэгжүүлдэг SCTP урсгалын ID баталгаажуулалтын кодонд гарсан алдаанаас үүдэлтэй. Үүний мөн чанар нь sctp_setopt() функцийн (sys/netinet/sctp_userreq.c) санах ойгүй алдаа юм. Энэ нь орон нутгийн эрхгүй хэрэглэгчдэд 16 бит цөмийн санах ойн өгөгдлийг бичих, унших, систем дээрх эрхээ нэмэгдүүлэх, эмзэг өгөгдлийг илрүүлэх, системийг сүйрүүлэх боломжийг олгодог.

CVE-2014-8613 нь SCTP_SS_VALUE SCTP залгуурын сонголтыг тохируулсан үед гаднаас хүлээн авсан SCTP пакетыг боловсруулах үед NULL заагч заагчийг идэвхжүүлэх боломжийг олгодог. Өмнөх хувилбаруудаас ялгаатай нь CVE-2014-8613 нь тусгайлан боловсруулсан пакетуудыг илгээх замаар цөмийн эвдрэлийг алсаас үүсгэж болно. FreeBSD 10.1 дээр та net.inet.sctp.reconfig_enable хувьсагчийг 0 болгож, RE_CONFIG блокуудын боловсруулалтыг идэвхгүй болгосноор өөрийгөө хамгаалах боломжтой. Эсвэл зүгээр л програмуудыг хориглох (хөтөч, шуудангийн үйлчлүүлэгчидгэх мэт). Хэдийгээр нийтлэх үед хөгжүүлэгчид аль хэдийн шинэчлэлтийг гаргасан байсан.

FreeBSD-ийн эмзэг байдлын статистик

OPENSSL ДАХЬ ЭМЗЭГ БАЙДАЛ

Үйлдлийн систем: OpenSSL
Түвшин:Алсын удирдлага
Вектор:Орон нутгийн
CVE: CVE-2015-1793
Ашиглах:Үгүй

2014 онд SSL/TLS-тэй ажиллахад өргөн хэрэглэгддэг криптографийн багц болох OpenSSL-д Heartbleed-ийн ноцтой эмзэг байдлыг илрүүлсэн. Энэ үйл явдал нэгэн цагт кодын чанарын талаар ихээхэн шүүмжлэл дагуулж, нэг талаас LibreSSL гэх мэт хувилбарууд гарч ирэхэд хүргэсэн бол нөгөө талаас хөгжүүлэгчид өөрсдөө эцэст нь ажилдаа орсон.

Сул талуудаар шилдэг борлуулагчид

Чухал эмзэг байдлыг Google-ийн Адам Лангли, BoringSSL-ийн Дэвид Бенжамин нар илрүүлсэн. OpenSSL-ийн 1.0.1n болон 1.0.2b хувилбаруудад хийсэн өөрчлөлтүүд нь итгэлцлийн сүлжээг бий болгох эхний оролдлого амжилтгүй болсон тохиолдолд OpenSSL-г өөр гэрчилгээ баталгаажуулах сүлжээг хайж олоход хүргэсэн. Энэ нь танд гэрчилгээ баталгаажуулах процедурыг алгасаж, хуурамч гэрчилгээ ашиглан баталгаажуулсан холболтыг зохион байгуулах, өөрөөр хэлбэл хэрэглэгчийг хуурамч сайт эсвэл сервер рүү тайвнаар татах боломжийг олгоно. Имэйлэсвэл гэрчилгээ ашиглаж байгаа аливаа MITM халдлагыг хэрэгжүүлэх.

Эмзэг байдлыг илрүүлсний дараа хөгжүүлэгчид 7-р сарын 9-нд 1.0.1p болон 1.0.2d хувилбаруудыг гаргасан бөгөөд энэ асуудлыг зассан. 0.9.8 эсвэл 1.0.0 хувилбаруудад энэ эмзэг байдал байхгүй.

Linux.Encoder

Намрын сүүлчээр хэд хэдэн шифрлэлтийн вирус гарч ирснээр эхлээд Linux.Encoder.0, дараа нь Linux.Encoder.1, Linux.Encoder.2 өөрчлөлтүүд гарч, 2500 гаруй сайтыг халдварлажээ. Вирусны эсрэг компаниудын мэдээлснээр WordPress, Magento CMS, Joomla болон бусад CMS-үүдийг ашиглан ажилладаг вэб сайттай Linux болон FreeBSD серверүүд халдлагад өртөж байна. Хакерууд үл мэдэгдэх эмзэг байдлыг ашиглаж байна. Дараа нь бүрхүүлийн скриптийг (алдаа.php файл) байрлуулсан бөгөөд үүний тусламжтайгаар ямар ч байсан цаашдын арга хэмжээ(хөтөчөөр дамжуулан). Тодруулбал, Линукс кодлогч Trojan-ыг эхлүүлсэн.

OS-ийн архитектурыг тодорхойлж, ransomware-г эхлүүлсэн кодлогч. Кодлогчийг вэб серверийн эрхээр (Ubuntu - www-data) ажиллуулсан бөгөөд энэ нь CMS файлууд болон бүрэлдэхүүн хэсгүүдийг хадгалдаг директор доторх файлуудыг шифрлэхэд хангалттай юм. Шифрлэгдсэн файлууд шинэ өргөтгөл хүлээн авдаг.encrypted.

Ransomware нь бусад үйлдлийн системийн лавлахуудыг тойрч гарахыг оролддог; хэрэв эрхийг буруу тохируулсан бол энэ нь вэбсайтын хил хязгаараас амархан гарч болзошгүй. Дараа нь README_FOR_DECRYPT.txt файлыг санд хадгалсан бөгөөд файлын шифрийг тайлах заавар болон хакерын шаардлагыг агуулсан. Асаалттай Энэ мөчВирусны эсрэг компаниуд лавлахын кодыг тайлах боломжийг олгодог хэрэгслүүдийг нэвтрүүлсэн. Жишээлбэл, Bitdefender-ийн багц. Гэхдээ файлын шифрийг тайлахад зориулагдсан бүх хэрэгслүүд бүрхүүлийн кодыг устгадаггүй бөгөөд бүх зүйл дахин тохиолдож болно гэдгийг санах хэрэгтэй.

Вэб сайтын удирдлагыг хөгжүүлдэг эсвэл туршиж үздэг олон хэрэглэгчид вэб серверийг ихэвчлэн суулгадаг болохыг харгалзан үзэх нь зүйтэй гэрийн компьютер, та аюулгүй байдлын талаар санаа зовох хэрэгтэй: гаднаас хандах хандалтыг хаах, програм хангамжийг шинэчлэх, VM дээр туршилт хийх. Мөн энэ санааг ирээдүйд гэрийн системд халдлага хийхэд ашиглаж болно.

ДҮГНЭЛТ

Бие махбодийн хувьд алдаагүй нарийн төвөгтэй програм хангамж байхгүй тул та сул талуудыг байнга илрүүлж байх болно гэдгийг хүлээн зөвшөөрөх хэрэгтэй. Гэхдээ тэд бүгд үнэхээр асуудалтай байж чадахгүй. Мөн та авснаар өөрийгөө хамгаалж чадна энгийн алхамууд: ашиглагдаагүй программ хангамжийг устгаж, шинэ сул талуудыг хянаж, аюулгүй байдлын шинэчлэлтүүдийг суулгах, галт ханыг тохируулах, вирусны эсрэг суулгахаа мартуузай. SELinux гэх мэт демон эсвэл хэрэглэгчийн програмыг эвдэх чадвартай тусгай технологийн талаар бүү мартаарай.