Родерик Смит - Сетевые средства Linux

Escape character is '^]'.

Welcome to maple.threeroomco.com.

Current time is 10:57 on Monday, 12 August 2002.

Notice: For authorized users only!

В некоторых разновидностях Linux (в частности, в Caldera, Mandrake и некоторых версиях Red Hat) файлы /etc/issue и /etc/issue.net создаются в процессе загрузки. Формированием этих файлов занимается сценарий /etc/rc.d/rc.local. Код сценария, используемого в системе Mandrake 8.1, приведен ниже.

# Этот сценарий создает файл /etc/issue при каждой

# загрузке системы. Чтобы сохранить изменения, внесенные

# в файл /etc/issue, надо изменить код сценария.

if [ -х /usr/bin/linux_logo ]; then

 /usr/bin/linux_logo -c -n -f > /etc/issue

 echo "" >> /etc/issue

else

 echo "" > /etc/issue

fi

echo "$R" >> /etc/issue

echo "Kernel $(uname -r) on $ a $SMP$ (uname -m) / 1" >> /etc/issue

if [ "$SECURITY" -le 3 ]; then

 echo "Welcome to %h" > /etc/issue.net

 echo "$R" >> /etc/issue.net

 echo "Kernel $(uname -r) on $a $SMP$(uname -m)" >> /etc/issue.net

else

 echo "Welcome to Mandrake Linux" > /etc/issue.net

 echo "-------------------------" >> /etc/issue.net

fi

Начиная с версии 7.2 в системе Red Hat используются статические файлы issue и issue.net. В Caldera 3.1 и Mandrake 8.1 эти файлы по-прежнему формируются с помощью сценария /etc/rc.d/rc.local.

В некоторых строках приведенного выше кода используются переменные, которые были определены ранее в сценарии. Такой подход позволяет системе включать в состав начального сообщения дополнительную информацию, например номер процессора. Если вы измените содержимое /etc/issue и /etc/issue.net, при следующей загрузке сценарий /etc/rc.d/rc.local восстановит исходный вид этих файлов. Для того чтобы изменить начальное сообщение, можно закомментировать строки сценария, которые отвечают за запись в файлы /etc/issue и /etc/issue.net, либо модифицировать код самого сценария.

Средства защиты Telnet

После отображения начального сообщения, содержащегося в файле /etc/issue.net, telnetd передает управление /bin/login либо программе, указанной с помощью опции -L. Программа /bin/login предоставляет возможность локальной и удаленной регистрации в текстовом режиме. Она отображает приглашения на ввод пользовательского имени и пароля (login: и password:). Если регистрационные данные введены корректно, /bin/login отмечает время последней регистрации и вызывает оболочку, используемую по умолчанию.

Поскольку большинство серверов Telnet не шифрует данные, пересылаемые по сети, пользовательское имя и пароль передаются в незакодированном виде. Несмотря на то что при вводе пароля символы не отображаются на экране, пароль может быть перехвачен по пути следования от клиента к серверу. Если вы не указываете при вызове telnetd опцию -L, передача незашифрованного имени пользователя и пароля является единственным средством аутентификации, поддерживаемым telnetd. В отличие от rlogind, сервер Telnet не использует принцип доверия, т.е. не полагается на процедуру аутентификации, выполняемую на стороне клиента. (Следует заметить, что имя пользователя и пароль все же поступают на сервер с клиентского компьютера. Некоторые клиенты Telnet могут быть сконфигурированы для автоматической передачи регистрационных данных.)

Как известно, при передаче данных по Internet информационные пакеты проходят через несколько шлюзов. Если злоумышленник получит контроль хотя бы над одним из шлюзов, он сможет перехватить пароль, передаваемый при регистрации на сервере Telnet, и получит доступ к вашему компьютеру. Перехват данных можно организовать также в локальной сети, к которой подключен клиент или сервер. Компьютер, подключенный к локальной сети, но непосредственно не участвующий в процессе обмена данными, может быть переведен в режим сбора сетевых пакетов. Наряду с остальными пакетами пароль, переданный клиентом, окажется на этом компьютере.

Отсутствие шифрования передаваемых данных чревато не только перехватом пароля, но и утечкой другой важной информации. Злоумышленник может узнать содержимое важного письма, которое вы читали, или файла, который вы редактировали. Если во время сеанса Telnet вы используете команду su, чтобы получить привилегии суперпользователя, вы рискуете раскрыть и этот пароль. Сказанное выше в равной степени относится также к rlogind и другим средствам удаленного доступа, не использующим кодирование данных. Передача незашифрованной информации при обмене с сервером Telnet или rlogind гораздо более опасна, чем, например, передача электронной почты, так как во время сеанса Telnet могут передаваться и пароль, и письма, и содержимое файлов, и другие важные сведения.

Что же можно предпринять для уменьшения риска потери данных? Очевидно, что радикальной мерой является переход к использованию протокола, обеспечивающего кодирование передаваемой информации. Если же это по каким-либо причинам невозможно или нежелательно, то, чтобы уменьшить вероятность утечки важных сведений, рекомендуется придерживаться ряда правил. Не просматривайте файлы, содержащие секретные данные, или важные письма при работе посредством Telnet. He регистрируйтесь из сеанса Telnet на другом компьютере. Даже если второе соединение устанавливается по защищенному каналу, информация будет поступать на ваш компьютер в незакодированном виде и может стать доступна злоумышленнику. Не используете команду su для получения привилегий root и пароль, с помощью которого вы регистрируетесь на сервере Telnet, для других целей. Лучше всего Telnet подходит для взаимодействия в пределах небольшой локальной сети, не подключенной к Internet. Используя Telnet, желательно периодически изменять пароль, чтобы у взломщика, получившего пароль, было меньше возможностей нанести реальный вред вашей системе.

Настройка SSH

Из протоколов, обеспечивающих защиту передаваемых данных, среди пользователей Linux наиболее популярен SSH (Secure Shell — защищенная оболочка). Данные, предназначенные для передачи по сети посредством данного протокола, шифруются. Очевидно, что шифрованные данные могут быть перехвачены на маршрутизаторе или в локальной сети, но технология, позволяющая декодировать их, в настоящее время отсутствует. (Теоретически достаточно мощный компьютер способен справиться с задачей расшифровки информации, но для этого ему потребуется очень много времени. Кроме того, компьютеры необходимой мощности встречаются достаточно редко, и получить доступ к ним очень трудно.)

В последнее время серверы SSH используются все чаще, но они еще не стали универсальным инструментом взаимодействия. Подобно другим серверам удаленной регистрации, настройка SSH производится достаточно просто, но, чтобы установить требуемую конфигурацию системы, надо знать назначение опций, указываемых при запуске сервера, и структуру конфигурационных файлов.

В 2001 году бурно обсуждался вопрос использования названия SSH в качестве торговой марки. Не исключено, что в ближайшее время протокол SSH и одна из его реализаций (OpenSSH) изменят свое название. Что же касается коммерческого продукта, реализующего этот протокол (SSH), то он и далее будет поставляться под тем же названием. На момент написания данной книги этот вопрос еще не был решен, поэтому я использую здесь названия, указанные на Web-узлах соответствующих продуктов. Изменения, скорее всего, будут относиться к названию пакета и не затронут название программ, содержащихся в его составе.

Программное обеспечение для поддержки SSH

Существуют два основных пакета SSH, предназначенных для работы в системе Linux: коммерческий продукт SSH (http://www.ssh.com/products/ssh/), разработанный компанией SSH, и пакет OpenSSH, распространяемый в исходных кодах (http://www.openssh.org). Пакет OpenSSH входит в состав многих версий Linux, в частности, Caldera 3.1, Debian 2.2, Mandrake 8.1, Red Hat 7.2, Slackware 7.0 и SuSE 7.3. Если версия пакета, поставляемая в составе операционной системы, вас не устраивает, вы можете обратиться на Web-узел OpenSSH. (Перед использованием коммерческой версии SSH необходимо ознакомиться с лицензионным соглашением.) Далее в этой главе я буду использовать термин SSH для обозначения любой реализации данного протокола.

Проект OpenSSH имеет непосредственное отношение к операционной системе OpenBSD. Двоичные коды OpenSSH различаются для разных систем. В документе http://www.openssh.org/portable.html содержится информация об использовании OpenSSH в системах, отличных от OpenBSD, в том числе в различных версиях Linux. При желании вы можете скопировать с сервера исходные коды данного продукта и скомпилировать их самостоятельно.