Linux - Алексей Стахнов

• -b имя-файла – позволяет читать команды из файла вместо стандартного устройства ввода;

• -C – разрешает использовать сжатие пересылаемых файлов;

• -F имя-конфигурационного-файла-ssh – указывает, какой конфигурационный файл использовать;

• -о опция – передается SSH;

Интерактивные команды, используемые sftp, аналогичны FTP-командам:

• bye – разорвать соединение;

• cd путь – сменить каталог;

• lcd путь – сменить каталог;

• chgrp gid имя-файла – изменить групповой идентификатор файла на указанный в команде;

• chmod mode имя-файла – изменить атрибуты файла;

• chown uid имя-файла – изменить владельца файла;

• exit – выйти;

• get [-Р] имя-удаленного-файла [имя-локального-файла] – команда для получения файла; ключ -р позволяет сохранить права и время создания и модификации получаемого файла;

• help – позволяет получить справку по командам;

• lls [опции-Is [имя-файла]] – получить список файлов;

• lpwd – пароль;

• mkdir имя – создать каталог;

• put [-Р] имя-локального-файла [имя-удаленного-файла] – выгрузить на сервер файл; ключ -р позволяет сохранить права и время создания и модификации передаваемого файла;

• pwd – пароль;

• quit – выйти;

• rename старое-имя новое-имя – переименовать файл;

• rmdir имя – удалить каталог;

• rm имя-файла – удалить файл;

• symlink старое-имя новое-имя – создать символическую ссылку.

Программа scp Программа scp является аналогом программы гер и осуществляет копирование файлов между хостами, причем оба могут быть удаленными. Способы аутентификации аналогичны SSH. Вызывает SSH для организации канала передачи данных. Имя файла записывается в виде:

[[[email protected]]host: ]file

Опции командной строки:

• -c алгоритм-шифрования – передается SSH;

• -i имя-файла – файл с приватным ключом, передается в SSH;

• -о опция – передается SSH;

• -р – сохраняет время модификации, использования и права доступа к файлу;

• -r – позволяет рекурсивно копировать весь каталог;

• -B – пакетный режим – не запрашивать пароль или парольную фразу;

• -C – разрешает производить сжатие при передаче файла;

• -F конфигурационный-файл – определяет альтернативный конфигурационный файл;

• -P port – задает порт сервера;

• -S программа – разрешает использовать указанную программу вместо SSH;

• -4 – использовать IPv4;

• -6 – использовать IPv6.

Программа ssh-keyscan

Программа ssh-keyscan позволяет собрать публичные ключи хостов, имена хостов задаются в качестве параметров или в файле. Опрос производится параллельно. Опции командной строки:

• -t тип-ключа – задает тип шифрования ключа (rsal, rsa, dsa);

• -T секунд – определяет тайм-аут;

• -f имя-файла – определяет файл, в котором каждая строка содержит имя или адрес хоста;

• -4 – использовать IPv4;

• -6 – использовать IPv6;

• -р удаленный-порт – определяет порт.

Ссылки

• RFC 854. Описание протокола Telnet.

• www.bog.pp.ru/work/ssh.html —Bog BOS: SSH и OpenSSH: принципы работы, установка и настройка.

• www.ssh.com – сайт коммерческой реализации SSH.

• www.openssh.com – сайт некоммерческой реализации SSH.

• www.tigerlair.com/ssh/faq/ – SSH FAQ.

• lib.ru/LABIRINT/telnet.htm – доступ к ресурсам Интернета в режиме удаленного терминала.

• www.mnet.uz/citforum/internet/services/index.shtml— Храмцов П. Б. Администрирование сети и сервисов Internet. Учебное пособие.

Глава 29 Firewall

Эта глава посвящена одному из аспектов сетевой безопасности, а конкретно – защите сети от вторжения извне и изнутри. Для защиты локальной сети используется комплекс программного обеспечения, в литературе известный как firewall (брандмауэр), или межсетевой экран. Брандмауэр позволяет «отгородить» систему (или сеть) от жестокого внешнего мира. Он используется для предотвращения получения посторонними данных (или ресурсов) защищаемой сети, а также для контроля за внешними ресурсами, к которым имеют доступ пользователи вашей сети. Конечно, стопроцентной защищенности от проникновения извне или нарушения работоспособности вашей сети или сервисов не даст ни одна система, однако использование брандмауэра (при правильной его конфигурации) может сильно усложнить взломщику задачу.

Чаще всего брандмауэр – это программы маршрутизации и фильтрации сетевых пакетов. Такие программы позволяют определить, можно ли пропустить данный пакет и если можно, то отправить его точно по назначению. Для того чтобы брандмауэр мог сделать это, ему необходимо определить набор правил фильтрации. Главная цель брандмауэра – контроль удаленного доступа извне или изнутри защищаемой сети или компьютера.

Брандмауэр позволяет лишь частично решить проблемы, связанные с обеспечением безопасного функционирования вашей сети. Как бы хорошо он ни был настроен, если вы вовремя не обновили программный пакет, в котором была найдена уязвимость, или кто-то узнал ваши логин и пароль – ждите больших неприятностей. Основная задача брандмауэра – разрешать функционирование только тем службам, которым было явно разрешено работать в вашей сети или защищаемом компьютере. В результате мы получаем маленькую дверцу, через которую в уютный внутренний мирок могут попасть только те гости, которых пропустила ваша охрана, а список этих гостей рекомендуется сузить до минимального.

Основными компонентами брандмауэра являются:

• политика безопасности сети;

• механизм аутентификации;

• механизм фильтрации пакетов.

О практической реализации этих компонентов мы поговорим несколько позже, а пока разберемся, какие бывают брандмауэры.

...

Совет

Мы настоятельно рекомендуем ознакомиться с книгой Роберта Зиглера "Брандмауэры в Linux", в которой очень подробно и доходчиво объясняется конфигурирование брандмауэров.

Типы брандмауэров

При построении брандмауэра обычно используется компьютер (компьютеры), непосредственно подключенный к Интернету и содержащий базовый набор средств, реализующих брандмауэр. Такой компьютер иногда называют бастионом.

Термин «бравдмауэр» может приобретать различные значения в зависимости от принципа, положенного в основу работы средств защиты, сетевой архитектуры и схемы маршрутизации. Брандмауэры обычно подразделяют на три типа:

• брандмауэр с фильтрацией пакетов;

• прикладной шлюз;

• универсальный proxy-сервер.

Брандмауэр с фильтрацией пакетов, как правило, действует на сетевом и транспортном уровнях и реализуется в составе операционной системы. Источником информации для фильтрации является содержимое заголовков IP-пакетов, на основе которого брандмауэр принимает решение, по какому маршруту следует направить пакет.

Прикладной шлюз реализуется посредством выбора сетевой архитектуры и конфигурации системы. Сетевой трафик никогда не проходит через компьютер, на котором выполняется прикладной шлюз. Чтобы получить доступ в Интернет, локальный пользователь должен зарегистрироваться на прикладном шлюзе. Компьютер, содержащий прикладной шлюз, может быть защищен брандмауэрами с фильтрацией пакетов как извне, так и из локальной сети.

Ргоху-сервер обычно реализуется в виде независимого приложения, управляющего доступом к различным типам сетевых служб. Для клиентов proxy-сервер выполняет роль сервера, предоставляющего информацию. Вместо того чтобы непосредственно обращаться к удаленным серверам, клиентские программы обращаются к proxy-серверу. Получив обращение клиента, proxy-сервер устанавливает связь с удаленным узлом от своего имени, при этом он заменяет в пакете адрес клиента своим адресом. Подобный сервер может контролировать целостность данных, осуществлять проверку на наличие вирусов и обеспечивать выполнение правил системной политики, определяющих обмен высокоуровневыми данными.

Помимо этого, брандмауэры можно разделить по типу построения защиты:

• пороговый и его разновидность – бастионного типа;

• организующий так называемую демилитаризованную зону.

Брандмауэр порогового типа призван защитить локальную сеть от атак извне, а при соответствующей настройке и от атак изнутри. Такого типа брандмауэры обычно используются для защиты небольшой сети или даже одного компьютера. Как правило, сетевые службы, предоставляющие услуги наружу (HTTP, FTP и т. п.), размещаются на том же компьютере, что и брандмауэр.

Организация демилитаризованной зоны оправдана тогда, когда в сети выделено несколько специальных компьютеров для интернет-сервисов, предоставляемых большому миру, а так же при отсутствии уверенности в благонадежности собственных сотрудников. Для организации демилитаризованной зоны используются, по меньшей мере, два брандмауэра – один для защиты демилитаризованной зоны от проникновения извне, а второй – от проникновения из вашей собственной локальной сети. Организация демилитаризованной зоны сложнее, чем организация брандмауэра бастионного типа, но взамен вы получаете большую защиту ваших данных.