Спецвыпуск журнала «Хакер» #47, октябрь 2004 г. - Хакер

http://www.openbsd.org

OpenBSD – общепризнанный лидер по безопасности. Текущая версия – 3.5. Установка этой системы протекает аналогично установке всех остальных BSD с тем лишь отличием, что все пронизано духом безопасности. После инсталла остается не так уж много: скачать и установить необходимые демоны. Просто в OpenBSD ставится только самое необходимое для запуска. Все дополнительные демоны и сервисы администратор добавляет и настраивает сам, и это, по-моему, лучший подход к безопасности. Кроме того, в основе OpenBSD лежат хорошо проверенные и отлаженные исходные коды, ежедневный аудит программного обеспечения приносит свои плоды: за несколько последних лет не было зарегистрировано ни одного взлома (в дефолтовой конфигурации – важное прим. ред.). Сущность аудита OpenBSD достаточно проста: существует небольшая группа высококвалифицированных IT-специалистов, которые постоянно анализируют исходные коды всей системы. И если учитывать, что они предлагают только базовую конфигурацию, то можно верить, что проверка будет проведена очень качественно. Предельно сильная внутренняя защита подкрепляется переработанным и усложненным комплексом Firewall. И дополняет общую картину укрепленности собственный сайт, на котором ежедневно выставляются все обновления для текущей версии системы. Неприхотливая к квалификации админа как IT-специалиста, OpenBSD завоевывает рынок за счет своей подготовленной грамотной настройки. Таким образом, лучшим секьюрным дистрибутивом линейки BSD является OpenBSD: для мастеров она покажет мощь и стабильность UNIX с возможностью гибкой настройки, а для новичков – защищенность и отказоустойчивость прямо из «коробки».

http://www.qnx.com

Я не случайно поставил эту ОС последней в обзоре – она не клон UNIX. Это самостоятельная ОС, но очень занятная. Разработки этой системы ведутся уже более двадцати лет. Проект полностью закрытый, коммерческий. Лицензия на QNX для разработчика стоит 6000$. Я не ошибся – именно долларов, цена же полной версии переваливает за 15 килобаксов. Но существует некоммерческая версия, доступная бесплатно. В свободной версии есть практически все необходимое для работы данной ОС на сервере, включая средства для сборки GNU-программ. Самое главное в этой системе – то, что она полностью отвечает требованиям ОС реального времени, то есть ядро в принципе не может зависнуть ни при каких обстоятельствах ;). И, кроме этого, данная ОС гарантирует ответ сервера через очень малый промежуток времени. За всю историю QNX не было найдено ни одной уязвимости в коде системы. Сразу виден серьезный подход программистов QSSL. Как видишь, пока все просто идеально. Но это все относится к самой системе. Своего же ПО, необходимого для создания полноценного сервера, у нее нет. QNX используется в основном во встраиваемом оборудовании, для узкоспециализированных задач на производстве. Но отсутствие софта именно для QNX никого не остановило: я все чаще встречаю на просторах рунета админов-энтузиастов, запускающих сервера на ее базе. Да и сам, чего скрывать, перевел свой web-сервер на эту систему и пока нисколько не жалею. Итак, что нужно для создания суперзащищенного сервера реального времени на базе QNX? Самое главное – это дистрибутив системы. Для нашей задачи вполне достаточно NE (Non-Commercial) версии, которая поставляется на 1 CD. Существует несколько способов получения этого диска. Первый – скачать с официального сайта www.qnx.com образ диска и записать его самому. В этом варианте есть неприятные моменты: сливать надо около 300 мегов, причем выкачать надо за один раз все – докачка не поддерживается. Кроме того, скорость скачки должна быть не меньше 10 Кб в секунду, иначе их сервер будет закрывать сессию и придется начинать все с начала. Другой вариант – попробовать получить по почте бесплатно полную версию QNX для вузов (напряги декана – и будет тебе счастье!) (вся информация на сайте www.swd.ru). И, наконец, самый простой и доступный путь – заказать книгу «Операционная система реального времени QNX: от теории к практике»., которая продается во многих интернет-магазинах, причем обойдется тебе она вместе с диском не дороже 250 руб. После простой инсталляции ты попадешь в самую быструю и стабильную ОС. Все современные версии поддерживают TCP/IP-протокол в полной мере, поэтому тебе останется только установить и отконфигурировать серверное ПО. Кстати, получить весь необходимый софт можно либо на страничке одного из участников проекта www.qnx.org.ru , либо собрав его самостоятельно из исходников, ведь система POSIX-совместима. Эта ось, пожалуй, лучший выбор, но только для профессионалов и тех людей, которые готовы бороться с трудностями.

Вот и все, что я хотел рассказать о дистрибутивах сегодняшних дней. Подведем итоги. Среди Linux-сборок самый лучший выбор для защищенного хоста – это Gentoo Linux. Если нужно поставить быстро и более-менее качественно сервер и нет знаний или желания самому создавать защиту – Mandrake 10 Official с максимальным уровнем безопасности очень даже неплох. Если ты поклонник демона, твой выбор исключительно OpenBSD – разработчики очень хорошо позаботились о создании секьюрной системы. Для любителей сложных путей – QNX. Ее использование характеризуется отсутствием зависаний сервера, и микроядерная система реального времени гарантирует тебе это.

Антон Карпов, специалист по сетевой безопасности, системный администратор:

Разница между BSD и Linux должна быть понятна каждому: первое есть полноценная ОС, второе – лишь ядро операционной системы. Из-за этого фундаментального различия вариации дистрибуций BSD можно сосчитать по пальцам, тогда как дистрибутивов Linux как собак нерезаных. Что же лучше с точки зрения безопасности? Наверное, имея полное окружение (ядро, userland, демоны, системные утилиты), построить защищенную систему легче, так как проще работать с гармоничным набором исходников, располагающимся в едином дереве (/usr/src) и подгоняемым друг к другу годами. Все же, что можно добавить к ядру Linux, – это патчи, усиливающие его иммунитет. Но помимо этого нужно как минимум озаботиться аудитом многочисленных утилит, необходимых для работы сервера и написанных разными людьми, с разным стилем программирования, подчас с разной идеологией. Поэтому, наверное, security-патчей для ядра Linux огромное количество, однако заслуживающих внимание security-oriented дистрибутивов – много меньше. Максимум, что делают их вендоры, – проводят анализ кода да собирают пакеты компилятором с защитой от переполнения стека. Такие проекты, как privilege separation, system calls enforcement, jail, рождаются либо доводятся до ума именно в BSD-системах (OpenBSD, FreeBSD).

Однако если отойти от классической модели безопасности UNIX в мандатные модели и требовать реализацию MAC, DTE, RBAC, то консервативная BSD здесь безропотно отдает инициативу Linux, в мире которого помимо тех же патчей (SeLinux, RSBAC) существуют целые проекты (Gentoo SeLinux), направленные на построение законченной системы, удовлетворяющей совершенно новому по качеству классу безопасности.

На текущий момент последняя версия QNX – 6.3.

http://www.freebsd.org/ru/index.html – русская версия официального сайта FreeBSD.

OpenBSD представляет собой минимально необходимые компоненты системы, но они предельно стабильны.

Главный плюс Mandrake – простота и доступность.

25 мая 2004 года стал доступен для скачивания десятый релиз Mandrake Linux.

Gentoo Linux взял все лучшее и от BSD – скрипты инициализации и систему портов, и от Linux – простоту и удобство.

Первым стабильным релизом FreeBSD пятой ветки станет FreeBSD 5.3. Дата выхода – 3 октября 2004 года.

Linux потенциально нарушает 283 патента. Линейка BSD пока гораздо спокойней.

Решающую роль в создании безопасного хоста всегда играют знания администратора, а не ОС, используемая на сервере.

Взлом

Атака интеллекта / Обзор удаленных и локальных атак

Докучаев Дмитрий aka Forb ([email protected])

Грамотный взломщик никогда не ограничивается одной неудавшейся атакой. Он пытается найти конкретный подход к серверу. В большинстве случаев ему это удается. А все потому, что он знаком со большинством видов атак и последовательно перебирает их, пока, наконец, несчастный сервер не подчиниться заветной команде.

Типичная ошибка начинающего взломщика заключается в том, что он настойчиво пытается атаковать сервер одним единственным способом (например, WWW-сканированием). Если у него ничего не выходит, злоумышленник ищет новую жертву. А зря, ведь можно было использовать другой вид нападения и в результате получить какие-нибудь права на машине. Число различных атак, которые можно применить к жертве, недалеко от нуля, поэтому придется в поте лица щупать машину на наличие крупных дырок.