книги хакеры / журнал хакер / 128_Optimized

>>

определить характер новой программы или процесса на компьютере. Вся информация хранится в единой базе данных (Prevx Cloud Community Database). В качестве сенсоров этой гигантской IPS выступают агенты, установленные на клиентских машинах.

Дистрибутив программы очень маленький, — всего 768 Кб. После установки агент сканирует систему на предмет установленных приложений и отправляет запрос на центральный сервер, а на основании полученной информации делает вывод. Все происходит довольно быстро. Так, первое и полное сканирования занимают всего 2-4 минуты. Последующие обычно и того быстрее, менее минуты. Если в центральной базе данных нет сведений о программе, то она помечается как неизвестная, модуль заносит ее в базу, а пользователь предупреждается о возможном риске. Профиль любой программы содержит более сотни параметров. И в большинстве случаев сервер способен определить ее характер самостоятельно, основываясь на поведенческих характеристиках. Уже через 4 года существования база знала о 10 миллиардах событий, что практически сводит на нет вероятность ошибки. Ежедневно в базу заносятся до 250 тысяч событий.

В ходе работы агент использует три слоя защиты: эвристический (оценивает поведение), возрастной (время появления) и известность программы. В случае обнаружения вредоносной программы возможна очистка системы. Prevx выдаст подробные инструкции, например, запросит установочный диск Windows; предусмотрен также вариант автоматической закачки целого системного файла с другого компьютера сообщества.

Кроме варианта Home, ориентированного на персональное использование, имеются Business и Enterprise версии, в которых реализовано централизованное управление агентскими модулями. Для организаций предлагается Free Malware Monitor, распространяющийся бесплатно, но агент, входящий в его состав, имеет лишь функции обнаружения. Бороться с обнаруженными неприятностями придется при помощи других утилит, или купив полную версию.

Prevx может использоваться как автономно, так и быть усилена другими продуктами: межсетевым экраном, антивирусом, антишпионами и пр. Обычно проблем с совместимостью не бывает. Хотя этот продукт имеет единственный, но существенный минус — он привязан к серверу и без него фактически беспомощен.

SYN/ACK

>> SYN/ACK

>>

>> SYN/ACK

NATHAN BINKERT

/ NAT@SYNACK.RU /

Выборпатриота

Универсальныйсервер: R-Style Marshall NP 2010

>> SYN/ACK

ЕВГЕНИЙ ЗОБНИН

/ ZOBNIN@GMAIL.COM /

ВиртуальныеОСы

ВиртуализацияспомощьюLinux VServer

Хочешьорганизоватьпубличныйдоступксетевымсервисам, нобеспокоишьсязабезопасность? Решилпереложитьчастьсвоихобязанностей надругогочеловека, нонехочешьнаделятьегоправамиroot? Управляешьхостингомижелаешьдатьсвоимклиентамнастоящуюсвободу? С помощьюсистемывиртуализацииLinux VServer тылегкорешишьвсеэти задачибезголовнойболиипотерипроизводительности.

eth0 82.195.23.28

>>

iptables -t nat -A POSTROUTING \

-s 192.168.1.1/24 -d ! 192.168.1.1/24 \ -J SNAT --to-source 82.195.23.28

eth0: alias 192.168.1.1

#cd linux-2.6.28.7

#cp /boot/config-X.X.X .

#patch -p1 < ../patch-2.6.28.7-vs2.3.0.36.8.diff

#make menuconfig

Øàã3.ИзменяемконфигурациюпунктаменюLinuxVServer:

Enable Legacy Kernel API — Поддержка устаревшего API первой версии патчей. Отключаем

Enable Virtualized Guest Time — Возможность установки индивидуальной временной зоны для каждого окружения. Актуально для владельцев хостингов, во всех остальных случаях бесполезна и создаст дополнительный оверхед для системных вызовов, работающих со временем

Enable Proc Security — Скрывать все процессы, не принадлежащие окружению, в каталоге /proc этого окружения. Включаем

Enable Hard CPU Limits — Жесткое ограничение окружений по времени использования процессора. Включаем

Tag NFSD User Auth and Files — Поддержка встроенного в ядро NFS-демона

Maximum number of Contexts — Максимально возможное число окружений

Øàã4.Устанавливаемядро:

#make

#make modules_install

#cp arch/i386/boot/bzImage /boot/vmlinuz-2.6.28.7-vs2.3

Øàã5.Правимконфигурационныйфайлзагрузчика:

#VI/BOOT/GRUB/MENU.LST title Linux 2.6.28.7-vs2.3 root (hd0,0)

kernel /boot/vmlinuz-2.6.28.7-vs2.3 root=/dev/hda1 ro initrd /boot/initrd.img-2.6.28.7-vs2.3

boot

Øàã6.Получаемиустанавливаемнаборутилитдляуправлениявиртуальнымисерверами:

#cd /tmp

#wget http://ftp.linux-vserver.org/pub/utils/util- vserver/util-vserver-0.30.215.tar.bz2

#tar xjf util-vserver-0.30.215.tar.bz2

#cd util-vserver-0.30.215

#./configure --prefix=/usr --sysconfdir=/etc

#make install

ПОДГОТОВКАКЗАПУСКУПередтемкакперейтикзапускувиртуальных окружений(«контекстов»втерминологииLinuxVServer),мыдолжны соответствующимобразомподготовитьоперационнуюсистему.Первое, чтоследуетсделать—примонтироватьфайловуюсистему,накоторой будутрасполагатьсявиртуальныеокружения,сопциейtag.Этодастядру возможностьустанавливатьпринадлежностьопределенныхфайлов конкретномуконтексту,что,всвоюочередь,позволитустанавливать дисковыеквотынаэтотконтекст.

Открываемфайл/etc/fstab,находимстроку,ответственнуюзамонтированиефайловойсистемы,содержащейкаталог/var/lib(виртуальные окруженияпоумолчаниюхранятсяв/var/lib/vservers),идобавляемк опциямеемонтированияфлагtag.Результирующаястрокадолжнавыглядетьпримернотак:

/dev/sda3 /var ext3 tag 1 1

Есликаталогнаходитсянафайловойсистемеreiserfs,добавляемтакже опциюattrs.Отправляемсервервребут.

Теперьнеобходимоустановитьтакназываемый«ChrootBarrier»,который закроетпроцессывиртуальныхсредвуказанномкаталоге,откуданиодин процессокружениянесможетвыбраться:

#setattr --barrier /var/lib/vservers

Âдовершениеподготовительныхдействийпрописываемвпеременную ядраkernel.vshelperпутькскрипту,которыйбудеткорректноостанавливатьвиртуальныйсервер:

#echo "kernel.vshelper = /usr/lib/util-vserver/vshelper" >> /etc/sysctl.conf

#sysctl -p

ЗАПУСКВИРТУАЛЬНОГОСЕРВЕРАДля начала необходимо создать минимальное Linux-окружение, где будут работать изолированные процессы. Сделать это можно с помощью специальных утилит, но гораздо легче и быстрее просто скачать готовый образ (шаблон) с одного из специальных ресурсов. Мы обратимся к хранилищу ftp://ftp. pld-linux.org/people/hawk/vserver-templates/, в котором размещены готовые образы последних релизов CentOS, Debian, Fedora и Ubuntu, предназначенные для применения в системе VServer. Получим образ последнего релиза Ubuntu (ты можешь выбрать любой другой, по своему вкусу):

$ cd /tmp

$ wget ftp://ftp.pld-linux.org/people/hawk/vserver- templates/Ubuntu/jaunty-i386.tar.bz2

Спомощьюспециальнойкомандысоздадимизнегоготовыйкработе виртуальныйсервер:

хост-системыизакрепленныйзанимIP-псевдонимдляпре- доставлениявиртуальнымокружениямдоступавовнешний мир.Дляхранениянастроеккаждогосетевогоинтерфейса используетсяотдельныйкаталогсчисловымименем(0— первыйинтерфейс,1—второйит.д.)Поэтомудлятогочтобы оснаститьвиртуальныйсервердополнительнымсетевым интерфейсом,необходимосоздатькаталогсименем«1»и поместитьвнегонесколькофайловснастройками:

//Привяжем сетевой интерфейс к устройству eth1 хост-системы

# echo "eth1" > dev

//Зададим IP-адрес и маску сети

#echo "192.168.1.2" > ip

#echo "24" > prefix

Обративнимание,чтоеслитысейчасзапустишьвиртуальныйсерверивзглянешьнавыводегокомандыifconfig, тоувидишь,чтообасетевыхинтерфейсаужеполностью настроеныиготовыкработе.СкриптыиутилитыVServer делаютвсюгрязнуюработусами,илюбойвиртуальный серверможнонастроитьспомощьювнешнихконфигурационныхфайлов.

Этожеутверждениеотноситсяикмонтируемымфайловым системам.Вместотого,чтобызаходитьнасервериредактировать/etc/fstab,тыможешьпоместитьмонтируемые ФСвфайл/etc/vservers/vps1/fstab.Поумолчаниюонуже содержитстроки,ответственныезаподключениефайловых систем/dev,/procи/tmp,ккоторымможнодобавить,напри- мер,монтированиедеревапортежейхост-системы(еслив качествевиртуальногосервераиспользуетсяGentoo):

/usr/portage /usr/portage none bind,rw 0 0

СЕТЬМыприсвоиливиртуальномуокружению «фиктивный» IP-адресизвнутреннегодиапазонаадресов,поэтому гостевойсервернесможетполучитьдоступквнешнейсети,а безэтогоонинесервер.Естьдвараспространенныхспособа решенияэтойпроблемы:

1.ПрисвоитьвиртуальномуокружениюбелыйIP-адрес(нуж- нопокупатьупровайдера).

2.НастроитьNATмеждухост-машинойивиртуальным сервером,чтопозволитперенаправлятьисходящийотвиртуальногосервератрафикнавнешнийсетевойинтерфейс хост-системыипускатьнужныйвходящийтрафикпрямиком наадресвиртуальногосервера.

Рассмотримвторойвариантподробнее.НастроимSNAT, чтобыисходящийотвиртуальногосервератрафиквыходил наружу:

>>

ВКАТАЛОГЕ/DEV ВИРТУАЛЬНОГОСЕРВЕРАНЕТ НИЧЕГО, ЧТОМОЖНОИСПОЛЬЗОВАТЬДЛЯВЫХОДА ЗАПРЕДЕЛЫОКРУЖЕНИЯ

# iptables -t nat -A POSTROUTING -s 192.168.1.1/24 \ -d ! 192.168.1.1/24 -j SNAT --to-source <Внешний IP>

ИDNAT,чтобыпредназначенныйдляопределенныхсетевыхсервисов трафикперенаправлялсянаIP-адресвиртуальногосервера(примердля web-сервера,работающегоподуправлениемVServer):

#iptables -t nat -A PREROUTING -s ! 192.168.1.1/24 \ -m tcp -p tcp --dport 80 \

-j DNAT --to-destination 192.168.1.1:80

ОГРАНИЧЕНИЯРЕСУРСОВНастройкиограниченийресурсов,накладываемыхнавиртуальныйсервер,хранятсявкаталогахdlimitsиrlimits.По умолчаниюэтикаталогинесуществуют,поэтомусерверможетотъедать ресурсыпочтинаравныхсхост-системой.Чтобыисправитьситуацию,со- здадимкаталог/etc/vservers/vps1/dlimits,которыйбудетхранитьнастройки,накладывающиелимитнаиспользованиедисковогопространства:

#cd /etc/vservers/vps1

#mkdir dlimits

Создадимкаталогдлянастроеккорняфайловойсистемывиртуального сервера(насамомделеимяможетбытьлюбым):

#mkdir dlimits/root

#cd dlimits/root

Укажемкаталог,длякоторогобудутдействоватьограничения:

# echo "/var/lib/vservers/vps1" > directory

Лимитнаколичествоиндексныхдескрипторов(максимальноеколичествофайлов):

# echo "10000" > inodes_total

Максимальноепространство,котороемогутзаниматьфайлыэтоговиртуальногоокружения(укажем10Гб):

# echo "10485760" > space_total

Процентзарезервированногодляпользователяrootпространства:

# echo "5" > reserved

Теперьустановимтэгнасуществующиефайлывиртуальногосервера, чтобыядросмоглоопределитьихпринадлежностьvps1иправильнорас- считатьлимиты(файлы,созданныевиртуальнымокружением,автомати- ческиполучатэтоттэг):

# chxid -URx -c vps1 /var/lib/vservers/vps1

Все,теперьможнозапуститьвиртуальныйсерверивыполнитькоманду vdlimit,котораяпокажетзанятыевиртуальнымсерверомресурсыФСи лимиты:

# vdlimit --xid vps1 /var/lib/vservers/vps1

Отлимитоввсегдаможноизбавиться,простоудаливкаталог/etc/ vservers/vps1/dlimits/rootивыполнивкомандуvdlimitсфлагом'--remove', котораяотменитихдлязапущенногосервера:

# vdlimit --xid vps1 --remove /var/lib/vservers/vps1

Для хранения настроек лимитов на виртуальную память и процессорное время предусмотрен каталог /etc/vservers/имя_контекста/ rlimits. Linux VServer использует системный вызов setrlimit(2) для накладывания лимитов на ресурсы контекста. Всего существует 22 различных вида ресурсов (15 в ванильном ядре + 7, добавляемые Linux VServer), наиболее интересные из них перечислены ниже (страница = 4 Кб для x86):

cpu — Процессорное время, выделяемое контексту, в миллисекундах

fsize — Размер файла в килобайтах

rss — Размер резидентной памяти в страницах nproc — Количество процессов

as — Размер адресного пространства контекста в страницах nice — Приоритет, который может получить процесс контекста nsock — Число открытых сокетов

openfd — Число открытых файловых дескрипторов

Чтобыустановитьмаксимальноезначениедлякаждогоизэтихресурсов, достаточнозаписатьчисловодноименныйфайлвнутрикаталога/etc/ vservers/имя_сервера/rlimits.Например,ограничимадресноепространствоконтекстазначением100Мб(25600*4Кб):

#mkdir /etc/vservers/vps1/rlimits

#echo "25600" > /etc/vservers/vps1/rlimits/as

Крометого,вLinuxVServerвстроенагибкаясистемаограниченияконтекстоввправахиполномочиях,возможностикоторойможноиспользовать длянаделенияконтекстаособымипривилегиямиили,наоборот,лишения прав.Все,чтопозволеноконтексту,должнобытьперечисленовфайле/ etc/vservers/имя_контекста/ccapabilities.Вотвозможныефлагиэтого файла:

SET_UTSNAME — Возможность использовать системные вызовы setdomainname(2) и sethostname(2) для установки имени хоста SET_RLIMIT — Право использовать setrlimit(2) для управления лимитами

RAW_ICMP — Право использовать "сырые" сокеты

SYSLOG — Использование syslog(2) для ведения журналов SECURE_MOUNT — Разрешить mount(2)

SECURE_REMOUNT — Разрешить перемонтирование BINARY_MOUNT — Бинарное/сетевое монтирование QUOTA_CTL — Разрешить накладывать квоты ADMIN_MAPPER — Разрешить доступ к "device mapper" ADMIN_CLOOP — Доступ к loop-устройству

KTHREAD — Возможность создавать потоки ядра

Существует и множество других флагов, которые следует указывать в файлах flags, nflags, bcapabilities и ncaps. Детальное их описание можно найти на страничке linux-vserver.org/util-vserver:Capabilities_ and_Flags.z

АЛЕКСАНДР ЛОЗОВСКИЙ

/ LOZOVSKY@GAMELAND.RU /

PSYCHO:

ДАМСКИЙ УГОДНИКЪ ПСИХОЛОГИЯ ОБЩЕНИЯ С ПРЕКРАСНЫМ ПОЛОМ