книги хакеры / журнал хакер / 114_Optimized

>>

ХАКЕР

Приподключенииксистемеследуетуказатьпортприпомо- щиключа'–p':

$ ssh -p8022 user@127.0.0.1

Естественно,такойподходнесможетзащититьотопытного хакера,нобольшинствопримитивныхскриптов«ненайдут» спрятанныйсерверSSH.Плюс,повесивна22портловушкуhoneypot,можноотлавливатьиблокироватьподобные попытки.

ПараметрAddressFamilyпозволяетопределитьадресное пространство,скоторымпридетсяиметьделосерверуи подключающимсяклиентам.Егоотсутствиевфайлеконфи- гурацииозначаетустановкузначения«any»—тоестьсервер готовработатьспротоколамиIPv4иIPv6.Яиспользуютолько первыйизних:

AddressFamily inet

Актуальна версия OpenSSH 5.0/5.0p1, которая полностью совместима с SSH 1.3, 1.5 и 2.0. Защищенность протокола SSH 1 по нынешним меркам считается недостаточной и по умолчанию используется SSH 2, устойчивый к атакам типа man-in-the-middle, TCP-hijacking и DNS-spoofing. Все современные клиенты (SecureCRT, Putty, TeraTerm Pro)

умеют работать с SSH 2, поэтому нет смысла активиро-

вать SSH 1:

Protocol 2

Сжатиепотокаможнорегулироватьприпомощиопций:

Compression yes

CompressionLevel 6 # Допустимые значения от 1 до 9

Высшуюстепенькомпрессиистоитприменятьтолькопри дорогостоящемтрафикеилимедленныхканалах.

# ListenAddress 0.0.0.0

ListenAddress 192.168.1.2

Кстати, дополнительно через двоеточие можно указать и номер порта, в этом случае значение Port игнорируется. В большинстве дистрибутивов в целях безопасности доступ суперпользователю по SSH закрыт (PermitRootLogin no), и при попытке зарегистрироваться под root мы получаем сообщение об ошибке. Для выполнения задач, требующих привилегий администратора, приходится заходить под обычным пользователем и использовать suили sudo. Красиво выйти из ситуации поможет директива Match. В качестве аргумента ей пере-

дается критерий отбора (User, Group, Host, Address), его значение и параметр, который нужно применить. Для примера разрешим подключение под root только с localhost и из доверенной подсети 192.168.5.0/24:

PermitRootLogin no

Match Host 192.168.5.*,127.0.0.1

PermitRootLogin yes

Подефолтудоступксерверуразрешендлявсехгруппипользователей.СпомощьюпараметровAllowUsers/AllowGroups, DenyUsers/DenyGroupsможноуказать,комуразрешены,а комузапрещенывходящиеSSH-подключения.Вкачестве примерасоздадимотдельнуюгруппу,членамкоторойибудет разрешендоступ:

$ sudo addgroup --gid 450 sshlogin

$sudo adduser petja sshlogin

ВконфигOpenSSHпрописываем:

AllowUsers admin@212.34.10.*

AllowGroups sshlogin

info

•Чтобы работал форвардинг, параметр

AllowTcpForwarding в файле sshd_config

должен быть установлен в значение «yes».

•Програм-

ма ClusterSSH

(clusterssh.sf.net)

позволяет открыть несколько соединений по SSH и одновременно выполнять на них команды.

• С помощью SHFS

(SHell FileSystem, shfs. sf.net) очень просто монтировать файловые системы, расположенные на удаленных компьютерах.

ХАКЕР.PRO

links

По адресу www. jfranken.de/ homepages/johannes/ vortraege/ssh2_inhalt. en.html ты найдешь отличное руководство по созданию туннелей.

ВDebianиUbuntuдляаутентификациипоумолчанию используетсяGSSAPI(GenericSecurityServicesApplication ProgrammingInterface),чтообычнотребуетвремени.Есть смыслиспользоватьэтотмеханизмтолькосовместнос Kerberos5,иначеегоможноотключить,уменьшивзадержку. ОдновременнозапретимиспользованиеодноразовыхпаролейнабазесистемыS/Key:

GSSAPIAuthentication no

ChallengeResponseAuthentication no

Несколькопараметроввsshd_configпозволяютконтролироватьвремяработыибездействияклиента,ноониневсегда такужполезны.Например,поумолчаниюTCPKeepAlive установленв«yes»;этоозначает,чтосервербудетпериоди- ческипроверять,находитсяликлиент«налинии»—еслион неотвечает,соединениеавтоматическиразрывается.Ихотяс нимсистемныересурсынерасходуютсязря,вцеляхбезопасностиеголучшеотключить:

TCPKeepAlive no

Хакер,анализируятакиепакеты,можетпровестирядсетевых атак,поэтомувместоTCPKeepAliveлучшеиспользовать директивы:

ClientAliveInterval 15

ClientAliveCountMax 3

Следующиедвапараметрапозволяютконтролироватьнеудачныеподключенияксерверу:

LoginGraceTime 60

MaxStartups 2:50:10

ПараметрLoginGraceTimeопределяет,поистечениюкакоговременипростаивающееподключениебудетразорвано (всекундах).Значениепоумолчанию(120)явнозавышено. КоличествопараллельныхнеаутентифицированныхподключенийксерверуконтролируетсяприпомощиMaxStartups. Записьпараметраимеетформу«start:rate:full».В нашемслучаеонаозначаетотключениесвероятностью50% приналичиидвухнеаутентифицированныхсвязейслинейнымростомвероятностидо100%придостижении10.

Установкивфайлах/etc/ssh/sshrcили~/.ssh/rc

позволяютвыполнитьдействияприрегистрациипользова-

теля.Здесьможноиспользоватьлюбыекомандыоболочки. Например,отправляемнапочтууведомление,чтовсистему поsshзашелпользователь:

$ sudo vim /etc/ssh/sshrc

echo $(date) $SSH_CONNECTION $USER $SSH_TTY | mail -s "ssh login" admin@domain.ru

Таким образом, можно полностью контролировать подключения.

Золотые ключики

Аутентификацияприпомощипароляневсегдабезопасна, поэтомунекоторыеsecurity-специалистысоветуютееотклю- читьивоспользоватьсяавторизациейпоключам:

PasswordAuthentication no

PubkeyAuthentication yes

Чтобыподстраховаться,стоитограничитьдоступбеспарольнымклиентам.Нужныепараметрыможноуказыватьпрямов

~/.ssh/authorized_keys:

$ vim .ssh/authorized_keys from="192.168.0.*,212.34.XX.YY" ssh-rsa AAAA[...]

Здесьжедопускаетсязадаватькоманды,которыебудутвызваныприподключении:

command="ssh -t user@192.168.5.201" ssh-rsa AAAA[...]

Этотподходможноиспользоватьдлясозданиябэкапов.Генерируемпаруключей(секретныйипубличный):

$ sudo ssh-keygen -t rsa -C 'remote backup' Generating public/private rsa key pair. Enter file in which to save the key (/home/ user/.ssh/id_rsa): /home/user/.ssh/id_rsa_ backup

Добавляемпубличныйключвсписокавторизованныхключейнаудаленнойсистеме:

$ ssh remotehost "mkdir -m 700 .ssh; umask

$ tar zcf — ~/coding | ssh remotehost 'cat > coding.tgz'

КонфигOpenSSH

077"; \

cat > .ssh/authorized_keys" < .ssh/id_rsa_backup.

pub

Затемредактируемauthorized_keys(ключ‘-t’следуетиспользоватьпри запускепрограмм,требующихдляработыналичияпсевдотерминала):

$ ssh -t remotehost vim .ssh/authorized_keys from="192.168.0.*,212.34.XX.YY",command="cd /work; tar cvf — ./* | bzip2 -9",no-pty,no-agent-forwarding,no- X11 forwarding,no-port-forwarding ssh-rsa AAAA[...]

Изапускаемпроцедурурезервногокопирования:

$ ssh -i .ssh/id_rsa_backup remotehost > \ ~/backup/work-'date +%d%m%Y'.tar.bz2 2>/dev/null

Каталог/work,находящийсянасервереremotehost,будетсохраненв архив~/backup/work-11052008.tar.bz2.

Защищаем сетевые соединения

ИспользуяSSH,можнозащититьинформацию,котораяпередаетсяпрограммами,неимеющимивстроенныхмеханизмовшифрованиясоединения.Например,сделаембэкапспомощьюdump(8) наудаленныйсервер:

$ sudo dump -0au -f — /dev/rwd1a | gzip -9 | \ ssh remotehost 'dd of=cvs_backup.dump.gz'

Хотя,еслинемногопостараться,dumpможноибезпримененияканалов подружитьсssh:

$ ssh remotehost touch /home/user/cvs.dump

$ env RSH='which ssh' sudo -E dump 0f remotehost:/home/ user/cvs.dump /cvs

Передатьфайл,используяOpenSSH,можнооднимизследующихспособов:

$ cat myfile | ssh remotehost 'cat > myfile'

Примечаниередактора:притрансфередвоичныхданныхвсегдапроверяйразмерисходных ицелевыхфайлов—багимогутподстерегатьв самыхнеожиданныхместах:

%dd if=/dev/arandom of=/tmp/file1 bs=1k count=1k 2>/dev/null

%ssh -t localhost "cat /tmp/file1" >/tmp/file2

%ls -l /tmp/file*

— rw-r--r-- 1 andrushock wsrc 1048576 May 11 13:55 /tmp/file1 — rw-r--r-- 1 andrushock wsrc 1066982 May 11 13:56 /tmp/file2

Чтобырекурсивноотправитьвеськаталог, набираем:

$ scp -r mydir user@host.domain. ru:~/

Длябезопасногополученияпочтыкfetchmail легкоприкрутитьssh.Дляэтогосоздаемфайл

~/.fetchmailrcссодержанием:

poll localhost with protocol pop3 and port 8110: preconnect "ssh -f -q -C user@213.167.XX.YY \ -L 8110:213.167.XX.YY:110 sleep 10" password

noIdea;

Забираемпочту:

$ fetchmail

1 message for user at localhost (8062 octets). reading message user@localhost.domain.ru:1 of 1 (8062 octets)....... flushed

Организовавзащищенныйтуннель,можноперенаправитьвнеголюбой трафик.Например,смонтируемудаленныйресурсSambaпоканалу,организованномучерезSSH:

$ ssh -L 8139:domain.ru:139 user@domain.ru

SSH-форвардингвзависимостиоттого,гдеперенаправляютсяпакеты, можноорганизоватьдвумяспособами:локально(ключ '-L ')илиуда- ленно('-R ').Вомногихсистемахоткрыватьсоединенияспортаминиже 1024имеетправотолькоroot,поэтомувыбираем8139.Теперьмонтируем удаленныйресурс:

$ smbmount //domain.ru/share /mnt -o username=user,ip=lo calhost,port=8139

Аналогичноможнотуннелироватьилюбойдругойтрафик.Например, организуемподключениекудаленномуSMTP-серверучерезSSH:

# ssh -L 25:domain.ru:25 user@domain.ru

Альтернативнымрешениембудетиспользованиефайлаauthorized_ keysизапускспомощьюxinetd.

# cat ~/.ssh/tunnel_key

command="nc localhost 25",no-X11 forwarding,no-agent-

СоздаемSOCKS-сервер

forwarding,no-port-forwarding ssh-rsa AAAA[...]

Подключаемся:

#ssh -i ~/.ssh/tunnel_key user@domain.ru

Вответдолжныполучитьбаннерудаленногопочтовогосервера.Теперь создаемфайлдляxinetd:

$sudovim/etc/xinetd.d/smtp

service smtp

{

Изчего

состоитOpenSSH

ssh-add—вспомогательнаяпрограммадлядобавленияличных ключейвкэш;

ssh-agent—демон,занимающийсякэшированиемдешифрованных личныхключей;

scp—утилитадлябезопасногокопированияфайловмеждухостами; sftp—клиентскаяпрограммадляsftp-server;

sftp-server—сервернаяреализациязащищенногоftp; ssh—клиент,обеспечивающийбезопасноесоединение;

sshd—демон,ожидающийподключения,выполняющийаутентифи- кациюиполностьюобслуживающийssh-клиента;

ssh-keygen—утилитадлясозданияимодификацииключей; ssh-keyscan—утилитадлясборапубличныхключей;

ssh-keysign—помощникприиспользованииметодааутентифика- ции,основанногонапроверкехостов.

Продвинутое использование .ssh/config

Другойвариантнастройкифорвардинга—использование файла~/.ssh/config.Например,настроим192.168.1.1

наперенаправлениевходящейиисходящейпочтыпошифрованномуканалудляклиентовиз192.168.1.0/24 наmail. domain.ru:

$vim.ssh/config

Host mail

Hostname mail.domain.ru LocalForward 192.168.1.1:8025 mail.

domain.ru:25

LocalForward 192.168.1.1:8110 mail. domain.ru:110

LocalForward 192.168.1.1:8143 mail. domain.ru:143

GatewayPorts yes

Кстати,прописавв~/.ssh/configпараметрыиспользуемыхсерверов, можнослегкостьюуправлятьсразувсейстаей.

$vim.ssh/config

Host server1

HostName ns.domain1.ru

User admin

Host server2

Hostname mail.domain2.ru

User support

Теперьопросимсерверыкомандой:

ksh% for i in 1 2; do ssh server$i «uptime»; done 5:37PM up 1 day, 23:45, 1 user, load averages: 0.25, 0.22, 0.22

5:37PM up 51 days, 1:49, 0 users, load averages: 0.25, 0.25, 0.24

Каквариант,дляэтихцелейможноиспользоватьинтерпретаторPerl (примердлядесятиподконтрольныхсерверов):

% perl -e ‘foreach $i (1 .. 10) {print 'ssh server$i "uptime"'}'

Есличастоприходитсяработатьснесколькимиудаленнымихостами, советуюприсмотретьсякпроектуClusterSSH(clusterssh.sf.net).ОнпозволяетоткрытьнесколькосоединенийпоSSHиодновременновыполнятьна нихкоманды.НужныепакетыужеестьврепозитарииDebian/Ubuntu:

$sudo aptitude install clusterssh

Изапускаем:

$ cssh one two three

ПараметрProxyCommandпозволяетвыполнитьпроизвольнуюкоманду. Дляпримераподключимсячерезшлюзкфайловомусерверу,который находитсязаNAT:

$vim.ssh/config

Host gateway

HostName ns.domain.ru

Host filesrv

HostName 192.168.5.201

ProxyCommand ssh gateway nc -w 180 %h %p

Подключаемся:

$ ssh filesrv

ИспользованиепараметраControlMasterпозволяетускоритьдоступк удаленномусерверузасчеттого,чтовспециальномфайлесохраняются всепараметрыпредыдущегосеанса,которыеииспользуютсяприповтор- номподключении.ДляпримерасоздадимдвеHost-секции:

$vim.ssh/config

Host srv1

HostName 213.167.XX.YY ControlMaster yes

# Здесь %r — имя, %h — хост и %p — порт

ControlPath ~/.ssh/ctl-%r-%h-%p Host srv1fast

HostName 213.167.XX.YY ControlMaster no

ControlPath ~/.ssh/ctl-%r-%h-%p

Теперьнасервереsrv1выполняемутилитуuptime.Логинимсянанем (чтобысоздатьлокальныйсокетдлявторогоподключения),переходимна другуюконсольисновазапрашиваемстатистическиесчетчики:

ttyp0% time ssh srv1 uptime

5:55PM up 37 days, 9:19, 1 user, load averages: 0.33,

ttyp0% ssh srv1

ttyp1% time ssh srv1fast uptime

5:57PM up 37 days, 9:20, 2 users, load averages: 0.37,

Каквидишь,примультиплексированиисоединенийвремявыполнения командыuptimeнаудаленномсервереуменьшилосьв25раз—настоящее турбореактивноеускорение!

Секурные носки

Ноэтоещеневсечудеса.OpenSSHможноиспользоватькакспециальный SOCKS-сервер,которыйподдерживаетболеегибкоепроксирование,чем простоеперенаправлениепортов.Например,команда:

$ ssh — D1080 user@domain.ru

создаетлокальныйSOCKS5 сервер,которыйждетподключенияна localhost:1080.Альтернативныйвариант—прописатьдирективу

DynamicForwardв.ssh/config:

$vim.ssh/config

Host proxy

HostName ns.domain.ru

DynamicForward 1080

Подключаемся,введя«ssh proxy».ПротестироватьработуSOCKS5 сервераможнотакойкомандой:

$ echo -n "GET / HTTP/1.0\r\n\r\n" | nc -X 5 -x 127.0.0.1:1080 \

www.domain.ru 80 | head -4

Жанна «mehovushka» Кондратьева

/ mehovushechka@yandex.ru /

Прикладной уровень

Как манипулируют толпой? Можно ли противостоять массовой панике? Как бороться с моббингом? Эти и другие вопросы, связанные с психологией масс, задают себе самые разные ученые. Существует огромное количество теорий, так или иначе объясняющих это явление. Но нас с тобой интересует практическое их применение и те проблемы, с которыми мы сталкиваемся ежедневно в той или иной социальной группе — будь то учебный или рабочий коллектив, или модная тусовка.

Феномен «заражения»

С объединением людей в толпу связаны некоторые интересные эффекты. Один из них — феномен «заражения». Его проявления многообразны: от группового азарта до массовых психозов. Представь себе полный зал людей на концерте Задорнова. Со сцены рассказали смешной анекдот, и все громко смеются. Ты только что вошел и не слышал шутку, однако общее настроение захватывает, и ты тоже от души смеешься. Передача эмоционального состояния на психофизиологическом уровне от группы к индивиду и есть принцип заражения или, по-научному, — циркуляционная реакция. Такое заражение может быть как положительным, так и отрицательным. Оно стирает индивидуальность личности, снижает роль здравого смысла; ты начинаешь чувствовать и реагировать «как все».

У человека, охваченного эмоциональным заражением, повышается восприимчивость к импульсам, источник которых находится внутри толпы, зато снижается восприимчивость к импульсам извне. Соответственно, усиливаются барьеры против логических аргументов и рациональных доводов. И поэтому попытка воздействовать на массу логикой в такие моменты может оказаться опасной. Здесь необходимы приемы, адекватные ситуации, а если ты ими не владеешь, то лучше держаться от толпы подальше. Добавлю, что феномен эмоционального заражения не является однозначно негативным или позитивным. Он может сопровождать любое массовое мероприятие, например, концерт твоей любимой

Статьяометодахвыживаниявтолпе

выбора. Поэтому метофактором почти всегда становится психическое состояние дами психологическосубъекта (личности, общества, группы или толпы). Конечно

данность происходящего).

Конечно, это не все факторы, а только некоторая часть. Главное, что ты должен понимать: чем больше негативных условий разного характера, тем выше вероятность возникновения паники.

При этом механизм распространения паники основан все на том же феномене заражения. Сначала сильный испуг возникает у одного или нескольких человек. Испуг сопровождается криками (например, «Пожар!»), иногда несвязными, или проявляется хаотичными движениями. Затем страх передается остальным. Но бывает и так, что панику вызывает не реальное происшествие, а некое страшное ожидаемое событие, катализатором которого может стать словесное и какое-либо другое обозначение — резкий громкий звук или что-то еще.

Приведем пример из истории. В Первой Мировой войне немцы применяли отравляющие газы — страшное оружие, против которого был бесполезен опыт бывалых солдат и предсмертные мучения от которого превзошли все виденное ими ранее. Это вызвало чрезвычайную напряженность в войсках. Зафиксированы случаи, когда газов не применяли, но кому-то из солдат что-то казалось, и испуганный крик «Газы!» обращал в бегство целые батальоны. Очень трудно одному индивиду противостоять толпе, когда та ударилась в панику. Даже самый отъявленный индивидуалист поддается гипнозу масс.

Два основных правила, которые стоит помнить: держись от толпы как можно дальше и, если уж решил влиться в толпу, подумай, как ты собираешься из нее выбираться, если вдруг что-то случится.

Моббинг

Моббинг — от английского mob (толпа) — групповое психологическое притеснение кого-либо со стороны нескольких человек, чаще всего в рабочем коллективе. Если еще проще, то это травля толпой одного человека. Моббинг включает в себя постоянные негативные высказывания, критику, социальную изоляцию внутри группы, исключение из социальных контактов, распространение о человеке заведомо ложной информации и т.п. Подобный феномен имеет под собой психологические корни. И одной из причин моббинга может быть страх.

В коллективах нередко проявляется настороженное отношение к тому,

кто «не такой, как все». Причем, моббинг по причине страха не возникает в тех сообществах, которые сформированы «с нуля». Там еще нет деления на «свой и чужой». А вот если

Некоторые подвидытолпы

•Окказиональнаятолпа(отангл.occasion—случай-

ность)—скоплениелюдей,собравшихсяпоглазетьна неожиданноепроисшествие,например,автомобильнуюкатастрофу.

•Конвенциональнаятолпа(отангл.convention—ус-

ловность)собираетсяпоповодузаранееобъявленного события(рок-концерт,футбольныйматч).

•Экспрессивнаятолпа(отангл.expression—выраже-

ние)—толпа,ритмическивыражающаятуилииную эмоцию:радость,энтузиазм,возмущение.Речьидет олюдях,скандирующихлозунгнамитинге,громко поддерживающихлюбимуюкомандуиликлеймящих судьюнастадионе.

•Экстатическаятолпа(отангл.ecstasy—экстаз)

—экстремальнаяформаэкспрессивнойтолпы.Вэкста- зелюдимогутсамозабвенноистязатьсебя.

•Агрессивнаятолпа(отангл.Aggressive—напорис-

тый)—толпа,эмоциональнаядоминантакоторойэто яростьизлоба.

•Паническаятолпа(отангл.panic—переполох,трево- га)—толпа,объятаяужасом;каждыйвнейстремится избежатьреальнойиливоображаемойопасности.

Маг

/ icq 884888 /