מדריך לאבטחת מערכת לינוקס. גלישה בטוחה בהגבלות קישור סמליות של אובונטו

09.07.2020

משתמשים רבים נתקלים בבעיות בעת ניסיון להגדיר חיבור לאינטרנט באובונטו. לרוב זה נובע מחוסר ניסיון, אך עשויות להיות סיבות אחרות. המאמר יספק הנחיות להקמת מספר סוגי קשרים עם ניתוח מפורט של כל הסיבוכים האפשריים בתהליך היישום.

ישנם סוגים רבים של חיבורי אינטרנט, אך מאמר זה יכסה את הפופולריים שבהם: רשת קווית, PPPoE ו-DIAL-UP. נדבר גם על הגדרת שרת DNS נפרד.

פעילויות הכנה

לפני שתתחיל ליצור חיבור, עליך לוודא שהמערכת שלך מוכנה לכך. מיד יש צורך להבהיר כי הפקודות מבוצעות ב "מָסוֹף", מחולקים לשני סוגים: אלה הדורשים זכויות משתמש (קודם להם הסמל $ ) ודורשים זכויות משתמש-על (בהתחלה יש סמל # ). שימו לב לזה, כי בלי הזכויות הנדרשותרוב הפקודות פשוט יסרבו להתבצע. ראוי גם להבהיר כי הסמלים עצמם ב "מָסוֹף"אין צורך להיכנס.

תצטרך להשלים מספר נקודות:

בין היתר, עליך לדעת את שם מתאם הרשת. כדי לברר, היכנס "מָסוֹף"הקו הזה:

$ sudo lshw -C רשת

כתוצאה מכך, תראה משהו כזה:

שמו של מתאם הרשת שלך יופיע מול המילה "שם הגיוני". IN במקרה הזה "enp3s0". זה השם שיופיע במאמר זה עשוי להיות שונה עבורך.

הערה: אם למחשב שלך יש מספר מתאמי רשת, אז הם ימוספרו בהתאם (enp3s0, enp3s1, enp3s2 וכן הלאה). החלט עם איזה מהם תעבוד והשתמש בו בהגדרות הבאות.

שיטה 1: טרמינל

"מָסוֹף"הוא כלי נקודתי להגדרת הכל באובונטו. בעזרתו ניתן יהיה ליצור חיבור אינטרנט מכל הסוגים, ועל כך נדון כעת.

הגדרות רשת חוטית

הגדרת רשת קווית באובונטו מתבצעת על ידי ביצוע הגדרות חדשות בקובץ התצורה "ממשקים". לכן, ראשית עליך לפתוח את הקובץ הזה:

הערה: הפקודה לפתיחת קובץ התצורה משתמשת בעורך הטקסט של Gedit, אך ניתן להזין כל עורך אחר, למשל, vi, בחלק המתאים.

כעת עליך להחליט איזה סוג IP יש לספק שלך. ישנם שני סוגים: סטטי ודינמי. אם אתה לא יודע בוודאות, אז התקשר לטכנאי. לתמוך ולהתייעץ עם המפעיל שלך.

ראשית, בואו נסתכל על IP דינמי - התצורה שלו פשוטה יותר. לאחר היכרות פקודה קודמת, בקובץ שנפתח, ציין את המשתנים הבאים:

iface [שם ממשק] inet dhcp
אוטומטי [שם ממשק]

iface [שם ממשק] inet dhcp- מתייחס לממשק שנבחר, בעל כתובת IP דינמית (dhcp);
אוטומטי [שם ממשק]- עושה בעת התחברות חיבור אוטומטילממשק שצוין עם כל הפרמטרים שצוינו.

לאחר הכניסה אתה אמור לקבל משהו כזה:

קצת יותר קשה להגדיר IP סטטי. העיקר להכיר את כל המשתנים. בקובץ התצורה עליך להזין את השורות הבאות:

iface [שם ממשק] inet static
כתובת כתובת]
מסיכת רשת [כתובת]
כתובת מילוט]
dns-nameservers [כתובת]
אוטומטי [שם ממשק]

לאחר הזנת כל הפרמטרים תראה משהו כזה:

אל תשכח לפני הסגירה עורך טקסטלשמור את כל הפרמטרים שהוזנו.

בין היתר, במערכת ההפעלה אובונטו ניתן להגדיר באופן זמני חיבור לאינטרנט. זה שונה בכך שהנתונים שצוינו אינם משנים את קבצי התצורה בשום אופן, ולאחר הפעלה מחדש של המחשב, הכל זהה הגדרות שצוינויתאפס. אם זו הפעם הראשונה שאתה מנסה ליצור חיבור קווי באובונטו, אנו ממליצים להשתמש בשיטה זו כדי להתחיל.

כל הפרמטרים נקבעים באמצעות פקודה אחת:

$ sudo ip addr add 10.2.119.116/24 dev enp3s0

10.2.119.116 - כתובת ה - IP כרטיס רשת(ייתכן שזה שונה עבורך);
/24 - מספר הביטים בחלק הקידומת של הכתובת;
enp3s0- ממשק הרשת שאליה מחובר כבל הספק.

על ידי הזנת כל הנתונים הדרושים וביצוע הפקודה ב "מָסוֹף", אתה יכול לבדוק את נכונותם. אם האינטרנט מופיע במחשב, אז כל המשתנים נכונים וניתן להזין אותם לקובץ התצורה.

הגדרות DNS

הגדרת חיבור DNS ב גרסאות שונותאובונטו פועלת אחרת. בגרסאות מערכת ההפעלה החל מ-12.04 יש שיטה אחת, בגרסאות קודמות יש שיטה אחרת. נשקול רק ממשק חיבור סטטי, מכיוון שממשק דינמי מרמז זיהוי אוטומטישרתי DNS.

תצורה בגרסאות מערכת ההפעלה הגבוהות מ-12.04 מתרחשת בקובץ ידוע כבר "ממשקים". עליך להיכנס לקו "שרתי שמות dns"ורשום את הערכים מופרדים ברווחים.

אז קודם כל פתח דרך "מָסוֹף"קובץ תצורה "ממשקים":

$ sudo gedit /etc/network/interfaces

dns-nameservers [כתובת]

כתוצאה מכך, אתה אמור לקבל משהו כזה, רק הערכים עשויים להיות שונים:

אם אתה רוצה להגדיר DNS באובונטו יותר גרסה מוקדמת, אז קובץ התצורה יהיה שונה. בואו נפתח את זה דרך "מָסוֹף":

$ sudo gedit /etc/resolv.conf

לאחר מכן תוכל להגדיר בו את כתובות ה-DNS הדרושות. כדאי לקחת בחשבון שבניגוד להזנת פרמטרים ב "ממשקים",V "resolv.conf"כתובות נכתבות בכל פעם מפיסקה, קידומת משמשת לפני הערך "שם שרת"(ללא ציטוטים).

הגדרת חיבור PPPoE

הגדרת PPPoE באמצעות "מָסוֹף"אינו מרמז על הזנת פרמטרים רבים לקובצי תצורה שונים במחשב. להיפך, רק פקודה אחת תשמש.

לכן, כדי ליצור חיבור נקודה לנקודה (PPPoE), עליך לבצע את הפעולות הבאות:

לאחר כל הצעדים שננקטו, המחשב שלך ייצור חיבור לאינטרנט, אם עשית הכל נכון.

שים לב שכברירת מחדל, כלי השירות pppoeconfנותן שם לחיבור שנוצר dsl-ספק. אם אתה צריך לסיים את החיבור, הפעל "מָסוֹף"פקודה:

$ sudo poff dsl-provider

כדי ליצור את החיבור שוב, הזן:

$ sudo pon dsl-ספק

הערה: אם אתה מתחבר לרשת באמצעות כלי השירות pppoeconf, אזי ניהול הרשת דרך מנהל הרשת לא יתאפשר עקב הזנת הפרמטרים לקובץ התצורה של "ממשקים". כדי לאפס את כל ההגדרות ולתת שליטה למנהל הרשת, עליך לפתוח את קובץ ה"ממשקים" ולהחליף את כל התוכן בטקסט למטה. לאחר הכניסה, שמור את השינויים והפעל מחדש את הרשת עם הפקודה "$ sudo /etc/init.d/networking restart" (ללא מרכאות). הפעל מחדש גם את כלי השירות Network Manager על ידי הפעלת "$ sudo /etc/init.d/NetworkManager restart" (ללא המירכאות).

הגדרת חיבור חיוג

כדי להגדיר חיוג, אתה יכול להשתמש בשני כלי עזר למסוף: pppconfigו wvdial.

הגדר חיבור באמצעות pppconfigפשוט מספיק. בדרך כלל השיטה הזאתדומה מאוד לקודם ( pppoeconf): ישאלו אותך שאלות באותו אופן, על ידי תשובה אשר בסופו של דבר תיצור חיבור לאינטרנט. ראשית, הפעל את כלי השירות עצמו:

$ sudo pppconfig

לאחר מכן, עקוב אחר ההוראות. אם אינך יודע חלק מהתשובות, מומלץ לפנות למפעיל מאלה. תמיכה של הספק שלך ולהתייעץ איתו. לאחר השלמת כל ההגדרות, החיבור יוקם.

לגבי הגדרות באמצעות wvdial, אז זה קורה קצת יותר מסובך. ראשית עליך להתקין את החבילה עצמה באמצעות "מָסוֹף". לשם כך, הפעל את הפקודה הבאה:

$ sudo apt להתקין wvdial

הוא כולל כלי שנועד להגדיר באופן אוטומטי את כל הפרמטרים. זה נקרא "wvdialconf". תריץ את זה:

$sudo wvdialconf

לאחר ביצוע זה ב "מָסוֹף"פרמטרים ומאפיינים רבים יוצגו - אתה לא צריך להבין אותם. אתה רק צריך לדעת שהכלי יצר קובץ מיוחד "wvdial.conf", שלתוכו הכנסתי אוטומטית את הפרמטרים הדרושים, כשקראתי אותם מהמודם. לאחר מכן עליך לערוך את הקובץ שנוצר "wvdial.conf", בואו נפתח את זה דרך "מָסוֹף":

$ sudo gedit /etc/wvdial.conf

כפי שאתה יכול לראות, רוב ההגדרות כבר צוינו, אך עדיין יש להשלים את שלוש הנקודות האחרונות. יהיה עליך להזין בהם את מספר הטלפון, התחברות והסיסמה שלך, בהתאמה. עם זאת, אל תמהרו לסגור את הקובץ, לעוד עבודה נוחהמומלץ להוסיף עוד כמה פרמטרים:

שניות סרק = 0- החיבור לא ינותק גם אם לא תהיה פעילות במחשב במשך זמן רב;
ניסיונות חיוג = 0- עושה אינסוף ניסיונות ליצור קשר;
פיקוד חיוג = ATDP- המספר יחוייג בשיטת דופק.

כתוצאה מכך, קובץ התצורה ייראה כך:

שימו לב שההגדרות מחולקות לשני בלוקים, המסומנים בשמות בסוגריים. זה הכרחי כדי ליצור שתי גרסאות של שימוש בפרמטרים. אז, הפרמטרים מתחת «» , תמיד יבוצע, אבל מתחת «» - בעת ציון האפשרות המתאימה בפקודה.

לאחר ביצוע כל ההגדרות, כדי ליצור חיבור DIAL-UP, עליך להפעיל את הפקודה הבאה:

אם ברצונך ליצור חיבור דופק, כתוב את הדברים הבאים:

$ sudo wvdial דופק

לשבור חיבור נוצר,V "מָסוֹף"אתה צריך ללחוץ על צירוף מקשים Ctrl+C.

שיטה 2: מנהל רשת

לאובנטו יש שירות מיוחד, שיעזור ליצור חיבור לרוב הסוגים. בנוסף, יש לו ממשק גרפי. זהו מנהל הרשת, אשר נקרא על ידי לחיצה על הסמל המתאים בצד ימין של הלוח העליון.

הקמת רשת קווית

נתחיל באותו אופן עם הקמת רשת קווית. ראשית עליך לפתוח את כלי השירות עצמו. כדי לעשות זאת, לחץ על הסמל שלו ולחץ "שנה חיבורים" V תפריט הקשר. לאחר מכן, בחלון שמופיע, עליך לבצע את הפעולות הבאות:

לאחר כל הצעדים שננקטו, יש ליצור חיבור לאינטרנט קווי. אם זה לא קורה, בדוק את כל הפרמטרים שהוזנו אולי עשית טעות איפשהו. כמו כן, אל תשכח לבדוק אם תיבת הסימון שליד "ניהול רשת"בתפריט הנפתח של כלי השירות.

הגדרות DNS

כדי ליצור חיבור ייתכן שתצטרך הגדרה ידניתשרתי DNS. כדי לעשות זאת, בצע את הפעולות הבאות:

הגדרת PPPoE

הגדרת חיבור PPPoE במנהל הרשת היא קלה כמו ב "מָסוֹף". למעשה, תצטרך לספק רק את פרטי הכניסה והסיסמה שהתקבלו מהספק. אבל בואו נסתכל על הכל ביתר פירוט.

כעת הופיע חיבור DSL חדש בתפריט מנהל הרשת, על ידי בחירתו תקבלו גישה לאינטרנט. נזכיר לך שלפעמים אתה צריך להפעיל מחדש את המחשב כדי שהשינויים ייכנסו לתוקף.

סיכום

כתוצאה מכך, אנו יכולים לומר שלמערכת ההפעלה אובונטו יש כלים רבים להגדרת החיבור הדרוש לאינטרנט. לכלי השירות Network Manager יש ממשק גרפי, מה שמפשט מאוד את העבודה, במיוחד למתחילים. למרות זאת "מָסוֹף"מאפשר תצורה גמישה יותר על ידי הזנת אותם פרמטרים שאינם בתוכנית השירות.

בכנס LinuxCon השנתי בשנת 2015, היוצר של ליבת GNU/Linux, Linus Torvalds, שיתף את דעותיו על אבטחת המערכת. הוא הדגיש את הצורך למתן את ההשפעה של באגים מסוימים עם הגנה מוכשרת, כך שאם רכיב אחד יתקלקל, השכבה הבאה תכסה את הבעיה.

בחומר זה ננסה לכסות נושא זה מנקודת מבט מעשית:

7. התקן חומות אש

לאחרונה הייתה פגיעות חדשה המאפשרת התקפות DDoS על שרתים מתחת שליטה בלינוקס. באג בליבת המערכת הופיע עם גרסה 3.6 בסוף 2012. הפגיעות מאפשרת להאקרים להחדיר וירוסים לקבצי הורדה, לדפי אינטרנט ולחיבורי Tor פתוחים, והפריצה אינה דורשת מאמץ רב – שיטת זיוף ה-IP תעבוד.

הנזק המקסימלי לחיבורי HTTPS או SSH מוצפנים הוא הפרעה של החיבור, אך תוקף יכול להכניס תוכן חדש לתעבורה לא מוגנת, כולל תוכנות זדוניות. חומת אש מתאימה להגנה מפני התקפות כאלה.

חסום גישה באמצעות חומת אש

חומת אש היא אחד הכלים החשובים ביותר לחסימת לא רצויים תנועה נכנסת. אנו ממליצים לאפשר רק תעבורה נחוצה באמת ולחסום לחלוטין את כל השאר.

כדי לסנן מנות ברוב הפצות לינוקסיש בקר iptables. בדרך כלל הם משתמשים בזה משתמשים מתקדמים, ולצורך תצורה פשוטה אתה יכול להשתמש בכלי השירות של UFW בדביאן/אובונטו או FirewallD בפדורה.

8. השבת שירותים מיותרים

מומחים מאוניברסיטת וירג'יניה ממליצים להשבית את כל השירותים שאתה לא משתמש בהם. חלק מתהליכי הרקע מוגדרים להפעלה אוטומטית ופועלים עד שהמערכת נכבית. כדי להגדיר תוכניות אלה, עליך לבדוק את סקריפטי האתחול. ניתן להפעיל שירותים באמצעות inetd או xinetd.

אם המערכת שלך מוגדרת באמצעות inetd, אז בקובץ /etc/inetd.conf אתה יכול לערוך את רשימת תוכניות הרקע של "דימון" כדי להשבית את טעינת השירות, פשוט שים סימן "#" בתחילת השורה, הפיכתו מקובץ הפעלה להערה.

אם המערכת משתמשת ב-xinetd, התצורה שלה תהיה בספרייה /etc/xinetd.d. כל קובץ ספרייה מגדיר שירות שניתן להשבית על ידי ציון disable = yes, כמו בדוגמה זו:

אצבע שירות ( socket_type = המתנה זרם = אין משתמש = שרת אף אחד = /usr/sbin/in.fingerd disable = yes )
כדאי גם לבדוק אם יש תהליכים מתמשכים שאינם מנוהלים על ידי inetd או xinetd. אתה יכול להגדיר סקריפטים להפעלה בספריות /etc/init.d או /etc/inittab. לאחר ביצוע השינויים, הפעל את הפקודה תחת חשבון השורש.

/etc/rc.d/init.d/inet הפעל מחדש

9. הגן על השרת פיזית

אי אפשר להגן לחלוטין מפני התקפות של תוקף עם גישה פיזית לשרת. לכן, יש צורך לאבטח את החדר שבו ממוקמת המערכת שלך. מרכזי נתונים עוקבים ברצינות אחר האבטחה, מגבילים את הגישה לשרתים, מתקינים מצלמות אבטחה ומקצים אבטחה קבועה.

כדי להיכנס למרכז הנתונים, כל המבקרים חייבים לעבור שלבי אימות מסוימים. כמו כן, מומלץ מאוד להשתמש בחיישני תנועה בכל אזורי המרכז.

10. הגן על השרת מפני גישה לא מורשית

מערכת גישה לא מורשית או IDS אוספת נתוני תצורת מערכת ונתוני קבצים ומשווה מידע נוסף עם שינויים חדשים כדי לקבוע אם הם מזיקים למערכת.

לדוגמה, הכלים Tripwire ו-Aide אוספים מסד נתונים של קבצי מערכתולהגן עליהם עם סט מפתחות. Psad משמש לניטור פעילות חשודה באמצעות דוחות חומת אש.

Bro נועד לנטר את הרשת, לעקוב אחר דפוסי פעילות חשודים, לאסוף נתונים סטטיסטיים, לבצע פקודות מערכתויצירת התראות. ניתן להשתמש ב-RKHunter כדי להגן מפני וירוסים, לרוב rootkits. כלי זה בודק את המערכת שלך מול מסד נתונים של פגיעויות ידועות ויכול לזהות הגדרות לא בטוחות ביישומים.

סיכום

הכלים וההגדרות המפורטים לעיל יעזרו לך להגן חלקית על המערכת, אך האבטחה תלויה בהתנהגותך ובהבנת המצב שלך. ללא טיפול, זהירות וחינוך עצמי מתמיד, ייתכן שכל אמצעי ההגנה לא יפעלו.

קיימת טעות נפוצה לפיה שרתים המריצים מערכת הפעלה לינוקס הם המאובטחים והמוגנים ביותר מפני חדירות חיצוניות. למרבה הצער, זה לא המקרה של כל שרת תלוי במספר גורמים ואמצעים כדי להבטיח את זה והוא כמעט בלתי תלוי במערכת ההפעלה בשימוש.

החלטנו להתחיל סדרת מאמרים על אבטחת רשת עם שרת אובונטו, שכן הפתרונות בפלטפורמה זו מעניינים מאוד את הקוראים שלנו ומכיוון שרבים מאמינים בכך פתרונות לינוקסבטוחים בפני עצמם.

יחד עם זאת, נתב עם כתובת IP ייעודית הוא "שער" לרשת המקומית, וזה יהיה תלוי רק במנהל אם שער זה יהווה מחסום אמין או יתברר כשער מדינה סגור עם מַסְמֵר.

טעות נפוצה נוספת היא נימוק בסגנון: "מי צריך את זה, השרת שלנו, אין לנו שום דבר מעניין." אכן, ייתכן שהרשת המקומית שלך לא תעניין את התוקפים, אבל הם יכולים להשתמש בשרת פרוץ כדי לשלוח דואר זבל, התקפות על שרתים אחרים, פרוקסי אנונימי, בקיצור, כנקודת מוצא לעסקים המפוקפקים שלהם.

וזה כבר לא נעים ויכול לשמש מקור לבעיות שונות: מהספק ועד לרשויות אכיפת החוק. ועל התפשטות וירוסים, גניבות והרס מידע חשובאתה גם לא צריך לשכוח, כמו גם את העובדה שזמן השבתה של ארגון מוביל להפסדים מוחשיים למדי.

למרות שמאמר זה עוסק בשרת אובונטו, נבחן תחילה בעיות כלליותאבטחה, שחלים באותה מידה על כל פלטפורמה והם היסודות, ללא שליטה שאין טעם לדון בנושא ביתר פירוט.

היכן מתחילה הבטיחות?

לא, האבטחה לא מתחילה בחומת האש, היא לא מתחילה בחומרה בכלל, האבטחה מתחילה מהמשתמש. אחרי הכל, מה התועלת בדלת המתכת המגניבה ביותר שהותקנה על ידי המומחים הטובים ביותר אם הבעלים משאיר את המפתח מתחת לשטיח?

לכן, הדבר הראשון שעליך לעשות הוא לערוך ביקורת אבטחה. אל תיבהל מהמילה הזו, הכל לא כל כך מסובך: שרטט תוכנית רשת סכמטית שבה אתה מסמן אזור בטוח, אזור סכנה פוטנציאלי ואזור סכנה גבוה, וגם ערוך רשימה של משתמשים שיש להם (צריך לעשות גישה) לאזורים אלה.

האזור הבטוח צריך לכלול משאבי רשת פנימיים שאין אליהם גישה מבחוץ ועבורם היא מותרת רמה נמוכהבִּטָחוֹן. אלו יכולות להיות תחנות עבודה, שרתי קבציםוכולי. מכשירים שהגישה אליהם מוגבלת לרשת המקומית הארגונית.

אזור הסכנה הפוטנציאלי כולל שרתים ומכשירים שאין להם גישה ישירה לרשת החיצונית, אך השירותים הבודדים שלהם נגישים מבחוץ, למשל שרתי אינטרנט ודואר הממוקמים מאחורי חומת אש, אך עדיין משרתים בקשות מהרשת החיצונית.

האזור המסוכן צריך לכלול מכשירים הנגישים ישירות מבחוץ, זה צריך להיות נתב אחד.

במידת האפשר, יש למקם אזור שעלול להיות מסוכן על תת-רשת נפרדת - אזור מפורז (DMZ), המופרד מהרשת הראשית באמצעות חומת אש נוספת.

יש לחסום להתקני LAN רק לשירותים האלה ב-DMZ שהם צריכים, כגון SMTP, POP3, HTTP וחיבורים אחרים. זה יאפשר לך לבודד באופן אמין תוקף או תוכנה זדונית שניצלו פגיעות בשירות נפרד באזור מפורז, ולמנוע מהם גישה לרשת הראשית.

מבחינה פיזית, ניתן לארגן DMZ על ידי התקנת חומת אש נפרדת של שרת / חומרה או על ידי הוספת כרטיס רשת נוסף לנתב, אך במקרה האחרון תצטרכו לשים לב היטב לאבטחת הנתב. אבל בכל מקרה, הרבה יותר קל להבטיח את האבטחה של שרת אחד מאשר קבוצת שרתים.

השלב הבא צריך להיות ניתוח רשימת המשתמשים, האם כולם צריכים גישה ל-DMZ ולנתב (למעט שירותים ציבוריים), יש להקדיש תשומת לב מיוחדת למשתמשים המתחברים מבחוץ.

בדרך כלל, זה מצריך את הצעד המאוד לא פופולרי של אכיפת מדיניות סיסמאות. כל הסיסמאות למשתמשים שיש להם גישה לשירותים קריטיים ובעלי יכולת להתחבר מבחוץ חייבות להכיל לפחות 6 תווים ולהכיל, בנוסף לאותיות קטנות, תווים משתי קטגוריות מתוך שלוש: אותיות רישיות, מספרים, תווים שאינם אלפביתיים. .

בנוסף, הסיסמה לא תכלול את פרטי הכניסה של המשתמש או חלק ממנו, לא תכיל תאריכים או שמות שניתן לשייך למשתמש, ורצוי שלא תהיה מילה במילון.

מומלץ להיכנס לתרגול של החלפת סיסמאות כל 30-40 יום. ברור שמדיניות כזו יכולה לגרום לדחייה מצד המשתמשים, אבל תמיד צריך לזכור שסיסמאות כמו 123 אוֹ qwertyשווה ערך להשאיר מפתח מתחת לשטיח.

אבטחת שרת - שום דבר נוסף.

עכשיו, כשיש לנו מושג על מה אנחנו רוצים להגן ומפני מה, בואו נעבור לשרת עצמו. ערכו רשימה של כל השירותים והשירותים, ואז חשבו האם כולם נחוצים בשרת המסוים הזה, או שניתן להעביר אותם למקום אחר.

ככל שפחות שירותים, כך קל יותר להבטיח אבטחה, ופחות הסיכוי שהשרת ייפגע בגלל פגיעות קריטית באחד מהם.

הגדר את השירותים המשרתים רשת מקומית(למשל דיונון), כך שהם מקבלים בקשות אך ורק מהממשק המקומי. ככל שפחות שירותים זמינים חיצונית, כך ייטב.

סורק פגיעות יהיה עוזר טוב בהבטחת האבטחה, יש להשתמש בו כדי לסרוק את הממשק החיצוני של השרת. השתמשנו בגרסת הדגמה של אחד המוצרים המפורסמים ביותר - XSpider 7.7.

הסורק מציג יציאות פתוחות, מנסה לקבוע את סוג השירות הפועל ואם מצליח, את נקודות התורפה שלו. כפי שאתה יכול לראות, מערכת מוגדרת כהלכה היא מאובטחת למדי, אבל אתה לא צריך להשאיר את המפתח מתחת לשטיח הנוכחות של יציאות פתוחות 1723 (VPN) ו-3389 (RDP, מועבר לשרת הטרמינל) על הנתב; סיבה טובה לחשוב על מדיניות סיסמאות.

אנחנו צריכים לדבר גם על אבטחת SSH שירות זה משמש בדרך כלל על ידי מנהלים שלט רחוקשרת ומעורר עניין מוגבר לתוקפים. הגדרות SSH מאוחסנות בקובץ /etc/ssh/sshd_config, כל השינויים המתוארים להלן נעשים בו. קודם כל, עליך להשבית את ההרשאה תחת משתמש השורש כדי לעשות זאת, הוסף את האפשרות:

PermitRootLogin מספר

כעת התוקף יצטרך לנחש לא רק את הסיסמה, אלא גם את הכניסה, והוא עדיין לא יידע את סיסמת משתמש העל (אנחנו מקווים שהיא לא תואמת את הסיסמה שלך). כל המשימות הניהוליות בעת חיבור מבחוץ צריכות להתבצע מלמטה סודוהתחברות כמשתמש חסר הרשאות.

כדאי לציין במפורש את רשימת המשתמשים המותרים, ותוכלו להשתמש בערכים כמו user@host, המאפשר למשתמש שצוין להתחבר רק מהמארח שצוין. לדוגמה, כדי לאפשר למשתמש ivanov להתחבר מהבית (IP 1.2.3.4), עליך להוסיף את הערך הבא:

AllowUser [מוגן באימייל]

השבת גם את השימוש בפרוטוקול SSH1 המיושן והפחות מאובטח, המאפשר רק את הגרסה השנייה של הפרוטוקול, לשם כך, שנה את השורה הבאה לטופס:

פרוטוקול 2

למרות כל האמצעים שננקטו, עדיין יהיו ניסיונות להתחבר ל-SSH ולשירותים ציבוריים אחרים כדי למנוע ניחוש סיסמאות, השתמש בכלי השירות fail2ban, המאפשר לך לחסום משתמש אוטומטית לאחר מספר ניסיונות כניסה לא מוצלחים. אתה יכול להתקין אותו עם הפקודה:

Sudo apt-get install fail2ban

כלי זה מוכן לעבוד מיד לאחר ההתקנה, עם זאת, אנו מייעצים לך לשנות מיד כמה פרמטרים כדי לעשות זאת, לבצע שינויים בקובץ /etc/fail2ban/jail.conf. כברירת מחדל, רק הגישה ל-SSH נשלטת וזמן החסימה הוא 10 דקות (600 שניות), לדעתנו כדאי להגדיל אותו על ידי שינוי האפשרות הבאה:

Bantime = 6000

לאחר מכן גלול בקובץ ואפשר סעיפים עבור שירותים הפועלים במערכת שלך על ידי הגדרת הפרמטר אחרי שם הקטע המתאים מופעלבמדינה נָכוֹן, למשל עבור שירות proftpdזה ייראה כך:

מופעל = נכון

אַחֵר פרמטר חשוב maxretry, שאחראי למספר המרבי של ניסיונות חיבור. לאחר שינוי ההגדרות, אל תשכח להפעיל מחדש את השירות:

Sudo /etc/init.d/fail2ban הפעל מחדש

אתה יכול לראות את יומן השירות בכתובת /var/log/fail2ban.log.

לפי cvedetails.com, מאז 1999 נמצאו 1,305 נקודות תורפה בליבת לינוקס, מתוכן 68 נמצאו ב-2015. רובם לא נושאים בעיות מיוחדות, מסומנים כ-Local ו-Low, ולחלקם ניתן לקרוא רק כאשר הם מקושרים ליישומים מסוימים או להגדרות מערכת הפעלה מסוימות. באופן עקרוני, המספרים קטנים, אבל הגרעין הוא לא כל מערכת ההפעלה. פגיעויות נמצאות גם ב-GNU Coreutils, Binutils, glibs וכמובן, יישומים מותאמים אישית. בואו נסתכל על המעניינים ביותר.

פגיעות בגרעין LINUX

מערכת הפעלה:לינוקס
רָמָה:בינוני, נמוך
וֶקטוֹר:מְרוּחָק
CVE: CVE-2015-3331, CVE-2015-4001, CVE-2015-4002, CVE-2015-4003
לְנַצֵל:קונספט, https://lkml.org/lkml/2015/5/13/740, https://lkml.org/lkml/2015/5/13/744

פגיעות שנמצאה ביוני בליבת לינוקס לפני 3.19.3 בפונקציית __driver_rfc4106_decrypt ב-arch/x86/crypto/aesni-intel_glue.c נובעת מהטמעת RFC4106 עבור מעבדי x86 התומכים בתוסף ערכת ההוראות של AES AES-NI (מוצע אינטל, Intel Advanced Encryption Standard Instructions) לא מחשבת נכון כתובות מאגר במקרים מסוימים. אם מנהרת ה-IPsec מוגדרת להשתמש במצב זה (אלגוריתם AES - CONFIG_CRYPTO_AES_NI_INTEL), הפגיעות עלולה להוביל לשחיתות זיכרון, קריסות ופוטנציאל ביצוע מרחוקקוד CryptoAPI. יתרה מכך, הדבר המעניין ביותר הוא שהבעיה יכולה להתעורר מעצמה, על תעבורה חוקית לחלוטין, ללא התערבות חיצונית. בזמן הפרסום, הבעיה נפתרה.

חמש נקודות תורפה זוהו במנהל ההתקן של Linux 4.0.5 ozwpan, בעל סטטוס ניסוי, ארבע מהן מאפשרות לארגן מתקפת DoS על ידי קריסת הליבה על ידי שליחת מנות שתוכננו במיוחד. הבעיה קשורה להצפת מאגר עקב טיפול שגוי במספרים שלמים עם סימנים, בו החישוב ב-memcpy בין required_size ל-offset החזיר מספר שלילי, כתוצאה מכך, הנתונים מועתקים לערימה.

נמצא בפונקציה oz_hcd_get_desc_cnf ב-drivers/staging/ozwpan/ozhcd.c ובפונקציות oz_usb_rx ו-oz_usb_handle_ep_data של קובץ drivers/staging/ozwpan/ozusbsvc1.c. נקודות תורפה אחרות כללו חלוקה אפשרית ב-0, לולאת מערכת או יכולת קריאה מאזורים מחוץ לגבולות המאגר המוקצה.

מנהל ההתקן של ozwpan, אחד ממוצרי לינוקס החדשים, יכול להיות ממשק עם קיים מכשירים אלחוטייםתואם לטכנולוגיית Ozmo Devices ( רשת אלחוטית ישירה). מספק יישום של בקר מארח USB, אבל הטריק הוא שבמקום חיבור פיזי, הציוד ההיקפי מתקשר באמצעות Wi-Fi. הנהג מקבל מנות רשת c סוג (ethertype) 0x892e, ואז מנתח אותם ומתרגם אותם לפונקציונליות USB שונות. לעת עתה נעשה בו שימוש במקרים נדירים, כך שניתן להשבית אותו על ידי פריקת מודול ozwpan.ko.

LINUX UBUNTU

מערכת הפעלה: לינוקס אובונטו 04/12–04/15 (הליבה עד 15 ביוני 2015)
רָמָה:קריטי
וֶקטוֹר:מְקוֹמִי
CVE: CVE-2015-1328
לְנַצֵל: https://www.exploit-db.com/exploits/37292/

פגיעות קריטיתבמערכת הקבצים OverlayFS מאפשרת לך להשיג הרשאות שורש במערכות אובונטו המאפשרות הרכבה של מחיצות OverlayFS על ידי משתמש חסר הרשאות. הגדרות ברירת המחדל הנדרשות לניצול הפגיעות משמשות בכל הענפים של אובונטו 12.04–15.04. OverlayFS עצמו הופיע בליבת לינוקס יחסית לאחרונה - החל מ-3.18-rc2 (2014), זהו פיתוח של SUSE שיחליף את UnionFS ו-AUFS. OverlayFS מאפשר לך ליצור רב שכבתי וירטואלי מערכת קבצים, המשלב מספר חלקים של מערכות קבצים אחרות.

מערכת הקבצים נוצרת משכבה תחתונה ועליונה, שכל אחת מהן מחוברת לספריות נפרדות. השכבה התחתונה משמשת לקריאה רק בספריות של כל מערכות הקבצים הנתמכות בלינוקס, כולל רשתות. השכבה העליונה ניתנת לרוב לכתיבה ותעקוף את הנתונים בשכבה התחתונה אם הקבצים משוכפלים. זה מבוקש בהפצות Live, מערכות וירטואליזציה של קונטיינרים, ולארגון תפעול קונטיינרים עבור כמה יישומי שולחן עבודה. מרחבי שמות משתמשים מאפשרים לך ליצור קבוצות משלך של מזהי משתמשים וקבוצות במכולות. הפגיעות נגרמת מבדיקה שגויה של זכויות גישה בעת יצירת קבצים חדשים בספרייה של מערכת הקבצים הבסיסית.

אם הליבה בנויה עם CONFIG_USER_NS=y (מאפשר את מרחב שמות המשתמש) והדגל FS_USERNS_MOUNT מצוין בעת ההרכבה, ניתן לטעון OverlayFS משתמש רגילבמרחב שמות אחר, כולל איפה פעולות עם זכויות שורש. במקרה זה, פעולות עם קבצים עם זכויות בסיס המבוצעות במרחבי שמות כאלה מקבלים את אותן הרשאות בעת ביצוע פעולות עם מערכת הקבצים הבסיסית. לכן, אתה יכול לטעון כל מחיצת FS ולהציג או לשנות כל קובץ או ספרייה.

בזמן הפרסום, עדכון ליבה עם מודול OverlayFS קבוע מאובונטו כבר היה זמין. ואם המערכת מתעדכנת, לא אמורות להיות בעיות. באותו מקרה, כאשר העדכון אינו אפשרי, כאמצעי זמני, עליך להפסיק להשתמש ב-OverlayFS על ידי הסרת מודול overlayfs.ko.

פגיעות ביישומי מפתח

מערכת הפעלה:לינוקס
רָמָה:קריטי
וֶקטוֹר:מקומי, מרוחק
CVE: CVE-2015-0235
לְנַצֵל: https://www.qualys.com/research/security-advisories/exim_ghost_bof.rb

פגיעות מסוכנת בספריית התקן GNU glibc, שהיא חלק מרכזי במערכת ההפעלה לינוקס, ובגרסאות מסוימות של Oracle Communications Applications ו-Oracle Pillar Axiom, התגלתה במהלך ביקורת קוד על ידי האקרים מ-Qualys. קיבל את שם הקוד GHOST. זוהי הצפת מאגר בתוך הפונקציה __nss_hostname_digits_dots(), המשמשת את פונקציות glibc כמו gethostbyname() ו-gethostbyname2() כדי לקבל את שם המארח (ומכאן השם GetHOST). כדי לנצל את הפגיעות, עליך לגרום להצפת מאגר באמצעות ארגומנט שם מארח לא חוקי ליישום המבצע פתרון שמות באמצעות DNS. כלומר, תיאורטית, ניתן להחיל את הפגיעות הזו על כל אפליקציה שמשתמשת ברשת במידה זו או אחרת. ניתן לקרוא באופן מקומי ומרוחק, מה שמאפשר ביצוע קוד שרירותי.

הדבר המעניין ביותר הוא שהשגיאה תוקנה עוד במאי 2013, הוצג תיקון בין המהדורות של glibc 2.17 ו-2.18, אך הבעיה לא סווגה כתיקון אבטחה, כך שלא ניתנה לה תשומת לב. כתוצאה מכך, הפצות רבות התבררו כפגיעות. תחילה דווח כי הגרסה הפגיעה הראשונה הייתה 2.2 מתאריך 10 בנובמבר 2000, אך קיימת אפשרות שהיא תופיע עד 2.0. בין היתר, ההפצות RHEL/CentOS 5.x–7.x, Debian 7 ואובונטו 12.04 LTS הושפעו. תיקונים חמים זמינים כעת. ההאקרים עצמם הציעו כלי עזר שמסביר את מהות הפגיעות ומאפשר לך לבדוק את המערכת שלך. הכל בסדר באובונטו 12.04.4 LTS:

$ wget https : //goo.gl/RuunlE

$gcc gistfile1. c - o CVE - 2015 - 0235

$. / CVE - 2015 - 0235

לא פגיע

בדיקת המערכת ב-GHOST

כמעט מיד שוחרר מודול המאפשר ביצוע מרחוק של קוד ב-x86 ו-x86_64 Linux עם הפעלה שרת דואר Exim (עם helo_try_verify_hosts או helo_verify_hosts מופעלים). מאוחר יותר הופיעו יישומים אחרים, למשל, מודול Metasploit לבדיקת בלוג בוורדפרס.

קצת מאוחר יותר, ב-2015, התגלו שלוש נקודות תורפה נוספות ב-GNU glibc שאפשרו למשתמש מרוחק לבצע התקפת DoS או להחליף תאי זיכרון מחוץ לגבול המחסנית: CVE-2015-1472, CVE-2015-1473, CVE-2015- 1781.

מערכת הפעלה:לינוקס (GNU Coretils)
רָמָה:נָמוּך
וֶקטוֹר:מקומי, מרחוק
CVE: CVE-2014-9471
לְנַצֵל:לא

GNU Coreutils היא אחת מחבילות *nix העיקריות, כולל כמעט את כל כלי השירות הבסיסיים (cat, ls, rm, date...). הבעיה נמצאה בתאריך. באג בפונקציה parse_datetime מאפשר לתוקף מרוחק ללא חֶשְׁבּוֹןבמערכת, לגרום למניעת שירות, ואולי לבצע קוד שרירותי באמצעות מחרוזת תאריך בעלת מבנה מיוחד באמצעות אזור זמן. הפגיעות נראית כך:

$ touch '-- date = TZ = "123"345"@1'

תקלת פילוח

$ date - d 'TZ = "אירופה / מוסקבה" "00: 00 + שעה אחת"'

תקלת פילוח

$ date '-- date = TZ = "123"345"@1'

* * * שגיאה ב- ` תאריך ': חינם () : מצביע לא חוקי: 0xbfc11414 * * *

פגיעות ב-GNU Coreutils

אם אין פגיעות, נקבל הודעה על פורמט התאריך השגוי. כמעט כל מפתחי ההפצה של לינוקס דיווחו על נוכחות הפגיעות. עדכון זמין כרגע.

פלט רגיל של GNU Coreutils מתוקנים

מערכת הפעלה:לינוקס (grep 2.19–2.21)
רָמָה:נָמוּך
וֶקטוֹר:מְקוֹמִי
CVE: CVE-2015-1345
לְנַצֵל:לא

פגיעויות נמצאות רק לעתים נדירות בכלי השירות grep, המשמש לחיפוש טקסט באמצעות דפוס. אבל כלי השירות הזה נקרא לעתים קרובות על ידי תוכניות אחרות, כולל מערכת, כך שהנוכחות של נקודות תורפה היא הרבה יותר בעייתית ממה שזה נראה במבט ראשון. באג בפונקציה bmexec_trans ב- kwset.c עלול לגרום לקריאת נתונים לא מאותחלים מאזור מחוץ למאגר המוקצה או לגרום לאפליקציה לקרוס. האקר יכול לנצל זאת על ידי יצירת סט מיוחד של נתונים המסופקים לקלט האפליקציה באמצעות grep -F. עדכונים זמינים כרגע. אין ניצולים המשתמשים בפגיעות או במודול עבור Metasploit.

פגיעות ב-FREEBSD

מערכת הפעלה: FreeBSD
רָמָה:נָמוּך
וֶקטוֹר:מקומי, מרחוק
CVE: CVE-2014-0998, CVE-2014-8612, CVE-2014-8613
לְנַצֵל: https://www.exploit-db.com/exploits/35938/

אין הרבה פגיעויות במסד הנתונים של CVE לשנת 2015, ליתר דיוק - רק שש. שלוש נקודות תורפה נמצאו ב-FreeBSD 8.4–10.x בסוף ינואר 2015 על ידי חוקרים מצוות Core Exploit Writers. CVE-2014-0998 קשור להטמעת מנהל ההתקן של קונסולת VT (Newcons), המספק מספר מסופים וירטואליים, המופעל על ידי הפרמטר kern.vty=vt ב- /boot/loader.conf.
CVE-2014-8612 מתרחש בעת שימוש בפרוטוקול SCTP ונגרם על ידי שגיאה בקוד האימות של מזהה זרם SCTP המיישם שקעי SCTP ( נמל מקומי 4444). המהות היא שגיאה מחוץ לזיכרון בפונקציה sctp_setopt() (sys/netinet/sctp_userreq.c). זה נותן למשתמש מקומי ללא הרשאות את היכולת לכתוב או לקרוא 16 סיביות של נתוני זיכרון ליבה ולהסלים את ההרשאות שלו במערכת, לחשוף נתונים רגישים או לקרוס את המערכת.

CVE-2014-8613 מאפשר להפעיל הפניית מצביע NULL בעת עיבוד חבילת SCTP שהתקבלה חיצונית כאשר אפשרות שקע SCTP SCTP_SS_VALUE מוגדרת. בניגוד לקודמים, ניתן להשתמש ב-CVE-2014-8613 שיחה מרחוקקריסת הליבה על ידי שליחת מנות שתוכננו במיוחד. ב-FreeBSD 10.1, אתה יכול להגן על עצמך על ידי הגדרת המשתנה net.inet.sctp.reconfig_enable ל-0, ובכך להשבית את העיבוד של בלוקים של RE_CONFIG. או פשוט לאסור יישומים (דפדפנים, לקוחות דוארוכולי). למרות שבזמן הפרסום המפתחים כבר פרסמו עדכון.

סטטיסטיקת פגיעות של FreeBSD

פגיעות ב-OPENSSL

מערכת הפעלה: OpenSSL
רָמָה:מְרוּחָק
וֶקטוֹר:מְקוֹמִי
CVE: CVE-2015-1793
לְנַצֵל:לא

בשנת 2014, התגלתה פגיעות קריטית של Heartbleed ב-OpenSSL, חבילת קריפטוגרפית בשימוש נרחב לעבודה עם SSL/TLS. התקרית גרמה בזמנו לביקורת מסיבית על איכות הקוד, ומצד אחד זה הוביל להופעתם של חלופות כמו LibreSSL, מצד שני, המפתחים עצמם סוף סוף פנו לעניינים.

ספקים מובילים לפי נקודות תורפה

הפגיעות הקריטית התגלתה על ידי אדם לאנגלי מגוגל ודיוויד בנג'מין מ-BoringSSL. שינויים שבוצעו בגרסאות OpenSSL 1.0.1n ו-1.0.2b גרמו ל-OpenSSL לנסות למצוא שרשרת אימות אישור חלופית אם הניסיון הראשון לבנות שרשרת אמון לא צלח. זה מאפשר לך לעקוף את הליך אימות האישור ולארגן חיבור מאושר באמצעות תעודה מזויפת, במילים אחרות - כדי לפתות את המשתמש בשלווה לאתרים או שרתים מזויפים אימיילאו ליישם כל מתקפת MITM שבה נעשה שימוש באישור.

לאחר גילוי הפגיעות, המפתחים שחררו את מהדורות 1.0.1p ו-1.0.2d ב-9 ביולי, אשר תיקנו את הבעיה הזו. גרסאות 0.9.8 או 1.0.0 לא כוללות את הפגיעות הזו.

Linux.Encoder

סוף הסתיו היה מסומן בהופעת מספר וירוסי הצפנה, תחילה Linux.Encoder.0, ואחריו שינויים Linux.Encoder.1 ו- Linux.Encoder.2, שהדביקו יותר מ-2,500 אתרים. לפי חברות אנטי-וירוס, שרתי לינוקס ו-FreeBSD עם אתרים הפועלים באמצעות מערכות CMS שונות - וורדפרס, מג'נטו, ג'ומלה ואחרות - מותקפים. האקרים מנצלים פגיעות לא מזוהה. לאחר מכן, הונח סקריפט מעטפת (קובץ error.php), בעזרתו בוצעו פעולות נוספות (דרך הדפדפן). במיוחד, ה-Trojan של מקודד לינוקס הושק.

מקודד, שקבע את ארכיטקטורת מערכת ההפעלה והשיק את תוכנת הכופר. המקודד הושק עם זכויות שרת אינטרנט (Ubuntu - www-data), וזה מספיק כדי להצפין קבצים בספרייה שבה מאוחסנים קבצי CMS ורכיבים. קבצים מוצפנים מקבלים סיומת חדשה. מוצפנת.

תוכנת הכופר מנסה גם לעקוף ספריות אחרות של מערכת ההפעלה אם הזכויות מוגדרות בצורה שגויה, היא עלולה בקלות לחרוג מגבולות האתר. לאחר מכן, הקובץ README_FOR_DECRYPT.txt נשמר בספרייה, המכיל הוראות לפענוח הקבצים ודרישות ההאקר. נכון לעכשיו, חברות אנטי וירוס הציגו כלי עזר המאפשרים לך לפענח ספריות. לדוגמה, סט מ-Bitdefender. אבל אתה צריך לזכור שכל כלי השירות שנועדו לפענח קבצים לא מסירים את קוד המעטפת והכל יכול לקרות שוב.

בהתחשב בכך שמשתמשים רבים שמפתחים או מתנסים בניהול אתרים מתקינים בו לעתים קרובות שרת אינטרנט מחשב ביתי, עליך לדאוג לגבי האבטחה: חסום גישה מבחוץ, עדכן את התוכנה, ערוך ניסויים ב-VM. והרעיון עצמו יכול לשמש בעתיד כדי לתקוף מערכות ביתיות.

סיכום

תוכנה מורכבת ללא שגיאות פיזית לא קיימת, אז צריך להשלים עם העובדה שפגיעויות יתגלו כל הזמן. אבל לא כולם יכולים להיות באמת בעייתיים. ואתה יכול להגן על עצמך על ידי נקיטת צעדים פשוטים: הסר תוכנות שאינן בשימוש, עקוב אחר נקודות תורפה חדשות והקפד להתקין עדכוני אבטחה, להגדיר חומת אש, להתקין אנטי וירוס. ואל תשכחו מטכנולוגיות מיוחדות כמו SELinux, שמסוגלות בהחלט לסכן דמון או יישום משתמש.

התקנה והגדרת כלי ניהול, תצורת רשת

אחרי שהתקנו את הבסיס מערכת הפעלה ubuntu14.04 מהפצה מינימלית, הדבר הראשון שאתה צריך לדאוג לגביו הוא איך לנהל אותו בנוחות. בעיקרון, ssh/telnet משמש כדי להגדיר ולנהל שרתים מבוססי *nix, אבל ב לָאַחֲרוֹנָהלמטרה זו הופיעו גם כלים מתאימים למדי המבוססים על ממשקי אינטרנט. אני משתמש בפתרונות חינמיים Webminו אג'נטי. שני הפאנלים הללו ראויים לתשומת לב ולמרות העובדה שהם יכולים לעשות הכל בנפרד, כל אחד מהם מתאים יותר לכמה דברים, אז עדיף את שניהם. אני צריך לציין את זה בשרתי ייצור ייצור פתרונות דומיםהם לא מציבים את זה על סמך בטיחות. ובכל זאת, ככל שיש יותר מערכות בקרה, כך גדלה הסבירות למצוא בהן פגיעות. לכן, אם דרישות האבטחה שלך הן ברמה "פרנואידית", פשוט קבל את העובדה שתצטרך לעבוד עם השרת רק דרך ssh (דרך הקונסולה).

הגדרת רשת ב-ubuntu 14.04

כדי לתקשר עם השרת שלנו דרך הרשת, תחילה עליך להגדיר אותו. כברירת מחדל, במהלך ההתקנה הרשת הוגדרה באופן אוטומטי ואם המתקין זיהה שרת DHCP ברשת, סביר להניח שהוא כבר הגדיר את הכל לפי הצורך. אם אין שרת DHCP ברשת, אז המתקין עדיין הגדיר הכל על סמך סקר הנתב שאליו מחובר כרטיס הרשת. כדי לראות כיצד הרשת מוגדרת כעת, פשוט הקלד את המסוף:

מה אנחנו רואים כאן:

יש לנו שני ממשקי רשת eth0 ו-lo כאשר lo הוא "ממשק loopback" ו-eth0 הוא השם של כרטיס הרשת שלנו, ואם lo הוא ממשק רשת ללא שינוי, אז כל שאר הממשקים עשויים להיות שונים בשם. אני סנפיר יחידת מערכתשני כרטיסי רשת מותקנים, סביר להניח שהממשקים שלהם ייראו כמו eth0 ו-eth1 וכן הלאה. סוג שם הממשק תלוי בסוג כרטיס הרשת, לדוגמה, אם כרטיס הרשת פועל באמצעות פרוטוקול ה-WiFi, סביר להניח ששמו יהיה wlan0.

כדי להגדיר את הרשת, בואו נערוך את הקובץ הבא:

sudo nano /etc/network/interfaces

בואו נביא את זה לטופס הזה:

iface eth0 inet סטטי
כתובת 192.168.0.184
מסיכת רשת 255.255.255.0
שער 192.168.0.1
אוטומטי eth0
dns-nameservers 8.8.8.8 8.8.4.4

איפה: iface eth0 inet סטטי— מציין שהממשק (iface eth0) נמצא בטווח של כתובות IPv4 (inet) עם ip סטטי (סטטי);
כתובת 192.168.0.184- מציין שכתובת ה-IP של כרטיס הרשת שלנו היא 192.168.0.184;
מסיכת רשת 255.255.255.0- מציין שמסיכת רשת המשנה שלנו (מסכת רשת) היא 255.255.255.0;
שער 192.168.0.1- כתובת ברירת המחדל של שער 192.168.0.254;
אוטומטי eth0- מציין למערכת כי יש להפעיל את ממשק eth0 באופן אוטומטי כאשר המערכת מאתחלת עם הפרמטרים לעיל.
eth0- שם הממשק לחיבור. ניתן להציג את רשימת הממשקים על ידי הקלדת ifconfig
שרתי שמות של dns- שרתי DNS נכתבים מופרדים על ידי רווח.

כפי שאתה יכול לראות במקרה שלי, החלטתי להגדיר IP סטטי 192.168.0.184

הפעל מחדש את השרת עם הפקודה

אנו פינגים לשרת שלנו מהרשת ומוודאים שהוא גלוי. עכשיו הגיע הזמן ליצור איתו חיבור באמצעות SSH כדי לעשות זאת, נתקין את שרת ה-ssh:

sudo apt-get install ssh

עכשיו אתה יכול להתחבר לשרת שלנו דרך ssh דרך תוכנת putty, למשל, עכשיו אתה יכול להזין פקודות לא ידנית, אלא על ידי העתקה והדבקה של השורות שאנחנו צריכים לתוך לקוח ssh, כי בעתיד זה יקל על ההגדרה באופן מפתיע , כפי שתראה בעצמך בקרוב:

כל הפקודות מתחת לשורה זו מוזנות כמשתמש-על, ועל מנת להיכנס למצב משתמש על, עליך להקליד:

מתקין webmin

echo "deb https://download.webmin.com/download/repository sarge contrib" >> /etc/apt/sources.list echo "deb https://webmin.mirror.somersettechsolutions.co.uk/repository sarge contrib" >> /etc/apt/sources.list wget https://www.webmin.com/jcameron-key.asc apt-key הוסף jcameron-key.asc apt-get update apt-get install -y webmin

הֵד "deb https://download.webmin.com/download/repository sarge contrib">>

הֵד "deb https://webmin.mirror.somersettechsolutions.co.uk/repository sarge contrib">> /etc/apt/sources. רשימה

wget https: //www.webmin.com/jcameron-key.asc

apt-key הוסף jcameron-key. עולה

מתאים - קבל עדכון

apt - קבל התקנה - y webmin

את כל! 6 פקודות שהוזנו ברצף ו-webmin מותקן ומוגדר. כעת תוכל להיכנס לדפדפן שלך בכתובת: