ວິທີການກວດສອບການເຮັດວຽກຂອງເຄືອຂ່າຍ, ການຮັກສາຄວາມປອດໄພແລະການແກ້ໄຂບັນຫາໃນ Linux - ພາກ 12

ການວິເຄາະທີ່ດີຂອງເຄືອຂ່າຍຄອມພິວເຕີ້ເລີ່ມຕົ້ນໂດຍການເຂົ້າໃຈສິ່ງທີ່ມີເຄື່ອງມືທີ່ມີຢູ່ໃນການປະຕິບັດວຽກງານ, ວິທີການເລືອກທີ່ຖືກຕ້ອງ ສຳ ລັບແຕ່ລະບາດກ້າວຂອງວິທີການ, ແລະສຸດທ້າຍ, ແຕ່ບໍ່ສຸດທ້າຍ, ບ່ອນໃດທີ່ຈະເລີ່ມຕົ້ນ.

ນີ້ແມ່ນພາກສ່ວນສຸດທ້າຍຂອງຊຸດ LFCE ( Linux Foundation Certified Engineer ), ໃນທີ່ນີ້ພວກເຮົາຈະທົບທວນບາງເຄື່ອງມືທີ່ມີຊື່ສຽງເພື່ອກວດກາຜົນງານແລະເພີ່ມຄວາມປອດໄພຂອງເຄືອຂ່າຍ , ແລະສິ່ງທີ່ຕ້ອງເຮັດໃນເມື່ອສິ່ງຕ່າງໆບໍ່ໄດ້ຕາມຄາດ ໝາຍ.

ກະລຸນາຮັບຊາບວ່າບັນຊີລາຍຊື່ນີ້ບໍ່ໄດ້ ທຳ ທ່າວ່າເປັນທີ່ສົມບູນແບບ, ສະນັ້ນທ່ານສາມາດສະແດງຄວາມຄິດເຫັນຕໍ່ບົດຄວາມນີ້ໂດຍໃຊ້ແບບຟອມຢູ່ທາງລຸ່ມຖ້າທ່ານຕ້ອງການເພີ່ມປະໂຫຍດອື່ນທີ່ເປັນປະໂຫຍດທີ່ພວກເຮົາອາດຈະຫາຍໄປ.

ໜຶ່ງ ໃນສິ່ງ ທຳ ອິດທີ່ຜູ້ບໍລິຫານລະບົບ ຈຳ ເປັນຕ້ອງຮູ້ກ່ຽວກັບແຕ່ລະລະບົບແມ່ນວ່າການບໍລິການ ກຳ ລັງເຮັດວຽກຫຍັງແລະຍ້ອນຫຍັງ. ດ້ວຍຂໍ້ມູນນັ້ນຢູ່ໃນມື, ມັນແມ່ນການຕັດສິນໃຈທີ່ສະຫລາດທີ່ຈະປິດການໃຊ້ງານທັງ ໝົດ ທີ່ບໍ່ ຈຳ ເປັນຢ່າງເຂັ້ມງວດແລະຫລີກລ້ຽງການເປັນເຈົ້າພາບຫລາຍໆເຄື່ອງໃນເຄື່ອງຈັກທາງກາຍະພາບດຽວກັນ.

ຕົວຢ່າງ, ທ່ານຕ້ອງການປິດການ ນຳ ໃຊ້ເຄື່ອງແມ່ຂ່າຍ FTP ຂອງທ່ານຖ້າເຄືອຂ່າຍຂອງທ່ານບໍ່ ຈຳ ເປັນຕ້ອງມີ (ມີວິທີການທີ່ປອດໄພກວ່າທີ່ຈະແບ່ງປັນເອກະສານຜ່ານເຄືອຂ່າຍ, ໂດຍທາງ). ນອກຈາກນັ້ນ, ທ່ານຄວນຫລີກລ້ຽງການມີເວັບເຊີຟເວີແລະຖານຂໍ້ມູນທີ່ຢູ່ໃນລະບົບດຽວກັນ. ຖ້າອົງປະກອບ ໜຶ່ງ ກາຍເປັນການປະນີປະນອມ, ສ່ວນທີ່ເຫຼືອຈະມີຄວາມສ່ຽງທີ່ຈະຖືກ ທຳ ລາຍເຊັ່ນກັນ.

s ຖືກໃຊ້ເພື່ອຖີ້ມສະຖິຕິຂອງເຕົ້າຮັບແລະສະແດງຂໍ້ມູນທີ່ຄ້າຍຄືກັບ netstat, ເຖິງແມ່ນວ່າມັນສາມາດສະແດງຂໍ້ມູນ TCP ແລະຂໍ້ມູນຂອງລັດຫຼາຍກວ່າເຄື່ອງມືອື່ນໆ ນອກຈາກນັ້ນ, ມັນຖືກລະບຸໄວ້ໃນ man netstat ເປັນການທົດແທນ netstat, ເຊິ່ງລ້າສະ ໄໝ.

ເຖິງຢ່າງໃດກໍ່ຕາມ, ໃນບົດຂຽນນີ້ພວກເຮົາຈະສຸມໃສ່ຂໍ້ມູນທີ່ກ່ຽວຂ້ອງກັບຄວາມປອດໄພຂອງເຄືອຂ່າຍເທົ່ານັ້ນ.

ບໍລິການທັງ ໝົດ ທີ່ແລ່ນຢູ່ທ່າເຮືອເລີ່ມຕົ້ນຂອງພວກເຂົາ (ເຊັ່ນ: http ຢູ່ 80, mysql ໃນ 3306) ແມ່ນຖືກລະບຸໂດຍຊື່ຂອງພວກມັນ. ຄົນອື່ນ (ທີ່ຖືກປິດບັງຢູ່ທີ່ນີ້ດ້ວຍເຫດຜົນຄວາມເປັນສ່ວນຕົວ) ແມ່ນສະແດງໃນຮູບແບບຕົວເລກຂອງພວກເຂົາ.

# ss -t -a

ຖັນ ທຳ ອິດສະແດງໃຫ້ເຫັນສະຖານະ TCP , ໃນຂະນະທີ່ຄໍ ລຳ ທີສອງແລະທີສາມສະແດງ ຈຳ ນວນຂໍ້ມູນທີ່ຖືກຈັດລຽງ ລຳ ດັບ ສຳ ລັບການຕ້ອນຮັບແລະການສົ່ງຕໍ່. ຖັນທີສີ່ແລະຫ້າແມ່ນສະແດງແຫລ່ງທີ່ມາແລະປາຍທາງຂອງແຕ່ລະເຊື່ອມຕໍ່.
ໃນປື້ມບັນທຶກຂ້າງ ໜຶ່ງ, ທ່ານອາດຈະຕ້ອງການກວດສອບ RFC 793 ເພື່ອປັບປຸງຄວາມຊົງ ຈຳ ຂອງທ່ານກ່ຽວກັບລັດ TCP ທີ່ເປັນໄປໄດ້ເພາະວ່າທ່ານຍັງຕ້ອງໄດ້ກວດເບິ່ງ ຈຳ ນວນແລະສະພາບຂອງການເປີດເຊື່ອມຕໍ່ TCP ເພື່ອຈະໄດ້ຮູ້ເຖິງ (D) DoS ໂຈມຕີ.

# ss -t -o

ໃນຜົນໄດ້ຮັບຂ້າງເທິງ, ທ່ານສາມາດເຫັນໄດ້ວ່າມີ 2 ສາຍເຊື່ອມຕໍ່ SSH ທີ່ຖືກສ້າງຕັ້ງຂື້ນ. ຖ້າທ່ານສັງເກດເຫັນຄ່າຂອງສະ ໜາມ ທີສອງຂອງ ຈັບເວລາ :, ທ່ານຈະສັງເກດມູນຄ່າຂອງ 36 ນາທີໃນການເຊື່ອມຕໍ່ຄັ້ງ ທຳ ອິດ. ນັ້ນແມ່ນ ຈຳ ນວນເວລາຈົນກ່ວາການສືບສວນຮັກສາຕໍ່ໄປຈະຖືກສົ່ງໄປ.

ເນື່ອງຈາກວ່າມັນເປັນການເຊື່ອມຕໍ່ທີ່ຖືກເກັບຮັກສາໄວ້, ທ່ານສາມາດສົມມຸດວ່ານັ້ນແມ່ນການເຊື່ອມຕໍ່ທີ່ບໍ່ມີປະໂຫຍດແລະດັ່ງນັ້ນຈຶ່ງສາມາດຂ້າຂະບວນການນີ້ໄດ້ຫຼັງຈາກຊອກຫາ PID ຂອງມັນ.

ສຳ ລັບການເຊື່ອມຕໍ່ຄັ້ງທີສອງ, ທ່ານສາມາດເຫັນໄດ້ວ່າມັນ ກຳ ລັງຖືກ ນຳ ໃຊ້ຢູ່ (ຕາມທີ່ລະບຸໄວ້ຂ້າງເທິງ).

ສົມມຸດວ່າທ່ານຕ້ອງການກັ່ນຕອງການເຊື່ອມຕໍ່ TCP ໂດຍຊັອກເກັດ. ຈາກມຸມມອງຂອງເຊີບເວີ, ທ່ານ ຈຳ ເປັນຕ້ອງກວດເບິ່ງການເຊື່ອມຕໍ່ທີ່ພອດແຫຼ່ງ ກຳ ລັງຢູ່ 80.

# ss -tn sport = :80

ຜົນອອກມາໃນ..

ການສະແກນພອດແມ່ນເຕັກນິກທົ່ວໄປທີ່ໃຊ້ໂດຍນັກ crackers ເພື່ອ ກຳ ນົດບັນດາເຈົ້າພາບທີ່ເຄື່ອນໄຫວແລະເປີດພອດຢູ່ໃນເຄືອຂ່າຍ. ເມື່ອພົບຊ່ອງໂຫວ່, ມັນຖືກຂູດຮີດເພື່ອໃຫ້ສາມາດເຂົ້າເຖິງລະບົບໄດ້.

sysadmin ທີ່ສະຫລາດ ຈຳ ເປັນຕ້ອງກວດເບິ່ງວ່າລະບົບຂອງລາວຖືກເບິ່ງເຫັນໂດຍຄົນພາຍນອກແນວໃດ, ແລະໃຫ້ແນ່ໃຈວ່າບໍ່ມີສິ່ງໃດທີ່ປ່ອຍໃຫ້ມີໂອກາດໂດຍການກວດສອບພວກມັນເລື້ອຍໆ. ນັ້ນເອີ້ນວ່າ " ສະແກນປ້ອງກັນທ່າເຮືອ ".

ທ່ານສາມາດໃຊ້ ຄຳ ສັ່ງຕໍ່ໄປນີ້ເພື່ອສະແກນວ່າພອດໃດທີ່ເປີດຢູ່ໃນລະບົບຂອງທ່ານຫຼືຢູ່ໃນໂຮດຫ່າງໄກ:

# nmap -A -sS [IP address or hostname]

ຄຳ ສັ່ງຂ້າງເທິງນີ້ຈະສະແກນໂຮດເພື່ອຊອກຫາ OS ແລະ ຮຸ່ນ ທີ່ຢູ່ການຊອກຄົ້ນຫາ, ຂໍ້ມູນທີ່ Port ແລະ traceroute ( -A ). ສຸດທ້າຍ, -sS ສົ່ງການສະແກນ TCP SYN , ປ້ອງກັນບໍ່ໃຫ້ nmap ເຮັດ ສຳ ເລັດການຈັບມື TCP 3 ວິທີແລະດັ່ງນັ້ນໂດຍປົກກະຕິແລ້ວຈະບໍ່ເກັບທ່ອນໃສ່ເຄື່ອງເປົ້າ ໝາຍ.

ກ່ອນທີ່ຈະ ດຳ ເນີນຕົວຢ່າງຕໍ່ໄປ, ກະລຸນາຈື່ໄວ້ວ່າການສະແກນ port ບໍ່ແມ່ນກິດຈະ ກຳ ທີ່ຜິດກົດ ໝາຍ. ສິ່ງທີ່ຜິດກົດ ໝາຍ IS ແມ່ນໃຊ້ຜົນລັບເພື່ອຈຸດປະສົງທີ່ເປັນອັນຕະລາຍ.

ຍົກຕົວຢ່າງ, ຜົນຜະລິດຂອງ ຄຳ ສັ່ງຂ້າງເທິງ ດຳ ເນີນການຕໍ່ server ຂອງມະຫາວິທະຍາໄລໃນທ້ອງຖິ່ນກັບຄືນມາດັ່ງຕໍ່ໄປນີ້ (ພຽງແຕ່ສ່ວນ ໜຶ່ງ ຂອງຜົນໄດ້ຮັບສະແດງໃຫ້ເຫັນເຖິງຜົນປະໂຫຍດຂອງ brevity):

ດັ່ງທີ່ທ່ານສາມາດເຫັນໄດ້, ພວກເຮົາໄດ້ຄົ້ນພົບຂໍ້ຜິດລັກຫຼາຍໆຢ່າງທີ່ພວກເຮົາຄວນຈະລາຍງານໃຫ້ຜູ້ບໍລິຫານລະບົບທີ່ມະຫາວິທະຍາໄລທ້ອງຖິ່ນແຫ່ງນີ້.

ການປະຕິບັດການສະແກນພອດນີ້ໂດຍສະເພາະໃຫ້ຂໍ້ມູນທັງ ໝົດ ທີ່ສາມາດໄດ້ຮັບຈາກ ຄຳ ສັ່ງອື່ນໆເຊັ່ນ:

# nmap -p [port] [hostname or address]

# nmap -A [hostname or address]

ທ່ານຍັງສາມາດສະແກນຫລາຍພອດ (ຊ່ວງ) ຫລື subnets, ດັ່ງຕໍ່ໄປນີ້:

# nmap -p 21,22,80 192.168.0.0/24 

ໝາຍ ເຫດ: ຄຳ ສັ່ງຂ້າງເທິງນີ້ສະແກນບັນດາພອດ 21, 22, ແລະ 80 ໃນບັນດາເຈົ້າຂອງໃນເຄືອຂ່າຍນັ້ນ.

ທ່ານສາມາດກວດເບິ່ງ ໜ້າ ຜູ້ຊາຍ ສຳ ລັບລາຍລະອຽດເພີ່ມເຕີມກ່ຽວກັບວິທີການປະຕິບັດການສະແກນ port ອື່ນໆ. Nmap ແມ່ນເຄື່ອງມືສ້າງແຜນທີ່ເຄືອຂ່າຍທີ່ມີປະສິດທິພາບແລະມີປະສິດຕິພາບສູງ, ແລະທ່ານຄວນຈະຮູ້ຈັກກັບມັນເພື່ອປ້ອງກັນລະບົບຕ່າງໆທີ່ທ່ານຮັບຜິດຊອບຕໍ່ກັບການໂຈມຕີທີ່ມີຕົ້ນ ກຳ ເນີດມາຈາກການກວດສອບພອດທີ່ເປັນອັນຕະລາຍໂດຍຄົນພາຍນອກ.