- Рекогносцировка на місцевості
- Дистрибутиви для роботи з жорстким диском
- головний рятувальник
- Пен-тестінг з BackTrack
- Шукаємо слід з DEFT
- Установка BackTrack на USB-флешку і Eee PC
Стаття написана для журналу
Можливість створювати дистрибутив для власних потреб є одним з найбільших плюсів вільного ПЗ. В результаті на сьогоднішній день є кілька десятків дистрибутивів, що спрощують роботу адміністратора і спрямованих на вирішення спеціалізованих завдань.
Рекогносцировка на місцевості
Вибір серед спеціалізованих дистрибутивів на базі LiveCD дійсно величезний, і тут дуже важливо не заплутатися і підшукати собі саме той інструмент, який максимально підійде під рішення твоїх завдань. Дуже популярний у адмінів цілий клас дистрибутивів, що реалізують функції маршрутизатора і брандмауера. Багато користувачів приходять до вільних ОС саме після знайомства з однією з подібних систем. Але є й інші рішення, за допомогою яких дуже просто встановити і налаштувати веб або поштовий сервер, програмну АТС на базі Asterisk і т.д. Всі вони в тій чи іншій мірі спрямовані на вирішення завдань з організації певного сервісу. Крім цього, існує безліч дистрибутивів, спрямованих на обслуговування комп'ютерів і мереж. Саме про таких рішеннях і піде мова в цій статті. Для зручності розділимо їх на кілька груп:
- десятеро для роботи з жорстким диском;
- для відновлення працездатності системи і резервування даних;
- для тестування на наявність вразливостей;
- для дослідження після злому.
Дистрибутиви для роботи з жорстким диском
Проект GParted (GNOME Partition Editor, gparted.sf.net), в рамках якого розробляється однойменний редактор дискових розділів для * nix систем, пропонує також LiveCD дистрибутив невеликого розміру (трохи більше 90 Мб), побудований на основі Debian. GParted вміє працювати з такою великою кількістю файлових систем, яке й не снилося популярному PartitionMagic - ext2, ext3, FAT16, FAT32, HFS, HFS +, UFS, JFS, NTFS, ReiserFS, Reiser4, XFS. Крім цього, дистрибутивом підтримуються томи LVM2 і FUSE. Графічний інтерфейс локалізовано і побудований на базі віконного менеджера Fluxbox. Система не вимоглива до ресурсів, для запуску досить мати комп'ютер з 64 Мб ОЗУ. Доступні версії, що дозволяють завантажуватися не тільки з CD, але і з USB пристрою, можлива і мережева PXE завантаження. Стартове меню дозволяє вивантажити вміст диска в ОЗУ і звільнити привід.
Якщо потрібно підготувати жорсткий диск до установки нової ОС, GParted - кращий вибір
З додаткових можливостей варто відзначити наявність програми Partition Image (www.partimage.org), за допомогою якої можна створити образ розділу з файловими системами, список яких аналогічний GParted (UFS, NFS і NTFS поки відзначені як експериментальні). Є і TestDisk (www.cgsecurity.org/wiki/TestDisk), що дозволяє перевірити і відновити дискові розділи. Також в комплект включений файловий менеджер Midnight Commander, текстові редактори Vim і Nano і деякі інші утиліти. Єдиним мінусом GParted Live є відсутність нормальної підтримки мережі, тому, наприклад, можливості того ж Partition Image реалізовані далеко не повністю.
Для створення образів розділів диска існує спеціальне рішення - система клонування Clonezilla (www.clonezilla.org). Склад додатків - Partition Image, ntfsclone, partclone, dd і udpcast дозволяє клонувати велику кількість файлових систем і копіювати образ на інший розділ або по мережі (Samba, NFS, SSH). Пропонуються дві версії дистрибутива: Clonezilla Live і Clonezilla SE (Server Edition). Друга дозволяє не просто копіювати розділи, а й клонувати системи. З його допомогою можна легко перенести копію системного розділу на 40 систем (а можливо і більше) всього за 10 хвилин. Підтримується завантаження з CD, USB флешки, жорсткого диска і по мережі (PXE).
У Clonezilla образ диска можна зберегти на мережевий ресурс
головний рятувальник
Для вирішення позаштатних ситуацій, які можуть виникнути в процесі повсякденної експлуатації сервера або клієнтського комп'ютера, можуть знадобитися різні інструменти. Дуже зручно, коли вони зібрані в одному місці. Одним з найпопулярніших дистрибутивів, спрямованих на вирішення цього завдання, є SystemRescueCD (www.sysresccd.org), який виконаний у вигляді LiveCD (можлива установка на флешку). До складу SystemRescueCD входить велика кількість утиліт, за допомогою яких можна відновити систему після збою, підготувати диск для установки нової ОС, протестувати апаратну частину комп'ютера, забекапіть дані і багато іншого.
Основою SystemRescueCD послужив Gentoo. Ядро дистрибутива 2.6.25.16 підтримує всі файлові системи Linux, включаючи Reiser4, Btrfs (нова файлова система, що розробляється за підтримки компанії Oracle, своєрідна відповідь на ZFS), а також мережеві SMB і NFS. Причому до складу останньої версії дистрибутива 1.1.0 включено чотири ядра: основне і альтернативне, кожне в двох варіантах - для роботи з 32 бітними системами (i486 оптимізація) і 64 бітове.
SystemRescueCD - відмінний інструмент для відновно-рятувальних робіт
Розмір образу дистрибутива 230 Мб, тому в комплекті є все необхідне адміну, включаючи і документацію по роботі. Повний список доступних параметрів завантаження можна переглянути, натиснувши клавіші -. Стартове меню дозволяє встановити не тільки ряд налаштувань (роздільна здатність екрану в framebuffer, завантаження з жорсткого диска, USB-пристрої і т.д.), але і запустити ряд вельми корисних утиліт. Серед них - тест оперативної пам'яті (memtest), вільний аналог операційної системи DOS - FreeDOS з рядом утиліт в комплекті (freedos), завантажувач Graphical Boot Manager (gag), тест для визначення обладнання (aida), утиліта Darik's Boot and Nuke для знищення даних без можливості їх подальшого відновлення (dban), низкоуровневая утиліта для роботи з розділами жорсткого диска (mhdd). В результаті ще навіть не завантаживши основну систему, ми вже отримуємо багатий набір корисних утиліт.
Після завантаження в рутовий консоль виводиться таблиця основних команд. Починаючи з версії 0.3, в SystemRescueCD з'явився X-сервер з віконним менеджером WindowMaker, завантажити який можна, запровадивши «startx». В системі налічується кілька сотень утиліт, і в більшості випадків для вирішення одного завдання пропонується кілька інструментів. Наприклад, fdisk, GNU / Parted, GParted для роботи з розділами жорсткого диска і повний набір консольних утиліт, призначених для роботи з усіма типами розділів: e2fsprogs, reiserfsprogs, reiser4progs, xfsprogs, jfsutils, ntfstools (ntfsresize, ntfsclone та інші), dosfstools, sfdisk, які дозволяють їх форматувати, змінювати розмір, перевизначати. Є пакет mtools, призначений для роботи з DOS файлами. Підтримка мережі дозволяє на повну реалізувати можливості клієнт-серверної архітектури PartImage (обидва входять в комплект). Крім gag, до складу дистрибутива включені завантажувачі GRUB і LILO, що дозволяє використовувати SystemRescueCD для їх відновлення, наприклад, в тому випадку, коли завантажувач затертий під час установки Windows. Для зручного переміщення по каталогам в наявності файловий менеджер Midnight Commander. Є кілька редакторів тексту - vim, elvis, nano, joe, qemacs і графічний Leafpad. Додатки та утиліти, що входять до складу SystemRescueCD, можна перераховувати ще довго. Є тут і популярні архіватори (gzip, bzip, rar, tar і інші), програми для запису CD / DVD (cdrecord, dvd-rw-tools, cdrtools, mkisoft). Крім параноїдального dban, доступного при завантаженні, є багато інших програм, що дозволяють стерти інформацію без сліду - shred, wipe. А за допомогою антивірусу ClamAV можна перевірити жорсткий диск на наявність вірусів (оновлення антивірусних баз проводиться за допомогою freshclam).
Жоден сучасний дистрибутив можна уявити без функцій роботи з мережею. На відміну від GParted, в комплекті SystemRescueCD є утиліти для роботи з Samba, ftp клієнт, сервер і клієнт SSH, VNC сервер. З мережевих додатків варто відзначити наявність консольних веб-браузерів lynx, elinks і графічного Bon Echo (альфа Firefox 2.0.0.16), популярного сканера Nmap, багатофункціональної мережевої утиліти netcat і nslookup для DNS запитів.
Пен-тестінг з BackTrack
LiveCD взяли на озброєння і фахівці з безпеки. В результаті за короткий термін з'явилося близько десятка рішень з явно хакерських ухилом, за допомогою яких можна протестувати системи і мережі на наявність вразливостей. Пік їх розвитку припав на 2003-2005 роки, але, на жаль, частина популярних тоді проектів в даний час не розвивається.
Швейцарський BackTrack (www.remote-exploit.org) виник у 2004 році в процесі злиття двох дистрибутивів: Auditor Security Linux і WHAX (ранньо Whoppix), завдання яких збігалися. Метою проекту Auditor Security «The Swiss Army Knife for security assessments» було всебічне тестування Linux систем, для чого він містив понад 300 утиліт для виявлення і усунення проблем в мережевих і системних настройках. Розробки WHAX (White Hat + SLAX) були зосереджені на тестуванні на проникнення (penetration test). Основним напрямком у розвитку BT було вибрано забезпечення максимальної підтримки обладнання та забезпечення більшої гнучкості і модульності для спрощення підтримки та оновлення системи. У підсумку в останній версії -final3, випущеної в червні 2008 року, більшість додатків будуються як окремі модулі. А підтримка Eee PC може перетворити цей невеликий комп'ютер від Asus в досить потужна зброя адміна. Заснований BackTrack на Slackware 12.0 і наборі скриптів проекту SLAX (www.slax.org). У якості графічної оболонки запропоновані KDE 3.5.7 і Fluxbox. Поширюється у вигляді LiveCD, є розширений варіант для використання на USB флешки і файл для VMware. Можлива установка на жорсткий диск.
Завантажувальний меню пропонує кілька варіантів - KDE (за замовчуванням), Fluxbox, KDE в ОЗУ, VESA режим, без мережі і кілька текстових режимів.
Сама завантаження в LiveCD відбувається дуже швидко, навіть при виборі в якості робочого середовища KDE. В процесі будуть знайдені і автоматично налаштовані всі пристрої, включаючи мережеві карти (DHCP) і WiFi. Всі операції проводяться від імені користувача root, тому слід бути обережним в роботі. Хочеться особливо відзначити стильний вигляд робочого столу і продуманість меню. У стислому архіві знаходиться близько 2.7 Гб даних, але заплутатися в додатках неможливо. Все знаходиться на своїх місцях, всюди, де це необхідно, виводяться підказки.
В меню BackTrack знаходимо кілька сотень спеціальних програм, розбитих на 11 основних груп. Серед них: мережеві сканери, аналізатори протоколів і сніфери, експлоїти (SecurityFocus, PacketStorm, Metaspl0it Framework 2/3 і ін.), Брутфорсер, утиліти для роботи з проксі, Cisco-інструментарій, утиліти для аналізу бездротових мереж, VoIP-сервісів, реверс інжинірингу та інших. Наприклад, в меню «VoIP & Telephony Analysis» я нарахував 32 посилання.
Кількість утиліт в BackTrack вражає
Як бонус запропонований цілком пристойний для користувача набір (мультимедіа, програми для роботи з графікою, текстові редактори, інтернет-додатки і т.д.). Відсутні лише звичні в юзерскій десятеро категорії - Office і Games. Все це дозволяє використовувати BackTrack як звичайну систему. У комплекті поставляється утиліта slapt-get, а відсутні пакети можна брати з Слак (хоча slapt-get з коробки не працює, перед використанням її слід налаштувати).
У складі BackTrack знаходимо велику кількість експлойтів
У меню знаходяться посилання на документацію пов'язаних проектів, що допоможе швидко освоїтися з роботою невідомих програм. За порадами слід звертатися на форум і wiki проекту (forums.remote-exploit.org, wiki.remote-exploit.org).
Шукаємо слід з DEFT
Згідно зі статистикою, більше 60% комп'ютерів в Мережі заражені вірусами або перебувають під контролем хакерів, які використовують їх для своїх цілей. Щоб розібратися з проблемою, зібрати докази, які, можливо, допоможуть спіймати того, хто це зробив, існують спеціальні інструменти і дистрибутиви. Одним з таких рішень є DEFT Linux (www.deftlinux.net), назва якого походить від акронима «Digital Evidence & Forensic Toolkit». Виник цей дистрибутив зусиллями групи фахівців, що займаються розслідуванням комп'ютерних злочинів. Перша версія DEFT v1 вийшла в світ у 2006 році і базувалася на Kubuntu 6.10. Сьогодні доступна четверта версія, в якій в якості основи обраний Xubuntu 8.10 з робочим столом XFce. Вибір дистрибутива гарантує сумісність з тим обладнанням, яке підтримується сімейством Ubuntu.
Процес завантаження DEFT мало відрізняється від Ubuntu, хоча є свої особливості. Так розділи жорстких дисків та інших носіїв автоматично НЕ монтують. Специфіка дистрибутива така, що всі операції дослідник робить вручну, ретельно контролюючи кожен крок. Тому і вставлена в робочій системі флешка НЕ підхоплюється. Графічний інтерфейс за замовчуванням також не запускається, щоб побачити XFce, слід набрати в консолі «deft-gui».
Перше, що кидається в очі в робочому середовищі, - це наявність великої кількості значків на робочому столі, призначених для запуску специфічних додатків і відсутність звичного в Ubuntu ярлика для установки на жорсткий диск. Що цілком логічно і очікувано, адже в подібних рішеннях виконувати запис на жорсткий диск потрібно вкрай обережно, досить змінити час звернення до файлу, як дані можна потім буде використовувати в доказах.
Зібраний на Xubuntu дистрибутив DEFT містить все необхідне для збору доказів про злом
В першу чергу в дистрибутиві варто відзначити популярні OpenSource рішення, використовувані для збору даних на скомпрометованої системі, - колекція утиліт Sleuth Kit (TSK) і графічна оболонка до них Autopsy (Autopsy Forensic Browser). Раніше для зберігання образів диска дослідники використовували RAW образ диска, створений за допомогою dd або її аналога dd_rescue. Розмір такого способу збігався з вихідним і відповідно вимагав багато місця для зберігання, крім цього, часто губилися важливі метадані. Тому для зберігання образів дисків був створений спеціальний відкритий і розширюваний формат AFF (Advanced Forensics Format), бібліотеки для підтримки якого основними утилітами також є в дистрибутиві.
У комплект включені програми практично в усіх напрямках, які можуть знадобитися досліднику. Для роботи з жорстким диском і перевірки його стану - Gpart, parted і інтерфейси Gparted і QTparted, TestDisk. Для відновлення файлів по їх заголовкам і структурі включена консольна утиліта Foremost. Визначити тип файлу можна за допомогою trID. Є утиліти для пошуку прихованої інформації всередині файлу-контейнера - Steg detect і набір утиліт OutGuess. Додатки для роботи з hex даними - hex dump і KHex. Розробники передбачили можливість відновити / підібрати пароль за допомогою Ophcrack і John the Ripper. Є програми і для пошуку вірусів та руткітів - ClamAV, chrootkit, rkhunter.
Повністю підтримується робота по мережі. Для цього до складу DEFT включені Samba, OpenSSH сервер, RDesktop і багато інших програм. Крім них в меню Network знайдемо незамінні для кожного адміна програми - Nessus, Nmap, FireShark, Ettercap, Kismet і AirSnort.
Установка BackTrack на USB-флешку і Eee PC
Для установки BackTrack на USB-флешку або Eee PC можна використовувати LiveCD, але краще взяти спеціальний варіант BackTrack 3 USB version (розмір 783 Мб). Розмір флешки повинен бути не менше 1 Гб (для Eee PC потрібна SD-карта), файлова система - FAT32. Розпаковуємо скачаний ISO образ. У Windows можна використовувати WinRAR або спеціальну утиліту на кшталт UltraISO, ISOBuster. В * nix просто монтуємо ісошку в тимчасовий каталог:
# Mount -o loop -t iso9660 bt3-final.iso / mnt / iso
Копіюємо на флешку знаходяться всередині каталоги bt3 і boot. Потім треба зробити флешку завантажувальної. Для цього запускаємо знаходиться в каталозі bt3 скрипт bootinst.bat (в Windows) або bootinst.sh (* nix). Як варіант, самостійно вводимо потрібну команду:
# Boot / syslinux / syslinux -d boot / syslinux / dev / sdd
Або в Windows:
K: \ boot \ syslinux \ syslinux.exe -ma -d \ boot \ syslinux K:
Де / dev / sdd і K: - назва диска.
Для Eee PC необхідно ще підправити файл boot / syslinux / syslinux.cfg, прописавши після рядка «APPEND vga = 0x317 initrd = / boot / initrd.gz ...» рядок (під час завантаження системи SD буде / dev / sda) «changes = / dev / sda2 ».
огляд nUbuntu