Kuidas kontrollida võrgu jõudlust, turvalisust ja tõrkeotsingut Linuxis - 12. osa

Arvutivõrgu usaldusväärne analüüs algab mõistmisega, millised on ülesande täitmiseks saadaval olevad tööriistad, kuidas valida iga sammu jaoks õige (d) ja kõige lõpuks, kust alustada.

See on seeria LFCE ( Linux Foundation Certified Engineer ) viimane osa, siin vaatame üle mõned tuntud tööriistad võrgu jõudluse uurimiseks ja turvalisuse suurendamiseks ja mida teha, kui asjad ei lähe ootuspäraselt.

Pange tähele, et see loend ei pretendeeri kõikehõlmavale, nii et kommenteerige seda postitust julgelt allosas oleva vormi abil, kui soovite lisada veel ühe kasuliku utiliidi, mis meil võib puududa.

Üks esimesi asju, mida süsteemiadministraator peab iga süsteemi kohta teadma, on see, milliseid teenuseid kasutatakse ja miks. Kui see teave on käes, on mõistlik otsus keelata kõik need, mis pole tingimata vajalikud, ja vältida samas füüsilises masinas liiga paljude serverite majutamist.

Näiteks peate keelama oma FTP serveri, kui teie võrk seda ei vaja (failide jagamiseks võrgu kaudu on muide turvalisemaid meetodeid). Lisaks peaksite vältima veebiserveri ja andmebaasiserveri olemasolu ühes süsteemis. Kui üks komponent satub ohtu, on oht ka ülejäänud kompromissile sattuda.

Rakendust ss kasutatakse soklite statistika tühjendamiseks ja see näitab netstatiga sarnast teavet, ehkki see võib kuvada rohkem TCP ja oleku teavet kui muud tööriistad. Lisaks on see loendis man netstat loetletud kui vananenud netstat'i asendaja.

Selles artiklis keskendume siiski ainult võrgu turvalisusega seotud teabele.

Kõiki vaikepordides töötavaid teenuseid (st. Http 80-l, mysql 3306-l) tähistatakse nende vastavate nimedega. Teised (siin privaatsuse huvides varjatud) kuvatakse numbrilises vormis.

# ss -t -a

Esimeses veerus kuvatakse olek TCP , teises ja kolmandas veerus kuvatakse andmete vastuvõtmise ja edastamise järjekord. Neljas ja viies veerg näitavad iga ühenduse lähte- ja sihtkoha pesasid.
Vahemärkusena võiksite kontrollida RFC 793-d, et värskendada oma mälu võimalike TCP-olekute kohta, sest (D) DoS-rünnakute teadvustamiseks peate kontrollima ka avatud TCP-ühenduste arvu ja olekut.

# ss -t -o

Ülaltoodud väljundis näete, et on 2 loodud SSH-ühendust. Kui märkate taimer teise välja väärtust:, märkate esimeses ühenduses väärtust 36 minutit. See on ajavahemik järgmise pideva sondi saatmiseni.

Kuna see on ühendus, mida hoitakse elus, võite julgelt eeldada, et see on passiivne ühendus ja võib seega protsessi pärast PID teada saamist tappa.

Teise ühenduse osas näete, et see on praegu kasutusel (nagu tähistatud tähisega sees).

Oletame, et soovite TCP-ühendusi pesa järgi filtreerida. Serveri vaatenurgast peate kontrollima ühendusi, kus lähteport on 80.

# ss -tn sport = :80

Tulemuseks aastal ..

Pordi skannimine on levinud tehnika, mida kräkkerid kasutavad võrgus aktiivsete hostide ja avatud portide tuvastamiseks. Kui haavatavus on avastatud, kasutatakse seda süsteemile juurdepääsu saamiseks ära.

Tark sysadmin peab kontrollima, kuidas tema süsteemid väljastpoolt näevad, ja veenduma, et midagi ei jää juhuse hooleks, kontrollides neid sageli. Seda nimetatakse\" kaitsev sadama skaneerimine ".

Süsteemi või kaughosti avatud porti skannimiseks võite kasutada järgmist käsku:

# nmap -A -sS [IP address or hostname]

Ülaltoodud käsk otsib hostilt OS ja versiooni tuvastamise, porditeabe ja jälgimissuuna ( -A ). Lõpuks saadab -sS TCP SYN skannimise, takistades nmap-i 3-suunalise TCP käepigistuse lõpuleviimiseks ja jättes seega tavaliselt sihtmasinasse logid.

Enne järgmise näite jätkamist pidage meeles, et sadamate skaneerimine ei ole ebaseaduslik tegevus. Mis ON ebaseaduslik, on tulemuste kasutamine pahatahtlikul eesmärgil.

Näiteks tagastab ülaltoodud käsu käivitamine kohaliku ülikooli põhiserveri vastu järgmise (lühiduse huvides kuvatakse ainult osa tulemusest):

Nagu näete, avastasime mitmeid kõrvalekaldeid, millest peaksime hästi aru andma selle kohaliku ülikooli süsteemiadministraatoritele.

See konkreetne pordi skaneerimise toiming annab kogu teabe, mida on võimalik saada ka teiste käskudega, näiteks:

# nmap -p [port] [hostname or address]

# nmap -A [hostname or address]

Samuti saate skannida mitut pordi (vahemikku) või alamvõrku järgmiselt:

# nmap -p 21,22,80 192.168.0.0/24 

Märkus. Et ülaltoodud käsk skannib selle võrgusegmendi kõigi hostide porte 21, 22 ja 80.

Muud tüüpi pordi skannimise kohta saate lisateavet manulehelt . Nmap on tõepoolest väga võimas ja mitmekülgne võrgukaardistamise utiliit ning peaksite sellega väga hästi kursis olema, et kaitsta süsteeme, mille eest vastutate, rünnakute eest, mis tekkisid pärast pahatahtlikku sadama skannimist, mille viisid läbi autsaiderid.