На горе лежит дискета,
у нее запорчен бут,
через дырочку в конверте
ее вирусы грызут ...

Вы никогда не просыпались от того, что вам показалось, что хитрый и злобный хакер проник в вашу систему и начинает разламывать в ней все, что попадет под руку ? Вы думаете, что если система редко появляется в инете или стоит за файрволлом, никому не нужна ? Иногда могут ломать ради скуки, ради интереса или просто так .. Изнутри и снаружи ... Попробую рассказать о самых первых мерах, которые Вам стоит сделать, чтобы хоть маленько обезопаситься ... Все рекомендации, опять же, применимы и опробованы на Slackware, на остальных дистрибутивах к ним следует подходить с осторожностью ....

Первое, ограничим возможность заходить администратору (root) удаленно. Те, кому это на самом деле надо, смогут зайти сначала под своим логином, а затем дать команду su Итак, файлик /etc/securetty

console
tty1
tty2
tty3
tty4
tty5
tty6
ttyS0
ttyS1
ttyS2
ttyS3
#ttyp0
#ttyp1
#ttyp2
#ttyp3

Так, root'а по сети обрезали, теперь увеличим длину воспринимаемого пароля. По умолчанию в slackware стоит максимальная длина воспринимаемого и проверяемого пароля в 8 символов. Конечно, перебрать пароль в 8 символов не так-то уж и легко, но лучше увеличить его. Смотрим файл /etc/login.defs и внимательно читаем комментарии к командам. FAIL_DELAY отвечает за задержку, которая будет, если пользователь набрал неправильный пароль. Ее стоит ставить в пределах 3-5 секунд, но не в коем случае не 0 !!! Иначе ваша машина окажется беззащитной перед попытками перебора пароля через сеть. Смотрим дальше ...CONSOLE как раз ссылается на тот файл, в котором сказано, откуда может логиниться root.PASS_MIN_LEN - указывает на минимальную длину вводимого пользователем пароля.SU_WHEEL_ONLY эта команда указывает, может ли любой пользователь давать команду su. По умолчанию любой (no). PASS_MAX_LEN - максимальная длина пароля. По умолчанию стоит 8 символов, но увеличение этого числа вам ничего не даст, так как функция crypt() в unix'e не умеет работать с паролями длинее 8 символов. Для увеличения длины пароля необходимо раскомментировать MD5_CRYPT_ENAB yes - во первых, это даст увеличение возможной длины пароля до 127 символов (а надо ли больше ?), а во вторых заставит перейти с схемы шифрования DES на MD5, что по утверждению авторитетных источников куда лучше. Все, теперь сохраняем этот файл и даем команду passwd - меняем пароль и смотрим в /etc/shadow - вы сразу заметите разницу. ;-)

Так, откуда еще root может залезть, ага, по ftp. Смотрим /etc/ftpusers - это если у вас стоит устанавливаемый по умолчанию сервер wu-ftp.

root
uucp
news

Теперь будем защищаться от локальных пользователей, которые имеют физических доступ к машине. Если какой-нибудь хохотун (ну или НТ-шник ;-) по привычке или незнанию нажмет заветные 3 кнопки на консоли (Ctrl-Alt-Del), то slackware быстренько постарается перезагрузиться ... Вам это надо ? Ведь есть куда более прозаические способы закрыть Linux. Смотрим /etc/inittab

.......
# What to do at the "Three Finger Salute".
ca::ctrlaltdel:/sbin/shutdown -t5 -rf now
.......

Итак, вроде все защитили, вроде все, да не все .... попробуйте пройтись любым порт-сканером (пойдет даже Этот ) по любому свеже-установленному Linux'у и запишите все порты, которые от скажет, что открытые ...Потом позапускайте telnet [host] [port] ... вы оччень многое узнаете о своей машине ... По крайней мере, я смог увидеть, какие процессы запущены у меня, какие пользователи и прочее ... Гнусно выругавшись (посмотрите, кто рядом ;-) лезем в файлик /etc/inetd.conf и тщательно начинаем смотреть, кто на какой порт откликается, сверяясь с /etc/services на предмет номера порта. Будем максимально параноидальны и оставим только ftp ....

ftp     stream  tcp     nowait  root    /usr/sbin/tcpd  wu.ftpd -l -i -a

telnet  stream  tcp     nowait  root    /usr/sbin/tcpd  in.telnetd

Куда еще нужно смотреть ? регулярно проверять /etc/passwd&/etc/shadow на предмет новых пользователей и ВНИМАНИЕ !! на появление пароля у тех пользователей, у которых раньше стояла * (operator,news,nobody etc).... Также смотреть /etc/group ....ну и вообще присматривать за файликами, лежащими в /etc - права, содержание и все остальное ....

Существует еще один очень простой способ открыть любую линукс-машину. В ответ на приглашение lilo необходимо набрать linux single (ну или boot= ... root=... etc), и Вы получите в свое распоряжение консоль суперпользователя (или ядро, загруженное оттуда, откуда вы захотели). Как от этого избавиться ? Очень просто - пишем всемогущую команду man lilo.conf.

........
password=password
The  per-image  option  `password=...'  (see below)
applies to all images.
........
restricted
The   per-image  option  `restricted'  (see  below)
applies to all images.
........
password=password
Protect the image by a password.
........
restricted
       A password is only required to boot  the  image  if
       parameters  are specified on the command line (e.g.
       single).
........	    

restricted
password=nizzza_grusit

SSH

SSH (secure shell) - это программа, которая шифрует весь трафик, идущий между двумя машинами (telnet, X11), мощными протоколами шифрования и заодно еще и сжимает его ...Этим убиваются сразу 2 зайца - можно больше не бояться, что кто-то возьмет сниффер и начнет снимать трафик, потом его декодирует и выдерет пароли ....и на медленных каналах из-за сжатия чуть-чуть уменьшается время реакции машины на команды ... в общем, польза со всех сторон.

Для линукса и юниксов вообще все очень просто - все необходимо лежит на www.ssh.fi - там Вы найдете все в куче .... но я брал с ftp.cs.hut.fi/pub/ssh - там тоже дают ;-). Возьмем для примера ssh-1.2.27. На данный момент существуют 2 несовместимые между собой версии протокола ssh. Мне же, кроме походов на свою машину, требуется иногда ходить на другие машины, на которых стоит ssh именно первой версии. Вас же никто не ограничивает в выборе. Установка ssh проста до безобразия - ./configure; make; make install (естественно, последнее надо делать из под пользователя root). После всего в каталоге /etc появятся несколько файликов с именами, начинающимися на ssh*. Нас интересуют ssh_config и sshd_config. В первом находятся настройки для клиента, а во втором для сервера. В принципе, как написано в INSTALL, эти настройки подходят для большинства систем и машин - я посмотрел и действительно ... в итоге я просто просмотрел эти файлики и не стал в них ничего менять. Там же рекомендуют пускать sshd в самом начале загрузки линукса, а не вставлять его вызов через inetd, поскольку при каждом запуске sshd генерирует новый ключ и это занимает довольно значительные ресурсы времени и мощности. Так я и сделал, просто расскоментировал в /etc/rc.d/rc.inet2 одну-единственную строчку c sshd. Сохранил файл и от суперпользователя снова дал эту команду - никто ни на что не сругался ....ps честно показал, что sshd запущен, стал демоном ... telnet localhost 22 сказал, что коннект проходит ... вроде все работает .... надо попробовать теперь клиент ...

bash$ ssh multik
Host key not found from the list of known hosts.
Are you sure you want to continue connecting (yes/no)? yes
Host 'multik' added to the list of known hosts.
multik@multik's password: 
..............
bash$