В последнее время начал активно использовать на служебном ноутбуке Linux Debian 5 версии. Удобно и поэкспериментировать иногда, и для работы достаточно хорошо подходит – Gnome, Office 2007 запускается под wine, jdk для Cisco ASDM, VMWare Workstation и много другого необходимого софта.
Так как ноутбук вещь такая что украсть ее не так сложно как настольный ПК, озаботился я шифрованием жесткого диска, так как куча приватной информации хранится на ноутбуке – приватные ключи для доступа к корпоративной сети, служебная переписка, личная переписка и мало ли еще какой приватной информации которую очень не хотелось бы отдавать в чужие руки. Приступим.
Шаг 1.
Для начала необходимо установить ПО для обеспечения возможности шифрования:
apt-get install cryptsetup
apt-get install mdadm
apt-get install lvm2
В ядре должна быть включена поддержка LVM – в ядре из дистрибутива дело обстоит именно так.
Моя таблица разделов выглядит так:
/dev/sda1 * 1 26 204800 7 HPFS/NTFS
/dev/sda2 26 10077 80737678+ 83 Linux
/dev/sda3 10078 19457 75344850 83 Linux
Read the rest of this entry »
Моя Система:
Debian squeeze/sid
Подготовка к созданию chroot-окружения:
mkdir -p /jails/test/
apt-get install debootstrap
Для создания минимального окружения chroot будем использовать debootstrap.
Формат команды следующий:
# /usr/sbin/debootstrap –arch ARCH lenny /where/debinst http://ftp.us.debian.org/debian
Замените ARCH на один из следующих вариантов в команде запуска debootstrap: alpha, amd64, arm, armel, hppa, i386, ia64, m68k, mips, mipsel, powerpc, s390 или sparc. У меня i386, поэтому я ставлю его.
lenny – дистрибутив который используем. Ну и адрес, откуда берем. Полный список зеркал Debian находится здесь – http://www.debian.org/mirror/list
В итоге у меня получилась следующая команда:
/usr/sbin/debootstrap --arch i386 lenny /jails/test/ http://mirror.yandex.ru/debian/
Некоторое время будет происходить установка базовой системы..
Смотрим – а там целая система.
rootfox:/jails/test# ls
bin boot dev etc home lib media mnt opt proc root sbin selinux srv sys tmp usr var
Монтируем необходимые виртуальные файловые системы если необходимо (пригодятся для использования например таких вещей как top в chroot):
mount -t proc proc /jails/test/proc
mount -t devpts devpts /jails/test/dev/pts
mount -t sysfs sysfs /jails/test/sys
Можно сразу добавить в fstab, что бы при следующих перезагрузках не ввводить эти команды вручную:
echo "proc /jails/test/proc proc defaults 0 0" >> /etc/fstab
echo "devpts /jails/test/dev/pts devpts defaults 0 0" >> /etc/fstab
echo "sysfs /jails/test/sys sysfs defaults 0 0" >> /etc/fstab
Устанавливаем нужный софт, locales – чтобы по русски date работала
chroot /jails/test/ aptitude install nano vim-full mc locales binutils ssh
Настраиваем локаль
chroot /jails/test/ dpkg-reconfigure locales
Все, теперь можно войти в этот chroot, например так:
chroot /jails/test /bin/bash
Можно установить какие-то программы, поэкспериментировать без риска нанести ущерб основной системе.
Если требуется что бы в chroot-окружении при старте системы запускался какой-то демон, например ssh, необходимо внести изменения в /etc/rc.local, например такие:
chroot /jails/test /etc/init.d/ssh start
Небольшая подборка наиболее популярного ПО для подбора паролей к ssh аккаунтам:
1. SSH Brute Forcer – UNIX/Linux утилита в виде shell-скрипта
http://www.securiteam.com/tools/5QP0L2K60E.html
2. THC-Hydra – Наиболее быстрый брутфорсер который умеет брутать очень многие популярные сервисы
http://freeworld.thc.org/thc-hydra/
3. SSHatter – Перловый скрипт
http://www.madirish.net/?article=183
4. SSHBrute – Скрипт на языке Python
http://www.darkc0de.com/bruteforce/sshbrute.py
Практически, эффективность атак методом перебора не самая эффективная.
Но статистика, вещь упрямая, показывает следующее:
1) как минимум 5 процентов пользователей выбирают пароль находящийся в списке “100 самых популярных”
2)из пункт 1, следует, что если в системе есть 25 пользователей, то можно рассчитать что эффективность атаки на систему составит: 1-(1-0.05)^25 = 0.72 т.е. 72%.;
3) или, например, если в системе 60 пользователей, то эффективность – 1-(1-0.05)^60 = 0.95 т.е. 95%.
Что говорит о том, что чем больше участников системы, тем более она уязвима.
В любом случае метод авторизации по паролю морально устарел, наступает черед методам двухфакторной авторизации взять свое.
Например в SSH можно использовать авторизацию по сертификату с паролем, в WWW и Mail-системах можно использовать авторизацию по сертификату и т.д.
Конечно пока что технически это возможно далеко не везде, но если вы используете парольную авторизацию и отвечаете за систему – соблюдайте парольную политику, проводите аудит паролей пользователей (например утилитой JohnTheRipper или CAIN), создавайте правила.
XenServer по умолчанию не имеет возможности подключить внешний HDD (например IDE) к виртуальной машине с сохранением данных. Авторами XenServer предполагается что подключая дополнительный жесткий диск вы будете инициализировать его посредством LVM, а в виртуальных машинах использовать виртуальные диски находящиеся в хранилище.
Мне же потребовалось добавить жесткий диск что бы использовать данные с него в виртуальной машине:
1. Добавляем в /etc/udev/rules.d/50-udev.rules:
ACTION=="add", KERNEL=="hda", SYMLINK+="xapi/block/%k", RUN+="/bin/sh -c '/opt/xensource/libexec/local-device-change %k 2>&1 >/dev/null&'"
ACTION=="remove", KERNEL=="hda", RUN+="/bin/sh -c '/opt/xensource/libexec/local-device-change %k 2>&1 >/dev/null&'"
Немного поясню:
KERNEL==”hda” – hda это мой жесткий диск на интерфейсе IDE который я подключаю (узнать как видится ваш можно просмотрев вывод dmesg)
ACTION – действие, при подключении и отключении устройства.
xapi/block – структура каталогов в /dev в которых XenServer ищет сменные устройства.
2. Перезагружаем и входим в XenCenter, там добавляем как Removable Storage к необходимой виртуальной машине.
1. Убеждаемся что в ядре включена поддержка WEB камеры и v4l2, что web-камера работает.
2. Ставим из репозитариев Mplayer и mencoder.
3.Тестируем:
mplayer tv:// -tv driver=v4l2:width=352:height=288:device=/dev/video0
4. Пишем видео:
mencoder tv:// -tv driver=v4l2:width=:height=:device=/dev/video0 -nosound -ovc lavc -o VideoFile.avi
5. Смотрим man mencoder, удивляемся количеству опций и изучаем.