Архив автора: admin

Новые возможности Алисы от «Яндекса»: распознавание предметов, QR-кода и текста на фотографии

Алиса облегчает выполнение многих задач. Одной из удобных и полезных функций помощника является умение работать с фотографиями: распознавать предметы, обрабатывать текст и расшифровывать QR-коды.

Читать

Как выяснить IP-адрес своего компьютера и чужого в локальной сети

Иногда пользователю может понадобиться быстро узнать, какой у его устройства адрес IP в локальной сети, в которой он подключён. Также может оказаться нужным такой же адрес, но уже другого компьютера, который работает в этой же сети. Можно ли это сделать без использования какого-то стороннего ПО? И какие утилиты скачивают и устанавливают для этих целей?

Читать

В Таиланде легализовали медицинскую марихуану

Власти Таиланда легализовали использование марихуаны для исследовательских целей, а также в качестве лекарства. Об этом сообщает Reuters. Это первое подобное решение, принятое в регионе, где к наркотикам относятся более, чем серьезно.

Читать

Linux – Основные права доступа к файлам и каталогам

Что такое базовые права для файлов Linux?

Linux, как и UNIX, является многопользовательской системой, и права доступа к файлам являются одним из способов защиты системы от вредоносного вмешательства.

Один из способов получить доступ, когда вам отказано в разрешении, состоит в том, чтобы получить права root.

Имейте в виду, что тот, кто знает пароль root, имеет полный доступ.

Но переключение на суперпользователя не всегда удобно или не рекомендуется, поскольку легко допустить ошибки и изменить важные файлы конфигурации в качестве суперпользователя.

Все файлы и каталоги «принадлежат» человеку, который их создал.

Например, в листинге:

-rw-rw-r--    1 john   sap      150 Mar 19 08:08 file1.txt

Файл file1.txt принадлежит пользователю john.

Это означает, что вы можете указать, кому разрешено читать файл, писать в файл или (если это приложение, а не текстовый файл), кто может выполнять файл.

Вы также можете контролировать доступ к каталогам аналогичным образом.

Чтение, запись и выполнение [ r,w и x ] – три основных параметра в разрешениях.

Поскольку пользователи создаются в группе при создании их учетных записей, вы также можете указать, могут ли определенные группы читать, записывать или выполнять файл.

Используя приведенный выше пример file1.txt, вы можете увидеть, что здесь представлено много деталей.

Вы можете видеть, кто может читать (r) и записывать (w) файл, а также кто создал файл (john) и к какой группе принадлежит владелец (sap).

Однако помните, что по умолчанию имя вашей группы совпадает с вашим логином.

Другая информация справа от группы включает размер файла, дату и время создания файла и имя файла.

Первый столбец показывает текущие права; у него есть десять слотов.

Первый слот представляет тип файла.

Оставшиеся девять слотов фактически представляют собой три набора прав для трех разных категорий пользователей.

Например:

-rw-rw-r--

Эти три набора являются владельцем файла, группой, к которой принадлежит файл, и «другими», то есть всеми остальными пользователями.

 -    (rw-)   (rw-)   (r--) 1 john sap

|      |       |       |

type  owner  group   others

Первый элемент, который указывает тип файла, обычно показывает одно из следующего:

  • d – каталог

  • – (тире) – обычный файл (а не каталог или ссылка)

  • l – символическая ссылка на другую программу или файл в другом месте системы

Помимо первого элемента, в каждом из следующих трех наборов вы увидите одно из следующего:

  • r – файл можно прочитать

  • w – файл может быть изменен

  • x – файл может быть выполнен (если это программа)

Когда вы видите черту в владельце, группе или других лицах, это означает, что конкретные права не были предоставлены.

Посмотрите еще раз на первый столбец file1.txt и определите его права.

# ls -l file1.txt

-rw-rw-r--    1 john sap     150 Mar 19 08:08 file1.txt

В результате пользователь john владеет файлом.

Владельцем группы файла также является группа пользователя, которая называется sap.

Как  стики биты прав доступа к файлам соответствуют значениям, предоставленным chmod?

Стикибиты, применяемые к объекту файловой системы, напрямую соответствуют значениям, которые могут быть указаны в четырехзначном виде, предоставленном утилите chmod в следующей команде:

chmod abcd [file system object]

Каждое значение в наборе цифр abcd состоит из суммы значений 1, 2 и 4.

Сложив эти значения вместе для каждой цифры, можно сгенерировать значение, чтобы установить все атрибуты файлового объекта:

a – Эта цифра управляет настройками специальных атрибутов.

Значение 1 устанавливает бит setuid, значение 2 устанавливает бит setgid, а значение 4 устанавливает бит привязки объекта

b, c и d – эти цифры управляют разрешениями на чтение и запись для владельца файла, основной группы владельцев файлов и всех других пользователей.

Значение 4 включает разрешение на чтение, значение 2 включает разрешение на запись, а значение 1 включает разрешение на выполнение.

Примеры

Чтобы файл был прикрепленным к пользователю, читаемым и доступным для записи владельцем, читаемым его основной группой и доступным всем остальным:

# chmod 4610 filename

Чтобы дать все права всем в системе:

# chmod 0777 filename

Для получения дополнительной информации о chmod см. Справочную страницу chmod.

Как установить права доступа к файлам и каталогам, используя chown и chmod?

Используйте команду chown, чтобы изменить владельца и / или группу для файла.

Синтаксис прост.

Просто введите chown, за которым следует пользователь, которому принадлежит файл, а затем, необязательно, двоеточие («:») и имя группы.

Обратите внимание, что имена пользователей и / или групп должны существовать в системе.

Например:

# chown john:sap file1.txt

# ls -l file1.txt

-rw-rw-r--    1 john sap     150 Mar 19 08:08 file1.txt

в результате пользователь john владеет файлом.

Владельцем группы файла также является группа юзера, которая называется sap.

Используйте команду chmod для изменения прав доступа.

В этом примере показано, как изменить права для file1.txt с помощью команды chmod.

Если вы являетесь владельцем файла или вошли в систему под учетной записью root, вы можете изменить любые права для владельца, группы и других пользователей.

Прямо сейчас владелец и группа могут читать и записывать в файл.

Любой, кто находится за пределами группы, может только прочитать файл (r–).

ВНИМАНИЕ: Помните, что права доступа к файлам являются функцией безопасности. Всякий раз, когда вы позволяете кому-либо еще читать, записывать и выполнять файлы, вы увеличиваете риск подделки, изменения или удаления файлов. Как правило, вы должны предоставлять разрешения на чтение и запись только тем, кто действительно в них нуждается.

Как изменить права доступа к файлам / каталогам с помощью сокращенных обозначений?

В следующем примере вы хотите разрешить всем писать в файл, чтобы они могли читать его, записывать в него заметки и сохранять его.

Это означает, что вам придется изменить раздел «другие» прав доступа к файлу.

Сначала посмотрите на файл.

В командной строке введите:

# ls -l file1.txt

-rw-rw-r--    1 john sap     150 Mar 19 08:08 file1.txt

Теперь вы должны ввести следующее:

# chmod o+w file1.txt

Приведенная выше команда сообщает системе, что вы хотите дать другим разрешение на запись в файл file1.txt.

Чтобы проверить результаты, перечислите детали файла снова.

Теперь файл выглядит так:

-rw-rw-rw-    1 john sap     150 Mar 19 08:08 file1.txt

Теперь каждый может читать и писать в файл.

Чтобы удалить разрешения на чтение и запись из file1.txt, используйте команду chmod, чтобы убрать разрешения на чтение и запись.

# chmod go-rw file1.txt

Набрав go-rw, вы сообщаете системе об удалении прав на чтение и запись для группы и других пользователей из файла file1.txt.

Результат будет выглядеть так:

-rw-------    1 john sap    150 Mar 19 08:08 file1.txt

Считайте эти настройки своего рода сокращением, когда вы хотите изменить разрешения с помощью chmod, потому что все, что вам действительно нужно сделать, – это запомнить несколько символов и букв с помощью команды chmod.

Вот список того, что представляет сокращение:

Тождества

  • u – пользователь, которому принадлежит файл (то есть владелец)

  • g – группа, к которой принадлежит пользователь

  • o – другие (не владелец или группа владельца)

  • a – все или все (u, g и o)

Права доступа

  • r – доступ для чтения

  • w – доступ для записи

  • x – выполнить доступ

Действия

  • + – добавляет разрешение

  • – удаляет разрешение

  • = – делает это единственным разрешением

Вот несколько общих примеров настроек, которые можно использовать с chmod:

  • g + w – добавляет доступ на запись для группы

  • o-rwx – удаляет все разрешения для других

  • u + x – позволяет владельцу файла выполнить файл

  • + RW – позволяет всем читать и писать в файл

  • ug + r – позволяет владельцу и группе читать файл

  • g = rx – позволяет только группе читать и выполнять (не писать)

Как удалить все права для всех пользователей, используя сокращенные обозначения?

Хотите проверить свои навыки разрешений?

Удалите все разрешения из file1.txt – для всех.

# chmod a-rwx file1.txt

Теперь посмотрим, можете ли вы прочитать файл командой cat file1.txt, которая должна вернуть следующее:

cat: file1.txt: Permission denied

Удаление всех прав, включая ваши собственные, успешно заблокировало файл.

Но так как файл принадлежит вам, вы всегда можете изменить его разрешения обратно с помощью следующей команды:

# chmod u+rw file1.txt

Как вывести список прав доступа к файлам в восьмеричном формате?

Чтобы просмотреть разрешения для файлов в восьмеричном формате, используйте команду stat, предоставляемую пакетом coreutils.

Чтобы получить восьмеричные разрешения для всех файлов и каталогов в текущем рабочем каталоге, выполните команду ниже:

$ stat -c "%a %n" *

Чтобы получить восьмеричные разрешения для содержимого в определенном каталоге, скажем /usr/share, выполните следующую команду:

$ stat -c "%a %n" /usr/share/*

755 /usr/share/aclocal

755 /usr/share/alsa

755 /usr/share/anaconda

755 /usr/share/appdata

...

Чтобы получить восьмеричные разрешения только для каталога, скажем, /usr/share, а не для содержимого внутри него, выполните команду ниже:

$ stat -c "%a %n" /usr/share/

755 /usr/share/

Как сбросить все системные разрешения на файлы по умолчанию, если все разрешения для файлов изменены на 777?

Вы случайно выполнили следующую команду.

# chmod -R 777 /

Есть ли способ вернуться к исходным правам?

Выполните следующую команду, чтобы вернуться к исходным разрешениям.

# rpm -a --setperms

Это действие покажет некоторые ошибки, но можно пренебречь ими.

Как скопировать файлы с определенным разрешением по сети?

Для копирования файлов с определенными разрешениями можно использовать утилиту rsync:

# rsync --chmod=u+rwx,g+rx,o+rx  testfile user@192.168.0.1:/tmp/

Это скопирует тестовый файл в домашний каталог пользователя, а права доступа к скопированному файлу будут 755.

 



2018-12-26T11:32:32
Скрипты

Как защитить ssh в CentOS / RHEL / Fedora

Необходимость обеспечения безопасности sshd

Некоторые системные администраторы могут заметить, что злоумышленники пытаются войти в систему с общими именами пользователей и паролями через SSH.

В системных журналах /var/log/secure можно увидеть записи, аналогичные приведенным ниже для многих распространенных имен пользователей (таких как «admin», «guest», «test» и «root»):

Oct 28 11:11:08 hostname sshd[13412]: Illegal user admin from 172.16.59.10

Oct 28 11:11:12 hostname sshd[13412]: Failed password for illegal user admin from 172.16.59.10 port 33762 ssh2

Повторные попытки могут свидетельствовать о том, что злоумышленник пытается угадать пароль для конкретной учетной записи, особенно для учетной записи root, брутфорсом.

Атака брутфорса – это та, в которой пароль неоднократно угадывается, пока не будет найден правильный.

Как обезопасить демона SSHD?

Есть много способов сделать SSH более безопасным.

Здесь мы обсудим некоторые рекомендации.

Использование TCP Врапперов

Самый простой способ защитить демон SSH – это выборочно запретить доступ к нему с помощью функций из пакета tcp_wrappers-libs.

Этот пакет установлен по умолчанию.

tcpwrappers настраиваются через файлы /etc/hosts.allow и /etc/hosts.deny.

Чтобы полностью запретить доступ к демону SSH, добавьте следующий текст в /etc/hosts.deny:

# vi /etc/hosts.deny

sshd: ALL

Это полностью отключит доступ к демону SSH с любого клиента.

Если есть несколько хостов, которым нужно разрешить подключение, добавьте следующие строки в /etc/hosts.allow:

# vi /etc/hosts.allow

sshd: 192.168.0.1, trusted.one-domain.com, 192.168.23.0/24, *.trusted.net

Это позволит подключаться с IP-адреса 192.168.0.1, имени хоста trust.one-domain.com, сети 192.168.23.0/24 и домена * .trusted.net при запрете любых других подключений.

Помните, вам нужно запретить и разрешить хост / сети.

Использование iptables

Когда у вас есть хост в локальной корпоративной сети, вероятно, достаточно использовать TCP Wrappers, так как большинство хостов находятся под вашим контролем, так что вы можете гарантировать низкий риск атаки.

Но что произойдет, если у вас есть служба SSHD, работающая через Интернет, или в неуправляемой (враждебной) сети, такой как site2site vpn с провайдером?

Вы можете получить больше контроля над доступом с iptables.

Также iptables может дать вам больше гибкости и надежности.

Вы можете перечислить свой набор правил с помощью команды «iptables -nL –line-numbers», чтобы увидеть, какие правила уже существуют, это правила по умолчанию, которые пришли с новой установкой CentOS / RHEL 6:

# iptables -nL --line-numbers

Chain INPUT (policy ACCEPT)

num  target     prot opt source               destination         

1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 

2    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           

3    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           

4    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22 

5    REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 



Chain FORWARD (policy ACCEPT)

num  target     prot opt source               destination         

1    REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 



Chain OUTPUT (policy ACCEPT)

num  target     prot opt source               destination

Затем вы можете добавить или удалить правила.

Следующие примеры в цепочке INPUT вставят правило в iptables.

Помните, что вам нужно поставить правило на определенную позицию, т.е. Строка 3, просто над правилами DROP по умолчанию, вы можете указать это следующим образом:

# iptables -I INPUT 3 -p TCP -i eth0 -s 192.168.1.39 --dport 22 -j ACCEPT

Выполнение следующей команды от имени root приведет к удалению всего доступа SSH к 192.168.1.22:

# iptables -I INPUT [line-number] -p tcp -i eth0 -s 192.168.1.22 --dport 22 -j DROP

Пожалуйста, обратитесь к man iptables для дополнительных опций и использования, или autohelp iptables –help для краткого резюме:

# man iptables

# autohelp iptables

Если вы хотите включить определенный хост, вы можете запустить следующую команду, чтобы разрешить доступ:

# iptables -I INPUT [line-number] -p tcp -i eth0 -s 192.168.1.39 --dport 22 -j ACCEPT

Кроме того, одним из лучших вариантов использования брандмауэра в случае службы SSH в небезопасной сети является применение контроля скорости передачи по незащищенным источникам; чтобы сделать это, вам просто нужно использовать:

# iptables -I INPUT [line-number] -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH 

# iptables -I INPUT [line-number] -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 12 --rttl --name SSH -j LOG --log-prefix 'SSH-HIT-RATE: '

# iptables -I INPUT [line-number] -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 12 --rttl --name SSH -j DROP

# iptables -I INPUT [line-number] -p tcp --dport 22 -m state --state NEW -j ACCEPT # on the default fresh-install ruleset this rule is already in place, you can ignore

Эти 3 правила устанавливают скорость прохождения 12 новых попыток подключения в минуту, вам необходимо настроить эти значения в соответствии с вашими потребностями.

Все журналы этого правила появятся в файле /var/log/messages, префикс «SSH-HIT-RATE» используется для облегчения поиска связанных записей.

Пожалуйста, обратите особое внимание, когда вы проверяете свои новые правила.

Если вы допустили некритическую ошибку, вы можете вернуться к предыдущей сохраненной конфигурации, используя «service iptables force-reload».

Когда конфигурация была завершена, вы можете сохранить правила брандмауэра с помощью «service iptables save».

Использование /etc/ssh/sshd_config

Существуют и другие шаги, которые можно предпринять, если ограничение доступа невозможно.

Вот некоторые из лучших практик конфигурации SSHD:

Наиболее рекомендуемое действие, особенно в качестве защиты от атак методом “брутфорса”, должно состоять в том, чтобы предотвратить вход root напрямую через SSH.

Для этого вам нужно изменить строку, которая гласит:

# vi /etc/ssh/sshd_config

#PermitRootLogin yes

следующему виду:

# vi /etc/ssh/sshd_config

PermitRootLogin no

Это изменение потребует, чтобы вы сконфигурировали sudo или использовали su для получения привилегий в качестве пользователя root в сеансе ssh пользователя без полномочий root.

Кроме того, вы можете настроить ssh-ключи для пользователя root и использовать опцию ниже, чтобы позволить пользователю root войти в систему только с ключами.

# vi /etc/ssh/sshd_config

PermitRootLogin without-password

Измените определенный порт, отличный от порта по умолчанию.

Можно изменить его на любое случайное число от 1025 до 65535, так как злоумышленники предположат, что порт 22 будет использоваться для протокола ssh.

Найдите эту строку в /etc/sshd/sshd_config:

#Port 22

Измените это на что-то вроде этого:

Port 1101

Номер порта 1101 просто является примером.

Теперь вам нужно получить доступ к этому серверу через порт 1101 при подключении по ssh:

$ ssh someuser@ssh-server:1101

Убедитесь, что сервер принимает только протокол SSH версии 2:

# Protocol 2,1     ### hash this entry and make below entry to allo only ssh v2.

Protocol 2

Измените время, которое пользователь может проводить с открытым приглашением для входа в систему (значение в секундах):

# Default value is 120 seconds.

# Adjust this value according your needs.

LoginGraceTime 30

Это сокращает некоторые DoS-атаки, которые можно выполнять, имитируя медленный вход в систему.

Сторонние приложения

Чтобы заблокировать доступ к хостам, пытающимся атаковать систему методом брута, можно использовать следующие дополнительные сервисы сторонних пакетов:

Они работают на разных уровнях, обеспечивая разный подход к конкретному событию.

 



2018-12-25T16:53:57
Закрытие уязвимостей

5 мифов о депрессии, о которых нужно забыть

 

По данным Всемирной организации здравоохранения от депрессии страдают около 300 миллионов человек во всем мире. Депрессия не щадит никого, поражая и детей, и людей трудоспособного возраста, и пожилых. Несмотря на то, что заболевание является очень распространенным, люди до сих пор находятся во власти заблуждений и нередко стигматизируют депрессию. Из-за этого пациенты часто не решаются обращаться за медицинской помощью, опасаясь осуждения или непонимания.

Вот лишь некоторые из распространенных мифов про депрессию, о которых нужно забыть как можно скорее. Читать