Иногда пользователю может понадобиться быстро узнать, какой у его устройства адрес IP в локальной сети, в которой он подключён. Также может оказаться нужным такой же адрес, но уже другого компьютера, который работает в этой же сети. Можно ли это сделать без использования какого-то стороннего ПО? И какие утилиты скачивают и устанавливают для этих целей?
Власти Таиланда легализовали использование марихуаны для исследовательских целей, а также в качестве лекарства. Об этом сообщает Reuters. Это первое подобное решение, принятое в регионе, где к наркотикам относятся более, чем серьезно.
Linux, как и UNIX, является многопользовательской системой, и права доступа к файлам являются одним из способов защиты системы от вредоносного вмешательства.
Один из способов получить доступ, когда вам отказано в разрешении, состоит в том, чтобы получить права root.
Имейте в виду, что тот, кто знает пароль root, имеет полный доступ.
Но переключение на суперпользователя не всегда удобно или не рекомендуется, поскольку легко допустить ошибки и изменить важные файлы конфигурации в качестве суперпользователя.
Все файлы и каталоги «принадлежат» человеку, который их создал.
Например, в листинге:
-rw-rw-r-- 1 john sap 150 Mar 19 08:08 file1.txt
Файл file1.txt принадлежит пользователю john.
Это означает, что вы можете указать, кому разрешено читать файл, писать в файл или (если это приложение, а не текстовый файл), кто может выполнять файл.
Вы также можете контролировать доступ к каталогам аналогичным образом.
Чтение, запись и выполнение [ r,w и x ] – три основных параметра в разрешениях.
Поскольку пользователи создаются в группе при создании их учетных записей, вы также можете указать, могут ли определенные группы читать, записывать или выполнять файл.
Используя приведенный выше пример file1.txt, вы можете увидеть, что здесь представлено много деталей.
Вы можете видеть, кто может читать (r) и записывать (w) файл, а также кто создал файл (john) и к какой группе принадлежит владелец (sap).
Однако помните, что по умолчанию имя вашей группы совпадает с вашим логином.
Другая информация справа от группы включает размер файла, дату и время создания файла и имя файла.
Первый столбец показывает текущие права; у него есть десять слотов.
Первый слот представляет тип файла.
Оставшиеся девять слотов фактически представляют собой три набора прав для трех разных категорий пользователей.
Например:
-rw-rw-r--
Эти три набора являются владельцем файла, группой, к которой принадлежит файл, и «другими», то есть всеми остальными пользователями.
- (rw-) (rw-) (r--) 1 john sap | | | | type owner group others
Первый элемент, который указывает тип файла, обычно показывает одно из следующего:
Помимо первого элемента, в каждом из следующих трех наборов вы увидите одно из следующего:
Когда вы видите черту в владельце, группе или других лицах, это означает, что конкретные права не были предоставлены.
Посмотрите еще раз на первый столбец file1.txt и определите его права.
# ls -l file1.txt -rw-rw-r-- 1 john sap 150 Mar 19 08:08 file1.txt
В результате пользователь john владеет файлом.
Владельцем группы файла также является группа пользователя, которая называется sap.
Стикибиты, применяемые к объекту файловой системы, напрямую соответствуют значениям, которые могут быть указаны в четырехзначном виде, предоставленном утилите chmod в следующей команде:
chmod abcd [file system object]
Каждое значение в наборе цифр abcd состоит из суммы значений 1, 2 и 4.
Сложив эти значения вместе для каждой цифры, можно сгенерировать значение, чтобы установить все атрибуты файлового объекта:
a – Эта цифра управляет настройками специальных атрибутов.
Значение 1 устанавливает бит setuid, значение 2 устанавливает бит setgid, а значение 4 устанавливает бит привязки объекта
b, c и d – эти цифры управляют разрешениями на чтение и запись для владельца файла, основной группы владельцев файлов и всех других пользователей.
Значение 4 включает разрешение на чтение, значение 2 включает разрешение на запись, а значение 1 включает разрешение на выполнение.
Чтобы файл был прикрепленным к пользователю, читаемым и доступным для записи владельцем, читаемым его основной группой и доступным всем остальным:
# chmod 4610 filename
Чтобы дать все права всем в системе:
# chmod 0777 filename
Для получения дополнительной информации о chmod см. Справочную страницу chmod.
Используйте команду chown, чтобы изменить владельца и / или группу для файла.
Синтаксис прост.
Просто введите chown, за которым следует пользователь, которому принадлежит файл, а затем, необязательно, двоеточие («:») и имя группы.
Обратите внимание, что имена пользователей и / или групп должны существовать в системе.
Например:
# chown john:sap file1.txt
# ls -l file1.txt -rw-rw-r-- 1 john sap 150 Mar 19 08:08 file1.txt
в результате пользователь john владеет файлом.
Владельцем группы файла также является группа юзера, которая называется sap.
Используйте команду chmod для изменения прав доступа.
В этом примере показано, как изменить права для file1.txt с помощью команды chmod.
Если вы являетесь владельцем файла или вошли в систему под учетной записью root, вы можете изменить любые права для владельца, группы и других пользователей.
Прямо сейчас владелец и группа могут читать и записывать в файл.
Любой, кто находится за пределами группы, может только прочитать файл (r–).
ВНИМАНИЕ: Помните, что права доступа к файлам являются функцией безопасности. Всякий раз, когда вы позволяете кому-либо еще читать, записывать и выполнять файлы, вы увеличиваете риск подделки, изменения или удаления файлов. Как правило, вы должны предоставлять разрешения на чтение и запись только тем, кто действительно в них нуждается.
В следующем примере вы хотите разрешить всем писать в файл, чтобы они могли читать его, записывать в него заметки и сохранять его.
Это означает, что вам придется изменить раздел «другие» прав доступа к файлу.
Сначала посмотрите на файл.
В командной строке введите:
# ls -l file1.txt -rw-rw-r-- 1 john sap 150 Mar 19 08:08 file1.txt
Теперь вы должны ввести следующее:
# chmod o+w file1.txt
Приведенная выше команда сообщает системе, что вы хотите дать другим разрешение на запись в файл file1.txt.
Чтобы проверить результаты, перечислите детали файла снова.
Теперь файл выглядит так:
-rw-rw-rw- 1 john sap 150 Mar 19 08:08 file1.txt
Теперь каждый может читать и писать в файл.
Чтобы удалить разрешения на чтение и запись из file1.txt, используйте команду chmod, чтобы убрать разрешения на чтение и запись.
# chmod go-rw file1.txt
Набрав go-rw, вы сообщаете системе об удалении прав на чтение и запись для группы и других пользователей из файла file1.txt.
Результат будет выглядеть так:
-rw------- 1 john sap 150 Mar 19 08:08 file1.txt
Считайте эти настройки своего рода сокращением, когда вы хотите изменить разрешения с помощью chmod, потому что все, что вам действительно нужно сделать, – это запомнить несколько символов и букв с помощью команды chmod.
Вот список того, что представляет сокращение:
Тождества
Права доступа
Действия
Вот несколько общих примеров настроек, которые можно использовать с chmod:
Хотите проверить свои навыки разрешений?
Удалите все разрешения из file1.txt – для всех.
# chmod a-rwx file1.txt
Теперь посмотрим, можете ли вы прочитать файл командой cat file1.txt, которая должна вернуть следующее:
cat: file1.txt: Permission denied
Удаление всех прав, включая ваши собственные, успешно заблокировало файл.
Но так как файл принадлежит вам, вы всегда можете изменить его разрешения обратно с помощью следующей команды:
# chmod u+rw file1.txt
Чтобы просмотреть разрешения для файлов в восьмеричном формате, используйте команду stat, предоставляемую пакетом coreutils.
Чтобы получить восьмеричные разрешения для всех файлов и каталогов в текущем рабочем каталоге, выполните команду ниже:
$ stat -c "%a %n" *
Чтобы получить восьмеричные разрешения для содержимого в определенном каталоге, скажем /usr/share, выполните следующую команду:
$ stat -c "%a %n" /usr/share/* 755 /usr/share/aclocal 755 /usr/share/alsa 755 /usr/share/anaconda 755 /usr/share/appdata ...
Чтобы получить восьмеричные разрешения только для каталога, скажем, /usr/share, а не для содержимого внутри него, выполните команду ниже:
$ stat -c "%a %n" /usr/share/ 755 /usr/share/
Вы случайно выполнили следующую команду.
# chmod -R 777 /
Есть ли способ вернуться к исходным правам?
Выполните следующую команду, чтобы вернуться к исходным разрешениям.
# rpm -a --setperms
Это действие покажет некоторые ошибки, но можно пренебречь ими.
Для копирования файлов с определенными разрешениями можно использовать утилиту rsync:
# rsync --chmod=u+rwx,g+rx,o+rx testfile user@192.168.0.1:/tmp/
Это скопирует тестовый файл в домашний каталог пользователя, а права доступа к скопированному файлу будут 755.
Некоторые системные администраторы могут заметить, что злоумышленники пытаются войти в систему с общими именами пользователей и паролями через SSH.
В системных журналах /var/log/secure можно увидеть записи, аналогичные приведенным ниже для многих распространенных имен пользователей (таких как «admin», «guest», «test» и «root»):
Oct 28 11:11:08 hostname sshd[13412]: Illegal user admin from 172.16.59.10 Oct 28 11:11:12 hostname sshd[13412]: Failed password for illegal user admin from 172.16.59.10 port 33762 ssh2
Повторные попытки могут свидетельствовать о том, что злоумышленник пытается угадать пароль для конкретной учетной записи, особенно для учетной записи root, брутфорсом.
Атака брутфорса – это та, в которой пароль неоднократно угадывается, пока не будет найден правильный.
Есть много способов сделать SSH более безопасным.
Здесь мы обсудим некоторые рекомендации.
Самый простой способ защитить демон SSH – это выборочно запретить доступ к нему с помощью функций из пакета tcp_wrappers-libs.
Этот пакет установлен по умолчанию.
tcpwrappers настраиваются через файлы /etc/hosts.allow и /etc/hosts.deny.
Чтобы полностью запретить доступ к демону SSH, добавьте следующий текст в /etc/hosts.deny:
# vi /etc/hosts.deny sshd: ALL
Это полностью отключит доступ к демону SSH с любого клиента.
Если есть несколько хостов, которым нужно разрешить подключение, добавьте следующие строки в /etc/hosts.allow:
# vi /etc/hosts.allow sshd: 192.168.0.1, trusted.one-domain.com, 192.168.23.0/24, *.trusted.net
Это позволит подключаться с IP-адреса 192.168.0.1, имени хоста trust.one-domain.com, сети 192.168.23.0/24 и домена * .trusted.net при запрете любых других подключений.
Помните, вам нужно запретить и разрешить хост / сети.
Когда у вас есть хост в локальной корпоративной сети, вероятно, достаточно использовать TCP Wrappers, так как большинство хостов находятся под вашим контролем, так что вы можете гарантировать низкий риск атаки.
Но что произойдет, если у вас есть служба SSHD, работающая через Интернет, или в неуправляемой (враждебной) сети, такой как site2site vpn с провайдером?
Вы можете получить больше контроля над доступом с iptables.
Также iptables может дать вам больше гибкости и надежности.
Вы можете перечислить свой набор правил с помощью команды «iptables -nL –line-numbers», чтобы увидеть, какие правила уже существуют, это правила по умолчанию, которые пришли с новой установкой CentOS / RHEL 6:
# iptables -nL --line-numbers Chain INPUT (policy ACCEPT) num target prot opt source destination 1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 2 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 4 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 5 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain FORWARD (policy ACCEPT) num target prot opt source destination 1 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain OUTPUT (policy ACCEPT) num target prot opt source destination
Затем вы можете добавить или удалить правила.
Следующие примеры в цепочке INPUT вставят правило в iptables.
Помните, что вам нужно поставить правило на определенную позицию, т.е. Строка 3, просто над правилами DROP по умолчанию, вы можете указать это следующим образом:
# iptables -I INPUT 3 -p TCP -i eth0 -s 192.168.1.39 --dport 22 -j ACCEPT
Выполнение следующей команды от имени root приведет к удалению всего доступа SSH к 192.168.1.22:
# iptables -I INPUT [line-number] -p tcp -i eth0 -s 192.168.1.22 --dport 22 -j DROP
Пожалуйста, обратитесь к man iptables для дополнительных опций и использования, или autohelp iptables –help для краткого резюме:
# man iptables # autohelp iptables
Если вы хотите включить определенный хост, вы можете запустить следующую команду, чтобы разрешить доступ:
# iptables -I INPUT [line-number] -p tcp -i eth0 -s 192.168.1.39 --dport 22 -j ACCEPT
Кроме того, одним из лучших вариантов использования брандмауэра в случае службы SSH в небезопасной сети является применение контроля скорости передачи по незащищенным источникам; чтобы сделать это, вам просто нужно использовать:
# iptables -I INPUT [line-number] -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH # iptables -I INPUT [line-number] -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 12 --rttl --name SSH -j LOG --log-prefix 'SSH-HIT-RATE: ' # iptables -I INPUT [line-number] -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 12 --rttl --name SSH -j DROP # iptables -I INPUT [line-number] -p tcp --dport 22 -m state --state NEW -j ACCEPT # on the default fresh-install ruleset this rule is already in place, you can ignore
Эти 3 правила устанавливают скорость прохождения 12 новых попыток подключения в минуту, вам необходимо настроить эти значения в соответствии с вашими потребностями.
Все журналы этого правила появятся в файле /var/log/messages, префикс «SSH-HIT-RATE» используется для облегчения поиска связанных записей.
Пожалуйста, обратите особое внимание, когда вы проверяете свои новые правила.
Если вы допустили некритическую ошибку, вы можете вернуться к предыдущей сохраненной конфигурации, используя «service iptables force-reload».
Когда конфигурация была завершена, вы можете сохранить правила брандмауэра с помощью «service iptables save».
Существуют и другие шаги, которые можно предпринять, если ограничение доступа невозможно.
Вот некоторые из лучших практик конфигурации SSHD:
Наиболее рекомендуемое действие, особенно в качестве защиты от атак методом “брутфорса”, должно состоять в том, чтобы предотвратить вход root напрямую через SSH.
Для этого вам нужно изменить строку, которая гласит:
# vi /etc/ssh/sshd_config #PermitRootLogin yes
следующему виду:
# vi /etc/ssh/sshd_config PermitRootLogin no
Это изменение потребует, чтобы вы сконфигурировали sudo или использовали su для получения привилегий в качестве пользователя root в сеансе ssh пользователя без полномочий root.
Кроме того, вы можете настроить ssh-ключи для пользователя root и использовать опцию ниже, чтобы позволить пользователю root войти в систему только с ключами.
# vi /etc/ssh/sshd_config PermitRootLogin without-password
Измените определенный порт, отличный от порта по умолчанию.
Можно изменить его на любое случайное число от 1025 до 65535, так как злоумышленники предположат, что порт 22 будет использоваться для протокола ssh.
Найдите эту строку в /etc/sshd/sshd_config:
#Port 22
Измените это на что-то вроде этого:
Port 1101
Номер порта 1101 просто является примером.
Теперь вам нужно получить доступ к этому серверу через порт 1101 при подключении по ssh:
$ ssh someuser@ssh-server:1101
Убедитесь, что сервер принимает только протокол SSH версии 2:
# Protocol 2,1 ### hash this entry and make below entry to allo only ssh v2. Protocol 2
Измените время, которое пользователь может проводить с открытым приглашением для входа в систему (значение в секундах):
# Default value is 120 seconds. # Adjust this value according your needs. LoginGraceTime 30
Это сокращает некоторые DoS-атаки, которые можно выполнять, имитируя медленный вход в систему.
Чтобы заблокировать доступ к хостам, пытающимся атаковать систему методом брута, можно использовать следующие дополнительные сервисы сторонних пакетов:
Они работают на разных уровнях, обеспечивая разный подход к конкретному событию.
По данным Всемирной организации здравоохранения от депрессии страдают около 300 миллионов человек во всем мире. Депрессия не щадит никого, поражая и детей, и людей трудоспособного возраста, и пожилых. Несмотря на то, что заболевание является очень распространенным, люди до сих пор находятся во власти заблуждений и нередко стигматизируют депрессию. Из-за этого пациенты часто не решаются обращаться за медицинской помощью, опасаясь осуждения или непонимания.
Вот лишь некоторые из распространенных мифов про депрессию, о которых нужно забыть как можно скорее. Читать
Протокол удаленного рабочего стола в Windows 10/8/7 предоставляет графический интерфейс пользователю, когда он подключает свой компьютер к другому компьютеру через сетевое соединение с помощью клиентского программного обеспечения подключения к удаленному рабочему столу . В то же время на другом компьютере должно быть запущено серверное программное обеспечение служб удаленных рабочих столов .
Подключения к удаленному рабочему столу Windows позволяют пользователям подключать любой ПК с Windows к другому через сеть. Это устройство для обмена данными нового века, которое помогает вам просматривать и получать доступ к другому компьютеру, не присутствуя там физически. Рабочий стол и папки и файлы хост-компьютера будут видны подключенному компьютеру. Эта функция облегчает жизнь системному администратору, командам технической поддержки и конечным пользователям, пытающимся работать из дома или получать доступ к персональному домашнему устройству с работы.
В этом посте мы увидим, что вы можете включить или отключить подключение к удаленному рабочему столу через панель управления или настройки Windows, а также как использовать удаленный рабочий стол для подключения к ПК с Windows 10.
1. Через панель управления
Откройте окно «Свойства системы» через панель управления. Или же откройте окно командной строки, введите SystemPropertiesRemote.exe и нажмите Enter, чтобы открыть вкладку «Удаленное» в окне «Свойства системы».
Под Remote Desktop вы увидите три варианта:
Кроме того, вы также увидите следующую опцию:
1] Параметр «Не разрешать удаленные подключения к этому компьютеру»
Это позволит скрыть ваш компьютер от всех компьютеров, использующих подключения к удаленному рабочему столу. Вы также не можете использовать свое устройство в качестве хоста, пока не измените видимость.
2] Параметр «Разрешить удаленные подключения к этому компьютеру»
Эта опция, как показано в Windows 10 и Windows 8.1, позволяет пользователям подключаться к вашему ПК независимо от того, какая версия их ПК работает. Эта опция также позволяет стороннему удаленному рабочему столу, например, устройству Linux, подключаться к вашему устройству. В Windows 7 это называется «Разрешить подключения с компьютеров с любой версией удаленного рабочего стола». Называние в Windows 7 объясняется лучше.
3] Параметр «Разрешить подключения только с компьютеров, на которых запущен удаленный рабочий стол с аутентификацией на уровне сети»
Это то, что вам нужно использовать, если на клиентском компьютере есть клиент Remote Desktop Connection. Remote Desktop Client 6.0 сделал это более эксклюзивным.
Выберите нужный вариант и нажмите «Применить».
Чтобы включить подключение к удаленному рабочему столу, выберите Разрешить удаленное подключение к этому компьютеру. Кроме того, рекомендуется разрешать подключения только с компьютеров, на которых работает удаленный рабочий стол только с проверкой подлинности на уровне сети.
Чтобы отключить подключение к удаленному рабочему столу, выберите Не разрешать удаленные подключения к этому компьютеру.
Если вы не хотите делиться своими учетными данными администратора с другими, нажмите «Выбрать пользователей», чтобы добавить пользователей.
Как только это будет сделано, вы или пользователи теперь сможете подключаться к вашему компьютеру с помощью подключения к удаленному рабочему столу.
2. Через настройки Windows
Эта процедура для людей, у которых есть Windows 10 v1706 и позже.
Перейдите в меню «Пуск» и коснитесь зубчатого колеса, чтобы запустить настройки. Вы также можете нажать клавиши «Windows + I», чтобы открыть настройки Windows. Затем перейдите к «Система» из «Настройки» и найдите опцию « Удаленный рабочий стол » слева в « Система» . Нажмите на нее и подождите, пока загрузится страница «Удаленный рабочий стол».
Подсказка появится. Нажмите Да.
Как только вы это сделаете, вы увидите дополнительные настройки:
Вы можете настроить параметры для следующих параметров:
Если вам нужны дополнительные параметры, нажмите на Дополнительные параметры.
Здесь вы увидите некоторые дополнительные настройки, которые вы можете настроить.
Примечание. Начиная с версии клиента удаленного рабочего стола 6.0, подключения к удаленному рабочему столу работают только с проверкой подлинности на уровне сети. Если вы не хотите предоставлять учетные данные администратора, перейдите в «Параметры удаленного рабочего стола» и нажмите «Выбрать пользователей, которые могут получить удаленный доступ к этому ПК» и настройте их для себя. Хотя есть варианты, чтобы избавиться от этого ограничения.
Не забудьте нажать кнопку «ОК» в конце всего, чтобы включить подключение к удаленному рабочему столу.