www.openssh.com)

Az SSH (Secure Shell) Biztonságos távoli bejelentkezés OpenSSH (http://www.openssh.com)

Az SSH voltaképpen egy hálózati prokoll, amivel bejelentkezhetünk hálózaton át egy másik gépre, és az ehhez szükséges hálózati kapcsolat titkosítva lesz. A UNIX-ban szokásos CLI-s menedzsment feladatokon kívűl az SSH-t szokás például tunnelezésre is használni, hogy két gép között biztonságos adatcsatornát hozzunk létre.

Az ssh programcsomag funkcionálisan az RSH (Remote Shell=távoli futtatás) helyettesítője úgy, hogy biztonságos, erős autentikációval ellenőrzött titkosított kapcsolatokat hoz létre két "egymásban" nem bízó gép között, amelyeket a nem-biztonságosnak tekintett hálózat köt össze. Az ssh RSA kulcsokon alapul. Minden ssh-t használó gépcek van egy host-azonosító RSA kulcsa (default 1024 bit). A szerver gépen az sshd daemon ezen kívül generál egy szerver RSA kulcspU~ (default 768 bit), amelyet óránként frissít, és amit soha nem tárol a merevlemezerl~mlko~gy kliens (SSH) hozzákapcsolódik a szerverhez (SSHD), először a szerver azonosítása történik meg. A szerver elküldi a host- és szerver-kulcsok publikus részét a kliensnek. A kliens összehasonlítja a host-azonosító publikus kulcsot az adatbázisban lévővel, és ellenőrzi, hogy az változatlan-e. Ezután a kliens generál egy 25ó bites véletlenszámot, amit a szerver host- és szerver-kulcsával egyaránt titkosít, majd ezt visszaküldi a szervernek. A szerver az RSA kulcsai ismeretében vissza tudja fejteni a titkosított véletlen számot, amit a továbbiakban a két oldal a forgalomtitkosító kulcsául (session key) fog használni - ettől a ponttól kezdve minden titkosított. A következő lépés a kliens azonosítása (rhosts autentikáció). Ha a kliens sikeresen azonosította magát, akkor a kapcsolat előkészítéseként különböző szolgáltatásokat kérhet a szervertől. Végül a kliens vagy egy shell indítását (sIo gin, ssh) vagy egy parancs végrehajtását kérheti a szervertől.

• • • •

" •

• •

TCP/IP-n alapuló távoli bejelentkezés kliens-szerver módon működik titkosított távoli kapcsolat nyilvános kulcsú kriptográtián alapul o privát kulcs o nyilvános kulcs már a kapcsolat felvétele is titkosított lesz különböző titkosítási szabványokat (algoritmusokat) táInogat o DES (Data Encryption Standard) 56-bites kulcs o IDEA (International Data Encryption Algoritm) 128-bites kulcs o 3DES (Triple-DES) o RSA (Rivest Shamir Adleman) o DSA (Digital Signature Algorithm) o Blowfish segítségével megvalósítható a port forwarding titkosított módon átvihető (X forward) SSH-val grafikus képemyő is

Az SSHD és beállításai SSH protocol version 1: • HostKey l024 bit (RSA) (memóriában van jelen, a szerver például óránként újragenerálhatja) • ServerKey 768 bit (RSA) • 256 bit-es véletlenszám • titkosítási algoritmus (3DES, Blowfish) • authentikáció SSH protocol version 2: • HostKey (RSA) • ServerKey (DSA) • shared session key (Diffie-Hellman) • 128bit-es szimmetrikus titkosítás • authentikáció Kapcsolódási lehetőségek SSH segítségével: • RhostsAuthentication (1) - protokoll verzió/hostnév megadással, jelszó nélkül be lehet jelentkezni /etc/hosts.equív, /etc/ssh/shosts.equív - annak megadása, hogy honnét lehessen bejelentkezni .rhosts, .shosts •

RhostsRSAAuthentication (1) - ismert hostok letérolása, ha a host ok, a kliens is ok Rhost + kliens RSA ellenőrzése /etc/ssh/ssh - known - hosts

•

RSAAuthentication (1) - az azonosítás egy RSA kulcspárral történik ssh-keygen .ssh/íd_rsa, .ssh/íd_rsa.pub, .ssh/authorízed_keys

Options -b bits (768) - a szerver kulcs hossza -d debug mode - nyomkövetés -f config_file /etc/ssh/sshd _config - több SSH esetén másik konfig fájl is kell -g login_time - beállítható, hogy mennyi idő álljon re~kezésre a bejelentkezéshez -h host_key 1. /etc/ssh/ssh_host_key - ahos~'~hol található 2. /etc/ssh/ssh _hostJsa _key, ssh_ho st_dsa_key -i inetd - az inetd démon felhasználásával mőködjön -k keygen_time - kulcs generálás ütemezése -p port - melyik porton hallgatózzon -q quiet - csendes mód

Port 22 - milyen porton hallgatózzon a szerver ListenAddress 0.0.0.0 - ha több IP-m van, melyiken keresztül hallgatózzon az SSH démon, itt mindegyik Protocol 2,1 - SSH protokollok közül melyik HostKey /etc/ssh/ssh_host_key - hostkey megadása ServerKeyBits 768 - hány bites a serverkey RandomSeed /etc/ssh/ssh_random_seed - meg kell adni azt a fájlt, ahonnan a random számokat vegye KeyRegenerationInterval3600 - mennyi időközönként történjen a kulcsok újragenerálása

PermitRootLogin

no - ajánlott

~>-(.

Fe-U.•.. -d 1..

AllowGroups * - csak adott csoportoknak engedélyezni az SSH-n keresztüli bejelentkezést \-c:Lf...~k/e.....~. AllowUsers user@host - felhasználóra vonatkozó engedélyezés i'\"' .. DenyGroups - csoportok letiltása DenyUsers - felhasználók letiltása LoginGraceTime 600 - hány másodpercenként engedélyezett a bejelentkezés PasswordAuthentication yes - jelszó alapú azonosítás PermitEmptyPasswords no - engedélyezett-r az üres jelszavak alkalmazása IgnoreRhosts yes - az SSH démon figyelembe vegye-e az Rhosts fájlt ~ostsAuthentication no - kikapcsolva RhostsRSAAuthentication no - kikapcsolva HostbasedAuthentication no - kikapcsolva SyslogFacility AUTH (DAEMON, USER) - megadhatjuk, hogy a naplók hová kerüljenek /var/log/auth.log LogLevel INFO - megadhatjuk, hogy milyen szintű üzenetek kerüljenek a naplóba AllowTcpForwarding yes - ebben az esetben engedélyezett a TCP/IP-továbbítás KeepAlive yes - tartsa-e meg a felépült kapcsolatot PrintMotd yes - tetszőleges üdvözlő üzenet StrictModes yes - a könyvtár jogosultságok rendben vannak-e O~.A

ssh: ssh [Options] host - kliens oldali alkalmazás, csatlakozunk egy távoli géphez pl.: ssh user@host I ssh -1user host Options: • -c: idealdesl3des!blowfishlnone - megadjuk a titkosítási módszert a kapcsolódáshozlnone, ha nyomon kívánjuk követni a kapcsolódást . • -i identity privát kulcs RSA authentikációhoz - ha a bejelentkezés kulcspár alapján történik • -lloginname - felhasználónév • -p port - ha a szerv~em standard, akkor meg kell adni a portot • -g port forward engedélyezése - titkosított csatorna használata ezzel • -L port:host:hostport • -R port:host:hostport $HOME/.ssh/config /etc/ssh/ssh_config - globális konfigurációs fájl Port 22 Cipher idea RhostsAuthentication no RhostsRSAAuthentication no RSAAuthentication yes PasswordAuthentication yes User user1 - meg lehet oldani a felhasználónév átírását StrictHostKeyChecking yes - bekapcsolható a hostkey szigorú ellenőrzése

scp: scp [Options] [[user1@host1:]filel] [[user@host1:]file1 - SSH alrendszere, segítségével megoldható a fájlok átvitele titkosított módon Options: • -c cipher • -i identity _file • -p preserve - megőrzi a jogosultságot • -r - rekurzív másolás, szőröstül-bőröstül átmásol • -B batch mode • -F ssh_config • -P port - nem a standard porton másol • •

-1 -2 Példák: • • • •

scp scp scp scp

*.html user@host:/var/www/. -pr /var/www user@host:/variwww_new -p user@host:/root/a* . - a távoli gépről az összes a-betűs fájlt -p -P 2222 userl@hostl:filel user2@host2:flie2

sftp: sftp [Options] [[user@]host[:dir[/]]] titkosítva, 1 TCP port kell hozzá

- segítségével képesek vagyunk a fájlátvitelre, ftp-vel ellentétben

Titkosított fájl transzfer SSH (sftp-server alrendszer) felhasználásával. - adott felhasználóval adott hosthoz kapcsolódik

?, help - a különböző verziók lehetőségei ls, Ils - a távoli, illetve a helyi gépen listázás cd lcd - hs ~~("'J",).~ ~.,;.> "- WJ't.k:· l'~' ~ , . III \. rnkdir, lrnkdir ~ Ju;y.~:./ Lt~rf.,lvv-c,,- ~/I>L,:

ef-(p-VI

'l L L

1 l'

chown, chgrp, chmod - jogosultságok get, put - le/feltöltés, több fájlt visz át pwd, lpwd - megmutatja, hol vagyunk ~ v",L.~ \ \.J..,'J".: in, symlink - link rename - átnevezés rm, rmdir exit, quit

I

J'

'{:

'1~

Az Apache web szerver Mindenkori verziók: httpd.apache.org Apache Software Foundation: http://www.apacheoorg Jellemzői: • TCP/IP-t használja • alapértelmezett a 80-as TCP port (SSL támogatás esetén 443) - http/nem titkosított, https/titkosítc • a legelterjedtebb (60 - 70 %) • jól bevált, letesztelt, sok funkcióval rendelkezik • Nyílt forráskódú • Kis erőforrás igényű • Sokoldalúan konfiguráIható • Statikus illetve dinamikusan betölthető modulok - statikusnál, ha beépítem, mindig képes rá a web szerver, dinamikus pedig ízlés szerint betölthető • Szkript nyelvek maximális támogatása: Perl, PEP. Python, Shell script, .0 • Virtualhost • Sokféle operációs rendszer támogatása Apache verziók: 1.3 (1.3039)

• Process alapú • több független gyermekfolyamat • moduláris felépítés 200 (2.0.61), 2.2 (2.2.6) • Újdonságok: • Multi Processing modules (MPMs) - a processz alapú működés mellett szál alapú modellek • Protokoll modulok - már nem csak a stPJldard http-t képes kezelni • Speciális szűrő modulok • alapból tartalmaz SSL támogatást • APR (Apache Portable Runtime ) - lehetővé teszi, hogy olyan alkalmazásokat telepítsünk a rendszerben, amely felhasználja az apache általános célú függvényeit Az Apache könyvtárai: • bin - ezen belül bináris okat találunk o ab - apache benchmark/teljesítménymérés o apachectl - vezérlőfájl, web szerver indítása/leállítása o apxs - extension tool/külső modulok fordítása, telepítése o htpasswd - legyárthatok vele egy fájltIbenne a felhasználó jelszava, stb. o. o httpd - démon o logresolve - beállítható, hogy milyen formátumban logoljon o rotatelogs - a naplófájlok forgatva legyenek, időről-időre egy naplófájlt lezár, majd másikat nyir • cgi-bin - common gateway interface/standard ilo • conf o httpdoconf - ez a fő konfig fájl/httpdocon és acces.conf a 2 verziónál egybeolvadt o access.conf - hozzáférés vezérlés o srmoconf - speciális erőforrások o mimeotypes - olyanformában adja vissza a dolgokat, amely jó a böngészőnek •

It

error o

HTTP __NOT._FOUND.html.var

- ha a tartalom nem létezik, mire hivatkozzon

htdocs - csak bizonyos könyvtárakat osztok meg http:!web-okt.duf.hu/kllfiohtml o indexohtml o index.php

• o

• •

• • •

icons - logók, inkonok include - header fájlok, amelyekt egyéb alkalmazások használnak lib - statikus, shared lirary-k logs - naplófájlok o access_log - összes hozzáférés o error_Jog - mindenféle hiba man - az egyes parancsokhoz man oldalak manual - az apache konfigurációs direktíváiról egy html formátumú leírás modul es .. a dinamikus modulok itt vannak

• •

ServerType standalone #inetd - szerver típusa inetd vagy standalone ServerRoot "/usr/local/apache" - meghatározza azon fájlok helyét, melyek az apache-hoz tartoznak • Pid File /usr/local/apache/logs/httpd.pid - a web szerver pid-je, ezen keresztül a leállítás könnyen megoldható • ResourceConfig conf/srm.conf •• AccessConfig conf/access.conf • Timeout 300 - meddig várjon az apache, hogy a megfelelő http kérés beérkezzen • KeepAlive On - tartsa-e fenn folyamatosan a meglévő kapcsolatot • LoadModule foo module modules/mod foo.so - dinamikus modulbetöltés esetén ezzel a direktívával • Listen 80 - milyen tcp porton hallgatózzon a web szerver • User www - meghatározza a jogosultságokat, hogy kinek a nevében füsson a web szerver, aé.: www-data • Group www - meghatározza a jogosultságokat, hogy kinek a nevében fusson a web szerver, aé.: www-data • ErrorLog /var/www/was/logs/error_log - hová kerüljenek a hibás lekérése • LogLevel wam #(debug, info, notice, warn, error, crit,alert, emerg) - debug(legérzékenyebb) • ServerAdmin [email protected] - a rendszergazda elérhetősége hiba esetén • ServerName web-okt.duf.hu - a web szerver az adott néven lesz elérhető .• DocumentRoot "/var/www/htdocs" - hol legyen a dokumentumok gyökere - szál alapú modell StartServers 2 MaxClients 150 MinSpareThreads 25 - megosztott szálak MaxSpareThreads 75 - megosztott szálak ThreadsPerChild 25 MaxRequestsPerChild O - mennyi kérést tudjon kiszolgálni egy gyermek folyamat • UserDir public_html- lehessen-e a felhasználóknak saját weboldaluk a rendszerben • DirectoryIndex index.htmI index.html.var index.php - ez adja meg, hogy ha az adott url könyvtárra végződik, akkor mi történj en • AccessFileName .htaccess - ezzel adhat juk meg, hogy a hozzáférés mi alapján történjen • DefaultType text/plain - itt adhatjuk meg, hogy milyen típus kerüljön küldésre • ErrorDocument 404 /error/HTTP _NOT_FOUND.html.var -lehetséges különböző http hibakódokhoz rendelni egy külön fájlt A jogosultságok beállítása:

- itt megadhatok egy konkrét könyvtámevet - a könyvtárra érvényes jogosultságok, opciók megadása/öröklődik - bizonyos file-nevü fájlokra tudunk: hivatkozni

•

•

•

• •

Options (+, -) - esetében lehet beállítani az opciókat/ 3 eset: az opció után felsorolok, + kibővíti a korábbiakat, - elveszem az örökölt opciókból o None vagy All- semmilyen, összes c ExecCGI - ahhoz, hogy valaki cgi-t tudjon futtatni/cgi egy alkalmazás, ami a web szerveren fut o FollowSymLinks, SymLinkslfOwnerMatch - szimbolikus linkek követése o Includes - a web szerver tudjon listát készíteni a fájlokhoz o Indexes - a web szerver tudjon listát készíteni a fájlokhoz AllowOvelTide - engedélyezzük-e a felüldefiniálást o N one vagy AlI o FileInfo, Indexes, Limit Order - a sOlTendmeghatározása o deny,allow o allow,deny Allow from host - megadhttjuk, hogy az adott tartalom ne tetszőleges hclyrőllegyen elérhető, hanem bizonyos IP-címekről, tartományról Deny from host - ugyanaz, mint a felette lévő

Átirányítás: Alias /icons/ "/var/www/icons/" - más könyvtárból vegye a tartalmat AliasMatch regexp dir_or yle Redirect /alma http://www.duf.hu - egy http kérést irányít egy másik címre RedirectMatch regexp URL CGI szkriptek végrehajtásához szükséges beállítások: AddHandler egi-script. egi .pl ScriptAlias /egi-bin /usr/local/apache2/cgi-bin Options +ExecCGI Order allow,deny Allow from al! PHP futtatáshoz szükséges dolgok: LoadModule php5 _module modules/libphp5.so AddType application/x-httpd-php .php .php5 AddType application/x-http-php-source .phps

Nagyon hasznos funkció, hogy csak azokat a részeket kérjük betölteni a szerverprogram indulásakor (a konfigurációs fájl szerint), melyek számunkra szükségesek. Így rengeteg erőfolTást takaríthatunk meg. Mivel a rendszer szabványos API-val rendelkezik, külső beszállítóktól is szerezhetünk be speciális modulokat (akár kereskedelmi termékeket is), melyeket a rendszerbe beilleszthetünk. A kernelhez hasonlóan, az Apache is képes megfelelően elkészített külső file-t beültetni, mely a saját kódjába épül a memóriában. Az itteni modulok annyiban eltérnek a kernelben használatosaktói, hogy csak induláskor tölthetőek be, futás közben nem. Ekkor persze a gépet nem kell újraindítani, csupán a Web-szerver programot. • • • • • • •

moQ_env.so - környezeti változók átadása eGI script-eknek mod_auth.so - felhasználó azonosítás szövegfájlokkal mod_mime.so - objektumtípus megállapítása f~jlkiterjesztésből mod_ autoindex.so - automatikus listakészítés a könyvtárakhoz mod _dir.so - könyvtárak elérése mod_userdir.so - saját könyvtárak kezelése mod _alias.so - átirányításhoz

• • • • • • •

mod Jewrite.so - a web szerver különhöző URL átírás okat végezzen mod access.so - hozzáférések mod info.so - különböző információk a web szerverről mod_headers.so - http headers mod _ cgi.so - cgi végrehajtások mod - vhost - alias.so - virtual host-okhoz mod cache.so - a tartalmat lehet cach-·elni

.Iconfigure A configure parancs célja az, hogy mindent megállapítson a könyvtárak helyére, a fordítási idejű opciókra, a platformfüggő eltérésekre stb. vonatkozóan, és hogy létrehozza az úgynevezett makefile speciális állományokat. Ezek az állományok különféle feladatok végrehajtására vonatkozó utasításokat tartalmaznak. A make segédprogram olvassa be őket, és hajtja végre a feladatokat. Ha configure müködése során hibák lépnek fel, akkor figyelmeztetések jelennek meg, melyek felhívják a figyelmünket arra, hogy milyen további fordítókra, eljáráskönyvtárakra stb. van még szükségünk. Ezek telepítése után újra próbálkozhatunk a configure paranccsal, de előbb töröljük a config.1og és a config.status állományokat a legfelső szintű könyvtárból. Ezek után következhet a fordítás, a make parancs segítségé vel, majd miután ez befejeződött, megkezdhetjük a telepítést, a make install parancs segítségével.

httpd: httpd [Options] Options • -D name - változó fefiniálása, pl.: mikor szeretnék SSL-t használni • -d directory - dokumentumok r• -ffile - konfigurációs fájl ~t~'ft-~l} • -E file - különböző indulási hibák naplózása /Af >( ~ - bdv ~(~~ ~~ ~~~ ~ K • -1- m~~m~tatja a b~ford~,to~mo~~lokat kt-@C-$SIJL.-J li\--rc-~"L~S~ r ~~k,C", <:.-• -L - kihstazza az elerheto duektlvakat. ~~').~ll ~vL·.tJIl ~VC• -h - help I.t~Qd .- c~o'" SL.:",A<,.leJ l I

b

t": ).~

•

-t

· e Lv{. Lee,)ve.-~ .

~

••~

il

\

•

-v

(c~~k~ LO~-

JI

L0'6'

}d1'L

•

-k [ start I stop I restart ]

DocumentRoot "/var/www /infint/htdocs" ServerName www.infint.dufhu ServerAdmin webmaster@dufhu Errorlog /var/www/infint/logs/error _log Transferlog /var/www/infint/logs/access _log ScriptAlias Icgi-bin! /var/www/infint/cgi-bin! DocumentRoot "/var/www /kohint/htdocs" ServerName www.kohint.poliod.hu ServerAdmin webmaster@dufhu Errorlog /var/www/kohint/logs/error Jog Transferlog /var/www/kohint/logs/access _log ScriptAlias Icgi-bin!' /var/www/kohintlcgi-bin!

·v-fLY'l.-~S

J

\v LcLolJ. 1-

• v'-'--

f

f

J:$


.

~H. ay'-<-~ ~"

A~_Sambn --~..

Opening

YVi~dows to a Wi~r W.Qrld

Fontosabbjellemzői: • az 5MB (Server Message Block) protokollt használja a TCP/IP feletti kommunikációra (CIFS (Common Internet Filesystem) • különböző platformokon futhat: Linux, Unix, OpenVMS, Netware, az adott kiszolgálót elérhetővé teszi a Windows-os hálózatból • GNU GPL Licence • A hálózat központi felügyelete Szolgáltatásai: • Linux alatti megosztott könyvtáféJk elérése Windows alól • ·Windows alatti megosztott mappák elérése Linux alól • Linux alatti nyomtató megosztás .WINS szolgáltatás " Munkacsoportok és tartományok létrehozása Felhasználónév és jelszó hitelesítés A Samba szerver elemei: • smbd o a megosztott erőforrások keze1éséért felelős o fájl, nyomtató, tailózó szolgáltatások o kommunikáció kezelése (SMB) o hitelesítés, erőforrás zárolás (locking) ~ nmbd o névfeloldás o WINS, NetBIOS névkiszolgáló o Tallózó listák nyilvántartása !> willbindd o NSS (Name Service Switch) for reso1ving names from NT servers f)

A Samba által használt portok: • 139/tcp NetBIOS Session Service ~ 445/tcp Microsoft Naked CIFS • 137!udp NetBIOS Name Service • 138/udp NETBIOS Datagram Service /etc/samba/smb.conf • (global] security = • user • share server • domain ads interfaces = 172.31.0.11255.255.255.0 bind interfaces only = yes hosts allow = 172.31. localhost name resolve order = wins lmhost~ hosts bcast workgroup A-1 05 server string = Linux __debian invalid users = root bin daemon adm ~;yncshutdown guest accüunt = nobody II

II

O~

printing

= bsd

printcap name load printerf)

=

.::'0

lere/printcap

yes

• • •

wins support == yes os level = 40 domain master = yes domain logons = yes local master = yes preferred master = yes dns proxy = no encrypt passwords = yes time server = yes character set = is08859-2 c1ient code page = 852 logon home = \\%L\%U\.profile logon script = logon.bat debug level = 10 log file = /var/log/samba/log. %m max log size = 500 unix password sync = false pre serve case = yes short pre serve case = yes null passwords ~-= yes [homes] [printers] [publ Comment= path = /home/pub browseable = yes I no read only = yes Ina writable = yes I no printable = yes Ino public = yes I no (guest ok = yes I no) create mode =0700 directory mask = 0770 valid users= read list=, write list= hide files=, hide special files, hide unreadable

Options • -1 IP-address • -L host • -U usemame[%pass] • -W WORKGROUP • -D initial directory • -c command string Parancsok • 7, help • dir, ls • cd, lcd • get, put • mget, mput • del, md, rd III print l!l quit

·

Options • • •

-[

-u uid -g gid -s share

Options • username= • password= • uid= • gid= • lp= • workgroup= • ro • rw •• guest

• • • • •

UID Lanman Password Hash (DES) NT Password Hash O Account Flags (U, N, D, W) Last Change Time

smbpasswd smbpasswd

[Options] [Options]

Options: • • • • •

-a add -d disable -e enable -n no password -x delete

/etc/samba/lmhosts • IP • NETBIOS NAME smbstatus: smbstatus [-SJ [-u] smbumount: smburnountmount-point smbcacls: ACL-ek kezelése smbspool: nmblookup: nmblookup name ~ testparm ~"'i.e·tv"ttestprns: testpms pnntername swat (Samba Web Administration Tool)

tJ ~

(

[usernanle] [password]

[password]

A ProFTPD ftp szervE!!: http://W\NW .proftpd. org • • • • • • • • • • •

Biztonságos és jól konfigurálhaté Ftp szerver egy fő konfigurációs fájl, felépítése az Apache konfighoz hasonló .ftpaccess <--> .htaccess könyvtárankénti jogosultság hozzárendelés Stand-alone módban nem privilégizált felhasználóként fut A proftpd nem hajt végre egyetlen egy külső alkalmazást sem Lehetséges a rejtett fájlok illetve könyvtárak használata A Logolása kompatibilis a wu-ftpd-vel, a utmp/wtmp támogatással rendelkezik -/var/log könyvtárban Moduláris felépítésű, könnyen kiterjeszthető (Mysql, SSL, LDAP) Több virtuális Ftp- szerver konfigurálásának a lehetősége, ancnymous ftp Nem csak Linux-os változata létezik, GNU GPL Licence IPv6 támogatás

8. tradicionális • •

ftp portok..;.

7.:. \1 .

21/tcp command 20/tcp data

Aktív móq • Kapcsolatfelvétel Server 21-es pmtjához egy N> 1024 szabad TCP porton keresztül • A kliens megnyitja (listening) az N+ 1 -es portot, és a PORT N+ 1 üzenetet elküldi a szervernek • A szerver ezután a 20-as TCP partjáról kapcsolódik a kliens által megnyitott portra Passzíy mód • Kapcsolatfelvétel Server 21-es po~iához egy N > 1024 szabad TCP porton keresztül • A PORT parancs helyett a PASV parancsot használja, amire a szerver megnyit egy random pOltot~P > 1024), és ezt visszaküldi a kliem:nek (PORT P) • A kliens ezután N+ 1 -es porton keresztül kezdeményezi az adatkapcsoJatot a szerver megnyitott távoli portjával CP) • • •

Kétfajta használati mód Kettő TCP kapcsolat egy FTP session esetében Tűzfal - Ftp connection tracking

ftp: ftp [Options] [host [password] ] - segítségével kapcsolódhatunk egy távoli Hp szerverhez, és onnan/oda adatokat tölthetünk fel/le Options • -p paSSIve • -i interactive Parancsok • ?, help • open, close - a kapcsolatot nyitlzár • passive - passzív mód • prompt" interakt!{mód ki/be • bin, hash -.bináris mód / hashmarkok kirajzolása • dir, ls - listázás • cd, lcd .-könyvtárváltás/lcd távoli • get, put - le/feltöltés • mget, mput - több f~jlle/fcltöltése • del, md) rd - törlés • print - nyomtatás • quit - kilépés

konfigurációs fájl nélkül is képes működni Ietc/proftpdlproftpd. conf 't:H •

Kontextusok: o server _config •• Global •• VirtualHost •• Anonymous •• Directory •• Limit - milyen ftp jogosultságok legyenek érvényesek o

• • • 'll

• • • • • • • • 'It

l&~

kx:Jv-.r ot

.ftpaccess

ServerName ServerType ServerIdent DefaultServer Bind Defer Welcome MultilineRFC2228 ShowSymlinks DisplayLogin DisplayQuit Display FirstChdir ListOptions MaxLoginAttempts

"ProFTPD - Debian" standalone on "ProFTPD [hostname] " on 193.225.184.201 - ha több IP-címem van, melyiket használja off

on on welcome.msg - különböző szituációkrn lehet fájlokat megadtlÍ quit.msg - különböző szituációkra lehet fájlokat megadni .message - különböző szituációkra lehet fájlokat megadni "-lt" - listakészítés szempontjai 3 - maximális bejelentkezési kísérlet

• • • • • • • • • • • • •

Port 21 Umask 022022 - jogosultságok User nobody Group nogroup DefaultRoot ~ users,! staff TimeoutNoTransfer 600 - ennyi másodperc múlva fejezi be a kapcsolatot TimeoutStalled 600 - ennyi másodperc múlva fejezi be a kapcsolatot, ha megállt a kapcsolat TimeoutIdle 1200 - ennyi másodperc múlva fejezi be a kapcsolatot, ha semmit sem csinál a felhasználó MaxInstances 30 - maximum kapcsolódási példányszám MaxClients 100 - kliensek maximum száma MaxClientsPerHost 4 - hostonkénti kliensek maximum száma MaxClientsPerUser 3 - egy felhasználó maximum hány konkurens ftp kapcsolatot tud AuthUserFile, AuthGroupFile - meg lehet adni, hogy ne rendszerfelhasználóalapján nézze a proftd az azonosítást, hanem különböző fájlok alapján

CWD (Change Working Directory) MKD / XMKD (MaKe Directory) RNFR(ReNameFRom), RNTO (ReNameTO) DELE (DELEte) RMD / XRMD (ReMove Directory) RETR (RETRieve) -letöltés STOR (STORe) - feltöltés READ, \VRITE - ez a három dolog az alapjogosultságok halmazát tartalmazza DIRS LOGIN • Order allow,deny - elérhető/nem elérhető • AllowAll, DenyAll • Allow from 172.17., Deny from alI • AllowUser, AllowGroup, DenyUser, DenyGroup • AllowOverride on I off • AllowOverwrite on I off • AllowFilter regexp, DenyFilter regexp - reguláris kifejezés által fájlok tiltásalengedélyezése • AllowRetrieveRestart on - az ftp szerver képes a megszakadt kapcsolatokat folytatni • AllowStoreRestart on - az ftp szerver képes a megszakadt kapcsolatokat folytatni • HideUser, HideGroup, HideNoAccess, - beállítható, hogy az ftp mit rejtsen el • HideFíles regexp - rejtsen el adott reguláris kifejezés alapján • IgnoreHidden on I off - csak akkor fog rejteni, ha ez on

111

., • •. • 6

<)

, e

• li

.,

mod auth - felhasználó azonosítás mod _cőre RFC 959 .. az ftp szerv elTe vonatkozó fimkciók mod_log"' naplók, akár IP-címekre lebontva mod_ls - listázás mod xfer - transzfer mod _ quotatab - quota beállítása modJatio - le/feltöltés aránya mod re~!Tite - hivatkozás szerkesztése mod_tb - transwork layer security mod_auth.-ram, mod_auth_file, mod_auth_unix - különböző azonosÍtók mod _ldap - ldap szerverrel valő együttműködés mod _sql - mysql szervclTel valőegyüLtműködés

• ftpwho - ki •• ftpcount - számláló ~! ftpstats - statisztikák Go ftptop - processzeket lehet figyelni, a rendszer működését monitoringozza ~ ftpshut - ftp leállítása a beállítások megőrzésével -ftpdctl - ftp démon vezérlése " ftpasswd - jelszó

lJ

<'J

/etc/ftpusers - aki ebben a fájlban benne van, az Hp-n keresztül nem kapcsolódhat, pl.: root benne van (szopi) ~/.netrc - ebhen a f~jlban van: hostname, usemame, password, ftp-hez kapcsolódni ezen gj 1 alapján lehet, felhasználók hozzák létre

A ]VrY~..91adatbá~is szerv(~~

M.~~

AB: http://w·vv.Y:.mysgl.com

.JelIemzői:

• • • • • • '" e

• It

~

TCP/IP-t

használja alapértelmezés a 3306-os TCP port többfelhasználós, több szálú DB szerver SQL alapú adatbázis kezelő majdnem teljesen kompatibilis az ANSI SQL92 Sebességre optimalizált stabií, megbízható van GNU GPL -s verziója nincsenek nézetek (view) (5.0 -tóI felfelé van) nem képes triggerek és tároit eljárások használatára (5.0 -tóI felfelé van) nincs beágyazott SELECT parancs (4.0 -tóI felfelé van)

A1!ly§'ql könyytárai '" •

bin safc_mysqid,

mysqld, mysqladmin,

data include

o

----

•

lib

•

li

mysql··test scripts mysql_ínstall_ share .~ql-bepch

•

.~!!Qp_ort-:files

* fl

mysql, ...

db

A mysql te!~pítése lefordított bináris csomagból It lit

• o

e It

~ It

tB

• G

•

groupadd mysql - fel kell venni egy csoportot useradcl -g mysql mysql - felveszünk egy felhasználót cd lusr/local gunzip < Ipath/to/mysql- VERSlüN-OS.tar.gz In -s full-path-to-mysql-VERSION-OS mysql cd mysql chown -R mysql. chgrp -R mysql. scripts/mysql_install_db chown -R root. - az összes filc tulajdonosa chown -R mysql data bin/mysqld_safe --user=mysql &

I tar

xvf - Itar xzf mysqL .. tar.gz

legyen a root

A mysql konfigurálása fl

support- files/mysql.server

•

lete/my.cnf

ft

DA TADIR/my.cnf

~

defaults-extra-file··

'.ll

~/.mv.cnf

melyik kOfl..fíguráeiós fájlt hasznáíja

• • • • •

#comment [group]·· itt van megadva a program neve, amelyre a különböző beállítások vonatkoznak opti on option=value set-variable = variable=value

[elient] #password jelentkezni port socket

= 3306 = /varltun/mysqldJmysqld.sock

[mysqld] user = mysql basedir = /usr/local/mysql - hová van telepítve a m.ysql datadir = /usr/iocal/mysql/data .. hol vannak az adatbázisok language oc: /usr/local/mysql/share/english - kliens nyelvi beállítások pid-file = /var/run/mysqld/mysqld.pid socket = /var/run/mysqldJmysqld.sock port = 3306 log = /var/log!mysqL1og tmpdir =-.:: /tmp - melyik könyvtárba kerüljenek a temporális fájlok default -character-set= latin2 A mysql jogosul.llii~i rendszere A jogosultsági információ helye: mysql adatbázis \ • Az azonosítás menete: o a szerver ellenőrzi a kapcsolódás l.ehetőségét o user (host, user, password, jogosultságok) - globális jogok, ki mihez fer hozzá o db (host, db, user, jogosultságok) - honnan, melyik adatbázishoz, melyik user, milyen jogokkal fér hozzá c' host (host, db, jogosultságok) It a hQzzMérés meghatározása o tables_jJriv - táblákhoz való hozzáférés o columns yriv - oszlopokhoz való hozzáférés o procs-'priv - szerver oldali programokhoz, tároló eljárásoldlOz való hozzáférés A jogosultságok értelmez~se_:. Global level (user) OR Database level (db AND host) OR Table level (tables_priv) OR Column level (columns __priv) OR R::mtine.level (procsyriv)

A mysql

• • • o (j

*

fontosabb jogosultságai SELECT Selectyriv Insert -'priv INSERT Updatc_.lJriv UPDATE Delete yrív DELETE Index __priv - adott tábla esetében tudjunk indexekct létrehozni INDEX AJter _pIÍv .. az adattábla sémájának megváJtoztatása ALTER

" CREATE

•

• • •

• •

DROP GRANT

Drop '-'pTi v - eldobás

RELüAD SHUTDOWN PROCESS FILE

Reload~riv Shutdown -priv Process -'priv File-'priv

-----------------------új íeJha<;ználó felvétele

Grant.-l)riv - jogosultságadás,

'~,..,

r·

"i"i

~p

II

O"\!

•.. ,

1

.•

!" •. ~

'L,ek1<.el1ö.1._k, ~.OOJ. al. aaatb."tz,s processzekhez hozzáférhessünk, fájlokhoz, mentések elvégeztetéséhez, újraindításhoz. L-----~--_ ..---------_. __ ._~--

1 E.

Kapcsolódás a Mysql szerverhez mysql: mysql [Options] database - adatbázis neve kell

-e, --execute= -h, --host= - hostname -p[password], -..:password[=...j -p --port= ... - tcp port -u, -··user= - usename -V, --version mysqikliens parancsok ?, help (\h) - ezzel lehet segítséget kémi status (\s) - adatbázis szerver állapota tee (\1') - a csővezeték elágaztatásaJkülső fájlba rakhat,juk be a parancsokat, illetve kimcnetüket not~e (\t) - visszavon use (\u) -.áttérés másik adatbázisba source (\.) - lehetséges külső fájlok futtatása quit (\q) --kilépés és visszakerülés a shellbe A jelszavak, jogosultságok beállítás~ mysql -u root mysql mysql> SET PASSWORD FOR root@localhost=PASSWORD('new_passwd'); mysql-u root mysql mysql> UPDATE user SET Password=PASS\VORD('new __passwd') ..> WHERE user='root'; mysql> FLUSH PRIVILEGES; - az adatbázis szerver az új állapotokat veszi már figyelembe GRANT [privileges] - új felhasználó felvitele, felhasználónak jogosultságokat adni ON [db or table] TO [user@host] IDENTIFIED BY 'password' [WITH GRANT üPTION]; - engedélyezni lehet, hogy adott felhasználó tudjon jogosultságot adni ._- . n_ 0-'---------·-----"' (NEM AJÁNlOTT"') -

I

.

•••

GRANT SELECT(vagy INSERT, írPDATE) ON d!J((JI·)tabíeTO IIsu@host IDENTJFIED BY 'passwd'; ha:l hosr % akkor tetszőltges helyről _, __ ,

REVOKE [privileges] - jogosultság visszavétele ON [db or table] pl.: REVOKE DELETE ON db (or) table FROM user@host FROM [user@host]; A mysql adminisztrálása 1: \--'\'

Options • -h •

-p

fl

-p

_

COlr..mands -----

create [dbname] .~ drop [dbname] • flush-privileges • kiIl [id] ~ password 'new.-J)asswd' III

• It

• • • •

ping processlist status reload shutdown verSIOn

Adatbázis mentés, visszaállít᧠- például ha kiilönbözÖ adatbázisokat költöztetni kell, táblákból, esetlegadabásikokból qpl fájlt készíteni

Qp.tiot)~ •

-h

"

-p -p -d no data -t no-create-inío

19

e o

mysqladmin Jrop "database" - korábbi adatbázist lehet törölni mysql "database" < data.sgI - létre kell hozni egy adatbázist

A Linux-. mint tiizfal

,

Miért • • • ,

van szükség tűzfalakra? védjük adatainkat számítógép erőforrásainkat j ó hírünket be illetve kimenő forgalom korlátozása

.Fontosabb modellek: • Helyi védekezés fl Tüzfallal védett LAN • Tüzfallal védett LAN D:tvIZ-vel (de-militarized zone) kiegészít-ve Router ~ célszámítógép? • sebesség, költség • hatékonyság, hibalehetőségek Fontosabb tűzfal tipusok: • Csomagszűrő tüzf~lak o minden csomag ellenőrzése o IP csomag minden mezője alapján o bonyolult beállítás () más forgalom az engedélyezett portokon 5 Dinamikus csomagvizsgáló tűzfal'lK o állapot vizsgálata o naplózás • boxy tűzfalak o felhasználó azonosítás, naplózás o proxy-t támogató alkalmazások 11 NAT Q'.J'ctworkAddress Translation) Útválasztók (ma§9l1eradjgg} o belső hálózat elrejtése o nincs közvetlen külső hálózati elérés c Személyes tűzfalak o önálló rendszer védelme o belső támadás ellen o nem eléggé megbízható Általános alapelvek csomagszűrő tűzfalak esetében: CI mindent tilos kivéve amit szabad elv • megtiltjuk a " S01.1&P route" IP opGiát tartalmazó csomagok átengedését • forrás IP ellenőrzése (IP hamisítás elleni védelem) • figyelni a LOG méretére (1imit) Fontosabb"szűrendö" $ TCP • •

protokollok

UDP ICMP

IP forwarding

el1gedélv~zés~ echo 1 > /proc/sys/net/ipv4/ip _fonvard

K~[m~Lszi!ltijJű~fal~ ~ ipfw • 2.0 ipfivadmin it 2.2 ipchains • 2.4,2.6 iptablcs Általános jel1emzőL e netfilter struktúrára épül 8 spcciális eszköznek tekinthető • a kemel csomagszütő táblájának amanipuláiása It bővíthető szűrési lehetőségek modulok segítségével • a szabályokat minden egyes boot-oláskor engedélyezni kell at saját láncok létrehozása

J ]'100;_-_._._.... fFORV l-iI- --i ha továbbítani kell

netw~k _,_~

PREROUTING ____________

~~t~ng.~ o.e helyi gép

["INPUT

ARD

local process_to-

POSTROUTING

~UTPurJ

ha a helyi programokkal

Lánc: szabályok listája Szabály: feltétel teendő (policy) ACCEPT elfogad DROr eldob

Lápcokkal kapcsolatos miive1etek • -N chain New • -X chain Delete ,If -P chain policy Default policy • -1, List e -F chain Flush • -Z chain Zero Láncbftn lévő szabályokkl!Lk:ap_csolato.~műveletek ft -A mle Append - hozzátTíz .• ·-1 [num] rule Insert • -R num ruIe Repiace t» -D mle I num Delete

l~et~:!~

-.-1

akar kommunil~álnl

SzabályoJsJg:űrő!il m~~a It -s [1] saurce_fP • -d [!] destination_JP • -p [í] proto • -i [!] iface • -o [!] iface • •

-f -j policy

iptables iptables iptables iptables

--A INPUT -s 127.0.0.1 -p icmp -j DROP -1 n~PUT 1 -j DROP -A INPUT -i ethO --s! 172.31.0.0/24 -j DRQP -A INPUT -i ! ethO -s 172.31.0.0/24 -j DROP

JCP bővítéseK • --tcp-flags • --sport • --dport • --tcp-option UDP bővítéseK • --sport • --dport ICMP bővítések • --icmp-type

•

További illeszkedő bővítmények (-lll)

limit • • owner • • • state •

--limit numJsecond --limit-burst --uid-owner userid --gid-owner groupid --pid-owner processid --state - állapotot jelent

NEW EST ABILISHED - felépült kapcsolat RELATED - tartozik valakihez INV}-\LID - valótlan állapot iptables iptables ipt3bles iptables iptablcs iptables

·-Nblack -A block -ill state --state ESTABLI8HED,RELATED -A block '-ill state --state NE\V -i ! ppp O -j ACCEPT -A block -j DROP -A TI-..JPUT -j bIocle -A FORWARD -j hlock

-j ACCEPT

LOG • •

--log-level - naplózási szint --log-prefix - be lehet állítani a log szövegei

REJECT RETURN - korábbi sorba való visszatérés QUEUE REDIRECT - proxyt lehet megoldani

TTL TOS ULOG SNAT DNAT

8>

ct

•

RFC 822 - leírja, hogy egy e-mait hogya!1.épül fe! 1-fUA (MaiI User Agent) MTA (MaiI Transfer Agent)

J29.tokollol\;. • SMTP (Simple MaiI Transfer Protocol)- szerverek között használják ~ POP3 (Post Office Protocol) - MUA és MTA között il lMAP (Internet Message Access Protocol) - MUA és MTA között Kód.Wási elj~Lások: • UUEncode - UUdecode - 8-ból 7 bites kódolás esetén a fájl mérete megnő (pl.: 4,5 MB·-ból 5Ilv1B) • MIME (Multipurpose Intemet MaiI Extensions) ReiJ:jelezések: ~ RSA el PGP (Pretty Good Privacy)

vizsgálat..:b.am- vírussziírés r~-l ,,-,1 MTA 125

G;:/lL-__ -'<;:.=.-----~

én

'--1 I MUA I L

._ ...-J

A leve!~zés rendtzergazdai szcmpollt!:!ói,:, •• nem biztonságos szolgáltatás " vírusok, trójai programok o spam •• anonymous e-mail -ek * fokozott feltör~sveszély ~_MUA (Mltil User Agent) ~ postafiók kezelése III email olvasás, törlés, nyomtatás • e-maiI írás • e-mail továbbítás az MTA-nak •• szűrések használata

Az J\ITb. (MaiI Transfer Age!!f! • • •

1.: PQOglr 25 MTA

levél kézbesítés levél továbbítás (E)SMTP protokollal

pl.: exim, sendmail, smail, qmail, postfix, ... APOSTFIX II IBM fejle:~ztéshöl indult el • moduláris felépítés • gyors, könnyen konfigurálható •• rugalmas , biztonságo~,; • amennyire lehet kompatibilis a sendmail··el fl szűrés a bejövő levelekre

SMTP

____

o

~'\.bÖf1gfS~ő-POSt2fhí.l'L;

~r-'---lI MUA

L

I

POSTFIX nttp:/lwww.po§tfi.x.com Legújabb verziója: 2.4.6 T e.Le.Qit.~~..:. n No configuration - csak installálni • Internet site - szerver lesz, ami egy normálintemeten működik elntemet site using smarthost - tárolja a felhasználó adatait fl Satellite system - átjátszó rendszer • Local delivery only - helyi kézbesítés van Fontosabb fájlok, könp,tárak • /etc/postfix - fő konfigurációs könyvtár • /usr/sbin/post* adminisztrációs programok • /usríiib/postfix/ démonok - 10 fölött akár • /varíspool/postfix maiI queues -levelek szortírozása

I-··------·--·--·····-·-·-·----······---··----·--·--~

letc/postfix~ter.cf·· fO konfigurációs fájl ., queue_directory'''' Ivar/spool/postfix • command_directory = lusrlsbin • daemon _directory = lusrllibexec/postfix • mail_ owner = postfix o. kinek a nevében fussanak It default-'privs = nobody - nem kell privilégium • myhostname = mail.xyz.hu - hostname • mydomain = xyz.hu - tartomány • myorigin = /etc/mailname - automatikus küldő név • inct_interfaces = a11- a postfix melyik interfészt figyelje • mynetworks = 127.0.0.0/8 - saját hálózat til mydestination = $myhostname, localhost.$mydomain $mydomain mik aZük az e-rnailben lévő célok, amik neki mennek • alias _maps = hash:/etc/aliases o. aliasok • alias database = hash:/etc/aliases - alias ok • relayhost = mail.szolgaltato.hu - intemetkapcsolatot szolgáJtatón keresztül éri el, levélküldés más hoston keresztül 00

Fontosabb adminisztrációs parancsok: • sei1dmail, mailq, newaliases " postfix [ check I start I stop I flush I reload ] - szerver leál1ítsása/indítása oa postalias • postconf - konfiguráció beállításai t\ postdrop - mintalevél •• fJostqueue - sarok vizsgálata Fontosabb démonok III master -fődémon smtpd ,. qmgr - a lelke e local - pl.: /var/loocal/user •. cleanup " piclcup - fejléc(?kkellátja el a levelet bo'~:'d-:~tL ~~V (--v"rt. @

MUA Progll"lunQ!f o maiI (mailx) - küldés (letc/mail.rc, ~/.mailrc) - linuxos szerverről tesztelhető az e· i1:1ailküldése o

maiI [ Options] email-addr Options o -8 subject o -c CC mező o -b BeC mező o -li user o -ffile

mutt [ Options] email-addr Options o -s subject () .oc CC mező o -b B(~C Im~ző Képes a PGP has:z:náiat.ára.

~

p'jg~JrJOW·ll:Uor In1em~t N~}V~~j\lltjl1 () Sokoldalú levelezőprograrn o SMTP, MIME, IMAP, ]\'il}~TPprotokollok o Távoli postafiók használata o Csatolások, szűresek o Menüvezérelt program o Kötmyű használat o Saját szövegszerkesztő (pica) o Címjegyzék, aláírás használata Levél továbbítása (forwar~olása) cat >~J/.forward fw-email-addr CRTL-D chmod 600 .forward

:0 [Options] [:lock-filc] * [pattem expression] receipt :0: * /\TOlinux linux·.jist :0 * I'From:.*[Kk]alman.*$ * ·"Subject:. *in-305 linux in-305

A hálózati. biztonság~,! Főbl!..:támadási típusok: e

Szolgálatmegtagadás

típusú támadások

(Denial of Service - DoS)

Egy informatikai szolgáltatás teljes vagy részleges megbénítása, helyes működési módjától való e1térítése (Denial of Service, rövidítve: DoS), történhet megosztva is, több forrásból, ekkor a támadás szokásos rövidítése a DDoS (Distributed Denial of Service). A DDoS a támadások egy összetettebb fajtája, amely a tárrLadón és támadotton kívüli számítógépekben rejlő "erőt", illetve a külső számítógépek nagy mennyiségét hasznosítja a támadáshoz. Az egyszerü DoS támadás egy-az-egy··ellen támadás, ahol egy nagyon erős "támadó" állomás és a célállomás van kapcsolatban, nincsenek közbeiktatott gépek.

Ha túl sok adatot küldi.ulk, és pdfertúlcsordulást idézüpJc elő (az alkalmazás hibáját kihasználva), akkor a puffer utá.tl közvetlenül elhelyezkedő memóriaterületre kerülnek a fölös adatok. Az eredeti adatok innen nyilván elvesznek. A kiszolgálón levő adatok tehát megsérülhetnek, vagy akár le is áilhat a kiszolgáló. A legveszélyesebb az, amikor a puffer utáni terület az utasításverernl1ez tartozik, ekkor ugyanis elő lehet készíteni a túlcsorduló adatokat úgy, hogy azok új, értelmes utasításokat tartalmazzanak. Ezek az utasítások ugyanolyan jogosultságok mellett kerülnek végrehajtásra, mint az éppen futó program, és így teljes körű hozzáférést kaphat a betolakodó a számítógépbe. A támadók gyakran puffertú1csordulást előidézve próbálják megzavami a rendszer normális működését, és azt elérhetetlenné termi, illetve sok esetben igy próbálnak rendszergazdai szintü hozzáférést szerezni.

Számítógépes értelemben a tró.jai faló (röviden trójai) egy olyan program, ami mást tesz a háttérben, mint amit a felhasználónak mutat. A közhiedelemmel ellentétben egy trójai nem feltétlenül tartalmaz rosszindulatú programkódot, azonban a tübbségük tartalmazza az úrr. hátsó kapu telepítését, ami a fertőzés után biztosítja a hozzáférést :l célszámítógéphez. A vÚ'usokkal ellentétben általában nem többszörözi önmagát, terjedése főként egyedi támadásoknak és az emberi hiszékenységnek köszönhetö. Az egyszerűbb trójai programok csak kívüíről tűnIlek hasznos programIIak, míg fejlettebb vá1tozataik a kémkedés mellett valóban képesek az ígért funkciók elvégzésére is - így csökkentve a lebukás veszélyét. Trójaival való megfertőződésnek forrása lehet egy email üzenet csatolmánya vagy azonnali üzenetküldő program, de megkaphatjuk CD-n vagy egyéb adattárolón is. A leggyakoribb fertőzési módszert azonban a letöltések és a veszélyes honlapok jelentik.

A számítógépes vírus olyan program, amely saját másolatait helyezi (;1 rn8.8 , végrehajtható programokban vagy dokumentumokban. Rosszinc1ulatú főképp, méÍs állományokat használhatatlanná, sőt teljesen tönkre is tehet. A számítógépes vÍrusok működése hasonlít az élővilágban megfigyelhető vírus viselkedéséhez, mely az élb

sejtekbe hatol be, hogy önmaga másolatait előállíthassa. Ha egy számítógépes vírus kerül egy másik programba, akkor eztjertőződésnek nevezzük. A vírus CSUpáti egyike a rosszindulatú szoftverek (malware) számos típusának. Ez megtéveszthető lehet a számitógép- felhasználók számára, mi vel mára lecsökkent a szűkebb értelerüben vett számítógépes vírusok gyakorisága, az egyéb rosszindulatú szoftverekhez, mint például a férgekhez képest. Bár a számítógépes vírusok lehetnek kártékonyak (például adatokat semmisítene1c meg), a vírusok bizonyos fajtái azonban csupán zavaróak. Némely vírus késleltetve fejti csak ki hatását, például csak egy bizonyos számú gazdaprogram megfertőzése után. A vírusok domináns kártékony hatása az ellenőrizetlen reprodukciójuk, mely túlterhelheti a számítógépes erőforrásokat.

It

" • o

• Q

• Gr

Betolakodók, fizikai biztonság Lehallgatás Személyes ráhatás "Buta" felhasználók

titkosított kornmUJ.'1ilcáció tüzfal(ak) használata "nehezen kitalálható" jelszavak a felhasználók képzése

Fontosabb rend.szergazdai feladatoli:. • az adott rendszer "normál" műkl)dési rendjének fenntartása lJ mindenki csak annyi joggal rendelkezzen, amennyi neki feltétlenül szükséges l!l csak a feltétlenül szükséges protokollok használata \& csak a feltétlenül szükséges hálózati szolgáltatások futtatása • a szolgáltatások elérhetőségének korlátozása ~ naplózás készítése, felügyelete biztonsági mentések & biztonsági riasztások figyelése 41 rendszeres szoftver upgrade!! • a felhasználók képzése • a felhasználók tájékoztatása az új veszélyeiaől (1