Иллюстрированный самоучитель по Secure Web


Инвентаризация UNIX - часть 4


Login: root Name: root

Directory: /root Shell: /bin/bash

On since Sun Mar 28 11:01 (PST) on ttyl 11 minutes idle

(messages off)

On since Sun Mar 28 11:01 (PST) on ttypO from :0.0

3 minutes 6 seconds idle

No mail.

Plan:

John Smith Security Guru Telnet password is my birthdate.

Команда finger 0@имя-узла также позволяет получить интересный результат. 

[root$]finger 00192.168.202.34

[192.168.202.34]

Line User Host(s) Idle Location

* 2 vty 0 idle 0 192.168.202.14

SeO Sync PPP 00:00:02

Как легко заметить, большая часть информации, которая отображается утилитой finger, не имеет особого значения (она выбирается из соответствующих полей файла /etc/password). Можно сказать, что с точки зрения безопасности самой опасной является информация об именах пользователей, зарегистрированных в системе, а также о времени, в течение которой пользователь не выполняет каких-либо операций (idle). Это поможет хакеру определить, кто в данный момент "присматривает" за машиной (возможно, пользователь root?) и насколько внимательно он это делает. Некоторая дополнительная информация может использоваться при попытке проникновения в сеть с помощью приемов социальной инженерии. (Социальная инженерия (social engineering) — термин из словаря хакера, обозначающий попытку с помощью психологических приемов установить контакт с нужными людьми с целью получения от них информации для проникновения в систему. Более подробная информация об этом содержится в главе 14, "Расширенные методы".) Как показано в этом примере, пользователи, которые помещают в свой рабочий каталог файлы .plan или .project, могут дать очень хорошую наводку хакеру (содержимое этих файлов выводится командой finger).

Обнаружить и устранить подобную утечку информации очень просто. Достаточно не запускать демон fingerd (для этого нужно закомментировать соответствующую строку в файле inetd.conf и выполнить команду killall -HUP inetd), а также заблокировать порт 79 на брандмауэре. Если вам по каким-то причинам все же необходимо иметь доступ к программе finger, используйте TCP-оболочки (см. главу 8, "Хакинг UNIX"), чтобы ограничить доступ к узлу и регистрировать все соответствующие события. Можно также воспользоваться модифицированным демоном finger, предоставляющим ограниченное количество информации.



Начало  Назад  Вперед