Jinsi ya Kukagua Utendaji wa Mtandao, Usalama, na Utatuzi wa Shida katika Linux - Sehemu ya 12

Uchambuzi wa sauti wa mtandao wa kompyuta huanza kwa kuelewa ni zana zipi zinazopatikana za kutekeleza kazi hiyo, jinsi ya kuchagua (za) zinazofaa kwa kila hatua ya njia, na mwisho lakini sio uchache, wapi pa kuanzia.

Hii ni sehemu ya mwisho ya mfululizo wa LFCE (Linux Foundation Certified Engineer), hapa tutakagua baadhi ya zana zinazojulikana ili kuchunguza utendakazi na kuongeza usalama wa mtandao. , na nini cha kufanya wakati mambo hayaendi kama inavyotarajiwa.

Tafadhali kumbuka kuwa orodha hii haijifanyi kuwa ya kina, kwa hivyo jisikie huru kutoa maoni kwenye chapisho hili ukitumia fomu iliyo hapa chini ikiwa ungependa kuongeza matumizi mengine muhimu ambayo tunaweza kukosa.

Moja ya mambo ya kwanza ambayo msimamizi wa mfumo anahitaji kujua kuhusu kila mfumo ni huduma zipi zinaendeshwa na kwa nini. Ukiwa na taarifa hiyo mkononi, ni uamuzi wa busara kuzima zile zote ambazo si za lazima kabisa na kuepuka kupangisha seva nyingi kwenye mashine moja ya kawaida.

Kwa mfano, unahitaji kuzima seva yako ya FTP ikiwa mtandao wako hauhitaji moja (kuna mbinu salama zaidi za kushiriki faili kwenye mtandao, hata hivyo). Kwa kuongeza, unapaswa kuepuka kuwa na seva ya wavuti na seva ya hifadhidata katika mfumo huo huo. Ikiwa kijenzi kimoja kitaathiriwa, vingine vyote vina hatari ya kuathiriwa pia.

ss hutumika kutupa takwimu za soketi na huonyesha maelezo sawa na netstat, ingawa inaweza kuonyesha TCP zaidi na maelezo ya serikali kuliko zana zingine. Kwa kuongeza, imeorodheshwa katika man netstat kama mbadala wa netstat, ambayo imepitwa na wakati.

Hata hivyo, katika makala hii tutazingatia habari zinazohusiana na usalama wa mtandao tu.

Huduma zote zinazoendeshwa kwenye bandari zao chaguo-msingi (yaani http kwenye 80, mysql kwenye 3306) zinaonyeshwa kwa majina yao husika. Nyingine (zilizofichwa hapa kwa sababu za faragha) zinaonyeshwa katika fomu zao za nambari.

# ss -t -a

Safu wima ya kwanza inaonyesha hali ya TCP, huku safu wima ya pili na ya tatu zinaonyesha kiasi cha data ambacho kwa sasa kimewekwa kwenye foleni kwa ajili ya kupokea na kusambaza. Safu wima ya nne na ya tano zinaonyesha chanzo na soketi lengwa la kila muunganisho.
Kwa dokezo la kando, unaweza kutaka kuangalia RFC 793 ili kuonyesha upya kumbukumbu yako kuhusu hali zinazowezekana za TCP kwa sababu unahitaji pia kuangalia nambari na hali ya miunganisho ya TCP iliyo wazi ili kufahamu mashambulizi ya (D)DoS.

# ss -t -o

Katika matokeo hapo juu, unaweza kuona kuwa kuna miunganisho 2 ya SSH iliyoanzishwa. Ukiona thamani ya sehemu ya pili ya kipima muda:, utaona thamani ya dakika 36 katika muunganisho wa kwanza. Hiyo ni kiasi cha muda hadi uchunguzi unaofuata wa uokoaji utakapotumwa.

Kwa kuwa ni muunganisho unaoendelezwa kuwa hai, unaweza kudhani kwa usalama kuwa huo ni muunganisho usiotumika na hivyo unaweza kuua mchakato huo baada ya kujua PID yake.

Kuhusu muunganisho wa pili, unaweza kuona kwamba sasa inatumika (kama inavyoonyeshwa na on).

Tuseme unataka kuchuja miunganisho ya TCP kwa soketi. Kutoka kwa mtazamo wa seva, unahitaji kuangalia miunganisho ambapo bandari ya chanzo ni 80.

# ss -tn sport = :80

Kusababisha..

Kuchanganua langoni ni mbinu ya kawaida inayotumiwa na vipasuaji kutambua wapangishi amilifu na kufungua milango kwenye mtandao. Mara tu athari inapogunduliwa, inatumiwa ili kupata ufikiaji wa mfumo.

Sysadmin mwenye busara anahitaji kuangalia jinsi mifumo yake inavyoonekana na watu wa nje, na kuhakikisha kuwa hakuna chochote kinachoachwa kwa bahati kwa kuikagua mara kwa mara. Hiyo inaitwa \uchanganuzi wa bandari unaolinda.

Unaweza kutumia amri ifuatayo kuchanganua ni bandari zipi zimefunguliwa kwenye mfumo wako au kwenye seva pangishi ya mbali:

# nmap -A -sS [IP address or hostname]

Amri iliyo hapo juu itachanganua seva pangishi kwa OS na ugunduzi wa toleo, maelezo ya mlango na traceroute (-A). Hatimaye, -sS hutuma TCP SYN kuchanganua, kuzuia nmap kukamilisha kupeana mkono kwa TCP kwa njia 3 na hivyo kwa kawaida kutoacha kumbukumbu kwenye mashine lengwa.

Kabla ya kuendelea na mfano unaofuata, tafadhali kumbuka kuwa utambazaji mlangoni sio shughuli haramu. KILICHO kinyume cha sheria ni kutumia matokeo kwa madhumuni mabaya.

Kwa mfano, matokeo ya amri iliyo hapo juu dhidi ya seva kuu ya chuo kikuu cha ndani hurejesha yafuatayo (sehemu tu ya matokeo imeonyeshwa kwa ajili ya ufupi):

Kama unavyoona, tuligundua hitilafu kadhaa ambazo tunapaswa kufanya vyema kuripoti kwa wasimamizi wa mfumo katika chuo kikuu hiki cha ndani.

Operesheni hii maalum ya skanisho la bandari hutoa habari yote ambayo inaweza pia kupatikana kwa amri zingine, kama vile:

# nmap -p [port] [hostname or address]

# nmap -A [hostname or address]

Unaweza pia kuchanganua bandari kadhaa (masafa) au nyati ndogo, kama ifuatavyo:

# nmap -p 21,22,80 192.168.0.0/24 

Kumbuka: Kwamba amri iliyo hapo juu huchanganua bandari 21, 22, na 80 kwenye seva pangishi zote kwenye sehemu hiyo ya mtandao.

Unaweza kuangalia ukurasa wa mtu kwa maelezo zaidi kuhusu jinsi ya kutekeleza aina nyingine za utambazaji mlangoni. Nmap kwa hakika ni shirika lenye nguvu zaidi na linaloweza kutumika sana la ramani ya mtandao, na unapaswa kuifahamu vyema ili kutetea mifumo unayohusika nayo dhidi ya mashambulizi yaliyotokana na uchunguzi mbaya wa bandari na watu wa nje.