Один из самых больших плюсов свободного ПО – это возможность создавать
дистрибутив для собственных нужд. Сейчас доступно несколько десятков
дистрибутивов, упрощающих работу админа. Выбор среди специализированных
дистрибутивов на базе LiveCD действительно огромен, и здесь важно не запутаться
и подыскать себе именно тот инструмент, который максимально подойдет под решение
твоих задач.
У админов очень популярен целый класс дистрибутивов, реализующих функции
маршрутизатора и брандмауэра. К свободным ОС многие пользователи приходят именно
после знакомства с одной из подобных систем. Но есть и другие решения, с помощью
которых просто установить и настроить веб или почтовый сервер, программную АТС
на базе Asterisk и т.д. Все они в той или иной мере направлены на решение задач
по организации определенного сервиса. Кроме того, существует великое множество
дистрибутивов, направленных на обслуживание компьютеров и сетей. Именно о таких
решениях и пойдет речь в этой статье. Для удобства разделим их на несколько
групп:
- дистры для работы с жестким диском;
- для восстановления работоспособности системы и резервирования данных;
- для тестирования на наличие уязвимостей;
- для исследования после взлома.
Дистрибутивы для работы с жестким диском
Проект GParted (GNOME Partition Editor,
gparted.sf.net), в рамках
которого разрабатывается одноименный редактор дисковых разделов для *nix-систем,
предлагает также LiveCD-дистрибутив небольшого размера (чуть больше 90 Мб),
построенный на основе Debian. GParted умеет работать с таким большим количеством
файловых систем, которое и не снилось популярному PartitionMagic - ext2, ext3,
FAT16, FAT32, HFS, HFS+, UFS, JFS, NTFS, ReiserFS, Reiser4, XFS. Помимо этого,
дистрибутивом поддерживаются тома LVM2 и FUSE. Графический интерфейс локализован
и построен на базе оконного менеджера Fluxbox. Система нетребовательна к
ресурсам, для запуска достаточно иметь компьютер с 64 Мб ОЗУ. Доступны версии,
позволяющие загружаться не только с CD, но и с USB-устройства. Сетевая
PXE-загрузка также возможна. Стартовое меню позволяет выгрузить содержимое диска
в ОЗУ и освободить привод. Из дополнительных возможностей стоит отметить наличие
программы Partition Image (www.partimage.org),
при помощи которой можно создать образ раздела с файловыми системами. Список их
аналогичен GParted (правда, UFS, NFS и NTFS пока отмечены как
экспериментальные). Есть и TestDisk (www.cgsecurity.org/wiki/TestDisk),
позволяющий проверить и восстановить дисковые разделы. Также в комплект входят
файловый менеджер Midnight Commander, текстовые редакторы Vim и Nano и некоторые
другие утилиты. Единственным минусом GParted Live является отсутствие нормальной
поддержки сети, из-за чего, например, возможности того же Partition Image
реализованы далеко не полностью.
Для создания образов разделов диска существует специальное решение - система
клонирования Clonezilla (www.clonezilla.org).
Состав приложений - Partition Image, ntfsclone, partclone, dd и udpcast -
позволяет клонировать большое количество файловых систем и копировать образ на
другой раздел или по сети (Samba, NFS, SSH). Предлагаются две версии
дистрибутива: Clonezilla Live и Clonezilla SE (Server Edition). Вторая позволяет
не просто копировать разделы, но и клонировать системы. С ней можно легко
перенести копию системного раздела на 40 систем (а возможно и больше) всего за
10 минут. Поддерживается загрузка с CD, USB-флешки, жесткого диска и по Сети (PXE).
Главный спасатель
Для решения внештатных ситуаций, возникающих в процессе повседневной
эксплуатации сервера или клиентского компьютера, могут потребоваться различные
инструменты. Очень удобно, когда все они собраны в одном месте. Одним из самых
популярных «спасательных» дистрибутивов является SystemRescueCD (www.sysresccd.org).
Он выполнен в виде LiveCD (возможна установка на флешку). В состав
SystemRescueCD входит большое количество утилит, при помощи которых можно
восстановить систему после сбоя, подготовить диск для установки новой ОС,
протестировать аппаратную часть компьютера, забэкапить данные и многое другое.
Основой SystemRescueCD послужил Gentoo. Ядро дистрибутива 2.6.25.16
поддерживает все файловые системы Linux, включая Reiser4, Btrfs (новая файловая
система, разрабатываемая при поддержке компании Oracle – своеобразный ответ на
ZFS), а также сетевые SMB и NFS. В состав последней версии дистрибутива 1.1.0
включено четыре ядра: основное и альтернативное; каждое в двух вариантах - для
работы с 32-битными системами (i486 оптимизация) и 64-битное.
Размер образа дистрибутива – 230 Мб, поэтому в комплекте есть все необходимое
админу, включая и документацию по работе. Полный список доступных параметров
загрузки можно просмотреть, нажав клавиши <F2> – <F7>. Стартовое меню позволяет
установить не только ряд настроек (разрешение экрана в framebuffer, загрузка с
жесткого диска, USB-устройства и т.д.), но и запустить ряд весьма полезных
утилит. Среди них - тест оперативной памяти (memtest), свободный аналог
операционной системы DOS - FreeDOS с рядом утилит в комплекте (freedos),
загрузчик Graphical Boot Manager (gag), тест для определения оборудования (aida),
утилита Darik's Boot and Nuke для уничтожения данных без возможности их
дальнейшего восстановления (dban), низкоуровневая утилита для работы с разделами
жесткого диска (mhdd). Даже еще не загрузив основную систему, мы уже получаем
богатый набор полезных утилит.
После загрузки в рутовую консоль выводится таблица основных команд. Начиная с
версии 0.3, в SystemRescueCD появился X-сервер с оконным менеджером WindowMaker,
загрузить который можно, введя «startx». В системе насчитывается несколько сотен
утилит, и в большинстве случаев для решения одной задачи предлагается несколько
инструментов. Например, fdisk, GNU/Parted, GParted для работы с разделами
жесткого диска и полный набор консольных утилит, предназначенных для работы со
всеми типами разделов: e2fsprogs, reiserfsprogs, reiser4progs, xfsprogs,
jfsutils, ntfstools (ntfsresize, ntfsclone и прочие), dosfstools, sfdisk. Они
позволяют их форматировать, изменять размер, переопределять. Есть пакет mtools,
предназначенный для работы с DOS-файлами. Поддержка Сети позволяет на полную
реализовать возможности клиент-серверной архитектуры PartImage (оба входят в
комплект). Кроме gag, в состав дистрибутива включены загрузчики GRUB и LILO. Это
позволяет использовать SystemRescueCD для их восстановления, например, в том
случае, когда загрузчик затерт во время установки Windows. Для удобного
перемещения по каталогам – в наличии файловый менеджер Midnight Commander.
Имеется несколько редакторов текста: vim, elvis, nano, joe, qemacs и графический
Leafpad. Приложения и утилиты, входящие в состав SystemRescueCD, можно
перечислять еще долго. Есть здесь и популярные архиваторы (gzip, bzip, rar, tar
и другие), программы для записи CD/DVD (cdrecord, dvd-rw-tools, cdrtools,
mkisoft). Кроме параноидального dban, доступного при загрузке, найдутся и другие
утилиты, чтобы стереть информацию без следа - shred, wipe. А с помощью
антивируса ClamAV можно проверить жесткий диск на наличие вирусов (обновление
баз производится при помощи freshclam).
Ни один современный дистрибутив нельзя представить без функций работы с
Сетью. В отличие от GParted, в комплекте SystemRescueCD есть утилиты для работы
с Samba, ftp-клиент, сервер и клиент SSH, VNC-сервер. Из сетевых приложений
стоит отметить наличие консольных веб-браузеров lynx, elinks и графического Bon
Echo (альфа Firefox 2.0.0.16), популярного сканера Nmap, многофункциональной
сетевой утилиты netcat и nslookup для DNS-запросов.
Пен-тестинг с BackTrack
LiveCD взяли на вооружение и специалисты по безопасности. В результате, за
короткий срок появилось около десятка решений с явно хакерским уклоном. С ними
можно протестировать системы и сети на наличие уязвимостей. Пик их развития
пришелся на 2003-2005 годы, и, к сожалению, часть популярных тогда проектов
сейчас не развивается.
Швейцарский BackTrack (www.remote-exploit.org)
возник в 2004 году в процессе слияния двух дистрибутивов: Auditor Security Linux
и WHAX (раннее Whoppix), задачи которых совпадали. Целью проекта Auditor
Security «The Swiss Army Knife for security assessments» было всестороннее
тестирование Linux-систем, – он содержал более 300 утилит для выявления и
устранения проблем в сетевых и системных настройках. Разработки WHAX (White Hat
+ SLAX) были сосредоточены на тестировании на проникновение (penetration test).
Основным направлением развития было выбрано обеспечение максимальной поддержки
оборудования и реализация большей модульности для упрощения поддержки и
обновления системы. В последней версии — final3, выпущенной в июне 2008 года –
большинство приложений строятся как отдельные модули. Основан BackTrack на
Slackware 12.0 и наборе скриптов проекта SLAX (www.slax.org).
В качестве графической оболочки предложены KDE 3.5.7 и Fluxbox. Распространяется
в виде LiveCD. Есть расширенный вариант для использования на USB-флешках и файл
для VMware. Возможна установка на жесткий диск.
Загрузочное меню предлагает несколько вариантов – KDE (по умолчанию), Fluxbox,
KDE в ОЗУ, VESA-режим, без сети и несколько текстовых режимов.
Сама загрузка в LiveCD происходит очень быстро, даже при выборе KDE в
качестве рабочей среды. В процессе будут найдены и автоматически настроены все
устройства, в том числе, сетевые карты (DHCP) и WiFi. Все операции производятся
от имени пользователя root, поэтому будь осторожен в работе. Отдельно отмечу
стильный вид рабочего стола и продуманность меню. В сжатом архиве находится
около 2.7 Гб данных, но запутаться в приложениях невозможно. Все находится на
своих местах и везде, где необходимо, выводятся подсказки.
В меню BackTrack находим несколько сотен специальных программ, разбитых на 11
основных групп. Среди них: сетевые сканеры, анализаторы протоколов и снифферы,
эксплоиты (SecurityFocus, PacketStorm, Metaspl0it Framework 2/3 и др.),
брутфорсеры, утилиты для работы с прокси, Cisco-инструментарий, утилиты для
анализа беспроводных сетей, VoIP-сервисов, реверс инжиниринга и т.д. К примеру,
в меню «VoIP & Telephony Analysis» я насчитал 32 ссылки.
В качестве бонуса предложен вполне приличный пользовательский набор
(мультимедиа, программы для работы с графикой, текстовые редакторы,
интернет-приложения и т.д.). Отсутствуют лишь привычные в юзерских дистрах
категории - Office и Games. Все это позволяет использовать BackTrack как обычную
систему. В комплекте поставляется утилита slapt-get, а недостающие пакеты можно
брать из слаки (хотя slapt-get из коробки не работает, перед использованием ее
следует настроить).
В меню находятся ссылки на документацию связанных проектов, что поможет
быстро освоиться с работой неизвестных программ. За советами обращайся на форум
и Wiki проекта (forums.remote-exploit.org,
wiki.remote-exploit.org).
Установка BackTrack на USB-флешку и Asus Eee PC
Для установки BackTrack на USB-флэшку или Asus Eee PC можно использовать
LiveCD, но лучше взять специальный вариант BackTrack 3 USB version (размер 783
Мб). Размер флешки должен быть не менее 1 Гб (для Asus Eee PC нужна SD-карта),
файловая система - FAT32. Распаковываем скачанный ISO-образ. В Windows можно
использовать WinRAR или специальную утилиту вроде UltraISO, ISOBuster. В *nix
просто монтируем исошку во временный каталог:
# mount -o loop -t iso9660 bt3-final.iso /mnt/iso
Копируем на флешку находящиеся внутри каталоги bt3 и boot. Далее сделаем
съемный носитель загрузочным. Для этого запускаем находящийся в каталоге bt3
скрипт bootinst.bat (в Windows) или bootinst.sh (*nix). Как вариант,
самостоятельно вводим нужную команду:
# boot/syslinux/syslinux -d boot/syslinux /dev/sdd
Или в Windows:
K:\boot\syslinux\syslinux.exe -ma -d \boot\syslinux K:
Где /dev/sdd и K: - название диска.
Для Asus Eee PC необходимо еще подправить файл boot/syslinux/syslinux.cfg,
прописав после строки «APPEND vga=0x317 initrd=/boot/initrd.gz …» строчку (во
время загрузки системы SD будет /dev/sda) «changes=/dev/sda2».
Проникающее тестирование с nUbuntu
Среди многочисленных клонов дистрибутива Ubuntu есть интересный проект
nUbuntu (Network Ubuntu,
www.nubuntu.org), содержащий внушительное количество инструментов для
тестирования сетей и серверов на проникновение. В качестве рабочего стола выбран
оконный менеджер Fluxbox. Примечательно, что сохранена возможность установки на
жесткий диск и совместимость с репозитарием Ubuntu, а значит, он может быть
хорошей основой для установки на десктоп продвинутого пользователя. Несмотря на
то, что последние релизы идут с приставкой Alpha, это стабильная и полностью
готовая к работе система.
Ищем след с DEFT
Согласно статистике, более 60% компьютеров в Сети заражены вирусами или
находятся под контролем хакеров, которые используют их для своих целей. Чтобы
разобраться с проблемой, собрать доказательства, которые, возможно, помогут
поймать того, кто это сделал, существуют специальные инструменты и дистрибутивы.
Одним из таких решений является DEFT Linux (www.deftlinux.net).
Название произошло от акронима «Digital Evidence & Forensic Toolkit». Возник
этот дистрибутив усилиями группы специалистов, занимающихся расследованием
компьютерных преступлений. Первая версия DEFT v1 вышла в свет в 2006 году и
базировалась на Kubuntu 6.10. Сегодня доступна четвертая версия. В ней в
качестве основы выбран Xubuntu 8.10 с рабочим столом XFce. Выбор дистрибутива
гарантирует совместимость с тем оборудованием, которое поддерживается семейством
Ubuntu.
Процесс загрузки DEFT мало отличается от Ubuntu, но есть свои особенности.
Так, разделы жестких дисков и прочих носителей автоматически не монтируются.
Специфика дистрибутива такова, что все операции исследователь производит
вручную, тщательно контролируя каждый шаг. Поэтому вставленная в рабочей системе
флешка не подхватывается. Графический интерфейс по умолчанию также не
запускается. Чтобы увидеть XFce, набери в консоли «deft-gui».
В рабочей среде первое, что бросается в глаза, - это наличие большого
количества значков на рабочем столе, предназначенных для запуска специфических
приложений, и отсутствие привычного в Ubuntu ярлыка для установки на жесткий
диск. Впрочем, это вполне логично и ожидаемо, ведь в подобных решениях выполнять
запись на жесткий диск нужно крайне осторожно. Достаточно изменить время
обращения к файлу, – и данные нельзя затем будет использовать в доказательствах.
В первую очередь отметим в дистрибутиве популярные OpenSource-решения,
используемые для сбора данных на скомпрометированной системе, - коллекция утилит
Sleuth Kit (TSK) и графическая оболочка к ним Autopsy (Autopsy Forensic Browser).
Ранее для хранения образов диска исследователи использовали RAW-образ диска,
созданный при помощи dd или ее аналога dd_rescue. Размер такого образа совпадал
с исходным и, соответственно, требовал много места для хранения. Часто терялись
важные метаданные. Поэтому для хранения образов дисков был создан специальный
открытый и расширяемый формат AFF (Advanced Forensics Format). Библиотеки для
поддержки его основными утилитами также имеются в дистрибутиве.
В комплект входят программы практически по всем направлениям, которые могут
понадобиться исследователю. Для работы с жестким диском и проверки его состояния
– Gpart, parted и интерфейсы Gparted и QTparted, TestDisk. Для восстановления
файлов по их заголовкам и структуре включена консольная утилита Foremost.
Определить тип файла можно при помощи trID. Имеются утилиты для поиска скрытой
информации внутри файлов-контейнеров - Steg detect и набор OutGuess. Приложения
для работы с hex-данными - hex dump и KHex. Разработчики предусмотрели
возможность восстановить/подобрать пароль при помощи Ophcrack и John the Ripper.
Есть программы и для поиска вирусов и руткитов – ClamAV, chrootkit, rkhunter.
Полностью поддерживается работа по Сети. Для этого в состав DEFT включены
Samba, OpenSSH сервер, RDesktop. Кроме них, в меню Network мы найдем незаменимые
для каждого админа программы - Nessus, Nmap, FireShark, Ettercap, Kismet и
AirSnort.
|