Kaip patikrinti tinklo našumą, saugumą ir trikčių šalinimą sistemoje „Linux“ – 12 dalis

Patikima kompiuterių tinklo analizė prasideda nuo supratimo, kokie yra prieinami įrankiai užduočiai atlikti, kaip pasirinkti tinkamą (-us) kiekvienam žingsniui ir galiausiai – nuo ko pradėti.

Tai paskutinė LFCE (Linux Foundation Certified Engineer) serijos dalis. Čia apžvelgsime kai kuriuos gerai žinomus įrankius, skirtus tinklo našumui ir saugumui padidinti. , ir ką daryti, kai viskas vyksta ne taip, kaip tikėtasi.

Pristatome „Linux Foundation“ sertifikavimo programą

Atkreipkite dėmesį, kad šis sąrašas nepretenduoja į išsamų, todėl nedvejodami pakomentuokite šį įrašą naudodami apačioje esančią formą, jei norite pridėti dar vieną naudingą priemonę, kurios mums gali trūkti.

Kokios paslaugos veikia ir kodėl?

Vienas iš pirmųjų dalykų, kurį sistemos administratorius turi žinoti apie kiekvieną sistemą, yra tai, kokios paslaugos veikia ir kodėl. Turint šią informaciją, protingas sprendimas išjungti visus nebūtinus ir vengti prieglobos per daug serverių tame pačiame fiziniame kompiuteryje.

Pavyzdžiui, turite išjungti FTP serverį, jei jūsų tinklui jo nereikia (beje, yra ir saugesnių failų bendrinimo tinkle būdų). Be to, toje pačioje sistemoje neturėtumėte turėti žiniatinklio serverio ir duomenų bazės serverio. Jei vienas komponentas pažeidžiamas, kyla pavojus, kad bus pažeisti ir kiti.

Lizdų jungčių su ss tyrimas

ss naudojamas lizdų statistikai iškelti ir rodo informaciją, panašią į netstat, nors gali rodyti daugiau TCP ir būsenos informacijos nei kiti įrankiai. Be to, jis nurodytas man netstat kaip netstat, kuris yra pasenęs, pakaitalas.

Tačiau šiame straipsnyje mes sutelksime dėmesį tik į informaciją, susijusią su tinklo saugumu.

1 pavyzdys: rodomi VISI TCP prievadai (socket), kurie yra atidaryti mūsų serveryje

Visos paslaugos, veikiančios numatytuosiuose prievaduose (pvz., http 80, mysql 3306), pažymėtos atitinkamais pavadinimais. Kiti (čia paslėpti dėl privatumo) rodomi skaitine forma.

ss -t -a

Pirmame stulpelyje rodoma TCP būsena, o antrame ir trečiame stulpelyje rodomas duomenų kiekis, kuris šiuo metu yra laukiamas priėmimo ir perdavimo eilėje. Ketvirtajame ir penktajame stulpeliuose rodomi kiekvieno ryšio šaltinio ir paskirties lizdai.
Kita vertus, galbūt norėsite patikrinti RFC 793, kad atnaujintumėte savo atmintį apie galimas TCP būsenas, nes taip pat turite patikrinti atidarytų TCP jungčių skaičių ir būseną, kad sužinotumėte apie (D)DoS atakas.

2 pavyzdys: VISŲ aktyvių TCP jungčių rodymas su jų laikmačiais

ss -t -o

Aukščiau pateiktame išvestyje galite pamatyti, kad yra 2 užmegzti SSH ryšiai. Jei pastebėsite antrojo laikmačio: lauko reikšmę, pastebėsite 36 minučių reikšmę pirmojo ryšio metu. Tai tiek laiko, kol bus išsiųstas kitas zondas.

Kadangi tai palaikomas ryšys, galite drąsiai manyti, kad tai neaktyvus ryšys, todėl sužinoję PID procesą galite sustabdyti.

Kalbant apie antrąjį ryšį, galite matyti, kad jis šiuo metu naudojamas (kaip nurodyta ).

3 pavyzdys: jungčių filtravimas pagal lizdą

Tarkime, kad norite filtruoti TCP ryšius pagal lizdą. Serverio požiūriu turite patikrinti, ar nėra jungčių, kuriose šaltinio prievadas yra 80.

ss -tn sport = :80

Dėl to ..

Apsauga nuo prievadų nuskaitymo naudojant NMAP

Prievadų nuskaitymas yra įprastas metodas, kurį naudoja krekeriai, norėdami nustatyti aktyvius pagrindinius kompiuterius ir atidaryti tinklo prievadus. Aptikus pažeidžiamumą, jis išnaudojamas siekiant gauti prieigą prie sistemos.

Išmintingas sistemos administratorius turi patikrinti, kaip jo sistemas mato pašaliniai asmenys, ir dažnai jas tikrindamas, kad niekas nebūtų paliktas atsitiktinumui. Tai vadinama „apsauginiu prievadų nuskaitymu“.

4 pavyzdys: informacijos apie atvirus prievadus rodymas

Galite naudoti šią komandą norėdami nuskaityti, kurie prievadai yra atidaryti jūsų sistemoje arba nuotoliniame pagrindiniame kompiuteryje:

nmap -A -sS [IP address or hostname]

Aukščiau pateikta komanda nuskaitys pagrindinį kompiuterį, kad būtų aptikta OS ir versija, prievado informacija ir traceroute (-A). Galiausiai -sS siunčia TCP SYN nuskaitymą, neleisdama nmap užbaigti trijų krypčių TCP rankų paspaudimą ir todėl paprastai tiksliniame kompiuteryje nepalieka jokių žurnalų.

Prieš tęsdami kitą pavyzdį, atminkite, kad prievadų nuskaitymas nėra neteisėta veikla. Kas YRA neteisėta, yra rezultatų naudojimas piktam tikslui.

Pavyzdžiui, pirmiau nurodytos komandos, paleistos pagrindiniame vietinio universiteto serveryje, išvestis pateikia šiuos duomenis (dėl trumpumo rodoma tik dalis rezultato):

Kaip matote, aptikome keletą nukrypimų, apie kuriuos turėtume pranešti šio vietinio universiteto sistemos administratoriams.

Ši specifinė prievado nuskaitymo operacija suteikia visą informaciją, kurią taip pat galima gauti naudojant kitas komandas, pvz.:

5 pavyzdys: informacijos apie konkretų prievadą vietinėje arba nuotolinėje sistemoje rodymas

nmap -p [port] [hostname or address]

6 pavyzdys: „traceroute“ rodymas ir paslaugų versijos bei OS tipo, pagrindinio kompiuterio pavadinimo nustatymas

nmap -A [hostname or address]

7 pavyzdys: kelių prievadų arba pagrindinių kompiuterių nuskaitymas vienu metu

Taip pat galite nuskaityti kelis prievadus (diapazoną) arba potinklius, kaip nurodyta toliau:

nmap -p 21,22,80 192.168.0.0/24 

Pastaba: kad aukščiau pateikta komanda nuskaito 21, 22 ir 80 prievadus visuose to tinklo segmento prievaduose.

Daugiau informacijos apie tai, kaip atlikti kitų tipų prievadų nuskaitymą, rasite man puslapyje. „Nmap“ iš tiesų yra labai galinga ir universali tinklo žemėlapių sudarymo programa, kurią turėtumėte labai gerai išmanyti, kad apsaugotumėte sistemas, už kurias esate atsakingi, nuo atakų, kilusių po pašalinių asmenų kenkėjiško prievado nuskaitymo.