RIPLinuX 13.7
(R)ecovery (I)s (P)ossible Linux.
Недавно был выпущен релиз дистрибутива RIPLinuX (Recovery Is Possible Linux) 13.7, собранного на Slackware Linux. RIPLinuX предназначен прежде всего в помощь системным администраторам. С его помощью можно восстановить систему после сбоя, выполнить плановое обслуживание систем и сделать резервное копирование. Установочный образ весит всего 150 Мб. Его можно записать на мини-диск или на флешку и с них загрузиться.
В систему встроена поддержка большинства файловых систем, таких как Reiserfs, Btrfs Ext2/3/4, HFS +, ISO-9660, nilfs2, UDF, XFS, JFS, UFS2, CIFS, MS DOS, NTFS (с помощью NTFS-3G), Squashfs + XZ + LZO и VFAT и умеет их восстанавливать. RIPLinuX умеет работать с IDE / SCSI / SATA,RAID, LVM2 дисками и поддерживает работу с сетевыми дисками.
Минимальные требования к железу: 512 Мб ОЗУ и любой i686 процессор, например Pentium III с PAE.
Программа "fsck.reiserfs" используется для проверки и восстановления
файловой системы ReiserFS.
"Xfs_repair" программа используется для восстановления
файловой системы XFS.
"Jfs_fsck" программа используется для проверки и восстановления файловой системы Linux JFS.
'E2fsck "программа используется для проверки и восстановления файловой системы Linux ext2/3/4.
"Ntfsresize" программа умеет изменять разделы с файловыми системами
NTFS Windows XP/Vista/7.
Программа "NTFS-3G" позволит записывать в файловую систему Windows NTFS.
Десктоп интерфейс построен на базе Fluxbox. Также в системе есть антивирус ClamAV и F-PROT. RIPLinuX использует 32 и 64-битные ядра 3.2.1 Linux.FreeBSD 9.0
На днях вышла новая версия FreeBSD 9.0. В новом релизе было добавлено:
- Новый инсталлятор (стал более удобным, больше похожим на консольный инсталлятор Debian)
- Поддержка совместного использования технологии Soft Updates и журналирования для быстрого восстановления после аварийного завершения работы файловой системы (UFS2+SUJ)
- ZFS обновлена до 28 версии
- Обновлены драйверы ATA/SATA с поддержкой AHCI
- Поддержка Highly Available Storage
- D-Trace для пользовательского уровня
- TCP/IP-стек поддерживает congestion control framework
- Поддержка NFSv4
- High Performance SSH
В новом инсталляторе была добавлена поддержка разбивки диска GPart'ом, TRIM для SSD дисков, нормальная консоль со всеми утилитами для работы с geom, да и в целом всё стало быстрее работать. Единственная проблема с GPT. Для использования GEOM Mirror 1 нужно сначала создавать зеркало (из консоли), а затем уже на зеркале создавать разметку (работает и в ncurses-интерфейсе).
Восстановление после взлома
Даже если вы следовали всем рекомендациям, приведенным выше, никто не может гарантировать 100%-ю безопасность вашей системы, поэтому психологически нужно быть готовым, что вашу систему можно взломать. Если же это случилось, нужно подумать, как вы будете восстанавливать систему. Причем лучше подумать заранее, чем потом, когда это уже случилось.
Обнаружение нарушения безопасности
Огромное количество взломов системы остается незамеченным администраторами долгое время - от нескольких дней до нескольких месяцев или даже лет. Если вы обнаружили, что ваша система взломана, то будьте уверены - она была взломана задолго до того, как вы это обнаружили. Мало просто обнаружить, что система взломана, нужно еще выявить и устранить «дыру» в системе безопасности. Но не думайте, что это простая задача.
Хотя знания среднего крекера можно с натяжкой считать умеренными, он может использовать утилиты, скрывающие его присутствие, написанные более образованными крекерами. Зачастую знания опытного крекера (того, кто пишет подобные программы), превышают знания среднего администратора.
Самое первое, что нужно сделать - это отключить вашу машину от сети (мы подразумеваем, что ваша система была взломана именно по сети, а не локальным пользователем, у которого есть физический доступ к машине). После этого в спокойной обстановке (если ее можно назвать таковой, когда за спиной стоят десятка два пользователей с одним вопросом: «Когда будет работать сервер?») нужно проанализировать ваши протоколы. Да, крекер может модифицировать протоколы, но он этого не сделает, если вы следовали приведенным в книге рекомендациям и установили одну из ACL (хотя быту же LIDS).
Производительность и создание правил Snort.
Если у вас быстрое интернет-соединение (более 10 Мб), при запуске Snort на брандмауэре вы не заметите особого снижения производительности. Ситуация несколько иная, если Snort запускается внутри LAN. Поскольку скорости здесь значительно выше - от 100 Мб до 1 Гб, производительность может снизиться.
Для решения этой проблемы вам нужно использовать утилиту Barnyard Logging - ее можно взять на сайте Snort. Когда она запущена, Snort передает ей свой вывод в двоичном виде для последующей обработки, что может несколько скрасить ситуацию с производительностью.
Если использование Barnyard Logging особых результатов не дало, можно использовать модифицированную версию libpcap (http://public.lanl.gov/cpw/). Данная версия использует разделяемую память, в результате чего больше не нужно копировать данные из памяти ядра в пользовательскую память. Благодаря этому повышается производительность.
Обнаружение вторжений. Установка snort.
Системы обнаружения вторжения (Intrusion Detection System) выполняют мониторинг сети, что позволяет обнаружить различные атаки. Большинство IDS используют два метода обнаружения вторжения: на основании сигнатуры (IDS «знает» сигнатуру многих эксплоитов) и метод обнаружения аномалий (система сначала «изучает» типичные образцы сетевого трафика сети, а затем выявляет все отклонения от образца).
Многие IDS позволяют блокировать подозрительный трафик, по умолчанию эта функция выключена — считается, что IDS должна просто обнаруживать вторжение, а не блокировать его.