Linux palvelimet: OpenSSH-etähallinta. Tulimuuri.

Tehtävä a-c)

Tässä tehtävässä asennamme SSH:n, suojaamme koneen tulimuurilla ja testaamme SSH:n siirtämällä sen avulla tiedoston. SSH löytyy paketinhallinnasta ja asentuu normaalisti sudo apt-get install ssh komennolla. Seuraavaksi avaamme tulimuuriin aukon porttiin 22, jota SSH yhteys käyttää. Tämä on tärkeää tehdä heti alkuun, sillä linuxin ufw (uncomplicated firewall) tosiaan pysäyttää kaiken verkkoliikenteen, paitsi avatut portit, mikä saattaa olla ongelma jos työskentelet esimerkiksi virtuaalikoneella. Portti 22 aukaistaan ja palomuuri käynnistetään komennoilla:

sudo ufw allow 22/tcp
sudo ufw enable

Seuraavaksi luomme tiedoston ja kansion testiä varten ja siirrämme luodun tiedoston luotuun kansioon:

cd
mkdir testi
nano foo
scp /home/topiniskala/foo topiniskala@localhost:/home/topiniskala/testi
cd testi
ls

Varmistettuamme että tiedosto on siirtynyt uuteen kansioon voimme todeta, että ssh toimii oikein!


Tehtävä d)

Seuraavaksi luomme avaimen, jonka avulla voimme automatisoida kirjautumisen niin että salasanoja ei jatkuvasti tarvitse toistaa. Ensiksi luomme uuden avaimen ja lisäämme sen SSH:lle. SSH tukee lukuisia eri avainalgoritmeja, joista RSA on luultavasti eniten käytetty, mutta toisaalta jäämässä on vanhaksi. Siksi päätin kokeilla uudempaa ECDSA algoritmia:

ssh-keygen -t ecdsa -b 521
ssh-copy-id topiniskala@localhost

Tässä vaiheessa SSH kysyy salasanaasi. Oikean salasanan jälkeen uusi luotu avain on lisätty SSH:lle ja jatkossa kirjautuminen onnistuu avaimella ilman, että käyttäjän tarvitsee toistaa pitkiä salasanoja.


Tehtävä e)

Tässä tehtävässä kokeilemme SSH:n portin vaihtoa. SSH on koneella tehtävää varten valmiiksi asennettuna ja testattuna. SSH portti vaihdetaan SSH:n config tiedostosta sudoeditillä komennolla sudoedit /etc/ssh/sshd_config. Etsimme config tiedostosta kohdan Port 22 ja vaihdamme porttinumeron uudeksi. Tarkistin myös, että uusi portti ei ole varattuna millekään toiselle sovellukselle. Itse käytin tehtävässä porttia 56565.
Portin vaihdon jälkeen SSH tulee käynnistää uudelleen, jotta muutokset astuvat voimaan (sudo service ssh restart). Tämän jälkeen testaamme ensin kirjautumisen ssh:lla normaalisti (ssh topiniskala@localhost) ja sen jälkeen uutta porttia käyttäen (ssh topiniskala@localhost -p 56565). SSH yhteys ei auennut ilman uutta porttia, mikä varmistaa että portti vaihtui onnistuneesti.


Tehtävä i)

Tehtävänanto:
Ratkaise Scan of the Month 15. Katso vinkkejä Forensic File Recovery with Linux – Undelete. Älä katso malliratkaisua netistä, ellet ole jumissa, ja merkitse raporttiisi, jos katsoit. Kuva sisältää oikeaa haittakoodia, älä käsittele sitä arvokkailla tietokoneilla tai työnantajan tuotantoverkossa, äläkä aja siltä löytyviä ohjelmia. Kaikki vastaukset löytyvät kuvasta, tässä tehtävässä ei tutkita mitään muita järjestelmiä.

Aloitin tehtävän lataamalla honeynet.tar.gz paketin kansioon /home/topiniskala/Desktop/forensic/ ja purin sen ja loin puretun honeynet kansion sisään sdc1 kansion. Lopulta mounttasin honeypot.hda8.dd imagen sdc1 kansioon:

tar -xvf honeynet.tar.gz
cd honeynet
mkdir sdc1
sudo mount -o "loop,nodev,noexec,ro" honeypot.hda8.dd sdc1

Seuraavaksi loin kansiot “allocated” ja “deleted” joihin purin .dd paketista tiedostot sleuthkitin tsk_recover toiminnolla:

mkdir allocated deleted
tsk_recover -a honeypot.hda8.dd allocated
tsk_recover honeypot.hda8.dd deleted

Lopuksi loin myös aikajanan honeypot paketista. Koska tiedämme, että murto honeypot järjestelmään tapahtui 15.3.2001, joten aloitamme tutkimisen sieltä:

tsk_gettimes honeypot.hda8.dd>rawtimes
mactime -b rawtimes | less
/Mar 15 2001

15.3.2001 aikamerkinnällä löytyi joukko deletejä, jotka vaikuttivat epäilyttäviltä. Näistä deleteistä erityisesti osui silmään lk.tgz paketti, joka löytyi /deleted kansiosta. Purin kyseisen paketin ja löysin sen sisältä kansion nimeltä last, jonka sisällä oli joukko tiedostoja. Tiedostojen joukossa oli mm. linsniffer johon olin aikoinaan törmännyt linux rootkitteihin perehtyessä. Niinpä uskon, että tämä lk.tgz oli murrossa käytetty rootkit.


LINKIT:
Tehtävänannot
https://www.ssh.com/ssh/keygen/
https://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers
http://old.honeynet.org/scans/scan15/
http://terokarvinen.com/2013/forensic-file-recovery-with-linux
http://opensourceforu.com/2011/09/rootkits-the-enemy-within/

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

w

Connecting to %s