Как работает Linux: от нажатия кнопки включения до рабочего стола

Автор: Евгений Зобнин

© https://xakep.ru/2017/10/23/linux-boot-explained/

 

Лучший способ понять, как работает операционная система, — это проследить поэтапно ее загрузку. Именно во время загрузки запускаются все те механизмы, что приводят ОС в движение. Процесс этот сложный, многоступенчатый и порой запутанный. Изучать его интересно, а открытия, которые ты сделаешь при этом, могут сильно тебя удивить.

В целом загрузку среднестатистического дистрибутива Linux можно разделить на пять стадий:

1. Загрузчик.
2. Запуск и первичная инициализация ядра.
3. Обнаружение оборудования, загрузка драйверов и подключение файловых систем.
4. Запуск системных служб (демонов).
5. Старт графической или консольной пользовательской сессии.

Мы пройдемся по всем стадиям и узнаем, что происходит во время загрузки типичного дистрибутива Linux, немного отклонившись в сторону BSD, macOS и Android по пути. Во многих случаях это позволит понять, почему процесс загрузки Linux именно такой, какой есть.

1. Загрузчик

Все начинается с загрузчика, которому во время старта машины BIOS передает управление. В старые времена, когда Linux был не так популярен, в качестве загрузчика использовался LILO (Linux Loader) — простой, очень примитивный и не позволяющий менять конфигурацию загрузки на лету. Фактически конфигурационный файл был вшит в сам загрузчик, и его приходилось переустанавливать после каждой смены настроек: обновил ядро, забыл переустановить, и твой ноутбук больше не грузится.

Читать далее…

В гостях у Balabit. Как syslog-ng, Shell Control Box и Blindspotter стоят на страже корпоративной безопасности

Содержание статьи

• Shell Control Box
• Shell Control Box глазами админа
• Syslog-ng сегодня
• Blindspotter
• Бонус: экскурсия по офису Balabit

На первый взгляд фирма Balabit примечательна двумя вещами: во-первых, там создали популярную систему сбора логов syslog-ng, во-вторых, это успешная компания, которая занимается информационной безопасностью в Венгрии — стране, известной скорее кулинарией, чем ИТ. Однако, помимо syslog-ng, в Balabit делают и другие интересные продукты. На них-то нас и позвали посмотреть.

Два десятка журналистов со всех стран собрались за длинным столом. Два места в центре занимают хозяева — Золтан Дьёркё и Балаж Шайдлер. Они рассказывают о том, как уже двадцать лет назад, еще когда были студентами, задумали создать свою компанию. «Так вышло, что информационная безопасность оказалась для нас самой близкой темой», — рассказывает Дьёркё.

Первым продуктом Balabit стал syslog-ng — средство агрегации логов UNIX, по сути улучшенная версия демона syslogd. Продукт оказался успешным; к двухтысячному году компания выросла, и свет увидел второй ее продукт — файрвол Zorp.

Читать далее…

Дюжина приемов в Linux, которые действительно сэкономят уйму времени

Однажды вечером, перечитывая Джеффри Фридла, я осознал, что даже несмотря на всем доступную документацию, существует множество приемов заточенных под себя. Все люди слишком разные. И приемы, которые очевидны для одних, могут быть неочевидны для других и выглядеть какой-то магией для третьих. Кстати, несколько подобных моментов я уже описывал здесь.

Командная строка для администратора или пользователя — это не только инструмент, которым можно сделать все, но и инструмент, который кастомизируется под себя любимого бесконечно долго. Недавно пробегал перевод на тему удобных приемов в CLI. Но у меня сложилось впечатление, что сам переводчик мало пользовался советами, из-за чего важные нюансы могли быть упущены.

Читать далее…

Прокачай терминал! Полезные трюки, которые сделают тебя гуру консоли

Содержание статьи

• Мигрируем на ZSH
• Перемещаемся по каталогам быстро
• Fasd
• Peco
• Используем автодополнение на полную катушку
• Работаем с историей команд
• Копируем, удаляем, переименовываем
• Ищем правильно
• Работаем с буфером обмена
• Выводы

О том, что командная строка — это удобнейший инструмент, знает любой юниксоид, потративший пару часов на изучение базовых команд и синтаксиса bash. Но далеко не каждый понимает, насколько на самом деле может быть эффективна консоль. В этой статье мы разберем множество интересных трюков, которые позволят тебе так прокачать навык обращения с командной строкой, что ты уже не захочешь возвращаться к графическому интерфейсу.

Эта статья не обучит тебя, как пользоваться консолью, как объединять команды в пайпы и перенаправлять ввод-вывод. Она не о том, как писать скрипты или функции. Из нее ты не узнаешь, чем отличается bash от tcsh. Ее задача — показать тебе, как использовать консоль на всю катушку, добавить +50 к скорости ввода команд и +100 к эффективности. Поэтому новичкам стоит начать с базовых руководств или хотя бы изучить linux cheat sheet.

А мы, недолго думая, перейдем к делу.

Читать далее…

Root хуже Михалкова

Рут – это мифическое существо в экосистеме Linux. Он может всё: зайти в любой каталог, удалить любой файл, завершить любой процесс, открыть любой порт. В общем это суперчеловек, чрезвычайно могущественный и очень полезный. Но задумывались ли вы когда-нибудь, какую цену мы платим руту? Не думали же вы, что он работает за просто так.

 

Вы знаете команду df? Она показывает все подключенные сейчас диски и статистику по ним: сколько место занято, сколько свободно. Например:

 

$ df -m
Filesystem     1M-blocks   Used Available Use% Mounted on
udev                 224      1       224   1% /dev
tmpfs                 48      1        47   2% /run
/dev/dm-0           9204   7421      1294  86% /

 

Вы когда-нибудь замечали, что для локальных дисков сумма Used и Available чаще всего меньше общего размера диска? Ненамного, но меньше.

 

Читать далее…

Сервер аутентификации Isolate в Open Source

В работе команды системных администраторов наступает момент, когда поддерживаемых серверов становится слишком много. А может быть еще и людей много, ну и опять же безопасность: если что-то пошло не так, нужно отовсюду ключи удалять.

У нас 300 клиентов. Кому-то это «всего», а для нас — это почти 2000 серверов на обслуживании. Чтобы хранить, обновлять и управлять базой из 2000 паролей для 60 сотрудников, управлять доступом к ней и не объяснять каждый раз клиенту, что пароли к его серверам будут одновременно знать 60 человек, мы сделали сервер аутентификации и назвали его Isolate. Под катом описание функций и ссылка на Github — мы выложили его в Open Source.

 

Читать далее…

OSSIM + SEC

Не знаю как вам, а мне в продукте Alienvault OSSIM (USM) всегда не хватало гибкости в настройке правил корреляции. Т.е. возможность-то такая есть, и позиционируется решение как “комбайн” в составе которого есть и SIEM компонент. Но возможности данного SIEM в части корреляции на данный момент весьма и весьма ограничены. Искренне надеюсь, что в будущих релизах разработчики добавят хотя-бы какое-то подобие lookup/active списков ну и как минимум возможность корреляции не только по полям DST_IP, SRC_IP, DST_PORT, SRC_PORT.

Читать далее…

Группы Windows NT и Active Directory

Local и Domain Local, Global и Universal, Security и Distribution — вокруг них много фантазий и мифов. Разбираемся.

Для человека, который сталкивается с многообразием групп в Active Directory, разобраться с ними сходу весьма трудно. Local и Domain Local, Global и Universal, Security и Distribution – всё это осложняется ситуацией “кого в кого можно включать”, и в финале сопровождается выводом “нафиг столько нагородили, уму непостижимо”. Добавляет к этому бардаку сочности то, что в фирменных курсах Microsoft данная тема освещается всё обзорнее и обзорнее – и сводится буквально к паре слайдов “запомните вот эту табличку”, без объяснения причин того, почему всё работает именно так.

Такой подход понятен – задача Microsoft – максимально удешевить чтение курсов, снижая требования по знаниям у MCT, которые обычно сами не могут объяснить, почему с группами в Windows / Active Directory всё сложилось именно так. Нужен меньший уровень знаний, чтобы вслух ртом начитывать сверху вниз слайды – можно меньше платить – ниже расходы – выше прибыль у партнёров Microsoft – больше партнёров – больше прибыли Microsoft. Приводит это к предсказуемому результату – тему “проскакивают” на бегу с логикой “зазубрите табличку, потом дампы почитаете чуток и проходной балл на экзамене кое-как перевалите, да вообще всё это некритично на самом деле”, а после работают с группами наощупь, а-ля “я на форуме читал, что всё надо делать security global, а у distribution SID’а вообще нет, ко-ко-ко”, ну и с подобными мифами. Табличка “кого в куда включать можно”, будучи не понятой, быстро забывается, а вся тема остаётся мистическим облачком “ой там всё мутно, нереально разобраться, да и не нужно никому”.

Как обычно, у нас подход другой. Разберёмся, что и как с группами. Вам понадобится базовая подготовка на уровне материала курса Microsoft 20410D – можете скачать бесплатно его запись у нас и посмотреть, там несложно.

Группы Windows NT и Active Directory – что, зачем, как, почему

• Часть первая – изначальная ситуация – одиночная система
• Часть вторая – домен Windows NT – появление Domain Local и Security-групп
• Лирическое отступление про максимальное количество групп и прочие технические мелочи
• Поведение системы при переполнении маркера доступа
• Часть третья – лес Active Directory – появление Universal-групп и разделения на Security и Distribution
• Universal-группы и режимы работы домена
• Можно ли жить в лесу Active Directory без Universal-групп, только с Global и Domain Local
• Проблемы масштабирования при использовании только Global и Domain Local
• Domain Local-группы и объекты Active Directory
• Миф про сниженное быстродействие Universal-групп
• Миф про одинаковость всех групп, потому что их можно друг в друга переключать

Приступим.

Читать далее…

Настраиваем и защищаем SSH

Защищаем администрирование и передачу данных через SSH на различных платформах

Привет.

Протокол SSH уже продолжительное время является основным используемым средством для удалённого администрирования сетевых устройств и unix-ОС.

Гайдов по настройке SSH много. Часть из них устарела. Часть состоит из сверхценных советов “перевесьте на другой порт, например 2222, и не работайте под рутом”. Часть состоит из копипасты чьей-то конфиги с подписью “это секурно”. Часть содержит откровенно вредные советы.

Попробуем избежать всего вышеперечисленного.

В качестве подопытных и настраиваемых систем будет выбран Centos Linux 7й версии и семейство ОС Cisco IOS / NX-OS. Безусловно, можно добавить поддержку SSH и в Windows-системы, но отдельно останавливаться на настройках этого варианта нет особого смысла, т.к. настройки эти будут подмножеством функционала того же OpenSSH. В общем, предлагаемые меры по улучшению безопасности SSH будут применимы и для других ОС.

Поэтому в вашем случае, если используется другая *nix-ОС, расположение конфигурационных файлов, например, может быть иным. Это ничего критично не меняет.

Про настройку SSH в Cisco IOS есть отдельный вебинар из трека Advanced CCNA, запись которого бесплатно доступна на нашем YouTube, а настройку SSH в плане разграничения доступа – типа “хочу, чтобы на коммутаторы и маршрутизаторы могли заходить с админскими правами только участники группы ATRAINING\Cisco Admins из домена Active Directory” – мы делаем на онлайн-курсе Cisco IINS 3.0.

• Фиксируем версию SSHv2
• Ограничиваем перечень протоколов подтверждения подлинности сервера
• Настройка обмена ключами / создания ключевого материала
• Перегенерация модулей SSHv2
• Настраиваем используемый алгоритм шифрования трафика SSHv2
• Отключаем сжатие SSHv2-трафика
• Выбираем Message Authentication Code у SSHv2
• Сетевые настройки SSHv2
• Ограничения SSH на процедуру подключения к сеансу
• Группы и пользователи в настройке SSH-сервера

Начнём.

Фиксируем версию SSHv2

Стартовый зоопарк версий SSH – SSH 1.3, потом SSH 1.5, потом “специальная версия от Cisco, показывающая, что сервер умеет и 2.0 и предыдущие”, которая 1.99 – сейчас совершенно не актуален, т.к. весь софт умеет SSHv2. Найти ПО, которое поддерживает только SSH 1.x – реально сложная задача. Поэтому, конечно, убедитесь, что такого ПО у вас нет, и обновите при необходимости – но рассматривать мы будем функциональность и безопасность только второй версии SSH.

Читать далее…

EC (эллиптические кривые) – выбор

Выбираем эллиптические кривые

Около 15 лет в IT-системах, связанных с безопасной передачей данных по недоверенным каналам, начали широко использоваться, помимо классических криптографических алгоритмов RSA и DH, сопоставимые с ними по функционалу, но более быстрые и, предположительно, не менее надёжные криптографические алгоритмы семейства EC или ECC – “elliptic curve” или “elliptic curve cryptography” – “на базе эллиптических кривых”.

Вопросы по функциональности этих алгоритмов и реальной стойкости мы рассмотрим отдельно, пока же сосредоточимся на вопросе “Наши системы поддерживают EC-криптографию; как же выбрать нужные настройки?”.

Список поддерживаемых EC

В случае *nix-систем, для распространённой библиотеки OpenSSL команда для вывода ASN1-имён всех поддерживаемых ECC-кривых будет такой:

openssl ecparam -list_curves

Читать далее…