ലിനക്സിലെ നെറ്റ്uവർക്ക് പ്രകടനം, സുരക്ഷ, ട്രബിൾഷൂട്ടിംഗ് എന്നിവ എങ്ങനെ ഓഡിറ്റ് ചെയ്യാം - ഭാഗം 12


ഒരു കമ്പ്യൂട്ടർ ശൃംഖലയുടെ ശബ്uദ വിശകലനം ആരംഭിക്കുന്നത് ടാസ്uക് നിർവഹിക്കുന്നതിന് ലഭ്യമായ ടൂളുകൾ ഏതൊക്കെയാണെന്നും ഓരോ ഘട്ടത്തിനും ശരിയായ ഒന്ന്(കൾ) എങ്ങനെ തിരഞ്ഞെടുക്കാം, അവസാനത്തേത് എന്നാൽ ഏറ്റവും കുറഞ്ഞത് എവിടെ തുടങ്ങണമെന്നും മനസ്സിലാക്കിക്കൊണ്ടാണ്.

ഇത് LFCE (Linux Foundation Certified Engineer) പരമ്പരയുടെ അവസാന ഭാഗമാണ്, ഒരു നെറ്റ്uവർക്കിന്റെ പ്രകടനം പരിശോധിക്കുന്നതിനും സുരക്ഷ വർദ്ധിപ്പിക്കുന്നതിനുമുള്ള ചില അറിയപ്പെടുന്ന ടൂളുകൾ ഞങ്ങൾ ഇവിടെ അവലോകനം ചെയ്യും. , പ്രതീക്ഷിച്ചതുപോലെ കാര്യങ്ങൾ നടക്കുന്നില്ലെങ്കിൽ എന്തുചെയ്യണം.

ഈ ലിസ്റ്റ് സമഗ്രമായി നടിക്കുന്നില്ല എന്ന കാര്യം ശ്രദ്ധിക്കുക, അതിനാൽ ഞങ്ങൾക്ക് നഷ്uടമായേക്കാവുന്ന മറ്റൊരു ഉപയോഗപ്രദമായ യൂട്ടിലിറ്റി ചേർക്കാൻ നിങ്ങൾ ആഗ്രഹിക്കുന്നുവെങ്കിൽ ചുവടെയുള്ള ഫോം ഉപയോഗിച്ച് ഈ പോസ്റ്റിൽ അഭിപ്രായമിടാൻ മടിക്കേണ്ടതില്ല.

ഓരോ സിസ്റ്റത്തെക്കുറിച്ചും ഒരു സിസ്റ്റം അഡ്മിനിസ്ട്രേറ്റർ അറിഞ്ഞിരിക്കേണ്ട ആദ്യ കാര്യങ്ങളിലൊന്ന് ഏതൊക്കെ സേവനങ്ങളാണ് പ്രവർത്തിക്കുന്നത്, എന്തുകൊണ്ട് എന്നതാണ്. ആ വിവരങ്ങൾ കയ്യിലുണ്ടെങ്കിൽ, കർശനമായി ആവശ്യമില്ലാത്തവയെല്ലാം പ്രവർത്തനരഹിതമാക്കുകയും ഒരേ ഫിസിക്കൽ മെഷീനിൽ നിരവധി സെർവറുകൾ ഹോസ്റ്റുചെയ്യുന്നത് ഒഴിവാക്കുകയും ചെയ്യുന്നത് ബുദ്ധിപരമായ തീരുമാനമാണ്.

ഉദാഹരണത്തിന്, നിങ്ങളുടെ നെറ്റ്uവർക്കിന് ഒരെണ്ണം ആവശ്യമില്ലെങ്കിൽ നിങ്ങളുടെ FTP സെർവർ പ്രവർത്തനരഹിതമാക്കേണ്ടതുണ്ട് (ഒരു നെറ്റ്uവർക്കിലൂടെ ഫയലുകൾ പങ്കിടുന്നതിന് കൂടുതൽ സുരക്ഷിതമായ രീതികളുണ്ട്). കൂടാതെ, ഒരേ സിസ്റ്റത്തിൽ ഒരു വെബ് സെർവറും ഡാറ്റാബേസ് സെർവറും ഉണ്ടാകുന്നത് നിങ്ങൾ ഒഴിവാക്കണം. ഒരു ഘടകം വിട്ടുവീഴ്ച ചെയ്യപ്പെടുകയാണെങ്കിൽ, ബാക്കിയുള്ളവയും വിട്ടുവീഴ്ച ചെയ്യപ്പെടാനുള്ള സാധ്യതയുണ്ട്.

ss സോക്കറ്റ് സ്ഥിതിവിവരക്കണക്കുകൾ ഡംപ് ചെയ്യുന്നതിനും നെറ്റ്സ്റ്റാറ്റിന് സമാനമായ വിവരങ്ങൾ കാണിക്കുന്നതിനും ഉപയോഗിക്കുന്നു, എന്നിരുന്നാലും മറ്റ് ടൂളുകളേക്കാൾ കൂടുതൽ TCP, സംസ്ഥാന വിവരങ്ങൾ പ്രദർശിപ്പിക്കാൻ ഇതിന് കഴിയും. കൂടാതെ, കാലഹരണപ്പെട്ട നെറ്റ്സ്റ്റാറ്റിന് പകരമായി ഇത് man netstat ൽ ലിസ്റ്റ് ചെയ്തിട്ടുണ്ട്.

എന്നിരുന്നാലും, ഈ ലേഖനത്തിൽ ഞങ്ങൾ നെറ്റ്uവർക്ക് സുരക്ഷയുമായി ബന്ധപ്പെട്ട വിവരങ്ങളിൽ മാത്രം ശ്രദ്ധ കേന്ദ്രീകരിക്കും.

അവരുടെ ഡിഫോൾട്ട് പോർട്ടുകളിൽ പ്രവർത്തിക്കുന്ന എല്ലാ സേവനങ്ങളും (അതായത് 80-ൽ http, 3306-ൽ mysql) അവയുടെ പേരുകളാൽ സൂചിപ്പിച്ചിരിക്കുന്നു. മറ്റുള്ളവ (സ്വകാര്യത കാരണങ്ങളാൽ ഇവിടെ അവ്യക്തമാണ്) അവയുടെ സംഖ്യാ രൂപത്തിൽ കാണിച്ചിരിക്കുന്നു.

# ss -t -a

ആദ്യ കോളം TCP അവസ്ഥ കാണിക്കുന്നു, രണ്ടാമത്തെയും മൂന്നാമത്തെയും കോളം നിലവിൽ സ്വീകരണത്തിനും പ്രക്ഷേപണത്തിനുമായി ക്യൂവിലുള്ള ഡാറ്റയുടെ അളവ് കാണിക്കുന്നു. നാലാമത്തെയും അഞ്ചാമത്തെയും നിരകൾ ഓരോ കണക്ഷന്റെയും ഉറവിടവും ലക്ഷ്യസ്ഥാന സോക്കറ്റുകളും കാണിക്കുന്നു.
ഒരു വശത്ത് കുറിപ്പിൽ, സാധ്യമായ TCP സ്റ്റേറ്റുകളെ കുറിച്ച് നിങ്ങളുടെ മെമ്മറി പുതുക്കുന്നതിന് നിങ്ങൾക്ക് RFC 793 പരിശോധിക്കേണ്ടി വന്നേക്കാം, കാരണം (D)DoS ആക്രമണങ്ങളെക്കുറിച്ച് ബോധവാന്മാരാകുന്നതിന് നിങ്ങൾ ഓപ്പൺ TCP കണക്ഷനുകളുടെ എണ്ണവും അവസ്ഥയും പരിശോധിക്കേണ്ടതുണ്ട്.

# ss -t -o

മുകളിലുള്ള ഔട്ട്uപുട്ടിൽ, 2 സ്ഥാപിതമായ SSH കണക്ഷനുകൾ ഉണ്ടെന്ന് നിങ്ങൾക്ക് കാണാൻ കഴിയും. ടൈമർ: എന്നതിന്റെ രണ്ടാമത്തെ ഫീൽഡിന്റെ മൂല്യം നിങ്ങൾ ശ്രദ്ധിച്ചാൽ, ആദ്യ കണക്ഷനിൽ 36 മിനിറ്റുകളുടെ മൂല്യം നിങ്ങൾ ശ്രദ്ധിക്കും. അടുത്ത കീപ്പലൈവ് അന്വേഷണം അയക്കുന്നതുവരെയുള്ള സമയമാണിത്.

ഇത് സജീവമായി സൂക്ഷിക്കുന്ന ഒരു കണക്ഷൻ ആയതിനാൽ, അതൊരു നിഷ്uക്രിയ കണക്ഷനാണെന്ന് നിങ്ങൾക്ക് സുരക്ഷിതമായി അനുമാനിക്കാം, അതിനാൽ അതിന്റെ PID കണ്ടെത്തിയതിന് ശേഷം പ്രക്രിയയെ ഇല്ലാതാക്കാം.

രണ്ടാമത്തെ കണക്ഷനെ സംബന്ധിച്ചിടത്തോളം, ഇത് നിലവിൽ ഉപയോഗിക്കുന്നുണ്ടെന്ന് നിങ്ങൾക്ക് കാണാൻ കഴിയും (ഓൺ സൂചിപ്പിക്കുന്നത് പോലെ).

സോക്കറ്റ് വഴി നിങ്ങൾക്ക് TCP കണക്ഷനുകൾ ഫിൽട്ടർ ചെയ്യണമെന്ന് കരുതുക. സെർവറിന്റെ വീക്ഷണകോണിൽ നിന്ന്, ഉറവിട പോർട്ട് 80 ആയ കണക്ഷനുകൾക്കായി നിങ്ങൾ പരിശോധിക്കേണ്ടതുണ്ട്.

# ss -tn sport = :80

ഫലമായുണ്ടാകുന്ന..

ഒരു നെറ്റ്uവർക്കിലെ സജീവ ഹോസ്റ്റുകളെ തിരിച്ചറിയുന്നതിനും പോർട്ടുകൾ തുറക്കുന്നതിനും ക്രാക്കറുകൾ ഉപയോഗിക്കുന്ന ഒരു സാധാരണ സാങ്കേതികതയാണ് പോർട്ട് സ്കാനിംഗ്. ഒരു അപകടസാധ്യത കണ്ടെത്തിക്കഴിഞ്ഞാൽ, സിസ്റ്റത്തിലേക്കുള്ള പ്രവേശനം നേടുന്നതിനായി അത് ചൂഷണം ചെയ്യപ്പെടുന്നു.

ബുദ്ധിമാനായ ഒരു സിസാഡ്uമിൻ അവന്റെ അല്ലെങ്കിൽ അവളുടെ സിസ്റ്റങ്ങളെ പുറത്തുള്ളവർ എങ്ങനെ കാണുന്നുവെന്ന് പരിശോധിക്കേണ്ടതുണ്ട്, കൂടാതെ അവ ഇടയ്uക്കിടെ ഓഡിറ്റ് ചെയ്uത് യാദൃശ്ചികമായി ഒന്നും അവശേഷിക്കുന്നില്ലെന്ന് ഉറപ്പാക്കുകയും വേണം. അതിനെ \പ്രതിരോധ പോർട്ട് സ്കാനിംഗ് എന്ന് വിളിക്കുന്നു.

നിങ്ങളുടെ സിസ്റ്റത്തിലോ റിമോട്ട് ഹോസ്റ്റിലോ ഏതൊക്കെ പോർട്ടുകളാണ് തുറന്നിരിക്കുന്നതെന്ന് സ്കാൻ ചെയ്യാൻ നിങ്ങൾക്ക് ഇനിപ്പറയുന്ന കമാൻഡ് ഉപയോഗിക്കാം:

# nmap -A -sS [IP address or hostname]

മുകളിലുള്ള കമാൻഡ്, OS, പതിപ്പ് കണ്ടെത്തൽ, പോർട്ട് വിവരങ്ങൾ, ട്രേസറൗട്ട് (-A) എന്നിവയ്ക്കായി ഹോസ്റ്റിനെ സ്കാൻ ചെയ്യും. അവസാനമായി, -sS ഒരു TCP SYN സ്കാൻ അയയ്uക്കുന്നു, 3-വേ TCP ഹാൻഡ്uഷേക്ക് പൂർത്തിയാക്കാൻ nmap തടയുന്നു, അങ്ങനെ ടാർഗെറ്റ് മെഷീനിൽ സാധാരണയായി ലോഗുകൾ അവശേഷിപ്പിക്കില്ല.

അടുത്ത ഉദാഹരണവുമായി മുന്നോട്ടുപോകുന്നതിനുമുമ്പ്, പോർട്ട് സ്കാനിംഗ് ഒരു നിയമവിരുദ്ധ പ്രവർത്തനമല്ലെന്ന് ദയവായി ഓർക്കുക. IS നിയമവിരുദ്ധമായത് ഒരു ദുരുദ്ദേശ്യത്തിന് ഫലങ്ങൾ ഉപയോഗിക്കുന്നു എന്നതാണ്.

ഉദാഹരണത്തിന്, ഒരു പ്രാദേശിക സർവ്വകലാശാലയുടെ പ്രധാന സെർവറിനെതിരെ പ്രവർത്തിപ്പിക്കുന്ന മുകളിലെ കമാൻഡിന്റെ ഔട്ട്പുട്ട് ഇനിപ്പറയുന്നവ നൽകുന്നു (ഫലത്തിന്റെ ഒരു ഭാഗം മാത്രം സംക്ഷിപ്തതയ്ക്കായി കാണിക്കുന്നു):

നിങ്ങൾക്ക് കാണാനാകുന്നതുപോലെ, ഈ പ്രാദേശിക സർവ്വകലാശാലയിലെ സിസ്റ്റം അഡ്uമിനിസ്uട്രേറ്റർമാരോട് റിപ്പോർട്ടുചെയ്യുന്നത് നന്നായി ചെയ്യേണ്ട നിരവധി അപാകതകൾ ഞങ്ങൾ കണ്ടെത്തി.

ഈ നിർദ്ദിഷ്uട പോർട്ട് സ്uകാൻ ഓപ്പറേഷൻ മറ്റ് കമാൻഡുകൾ വഴിയും ലഭിക്കുന്ന എല്ലാ വിവരങ്ങളും നൽകുന്നു, ഇനിപ്പറയുന്നവ:

# nmap -p [port] [hostname or address]
# nmap -A [hostname or address]

നിങ്ങൾക്ക് ഇനിപ്പറയുന്ന രീതിയിൽ നിരവധി പോർട്ടുകൾ (റേഞ്ച്) അല്ലെങ്കിൽ സബ്uനെറ്റുകൾ സ്കാൻ ചെയ്യാനും കഴിയും:

# nmap -p 21,22,80 192.168.0.0/24 

ശ്രദ്ധിക്കുക: മുകളിലെ കമാൻഡ് ആ നെറ്റ്uവർക്ക് സെഗ്uമെന്റിലെ എല്ലാ ഹോസ്റ്റുകളിലും പോർട്ടുകൾ 21, 22, 80 എന്നിവ സ്കാൻ ചെയ്യുന്നു.

മറ്റ് തരത്തിലുള്ള പോർട്ട് സ്കാനിംഗ് എങ്ങനെ നടത്താം എന്നതിനെക്കുറിച്ചുള്ള കൂടുതൽ വിശദാംശങ്ങൾക്ക് നിങ്ങൾക്ക് മാൻ പേജ് പരിശോധിക്കാം. Nmap തീർച്ചയായും വളരെ ശക്തവും വൈവിധ്യമാർന്നതുമായ ഒരു നെറ്റ്uവർക്ക് മാപ്പർ യൂട്ടിലിറ്റിയാണ്, കൂടാതെ പുറത്തുനിന്നുള്ളവരുടെ ക്ഷുദ്രകരമായ പോർട്ട് സ്കാനിന് ശേഷം ഉണ്ടാകുന്ന ആക്രമണങ്ങൾക്കെതിരെ നിങ്ങൾ ഉത്തരവാദിത്തമുള്ള സിസ്റ്റങ്ങളെ പ്രതിരോധിക്കുന്നതിന് നിങ്ങൾ ഇത് നന്നായി അറിഞ്ഞിരിക്കണം.