Перейти к содержанию книги Kali Linux Revealed
7.2 Возможные меры безопасности Kali Linux
Как уже пояснялось в предыдущем разделе, нет единого ответа на вопрос о том, как защитить Kali Linux. Все зависит от того, каким образом вы его используете и что именно вы пытаетесь защитить.
7.2.1 На сервере
Если вы запустите Kali Linux на общедоступном сервере, вы, скорее всего, захотите защитить сетевые службы путем изменения любых паролей по умолчанию, которые могут быть настроены (см. Раздел 7.3 «Защита сетевых служб») и, возможно, также путем ограничения их доступа с помощью брандмауэра (см. раздел 7.4, «Брандмауэр или фильтрация пакетов»).Если вы передаете учетные записи пользователей либо непосредственно на сервере, либо на одной из служб, вы в любом случае захотите убедиться, что вы устанавливаете надежные пароли (они должны быть способны противостоять brute-force атакам). В то же время вы можете захотеть установить fail2ban, что значительно усложнит взлом паролей с помощью brute-force по сети (отфильтровывая IP-адреса, которые превышают лимит неудачных попыток входа в систему). Установите fail2ban с помощью apt update, за которым следует команда apt install fai! 2ban.Если вы запускаете веб-службы, вы, вероятно, захотите разместить их через HTTPS, чтобы сетевые посредники не отслеживали ваш трафик (который может включать в себя файлы аутентификации cookie).
7.2.2 На ноутбуке
Ноутбук тестировщика на проникновение не подвержен тем же рискам, что и открытый сервер: например, менее вероятно, что вы станете объектом случайного сканирования со стороны скрипт-кидди, и даже, если это произойдет, у вас вряд ли будут доступными какие-либо сетевые службы.Реальный риск возникает именно тогда, когда вы путешествуете от одного клиента к другому. Например, ваш ноутбук может быть украден во время подобного рода поездки или изъят на таможне. Вот почему вы, скорее всего, захотите использовать полное шифрование диска (см. Раздел 4.2.2 «Установка на полностью зашифрованной файловой системе» ) и, возможно, также настроите функцию «nuke» (см. «Добавление пароля Nuke для дополнительной безопасности «): данные, которые вы собрали во время вашей работы, являются конфиденциальными и требуют максимальной защиты.Вам также могут потребоваться правила брандмауэра (см. Раздел 7.4, «Брандмауэр или фильтрация пакетов»), но не для той же цели, что и на сервере. Возможно, вы захотите запретить весь исходящий трафик, кроме трафика, генерируемого вашим VPN-доступом. Это подобно безопасной сети, так что если перестает работать, вы моментально замечаете это (вместо того, чтобы возвращаться к локальному сетевому доступу). Таким образом, вы не разглашаете IP-адреса своих клиентов при просмотре веб-страниц или других сетевых действиях. Кроме того, если вы выполняете локальное внутреннее взаимодействие, лучше всего контролировать свою деятельность, чтобы уменьшить шум, создаваемый в сети, который может предупредить клиента и их системы защиты.
7.3 Защита сетевых служб Kali Linux
Безусловно, отключить службы, которые вы не используете, является отличной идеей. Kali упрощает это, поскольку большинство сетевых служб по умолчанию отключены.Пока службы остаются отключенными, они не представляют угрозы безопасности. Однако вы должны быть осторожны при их включении, потому что:
- По умолчанию у них нет брандмауэра, поэтому, если они прослушивают все сетевые интерфейсы, то они являются довольно доступными для общественности.
- Некоторые службы не имеют учетных данных и позволяют устанавливать их при первом использовании; другие имеют стандартные (и, следовательно, широко известные) учетные данные. Удостоверьтесь, что вы (пере)установили пароль, который известен только вам.
- Многие службы выполняются с правами root и, соответственно, с полными правами администратора, поэтому последствия несанкционированного доступа или нарушения безопасности обычно являются катастрофическими.
Учетные данные по умолчанию
Мы не будем перечислять здесь все инструменты, которые поставляются с учетными данными по умолчанию, вместо этого вы должны проверить файл README.Debian соответствующих пакетов, а также docs.kali.org1 и tools.kali.org, чтобы узнать, нуждается ли служба в специальном обслуживании для обеспечения достаточного уровня безопасности.
Если вы запуститесь в режиме реального времени, пароль учетной записи root будет «toor». Таким образом, вы не должны включать SSH перед изменением пароля учетной записи root или перед тем, как настроить свою конфигурацию для запрета входа на основе пароля.
Также обратите внимание, что, как известно, проект BeEF ((из уже установленного пакета beef-xss) имеет учетные данные по умолчанию: имя пользователя «beef», и пароль «beef»), жестко закодирован в файле конфигурации.
Перейти к содержанию книги Kali Linux Revealed
Это интересно: