Один из самых больших плюсов свободного ПО – это возможность создавать дистрибутив для собственных нужд. Сейчас доступно несколько десятков дистрибутивов, упрощающих работу админа. Выбор среди специализированных дистрибутивов на базе LiveCD действительно огромен, и здесь важно не запутаться и подыскать себе именно тот инструмент, который максимально подойдет под решение твоих задач. У админов очень популярен целый класс дистрибутивов, реализующих функции маршрутизатора и брандмауэра. К свободным ОС многие пользователи приходят именно после знакомства с одной из подобных систем. Но есть и другие решения, с помощью которых просто установить и настроить веб или почтовый сервер, программную АТС на базе Asterisk и т.д. Все они в той или иной мере направлены на решение задач по организации определенного сервиса. Кроме того, существует великое множество дистрибутивов, направленных на обслуживание компьютеров и сетей. Именно о таких решениях и пойдет речь в этой статье. Для удобства разделим их на несколько групп: дистры для работы с жестким диском; для восстановления работоспособности системы и резервирования данных; для тестирования на наличие уязвимостей; для исследования после взлома. Дистрибутивы для работы с жестким диском Проект GParted (GNOME Partition Editor, gparted.sf.net), в рамках которого разрабатывается одноименный редактор дисковых разделов для *nix-систем, предлагает также LiveCD-дистрибутив небольшого размера (чуть больше 90 Мб), построенный на основе Debian. GParted умеет работать с таким большим количеством файловых систем, которое и не снилось популярному PartitionMagic - ext2, ext3, FAT16, FAT32, HFS, HFS+, UFS, JFS, NTFS, ReiserFS, Reiser4, XFS. Помимо этого, дистрибутивом поддерживаются тома LVM2 и FUSE. Графический интерфейс локализован и построен на базе оконного менеджера Fluxbox. Система нетребовательна к ресурсам, для запуска достаточно иметь компьютер с 64 Мб ОЗУ. Доступны версии, позволяющие загружаться не только с CD, но и с USB-устройства. Сетевая PXE-загрузка также возможна. Стартовое меню позволяет выгрузить содержимое диска в ОЗУ и освободить привод. Из дополнительных возможностей стоит отметить наличие программы Partition Image (www.partimage.org), при помощи которой можно создать образ раздела с файловыми системами. Список их аналогичен GParted (правда, UFS, NFS и NTFS пока отмечены как экспериментальные). Есть и TestDisk (www.cgsecurity.org/wiki/TestDisk), позволяющий проверить и восстановить дисковые разделы. Также в комплект входят файловый менеджер Midnight Commander, текстовые редакторы Vim и Nano и некоторые другие утилиты. Единственным минусом GParted Live является отсутствие нормальной поддержки сети, из-за чего, например, возможности того же Partition Image реализованы далеко не полностью. Для создания образов разделов диска существует специальное решение - система клонирования Clonezilla (www.clonezilla.org). Состав приложений - Partition Image, ntfsclone, partclone, dd и udpcast - позволяет клонировать большое количество файловых систем и копировать образ на другой раздел или по сети (Samba, NFS, SSH). Предлагаются две версии дистрибутива: Clonezilla Live и Clonezilla SE (Server Edition). Вторая позволяет не просто копировать разделы, но и клонировать системы. С ней можно легко перенести копию системного раздела на 40 систем (а возможно и больше) всего за 10 минут. Поддерживается загрузка с CD, USB-флешки, жесткого диска и по Сети (PXE). Главный спасатель Для решения внештатных ситуаций, возникающих в процессе повседневной эксплуатации сервера или клиентского компьютера, могут потребоваться различные инструменты. Очень удобно, когда все они собраны в одном месте. Одним из самых популярных «спасательных» дистрибутивов является SystemRescueCD (www.sysresccd.org). Он выполнен в виде LiveCD (возможна установка на флешку). В состав SystemRescueCD входит большое количество утилит, при помощи которых можно восстановить систему после сбоя, подготовить диск для установки новой ОС, протестировать аппаратную часть компьютера, забэкапить данные и многое другое. Основой SystemRescueCD послужил Gentoo. Ядро дистрибутива 2.6.25.16 поддерживает все файловые системы Linux, включая Reiser4, Btrfs (новая файловая система, разрабатываемая при поддержке компании Oracle – своеобразный ответ на ZFS), а также сетевые SMB и NFS. В состав последней версии дистрибутива 1.1.0 включено четыре ядра: основное и альтернативное; каждое в двух вариантах - для работы с 32-битными системами (i486 оптимизация) и 64-битное. Размер образа дистрибутива – 230 Мб, поэтому в комплекте есть все необходимое админу, включая и документацию по работе. Полный список доступных параметров загрузки можно просмотреть, нажав клавиши <F2> – <F7>. Стартовое меню позволяет установить не только ряд настроек (разрешение экрана в framebuffer, загрузка с жесткого диска, USB-устройства и т.д.), но и запустить ряд весьма полезных утилит. Среди них - тест оперативной памяти (memtest), свободный аналог операционной системы DOS - FreeDOS с рядом утилит в комплекте (freedos), загрузчик Graphical Boot Manager (gag), тест для определения оборудования (aida), утилита Darik's Boot and Nuke для уничтожения данных без возможности их дальнейшего восстановления (dban), низкоуровневая утилита для работы с разделами жесткого диска (mhdd). Даже еще не загрузив основную систему, мы уже получаем богатый набор полезных утилит. После загрузки в рутовую консоль выводится таблица основных команд. Начиная с версии 0.3, в SystemRescueCD появился X-сервер с оконным менеджером WindowMaker, загрузить который можно, введя «startx». В системе насчитывается несколько сотен утилит, и в большинстве случаев для решения одной задачи предлагается несколько инструментов. Например, fdisk, GNU/Parted, GParted для работы с разделами жесткого диска и полный набор консольных утилит, предназначенных для работы со всеми типами разделов: e2fsprogs, reiserfsprogs, reiser4progs, xfsprogs, jfsutils, ntfstools (ntfsresize, ntfsclone и прочие), dosfstools, sfdisk. Они позволяют их форматировать, изменять размер, переопределять. Есть пакет mtools, предназначенный для работы с DOS-файлами. Поддержка Сети позволяет на полную реализовать возможности клиент-серверной архитектуры PartImage (оба входят в комплект). Кроме gag, в состав дистрибутива включены загрузчики GRUB и LILO. Это позволяет использовать SystemRescueCD для их восстановления, например, в том случае, когда загрузчик затерт во время установки Windows. Для удобного перемещения по каталогам – в наличии файловый менеджер Midnight Commander. Имеется несколько редакторов текста: vim, elvis, nano, joe, qemacs и графический Leafpad. Приложения и утилиты, входящие в состав SystemRescueCD, можно перечислять еще долго. Есть здесь и популярные архиваторы (gzip, bzip, rar, tar и другие), программы для записи CD/DVD (cdrecord, dvd-rw-tools, cdrtools, mkisoft). Кроме параноидального dban, доступного при загрузке, найдутся и другие утилиты, чтобы стереть информацию без следа - shred, wipe. А с помощью антивируса ClamAV можно проверить жесткий диск на наличие вирусов (обновление баз производится при помощи freshclam). Ни один современный дистрибутив нельзя представить без функций работы с Сетью. В отличие от GParted, в комплекте SystemRescueCD есть утилиты для работы с Samba, ftp-клиент, сервер и клиент SSH, VNC-сервер. Из сетевых приложений стоит отметить наличие консольных веб-браузеров lynx, elinks и графического Bon Echo (альфа Firefox 2.0.0.16), популярного сканера Nmap, многофункциональной сетевой утилиты netcat и nslookup для DNS-запросов. Пен-тестинг с BackTrack LiveCD взяли на вооружение и специалисты по безопасности. В результате, за короткий срок появилось около десятка решений с явно хакерским уклоном. С ними можно протестировать системы и сети на наличие уязвимостей. Пик их развития пришелся на 2003-2005 годы, и, к сожалению, часть популярных тогда проектов сейчас не развивается. Швейцарский BackTrack (www.remote-exploit.org) возник в 2004 году в процессе слияния двух дистрибутивов: Auditor Security Linux и WHAX (раннее Whoppix), задачи которых совпадали. Целью проекта Auditor Security «The Swiss Army Knife for security assessments» было всестороннее тестирование Linux-систем, – он содержал более 300 утилит для выявления и устранения проблем в сетевых и системных настройках. Разработки WHAX (White Hat + SLAX) были сосредоточены на тестировании на проникновение (penetration test). Основным направлением развития было выбрано обеспечение максимальной поддержки оборудования и реализация большей модульности для упрощения поддержки и обновления системы. В последней версии — final3, выпущенной в июне 2008 года – большинство приложений строятся как отдельные модули. Основан BackTrack на Slackware 12.0 и наборе скриптов проекта SLAX (www.slax.org). В качестве графической оболочки предложены KDE 3.5.7 и Fluxbox. Распространяется в виде LiveCD. Есть расширенный вариант для использования на USB-флешках и файл для VMware. Возможна установка на жесткий диск. Загрузочное меню предлагает несколько вариантов – KDE (по умолчанию), Fluxbox, KDE в ОЗУ, VESA-режим, без сети и несколько текстовых режимов. Сама загрузка в LiveCD происходит очень быстро, даже при выборе KDE в качестве рабочей среды. В процессе будут найдены и автоматически настроены все устройства, в том числе, сетевые карты (DHCP) и WiFi. Все операции производятся от имени пользователя root, поэтому будь осторожен в работе. Отдельно отмечу стильный вид рабочего стола и продуманность меню. В сжатом архиве находится около 2.7 Гб данных, но запутаться в приложениях невозможно. Все находится на своих местах и везде, где необходимо, выводятся подсказки. В меню BackTrack находим несколько сотен специальных программ, разбитых на 11 основных групп. Среди них: сетевые сканеры, анализаторы протоколов и снифферы, эксплоиты (SecurityFocus, PacketStorm, Metaspl0it Framework 2/3 и др.), брутфорсеры, утилиты для работы с прокси, Cisco-инструментарий, утилиты для анализа беспроводных сетей, VoIP-сервисов, реверс инжиниринга и т.д. К примеру, в меню «VoIP & Telephony Analysis» я насчитал 32 ссылки. В качестве бонуса предложен вполне приличный пользовательский набор (мультимедиа, программы для работы с графикой, текстовые редакторы, интернет-приложения и т.д.). Отсутствуют лишь привычные в юзерских дистрах категории - Office и Games. Все это позволяет использовать BackTrack как обычную систему. В комплекте поставляется утилита slapt-get, а недостающие пакеты можно брать из слаки (хотя slapt-get из коробки не работает, перед использованием ее следует настроить). В меню находятся ссылки на документацию связанных проектов, что поможет быстро освоиться с работой неизвестных программ. За советами обращайся на форум и Wiki проекта (forums.remote-exploit.org, wiki.remote-exploit.org). Установка BackTrack на USB-флешку и Asus Eee PC Для установки BackTrack на USB-флэшку или Asus Eee PC можно использовать LiveCD, но лучше взять специальный вариант BackTrack 3 USB version (размер 783 Мб). Размер флешки должен быть не менее 1 Гб (для Asus Eee PC нужна SD-карта), файловая система - FAT32. Распаковываем скачанный ISO-образ. В Windows можно использовать WinRAR или специальную утилиту вроде UltraISO, ISOBuster. В *nix просто монтируем исошку во временный каталог: # mount -o loop -t iso9660 bt3-final.iso /mnt/iso Копируем на флешку находящиеся внутри каталоги bt3 и boot. Далее сделаем съемный носитель загрузочным. Для этого запускаем находящийся в каталоге bt3 скрипт bootinst.bat (в Windows) или bootinst.sh (*nix). Как вариант, самостоятельно вводим нужную команду: # boot/syslinux/syslinux -d boot/syslinux /dev/sdd Или в Windows: K:\boot\syslinux\syslinux.exe -ma -d \boot\syslinux K: Где /dev/sdd и K: - название диска. Для Asus Eee PC необходимо еще подправить файл boot/syslinux/syslinux.cfg, прописав после строки «APPEND vga=0x317 initrd=/boot/initrd.gz …» строчку (во время загрузки системы SD будет /dev/sda) «changes=/dev/sda2». Проникающее тестирование с nUbuntu Среди многочисленных клонов дистрибутива Ubuntu есть интересный проект nUbuntu (Network Ubuntu, www.nubuntu.org), содержащий внушительное количество инструментов для тестирования сетей и серверов на проникновение. В качестве рабочего стола выбран оконный менеджер Fluxbox. Примечательно, что сохранена возможность установки на жесткий диск и совместимость с репозитарием Ubuntu, а значит, он может быть хорошей основой для установки на десктоп продвинутого пользователя. Несмотря на то, что последние релизы идут с приставкой Alpha, это стабильная и полностью готовая к работе система. Ищем след с DEFT Согласно статистике, более 60% компьютеров в Сети заражены вирусами или находятся под контролем хакеров, которые используют их для своих целей. Чтобы разобраться с проблемой, собрать доказательства, которые, возможно, помогут поймать того, кто это сделал, существуют специальные инструменты и дистрибутивы. Одним из таких решений является DEFT Linux (www.deftlinux.net). Название произошло от акронима «Digital Evidence & Forensic Toolkit». Возник этот дистрибутив усилиями группы специалистов, занимающихся расследованием компьютерных преступлений. Первая версия DEFT v1 вышла в свет в 2006 году и базировалась на Kubuntu 6.10. Сегодня доступна четвертая версия. В ней в качестве основы выбран Xubuntu 8.10 с рабочим столом XFce. Выбор дистрибутива гарантирует совместимость с тем оборудованием, которое поддерживается семейством Ubuntu. Процесс загрузки DEFT мало отличается от Ubuntu, но есть свои особенности. Так, разделы жестких дисков и прочих носителей автоматически не монтируются. Специфика дистрибутива такова, что все операции исследователь производит вручную, тщательно контролируя каждый шаг. Поэтому вставленная в рабочей системе флешка не подхватывается. Графический интерфейс по умолчанию также не запускается. Чтобы увидеть XFce, набери в консоли «deft-gui». В рабочей среде первое, что бросается в глаза, - это наличие большого количества значков на рабочем столе, предназначенных для запуска специфических приложений, и отсутствие привычного в Ubuntu ярлыка для установки на жесткий диск. Впрочем, это вполне логично и ожидаемо, ведь в подобных решениях выполнять запись на жесткий диск нужно крайне осторожно. Достаточно изменить время обращения к файлу, – и данные нельзя затем будет использовать в доказательствах. В первую очередь отметим в дистрибутиве популярные OpenSource-решения, используемые для сбора данных на скомпрометированной системе, - коллекция утилит Sleuth Kit (TSK) и графическая оболочка к ним Autopsy (Autopsy Forensic Browser). Ранее для хранения образов диска исследователи использовали RAW-образ диска, созданный при помощи dd или ее аналога dd_rescue. Размер такого образа совпадал с исходным и, соответственно, требовал много места для хранения. Часто терялись важные метаданные. Поэтому для хранения образов дисков был создан специальный открытый и расширяемый формат AFF (Advanced Forensics Format). Библиотеки для поддержки его основными утилитами также имеются в дистрибутиве. В комплект входят программы практически по всем направлениям, которые могут понадобиться исследователю. Для работы с жестким диском и проверки его состояния – Gpart, parted и интерфейсы Gparted и QTparted, TestDisk. Для восстановления файлов по их заголовкам и структуре включена консольная утилита Foremost. Определить тип файла можно при помощи trID. Имеются утилиты для поиска скрытой информации внутри файлов-контейнеров - Steg detect и набор OutGuess. Приложения для работы с hex-данными - hex dump и KHex. Разработчики предусмотрели возможность восстановить/подобрать пароль при помощи Ophcrack и John the Ripper. Есть программы и для поиска вирусов и руткитов – ClamAV, chrootkit, rkhunter. Полностью поддерживается работа по Сети. Для этого в состав DEFT включены Samba, OpenSSH сервер, RDesktop. Кроме них, в меню Network мы найдем незаменимые для каждого админа программы - Nessus, Nmap, FireShark, Ettercap, Kismet и AirSnort.