Трафик е количеството данни (информация), която бива изпратена от сървъра до компютъра на посетителите. Всеки текст, изображение, уеб-страница и всичките данни, които се показват в техния браузър бива трансфериран до техния компютър.

Кражбата на трафик (или hotlinking) е когато, някой друг използва директни връзки до изображение (или нещо друго) от вашия сайт, вместо да го изтегли и да го качи на неговия сървър.

Това може да не изглежда като сериозен проблем, но в някои случаи може да стане голям проблем. Представете си едно изображение и още 100 други сайта, кодирали в техните страници изображението от вашия сървър. Ако това е само вашият сървър – тогава трафикът би бил доста по-малък. Но сега, когато стотици пренасочват трафика към вашия сървър за това изображение, количеството трафик ще скочи до тавана. Макар това да няма директно отражение на вашата страница, сървърът, на който тя е качена ще трябва да се справи с доста голямо количество заявки само за едно изображение. В много случаи това ще се отрази и на вашата сметка за хостинг, тъй като надвишеният трафик на месец се заплаща при повечето фирми предлагащи хостинг услуги.

Решението, което ще видите в тази статия няма да предотврати свалянето на изображения от вашата страница, но ще забрани използването на връзки към файлове от вашия сървър на други страници.

Използвайки htaccess, можете да направите така, че изображението да изглежда повредено на чуждите сайтове (404 не е намерено) или можете да използвате изображение подобно на това в статията.

След като сте сигурни, че вашият сървър поддържа mod_rewrite ще е добре да подредите малко изображенията така, че те да бъдат в една директория.

Създайте .htaccess файл и го поставете в директорията с изображенията, които искате да защитите срещу hotlinking. Съдържанието на файла изглежда така:

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www\.)?mydomain.com/.*$ [NC]
RewriteRule \.(gif|jpg)$ - [F]

Заменете mydomain.com с вашия домейн. Този запис ще се погрижи за всички GIF и JPG изображения. Можете да добавите и защита за още формати и типове файлове. По този начин на другите страници ще излиза съобщение за липсващ файл.

За да добавите заместващо изображение, с което да покажете на посетителите на чуждия сайт, че изображенията които използват не са правилно използвани (нещо, което доста страници прилагат като метод) е да промените последния ред от файла така, че да изглежда така:

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www\.)?mydomain.com/.*$ [NC]
RewriteRule \.(gif|jpg)$ http://www.mydomain.com/badimage.gif [R,L]

Както преди заменете mydomain.com с домейна на вашия сайт, както и редактирайте пътя до изображението което да бъде използвано.

Текстът за тази статия е преведен и редактиран използвайки оригинала от: http://www.htmlite.com/HTA013.php

Онези, които искат да изпращат файлове напълно незабележимо, могат да прибегнат до стеганографията. По този начин могат да се скрият секретни данни във формата на безопасни снимки или в песни. Голямото предимство: Изпращането на снимки и музика не предизвиква любопитството и по този начин е доста сигурно.

Изображението е взето от http://prismakhas.com/

Какво може Steghide

Steghide скрива файлове в изображения и музикални файлове. Тъй като Steghide не променя цветовете на изображенията, нито и честотата на аудио файловете, данните се скрити от случайните наблюдатели или слушатели. Steghide скрива данните в изображения с формат JPEG и BMP. За аудио файлове могат да се използват WAV и AU форматите. Към последните принадлежат и MP3-файлове. В тези формати могат да бъдат скрити всички други файлови формати. Така можете да скриете текст в изображение или аудио файл в изображение. Възможни са различни комбинации. Интересното на този метод за скриване на информация е, че случаен наблюдател не би могъл да разпознае, че в едно изображение са скрити други файлове. На един граничар в страна с тоталитарен режим бихте могли да му просвирите песен, без той да разбере, че в нея се крият текстове с критики към съответния режим или политика. Дори при просто наблюдение на компютъра не се забелязват манипулациите. Така вашите тайни файлове не предизвикват никакъв интерес.

Компресиране, криптиране и Co.

Ако имате да скривате файлове, които са особено обемисти, Steghide ви предлага възможност да ги компресирате. Някога количеството данни, които трябва да бъдат скрити става твърде голямо. Ако компресирането не помага, имате възможността данните да бъдат разпределени на повече файлове. В случай, че някой открие за скритите данни във файловете, steghide ви предлага възможността да криптирате скритата информация. Steghide може дори да скрие и вече криптирани файлове. Особено зли „врагове“ успяват не само да открият скритите данни и да ги декриптират, но и прочитат тяхното съдържание без да разберете, че някой е разбрал за вашата тайна. За такива ситуации steghide има вградена функцията, която се нарича „интегрирани контролни суми“. Създавате от скрития файл в комбинация с фйала носител една така наречена контролна сума. По този начин се изчислява една сума, която се пресмята от отделните битове на двата файла. Тя е единствена и остава такава, докато файлът не бъде променен. Ако някой промени файла – дори само един знак, то контролната сума се променя напълно и не съответства на първоначалната създадена. Все пак понякога е достатъчно да промените една буква в изречение, за да се промени целия смисъл. Човек не трябва да забравя, че този метод за скриване на файлове не е гаранция за абсолютна сигурност. Въпреки това стеганографията предлага високо ниво на сигурност, когато някои иска или трябва да скрива файлове.

Инсталиране и използване

Това описание е написано за инсталацията и използването на steghide под Debian, Ubuntu и други Debian-базирани дистрибуции.

Инсталация

Инсталирането на steghide под Debian базирани дистрибуции става по познатия начин. Можете да използвате пакетния мениджър System -> Administration -> Synaptic Package Manager или през терминала с командата:

sudo apt-get install steghide

Скриване на файлове със Steghide

След като сте инсталирали steghide, можете да стартирате в терминала, за да скривате файлове в музика и снимки. Това функционира с няколко команди, които могат да се използват бързо и удобно. Как точно ще видите в следващите примери.

Основното устройство на командата, с което ще използвате steghide изглежда така:

steghide [команда] [аргументи]

Парола за извличане на скрития файл е test

Командата за скриване на на файлове е „embed“. След което трябва да посочите кой файл ще се използва за носител, и кой трябва да бъде скрит. Носителят посочвате с -cf за „cover file“ – покриващият файл. С опцията -ef определяте файла, който трябва да бъде скрит. Съкращението стои за „embed file“. Командата:

steghide embed -cf picture.jpg -ef secretdocument.odt

ще скрие файла „secretdocument.odt“ в изображението „picture.jpg“.
В този случай и двата файла се намират в една и съща директория. Разбира се това не е задължително, но ще трябва да посочите пълния път до файловете. След подаването на командата, ще трябва да въведете парола, след което да я потвърдите. Имейте предвид, че размерът на файла носител определя и количеството информация, която може да бъде скрита в него.

Извличаненето на файловете, какво вероятно сте предположили става с командата „extract“, при което трябва да посочите само пътя до файла, съдържащ скрития файл. За да посочите файла трябва да използвате опцията -sf („Stegfile“):

steghide extract -sf picture.jpg

При стартирането на командата, ще трябва да въведете паролата с която е бил скрит файла. За примера съм добавил логото на BulTux.org, което съдържа скрито съобщение. Паролата за разкодирането му е „test“.

Както споменах в началото можете да използвате и криптиране, за да подсигурите допълнително информацията, която скривате. За тази цел се използва опцията -e („encryption“), след което трябва да посочите типа криптиране, който да бъде използван. За примера командата би изглеждала така:

steghide embed -e rijndael-128 -cf picture.jpg -ef secretdocument.odt

В този случай използваме криптиране rijndael-128, което на някои по-запознати може да им бъде познато като AES. Steghide предлага доста други алгоритми за криптиране. За за получите информация за поддържаните алгоритми можете да стартирате steghide със следната команда:

steghide encinfo

Ако файловете, които искате да скриете са твърде големи, можете да изпозлвате и компресиране. Използвайки опцията -z (1..9). Където цифрите от 1 до 9 определят нивото на компресиране, където 1 е най-ниско, а 9 най-високо. Разбира се можете да комбинирате компресиране с криптиране:

steghide embed -z 1 -e rijndael-128 -cf picture.jpg -ef secretdocument.odt

Тук скриването става с най-ниско ниво на компресиране и алгоритъм за криптиране AES.

За по-сигурни пароли под Linux можете да използвате приложението pwgen, или да погледнете статията за сигурността на вашите пароли и да използвате предложеният там скрипт.

Съвсем наскоро попаднах на един инструмент, който определено реши, някои мои проблеми, с използването на два компютъра едновременно. В момента домашната ми мрежа се състои от два работни компютъра – лаптоп + десктоп и тъй като и двата са настроени за различна работа и съответно имат различен набор от инсталирани програми, често ми се налага да се прехвърлям от единия на другия. Макар и двете машини да са една до друга обаче, разликата в клавиатурите и мишките (на лаптопа използвам touch pad-а) е доста неприятна и съответно губя известно време, докато свикна. Ако и вие имате подобна конфигурация, или пък имате до 4 компютъра един до друг и искате да използвате една клавиатура и една мишка за двата, то в такъв случай комбинацията от Synergy и Quicksynergy е подходящото решение за вас.

Домашната конфигурация

Решението стана по следния начин:

Инсталирането на Synergy

Инсталиране под Linux

Инсталиране под Windows

Конфигуриране на връзка Linux – Linux

За да конфигурирате връзката трябва да изберете, кой компютър ще бъде сървър – т.е. от кой компютър ще се използват мишката и клавиатурата. В моят случай това е десктоп машината vladi-desktop и към нея ще се свърже vladi-laptop.

След като вече компютъра и лаптопа са в мрежа остава и при двата да стартираме QuickSynergy. Тъй като vladi-desktop ще бъде сървъра трябва да оставим нещата на първия таб (Share). В него трябва да зададем само името на компютъра в зависимост на това, от коя страна се намира на сървъра. В моя случай vladi-laptop се намира отляво, съответно замествам Left с vladi-laptop. Това е и цялата конфигурация за сървъра – натискаме Execute, за да го стартираме.

Конфигуриране на връзка Linux – Windows

Това е може би по-интересния и по-ползотворен вариант. Случва мис е на моменти да ми трябват и двете операционни системи, и тъй като на десктоп-а съм инсталирал като втора операционна система Windows със Synergy нещата стават доста удобни и приятни при работа. Можете сами да си измислите случай в който подобна конфигурация ви би била от полза. При конфигурацията на Windows като сървър има доста различия и е не е толкова лесна, колкото под Linux. Все пак след малко главоблъсканица и нарочно отказване да прочета упътването нещата се получиха и бяха някак логични:

Като заключение мога да добавя само, че Synergy е един страхотен инструмент за хора, ползващи повече от един компютър и ако изключиме малко обърканата конфигурация в Windows версията, то програмата е изкличително лесна за ползване и за минути може да бъде настроена дори за повече от 2 компютъра.

Полезни връзки:

• Sinerji – Графичен интерфейс използващ PythonKDE/Qt и доста лесен за конфигурация. Работи под Linux.

• http://synergy-foss.org/ – Официална страница на проекта Synergy
• QSynergy – Друг графичен интерфейс използващ библиотеката Qt. Работи под Windows, Linux, MacOS.

Некриптираните писма могат да бъдат прихванати и прочетени с лекота. Редно е да се предпазвате от това. За щастие при повечето Linux дистрибуции криптирането на вашия E-Mail се настройва изключително лесно.

Против кражбата и манипулацията на данни може да ви помогне само добър софтуер за криптиране като GnuPG. Причината GnuPG да е толкова сигурен – GnuPG е свободен софтуер и е лицензиран под GPL лиценз. Изходния код на софтуера е отворен и може лесно да бъде проверяван за грешки. GnuPG съществува от 1999 година с версия 1.0 за Unix-съвместими операционни системи; програмата е предварително инсталирана с Ubuntu. GnuPG работи с така наречения метод за публичен ключ, при който потребителя създава един личен и един публичен ключ. С помощта на публичния ключ получателите могат да сравняват съобщенията директно от подателя. За целта с ключа можете да се сдобиете директно от изпращача или като го свалите от публичен сървър за подобни ключове.

GnuPG не е съвместим с познатия PGP версия 5.x, но с версия 2.x. Това се дължи на факта, че в последните версии на PGP се ползва патентован алгоритъм за криптиране, който не може да бъде ползван в приложения с отворен код.

Генериране на ключова двойка в GnuPG

За GnuPG се нуждаете от ключова двойка за криптиране, декриптиране и подписване. Такава можете да създадете в терминала. За целта отворете терминала и въведете следната команда:

gpg --gen-key

С тази команда ще създадете един обществен и един личен ключ. Първо програмата ще ви попита кой ключ искате да създадете. Изберете първата опция по подразбиране: RSA and RSA. Други двойки като RSA и Elgmal създават проблеми при работата с Evolution.

Следва да определите големината на ключа. Един RSA-ключ може да бъде между 1024 и 4096 Bit-а дълъг. Предложената по подразбиране големина от 2048 е един добър компромис. Ключът е достатъчно голям, за да не може да бъде разбит и толкова малък, така че криптирането и декриптирането да не отнема прекалено много време. Имайте обаче предвид, че веднъж избрана големината на ключа, не може да бъде променяна по-късно.

След избора на големината следва да изберете валидността на ключа. Първата опция 0 („Ключът не изтича никога“) е достатъчна в повечето случаи, и има предимството, че няма да се налага да изпращате нов ключ на своите кореспонденти. Тайни агенти (като James Bond 007) и други държащи на своята анонимност може би трябва да изберат време за изтичане на техния ключ: Ако зададете някакво число, толкова дни ще бъде валиден вашият ключ. Ако към числото добавите буквата „w“ – толкова седмици, буквата „m“ – месеци и „y“ за години. Въведеното от вас трябва да бъде потвърдено още веднъж.

Остава да добавите информация за потребителя (т.е. Вас). Тази информация GnuPG сформира от вашите имена, коментар при желание и вашият E-Mail адрес. Първо трябва да зададете вашите имена, след натискане на [Enter] вашият E-Mail и в третата стъпка коментар. Ако всичко е вярно потвърдете с „f“ и [Enter].

След това следва момента, в който трябва да изберете Passphrase, кодова фраза (наречена още Mantra). За потвърждение въведете паролата повторно. Изречението/фразата трябва да е достатъчно трудно, така че трети да не могат да се сетят или да достигнат до него. Естествено не трябва и да е някакъв роман, тъй като ще трябва да го запомните – ще ви трябва всеки път, когато искате достъп до своя ключ.

Имайте предвид, че вашата Mantra е единствената защита срещу разшифроване, ако някой получи достъп до вашия личен ключ. Не използвайте думи от речници. Използвайте не само азбуката, но и цифри и пунктуационни знаци. Малък съвет: Ако вмъкнете и няколко правописни грешки атаката чрез списък от речникови думи ще стане невъзможен.

След въвеждане на кодовата фраза, започва генерирането на пръстовия отпечатък и ключовете. За целта GnuPG се нуждае от огромно количество произволни стойности. Създаването на тези произволни стойности можете да подпомогнете и ускорите като отворите втори терминал и изпълните команда като ls -lR /, която ще върне достатъчно количество данни. След известно време ключовата двойка е готова.

GnuPG и Evolution

След като сте създали своята ключова двойка можете да я използвате директно в Evolution. За целта отворете настройките на акаунтите (Edit -> Preferences -> Mail Accounts), изберете своя акаунт и изберете бутона Edit. След като се отвори прозореца с настройки навигирайте до таб Security. В полето PGP/GPG Key ID: въведете осем символното ID на вашия публичен ключ. Можете да го намерите в изхода от терминала на реда започващ с „pub“ и е след наклонената черта. В случай, че вече сте затворили своя терминал, стартирайте го отново и въведете командата gpg --list-public-keys Така ще ви бъдат показани всичките ви публични ключове. При желание можете да включите или изключите някои от останалите опции в прозореца за настройка на вашия акаунт и накрая потвърдете с OK.

От този момент вие можете да изпращате подписани писма. За тази цел при създаването в прозореца с редактора изберете менюто Security и от там PGP/GPG Sign. За да криптирате писмото си с опцията „PGP/GPG Encrypt“ се нуждаете от публичния ключ на получателя. Когато изберете бутона Send, за да изпратите писмото ще бъдете попитани за Passphrase, която зададохте при създаването на ключа.

За да може получателя да прочете вашето писмо трябва да има вашият публичен ключ. Можете да му го изпратите като прикачен файл в писмо, да го качите на публичен сървър за ключове или да го насочите към вашата лична страница, където сте го публикували.

Ако използвате Thunderbird ще трябва да инсталирате добавката Enigmail. При Claws Mail опцията е включена в инсталацията по подразбиране. Под Windows можете да изтеглите пакета за GPG заедно с ClawsMail, където единственото, което трябва да направите е да генерирате ключ и всичко ще работи от само себе си

Размяна на ключове

За да може друг да ви изпраща криптирани писма, той ще се нуждае от вашият публичен ключ. По този начин писмото се криптира така, че само вие да можете да го прочетете, тъй като сте единственият притежател на личния ви ключ. Същото важи, както вече разбрахте, когато изпращате писмо до друг – трябва да разполагате с публичния ключ на получателя.

Ако искате да изпратите публичния си ключ на ваш кореспондент, трябва да извлечете връзката с ключове. За целта трябва да отворите терминал и да изпълните командата:

gpg --ouput FILENAME --export USER-ID

или

gpg --armor –ouput FILENAME --export USER_ID

В първият случай създаденият файл в бинарен формат. Във втория файлът е в ASCII формат и можете много лесно да го добавите във вашето писмо или да го публикувате на вашата web страница.

Когато сте получили връзката с ключове от друг, можете да добавите чуждия ключ към вашата връзка със следната команда:

gpg --import FILENAME

Командата:

gpg --list-keys

ще ви покаже дали ключът е бил успешно вмъкнат или не. Накрая имате възможността да проверите пръстовия отпечатък на на ключа и да го подпишете с вашият собствен ключ. Ако това се случи на сървър за ключове (Keyserver) така всеки ще знае, че сте се доверили на този ключ. Ако някой има доверие на вас, така може да има доверие и на трети ключове. Този принцип се нарича още „Web of trust“ (Мрежа на доверието) и е основополагащ в отворената криптографична система GnuPG.

Използване на сървър за ключове

С вашият ключ можете да комуникирате по различни начини. Можете да го дадете на малко комуникационни партньори лично по E-Mail или на дискета, или го публикувате на вашата лична интернет страница, или го публикувате на сървър за ключове (на пример http://keyserver.ubuntu.com/). Последното има смисъл, когато сте член на пощенски списък, където всички подписват писмата. По този начин всеки може да се сдобие с вашият публичен ключ и не е необходимо на всеки да го изпращате лично. По този начин започва и за вас да функционира принципа Web of trust. За да изпратите своя ключ до подобен сървър е достатъчно да изпълните командата:

gpg --keyserver KEYSERVER --send-key USER_ID

Големите сървъри за ключове се синхронизират взаимно, така че ключа ви ще бъде записват в популярните сървъри и няма да има нужда да се притеснявате дали ключа ви ще бъде намерен.

Съществуват много причини за архивиране: събрани и архивирани файлове спестяват място на твърдия диск и трафик при изпращането им през интернет. Под Linux има както графични приложения (както File Roller под GNOME или Ark под KDE), така и такива работещи в терминала, които поддържат архивирането и разархивирането на различните типове формати. Тази статия ще ви представи конзолните приложения и как да работите с тях (команди, параметри), за да “опаковате” и “разопаковате” различни архиви.

Добре gzip-нат

Програмата Gzip (GNU Zip) и стандартния “опаковчик” под Linux. Gzip архивира обикновени файлове; инструмента не може да архивира цели директории. Най-обикновеното извикване на инструмента е:
gzip файл1
По този начин от файл1 създава файла файл1.gz. Gzip заменя оригиналния файл с едно неговия компресиран вариант с окончания .gz. Особеностите на файла като права, дата на създаване и редакция остават запазени в пакета. Ако не ви харесва окончанието на файла, можете да го промените с параметъра -S (Suffix). Ето и как ще изглежда командата:

gzip -S .z снимка.bmp

Резултата ще бъде снимка.bmp.z
Големината на създадените архиви зависи най-вече от разпределението на информацията в оригиналните файлове. В случай, че във файла има много повтарящи се части, то тогава този файл ще бъде доста добре архивиран. Архивирането на вече компресирани файлове като MP3 или JPG, няма да доведе до особен резултат. За пример ще покажа разликата между два файла .bmp и .jpg:

>$ ls -l
total 1320
-rw-r--r-- 1 vladi vladi 1254214 2010-04-20 14:58 zhbackground.bmp
-rw------- 1 vladi vladi   82261 2010-04-20 14:59 zhbackground.jpg
$ ls -l
total 1000
-rw-r--r-- 1 vladi vladi 928469 2010-04-20 14:58 zhbackground.bmp.gz
-rw------- 1 vladi vladi  82151 2010-04-20 14:59 zhbackground.jpg.gz

Освен това можете да повлиаете големината на файла с фактора на компресиране от 1 до 9, където gzip -1 компресира файла сравнително по-бързо в сравнение с gzip -9, но скоростта е за сметка на качеството. Стандартната стойност за gzip е -6. Ако желаете да промените стойността по подразбиране ще трябва да добавите следния ред във файла ~/.bashrc – export GZIP="9".
За да разархивирате вече архивиран файл можете да използвате инструмента gunzip или gzip -d. В случай, че в директорията съществува файл със същото име, приложението ще ви попита дали искате да презапишете съществуващия файл:

$ gunzip zhbackground.jpg.gz
gzip: zhbackground.jpg already exists; do you wish to overwrite (y or n)?

Ако в този момент отговорите с [N], Gzip ще прекъсне процеса и файла няма да бъде разархивиран. Ако намирате въпроса за сигурност ненужен, можете да включите параметъра -f (от английски “force” = “наложително/насилствено”). Този параметър има и друг ефект: Gzip по подразбиране отказва да архивира(компресира) символични връзки (Symlink) на файла. Ако използвате параметъра -f върху символична връзка ще бъде архивиран файла, към който сочи връзката и ще зададе като име на архива името на символичната връзка. При “разопаковането”, обаче, ще получите като резултат нормален файл, а не връзка.
Не се налага разархивирането на архивирани файлове, на пример HOWTO файловете от /usr/share/doc/, за да ги чете с приложения като less или more. Става по-бързо когато към gzip добавите параметъра -c (пиши в stdout) и свържете изхода на командата с четящото приложение, за да е по-ясно командата изглежда така:

gzip -dc /usr/share/doc/iptables/README.Debian.gz | less

Горния пример можете да бъде съкратен изключително много ако използвате zless файл.gz. Зад тази команда стои един малък скрипт, който реално прави почти същото, както горната по-дълга команда. Аналогично на zless съществуват и други модификации на Linux инструменти като zcat и zgrep.

По-бърз и по-добър: bzip2

Програмата Bzip2 използва друг алгоритъм за компресиране и по този начин архивира обикновените файлове значително по-добре, както можете да видите от примера:

$ ls -l
total 3032
-rw-r--r-- 1 vladi vladi 1254214 2010-04-20 15:22 zhbackground.bmp
-rw-r--r-- 1 vladi vladi  812743 2010-04-20 15:23 zhbackground.bmp.bz2
-rw-r--r-- 1 vladi vladi  928469 2010-04-20 15:22 zhbackground.bmp.gz

Освен това bzip2 разполага с така наречения Rcovery-режим: при компресиране, инструмента разлага файла на отделни блокове. Ако даден файл е повреден, имате възможността все още да възстановите съдържанието му от здравите блокове – за целта разполагате с инструмента bzip2recover, с който можете да разархивирате неповредените данни от файла.
Ако оставим на страна някои малки различия, използването на bzip2 са почти същите, както при Gzip. И тук за най-обикновено компресиране е достатъчно да извикате командата bzip2 file. Компресирания файл получава окончанието .bz2 и както при Gzip компресираният файл получава същите свойства, както и изходния файл. За разлика от Gzip, инструмента Bzip2 приема и параметъра -k (от английски “keep” = “запази”), с който създава резервно копие на файла след като същия бъде компресиран (архивиран).
Същото можете да постигнете с Gzip, но този път трябва да насочите изхода на командата да бъде записан в друг файл използвайки символа “>”, който посочва къде да бъде записан изхода от предната команда:

gzip -c файл > файл.gz

За съжаление по този начин компресирания файл не приема свойствата на изходния (напомням става дума за права върху файла, дата на създаване и промяна).
Както и при Gzip разполагате с параметрите -1 до -9 (стандартно) и в Bzip2, с които да окажете фактора на компресиране. Ако искате да промените стойността по подразбиране – става по същия начин, както и с Gzip – във файла ~/.bashrc добавяте реда export BZIP2="-6".
За разархивиране с Bzip2 добавяте параметъра -d или използвате специалната команда bunzip2, както и при Gzip има предпазване от презаписване на файлове, с тази разлика, че приложението не ви пита какво да направи:

$ bunzip2 zhbackground.bmp.bz2

bunzip2: Output file zhbackground.bmp already exists.

За да преодолеете защитата можете да използвате параметъра -f.

Още по-добре

Въпреки, че gzip и bzip2 са стандарти в Linux, съществуват и доста наследници като lzma, p7zip и xz, които от части са по-бързи или използват по-добри алгоритми за компресиране. Някои дистрибуции (като Slax) използват lzma за компресирането на софтуерни пакети, за да позволят добавянето на повече приложения в живия диск или да намалят времето за изтегляне от интернет.

И сега в архива

За да съберете повече файлове в даден архив използвате командата Tar. Името на програмата (от английски "tape archiver"), дава информация за произхода на приложението: tar се е използвал за контрола на лентови архиви. Tar дава малко повече от това просто да събира файлове в един архив. С добавянето на определени параметри можете да комбинирате работата му с приложенията gzip или bzip2 и по този начин получавате файлове с разширения tar.gz или tar.bz2.
За да съберте няколко файла в един архив като използвате командата:

tar -cvf архив.tar файл1 файл2

Трите параметъра -c, -v, -f, които използваме в горния пример се грижат за това - tar да създаде (-c = create), покаже какво се случва (-v = verbose) и да приеме като първи аргумент (-f = file) името на архива, който ще създаде.
Ако по-късно установите, че сте забравили някой файл, не е необходимо да създавате нов архив, а просто да добавите забравения файл:

tar -rf архив.tar файл3

Също толква лесно е и разопаковането с параметъра -x:

tar -xvf архив.tar

За да сме сигурни, че при разархивирането Tar няма да презапише вече съществуващи файлове със същото име, можем да разархивираме архива във временна поддиректория или да накараме tar да работи в сух режим (да симулира разархивирането), като за последното заменяме параметъра -x с -t.
За да архивирате директории с техните поддиректории и файлове е нужно да зададем само името на директорията вместо отделните файлове:

>$ tar -cvf архив.tar test/
test/
test/test2/
test/test2/zhbackground.jpg
test/test2/testfile3.txt
test/testfile.txt
test/testfile2.txt

Ако искате да използвате Tar за създаването на backup, може да бъде доста полезно ако не желаете да добавяте определени директории. За целта помага параметъра --exclude. Освен това полезно би било при създаването на подобни копия да използваме и параметъра --rsh-command, като по този начин казваме на Tar че искате нашето копие да бъде копирано чрез SSH на друг компютър. Един доста пълен пример би изглеждал така:

tar -cvf user@host:/backup/tmp/backup_$(date '+%Y_%m_%d').tar --rsh-command=/usr/bin/ssh --exclude=/proc /

Разшифрована сравнително дългата команда означава следното: Създай чрез SSH на компютъра host в директорията /backup/tmp едно копие (backup) с името backup_, актуалната дата (date '+%Y_%m_%d') и разширение на файла .tar (за днешна дата файла би бил: backup_2010_04_20.tar). Като това копие трябва да съдържа всичко от / (root) директорията без директорията /proc, която от своя страна не съдържа истински файлове.

И сега всички!

Както вече споменахме, Tar разполага с няколко параметъра, които позволяват комбинирането му с Gzip и Bzip2. За създаването на компресиран архив с помощта на Gzip командата би изглеждала така:

tar -czvf архив.tar.gz файл(ове)

Ако искате вместо това да използвате Bzip2 трябва да промените параметъра -z с параметъра -j:

tar -cjvf архив.tar.bz2 файл(ове)

Съответно използвате същите параметри за обратната операция (разархивиране). Като използвайки tar по този начин си спестявате една цяла стъпка, в която вместо да използвате приложенията отделно:

bunzip2 архив.tar.bz2
tar -xvf архив.tar

използвате простия вариант: tar -xjvf архив.tar.bz2

Надявам се с тази статия да сте получили основните познания за архивирането под Linux и ако имате желание можете да прегледате останалите възможности, които крият споменатите инструменти.

Колко сигурна е пароалта ви?

Рядко човек се замисля дали паролата, която използва е сигурна. Всъщност масово хората използват пароли, които са лесни за запомняне. От гледна точка на сигурността това винаги е грешно, но е в самото мислене на човека. Доста често срещам хора, които ползват една и съща парола навсякъде, в най-добрия случай използват няколко пароли навсякъде и то с идеята, че са лесни за запомняне и няма да ги забравят. Но колко сигурни са тези пароли? Изобщо би ли се досетил някой за тях. Хората, работещи по това да разбират чужди пароли за добро или лошо са измислили различни методи за разбиването им. Някои от тези методи са свързани с логика, друга част се базират на най-често използваните пароли или на списъци с такива. С тази статия ще се опитам да ви покажа какво трябва да имате предвид при избора на своята парола и какво трябва да избягвате.

Най-честите грешки в избора на парола

Едно от основното правило при избора на парола, което не всички хора следват е използването само на малки букви или пък само на цифри. Много хора мислят, че използвайки за парола рождената си дата са се защитили. Донякъде е така, но в момента почти всеки е регистриран във Facebook – съответно всеки може да провери кога е вашият рожден ден – от там не е трудно да почне да тества пощата ви с различни комбинации. Имена, думи и подобни пароли също не са особено трудни, тъй като се изисква малко мислене и налучкване или сдобиването с wordlist (обикновено текстов файл с огромен брой различни думи и имена), който се използва в комбинация с програма, която да върши тестването автоматично т.нар. BruteForce – програмата праща заявки към формата за име и парола със зададените потенциални пароли от списъка с думи, докато не уцели. В крайна сметка използването на цифри или обикновени за парола е изключително несигурно. Също толкова несигурно, колкото и използването на имена на домашни любимци и подобни.

Тук бих искал да вмъкна и информацията за един инструмент наречен CUPP (Common User Passwords Profiler), който представлява един Python скрипт, който на база информация за даден потребител – рождена дата, две/три имена, прякор, данни за близки и домашни любимци генерира списък с възможни пароли. Всеки използващ този инструмент и поровил се достатъчно в интернет, за да събере информация за вас би могъл да генерира списък, в който е възможно да присъства вашата парола. Всъщност самия инструмент е много полезен и за обикновените потребители, тъй като по този начин могат сами да тестват колко е сигурна паролата им. Но тук винаги трябва да имате предвид, че програмата може да направи грешка, тъй като не е перфектна.

Друга грешка при използването на различни пароли е тяхното записване в каквато и да е форма с цел запомняне. Самото записване на пароли в тефтерчето, което “никой не вижда”, в телефона “който никой няма да прегледа” и т.н. е грешно. Замислете се над това, колко е сигурен вашият телефон? Много хора го смятат за изключително сигурен и неподлежащ на атака, но всъщност е толкова лесно, колкото не можете да си представите. Напълно е възможно някой да се свърже към телефона ви през Bluetooth и да извлече цялата информация от него. Повече информация по въпроса можете да прочетете в следния pdf документ: Bluetooth_Hacking.pdf. Тефтерчето ви винаги може да попадне в чужди ръце дори, когато не подозирате. Опитвайте се да запомните паролите си. Или ако ги записвате – никога не ги записвайте на важен документ и никога не посочвайте, че това е парола – нека бъде просто някакъв текст някъде си, а ако използвате примерите за създаване на по-сигурна парола, не я записвайте със специалните знаци и цифрите – нека не личи, че това е парола.

Как да изберем сигурна парола?

За да изберете сигурна парола имате в общи линии два избора:

• Избор на парола, която по-лесно да запомните
• Генериране на парола, която ще трябва да опитате да запомните

В първия случай трябва да изберете дума или фраза, която да преобразувате в парола. Това е може би най-лесния начин да си изберете сравнително сигурна и лесна за запомняне парола. Как обаче да го направите? Намислете си фраза, която често използвате или която харесвате. И я пренапишете, заменяйки буквите с цифри, големи букви и знаци. За примера ще използваме bultuxpassword – на пръв поглед изключително елементарна и лесна за досещане парола. Но как да преобразуваме тази толкова елементарна парола в нещо по-сложно? Следвайки принципа – големи/малки букви, цифри и символи ние започваме да заменяме, така че за краен резултат получаваме:

Bu!TUx_p4sSW0rD

Е тази парола няма да намерите в списъците с пароли и ще е достатъчно сигурна. Разбира се не е най-сигурната парола, но със сигурност ще е по-добре от различни други комбинации. Ще ви дам още няколко примера:

godspower = g0d5_!p0w3r
Marlboro = m4r!b0rO_
и т.н.

Разбира се по-добрия и най-сигурен вариант за момента е използването на генерирана парола. Парола, която няма да е свързана с вас по никакъв начин и няма да има никакво значение. За целта можете да използвате различни приложения за генерирането на такива. Не съм се интересувал особено какви видео генератори на пароли има, но за тези от вас, които харесват езика за програмиране Python могат лесно и бързо сами да си спретнат един малък скрипт или пък да използват друг език за програмиране за да си направят малка програмка за целта. Принципа е следния според това каква парола искате да имате. Дали тя да бъде само от букви+цифри, дали да бъде букви+цифри+специални знаци, или пък да използвате шестнадесетичната бройна система. от там остава просто да създадете стринг и да използвате функцията за random във вашия език за програмиране, с който да изберете няколко символа от този стринг. Казах малко по-рано, че използвам Python за моя генератор, защото функцията string ми позволява да използвам и боравя с тези методи по-лесно. Следващото е само за тези, които се интересуват от това как става:
1. Създаваме метод, който да разбурка даден стринг и да върне паролата с определена дължина:

[python]def generate_sample(choices, length):
return random.sample(choices * length, length)
[/python]

2. Създаваме и след което можем да използваме този метод в нашия скрипт, като му подадем стринг от символи и дължината на паролата, която трябва да генерираме. Аз лично съм създал няколко метода в зависимост от това каква парола искам. За парола само от букви+цифри метода би изглеждал така:

[python]def alphanum(length):
sample = generate_sample(string.letters + string.digits, length)
return ”.join(sample)[/python]

За да използвате тези методи предварително ще трябва да се добавили във вашия скрипт следните библиотеки: random и string.

Ако все пак ви потрябва приложението можете да го изтеглите от BulTux. За целта ще е нужно да имате инсталиран Python:
pyspgen (64.36 KB) 151 изтегляния

За почитателите на bash можете да погледнете и друго решение:

[bash]#!/bin/bash

charspool=(‘a’ ‘b’ ‘c’ ‘d’ ‘e’ ‘f’ ‘g’ ‘h’ ‘i’ ‘j’ ‘k’ ‘l’ ‘m’ ‘n’ ‘o’ ‘p’
‘q’ ‘r’ ‘s’ ‘t’ ‘u’ ‘v’ ‘w’ ‘x’ ‘y’ ‘z’ ’0′ ’1′ ’2′ ’3′ ’4′ ’5′ ’6′ ’7′
’8′ ’9′ ’0′ ‘A’ ‘B’ ‘C’ ‘D’ ‘E’ ‘F’ ‘G’ ‘H’ ‘I’ ‘J’ ‘K’ ‘L’ ‘M’ ‘N’ ‘O’
‘P’ ‘Q’ ‘R’ ‘S’ ‘T’ ‘U’ ‘V’ ‘W’ ‘X’ ‘Y’ ‘Z’ ‘!’ ‘£’ ‘$’ ‘%’ ‘&’ ‘=’ ‘.’ ‘,’ ‘;’ ‘:’ ‘-’ ‘_’);

len=${#charspool[*]}

if [ $# -lt 1 ]; then
num=6;
else
num=$1;
fi

echo -n "password: "
for c in $(seq $num); do
echo -n ${charspool[$((RANDOM % len))]}
done
echo[/bash]

Скриптът е взет от: My. Debian

Надявам се статията да ви е била полезна. Ако имате забележки или предложения за приложения, които да бъдат описания не се притеснявайте да ги запишете в коментарите.

]]> http://www.bultux.org/tutorials/kolko-sigurni-sa-parolite-koito-polzwame/feed 2 http://www.bultux.org/tutorials/izpolzwane-na-htaccess-fajlowe http://www.bultux.org/tutorials/izpolzwane-na-htaccess-fajlowe#comments Wed, 03 Mar 2010 11:58:40 +0000 Владимир Колев http://www.bultux.org/?p=269
Всеки имащ собствена страница и работещ с Apache сървър е чувал за тези файлове, това което правят реално е промяна  на настройките за определена директория от вашия уебсървър. .htaccess файловете се добавт в самата директория на сайта ви и конфигурационните директиви са валидни както за нея така и за поддиректориите й. Това, което ви позволяват [...]]]>

Всеки имащ собствена страница и работещ с Apache сървър е чувал за тези файлове, това което правят реално е промяна  на настройките за определена директория от вашия уебсървър. .htaccess файловете се добавт в самата директория на сайта ви и конфигурационните директиви са валидни както за нея така и за поддиректориите й. Това, което ви позволяват е по-лесно конфигуриране на определени директории, като могато да пренаписват настройките зададени в httpd.conf. По този начин ако използвате уебхостинг и нямате достъп до конфигурационния файл на Apache пак можете да зададете някои специфични настройки. Конфигурационните директиви, които ще разгледаме в тази статия са следните:

• Options +/-Indexing – разрешаване на листването на файловете в директория и опциите, които можете да използвате към това
• mod_rewrite – задаване на красиви връзки в страницата (премахване на .html и .php)
• AuthType – Задаване на парола за достъп до дадена директория
• allow/deny – блокиране на IP адреси
• ErrorDocument – собствени страници за грешки

Разбира се, с .htaccess файловете можете да постигнете още много неща, но смятам, че след като разберете основата и простите трикове лесно ще можете да разберете и останалото за тези файлове в Apache уроците.

Списък със съдържанието на директория

Вероятно сте забелязали в много сървъри, че дори и в странците на дистрибуциите как се показва списък с файловете на сървъра като по този начин се избягва използването на php скриптове за показване на списък с файлове и поддиректории. Това можете да постигнете и с няколко опции в един .htaccess файл. Нека започнем от това как да разрешите показването на списък със съдържанието на директория.

За да разрешите тази опция първо трябва да добавите следното във вашия .htaccess файл:

[bash]Options +Indexes[/bash]

Реално това само е достатъчно, за да покажете списък с файловете в директорията. Но на много хостинг сървъри това, което ще получите е един най-елементарен списък с файлове – без размер, без разширение на файловете, без допълнителна информация. Ако това е достатъчно за вас можете да оставите нещата до тук. В дрги сървъри опциите, които следват са добавени още в httpd.conf така, че списъка ще бъде показан доста по-разширено. За пример ще дам директорията с IRC логове на GooBot от #ubuntu-bg.Както ще видите на страницата има списък, показващ подробности за файловете в директорията, но има и допълнителна информация както и картинка. Тези неща се разрешават със следната директива във файла:

[bash]IndexOptions FancyIndexing[/bash]

Този ред разрешава подробния списък и е основен за допълнителни разширения към списъка като добавяне на опсиания към файловете, добавяне на икони за определени файлови формати. За повече информация за опциите към FancyIndexing можете да погледнете документацията за mod_autoindex.

Как обаче към този списък да добавиме и информация, която да се показва над списъка и под списъка? Това става съответно с конфигурационните директиви HeaderName и ReadmeName. Създайте файловете header.html и reader.html (разбира се могат да имат и други наименования) и ги качете в директорията. След което в .htaccess файла добавете информацита:

[bash]HeaderName header.html
ReadmeName reader.html[/bash]

Във файловете не е необходимо добавянето на , тъй като те са добавени автоматично от Apache сървъра. Но тези файлове ще се виждат при показването на списъка. За целта можем да ги игнорираме. Това ще стане с директивата IndexIgnore като можете да забраните всички .html файлове или точно определени. В директорията с логове, където смятам да показвам само текстови файлове няма смисъл да показвам каквито и да било .html файлове:

[bash]IndexIgnore *.html[/bash]

Като казах, че в директорията ще показвам текстови фйалове тук идва един проблем, с който се сблъсках. Файловете макар и записани в UTF-8 кодиране на текста бяха показвани с друго, което е зададено по подразбиране от сървъра. Решението е добавянето на директивата AddCharset по следния начин за всички текстови файлове:

[bash]AddCharset UTF-8 .txt[/bash]
А ако искате това да е валидно за всички файлове:
[bash]AddCharset UTF-8 *[/bash]

Използване на mod_rewrite

За да разрешите самото презаписване на връзките във вашата страница е важно да добавите първо включването на този Apache модул:

[bash]Options +FollowSymlinks
RewriteEngine on[/bash]

За да разберете дали сървърът, който ползвате има разрешен mod_rewrite или дали е поне разрешен можете да проверите в нормалното phpinfo(). Създавате файл phpinfo.php, качвате го на сървъра и го стартирате през бразуъра.
Опцията +FollowSymlinks също е задължителна, за да можете да пишете правила за презаписване. Така приемам, че mod_rewrite е разрешен. Самото използване на RewriteEngine изисква и малко познания за RegEx (регулярни изрази), които в този урок няма да бъдат покрити. Ще ви покажа само как да премахнете .html или .php от връзките, тъй като останлото можете да го намерите като готово в интернет или пък като прегледаде съдържанието на .htaccess файла на някоя CMS система.
Премахване на .html от линковете:

[bash]RewriteRule ^([^\.]+)$ $1.html [NC,L][/bash]

Но при този пример какво ще се получи ако същевременно със името на .html файла имате и такава директория? Това означава, че ще трябва да добавиме условие, което ще проверява за подобни неща. Това става с директивата RewriteCond преди да добавиме правилото за презапис:

[bash]RewriteCond %{SCRIPT_FILENAME} !-d[/bash]
Заменяне на .html с .php окончание във връзките (ако искате да заблудите някого, че ползвате .php )
[bash]RewriteRule ^(.*)\.php$ $1.html [NC,L][/bash]

Защита на директория с парола

Ако искате дадена директория да бъде достъпна само за определени потребители това можете да направите с допълнителен файл, който може да бъде наречен .htpasswd и е за предпочитане да бъде поставен в директория, до която няма достъп чрез HTTP REQUEST. За пример ако имате сървър и видимата за HTTP заявки директория е /var/www просто можете да създадете директория /var/secret, която няма да бъде видима и в която можете да поставите файал с потребители и пароли /var/secret/.htpasswd Разбира се файла може да се намира и в директория, която е видиме за посетителите на вашата страница, но тогава трябва да се уверите, че те няма да виждат този файл и той няма да бъде достъпен за техните очи (погледнете IndexIgnore). Нека първо създадем файла. Съдържанието му трябва да има следния формат:

[plain]user:pass
user2:pass2
….[/plain]
След като разполагаме с файла в .htaccess трябва да добавим следното:
[bash]AuthType basic
AuthUserFile /var/secret/.htpasswd
AuthName "Only for dudes"
require valid-user[/bash]

Какво всъщност означава това. Първия ред показва, че искаме просто разрешение за достъп (за разлика от ДБ или дайджест разрешение например). с AuthUserFile посочваме в кой файл се намира информацията за потребители и техните пароли. С AuthName оказваме как ще се казва диалога, който изисква потребителско име и парола. И директивата require valid-user оказва, че достъп ще до директорията ще получат само тези въвели верни име и парола. Последната директива е и най-интересна, защото използвайки един .htpassd файл, можете да ограничите определени директории само до определени потебители:

require user user2 user4

С това разрешаваме достъпа само на потребителите user2 и user4.

Блокиране на IP адреси

Блокирането на IP адреси е също удобен вариант ако има конкретни такива, които не желаете да имат достъп до вашата страница. Имайте предвид, че тази мярка не е перфектна и може да бъде заобиколена. Даже бих си позволил да кажа, че е напълно излишна, но пък защо да не я знаете. Би била позлезна ако използвате сървъра в локална мрежа и искате да ограничите шефа да вижда сървъра .

Самото блокиране е директива order allow, deny със списък от разрешени и забранени IP-та. За повече яснота ето и пример:

[bash]order allow, deny
deny 192.168.1.4
deny .microsoft.com
deny 79.79.79.
allow from all[/bash]

С deny пред всеки адрес или домейн оказваме, че те нямат достъп. В последния deny 79.79.79. блокираме всички IP-та, които започват с 79.79.79. По същия начин можем да блокираме и всички IP-та започващи с 53. (точката е част от IP-то). Разбира се можем да направим и забрана за всички:

[bash]deny from all[/bash]
и вместо списък със забранени IP адреси да сложим списък с разрешени IP адреси.

Собствени ERROR страници

Задаването на собствени страници за грешка става с директивата ErrorDocument. С нея можете да окажете при каква грешка, кой файл да показва. Доста удобно ако желаете да разкрасите 404 грешката за липсващ такъв файл. Това става по следния начин:

[bash]ErrorDocument 404 /errors/funyerror.html[/bash]
Формата е същия, за добавяне на страници и за други грешки просто:
[bash]ErrorDocument грешка /път/до/файл[/bash]

Надявам се статията да е била полезна. Тя не пoкрива по-задълбоченото разглеждане на този вид файлове, тъй като самото им използване се препоръчва да бъде избягвано. Използването на този вид файлове е по-скоро предназначено за хората, ползващи платен хостинг, където нямат собствен php.ini файл и това е единствения начин да разрешат използването на определени функции.

Копиране на файлове, четене на електронна поща, сканиране на портове, стартиране на уеб-сървър и всичко това в мрежата. NetCat се справя с всички тези задачи, но само в мрежата – за сметка на това върши работата си безупречно. В тази статия ще ви разкажа малко повече за мрежовия инструмент netcat и ще демонстрирам някои от възможностите му с примери. За целта ще разгледаме всяка задача като отделна точка.

Прехвърляне на файлове

Да приемем, че искате да копирате файл с името test.txt от една машина с име в мрежата john върху друга машина с име в мрежата smith. За целта трябва да стартирате програмата netcat на машината smith като сървър с опциите -l за “listen” (на български: слушане) и -p 6000, където параметъра -p определя порта, на който сървъра да “слуша” – в случая 6000. Едно пренасочване за писане се грижи за това, че netcat ще запише входящите данни в определен от нас файл.
На разположение в терминала имаме командата netcat и кратката й форма nc. За стартиране ще използваме следната команда:

smith:~$ nc -l -p 6000 > got_test.txt

На компютъра john е достатъчно да зададем параметрите smith, 6000 и < test.txt за да подадем данните към Netcat, който от своя страна да ги предаде на стартирания под smith, Netcat:

john:~$ nc smith 6000 < test.txt

След като на john сте стартирали програмата трябва да я прекратите с [Ctrl]+[C]. Стартирания на smith Netcat ще се изключи сам след като запише файла got_test.txt. По подобен начин се процедира когато искате да прехвърлите цялото съдържание на директория между два компютъра:

smith:~$ nc -l -p 6000 | tar x
john:~$ tar cf - * | nc smith 6000

Това, което се случва е всъщност свързването на две команди на всеки компютър. На компютъра john създавате tar-архив със съдържанието на текущата директория, и го изпращате на smith, при получаването smith разархивира полученото в текущата директория

Комуникация

Какво ще се случи обаче ако и на двата компютъра стартирате програмата без поток от определени данни? В такъв случаи ще разполагат с един малък чат:

>smith:~$ nc -l -p 2000
john:~$ nc smith -p 2000

Всичко, което потребителите на smith или john въвежда ще излиза на монитора на отсрещния потребител. При това с netcat можете да работите интерактивно: като това да проверите броя и размера на писмата в пощенската си кутия стига да разполагате с адреса ан POP3 сървъра:

С ключовите думи user и pass се идентифицирате пред съответния сървър. Командата list кара POP сървъра да покаже размера на всичките писма намиращи се в пощенската ви кутия. Командата quit прекратява връзката. По подобен начин можете да се свързвате и с SMTP, NNMP и дори FTP сървъри. Нуджно е само да преврите командите, които поддържа съответния протокол.

Сканиране на портове

Често като потребител не знаете кой компютър какви услуги (services) предлага във вашата мрежа. За тази цел Netcat предлага своите услуги и като инструмент за сканиране на портове:

smith~$ nc -vz localhost 1-1024
localhost [127.0.0.1] 631 (ipp) open

Параметъра -v (“verbose”) се грижи за показването на пълния изход от командата, опцията -z (“zero I/O mode”) кара netcat да сканира определени портове. Както виждате от горепосочения пример, на компютъра smith на порт 631 най-вероятно е включен принтер-демон. Вместо да задавате портове или групи от портове netcat приема като параметри и конкретни услуги, което е полезно ако търсите дали определен компютър от вашата мрежа поддържа ftp услуга.

Уеб заявки

Освен поддръжката на FTP услуги, с Nmap можете да работите и с уеб сървъри. Един ред е достатъчен, за да свалите съдържанието на страница от даден сайт. Да вземем за пример немското списание www.linux-user.de което има уеб сървър на порт 80:

$ echo -e "GET / HTTP/1.1\r\n" | nc www.linux-user.de 80 > test.html

Първата команда, която пращаме към nc, echo -e “GET / HTTP/1.1\r\n” представлява заявка (“Request”), която по принцип се изпраща от всеки уеб браузър. С GET заявяваме и коя страница от уеб сървъра искаме да прегледаме – в случая това е / (root).
По-рано, обаче, научихме, че Netcat може да работи и като сървър. Така, че можем да разширим примера като разширим горната команда по следния начин:

$ echo -e "Get / HTTP/1.1\r\n" | nc www.linux-user.de 80 > test.html | nc -l -p 8080 -q 1

Както се досещате параметрите -l -p 8080 карат Netcat да работи като сървър на порт 8080. Нов е параметъра -q 1, който спира работата на netcat една секунда след като се достигне края на файла. По този начин netcat уеб сървъра приема от първата nc инстанция страницата test.html и позволява тя да бъде прегледана на локалната машина на порт 8080 (http://localhost:8080). Изхода, който ще видите в терминала е заявката, която Mozilla прави към netcat, за да види страницата test.html:

GET / HTTP/1.1
Host: localhost:8080
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.1.8pre) Gecko/20100120 Ubuntu/9.10 (karmic) Shiretoko/3.5.8pre
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Cookie: CAKEPHP=f2d80f0e9d891cb155f0a6fe1159a152
Cache-Control: max-age=0

Разбира се с малко основни знания в шел програмирането netcat може да бъде накаран да работи по-дълго време като уеб сървър – за целта трябва да вмъкнете netcat в един безкраен while цикъл:

while true; do; nc -l -p 8080 -q 1 < test.html; done

По този начин (изискват се root права) можете да имплементирате на привилегировани портове от 1 до 1024 така наречените Honeypots, на български “бурканче с мед”. Така се наричат услуги, които не съществуват, а техните портове реагират само на заявки, за да се проследят потенциални нападатели или както ще покажа в следния пример да ядосвате кварталните хакери при опит за връзка към вас през telnet:

smith:~# echo " You are an IDIOT" | nc -vv -l -p 23 -q 1
smith:~$ telnet localhost 23
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
You are an IDIOT
Connection closed by foreign host.

Използвайте внимателно!

Колкото и удобен и мощен да е netcat в изпълнението на своите услуги, трябва да се внимава много при използването му. При необмислено използване – това може да се окаже доста опасно за самите вас. Параметърът, който е отговорен за потенциални проблеми в сигурността е -e. Означава “execute” (“изпълни”). Всичко което стои след -e, Netcat стартира без замисляне и нужда от потвърждение – дори и един shell:

smith:~$ nc -v -l -p 6000 -e /bin/bash

По този начин е достатъчно от компютъра john да зададете към Netcat параметрите smith и порта 6000 и по този начин без никакво идентифициране john ще получи достъп до вашия shell. Не е нужно много въображение, за да си представите какво може да се случи с компютъра smith, ако работи без защитна стена и е свързан към интернет.
Един по-безопасен пример:
Тъй като мрежовата котка (NetCat) се храни с всякакви данни, които и подадете можете да я използвате и за stream на файлове през мрежата:

smith:~$ nc -l -p 8765 -q 1 | super_dupper.mp3
john:~$ nc smith 8765 | mplayer -

Това става безпроблемно само с медиен плеър инсталиран на john, който може да чете данните директно от командния ред – в този пример Mplayer се справя перфектно с тази задача.

Малко повече

Показаните до тук примери покриват само една малка част от възможностите, които Netcat предлага. Освен горе-споменатите точки с този инструмент можете да пренасочвате портове, да протоколирате пренасянето на данни във вашата мрежа или да тествате стабилността на услуги.

По-детайлно разгледани Netcat-скриптове можете да намерите на вашата система на места като /usr/share/doc/netcat/examples или /usr/share/doc/netcat-traditional/examples. Страницата с упътване за ползване можете да видите с командата man nc съответно man netcat.

Заключение

Netcat със лесните за използване и огромния брой от услуги се доказва като един незаменим помощник/инструмент при изпълняването на различни задачи в мрежата. В случай, че не ви достигат опциите, които предлага съществуват и разширената версия Socat, а за кодирано предаване Cryptcat. И двете приложения наподобяват по начина си на използване на Netcat, но залагат на различни основни точки при използването им.

Известно е, че в България приложенията, които се изискват за предоставяне на разните справки от фирмите са писани само за работа под продуктите на Microsoft. Една от разпространените програми за изготвяне на съответните справки е DNEV07 (Дневници), която за още по-голяма изненада работи под MS-DOS (нещо, на което Microsoft отдавна каза сбогом). Но това до известна степен е добре, тъй като MS-DOS може доста лесно да бъде емулиран под Linux, за разлика от другите брилянтни решения предлагани от министерствата в България.

В тази статия ще научите как да настроите и използвате приложението обяснено в няколко прости стъпки. Държа да спомена още в началото, че резултатът макар и приемлив не е най-приятния, който може да очаквате. Проблема се състои в това, че текстовите редактори под Linux не могат да представят правилно rtf документите, с които работи програмата DNEV07, но за това съществува също решение, което макар и не съвсем приятно ще ви върши работа.

Подготовка

lShift + Alt        - Смяна между латиница и кирилица
rShift + Alt        - Смяна между БДС и фонетична клавиатурна подредба
rShift + Ctrl       - Смяна между стандартни и графични символи
lShift + rShift     - Смяна между стандартен и потребителски шрифт

Добавяне на Microsoft шрифтове

# За Ubuntu/Debian
sudo apt-get install msttcorefonts

Полезни връзки