Сетевые возможности операционных систем Linux

Quit.

Close,

Lsdel,

Debugfs,

· открываем исследуемый раздел в режиме чтения/записи

open –w /dev/hdc3,

· выводим на экран список удаленных inodes

· выбираем один из найденных индексных дескрипторов и работаем с ним

stat <inode>,

· выводим таблицу inode, которая позволяет убедиться в том, что в ней сохранились адресуемые блоки данных и сохраняем содержимое индексного дескриптора в файл

dump <inode> file.out,

· пытаемся найти имя файла по его индексному дескриптору

ncheck <inode>,

· бит, соответствующий данному inode в битовой карте индексных дескрипторов, устанавливаем в «1». Тем самым указываем системе, что индексный дескриптор вновь занят

seti <inode>,

· в выводимой командой mi информации модифицируем две строки: устанавливаем в единицу число ссылок на индексный дескриптор и обнуляем время удаления файла. Затем процедура повторяется для каждого найденного inode

mi <inode>,

· закрываем логический раздел

· выходим из отладчика

Если удаленные индексные дескрипторы не были найдены, это не означает, что на данном логическом разделе нечего искать. Индексные дескрипторы и логические блоки, как правило, адресуются независимо друг от друга, а inode удаленных файлов заполняются новыми метаданными в первую очередь. Поэтому следующим этапом будет являться поиск свободных блоков данных, содержащих утерянную информацию. Однако никаких утилит, позволяющих искать ранее освобожденные блоки данных, не существует. Это можно делать только после визуального просмотра битовой карты блоков, выявляя в ней байты, отличные от FF. Затем, последовательно копируя свободные блоки из нужного диапазона номеров (принадлежащих каталогу, из которого предположительно производилось удаление), можно создать файл, который затем можно посмотреть (он наверняка будет состоять из склеенных фрагментов различных файлов). Есть альтернатива – запустить одну из известных утилит контекстного поиска. Эти утилиты очень хорошо работают с англоязычным текстом, но с чтением кириллицы будут проблемы, особенно в кодировке UNICODE.

Просмотр отдельных блоков файлов со сложным внутренним форматом может быть связан с проблемами. Дело в том, что штатные приложения, предназначенные для работы с такими файлами, понимают только документы с неповрежденной структурой. Отдельные фрагменты файлов можно восстановить, если они содержат текст в одной из известных кодировок либо интерпретируемый программный код.

Для поиска известных сигнатур и текстовых фрагментов в большинстве случаев можно ограничиться использованием штатных утилит операционной системы. При поиске англоязычных фрагментов, сигнатур вредоносных программ, фрагментов рисунков вполне достаточно богатых возможностей утилит grep, fgrep и др.

В файловых системах ext3fs процесс удаления файлов происходит иначе. При удалении последнего имени файла это имя автоматически из записи в каталоге не стирается. Запись, принадлежащая удаленному файлу, присоединяется к предыдущей записи, увеличивая ее длину. Наряду с именем удаленного файла сохраняется и 4-байтный индексный дескриптор.

Но воспользоваться сохранившейся записью не удастся. Индексный узел удаленного файла заполняется нулями, в результате чего самое необходимое звено для восстановления файла оказывается разорванным.

Блоки данных удаленного файла продолжают сохранять прежнюю информацию. Однако узнать, где эти блоки располагались, можно только интуитивно. Освобожденные блоки данных будут заняты вновь созданным файлом, если они расположены компактно, а новый файл меньше прежнего.

В ext3fs возможен только один вариант восстановления удаленного файла. Он предполагает, что объем и содержимое удаленного файла известны. В этом случае по битовой карте блоков определяются освобожденные блоки в нужном количестве, устанавливаются их порядковые номера, а затем с помощью утилиты dd производится их копирование в файл. Если известны какие-либо слова или сигнатуры, входившие в состав удаленного файла, вывод dd можно перенаправить в утилиту grep.

Операционные системы UNIX развивались одновременно с вычислительными сетями. Включение ЭВМ в компьютерную сеть многократно увеличивает как функциональные возможности пользователя, так и степень уязвимости системы и обрабатываемой информации по отношению к сетевым атакам. Сетевые возможности операционных систем должны быть безопасными, однако это требование гораздо легче провозгласить, чем обеспечить.

Защите сетевой компьютерной информации и безопасной эксплуатации компьютерных сетей под управлением ОС Linux посвящены многие, в том числе довольно удачные книги [1, 3, 13]. Искусство системного администратора во многом определяется его умением правильно построить и грамотно эксплуатировать вычислительную сеть. Для этого операционные системы Linux располагают самыми подходящими возможностями. Под управлением ОС Linux надежно работают и серверные приложения, и межсетевые экраны, и системы обнаружения компьютерных атак.

К сожалению, материал по обеспечению сетевой безопасности настолько обширен, что для его рассмотрения пришлось бы написать отдельную книгу, а возможно, и не одну. Поэтому автор ограничился рассмотрением лишь некоторых механизмов, на которых строится здание сетевой защиты.

При изучении материала предполагается, что читатели знакомы с основами построения компьютерных сетей и с сетевыми протоколами стека TCP/IP.

Дата добавления: 2015-03-31; Просмотров: 928; Нарушение авторских прав?; Мы поможем в написании вашей работы!