תיעוד10.4. סיכום
Kali Linux מרחיבה מעבר לשולחן העבודה לפריסות בקנה מידה בינוני או גדול ואפילו לרמת הארגון. בפרק זה, כיסינו כיצד לרכז את הניהול של מספר התקנות Kali עם SaltStack, מה שמאפשר לך לפרוס במהירות מערכות Kali מאובטחות במיוחד המוגדרות מראש לצרכים הספציפיים שלך. חשפנו גם כיצד ניתן לשמור אותם מסונכרנים הודות להתקנה (חצי אוטומטית) של קאלי של עדכוני החבילות.
דיברנו על חלוקת חבילות, המאפשרת לך ליצור חבילות מקור הניתנות להפצה מותאמות אישית משלך.
לסיכום, בואו נסקור את השלבים העיקריים הנדרשים להקמת Salt Masters ו-Minions, המאפשרים לך שליטה מרחוק ותצורה של מארחים מרוחקים.
טיפים לסיכום:
• מכונת אתחול מהרשת עם PXE, עם לפחות שרת קבצים TFTP, שרת DHCP/BOOTP (ושרת אינטרנט ל-debconf מראש). דנסמסק מטפל גם ב-DHCP וגם ב-TFTP, וב- אפאצ'י 2 שרת האינטרנט מגיע מותקן מראש (אך מושבת) ב-Kali.
• מדריך ההתקנה של דביאן מכסה את ההגדרה של שרת isc-dhcp ו tftpd-hpa עבור אתחול PXE:
➨ https://www.debian.org/releases/stable/amd64/ch04s05.html
• דנסמסק מוגדר דרך /etc/dnsmasq.conf. תצורה בסיסית מורכבת מכמה שורות מפתח בלבד:
# ממשק רשת לטיפול בממשק = eth0
# אפשרויות DHCP
# טווח IP להקצאה
dhcp-range=192.168.101.100,192.168.101.200,12h
# שער להכרזה ללקוחות
dhcp-option=option:נתב,192.168.101.1
# שרתי DNS להכרזה ללקוחות
dhcp-option=option:dns-server,8.8.8.8,8.8.4.4
# קובץ אתחול להכרזה ללקוחות
# ממשק רשת לטיפול בממשק = eth0
# אפשרויות DHCP
# טווח IP להקצאה
dhcp-range=192.168.101.100,192.168.101.200,12h
# שער להכרזה ללקוחות
dhcp-option=option:נתב,192.168.101.1
# שרתי DNS להכרזה ללקוחות
dhcp-option=option:dns-server,8.8.8.8,8.8.4.4
# קובץ אתחול להכרזה ללקוחות
dhcp-boot=pxelinux.0
# אפשרויות TFTP enable-tftp
# קבצי אירוח במדריך לשרת tftp-root=/tftpboot/
dhcp-boot=pxelinux.0
# אפשרויות TFTP enable-tftp
# קבצי אירוח במדריך לשרת tftp-root=/tftpboot/
• פרק את קובצי האתחול של 32 סיביות (i386), 64 סיביות (amd64), קובצי אתחול התקנה סטנדרטיים או גרפיים (gtk) מארכיון Kali לתוך /tftpboot/. את הארכיון ניתן למצוא כאן:
➨ http://http.kali.org/dists/kali-rolling/main/installer-amd64/current/ images/netboot/gtk/netboot.tar.gz
➨ http://http.kali.org/dists/kali-rolling/main/installer-amd64/current/ images/netboot/netboot.tar.gz
➨ http://http.kali.org/dists/kali-rolling/main/installer-i386/current/ images/netboot/gtk/netboot.tar.gz
➨ http://http.kali.org/dists/kali-rolling/main/installer-i386/current/ images/netboot/netboot.tar.gz
# mkdir /tftpboot
# cd /tftpboot
# wget http://http.kali.org/dists/kali-rolling/main/installer-amd64/current/
➥ images/netboot/netboot.tar.gz
# tar xf netboot.tar.gz
# mkdir /tftpboot
# cd /tftpboot
# wget http://http.kali.org/dists/kali-rolling/main/installer-amd64/current/
➥ images/netboot/netboot.tar.gz
# tar xf netboot.tar.gz
• שינוי אופציונלי txt.cfg להצגה מראש של פרמטרים או פסקי זמן מותאמים אישית. ראה סעיף 4.3, "התקנות ללא השגחה" [עמוד 91]. לאחר מכן, תוכל למנף כלי ניהול תצורה לניהול מכונות או להגדיר מחשבים מרוחקים לכל מצב רצוי.
• SaltStack הוא שירות ניהול תצורה מרכזי: אדון Salt מנהל הרבה מיניוני Salt. התקן את אדון מלח חבילה בשרת נגיש ו מלח-מיניון על מארחים מנוהלים.
• ערוך את ה /etc/salt/minion קובץ תצורה בפורמט YAML והגדר את אב מפתח לשם ה-DNS (או כתובת ה-IP) של ה-Salt master.
• הגדר את המזהה הייחודי של המיניון /etc/salt/minion_id:
מִתחַנֵף# echo kali-scratch >/etc/salt/minion_id
מִתחַנֵף# systemctl לאפשר salt-minion
מִתחַנֵף# systemctl להתחיל salt-minion
מִתחַנֵף# echo kali-scratch >/etc/salt/minion_id
מִתחַנֵף# systemctl לאפשר salt-minion
מִתחַנֵף# systemctl להתחיל salt-minion
• החלפת מפתחות תתבצע בהמשך. במאסטר, קבל את מפתח הזיהוי של המיניון. החיבורים הבאים יהיו אוטומטיים:
לִשְׁלוֹט# systemctl אפשר את salt-master לִשְׁלוֹט# systemctl התחל את salt-master לִשְׁלוֹט# salt-key --רשום הכל
לִשְׁלוֹט# systemctl אפשר את salt-master לִשְׁלוֹט# systemctl התחל את salt-master לִשְׁלוֹט# salt-key --רשום הכל
מפתחות מקובלים: מפתחות נדחים: מפתחות לא מקובלים: kali-scratch מפתחות שנדחו:
לִשְׁלוֹט# מלח-מפתח --קבל קאלי-שרד
המפתחות הבאים יתקבלו: מפתחות לא מקובלים:
kali-scratch להמשיך? [נ/י] y
מפתח עבור minion kali-scratch מתקבל.
מפתחות מקובלים: מפתחות נדחים: מפתחות לא מקובלים: kali-scratch מפתחות שנדחו:
לִשְׁלוֹט# מלח-מפתח --קבל קאלי-שרד
המפתחות הבאים יתקבלו: מפתחות לא מקובלים:
kali-scratch להמשיך? [נ/י] y
מפתח עבור minion kali-scratch מתקבל.
• ברגע שהמיניונים מחוברים, אתה יכול לבצע עליהם פקודות מהמאסטר. דוגמאות:
לִשְׁלוֹט# salt '*' test.ping
kali-scratch:
נָכוֹן
קאלי-מאסטר:
נָכוֹן
לִשְׁלוֹט# salt kali-scratch cmd.shell 'uptime; uname -a'
לִשְׁלוֹט# salt kali-scratch sys.doc' לִשְׁלוֹט# salt '*' service.enable ssh [...]
לִשְׁלוֹט# salt '*' service.start ssh
[...]
לִשְׁלוֹט# מלח '*' pkg.refresh_db
[...]
לִשְׁלוֹט# salt '*' pkg.upgrade dist_upgrade=נכון
שרת# salt '*' cmd.shell 'pkill -f dnmap_client'
לִשְׁלוֹט# salt '*' test.ping
kali-scratch:
נָכוֹן
קאלי-מאסטר:
נָכוֹן
לִשְׁלוֹט# salt kali-scratch cmd.shell 'uptime; uname -a'
לִשְׁלוֹט# salt kali-scratch sys.doc' לִשְׁלוֹט# salt '*' service.enable ssh [...]
לִשְׁלוֹט# salt '*' service.start ssh
[...]
לִשְׁלוֹט# מלח '*' pkg.refresh_db
[...]
לִשְׁלוֹט# salt '*' pkg.upgrade dist_upgrade=נכון
שרת# salt '*' cmd.shell 'pkill -f dnmap_client'
• ניתן למצוא את הרשימה המלאה של מודולי הביצוע בכתובת https://docs.saltstack.com/en/ latest/ref/modules/all/index.html.
• השתמש בקבצי Salt State (תבניות תצורה הניתנות לשימוש חוזר) כדי לתזמן פעולות, לאסוף נתונים, לארגן רצפי פעולות במספר מיניונים, לספק מערכות ענן ולהביא אותן לניהול ועוד. חסוך זמן עם נוסחאות מלח מוגדרות מראש:
➨ https://docs.saltstack.com/en/latest/topics/development/conventions/ formulas.html
• כשמגיע הזמן לחלק חבילה, תחילה החליטו אם זו משימה שאתם צריכים להתמודד איתה. יש יתרונות וחסרונות משמעותיים. סקור אותם בקפידה. ה kali-meta, בסיס שולחני, ו kali-תפריט חבילות הן אפשרויות מעניינות וסבירות. תהליך חלוקת החבילה יכול להיות מרתיע וקשה לסכם אותו.
כעת, לאחר שכיסינו את כל הבסיסים במונחים של התקנה, תצורה, התאמה אישית ופריסה של Kali Linux, בואו נפנה לתפקיד של Kali Linux בתחום אבטחת המידע.
מילות מפתח
סוגי הערכות
הערכת פגיעות בדיקת חדירה תאימות מבחן חדירה מסורתי הערכת יישום סוגי התקפות
מניעת שירות השחתת זיכרון פגיעויות אינטרנט התקפות סיסמה התקפות בצד הלקוח
