Хитрый тюнинг и грамотная защита

Toxa (toxa@cterra.ru)

Спецвыпуск: Хакер, номер #047, стр. 047-080-3

OpenSSH

Самый популярный пакет для удаленного администрирования по протоколу ssh, хоть и написанный весьма компетентными хакерами из OpenBSD team, но имеющий длинную историю взломов. Баннер в конфиге не выставляется, так что будем править сорцы. Найди в файле version.h следующие строки:

#define SSH_VERSION "OpenSSH_3.8p1"

Их и следует изменить. Полностью удалять строку не нужно, согласно стандарту, сервер обязан выдать версию ssh-протокола, а затем - имя демона. Я советую ограничиться удалением версии openssh, но ты можешь проявить фантазию. Затем собирай openssh как обычно.

Apache

Это классика. Смена баннера самого популярного web-сервера - весьма частое развлечение админов. Здесь тоже не обойтись без правки исходных текстов. В каталоге с исходниками найди файл src/include/httpd.h, а в нем - следующие строки:

Листинг

#define SERVER_BASEPRODUCT "Apache"

#define SERVER_BASEREVISION "1.3.29"

Теперь меняй их на Microsoft-IIS 4.0 и коллекционируй сигнатуры старых добрых unicode-атак :). В Apache 2.0.x надо править файл include/ap_release.h, строки:

Листинг

#define AP_SERVER_BASEPRODUCT "Apache"

#define AP_SERVER_MAJORVERSION "2"

#define AP_SERVER_MINORVERSION "0"

#define AP_SERVER_PATCHLEVEL "50"

Postfix

Этот удобный и (относительно, как и все в этом мире) безопасный SMTP-сервер позволяет указать баннер прямо в конфиге, main.cf:

$smptd_banner = $mydomain ESMTP MyCoolServer

Sendmail

По умолчанию sendmail выдает слишком много информации. В нем часто находят уязвимости, так что светить версией - себе дороже. Можно поправить sendmail.cf:

O SmtpGreetingMessage=$j ESMTP InsecureMailserver

Или sendmail.mc:

define(`confSMTP_LOGIN_MSG', `$j ESMTP UnsecureMailserver')

BIND

Named - популярный DNS-сервер от Internet Software Consorcium. Известен прежде всего своей историей уязвимостей, так что рассказать миру о том, какая у тебя версия named - значит жить как на иголках до следующей Security Advisory. Правь named.conf, в глобальной секции options {} пиши:

version "Microsoft DNS";

VsFTPd

Это чрезвычайно безопасный ftp-сервер с поддержкой ssl-соединений. Указать баннер можно прямо в vsftpd.conf:

ftpd_banner=mydomain.com Microsoft FTP Service (Version 5.0)

BSD FTPd

Во Free/Net/OpenBSD можно поправить приветствие стандартного ftpd. Для этого нужно найти в файле /usr/src/libexec/ftpd/ftpd.c строчку: