INSERT — Inside Security Rescue Toolkit

СЕРГЕЙ ЯРЕМЧУК, фрилансер. Автор более 800 статей и шести книг. С «СА» с первого номера. Интересы: сетевые технологии, защита информации, свободные ОС

INSERT – Inside Security Rescue Toolkit

Бешеная популярность GNU/Linux не в последнюю очередь обусловлена наличием большого количества узконаправленных дистрибутивов, адаптированных для выполнения конкретных задач. Наиболее популярны среди них firewall, позволяющие настроить доступ в Интернет, в том числе и неподготовленному пользователю, также в последнее время становятся популярными дистрибутивы, предназначенные для анализа сетевой безопасности удаленных и локальных вычислительных систем и сетей в основном в виде LiveCD-дистрибутивов, позволяющих проделать все необходимые операции без установки системы на жесткий диск. Причем некоторые разработки могут прийтись по вкусу и закоренелым пользователям Windows-систем, т.к. могут оказаться тем единственным подручным средством, при помощи которого можно спасти свои данные. Об одном таком дистрибутиве и пойдет речь далее.

INSERT (Inside Security Rescue Toolkit) – так называется LiveCD-дистрибутив, от Inside Security IT Consulting GmbH, предназначенный в первую очередь для решения задач по спасению данных, а также для сетевого анализа. Домашняя страница проекта: http://www.insert.cd. Размер версии 1.2.3., которой я пользуюсь, всего-то 49.5 Мб, что позволяет записать его на болванку размером с корпоративную карточку, которая много места не займет, и иметь всегда при себе.

При выборе образа для загрузки нужно быть внимательным, т.к. на данный момент имеются две версии: немецкая с приставкой de и английская – en. Базируется INSERT на популярном LiveCD-дистрибутиве KNOPPIX, что позволяет, воспользовавшись понятной инструкцией по разделке KNOPPIX Remastering HowTo (http://www.knoppix.net/docs/index.php/KnoppixRemasteringHowto), при необходимости внести изменения в состав приложений дистрибутива.

Ядро INSERT поддерживает все файловые системы, которые могут понадобиться, – это Linux-журналируемые ext3, JFS, ReiserFS, XFS, а также Microsoft FAT с NTFS, что перекрывает большую часть потребностей. При загрузке система пытается найти разделы LVM (logical volume manager). Система будет работать на большинстве оборудования, знает о Wireless-девайсах (имеются и утилиты для работы – orinoco, linux-wlan-ng, wavemon), SCSI-устройствах, RAID, в т.ч. и software-RAID, исключения составляют, наверное, Win-модемы. Интересно, что в такой маленький объем разработчикам удалось вместить и X-Window с оконным менеджером fluxbox, так что те, кто еще не привык к работе в командной строке, будут работать в более удобной для себя среде.

Если BIOS не поддерживает загрузку с CD-ROM, то можно создать загрузочную дискету командой:

#if=mounted_cdrom_directory/INSERT/boot.img of=/dev/fd0 bs=18k

Во время загрузки есть возможность указать ряд дополнительных опций (просмотреть список можно по F2), из которых хотелось бы отметить insert toram, позволяющую загрузить содержимое диска в оперативную память и освободить дисковод. После чего загрузочный скрипт найдет все разделы на жестком диске, но монтировать их не будет, это сделано специально для того, чтобы максимально сохранить данные. При необходимости нужный раздел монтируем (все найденные можно просмотреть в каталоге /mnt/):

#mount /mnt/hda3

После чего он будет смонтирован в режиме чтение-запись. По умолчанию работаем как пользователь insert, при необходимости все остальные утилиты запускаются при помощи sudo без пароля. Далее, если сеть не настроилась при помощи DHCP, настраиваем ее вручную. Для этого воспользуемся командами ifconfig и route.

#ifconfig eth0 192.168.0.20 netmask 255.255.255.0 

#route add default gw 192.168.0.254

И заносим в /etc/resolv.conf имя ближайшего сервера имен. Например:

nameserver 192.168.0.254

Из меню можно вызвать утилиты настройки pppconfig, pppoeconf для DSL или isdnconfig для ISDN. В настройке модемного соединения помогут скрипты ppp-scripts-knoppix и pppconfig.

Приложения, входящие в состав INSERT, можно разделить по следующим категориям:

Утилиты для работы с дисковыми разделами восстановления данных. В первую очередь интересна утилита captive, представляющая эмулятор ядра Windows NT, позволяющий работать с разделами, отформатированными под NTFS, причем поддерживается и запись. Кроме того, работает и с разделами/образами в FAT, ext2, ISO9660.

Далее идет утилита gpart, позволяющая найти «потерявшиеся» разделы на жестком диске в случае, если таблица первичных разделов в нулевом секторе была повреждена или удалена.

Утилита partimage позволяет сохранять разделы во многих форматах (ext2fs/ext3fs, ReiserFS, FAT16/32, HPFS, JFS, XFS, UFS, HFS, NTFS), причем, в отличие от dd, пропускает нулевые секторы и может сжимать данные, что позволяет экономить место на диске, особенно при работе с разделами больших размеров, удобна для клонирования системы.

Также поможет в поиске и восстановлении потерянных разделов утилита testdisk, имеющая систему меню, облегчающую работу с ней новичкам, и режим Advanced, предназначенный для экспертов.

Для восстановления данных, умышленно или случайно уничтоженных с дискового раздела ext2, поможет основанная на «Ext2-undeletion howto» утилита recover с графическим Gtk-интерфейсом gtkrecover. В дополнение к стандартной утилите dd имеется dd-rescue, позволяющая создать образ, несмотря на ошибки.

Утилиты защиты системы, к которым можно отнести антивирус Clamav, chkrootkit, предназначенный для поиска вложений – rootkits и lsof. Для обновления антивирусных баз в меню встроен отдельный пункт, вызов которого при настроенном соединении автоматически обновит базы, или вручную набрать freshclam. После чего можно запускать clamscan с указанием примонтированого дискового раздела.

Утилиты анализа и работы в сети: iptables, tcpdump, nmap, iptraf (IP Network Statistics Utility) плюс аналогичного назначения апплет wmifs, traceroute и интерфейс mtr-tiny, dnsutils, ftp (с GTK-интерфейсом axyftp-gtk), ssh, httptunnel, icmpush (позволяет самстоятельно строить ICMP-пакеты), sendip (позволяет посторить произвольные IP-пакеты), веб-браузер Links.

Утилиты анализа и повышения защищенности системы: chntpw (утилита восстановления паролей NT SAM), wipe (для безопасного удаления файлов), smb-nat (утилита аудита NetBIOS), idswakeup (для тестирования IDS-систем).

И целый ряд вспомогательных утилит вроде программ для создания iso-образов и записи их на СD (mkisofs, cdrecord и burncenter), редакторы nvi и nano, набор для работы с различными архивами и еще много различных утилит.

Приятно, что разработчики полностью сохранили документацию в виде man-страниц, что позволяет быстро разобраться в работе с незнакомыми утилитами или вспомнить опции командной строки.

В принципе для большинства восстановительных работ такой наборчик подойдет вполне. Особенно понравилась возможность освобождения CD-ROM/RW, который можно использовать, например, для восстановления спасенной информации.

Это довольно хороший инструмент администратора, позволяющий использовать специфические для UNIX приложения на Windows-системах, а также для пользователей, желающих начать знакомство с основами UNIX.

Комментарии могут оставлять только зарегистрированные пользователи