11

ഉള്ളടക്കം

കാളി ലിനക്സ് ഒരു വിലയിരുത്തലിൽ 281 മൂല്യനിർണ്ണയ തരങ്ങൾ 283 മൂല്യനിർണയത്തിന്റെ ഔപചാരികവൽക്കരണം 293

ആക്രമണങ്ങളുടെ തരങ്ങൾ 294 ചുരുക്കം 297

കാലി ലിനക്‌സ്-നിർദ്ദിഷ്‌ടമായ നിരവധി സവിശേഷതകൾ ഞങ്ങൾ ഇതുവരെ ഉൾപ്പെടുത്തിയിട്ടുണ്ട്, അതിനാൽ കാളിയെ സവിശേഷമാക്കുന്നത് എന്താണെന്നും സങ്കീർണ്ണമായ നിരവധി ജോലികൾ എങ്ങനെ നിർവഹിക്കാമെന്നും നിങ്ങൾക്ക് ശക്തമായ ധാരണ ഉണ്ടായിരിക്കണം.

എന്നിരുന്നാലും, കാളി ഉപയോഗിക്കുന്നതിന് മുമ്പ്, സുരക്ഷാ വിലയിരുത്തലുമായി ബന്ധപ്പെട്ട ചില ആശയങ്ങൾ നിങ്ങൾ മനസ്സിലാക്കേണ്ടതുണ്ട്. ഈ അധ്യായത്തിൽ, നിങ്ങൾ ആരംഭിക്കുന്നതിന് ഈ ആശയങ്ങൾ ഞങ്ങൾ പരിചയപ്പെടുത്തുകയും സുരക്ഷാ വിലയിരുത്തൽ നടത്താൻ നിങ്ങൾക്ക് കാളി ഉപയോഗിക്കണമെങ്കിൽ സഹായിക്കുന്ന റഫറൻസുകൾ നൽകുകയും ചെയ്യും.

ആരംഭിക്കുന്നതിന്, വിവര സംവിധാനങ്ങളുമായി ഇടപെടുമ്പോൾ "സുരക്ഷ" എന്താണ് അർത്ഥമാക്കുന്നത് എന്ന് കൃത്യമായി പര്യവേക്ഷണം ചെയ്യാൻ കുറച്ച് സമയമെടുക്കുന്നത് മൂല്യവത്താണ്. ഒരു വിവര സംവിധാനം സുരക്ഷിതമാക്കാൻ ശ്രമിക്കുമ്പോൾ, സിസ്റ്റത്തിന്റെ മൂന്ന് പ്രാഥമിക ആട്രിബ്യൂട്ടുകളിൽ നിങ്ങൾ ശ്രദ്ധ കേന്ദ്രീകരിക്കുന്നു:

• രഹസ്യ: സിസ്റ്റത്തിലേക്കോ വിവരങ്ങളിലേക്കോ പ്രവേശനം പാടില്ലാത്ത അഭിനേതാക്കൾക്ക് സിസ്റ്റത്തിലേക്കോ വിവരങ്ങളിലേക്കോ പ്രവേശിക്കാനാകുമോ?

• നിർമലത: ഉദ്ദേശിക്കാത്ത വിധത്തിൽ ഡാറ്റയോ സിസ്റ്റമോ പരിഷ്കരിക്കാൻ കഴിയുമോ?

• ലഭ്യത: ഡാറ്റയോ സിസ്റ്റമോ എപ്പോൾ, എങ്ങനെ ആയിരിക്കാനാണ് ഉദ്ദേശിക്കുന്നതെന്ന് ആക്‌സസ് ചെയ്യാനാകുമോ?

ഒരുമിച്ച്, ഈ ആശയങ്ങൾ CIA (രഹസ്യത, സമഗ്രത, ലഭ്യത) ട്രയാഡ് ഉണ്ടാക്കുന്നു, വലിയൊരു ഭാഗം, സ്റ്റാൻഡേർഡ് വിന്യാസം, പരിപാലനം അല്ലെങ്കിൽ വിലയിരുത്തൽ എന്നിവയുടെ ഭാഗമായി ഒരു സിസ്റ്റം സുരക്ഷിതമാക്കുമ്പോൾ നിങ്ങൾ ശ്രദ്ധ കേന്ദ്രീകരിക്കുന്ന പ്രാഥമിക ഇനങ്ങളാണ്.

ചില സന്ദർഭങ്ങളിൽ, സി‌ഐ‌എ ട്രയാഡിന്റെ ഒരു വശത്തെക്കുറിച്ച് നിങ്ങൾ മറ്റുള്ളവരെ അപേക്ഷിച്ച് കൂടുതൽ ശ്രദ്ധാലുവായിരിക്കാം എന്നതും ശ്രദ്ധിക്കേണ്ടതാണ്. ഉദാഹരണത്തിന്, നിങ്ങളുടെ ഏറ്റവും രഹസ്യമായ ചിന്തകൾ ഉൾക്കൊള്ളുന്ന ഒരു സ്വകാര്യ ജേണൽ നിങ്ങൾക്കുണ്ടെങ്കിൽ, ജേണലിന്റെ രഹസ്യസ്വഭാവം നിങ്ങൾക്ക് സമഗ്രതയെക്കാളും ലഭ്യതയെക്കാളും വളരെ പ്രധാനമാണ്. മറ്റൊരു വിധത്തിൽ പറഞ്ഞാൽ, ആർക്കെങ്കിലും ജേണലിലേക്ക് എഴുതാൻ കഴിയുമോ (അത് വായിക്കുന്നതിന് വിരുദ്ധമായി) അല്ലെങ്കിൽ ജേണൽ എപ്പോഴും ആക്‌സസ് ചെയ്യാനാകുമോ ഇല്ലയോ എന്നതിനെക്കുറിച്ച് നിങ്ങൾക്ക് ആശങ്കയുണ്ടാകില്ല. മറുവശത്ത്, നിങ്ങൾ മെഡിക്കൽ കുറിപ്പടികൾ ട്രാക്ക് ചെയ്യുന്ന ഒരു സിസ്റ്റം സുരക്ഷിതമാക്കുകയാണെങ്കിൽ, ഡാറ്റയുടെ സമഗ്രത ഏറ്റവും നിർണായകമായിരിക്കും. ആരെങ്കിലും ഉപയോഗിക്കുന്ന മരുന്നുകൾ വായിക്കുന്നതിൽ നിന്ന് മറ്റുള്ളവരെ തടയേണ്ടത് പ്രധാനമാണെങ്കിലും നിങ്ങൾക്ക് ഈ മരുന്നുകളുടെ ലിസ്റ്റ് ആക്‌സസ് ചെയ്യാൻ കഴിയുന്നത് പ്രധാനമാണ്, സിസ്റ്റത്തിന്റെ ഉള്ളടക്കം മാറ്റാൻ ആർക്കെങ്കിലും കഴിഞ്ഞാൽ (സമഗ്രതയിൽ മാറ്റം വരുത്തുന്നത്) ജീവൻ അപകടപ്പെടുത്തുന്ന ഫലങ്ങൾ.

നിങ്ങൾ ഒരു സിസ്റ്റം സുരക്ഷിതമാക്കുകയും ഒരു പ്രശ്നം കണ്ടെത്തുകയും ചെയ്യുമ്പോൾ, ഈ മൂന്ന് ആശയങ്ങളിൽ ഏതാണ്, അല്ലെങ്കിൽ അവയിൽ ഏത് സംയോജനമാണ് പ്രശ്നം വരുന്നതെന്ന് നിങ്ങൾ പരിഗണിക്കേണ്ടതുണ്ട്. ഇത് കൂടുതൽ സമഗ്രമായ രീതിയിൽ പ്രശ്നം മനസിലാക്കാൻ നിങ്ങളെ സഹായിക്കുകയും പ്രശ്‌നങ്ങളെ തരംതിരിക്കാനും അതിനനുസരിച്ച് പ്രതികരിക്കാനും നിങ്ങളെ അനുവദിക്കുന്നു. സിഐഎ ട്രയാഡിൽ നിന്നുള്ള ഒരൊറ്റ അല്ലെങ്കിൽ ഒന്നിലധികം ഇനങ്ങളെ ബാധിക്കുന്ന കേടുപാടുകൾ തിരിച്ചറിയാൻ സാധിക്കും. ഒരു SQL ഇൻജക്ഷൻ ദുർബലതയുള്ള ഒരു വെബ് ആപ്ലിക്കേഷൻ ഉദാഹരണമായി ഉപയോഗിക്കുന്നതിന്:

• രഹസ്യ: വെബ് ആപ്ലിക്കേഷന്റെ മുഴുവൻ ഉള്ളടക്കങ്ങളും എക്‌സ്‌ട്രാക്‌റ്റുചെയ്യാൻ ആക്രമണകാരിയെ അനുവദിക്കുന്ന ഒരു SQL കുത്തിവയ്‌ക്കൽ അപകടസാധ്യത, എല്ലാ ഡാറ്റയും വായിക്കാൻ അവർക്ക് പൂർണ്ണ ആക്‌സസ് ഉണ്ടായിരിക്കും, പക്ഷേ വിവരങ്ങൾ മാറ്റാനോ ഡാറ്റാബേസിലേക്കുള്ള ആക്‌സസ് അപ്രാപ്‌തമാക്കാനോ കഴിവില്ല.

• നിർമലത: ഡാറ്റാബേസിൽ നിലവിലുള്ള വിവരങ്ങൾ മാറ്റാൻ ആക്രമണകാരിയെ അനുവദിക്കുന്ന ഒരു SQL ഇൻജക്ഷൻ ദുർബലത. ആക്രമണകാരിക്ക് ഡാറ്റ വായിക്കാനോ ഡാറ്റാബേസ് ആക്‌സസ് ചെയ്യുന്നതിൽ നിന്ന് മറ്റുള്ളവരെ തടയാനോ കഴിയില്ല.

• ലഭ്യത: ഒരു SQL കുത്തിവയ്പ്പ് അപകടസാധ്യത, അത് സെർവറിലെ വലിയ അളവിലുള്ള റിസോഴ്സുകൾ ഉപയോഗിച്ചുകൊണ്ട് ദീർഘനേരം പ്രവർത്തിക്കുന്ന അന്വേഷണം ആരംഭിക്കുന്നു. ഈ ചോദ്യം, ഒന്നിലധികം തവണ ആരംഭിക്കുമ്പോൾ, സേവന നിഷേധം (DoS) സാഹചര്യത്തിലേക്ക് നയിക്കുന്നു. ആക്രമണകാരിക്ക് ഡാറ്റ ആക്‌സസ് ചെയ്യാനോ മാറ്റാനോ കഴിവില്ല, എന്നാൽ വെബ് ആപ്ലിക്കേഷൻ ആക്‌സസ് ചെയ്യുന്നതിൽ നിന്ന് നിയമാനുസൃത ഉപയോക്താക്കളെ തടയാൻ കഴിയും.

• ഒന്നിലധികം: ഒരു SQL ഇൻജക്ഷൻ ദുർബലത വെബ് ആപ്ലിക്കേഷൻ പ്രവർത്തിപ്പിക്കുന്ന ഹോസ്റ്റ് ഓപ്പറേറ്റിംഗ് സിസ്റ്റത്തിലേക്കുള്ള പൂർണ്ണ ഇന്ററാക്ടീവ് ഷെൽ ആക്‌സസിലേക്ക് നയിക്കുന്നു. ഈ ആക്‌സസ് ഉപയോഗിച്ച്, ആക്രമണകാരിക്ക് അവർക്ക് ഇഷ്ടമുള്ള രീതിയിൽ ഡാറ്റ ആക്‌സസ് ചെയ്‌ത് സിസ്റ്റത്തിന്റെ രഹസ്യാത്മകത ലംഘിക്കാനും ഡാറ്റയിൽ മാറ്റം വരുത്തി സിസ്റ്റത്തിന്റെ സമഗ്രതയിൽ വിട്ടുവീഴ്‌ച ചെയ്യാനും അവർ തിരഞ്ഞെടുക്കുകയാണെങ്കിൽ, വെബ് ആപ്ലിക്കേഷൻ നശിപ്പിക്കാനും കഴിയും, ഇത് ലഭ്യതയിൽ വിട്ടുവീഴ്ചയിലേക്ക് നയിക്കും. സിസ്റ്റം.

സിഐഎ ട്രയാഡിന് പിന്നിലെ ആശയങ്ങൾ അമിതമായി സങ്കീർണ്ണമല്ല, കൂടാതെ യാഥാർത്ഥ്യപരമായി നിങ്ങൾ അവബോധപൂർവ്വം പ്രവർത്തിക്കുന്ന ഇനങ്ങളാണ്, നിങ്ങൾ അത് തിരിച്ചറിയുന്നില്ലെങ്കിലും. എന്നിരുന്നാലും, നിങ്ങളുടെ ശ്രമങ്ങൾ എവിടെയാണ് നയിക്കേണ്ടതെന്ന് തിരിച്ചറിയാൻ നിങ്ങളെ സഹായിക്കുന്നതിനാൽ ആശയവുമായി ശ്രദ്ധാപൂർവം സംവദിക്കുന്നത് പ്രധാനമാണ്. ഈ ആശയപരമായ അടിസ്ഥാനം നിങ്ങളുടെ സിസ്റ്റങ്ങളുടെ നിർണായക ഘടകങ്ങളെ തിരിച്ചറിയുന്നതിനും തിരിച്ചറിഞ്ഞ പ്രശ്നങ്ങൾ പരിഹരിക്കുന്നതിന് നിക്ഷേപം നടത്തുന്ന ശ്രമങ്ങളുടെയും വിഭവങ്ങളുടെയും അളവിലും നിങ്ങളെ സഹായിക്കും.

ഞങ്ങൾ വിശദമായി അഭിസംബോധന ചെയ്യുന്ന മറ്റൊരു ആശയം റിസ്ക്, അത് എങ്ങനെയാണ് നിർമ്മിച്ചിരിക്കുന്നത് ഭീഷണികൾ ഒപ്പം ദുർബലതകൾ. ഈ ആശയങ്ങൾ വളരെ സങ്കീർണ്ണമല്ല, പക്ഷേ അവ തെറ്റ് ചെയ്യാൻ എളുപ്പമാണ്. ഈ ആശയങ്ങൾ ഞങ്ങൾ പിന്നീട് വിശദമായി വിവരിക്കും, എന്നാൽ ഉയർന്ന തലത്തിൽ, ചിന്തിക്കുന്നതാണ് നല്ലത് റിസ്ക് സംഭവിക്കുന്നത് തടയാൻ നിങ്ങൾ ശ്രമിക്കുന്നത് പോലെ, ഭീഷണി ആരാണ് നിങ്ങളോട് ഇത് ചെയ്യുന്നത്, ഒപ്പം കേടുപാടുകൾ അത് ചെയ്യാൻ അവരെ അനുവദിക്കുന്നത് പോലെ. അപകടസാധ്യത ലഘൂകരിക്കുക എന്ന ലക്ഷ്യത്തോടെ, ഭീഷണി അല്ലെങ്കിൽ ദുർബലത പരിഹരിക്കുന്നതിന് നിയന്ത്രണങ്ങൾ സ്ഥാപിക്കാവുന്നതാണ്.

ഉദാഹരണത്തിന്, ലോകത്തിന്റെ ചില ഭാഗങ്ങൾ സന്ദർശിക്കുമ്പോൾ, നിങ്ങൾ ഗണ്യമായി ആയിരിക്കാം റിസ്ക് മലേറിയ പിടിപെടുന്നതിന്റെ. ഇത് കാരണം ഭീഷണി ചില പ്രദേശങ്ങളിൽ കൊതുകുകളുടെ എണ്ണം വളരെ കൂടുതലാണ്, നിങ്ങൾക്ക് മലേറിയയിൽ നിന്ന് രക്ഷയില്ല. ഭാഗ്യവശാൽ, നിങ്ങൾക്ക് നിയന്ത്രിക്കാനാകും കേടുപാടുകൾ മരുന്ന് ഉപയോഗിച്ച് നിയന്ത്രിക്കാൻ ശ്രമിക്കുക ഭീഷണി ബഗ് റിപ്പല്ലന്റും കൊതുക് വലകളും ഉപയോഗിച്ച്. രണ്ടിനെയും അഭിസംബോധന ചെയ്യുന്ന നിയന്ത്രണങ്ങളോടെ ഭീഷണി ഒപ്പം കേടുപാടുകൾ, ഉറപ്പാക്കാൻ നിങ്ങൾക്ക് സഹായിക്കാനാകും റിസ്ക് യാഥാർത്ഥ്യമാക്കുന്നില്ല.