Файл теневых паролей Linux; хранит зашифрованные пароли пользователей отдельно от /etc/passwd, доступен только суперпользователю root; формат: имя пользователя, хеш пароля, параметры устаревания.
/etc/passwd
Файл учётных записей пользователей системы; содержит имя, UID, GID, домашний каталог и командную оболочку; в современных системах хранит x вместо пароля — пароль перенесён в /etc/shadow.
pwconv
Утилита синхронизации файлов /etc/passwd и /etc/shadow; переносит пароли из /etc/passwd в /etc/shadow в системах с устаревшей конфигурацией.
Инфраструктура аутентификации Linux; позволяет использовать различные методы проверки подлинности (пароли, смарт-карты, биометрику) без изменения приложений; настраивается через файлы в /etc/pam.d/.
/etc/pam.d/
Каталог с конфигурационными файлами PAM; каждый файл настраивает аутентификацию для отдельной службы (например, /etc/pam.d/login).
pam_tally2
Модуль PAM для подсчёта неудачных попыток входа и блокировки учётной записи после превышения заданного порога.
/etc/securetty
Файл, определяющий терминальные устройства (tty), с которых разрешён вход суперпользователя root; записи вне этого файла запрещают вход root с соответствующего терминала.
su
Команда смены учётной записи пользователя в текущем сеансе; su - загружает переменные окружения целевого пользователя; без аргументов переключает на root.
sudo
Команда выполнения отдельных команд от имени другого пользователя (как правило, root) без предоставления полного доступа; права определяются файлом /etc/sudoers.
/etc/sudoers
Конфигурационный файл утилиты sudo; задаёт псевдонимы пользователей, команд и хостов, а также правила доступа; редактируется только командой visudo.
visudo
Команда безопасного редактирования файла /etc/sudoers; открывает файл во временной копии, проверяет синтаксис перед сохранением.
chage
Команда настройки политики устаревания паролей пользователей; -m — минимальный срок, -M — максимальный срок, -W — предупреждение до истечения.
ulimit
Встроенная команда оболочки для ограничения системных ресурсов процессов, запущенных из командной строки: процессорного времени (-t), памяти (-m), числа открытых файлов (-n), числа процессов (-u).
pam_limits
Модуль PAM, обеспечивающий ограничение ресурсов пользователей; настраивается через /etc/security/limits.conf; задаёт жёсткие и мягкие квоты на CPU, память, количество процессов и сеансов входа.
/etc/security/limits.conf
Конфигурационный файл модуля pam_limits; синтаксис: домен тип ресурс значение; позволяет задавать ограничения для отдельных пользователей, групп или всех пользователей.
iptables
Утилита настройки межсетевого экрана с фильтрацией пакетов в Linux на основе инфраструктуры netfilter; правила организованы в таблицы (filter, nat, mangle) и цепочки (INPUT, OUTPUT, FORWARD).
netfilter
Инфраструктура ядра Linux для фильтрации сетевых пакетов; является основой для iptables и будущего nftables.
chain (цепочка iptables)
Упорядоченный набор правил фильтрации пакетов; стандартные цепочки таблицы filter: INPUT (входящие пакеты), OUTPUT (исходящие), FORWARD (транзитные).
ACCEPT / DROP / REJECT
Действия (политики) правил iptables: ACCEPT — пропустить пакет, DROP — отбросить без уведомления отправителя, REJECT — отбросить с уведомлением об ошибке.
UFW (Uncomplicated Firewall)
Упрощённый интерфейс командной строки для управления iptables; используется в Ubuntu и ряде других дистрибутивов.
nmap
Утилита сканирования открытых IP-портов и обнаружения служб; nmap -sT адрес — сканирование TCP-портов, nmap -sU адрес — UDP-портов; применяется для аудита безопасности системы.
syslog / syslogd
Стандартная подсистема и демон журналирования Linux; принимает сообщения от служб через сокет /dev/log и направляет их в файлы согласно настройкам facility.priority в /etc/syslog.conf.
rsyslog
Расширенная реализация syslog с поддержкой фильтрации, шаблонов вывода и централизованного журналирования по сети.
/etc/rsyslog.conf
Конфигурационный файл демона rsyslog; синтаксис записи: facility.priority файл_или_хост; поддерживает расширенные возможности фильтрации.
/var/log/
Стандартный каталог системных журналов Linux; содержит файлы messages, auth.log, syslog, wtmp, lastlog, faillog и подкаталоги журналов отдельных демонов.
journald
Компонент systemd для структурированного журналирования; ведёт бинарный журнал в /var/log/journal/; поддерживает богатую фильтрацию и просматривается командой journalctl.
journalctl
Команда просмотра системного журнала journald; -b — сообщения текущей загрузки, -u служба — записи конкретной службы, -f — режим слежения за новыми записями.
xinetd
Супердемон, управляющий набором сетевых служб; запускает нужный демон только по поступлении запроса и выгружает его по завершении; настраивается через /etc/xinetd.conf и файлы в /etc/xinetd.d/.
/etc/xinetd.d/
Каталог с отдельными конфигурационными файлами служб xinetd; параметр disable = no активирует службу, disable = yes — отключает.
/etc/xinetd.conf
Основной конфигурационный файл демона xinetd; содержит директиву includedir /etc/xinetd.d для подключения конфигурации отдельных служб.
TCP Wrappers
Механизм управления доступом к сетевым службам на основе IP-адреса клиента; использует файлы /etc/hosts.allow (разрешения) и /etc/hosts.deny (запреты).
/etc/hosts.allow
Файл TCP Wrappers с записями разрешённого доступа; синтаксис: служба: адреса_хостов; проверяется первым — найденное совпадение разрешает доступ.
/etc/hosts.deny
Файл TCP Wrappers с записями запрещённого доступа; проверяется после /etc/hosts.allow — совпадение запрещает доступ; при отсутствии совпадений в обоих файлах доступ разрешается.
tcpd
Демон TCP Wrappers; запускается xinetd или inetd вместо целевого демона службы и проверяет правила в hosts.allow/hosts.deny перед передачей управления реальному демону.
inetd
Исторический супердемон (предшественник xinetd); настраивается единым файлом /etc/inetd.conf, где каждая строка определяет одну управляемую службу.
packet-filtering firewall (межсетевой экран с фильтрацией пакетов)
Тип межсетевого экрана, анализирующий каждый проходящий пакет по правилам (адрес источника/назначения, порт, протокол) и принимающий решение о пропуске или блокировании.
social engineering (социальная инженерия)
Методы атаки, эксплуатирующие человеческие слабости (доверчивость, страх, желание помочь) для получения конфиденциальных данных; противодействие — обучение пользователей.
phishing (фишинг)
Вид социальной инженерии: мошеннические письма, имитирующие официальные сообщения от банков или сервисов, с целью похищения учётных данных или финансовой информации.
dictionary attack (словарная атака)
Метод подбора пароля путём перебора слов из словаря; обнаруживается по аномальному количеству неудачных попыток входа в журнале /var/log/faillog.
password aging (устаревание паролей)
Политика принудительной смены пароля по истечении заданного срока; снижает риск длительного использования скомпрометированного пароля; настраивается командой chage.
SUID (Set User ID)
Специальный бит прав доступа для исполняемых файлов; при запуске файла процесс получает привилегии владельца файла (не запускающего пользователя); риск безопасности при наличии на файлах root.
SGID (Set Group ID)
Специальный бит прав доступа; при запуске исполняемого файла процесс получает права группы-владельца; для каталогов — новые файлы наследуют группу-владельца родительского каталога.