Знакомство с Linux для безопасности (часть 1)

Предметные:
- Освоить базовые команды Linux и навигацию в терминале
- Понять структуру файловой системы Linux и права доступа
- Изучить процессы, службы и управление ими
- Познакомиться с российскими Linux-дистрибутивами для ИБ

Метапредметные:
- Развить навыки работы с текстовыми интерфейсами
- Сформировать системное мышление при работе с ОС
- Освоить принципы автоматизации рутинных задач
- Развить навыки troubleshooting и диагностики

Личностные:
- Сформировать уверенность в работе с технически сложными системами
- Развить настойчивость при решении технических проблем
- Воспитать уважение к открытым технологиям и сообществу
- Сформировать интерес к глубокому изучению технологий

Проблемная ситуация:
- Кейс: "Хакер vs Админ: битва в терминале"
- Демонстрация: live ethical hacking сессия
- Вопрос: "Почему все специалисты по ИБ знают Linux?"

Статистика Linux в кибербезопасности (2025):
- 96% серверов интернета работают на Linux
- 100% топ-500 суперкомпьютеров используют Linux
- 85% специалистов по ИБ ежедневно работают с Linux
- 70% инструментов ethical hacking созданы для Linux

Российский контекст:
- Astra Linux в госсекторе и критической инфраструктуре
- РЕД ОС в корпоративном сегменте
- Альт Линукс в образовании
- ROSA Linux для desktop решений

Почему Linux критичен для кибербезопасности:
- Открытый исходный код → прозрачность и аудируемость
- Гибкость настройки → точная конфигурация безопасности
- Мощные инструменты командной строки → автоматизация
- Активное сообщество → быстрое реагирование на угрозы
- Специализированные дистрибутивы (Kali, Parrot, BlackArch)

Целеполагание:
- "К концу урока вы будете чувствовать себя как дома в Linux терминале"
- Определение личных целей изучения Linux
- Планирование практического применения навыков

Архитектура Linux системы:

Ядро (Kernel):
- Управление ресурсами и аппаратурой
- Системные вызовы и API
- Модули ядра и драйверы
- Безопасность на уровне ядра (LSM - Linux Security Modules)

Системные службы (System Services):
- systemd как современный init system
- Управление процессами и ресурсами
- Логирование через journald
- Сетевые службы и их безопасность

Пользовательское пространство (Userspace):
- Библиотеки и системные утилиты
- Оболочки (bash, zsh, fish)
- Графические интерфейсы (GNOME, KDE, XFCE)
- Приложения и инструменты

Дистрибутивы Linux для кибербезопасности:

Международные специализированные:
- Kali Linux: Swiss Army knife для penetration testing
  - 600+ предустановленных инструментов
  - Регулярные обновления с новыми exploit'ами
  - Live режим для forensics и incident response

- Parrot Security OS: Privacy и security focused
  - Анонимность и privacy tools
  - Lightweight и быстрый
  - Криптографические инструменты

- BlackArch Linux: Repository-based approach
  - 2800+ инструментов безопасности
  - Модульная архитектура
  - Основан на Arch Linux

Российские решения:
- Astra Linux Special Edition:
  - Сертификация ФСТЭК 1-4 класс
  - Мандатное управление доступом
  - Интеграция с российской криптографией
  - Применение в критически важных системах

- РЕД ОС Murom:
  - Корпоративный класс защищенности
  - Поддержка отечественного железа
  - Совместимость с 1С и российским ПО

- Альт Сервер:
  - Образовательные и научные организации
  - Высокая стабильность и безопасность
  - Поддержка российских стандартов

Выбор дистрибутива для задач ИБ:

Для pentesting: Kali Linux или Parrot Security
Для digital forensics: CAINE или DEFT Linux
Для анонимности: Tails или Kodachi
Для обучения: Ubuntu/Debian + установка инструментов
Для production в России: Astra Linux или РЕД ОС

Практическая демонстрация:
- Загрузка Kali Linux в live режиме
- Обзор предустановленных инструментов
- Сравнение с обычным Ubuntu desktop
- Демонстрация Astra Linux интерфейса

Основы работы с терминалом:

Структура команды Linux:
command [options] [arguments]

Базовая навигация и файловые операции:

```bash
# Навигация по файловой системе
pwd                    # Текущая директория
ls                     # Список файлов
ls -la                 # Подробный список с правами
ls -lah                # + человекочитаемые размеры
cd /path/to/directory  # Смена директории
cd ~                   # Домашняя директория
cd ..                  # Родительская директория
cd -                   # Предыдущая директория

# Работа с файлами и папками
mkdir directory_name   # Создать папку
mkdir -p path/to/dir   # Создать путь рекурсивно
rmdir directory_name   # Удалить пустую папку
rm file_name           # Удалить файл
rm -rf directory/      # Удалить папку рекурсивно
cp source destination  # Копировать
mv source destination  # Переместить/переименовать

# Просмотр содержимого файлов
cat file.txt          # Весь файл
less file.txt         # Постраничный просмотр
head file.txt         # Первые 10 строк
head -n 20 file.txt   # Первые 20 строк
tail file.txt         # Последние 10 строк
tail -f /var/log/auth.log  # Мониторинг в реальном времени

# Просмотр прав доступа
ls -l file.txt
# Результат: -rw-r--r-- 1 user group 1234 Jan 1 12:00 file.txt
# Расшифровка: тип файла, права owner/group/other, владелец, группа, размер

# Изменение прав доступа
chmod 755 script.sh    # rwxr-xr-x
chmod u+x script.sh    # Добавить execute для владельца
chmod go-w file.txt    # Убрать write для группы и других
chmod a+r file.txt     # Добавить read для всех

# Изменение владельца
chown user:group file.txt
chown -R user:group directory/

# Специальные права
chmod u+s /usr/bin/passwd  # SUID bit
chmod g+s /shared/folder   # SGID bit
chmod +t /tmp              # Sticky bit

# Поиск файлов
find /path -name "*.txt"           # По имени
find /home -user username          # По владельцу
find /var -size +100M              # По размеру
find /etc -type f -perm 644        # По правам доступа
find / -name "*.conf" 2>/dev/null  # Игнорировать ошибки

# Поиск в содержимом файлов
grep "password" /etc/passwd
grep -r "error" /var/log/          # Рекурсивный поиск
grep -i "failed" /var/log/auth.log # Игнорировать регистр
grep -v "INFO" log.txt             # Исключить строки

# Мощная комбинация find + grep
find /var/log -name "*.log" -exec grep -l "failed" {} \;

# Просмотр процессов
ps aux                    # Все процессы
ps aux | grep apache      # Поиск конкретного процесса
top                       # Интерактивный мониторинг
htop                      # Улучшенная версия top
pstree                    # Дерево процессов

# Управление процессами
kill PID                  # Завершить процесс
kill -9 PID              # Принудительно завершить
killall firefox          # Завершить все процессы firefox
pkill -f "python script" # Завершить по имени команды

# Фоновые процессы
command &                # Запустить в фоне
nohup command &          # Запустить независимо от терминала
jobs                     # Показать фоновые задачи
fg %1                    # Вернуть задачу в foreground

# Анализ сетевых соединений
netstat -tuln             # TCP/UDP listening ports
ss -tuln                  # Современная альтернатива netstat
lsof -i                   # Файлы открытые по сети
lsof -i :80               # Что использует порт 80

# Сетевая диагностика
ping google.com           # Проверка доступности
traceroute google.com     # Трассировка маршрута
nmap localhost            # Сканирование портов
curl -I https://site.com  # HTTP заголовки
wget -O - https://site.com # Скачать содержимое

# Мониторинг сетевого трафика
tcpdump -i eth0           # Перехват пакетов
iftop                     # Мониторинг полосы пропускания
nethogs                  # Какие процессы используют сеть

# Информация о системе
uname -a                  # Информация о ядре
lsb_release -a           # Информация о дистрибутиве
whoami                   # Текущий пользователь
id                       # ID пользователя и группы
last                     # История входов в систему
w                        # Кто сейчас в системе

# Ресурсы системы
df -h                    # Использование дисков
du -sh /var/log          # Размер директории
free -h                  # Использование памяти
uptime                   # Время работы и нагрузка
lscpu                    # Информация о процессоре
lsblk                    # Блочные устройства

### **Блок 4. Файловая система Linux глазами киберзащитника (20 минут)**
```yaml
Структура файловой системы и точки интереса для ИБ:

Корень файловой системы (/):

Критически важные директории для кибербезопасности:

/etc/ - Центр управления системой:
```bash
# Пользователи и группы
cat /etc/passwd              # Список пользователей
cat /etc/shadow              # Хеши паролей (только root)
cat /etc/group               # Группы пользователей
cat /etc/sudoers             # Конфигурация sudo

# Сетевые настройки
cat /etc/hosts               # Локальная таблица DNS
cat /etc/resolv.conf         # DNS серверы
cat /etc/network/interfaces  # Сетевые интерфейсы (Debian)
cat /etc/ssh/sshd_config     # Конфигурация SSH демона

# Системные службы
ls /etc/systemd/system/      # Файлы служб systemd
cat /etc/crontab             # Расписание задач
ls /etc/init.d/              # Legacy службы

# Системные логи
tail -f /var/log/syslog         # Общие системные события
tail -f /var/log/auth.log       # Аутентификация и авторизация
tail -f /var/log/kern.log       # Сообщения ядра
tail -f /var/log/dmesg          # Сообщения при загрузке

# Сетевые и службы
tail -f /var/log/apache2/access.log  # Веб-сервер доступы
tail -f /var/log/apache2/error.log   # Ошибки веб-сервера
tail -f /var/log/mail.log            # Почтовый сервер
tail -f /var/log/ufw.log             # Firewall Ubuntu

# Анализ логов для ИБ
grep "Failed password" /var/log/auth.log
grep "Invalid user" /var/log/auth.log
grep "authentication failure" /var/log/auth.log

# Информация о процессах
cat /proc/1/cmdline          # Командная строка процесса 1 (init)
ls /proc/self/fd/            # Открытые файловые дескрипторы
cat /proc/meminfo            # Информация о памяти
cat /proc/cpuinfo            # Информация о процессоре

# Сетевая информация
cat /proc/net/tcp            # TCP соединения
cat /proc/net/udp            # UDP соединения
cat /proc/net/route          # Таблица маршрутизации

# История команд (потенциальная утечка информации)
cat ~/.bash_history
cat ~/.zsh_history

# SSH ключи и конфигурация
ls -la ~/.ssh/
cat ~/.ssh/config
cat ~/.ssh/known_hosts

# Конфигурации приложений
ls -la ~/.config/
ls -la ~/.local/

# Поиск скрытых файлов
find /home -name ".*" -type f
find /tmp -name ".*" -type f

# Файлы без владельца (подозрительно!)
find / -nouser -o -nogroup 2>/dev/null

# Файлы с необычными правами
find / -perm -4000 2>/dev/null  # SUID файлы
find / -perm -2000 2>/dev/null  # SGID файлы
find / -perm -1000 2>/dev/null  # Sticky bit

# Большие файлы (возможно логи атак)
find / -size +100M 2>/dev/null

### **Блок 5. Лабораторная работа "Linux Security Baseline" (15 минут)**
```yaml
Задание: Провести базовую оценку безопасности Linux системы

Часть 1: Аудит пользователей и доступа (5 минут)
```bash
# Скрипт для анализа пользователей
#!/bin/bash
echo "=== АНАЛИЗ ПОЛЬЗОВАТЕЛЕЙ ==="
echo "Пользователи с UID 0 (root права):"
awk -F: '$3 == 0 {print $1}' /etc/passwd

echo -e "\nПользователи с shell доступом:"
grep -E "/(bash|sh|zsh)$" /etc/passwd

echo -e "\nПоследние входы в систему:"
last | head -10

echo -e "\nПользователи в группе sudo:"
getent group sudo

echo -e "\nПроверка пустых паролей:"
sudo awk -F: '$2 == "" {print $1}' /etc/shadow

# Выполнить и проанализировать результаты

# Скрипт для анализа сетевых служб
#!/bin/bash
echo "=== АНАЛИЗ СЕТЕВЫХ СЛУЖБ ==="
echo "Открытые TCP порты:"
ss -tuln | grep LISTEN

echo -e "\nПроцессы с сетевым доступом:"
lsof -i | head -20

echo -e "\nАктивные systemd службы:"
systemctl list-units --type=service --state=active | grep -E "(ssh|http|ftp|telnet)"

echo -e "\nFirewall статус:"
sudo ufw status verbose 2>/dev/null || echo "UFW не установлен"
sudo iptables -L 2>/dev/null || echo "Нет доступа к iptables"

# Скрипт для проверки целостности
#!/bin/bash
echo "=== ПРОВЕРКА ЦЕЛОСТНОСТИ СИСТЕМЫ ==="
echo "Файлы с особыми правами:"
find /usr/bin /usr/sbin /bin /sbin -perm -4000 -type f 2>/dev/null

echo -e "\nПроверка критических файлов:"
ls -la /etc/passwd /etc/shadow /etc/sudoers

echo -e "\nПоследние изменения в /etc:"
find /etc -mtime -1 -type f 2>/dev/null | head -10

echo -e "\nПроцессы от root:"
ps aux | awk '$1 == "root" {print $2, $11}' | head -10

echo -e "\nПроверка cron заданий:"
ls -la /var/spool/cron/crontabs/ 2>/dev/null
cat /etc/crontab 2>/dev/null

## 📚 **Дидактические материалы**

### **Практические ресурсы:**
```yaml
Виртуальные среды:
- Ubuntu 22.04 LTS с предустановленными уязвимостями
- Kali Linux для демонстрации инструментов
- Astra Linux CE для российского контекста
- Vulnerable Linux machines (VulnHub, TryHackMe)

Cheat sheets и справочники:
- Linux Command Line Cheat Sheet для кибербезопасности
- Файловая система Linux: Security Edition
- Процессы и службы: мониторинг и анализ
- Логи Linux: что искать и где найти

Инструменты и скрипты:
- Коллекция bash-скриптов для аудита безопасности
- Автоматизированные чекеры конфигурации
- Парсеры логов для анализа инцидентов
- Мониторинговые решения (htop, iotop, nethogs)

Документация по отечественным дистрибутивам:
- Руководство администратора Astra Linux
- Документация РЕД ОС по безопасности
- Методики ФСТЭК по защищенным ОС
- Сравнительный анализ российских Linux решений

Кейсы внедрения:
- Миграция госорганов на Astra Linux
- Опыт банковского сектора с РЕД ОС
- Образовательные учреждения на Альт Линукс
- Критическая инфраструктура и отечественные ОС

"Linux Command Challenge":
- Пошаговые задания возрастающей сложности
- Система очков и достижений
- Соревнование между командами
- Бонусы за креативные решения

"System Detective":
- Расследование "кибер-инцидента" в виртуальной среде
- Поиск улик через анализ логов и файловой системы
- Работа в командах "следователей"
- Презентация найденных доказательств

"Admin Survival":
- Симуляция работы системного администратора
- Решение возникающих проблем в реальном времени
- Оценка по скорости и качеству решений
- Дебриф с анализом лучших практик

OverTheWire Bandit:
- Онлайн-платформа для изучения Linux
- Пошаговые задания с нарастающей сложностью
- Фокус на командной строке и безопасности
- Возможность работы из дома

TryHackMe Linux Fundamentals:
- Структурированный курс с практическими заданиями
- Виртуальные машины в браузере
- Сертификаты за прохождение модулей
- Сообщество для взаимопомощи

Terminus (командная строка в игровой форме):
- Обучение командам Linux через игру
- Визуальная обратная связь
- Подходит для начинающих
- Мотивационная система прогресса

Практические навыки командной строки (40%):
- Скорость выполнения базовых операций
- Правильность использования команд и опций
- Способность решать нестандартные задачи
- Эффективность использования инструментов

Понимание системной архитектуры (30%):
- Знание структуры файловой системы
- Понимание процессов и служб
- Способность анализировать конфигурацию
- Логическое мышление при troubleshooting

Безопасность и аудит (30%):
- Выявление проблем безопасности
- Качество анализа логов и системы
- Практичность предложенных решений
- Понимание российских особенностей

Обязательные элементы:
- Скриншоты выполненных команд с объяснениями
- Анализ результатов лабораторной работы
- Личный cheat sheet с полезными командами
- Рефлексия о сложностях и открытиях

Дополнительные элементы:
- Решения задач с OverTheWire Bandit
- Автоматизированные скрипты для аудита
- Сравнение различных Linux дистрибутивов
- Исследование российских Linux решений

Цель: Настроить и защитить виртуальный Linux сервер

Задачи:
1. Установка и базовая настройка:
   - Установить Ubuntu Server или CentOS в VirtualBox/VMware
   - Создать пользователя с sudo правами
   - Настроить SSH доступ с ключами
   - Обновить систему и установить базовые инструменты

2. Конфигурация безопасности:
   - Отключить root login через SSH
   - Настроить firewall (ufw или iptables)
   - Настроить fail2ban для защиты от брутфорса
   - Создать backup пользователей и конфигураций

3. Мониторинг и логирование:
   - Настроить ротацию логов
   - Создать скрипты для мониторинга ресурсов
   - Настроить алерты о подозрительной активности
   - Создать дашборд состояния системы

4. Документация:
   - Написать руководство по администрированию
   - Создать troubleshooting guide
   - Задокументировать все изменения конфигурации
   - Подготовить план disaster recovery

Deliverables:
- Рабочий Linux сервер (экспорт VM или подробные скриншоты)
- Документация по настройке и администрированию
- Скрипты автоматизации и мониторинга
- Отчет о проведенном security hardening
- Презентация проекта (10 минут)

Исследовательские проекты:
- "Сравнительный анализ Kali Linux vs Parrot Security OS"
- "Astra Linux: от установки до production deployment"
- "Автоматизация security hardening через Ansible"
- "Форензик-анализ скомпрометированной Linux системы"

Практические проекты:
- Создать собственный Linux дистрибутив для ИБ
- Разработать систему мониторинга безопасности
- Настроить honeypot на базе Linux
- Создать lab environment для изучения кибербезопасности

Творческие задания:
- Снять видео-туториал "Linux для начинающих хакеров"
- Написать детективную историю с Linux командами
- Создать интерактивную карту Linux файловой системы
- Разработать игру для изучения bash команд

Командные проекты:
- Организовать Linux Install Party в школе
- Провести workshop по основам Linux для родителей
- Создать школьный Linux сервер для проектов
- Написать статью о российских Linux дистрибутивах

Урок 4 → Урок 5:
- Принципы безопасности ОС → их реализация в Linux
- Теоретические модели доступа → практические права в Linux
- Аудит Windows систем → аудит Linux систем
- Российские ОС → погружение в Astra Linux

Урок 5 → Урок 6 (Linux часть 2):
- Базовые команды → продвинутые техники
- Пользовательский уровень → системное администрирование
- Локальная безопасность → сетевая безопасность
- Ручные операции → автоматизация и скрипты

Навыки для Урока 6:
- Уверенная работа в терминале
- Понимание файловой системы
- Базовые навыки troubleshooting
- Знание основных инструментов мониторинга

Linux как основа для других модулей:
- Криптография: OpenSSL и криптографические инструменты
- Сети: сетевые утилиты и анализ трафика
- Программирование: bash scripting и автоматизация
- Веб-безопасность: настройка серверов и анализ логов

Профессиональные навыки:
- System Administrator / DevOps Engineer
- Security Analyst / SOC Analyst
- Penetration Tester / Red Team
- Digital Forensics Investigator

Преодоление "терминофобии":
- Начинать с простых и понятных команд
- Показывать практическую пользу каждой команды
- Поощрять эксперименты в безопасной среде
- Использовать аналогии с графическим интерфейсом

Развитие muscle memory:
- Регулярная практика базовых команд
- Постепенное усложнение задач
- Использование истории команд и автодополнения
- Создание личных cheat sheets

Безопасность при обучении:
- Работа только в виртуальных машинах
- Четкие границы экспериментов
- Снапшоты VM для быстрого восстановления
- Контроль за потенциально опасными командами

Акцент на отечественные решения:
- Демонстрация Astra Linux и РЕД ОС
- Сравнение с международными аналогами
- Обсуждение преимуществ импортозамещения
- Примеры успешного внедрения в России

Соответствие требованиям ФСТЭК:
- Изучение защищенных конфигураций
- Понимание требований к разным классам систем
- Практика с сертифицированными дистрибутивами
- Связь с будущей профессиональной деятельностью

Развитие патриотизма через технологии:
- Гордость за российские технологические достижения
- Понимание важности технологической независимости
- Мотивация к развитию отечественных IT-решений
- Критическое, но конструктивное отношение к импортозамещению

Для новичков в IT:
- Больше времени на освоение базовых концепций
- Пошаговые инструкции с объяснением каждого шага
- Групповая работа с более опытными учениками
- Фокус на понимании логики команд

Для имеющих опыт:
- Более сложные задачи и исследовательские элементы
- Роль наставников для начинающих
- Самостоятельное изучение продвинутых тем
- Участие в реальных проектах и соревнованиях

Универсальные принципы:
- Hands-on подход с минимумом теории
- Реальные задачи и практические сценарии
- Регулярная обратная связь и поддержка
- Связь с личными интересами и карьерными планами