Có nguy hiểm khi cài đặt các công cụ hack trên máy linux riêng của tôi không?


12

Tôi sử dụng Ubuntu của tôi cho mục đích riêng tư và kinh doanh. Tôi cũng có thể cài đặt các công cụ trên máy tính của mình thực sự ở đó để thực hiện các bài kiểm tra thâm nhập không? Hay là nó vô hại?


1
Một số công cụ được sử dụng bởi cả người kiểm tra thâm nhập và quản trị viên mạng, chẳng hạn như nmapcông cụ quét. Chúng được cài đặt trên máy tính kinh doanh là tốt. Công cụ gỡ lỗi và theo dõi được sử dụng bởi các nhà phát triển và kỹ sư. Những công cụ nói chung là hoàn toàn OK để cài đặt. Python, Perl, netcat, nmap - tất cả những thứ được sử dụng để pentesting, nhưng chúng không được sử dụng riêng cho việc đó, vì vậy không có lý do gì để không cài đặt chúng. Các công cụ tiêm dễ bị tổn thương - những công cụ được sử dụng đặc biệt để tấn công, vì vậy không có lý do gì để có chúng trừ khi bạn là một pentester chuyên nghiệp.
Sergiy Kolodyazhnyy

Câu trả lời:


15

Điều đó thực sự phụ thuộc vào các chương trình.

Như với bất kỳ chương trình nào bạn cài đặt, bạn lý tưởng nhất:

  • tin tưởng nhà xuất bản không thực hiện các hành động độc hại
  • tin tưởng nhà xuất bản phát triển phần mềm bảo mật

Sự tin tưởng tương tự phải được trao cho bất kỳ sự phụ thuộc nào của chương trình.

Điều làm cho một số công cụ pentest trở nên đặc biệt là chúng cung cấp bề mặt tấn công lớn hơn nhiều chương trình khác và những người sử dụng chúng là mục tiêu thú vị hơn so với người dùng của nhiều chương trình khác.

Ví dụ, Wireshark đặc biệt cảnh báo không nên chạy bằng root, vì số lượng lỗ hổng cao (vì bề mặt tấn công cao, ngôn ngữ không an toàn (C), người đóng góp mới làm quen, v.v.). Tất nhiên, bạn cũng có thể không hài lòng với việc tài khoản người dùng của mình bị xâm phạm.

Theo nguyên tắc chung, tôi sẽ sử dụng các quy tắc sau:

  1. chạy các chương trình pentest trên máy tính chuyên dụng hoặc ít nhất là VM chuyên dụng nếu có thể.
  2. bề mặt tấn công của chương trình càng lớn và số lượng lỗ hổng đã biết / mã càng kém an toàn thì quy tắc 1 càng trở nên quan trọng.
  3. Nguồn chương trình càng ít uy tín, bạn càng muốn tuân theo quy tắc 1. Kho lưu trữ Ubuntu, ví dụ, thường có thể được tin cậy nhiều hơn một kho lưu trữ github ngẫu nhiên từ một thực thể không xác định hoặc chương trình nodejs với hàng tá phụ thuộc npm.

1

IMG: Công cụ linux Kali là công cụ hack không an toàn cũng không vô hại. Cài đặt các công cụ linux Kali trong Ubuntu bằng Katoolin hoặc các phương tiện khác có thể biến Ubuntu thành một hệ điều hành Ubuntu / Kali Linux lai có thể thực hiện được bởi thực tế là cả hai hệ điều hành đều dựa trên Debian.

Cách an toàn duy nhất để cài đặt các công cụ linux của Kali là cài đặt Kali Linux trong một máy ảo.


10
Ở đâu, ngoài câu trả lời này của bạn, câu hỏi này có thảo luận về Kali Linux không? Tôi không thấy nó.
một CVn

2
Các công cụ linux của Kali là những gì Katoolin gọi là các công cụ hack từ bản phân phối Kali Linux. Công cụ Linux Kali cũng có thể là từ đồng nghĩa với Katoolin. Katoolin là một tập lệnh giúp cài đặt các công cụ Kali Linux trên Ubuntu và các bản phân phối Linux khác. Tôi không muốn trả lời câu hỏi này vì tôi biết từ kinh nghiệm rằng nhiều người muốn được cung cấp một gói lời nói dối rằng các công cụ Kali Linux trong Ubuntu là an toàn, tuy nhiên vì tôi là người trả lời được nâng cấp hàng đầu trên thẻ katoolin I cảm thấy rằng tôi có trách nhiệm nói sự thật về chủ đề này.
karel

5
Tôi không tranh luận rằng việc cài đặt nhị phân được xây dựng cho các bản phân phối khác có thể, ở thời điểm tốt nhất, có thể gặp rủi ro từ quan điểm tương thích. (Tuy nhiên, thông thường, kinh nghiệm của tôi là điều tồi tệ nhất sẽ xảy ra là bất cứ thứ gì nhị phân bạn cài đặt sẽ từ chối chạy do các thư viện bị thiếu hoặc không khớp.) Nhưng tôi không thấy bất cứ nơi nào câu hỏi này thảo luận về Kali. Tất cả những gì tôi thấy là một câu hỏi về việc cài đặt các công cụ pentesting, và liệu điều đó có mang lại rủi ro (bất kỳ đặc biệt) nào không. Tôi mong đợi một câu trả lời cho một câu hỏi như vậy để thảo luận về các công cụ như vậy nói chung (như câu trả lời của tim), chứ không phải Kali.
một CVn


0

Theo ý kiến ​​của tôi, cài đặt kali Linux thay cho Ubuntu. nhưng nếu bạn làm việc với thi cuối cùng, bạn có thể tìm thấy các công cụ hack kali linux trong liên kết này https://tools.kali.org/tools- liệt kê một số tập lệnh có thể được tìm thấy trong GitHub. và trước khi tải xuống bất cứ thứ gì từ web, hãy kiểm tra các bình luận trong phần và cả trang web xem có chính thức hay không. và máy ảo của nó ảo

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.