快捷搜索:

Linux系统安全隐患及加强安全管理的方法

天下上没有绝对安然的系统,纵然是普遍觉得稳定的Linux系统,在治理和安然方面也存在不够之处。我们期望让系统只管即便在承担低风险的环境下事情,这就要加强对系统安然的治理。

下面,我详细从两个方面来阐述Linux存在的不够之处,并先容若何加强Linux系统在安然方面的治理。

防止黑客的入侵

在谈黑客入侵方面的安然治理之前,我先简单先容一些黑客进击Linux主机的主要道路和惯用伎俩,让大年夜家对黑客进击的道路和伎俩有所懂得。这样才能更好地防患于未然,做好安然警备。

要阻拦黑客蓄意的入侵,可以削减内网与外界收集的联系,以致自力于其它收集系统之外。这种要领虽造成收集应用上的不便,但也是最有效的警备步伐。

黑客一样平常都邑寻求下列道路去试探一台Linux或Unix主机,直到它找到轻易入侵的目标,然后再开始着手入侵。常见的进击伎俩如下:

1、直接窃听取得root密码,或者取得某位特殊User的密码,而该位User可能为root,再获取随意率性一位User的密码,由于取得一样平常用户密码平日很轻易。

2、黑客们常常用一些常用字来破解密 码。曾经有一位美国黑客表示,只要用“password”这个字,就可以打开全美多半的谋略机。其它常用的单词还有:account、ald、 alpha、beta、computer、dead、demo、dollar、games、bod、hello、help、intro、kill、 love、no、ok、okay、please、sex、secret、superuser、system、test、work、yes等。

3、应用敕令:finger@some.cracked.host,就可以知道该台谋略机上面的用户名称。然后找这些用户下手,并经由过程这些轻易入侵的用户取得系统的密码文件/etc/passwd,再用密码字典文件搭配密码预测对象猜出root的密码。

4、使用一样平常用户在/tmp目录放置着的SetUID的文件或者履行着SetUID法度榜样,让root去履行,以孕育发生安然破绽。

5、使用系统上必要SetUID root权限的法度榜样的安然破绽,取得root的权限,例如:pppd。

6、从.rhost的主机入侵。由于当用户履行rlogin登录时,rlogin法度榜样会锁定.rhost定义的主机及账号,并且不必要密码登录。

7、改动用户的.login、cshrc、.profile等Shell设置文件,加入一些破坏法度榜样。用户只要登录就会履行,例如“if /tmp/backdoor exists run /tmp/backdoor”。

8、只要用户登录系统,就会不知不觉地履行Backdoor法度榜样(可能是Crack法度榜样),它会破坏系统或者供给更进一步的系统信息,以利Hacker渗透系统。

9、假如公司的紧张主机可能有收集防火墙的层层防护,Hacker无意偶尔先找该子网的任何一台轻易入侵的主机下手,再逐步向紧张主机伸出魔掌。例如:应用NIS合营联机,可以使用remote 敕令不必要密码即可登录等,这样黑客就很轻易到手了。

10、Hacker会经由过程中心主机联机,再探求进击目标,避免被用逆查法抓到其所在的真正IP地址。

11、Hacker进入主机有好几种 要领,可以经过Telnet(Port 23)、Sendmail(Port25)、FTP(Port 21)或WWW(Port 80)的要领进入。一台主机虽然只有一个地址,然则它可能同时进行多项办事,而这些Port都是黑客“进入”该主机很好的要领。

12、Hacker平日使用 NIS(IP)、NFS这些RPC Service截获信息。只要经由过程简单的敕令(例如showmount),便能让远方的主机自动申报它所供给的办事。当这些信息被截获时,纵然装有 tcp_wrapper等安然防护软件,治理员依然会在绝不知情的环境下被“借”用了NIS Server上的文件系统,而导致/etc/passwd外流。

13、发E-mail给anonymous账号,从FTP站取得/etc/passwd密码文件,或直接下载FTP站/etc目录的passwd文件。

14、收集窃听,应用sniffer法度榜样监视收集Packet,捕捉Telnet,FTP和Rlogin一开始的会话信息,便可顺手截获root密码,以是sniffer是造成今日Internet不法入侵的主要缘故原由之一。

15、使用一些系统安然破绽入侵主机,例如:Sendmail、Imapd、Pop3d、DNS等法度榜样,常常发明安然破绽,这对付入侵不勤于修补系统破绽的主机相称轻易到手。

16、被Hacker入侵谋略机,系统的Telnet法度榜样可能被掉落包,所有用户Telnet session的账号和密码均被记录下,并发E-mail给Hacker,进行更进一步的入侵。

17、Hacker会清除系统记录。一些厉害的Hacker都邑把记录它们进入的光阴、IP地址打消掉落,诸如清除:syslog、lastlog、messages、wtmp、utmp的内容,以及Shell历史文件.history。

18、入侵者常常将如ifconfig、tcpdump这类的反省敕令替换,以避免被发觉。

19、系统家贼偷偷复制/etc/passwd,然后使用字典文件去解密码。

20、家贼经由过程su或sudo之类的Super User法度榜样觊觎root的权限。

21、黑客常常应用Buffer overflow(缓冲区溢位)手动入侵系统。

22、cron是Linux操作系统用来自动履行敕令的对象,如准时备份或删除过时文件等等。入侵者常会用cron来留后门,除了可以准时履行破译码来入侵系统外,又可避免被治理员发明的危险。

23、使用IP spoof(IP欺骗)技巧入侵Linux主机。

以上是今朝常见的黑客进击Linux 主机的手腕。假如黑客可以使用上述一种措施随意马虎地入侵谋略机的话,那么该谋略机的安然性其实太差了,必要从速下载新版的软件来进级或是用patch文件来 修补安然破绽。在此警告,擅自应用他人谋略机系统或偷取他人资料的都是违法行径,盼望各位读者不要以身试法。

除了上面这些措施,很多黑客还可 以使用入侵对象来进击Linux系统。这些对象经常被入侵者完成入侵今后莳植在受害者办事器傍边。这些入侵对象各自有不合的特征,有的只是简单地用来捕捉 用户名和密码,有的则异常强大年夜可记录所有的收集数据流。总之,黑客使用入侵对象也是进击Linux主机的常用措施。

[NextPage]

对黑客的安然防护

假如要保护系统的安然,针对黑客入侵我们要做的第一步应该便是把预防事情提前做好。作为一名系统治理员必然要包管自己治理的系统在安然上没有破绽。这样就不会给不法用户可乘之机。

要提前做好预防事情,我觉得主要有下面几点:

第一,提前关闭所有可能的系统后门,以防止入侵者使用系统中的破绽入侵。例如用“rpcinfo -p”来反省机械上是否运行了一些不需要的远程办事。一旦发明,急速停掉落,以免给不法用户留下系统的后门。

第二,确认系统傍边运行的是较新的Linux、Unix守护法度榜样。由于老的守护法度榜样容许其它机械远程运行一些不法的敕令。

第三,按期从操作系统临盆商那里得到安然补丁法度榜样。

第四,安装加强系统安然的法度榜样,如:Shadow password、TCP wrappet、SSH、PGP等。

第五,可以搭建收集防火墙,防止收集受到进击。

第六,使用扫描对象对系统进行破绽检测,来磨练主机轻易受进击的程度。

第七,多订阅一些安然传递,多造访安然站点,以得到及时的安然信息来修补系统软硬件的破绽。

纵然预防事情做好了也不能大年夜意。跟着 收集技巧的赓续成长,黑客的水平也在赓续进步。他们的进击手段可谓是层出不穷很多意想不到的工作都邑发生,以是我们在做好预防事情的条件下,要天天对系统 进行安然反省。尤其作为一名系统治理员更要随时去察看系统的变更环境,如系统中进程、文件、光阴等的变更环境。

详细说来, 对系统进行安然反省有以下几个措施:

1、充分使用Linux和Unix系统中内置的反省敕令来检测系统。例如,下面的几个敕令在Linux和Unix系统中就很有用场:

-who,查看谁登岸到系统中;

-w,查看谁登岸到系统中,且在做什么操作;

-last,显示系统曾经被登岸的用户和TTYS;

-history,显示系统以前被运行的敕令;

-netstat,可以查看现在的收集状态;

-top,动态实时不雅察系统的进程;

-finger,查看所有的登岸用户。

2、按期反省系统中的日志、文件、光阴和进程信息。如:

-反省/var/log/messages日志文件查看外部用户的登岸状况;

-反省用户目录下/home/username下的登岸历史文件(如:.history 文件);

-反省用户目录下/home/username的.rhosts、.forward远程登岸文件;

-用“find / -ctime -2 -ctime +1 -ls”敕令来查看不到两天以内改动的一些文件;

-用“ls -lac”敕令去查看文件真正的改动光阴;

-用“cmp file1 file2”敕令来对照文件大年夜小的变更;

-保护紧张的系统敕令、进程和设置设置设备摆设摆设文件以防止入侵者调换得到改动系统的权利。

当然为了包管系统的绝对安然,除了做好预防和进行安然反省事情外,还要养成一个包管系统、收集安然的好习气。这便是按期准时做好完备的数据备份。有了完备的数据备份,在遭到进击或系统呈现故障时也能迅速规复系统。

对付病毒入侵的安然警备

如今DOS、Windows 9X/Me/NT/2000/XP系统下的病毒很盛行,但人们险些没据说过在Linux或Unix系统中有病毒,以致有人觉得Linux或Unix系统中 没有病毒存在。着实这是一个很大年夜的差错熟识。事实上天下上第一个谋略机病毒便是Unix病毒。假如Linux系统中一旦发生病毒泛滥,后果将不堪设想。现 在很多种病毒都用标准的C法度榜样来编写,以适应任何类的Linux和Unix操作系统。并且它们可以用make法度榜样来跨平台编译。

只管Windows NT/2000和Linux、Unix的系统是有着异常高档的保护机制的系统,可以预防大年夜多半的病毒的熏染,但不是所有的。是以,对付Linux系统来 说,不是没有谋略机病毒的迫害存在。比如Morris、Ramen、Lion等蠕虫病毒都先后曾经对Linux以致Unix系统进行过进击。

一样平常大年夜多半的Linux收集主要 是由一台或多台安装Linux操作系统的办事器做Web Server或FTP Server,平日也会有Mail Server。今朝事情站端大年夜多是安装了Windows 9X/Me/NT/2000/XP等操作系统的谋略机。对这种Linux收集谋略机病毒防护主要照样基于事情站的单机防护。可以在Linux办事器上安装 Samba办事,使用病毒扫描对象从某个安然的事情站按期对办事器磁盘上的文件进行扫描,从而达到病毒防护的目的。

谋略机病毒是谋略机制造商和政府 最头痛的问题,据预计今朝约稀有千种病毒在谋略机优势行,而天天又会出三种新的谋略机病毒。今朝,大年夜多半谋略机都应用软件来防治病毒,应用病毒防火墙的却 不到一半,这使得谋略机被感染的时机在赓续增添。平日这些谋略机病毒的感染来自企业内部网,这意味着公司中大概有许多谋略机已遭受感染。在防不胜防的环境 之下,只无意偶尔常留意谋略机康健,没有非常环境发生,才是确保资料不被破坏的最好措施。

您可能还会对下面的文章感兴趣: