Linux操作系統(tǒng)的安全策略及相關(guān)知識

　　Linux操作系統(tǒng)同樣會受到很多網(wǎng)絡(luò)病毒攻擊。下面由學(xué)習(xí)啦小編為大家整理了Linux操作系統(tǒng)的安全策略及相關(guān)知識，希望對大家有幫助!

　　Linux操作系統(tǒng)的安全策略及相關(guān)知識

　　1. Linux系統(tǒng)的基本安全機制介紹

　　1.1 Linux系統(tǒng)的用戶帳號

　　用戶帳號是用戶的身份標(biāo)志，由用戶名和口令組成。用戶名存放在/etc/passwd文件 中，口令以加密的形式存放在/etc/shadow文件中。在正常情況下，這些口令和其他信息 由操作系統(tǒng)保護，能夠?qū)ζ溥M行訪問的只能是超級用戶(root)和操作系統(tǒng)的一些應(yīng)用程 序。但是如果配置不當(dāng)或在一些系統(tǒng)運行出錯的情況下，這些信息很可能被非法用戶得 到，帶來安全隱患。

　　1.2 Linux的文件系統(tǒng)權(quán)限

　　Linux文件系統(tǒng)的安全如同其它系統(tǒng)一樣主要是通過設(shè)置文件的權(quán)限來實現(xiàn)的。每一個Linux的文件或目錄，都有3組屬性，分別定義文件或目錄的所有者，用戶組和其他人的使用權(quán)限，主要有只讀，可寫，可執(zhí)行，允許SUID，允許SGID等。在這里我們需要注意，權(quán)限為SUlD和SGID的可執(zhí)行文件，在程序運行過程中，會給進程賦予所有者的權(quán)限，非法用戶很容易發(fā)現(xiàn)這種情況，如果加以利用就會給系統(tǒng)造成極大危害。

　　1.3 Linux的系統(tǒng)日志文件

　　Linux的日志文件用來記錄整個操作系統(tǒng)使用狀況。下面介紹一下幾個重要的系統(tǒng)日志文件：a. /var/log/1astlog文件。此文件中記錄最后登錄系統(tǒng)的用戶登錄時間，是否登錄成功等信息。管理員登錄后可以用lastlog命令查看文件中記錄的所用帳號的最后登錄時問，再與自己的用機記錄對比一下就可以發(fā)現(xiàn)該帳弓是否被非法用戶盜用。 b. /var/log/secure文件。記錄系統(tǒng)自開通以來所有用戶的登錄時間和地點，可以給系統(tǒng)管理員提供更多的參考，c. /var/log/wtmp文件。此文件可以用last命令查看歷史上登錄到系統(tǒng)的用戶的登錄時間和注銷時間等信息，刪除這個文件可以清除系統(tǒng)登錄信息，然后系統(tǒng)會生成新的登錄信息。

　　2. Linux系統(tǒng)安全漏洞介紹

　　本章主要簡述Linux系統(tǒng)常見安全漏洞，讓讀者對Linux安全有一個簡單的認(rèn)識并增強管理員在系統(tǒng)安全領(lǐng)域上的憂患意識，更好地維護系統(tǒng)。

　　2.1口令和帳號安全漏洞

　　非法用戶往往通過破解帳號口令來進行系統(tǒng)的攻擊，植入木馬程序來達到目的。

　　2.2端口漏洞

　　非法用戶通過探測工具掃描到利于自己攻擊的端口后進行相應(yīng)的破解，達到攻擊目的。比如Web端口80，ftp端口，snmp端口，sendmail端口等。

　　2.3遠(yuǎn)程過程調(diào)用(RPC)

　　RPC是一個遠(yuǎn)程工具，它允許在一臺計算機上的程序運行在另一個遠(yuǎn)程計算機上。RPC所引起的最大的威脅是它的執(zhí)行權(quán)限，通常情況下它不需要執(zhí)行嚴(yán)格授權(quán)就可以運行，這使得非法用戶可以很容易的訪問根(管理員)用戶帳戶。在系統(tǒng)上RPC常常處于激活狀態(tài)，因此，RPC對于大多數(shù)情況下的Linux系統(tǒng)來說是一個潛在的威脅。

　　2.4 Sendmail

　　Sendmail作為郵件傳輸代理，它的廣泛使用意味著老版本或者未打補丁的版本中已知的安全漏洞將成為非法用戶們的共同目標(biāo)。

　　2.5明文服務(wù)

　　Sniffer攻擊是最常見的攻擊，Sniffer程序是一種利用以太網(wǎng)的特性把網(wǎng)絡(luò)適配卡置為雜亂模式狀態(tài)的工具，一旦網(wǎng)卡設(shè)置為這種模式，它就能接收傳輸在網(wǎng)絡(luò)上的每一個信息包。而事實上許多Linux服務(wù)，如FTP對于會話的任何部分，即使是登錄信息也不加密，這使得這種常見攻擊實施起來更容易。Tcpdump程序?qū)@示所有的明文傳輸過程，非法用戶能夠使用這個工具來查看安全漏洞。TcpDump是Linux中強大的網(wǎng)絡(luò)數(shù)據(jù)采集分析工具之一。用簡單的話來定義tcpdump，就是：dump the traffic on a network，根據(jù)使用者的定義對網(wǎng)絡(luò)上的數(shù)據(jù)包進行截獲的包分析工具。

　　2.6簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)

　　SNMP開發(fā)于九十年代早期，其目的是簡化大型網(wǎng)絡(luò)中設(shè)備的管理和數(shù)據(jù)的獲取。攻擊者通過SNMP一旦捕獲了網(wǎng)絡(luò)通信，就可以利用各種嗅探工具直接獲取通信字符串，來達到獲取重要信息的目的。

　　3. 攻擊Linux服務(wù)器的四種級別

　　隨著Linux企業(yè)應(yīng)用的擴展，有大量的用戶使用Linux操作系統(tǒng)。Linux系統(tǒng)的安全性能受到越來越多的關(guān)注，本章根據(jù)Linux系統(tǒng)受到攻擊的程度通過級別形式列出，并提出不同的解決方案。 對Linux系統(tǒng)攻擊的定義是：攻擊是一種旨在妨礙，損害，削弱，破壞Linux系統(tǒng)安全的未授權(quán)行為。攻擊的范圍可以從服務(wù)拒絕直至完全危害和破壞Linux系統(tǒng)。對Linux系統(tǒng)攻擊有許多種類，本文從攻擊深度的角度由淺入深來詳細(xì)闡述。

　　攻擊級別一：服務(wù)拒絕攻擊(DoS)

　　DoS (Denial of Service)攻擊其中文含義是拒絕服務(wù)攻擊，這種攻擊行動使網(wǎng)站服務(wù)器充斥大量要求回復(fù)的信息，消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源，導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不勝負(fù)荷以至于癱瘓而停止提供正常的網(wǎng)絡(luò)服務(wù)。非法用戶不正當(dāng)?shù)夭捎脴?biāo)準(zhǔn)協(xié)議或連接方法，向攻擊的服務(wù)發(fā)出大量的訊息，占用及超越受攻擊服務(wù)器所能處理的能力，使它當(dāng)(Down)機或不能正常地為用戶服務(wù)。由于DoS攻擊工具的泛濫，及所針對的協(xié)議層的缺陷短時無法改變的事實，DoS也就成為了流傳最廣，最難防范的攻擊方式。在這些 DoS 攻擊方式中，又可以分為下列幾種：

　　a.TCP Syn Flooding：

　　在TCP/IP協(xié)議中，TCP協(xié)議提供可靠的連接服務(wù)，采用三次握手建立一個連接。在每個TCP建立連接時，都要發(fā)送一個帶SYN標(biāo)記的數(shù)據(jù)包，如果在服務(wù)器端發(fā)送應(yīng)答包后，客戶端不發(fā)出確認(rèn)，服務(wù)器會等待到數(shù)據(jù)超時，如果大量的帶SYN標(biāo)記的數(shù)據(jù)包發(fā)到服務(wù)器端后都沒有應(yīng)答，會使服務(wù)器端的TCP資源迅速枯竭，導(dǎo)致正常的連接不能進入，甚至?xí)?dǎo)致服務(wù)器的系統(tǒng)崩潰。這就是TCP SYN Flooding攻擊的過程。TCP Syn 攻擊是由受控制的大量客戶發(fā)出 TCP 請求但不作回復(fù)，使服務(wù)器資源被占用，再也無法正常為用戶服務(wù)。服務(wù)器要等待超時(Time Out)才能斷開已分配的資源。

　　b.Smurf

　　非法用戶采用 ICMP(Internet Control Message Protocol RFC792)技術(shù)進行攻擊。常用的ICMP有 ping 。首先非法用戶找出網(wǎng)絡(luò)上有哪些路由器會回應(yīng) ICMP 請求。然后用一個虛假的 IP 源地址向路由器的廣播地址發(fā)出訊息，路由器會把這訊息廣播到網(wǎng)絡(luò)上所連接的每一臺設(shè)備。這些設(shè)備又馬上回應(yīng)，這樣會產(chǎn)生大量訊息流量，從而占用所有設(shè)備的資源及網(wǎng)絡(luò)帶寬，而回應(yīng)的地址就是受攻擊的目標(biāo)。例如用600K bit/sec 流量的ICMP echo (ping)包廣播到50 臺設(shè)備，產(chǎn)生 50 個 ping 回應(yīng)，便產(chǎn)生 12M bit/sec流量。這些流量流向被攻擊的服務(wù)器,便會使這服務(wù)器癱瘓。ICMP Smurf 的襲擊加深了ICMP的泛濫程度，導(dǎo)致了在一個數(shù)據(jù)包產(chǎn)生成千的ICMP數(shù)據(jù)包發(fā)送到一個根本不需要它們的主機中去，傳輸多重信息包的服務(wù)器用作Smurf 的放大器。

　　c.Fraggle：

　　基本概念及做法像 Smurf, 但它是采用UDP echo訊息。阻擋“拒絕服務(wù)”的攻擊的常用方法之一是：在網(wǎng)絡(luò)上建立一個過濾器(filter)或偵測器(sniffer)，在信息到達網(wǎng)站服務(wù)器之前阻擋信息，過濾器會偵察可疑的攻擊行動。如果某種可疑行動經(jīng)常出現(xiàn)，過濾器能接受指示，阻擋包含那種信息，讓網(wǎng)站服務(wù)器的對外連接線路保持暢通。

　　攻擊級別二：本地用戶獲取了他們非授權(quán)的文件的讀寫權(quán)限

　　本地用戶是指在本地網(wǎng)絡(luò)的任一臺機器上有口令，因而在某一驅(qū)動器上有一個目錄的用戶。本地用戶獲取到了他們非授權(quán)的文件的讀寫權(quán)限的問題是否構(gòu)成危險很大程度上要看被訪問文件的關(guān)鍵性。任何本地用戶隨意訪問臨時文件目錄(/tmp)都具有危險性，它能夠潛在地鋪設(shè)一條通向下一級別攻擊的路徑。

　　級別二的主要攻擊方法是：非法用戶誘騙合法用戶告知其機密信息或執(zhí)行任務(wù)，有時非法用戶會假裝網(wǎng)絡(luò)管理人員向用戶發(fā)送郵件，要求用戶給他系統(tǒng)升級的密碼。由本地用戶啟動的攻擊幾乎都是從遠(yuǎn)程登錄開始。對于Linux系統(tǒng)，最好的辦法是將所有shell賬號放置于一個

　　單獨的機器上，也就是說，只在一臺或多臺分配有shell訪問的服務(wù)器上接受注冊。這可以使日志管理，訪問控制管理，釋放協(xié)議和其他潛在的安全問題管理更容易些。還應(yīng)該將存放用戶CGI的系統(tǒng)區(qū)分出來。這些機器應(yīng)該隔離在特定的網(wǎng)絡(luò)區(qū)段，也就是說，根據(jù)網(wǎng)絡(luò)的配置情況，它們應(yīng)該被路由器或網(wǎng)絡(luò)交換機包圍。其拓?fù)浣Y(jié)構(gòu)應(yīng)該確保硬件地址欺騙也不能超出這個區(qū)段。

　　攻擊級別三：遠(yuǎn)程用戶獲得特權(quán)文件的讀寫權(quán)限

　　第三級別的攻擊能做到的不只是核實特定文件是否存在，而且還能讀寫這些文件。造成這種情況的原因是：Linux系統(tǒng)配置中出現(xiàn)這樣一些弱點：即遠(yuǎn)程用戶無需有效賬號就可以在服務(wù)器上執(zhí)行有限數(shù)量的命令。密碼攻擊法是第三級別中的主要攻擊法，損壞密碼是最常見的攻擊方法。密碼破解是用以描述在使用或不使用工具的情況下滲透網(wǎng)絡(luò)，系統(tǒng)或資源以解鎖用密碼保護的資源的一個術(shù)語。用戶常常忽略他們的密碼，密碼政策很難得到實施。非法用戶有多種工具可以擊敗技術(shù)和社會所保護的密碼。主要包括：字典攻擊(Dictionary attack)，混合攻擊(Hybrid attack)，蠻力攻擊(Brute force attack)。一旦非法用戶擁有了用戶的密碼，他就有很多用戶的特權(quán)。密碼猜想是指手工進入普通密碼或通過編好程序的正本取得密碼。防范第三級別的攻擊的最好的防衛(wèi)方法便是嚴(yán)格控制進入特權(quán)，即使用有效的密碼。主要包括密碼應(yīng)當(dāng)遵循字母，數(shù)字，大小寫(因為Linux對大小寫是有區(qū)分)混合使用的規(guī)則。使用像“!”或“@”或“#”這樣的特殊字符也會添加復(fù)雜性。例如采用"Passw0rd"，在它后面添加“!”(Passw0rd!)，這樣您就擁有了一個相當(dāng)有效的密碼。

　　攻擊級別四：遠(yuǎn)程用戶獲得根權(quán)限

　　第四攻擊級別是最致命的攻擊。表示攻擊者擁有Linux系統(tǒng)的根，超級用戶或管理員許可權(quán)，可以讀，寫并執(zhí)行所有文件。

　　攻擊級別四主要攻擊形式是TCP/IP連續(xù)偷竊，被動通道聽取和信息包攔截。TCP/IP連續(xù)偷竊，被動通道聽取和信息包攔截，是為進入網(wǎng)絡(luò)收集重要信息的方法，不像拒絕服務(wù)攻擊，這些方法有更多類似偷竊的性質(zhì)，比較隱蔽不易被發(fā)現(xiàn)。一次成功的TCP/IP攻擊能讓非法用戶阻攔兩個團體之間的交易，提供中間人襲擊的良好機會，然后非法用戶會在不被受害者注意的情況下控制一方或雙方的交易。通過被動竊聽，非法用戶會操縱和登記信息，把文件送達，也會從目標(biāo)系統(tǒng)上所有可通過的通道找到可通過的致命要害。非法用戶會尋找聯(lián)機和密碼的結(jié)合點，認(rèn)出申請合法的通道。信息包攔截是指在目標(biāo)系統(tǒng)約束一個活躍的聽者程序以攔截和更改所有的或特別的信息的地址。信息可被改送到非法系統(tǒng)閱讀，然后不加改變地送回給非法用戶。

　　TCP/IP連續(xù)偷竊實際就是網(wǎng)絡(luò)嗅探，如果確信有人接了嗅探器到自己的網(wǎng)絡(luò)上，可以去找一些進行驗證的工具。這種工具稱為時域反射計量器(Time Domain Reflectometer，TDR)，TDR對電磁波的傳播和變化進行測量。將一個TDR連接到網(wǎng)絡(luò)上，能夠檢測到未授權(quán)的獲取網(wǎng)絡(luò)數(shù)據(jù)的設(shè)備。對于防范嗅探器的攻擊最好的方法是：

　　a.安全的拓?fù)浣Y(jié)構(gòu)：

　　嗅探器只能在當(dāng)前網(wǎng)絡(luò)段上進行數(shù)據(jù)捕獲，這就意味著，將網(wǎng)絡(luò)分段工作進行得越細(xì)，嗅探器能夠收集的信息就越少。

　　b.會話加密：

　　不用特別地?fù)?dān)心數(shù)據(jù)被嗅探，而是要想辦法使得嗅探器不認(rèn)識嗅探到的數(shù)據(jù)。這種方法的優(yōu)點是明顯的，即使攻擊者嗅探到了數(shù)據(jù)，這些數(shù)據(jù)對他也是沒有用的。

　　Linux操作系統(tǒng)安全策略實例詳解

　　本人所負(fù)責(zé)的一個項目中16臺xSeries 服務(wù)器Red Hat Enterprise Linux 6 系統(tǒng)遭到非法用戶的攻擊，本章著重講述非法用戶如何利用安全漏洞攻擊系統(tǒng)以及針對Linux系統(tǒng)安全漏洞如何做安全配置。

　　1實例介紹

　　項目前期準(zhǔn)備中，用戶發(fā)現(xiàn)Red Hat Enterprise Linux 6系統(tǒng)無法登陸，上報給IT服務(wù)部門。經(jīng)過系統(tǒng)管理員對系統(tǒng)日志message.log和secure.log分析得出結(jié)論，非法用戶首先使用探測工具ping到服務(wù)器的外網(wǎng)地址，其次通過ssh默認(rèn)端口22破譯root口令，最后當(dāng)破解成功后登錄系統(tǒng)進行操作，在退出系統(tǒng)同時刪除日志中所記錄的所有操作，給我們分析非法用戶究竟做了什么動作帶來很大困難，從當(dāng)前的系統(tǒng)檢查看，非法用戶修改了root密碼，且修改了系統(tǒng)帳號部分配置文件。

　　附A：查看系統(tǒng)是否遭到攻擊的命令

　　#lastb | awk '{print }'|sort|uniq -c|sort -n

　　附B：系統(tǒng)日志secure.log節(jié)選

　　“Jan 26 13:57:59 RH65Test sshd[28330]: Failed password for invalid user kormoci from 61.142.106.34 port 56074 ssh2” “Jan 31 01:49:02 RH65Test sshd[12978]: Failed password for root from 36.39.246.121 port 42740 ssh2”

　　補充：Linux操作系統(tǒng)的安全配置

　　針對上述實例出現(xiàn)的安全漏洞，我們有針對性地主要從密碼策略，用戶設(shè)置，如何開放服務(wù)，系統(tǒng)補丁，驗證方式等方面進行系統(tǒng)的安全配置，以到達使Linux系統(tǒng)更安全，穩(wěn)定。

　　密碼策略：

　　a.設(shè)定最小密碼長度為8位

　　b.密碼要求有大小寫字母，數(shù)字和特殊字符的組合方式(請參看第三章攻擊級別三)

　　c.不使用用戶名作為密碼的一部分或者全部

　　d.每90天更改一次密碼

　　e.帳戶不能重復(fù)使用最近8次(含8次)內(nèi)已使用的密碼

　　f.帳戶登錄次數(shù)設(shè)定為6次，一旦超過6次，則鎖定帳戶。在本案例中，我們看到非法用戶嘗試登錄次數(shù)最多達到了4681次，因此通過設(shè)定用戶嘗試登錄次數(shù)大大地提高了安全性。

　　用戶設(shè)置：

　　a.禁止root通過SSH端口直接登錄

　　b.創(chuàng)建管理用戶’itadmin’并賦予sudo權(quán)限。sudo是linux系統(tǒng)管理指令，是允許系統(tǒng)管理員讓普通用戶執(zhí)行一些或者全部的root命令的一個工具，如halt，reboot，su等等。這樣不僅減少了root用戶的登錄和管理時間，同樣也提高了安全性。sudo扮演的角色注定了它要在安全方面格外謹(jǐn)慎，否則就會導(dǎo)致非法用戶攫取root權(quán)限。同時，它還要兼顧易用性，讓系統(tǒng)管理員能夠更有效，更方便地使用它。sudo設(shè)計者的宗旨是：給用戶盡可能少的權(quán)限但仍允許完成他們的工作。

　　c.修改/etc/sudoers文件，使得普通用戶通過sudo獲取root權(quán)限。

　　d.設(shè)定自動注銷帳號時間為10分鐘。如果用戶在離開系統(tǒng)之前忘記注銷帳戶或者沒有關(guān)閉終端窗口，那將會帶來很大的安全隱患，應(yīng)該讓系統(tǒng)自動注銷。通過修改賬戶中“TMOUT”參數(shù)，實現(xiàn)用戶的終端在一個指定的時間內(nèi)一直空閑時自動注銷。

　　服務(wù)管理：

　　在Linux系統(tǒng)的服務(wù)管理方面，如果想做到服務(wù)的最好安全，其中主要的就是升級服務(wù)本身的軟件版本，另外一個就是關(guān)閉系統(tǒng)不使用的服務(wù)，做到服務(wù)最小化。

　　a.非法用戶慣用通過頻繁地使用ping命令方式來攻擊服務(wù)器，即使攻擊未遂也會導(dǎo)致網(wǎng)絡(luò)堵塞，降低傳輸效率，為了避免此類惡意的網(wǎng)絡(luò)攻擊，我們關(guān)閉ping服務(wù)。

　　b.針對第二章提到的常見安全漏洞4和6，我們需要關(guān)閉sendmail和snmp服務(wù)。

　　c.修改SSH默認(rèn)端口22為20022，增大非法用戶破解SSH端口的難度。

　　系統(tǒng)補丁：

　　搭建yum服務(wù)器，便于將必要的安全補丁升級到最新版本。

　　驗證方式：

　　Linux默認(rèn)的遠(yuǎn)程登錄方式通常是SSH，而SSH默認(rèn)使用的驗證方式是密碼，在本案例中我們針對密碼驗證方式配置的安全策略，不過為了更加安全，或者說從根本上杜絕非法用戶的攻擊，我們也可以采用Public Key認(rèn)證方式。Public Key(非對稱，asymmetric)認(rèn)證使用一對相關(guān)聯(lián)的Key Pair(一個公鑰Public Key，一個私鑰Private Key)來代替?zhèn)鹘y(tǒng)的密碼(或我們常說的口令，Password)。顧名思義，Public Key是用來公開的，可以將其放到SSH服務(wù)器自己的帳號中，而Private Key只能由自己保管，用來證明自己身份。使用Public Key加密過的數(shù)據(jù)只有用與之相對應(yīng)的Private Key才能解密。這樣在認(rèn)證的過程中，Public Key擁有者便可以通過Public Key加密一些東西發(fā)送給對應(yīng)的Private Key擁有者，如果在通信的雙方都擁有對方的Public Key(自己的Private Key只由自己保管)，那么就可以通過這對Key Pair來安全地交換信息，從而實現(xiàn)相互認(rèn)證。