完整的Linux服務(wù)器運(yùn)維安全策略經(jīng)驗(yàn)分享

  • A+
所屬分類:技術(shù)資料

安全是IT行業(yè)一個(gè)老生常談的話題了,從之前的“棱鏡門(mén)”事件中折射出了很多安全問(wèn)題,處理好信息安全問(wèn)題已變得刻不容緩。因此做為運(yùn)維人員,就必須了解一些安全運(yùn)維準(zhǔn)則,同時(shí),要保護(hù)自己所負(fù)責(zé)的業(yè)務(wù),首先要站在攻擊者的角度思考問(wèn)題,修補(bǔ)任何潛在的威脅和漏洞。

完整的Linux服務(wù)器運(yùn)維安全策略經(jīng)驗(yàn)分享

完整的Linux服務(wù)器運(yùn)維安全策略經(jīng)驗(yàn)分享

賬戶和登錄安全

賬戶安全是系統(tǒng)安全的第一道屏障,也是系統(tǒng)安全的核心,保障登錄賬戶的安全,在一定程度上可以提高服務(wù)器的安全級(jí)別,下面重點(diǎn)介紹下Linux系統(tǒng)登錄賬戶的安全設(shè)置方法。

1、刪除特殊的賬戶和賬戶組

Linux提供了各種不同角色的系統(tǒng)賬號(hào),在系統(tǒng)安裝完成后,默認(rèn)會(huì)安裝很多不必要的用戶和用戶組,如果不需要某些用戶或者組,就要立即刪除它,因?yàn)橘~戶越多,系統(tǒng)就越不安全,很可能被黑客利用,進(jìn)而威脅到服務(wù)器的安全。

Linux系統(tǒng)中可以刪除的默認(rèn)用戶和組大致有如下這些:

可刪除的用戶,如adm,lp,sync,shutdown,halt,news,uucp,operator,games,gopher等。

可刪除的組,如adm,lp,news,uucp,games,dip,pppusers,popusers,slipusers等。

2、關(guān)閉系統(tǒng)不需要的服務(wù)

Linux在安裝完成后,綁定了很多沒(méi)用的服務(wù),這些服務(wù)默認(rèn)都是自動(dòng)啟動(dòng)的。對(duì)于服務(wù)器來(lái)說(shuō),運(yùn)行的服務(wù)越多,系統(tǒng)就越不安全,越少服務(wù)在運(yùn)行,安全性就越好,因此關(guān)閉一些不需要的服務(wù),對(duì)系統(tǒng)安全有很大的幫助。

具體哪些服務(wù)可以關(guān)閉,要根據(jù)服務(wù)器的用途而定,一般情況下,只要系統(tǒng)本身用不到的服務(wù)都認(rèn)為是不必要的服務(wù)。

例如:某臺(tái)Linux服務(wù)器用于www應(yīng)用,那么除了httpd服務(wù)和系統(tǒng)運(yùn)行是必須的服務(wù)外,其他服務(wù)都可以關(guān)閉。下面這些服務(wù)一般情況下是不需要的,可以選擇關(guān)閉: anacron、auditd、autofs、avahi-daemon、avahi-dnsconfd、bluetooth、cpuspeed、firstboot、gpm、haldaemon、hidd、ip6tables、ipsec、isdn、lpd、mcstrans、messagebus、netfs、nfs、nfslock、nscd、pcscd portmap、readahead_early、restorecond、rpcgssd、rpcidmapd、rstatd、sendmail、setroubleshoot、yppasswdd ypserv

3、密碼安全策略

在Linux下,遠(yuǎn)程登錄系統(tǒng)有兩種認(rèn)證方式:密碼認(rèn)證和密鑰認(rèn)證。

密碼認(rèn)證方式是傳統(tǒng)的安全策略,對(duì)于密碼的設(shè)置,比較普遍的說(shuō)法是:至少6個(gè)字符以上,密碼要包含數(shù)字、字母、下劃線、特殊符號(hào)等。設(shè)置一個(gè)相對(duì)復(fù)雜的密碼,對(duì)系統(tǒng)安全能起到一定的防護(hù)作用,但是也面臨一些其他問(wèn)題,例如密碼暴力破解、密碼泄露、密碼丟失等,同時(shí)過(guò)于復(fù)雜的密碼對(duì)運(yùn)維工作也會(huì)造成一定的負(fù)擔(dān)。

密鑰認(rèn)證是一種新型的認(rèn)證方式,公用密鑰存儲(chǔ)在遠(yuǎn)程服務(wù)器上,專用密鑰保存在本地,當(dāng)需要登錄系統(tǒng)時(shí),通過(guò)本地專用密鑰和遠(yuǎn)程服務(wù)器的公用密鑰進(jìn)行配對(duì)認(rèn)證,如果認(rèn)證成功,就成功登錄系統(tǒng)。這種認(rèn)證方式避免了被暴力破解的危險(xiǎn),同時(shí)只要保存在本地的專用密鑰不被黑客盜用,攻擊者一般無(wú)法通過(guò)密鑰認(rèn)證的方式進(jìn)入系統(tǒng)。因此,在Linux下推薦用密鑰認(rèn)證方式登錄系統(tǒng),這樣就可以拋棄密碼認(rèn)證登錄系統(tǒng)的弊端。

Linux服務(wù)器一般通過(guò)SecureCRT、putty、Xshell之類的工具進(jìn)行遠(yuǎn)程維護(hù)和管理,密鑰認(rèn)證方式的實(shí)現(xiàn)就是借助于SecureCRT軟件和Linux系統(tǒng)中的SSH服務(wù)實(shí)現(xiàn)的。

4、合理使用su、sudo命令

su命令:是一個(gè)切換用戶的工具,經(jīng)常用于將普通用戶切換到超級(jí)用戶下,當(dāng)然也可以從超級(jí)用戶切換到普通用戶。為了保證服務(wù)器的安全,幾乎所有服務(wù)器都禁止了超級(jí)用戶直接登錄系統(tǒng),而是通過(guò)普通用戶登錄系統(tǒng),然后再通過(guò)su命令切換到超級(jí)用戶下,執(zhí)行一些需要超級(jí)權(quán)限的工作。通過(guò)su命令能夠給系統(tǒng)管理帶來(lái)一定的方便,但是也存在不安全的因素,

例如:系統(tǒng)有10個(gè)普通用戶,每個(gè)用戶都需要執(zhí)行一些有超級(jí)權(quán)限的操作,就必須把超級(jí)用戶的密碼交給這10個(gè)普通用戶,如果這10個(gè)用戶都有超級(jí)權(quán)限,通過(guò)超級(jí)權(quán)限可以做任何事,那么會(huì)在一定程度上對(duì)系統(tǒng)的安全造成了威協(xié)。

因此su命令在很多人都需要參與的系統(tǒng)管理中,并不是最好的選擇,超級(jí)用戶密碼應(yīng)該掌握在少數(shù)人手中,此時(shí)sudo命令就派上用場(chǎng)了。

sudo命令:允許系統(tǒng)管理員分配給普通用戶一些合理的“權(quán)利”,并且不需要普通用戶知道超級(jí)用戶密碼,就能讓他們執(zhí)行一些只有超級(jí)用戶或其他特許用戶才能完成的任務(wù)。

比如:系統(tǒng)服務(wù)重啟、編輯系統(tǒng)配置文件等,通過(guò)這種方式不但能減少超級(jí)用戶登錄次數(shù)和管理時(shí)間,也提高了系統(tǒng)安全性。

因此,sudo命令相對(duì)于權(quán)限無(wú)限制性的su來(lái)說(shuō),還是比較安全的,所以sudo也被稱為受限制的su,另外sudo也是需要事先進(jìn)行授權(quán)認(rèn)證的,所以也被稱為授權(quán)認(rèn)證的su。

sudo執(zhí)行命令的流程是:

將當(dāng)前用戶切換到超級(jí)用戶下,或切換到指定的用戶下,然后以超級(jí)用戶或其指定切換到的用戶身份執(zhí)行命令,執(zhí)行完成后,直接退回到當(dāng)前用戶,而這一切的完成要通過(guò)sudo的配置文件/etc/sudoers來(lái)進(jìn)行授權(quán)。

sudo設(shè)計(jì)的宗旨是:

賦予用戶盡可能少的權(quán)限但仍允許它們完成自己的工作,這種設(shè)計(jì)兼顧了安全性和易用性,因此,強(qiáng)烈推薦通過(guò)sudo來(lái)管理系統(tǒng)賬號(hào)的安全,只允許普通用戶登錄系統(tǒng),如果這些用戶需要特殊的權(quán)限,就通過(guò)配置/etc/sudoers來(lái)完成,這也是多用戶系統(tǒng)下賬號(hào)安全管理的基本方式。

5、刪減系統(tǒng)登錄歡迎信息

系統(tǒng)的一些歡迎信息或版本信息,雖然能給系統(tǒng)管理者帶來(lái)一定的方便,但是這些信息有時(shí)候可能被黑客利用,成為攻擊服務(wù)器的幫兇,為了保證系統(tǒng)的安全,可以修改或刪除某些系統(tǒng)文件,需要修改或刪除的文件有4個(gè),分別是:

/etc/issue、/etc/issue.net、/etc/redhat-release和/etc/motd。

/etc/issue和/etc/issue.net文件都記錄了操作系統(tǒng)的名稱和版本號(hào),當(dāng)用戶通過(guò)本地終端或本地虛擬控制臺(tái)等登錄系統(tǒng)時(shí),/etc/issue的文件內(nèi)容就會(huì)顯示,當(dāng)用戶通過(guò)ssh或telnet等遠(yuǎn)程登錄系統(tǒng)時(shí),/etc/issue.net文件內(nèi)容就會(huì)在登錄后顯示。在默認(rèn)情況下/etc/issue.net文件的內(nèi)容是不會(huì)在ssh登錄后顯示的,要顯示這個(gè)信息可以修改/etc/ssh/sshd_config文件,在此文件中添加如下內(nèi)容即可:

Banner /etc/issue.net

其實(shí)這些登錄提示很明顯泄漏了系統(tǒng)信息,為了安全起見(jiàn),建議將此文件中的內(nèi)容刪除或修改。

/etc/redhat-release文件也記錄了操作系統(tǒng)的名稱和版本號(hào),為了安全起見(jiàn),可以將此文件中的內(nèi)容刪除。

/etc/motd文件是系統(tǒng)的公告信息。每次用戶登錄后,/etc/motd文件的內(nèi)容就會(huì)顯示在用戶的終端。通過(guò)這個(gè)文件系統(tǒng)管理員可以發(fā)布一些軟件或硬件的升級(jí)、系統(tǒng)維護(hù)等通告信息,但是此文件的最大作用就、是可以發(fā)布一些警告信息,當(dāng)黑客登錄系統(tǒng)后,會(huì)發(fā)現(xiàn)這些警告信息,進(jìn)而產(chǎn)生一些震懾作用??催^(guò)國(guó)外的一個(gè)報(bào)道,黑客入侵了一個(gè)服務(wù)器,而這個(gè)服務(wù)器卻給出了歡迎登錄的信息,因此法院不做任何裁決。

遠(yuǎn)程訪問(wèn)和認(rèn)證安全

1、遠(yuǎn)程登錄取消telnet而采用SSH方式

telnet是一種古老的遠(yuǎn)程登錄認(rèn)證服務(wù),它在網(wǎng)絡(luò)上用明文傳送口令和數(shù)據(jù),因此別有用心的人就會(huì)非常容易截獲這些口令和數(shù)據(jù)。而且,telnet服務(wù)程序的安全驗(yàn)證方式也極其脆弱,攻擊者可以輕松將虛假信息傳送給服務(wù)器?,F(xiàn)在遠(yuǎn)程登錄基本拋棄了telnet這種方式,而取而代之的是通過(guò)SSH服務(wù)遠(yuǎn)程登錄服務(wù)器。

2、合理使用Shell歷史命令記錄功能

在Linux下可通過(guò)history命令查看用戶所有的歷史操作記錄,同時(shí)shell命令操作記錄默認(rèn)保存在用戶目錄下的.bash_history文件中,通過(guò)這個(gè)文件可以查詢shell命令的執(zhí)行歷史,有助于運(yùn)維人員進(jìn)行系統(tǒng)審計(jì)和問(wèn)題排查,同時(shí),在服務(wù)器遭受黑客攻擊后,也可以通過(guò)這個(gè)命令或文件查詢黑客登錄服務(wù)器所執(zhí)行的歷史命令操作,但是有時(shí)候黑客在入侵服務(wù)器后為了毀滅痕跡,可能會(huì)刪除.bash_history文件,這就需要合理的保護(hù)或備份.bash_history文件。

3、啟用tcp_wrappers防火墻

Tcp_Wrappers是一個(gè)用來(lái)分析TCP/IP封包的軟件,類似的IP封包軟件還有iptables。Linux默認(rèn)都安裝了Tcp_Wrappers。作為一個(gè)安全的系統(tǒng),Linux本身有兩層安全防火墻,通過(guò)IP過(guò)濾機(jī)制的iptables實(shí)現(xiàn)第一層防護(hù)。iptables防火墻通過(guò)直觀地監(jiān)視系統(tǒng)的運(yùn)行狀況,阻擋網(wǎng)絡(luò)中的一些惡意攻擊,保護(hù)整個(gè)系統(tǒng)正常運(yùn)行,免遭攻擊和破壞。如果通過(guò)了第一層防護(hù),那么下一層防護(hù)就是tcp_wrappers了。通過(guò)Tcp_Wrappers可以實(shí)現(xiàn)對(duì)系統(tǒng)中提供的某些服務(wù)的開(kāi)放與關(guān)閉、允許和禁止,從而更有效地保證系統(tǒng)安全運(yùn)行。

文件系統(tǒng)安全

1、鎖定系統(tǒng)重要文件

系統(tǒng)運(yùn)維人員有時(shí)候可能會(huì)遇到通過(guò)root用戶都不能修改或者刪除某個(gè)文件的情況,產(chǎn)生這種情況的大部分原因可能是這個(gè)文件被鎖定了。在Linux下鎖定文件的命令是chattr,通過(guò)這個(gè)命令可以修改ext2、ext3、ext4文件系統(tǒng)下文件屬性,但是這個(gè)命令必須有超級(jí)用戶root來(lái)執(zhí)行。和這個(gè)命令對(duì)應(yīng)的命令是lsattr,這個(gè)命令用來(lái)查詢文件屬性。

對(duì)重要的文件進(jìn)行加鎖,雖然能夠提高服務(wù)器的安全性,但是也會(huì)帶來(lái)一些不便。

例如:在軟件的安裝、升級(jí)時(shí)可能需要去掉有關(guān)目錄和文件的immutable屬性和append-only屬性,同時(shí),對(duì)日志文件設(shè)置了append-only屬性,可能會(huì)使日志輪換(logrotate)無(wú)法進(jìn)行。因此,在使用chattr命令前,需要結(jié)合服務(wù)器的應(yīng)用環(huán)境來(lái)權(quán)衡是否需要設(shè)置immutable屬性和append-only屬性。

另外,雖然通過(guò)chattr命令修改文件屬性能夠提高文件系統(tǒng)的安全性,但是它并不適合所有的目錄。chattr命令不能保護(hù)/、/dev、/tmp、/var等目錄。

根目錄不能有不可修改屬性,因?yàn)槿绻夸浘哂胁豢尚薷膶傩?,那么系統(tǒng)根本無(wú)法工作:

/dev在啟動(dòng)時(shí),syslog需要?jiǎng)h除并重新建立/dev/log套接字設(shè)備,如果設(shè)置了不可修改屬性,那么可能出問(wèn)題;

/tmp目錄會(huì)有很多應(yīng)用程序和系統(tǒng)程序需要在這個(gè)目錄下建立臨時(shí)文件,也不能設(shè)置不可修改屬性;

/var是系統(tǒng)和程序的日志目錄,如果設(shè)置為不可修改屬性,那么系統(tǒng)寫(xiě)日志將無(wú)法進(jìn)行,所以也不能通過(guò)chattr命令保護(hù)。

2、文件權(quán)限檢查和修改

不正確的權(quán)限設(shè)置直接威脅著系統(tǒng)的安全,因此運(yùn)維人員應(yīng)該能及時(shí)發(fā)現(xiàn)這些不正確的權(quán)限設(shè)置,并立刻修正,防患于未然。下面列舉幾種查找系統(tǒng)不安全權(quán)限的方法。

(1)查找系統(tǒng)中任何用戶都有寫(xiě)權(quán)限的文件或目錄

查找文件:find / -type f -perm -2 -o -perm -20 |xargs ls -al

查找目錄:find / -type d -perm -2 -o -perm -20 |xargs ls –ld

(2)查找系統(tǒng)中所有含“s”位的程序

find / -type f -perm -4000 -o -perm -2000 -print | xargs ls –al

含有“s”位權(quán)限的程序?qū)ο到y(tǒng)安全威脅很大,通過(guò)查找系統(tǒng)中所有具有“s”位權(quán)限的程序,可以把某些不必要的“s”位程序去掉,這樣可以防止用戶濫用權(quán)限或提升權(quán)限的可能性。

(3)檢查系統(tǒng)中所有suid及sgid文件

find / -user root -perm -2000 -print -exec md5sum {} ;

find / -user root -perm -4000 -print -exec md5sum {} ;

將檢查的結(jié)果保存到文件中,可在以后的系統(tǒng)檢查中作為參考。

(4)檢查系統(tǒng)中沒(méi)有屬主的文件

find / -nouser -o –nogroup

沒(méi)有屬主的孤兒文件比較危險(xiǎn),往往成為黑客利用的工具,因此找到這些文件后,要么刪除掉,要么修改文件的屬主,使其處于安全狀態(tài)。

3、/tmp、/var/tmp、/dev/shm安全設(shè)定

在Linux系統(tǒng)中,主要有兩個(gè)目錄或分區(qū)用來(lái)存放臨時(shí)文件,分別是/tmp和/var/tmp。

存儲(chǔ)臨時(shí)文件的目錄或分區(qū)有個(gè)共同點(diǎn)就是所有用戶可讀寫(xiě)、可執(zhí)行,這就為系統(tǒng)留下了安全隱患。攻擊者可以將病毒或者木馬腳本放到臨時(shí)文件的目錄下進(jìn)行信息收集或偽裝,嚴(yán)重影響服務(wù)器的安全,此時(shí),如果修改臨時(shí)目錄的讀寫(xiě)執(zhí)行權(quán)限,還有可能影響系統(tǒng)上應(yīng)用程序的正常運(yùn)行,因此,如果要兼顧兩者,就需要對(duì)這兩個(gè)目錄或分區(qū)就行特殊的設(shè)置。

/dev/shm是Linux下的一個(gè)共享內(nèi)存設(shè)備,在Linux啟動(dòng)的時(shí)候系統(tǒng)默認(rèn)會(huì)加載/dev/shm,被加載的/dev/shm使用的是tmpfs文件系統(tǒng),而tmpfs是一個(gè)內(nèi)存文件系統(tǒng),存儲(chǔ)到tmpfs文件系統(tǒng)的數(shù)據(jù)會(huì)完全駐留在RAM中,這樣通過(guò)/dev/shm就可以直接操控系統(tǒng)內(nèi)存,這將非常危險(xiǎn),因此如何保證/dev/shm安全也至關(guān)重要。

對(duì)于/tmp的安全設(shè)置,需要看/tmp是一個(gè)獨(dú)立磁盤(pán)分區(qū),還是一個(gè)根分區(qū)下的文件夾,如果/tmp是一個(gè)獨(dú)立的磁盤(pán)分區(qū),那么設(shè)置非常簡(jiǎn)單,修改/etc/fstab文件中/tmp分區(qū)對(duì)應(yīng)的掛載屬性,加上nosuid、noexec、nodev三個(gè)選項(xiàng)即可,修改后的/tmp分區(qū)掛載屬性類似如下:

LABEL=/tmp ?/tmp ext3 rw,nosuid,noexec,nodev 0 0

其中,nosuid、noexec、nodev選項(xiàng),表示不允許任何suid程序,并且在這個(gè)分區(qū)不能執(zhí)行任何腳本等程序,并且不存在設(shè)備文件。

在掛載屬性設(shè)置完成后,重新掛載/tmp分區(qū),保證設(shè)置生效。

對(duì)于/var/tmp,如果是獨(dú)立分區(qū),安裝/tmp的設(shè)置方法是修改/etc/fstab文件即可;如果是/var分區(qū)下的一個(gè)目錄,那么可以將/var/tmp目錄下所有數(shù)據(jù)移動(dòng)到/tmp分區(qū)下,然后在/var下做一個(gè)指向/tmp的軟連接即可。也就是執(zhí)行如下操作:

[root@server ~]# mv /var/tmp/* /tmp

[root@server ~]# ln -s ?/tmp /var/tmp

如果/tmp是根目錄下的一個(gè)目錄,那么設(shè)置稍微復(fù)雜,可以通過(guò)創(chuàng)建一個(gè)loopback文件系統(tǒng)來(lái)利用Linux內(nèi)核的loopback特性將文件系統(tǒng)掛載到/tmp下,然后在掛載時(shí)指定限制加載選項(xiàng)即可。一個(gè)簡(jiǎn)單的操作示例如下:

[root@server ~]# dd if=/dev/zero of=/dev/tmpfs bs=1M count=10000

[root@server ~]# mke2fs -j /dev/tmpfs

[root@server ~]# cp -av /tmp /tmp.old

[root@server ~]# mount -o loop,noexec,nosuid,rw /dev/tmpfs /tmp

[root@server ~]# chmod 1777 /tmp

[root@server ~]# mv -f /tmp.old/* /tmp/

[root@server ~]# rm -rf /tmp.old

最后,編輯/etc/fstab,添加如下內(nèi)容,以便系統(tǒng)在啟動(dòng)時(shí)自動(dòng)加載loopback文件系統(tǒng):

/dev/tmpfs /tmp ext3 loop,nosuid,noexec,rw 0 0

Linux后門(mén)入侵檢測(cè)工具

rootkit是Linux平臺(tái)下最常見(jiàn)的一種木馬后門(mén)工具,它主要通過(guò)替換系統(tǒng)文件來(lái)達(dá)到入侵和和隱蔽的目的,這種木馬比普通木馬后門(mén)更加危險(xiǎn)和隱蔽,普通的檢測(cè)工具和檢查手段很難發(fā)現(xiàn)這種木馬。rootkit攻擊能力極強(qiáng),對(duì)系統(tǒng)的危害很大,它通過(guò)一套工具來(lái)建立后門(mén)和隱藏行跡,從而讓攻擊者保住權(quán)限,以使它在任何時(shí)候都可以使用root權(quán)限登錄到系統(tǒng)。

rootkit主要有兩種類型:文件級(jí)別和內(nèi)核級(jí)別,下面分別進(jìn)行簡(jiǎn)單介紹。

文件級(jí)別的rootkit一般是通過(guò)程序漏洞或者系統(tǒng)漏洞進(jìn)入系統(tǒng)后,通過(guò)修改系統(tǒng)的重要文件來(lái)達(dá)到隱藏自己的目的。在系統(tǒng)遭受rootkit攻擊后,合法的文件被木馬程序替代,變成了外殼程序,而其內(nèi)部是隱藏著的后門(mén)程序。

通常容易被rootkit替換的系統(tǒng)程序有l(wèi)ogin、ls、ps、ifconfig、du、find、netstat等,其中l(wèi)ogin程序是最經(jīng)常被替換的,因?yàn)楫?dāng)訪問(wèn)Linux時(shí),無(wú)論是通過(guò)本地登錄還是遠(yuǎn)程登錄,/bin/login程序都會(huì)運(yùn)行,系統(tǒng)將通過(guò)/bin/login來(lái)收集并核對(duì)用戶的賬號(hào)和密碼,而rootkit就是利用這個(gè)程序的特點(diǎn),使用一個(gè)帶有根權(quán)限后門(mén)密碼的/bin/login來(lái)替換系統(tǒng)的/bin/login,這樣攻擊者通過(guò)輸入設(shè)定好的密碼就能輕松進(jìn)入系統(tǒng)。此時(shí),即使系統(tǒng)管理員修改root密碼或者清除root密碼,攻擊者還是一樣能通過(guò)root用戶登錄系統(tǒng)。攻擊者通常在進(jìn)入Linux系統(tǒng)后,會(huì)進(jìn)行一系列的攻擊動(dòng)作,最常見(jiàn)的是安裝嗅探器收集本機(jī)或者網(wǎng)絡(luò)中其他服務(wù)器的重要數(shù)據(jù)。在默認(rèn)情況下,Linux中也有一些系統(tǒng)文件會(huì)監(jiān)控這些工具動(dòng)作,例如ifconfig命令,所以,攻擊者為了避免被發(fā)現(xiàn),會(huì)想方設(shè)法替換其他系統(tǒng)文件,常見(jiàn)的就是ls、ps、ifconfig、du、find、netstat等。如果這些文件都被替換,那么在系統(tǒng)層面就很難發(fā)現(xiàn)rootkit已經(jīng)在系統(tǒng)中運(yùn)行了。

這就是文件級(jí)別的rootkit,對(duì)系統(tǒng)維護(hù)很大,目前最有效的防御方法是定期對(duì)系統(tǒng)重要文件的完整性進(jìn)行檢查,如果發(fā)現(xiàn)文件被修改或者被替換,那么很可能系統(tǒng)已經(jīng)遭受了rootkit入侵。檢查件完整性的工具很多,常見(jiàn)的有Tripwire、 aide等,可以通過(guò)這些工具定期檢查文件系統(tǒng)的完整性,以檢測(cè)系統(tǒng)是否被rootkit入侵。

內(nèi)核級(jí)rootkit是比文件級(jí)rootkit更高級(jí)的一種入侵方式,它可以使攻擊者獲得對(duì)系統(tǒng)底層的完全控制權(quán),此時(shí)攻擊者可以修改系統(tǒng)內(nèi)核,進(jìn)而截獲運(yùn)行程序向內(nèi)核提交的命令,并將其重定向到入侵者所選擇的程序并運(yùn)行此程序,也就是說(shuō),當(dāng)用戶要運(yùn)行程序A時(shí),被入侵者修改過(guò)的內(nèi)核會(huì)假裝執(zhí)行A程序,而實(shí)際上卻執(zhí)行了程序B。

內(nèi)核級(jí)rootkit主要依附在內(nèi)核上,它并不對(duì)系統(tǒng)文件做任何修改,因此一般的檢測(cè)工具很難檢測(cè)到它的存在,這樣一旦系統(tǒng)內(nèi)核被植入rootkit,攻擊者就可以對(duì)系統(tǒng)為所欲為而不被發(fā)現(xiàn)。目前對(duì)于內(nèi)核級(jí)的rootkit還沒(méi)有很好的防御工具,因此,做好系統(tǒng)安全防范就非常重要,將系統(tǒng)維持在最小權(quán)限內(nèi)工作,只要攻擊者不能獲取root權(quán)限,就無(wú)法在內(nèi)核中植入rootkit。

1、rootkit后門(mén)檢測(cè)工具chkrootkit

chkrootkit是一個(gè)Linux系統(tǒng)下查找并檢測(cè)rootkit后門(mén)的工具,它的官方址: http://www.chkrootkit.org/。

chkrootkit沒(méi)有包含在官方的CentOS源中,因此要采取手動(dòng)編譯的方法來(lái)安裝,不過(guò)這種安裝方法也更加安全。

chkrootkit的使用比較簡(jiǎn)單,直接執(zhí)行chkrootkit命令即可自動(dòng)開(kāi)始檢測(cè)系統(tǒng)。下面是某個(gè)系統(tǒng)的檢測(cè)結(jié)果:

[root@server chkrootkit]# /usr/local/chkrootkit/chkrootkit

Checking `ifconfig'... INFECTED

Checking `ls'... INFECTED

Checking `login'... INFECTED

Checking `netstat'... INFECTED

Checking `ps'... INFECTED

Checking `top'... INFECTED

Checking `sshd'... not infected

Checking `syslogd'... not tested

從輸出可以看出,此系統(tǒng)的ifconfig、ls、login、netstat、ps和top命令已經(jīng)被感染。針對(duì)被感染rootkit的系統(tǒng),最安全而有效的方法就是備份數(shù)據(jù)重新安裝系統(tǒng)。

chkrootkit在檢查rootkit的過(guò)程中使用了部分系統(tǒng)命令,因此,如果服務(wù)器被黑客入侵,那么依賴的系統(tǒng)命令可能也已經(jīng)被入侵者替換,此時(shí)chkrootkit的檢測(cè)結(jié)果將變得完全不可信。為了避免chkrootkit的這個(gè)問(wèn)題,可以在服務(wù)器對(duì)外開(kāi)放前,事先將chkrootkit使用的系統(tǒng)命令進(jìn)行備份,在需要的時(shí)候使用備份的原始系統(tǒng)命令讓chkrootkit對(duì)rootkit進(jìn)行檢測(cè)。

2、rootkit后門(mén)檢測(cè)工具RKHunter

RKHunter是一款專業(yè)的檢測(cè)系統(tǒng)是否感染rootkit的工具,它通過(guò)執(zhí)行一系列的腳本來(lái)確認(rèn)服務(wù)器是否已經(jīng)感染rootkit。在官方的資料中,RKHunter可以作的事情有:

MD5校驗(yàn)測(cè)試,檢測(cè)文件是否有改動(dòng)

檢測(cè)rootkit使用的二進(jìn)制和系統(tǒng)工具文件

檢測(cè)特洛伊木馬程序的特征碼

檢測(cè)常用程序的文件屬性是否異常

檢測(cè)系統(tǒng)相關(guān)的測(cè)試

檢測(cè)隱藏文件

檢測(cè)可疑的核心模塊LKM

檢測(cè)系統(tǒng)已啟動(dòng)的監(jiān)聽(tīng)端口

在Linux終端使用rkhunter來(lái)檢測(cè),最大的好處在于每項(xiàng)的檢測(cè)結(jié)果都有不同的顏色顯示,如果是綠色的表示沒(méi)有問(wèn)題,如果是紅色的,那就要引起關(guān)注了。另外,在執(zhí)行檢測(cè)的過(guò)程中,在每個(gè)部分檢測(cè)完成后,需要以Enter鍵來(lái)繼續(xù)。如果要讓程序自動(dòng)運(yùn)行,可以執(zhí)行如下命令:

[root@server ~]# /usr/local/bin/rkhunter --check --skip-keypress

同時(shí),如果想讓檢測(cè)程序每天定時(shí)運(yùn)行,那么可以在/etc/crontab中加入如下內(nèi)容:

30 09 * * * root /usr/local/bin/rkhunter --check --cronjob

這樣,rkhunter檢測(cè)程序就會(huì)在每天的9:30分運(yùn)行一次。

服務(wù)器遭受攻擊后的處理過(guò)程

安全總是相對(duì)的,再安全的服務(wù)器也有可能遭受到攻擊。作為一個(gè)安全運(yùn)維人員,要把握的原則是:盡量做好系統(tǒng)安全防護(hù),修復(fù)所有已知的危險(xiǎn)行為,同時(shí),在系統(tǒng)遭受攻擊后能夠迅速有效地處理攻擊行為,最大限度地降低攻擊對(duì)系統(tǒng)產(chǎn)生的影響。

1、處理服務(wù)器遭受攻擊的一般思路

系統(tǒng)遭受攻擊并不可怕,可怕的是面對(duì)攻擊束手無(wú)策,下面就詳細(xì)介紹下在服務(wù)器遭受攻擊后的一般處理思路。

(1)切斷網(wǎng)絡(luò)

所有的攻擊都來(lái)自于網(wǎng)絡(luò),因此,在得知系統(tǒng)正遭受黑客的攻擊后,首先要做的就是斷開(kāi)服務(wù)器的網(wǎng)絡(luò)連接,這樣除了能切斷攻擊源之外,也能保護(hù)服務(wù)器所在網(wǎng)絡(luò)的其他主機(jī)。

(2)查找攻擊源

可以通過(guò)分析系統(tǒng)日志或登錄日志文件,查看可疑信息,同時(shí)也要查看系統(tǒng)都打開(kāi)了哪些端口,運(yùn)行哪些進(jìn)程,并通過(guò)這些進(jìn)程分析哪些是可疑的程序。這個(gè)過(guò)程要根據(jù)經(jīng)驗(yàn)和綜合判斷能力進(jìn)行追查和分析。下面會(huì)詳細(xì)介紹這個(gè)過(guò)程的處理思路。

(3)分析入侵原因和途徑

既然系統(tǒng)遭到入侵,那么原因是多方面的,可能是系統(tǒng)漏洞,也可能是程序漏洞,一定要查清楚是哪個(gè)原因?qū)е碌?,并且還要查清楚遭到攻擊的途徑,找到攻擊源,因?yàn)橹挥兄懒嗽馐芄舻脑蚝屯緩?,才能刪除攻擊源同時(shí)進(jìn)行漏洞的修復(fù)。

(4)備份用戶數(shù)據(jù)

在服務(wù)器遭受攻擊后,需要立刻備份服務(wù)器上的用戶數(shù)據(jù),同時(shí)也要查看這些數(shù)據(jù)中是否隱藏著攻擊源。如果攻擊源在用戶數(shù)據(jù)中,一定要徹底刪除,然后將用戶數(shù)據(jù)備份到一個(gè)安全的地方。

(5)重新安裝系統(tǒng)

永遠(yuǎn)不要認(rèn)為自己能徹底清除攻擊源,因?yàn)闆](méi)有人能比黑客更了解攻擊程序,在服務(wù)器遭到攻擊后,最安全也最簡(jiǎn)單的方法就是重新安裝系統(tǒng),因?yàn)榇蟛糠止舫绦蚨紩?huì)依附在系統(tǒng)文件或者內(nèi)核中,所以重新安裝系統(tǒng)才能徹底清除攻擊源。

(6)修復(fù)程序或系統(tǒng)漏洞

在發(fā)現(xiàn)系統(tǒng)漏洞或者應(yīng)用程序漏洞后,首先要做的就是修復(fù)系統(tǒng)漏洞或者更改程序bug,因?yàn)橹挥袑⒊绦虻穆┒葱迯?fù)完畢才能正式在服務(wù)器上運(yùn)行。

(7)恢復(fù)數(shù)據(jù)和連接網(wǎng)絡(luò)

將備份的數(shù)據(jù)重新復(fù)制到新安裝的服務(wù)器上,然后開(kāi)啟服務(wù),最后將服務(wù)器開(kāi)啟網(wǎng)絡(luò)連接,對(duì)外提供服務(wù)。

2、檢查并鎖定可疑用戶

當(dāng)發(fā)現(xiàn)服務(wù)器遭受攻擊后,首先要切斷網(wǎng)絡(luò)連接,但是在有些情況下,比如無(wú)法馬上切斷網(wǎng)絡(luò)連接時(shí),就必須登錄系統(tǒng)查看是否有可疑用戶,如果有可疑用戶登錄了系統(tǒng),那么需要馬上將這個(gè)用戶鎖定,然后中斷此用戶的遠(yuǎn)程連接。

3、查看系統(tǒng)日志

查看系統(tǒng)日志是查找攻擊源最好的方法,可查的系統(tǒng)日志有/var/log/messages、/var/log/secure等,這兩個(gè)日志文件可以記錄軟件的運(yùn)行狀態(tài)以及遠(yuǎn)程用戶的登錄狀態(tài),還可以查看每個(gè)用戶目錄下的.bash_history文件,特別是/root目錄下的.bash_history文件,這個(gè)文件中記錄著用戶執(zhí)行的所有歷史命令。

4、檢查并關(guān)閉系統(tǒng)可疑進(jìn)程

檢查可疑進(jìn)程的命令很多,例如ps、top等,但是有時(shí)候只知道進(jìn)程的名稱無(wú)法得知路徑,此時(shí)可以通過(guò)如下命令查看:

首先通過(guò)pidof命令可以查找正在運(yùn)行的進(jìn)程PID,例如要查找sshd進(jìn)程的PID,執(zhí)行如下命令:

[root@server ~]# pidof sshd

13276 12942 4284

然后進(jìn)入內(nèi)存目錄,查看對(duì)應(yīng)PID目錄下exe文件的信息:

[root@server ~]# ls -al /proc/13276/exe

lrwxrwxrwx 1 root root 0 Oct ?4 22:09 /proc/13276/exe -> /usr/sbin/sshd

這樣就找到了進(jìn)程對(duì)應(yīng)的完整執(zhí)行路徑。如果還有查看文件的句柄,可以查看如下目錄:

[root@server ~]# ls -al /proc/13276/fd

通過(guò)這種方式基本可以找到任何進(jìn)程的完整執(zhí)行信息.

5、檢查文件系統(tǒng)的完好性

檢查文件屬性是否發(fā)生變化是驗(yàn)證文件系統(tǒng)完好性最簡(jiǎn)單、最直接的方法,例如可以檢查被入侵服務(wù)器上/bin/ls文件的大小是否與正常系統(tǒng)上此文件的大小相同,以驗(yàn)證文件是否被替換,但是這種方法比較低級(jí)。此時(shí)可以借助于Linux下rpm這個(gè)工具來(lái)完成驗(yàn)證,操作如下:

[root@server ~]# rpm -Va

....L... ?c /etc/pam.d/system-auth

S.5..... ?c /etc/security/limits.conf

S.5....T ?c /etc/sysctl.conf

S.5....T ? ?/etc/sgml/docbook-simple.cat

S.5....T ?c /etc/login.defs

S.5..... ?c /etc/openldap/ldap.conf

S.5....T ?c /etc/sudoers

6、重新安裝系統(tǒng)恢復(fù)數(shù)據(jù)

很多情況下,被攻擊過(guò)的系統(tǒng)已經(jīng)不再可信任,因此,最好的方法是將服務(wù)器上面數(shù)據(jù)進(jìn)行備份,然后重新安裝系統(tǒng),最后再恢復(fù)數(shù)據(jù)即可。

數(shù)據(jù)恢復(fù)完成,馬上對(duì)系統(tǒng)做上面介紹的安全加固策略,保證系統(tǒng)安全。

轉(zhuǎn)自亦是美網(wǎng)絡(luò)

weinxin
下載密碼:526663

發(fā)表評(píng)論

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: