大多數(shù)攻擊者并不是一個革新者,他們往往利用最新的公布的系統(tǒng)工具技術(shù)等突破一個所周知的或一個新的剛剛發(fā)現(xiàn)的安全漏洞。但作為一個管理者,通過訪問你使用的Linux發(fā)布的官方站點如www.redhat.com、www.calderasystems.com等可以獲知最新的安全漏洞及相應(yīng)的補丁程序。也可以通過定期訪問www.securityfocus.com、www.cert.org等安全漏洞通告站點。
控制訪問服務(wù)器的最方便的方法是通過一個叫TCPwrapper的程序。在大多數(shù)發(fā)布版本中該程序往往是缺省地被安裝。利用TCPwrapper你可以限制訪問前面提到的某些服務(wù)。而且TCPwrapper的記錄文件記錄了所有的企圖訪問你的系統(tǒng)的行為。通過last命令查看該程序的log,管理員可以獲知誰企圖連接你的系統(tǒng)。
在Linux的/etc目錄下,有一個如下所示inetd.conf文件,該文件是TCP wrapper的配置文件,定義了TCPwrapper可以控制啟動哪些服務(wù)。比如要將finger服務(wù)去除,就將finger服務(wù)的那一行注釋掉(在前面 加上"# "即可);
| # inetd。conf This file describes the services that will be available # through the INETD TCP/IP super server. To re-configure # the running INETD process, edit this file, then send the # INETD process a SIGHUP signal。 # ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l -a # telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd # Finger, systat and netstat give out user information which may # be ............... |
但是對于諸如sendmail,named等服務(wù),由于它們不象finger,telnet等服務(wù),在請求到來時由inet守護進程啟動相應(yīng)的進程提供服務(wù),而是在系統(tǒng)啟動時,單獨作為守護進程運行的。在slackware版本的Linux,可以通過修改/etc/rc.d目錄下的啟動配置文件rc.M文件,將啟動sendmail的命令行注釋掉:
| #!/bin/sh # rc。M This file is executed by init(8) when the system is being # initialized for one of the "multi user" run levels (i.E. # levels 1 through 6). It usually does mounting of file # systems et al. # Start the sendmail daemon: # if [ -x /usr/sbin/sendmail ]; then # echo "Starting sendmail daemon (/usr/sbin/sendmail -bd -q 15m)… " # /usr/sbin/sendmail -bd -q 15m # fi ............ |
(注:對于redhat發(fā)布,可以鞏固運行chkconfig命令或linuxconfig命令來管理是否啟動某項服務(wù),如: chkconfig --level 345 sendmail on 來實現(xiàn)系統(tǒng)在345運行級別下自動啟動sendmail) 對于諸如named等其他服務(wù),也是通過將同一個目錄下相應(yīng)啟動配置文件中相應(yīng)的啟動命令注釋掉,從而當你重新啟動機器時,相應(yīng)的服務(wù)將不會啟動。而對于高版本的redhat linux,提供了一個linuxconfig命令,可以通過它在圖形界面下交互式地設(shè)置是否在啟動時,運行相關(guān)服務(wù)。但是對于telnet、ftp等服務(wù),如果將其一同關(guān)閉,那么對于管理員需要遠程管理時,將非常不方便。
Linux提供另外一種更為靈活有效的方法來實現(xiàn)對服務(wù)請求用戶的限制,從而可以在保證安全性的基礎(chǔ)上, 使可信任用戶使用各種服務(wù)。
在/etc目錄下,有兩個文件:hosts.denyhosts.allow通過配置這兩個文件,你可以指定哪些機器可以使用這些服務(wù),哪些不可以使用這些服務(wù)。配置這兩個文件是通過一種簡單的訪問控制語言來實現(xiàn)的,訪問控制語句的基本格式為:程序名列表,主機名/IP地址列表。
程序名列表指定一個或者多個提供相應(yīng)服務(wù)的程序的名字,名字之間用逗號或者空格分隔,可以在inetd.conf文件里查看提供相應(yīng)服務(wù)的程序名:如上面的文件示例中,telent所在行的最后一項就是所 需的程序名:in.telnetd 主機名/IP地址列表指定允許或者禁止使用該服務(wù)的一個或者多個主機的標識,主機名之間用逗號或空格分隔。程序名和主機地址都可以使用通配符,實現(xiàn)方便的指定多項服務(wù)和多個主機。當服務(wù)請求到達服務(wù)器時,訪問控制軟件就按照下列順序查詢這兩個文件,直到遇到一個匹配為止:
1.當在/etc/hosts.allow里面有一項與請求服務(wù)的主機地址項匹配,那么就允許該主機獲取該服務(wù)
2.否則,如果在/etc/hosts.deny里面有一項與請求服務(wù)的主機地址項匹配,就禁止該主機使用該項服務(wù)
3.否則允許使用該服務(wù)如果相應(yīng)的配置文件不存在,訪問控制軟件就認為是一個空文件,所以可以通過刪除或者移走配置文 件實現(xiàn)對所有主機關(guān)閉所有服務(wù)。 在文件中,空白行或者以#開頭的行被忽略,你可以通過在行前加 # 實 現(xiàn)注釋功能。Linux提供了下面靈活的方式指定進程或者主機列表:
1.一個以"."起始的域名串,如.amms.ac.cn那么www.amms.ac.cn就和這一項匹配成功
2. 以'.'結(jié)尾的IP串如 202.37.152. 那么IP地址包括202.37.152. 的主機都與這一項匹配
3.格式為n.n.n.n/m.m.m.m表示網(wǎng)絡(luò)/掩碼,如果請求服務(wù)的主機的IP地址與掩碼的位與的結(jié)果等于n.n.n.n 那么該主機與該項匹配。
4. ALL表示匹配所有可能性
5. EXPECT表示除去后面所定義的主機。如:list_1 EXCEPT list_2 表示list_1主機列表中除去List_2所列 出的主機
6. LOCAL表示匹配所有主機名中不包含'.'的主機 上面的幾種方式只是Linux提供的方式中的幾種,但是對于我們的一般應(yīng)用來說是足夠了。
我們通過舉幾 個例子來說明這個問題:
例一:我們只希望允許同一個局域網(wǎng)的機器使用服務(wù)器的ftp功能,而禁止副廣域網(wǎng)上面的ftp服務(wù)請求, 本地局域網(wǎng)由 202.39.154. 、202.39.153. 和202.39.152. 三個網(wǎng)段組成。在hosts.deny文件中, 我們定義禁止所有機器請求所有服務(wù): ALL:ALL 在hosts.allow文件中,我們定義只允許局域網(wǎng)訪問ftp功能: in.ftpd -l -a: 202.39.154 202.39.153. 202.39.152. 這樣,當非局域網(wǎng)的機器請求ftp服務(wù)時,就會被拒絕。而局域網(wǎng)的機器可以使用ftp服務(wù)。 ALL:ALL 然后重新啟動你的 inetd進程: /etc/rc.d/init.d/inet restart但是hosts.deny文件只能控制/etc/inetd.conf文件中包含的服務(wù)的訪問這些服務(wù)有/usr/bin/tcpd管理。TCPwrapper監(jiān)聽接入的網(wǎng)絡(luò)請求,然后與在hosts.allow和hosts.deny的中的服務(wù)比較,然后做出允許或拒絕的決定。但是對于wrapper沒有包含的服務(wù)你就需要采用其他方法了.
二、保護你的系統(tǒng)最簡單有效的的方法是TCPwrapper.Linux系統(tǒng)在跟蹤對你的機器的訪問記錄方面作了大量的工作。wrapper拒絕對你的系統(tǒng)的某些訪問的同時,系統(tǒng)在一些LOG文件中增加了一些信息內(nèi)容。在/var/log目錄下,一般可以看到如下文件:
| boot.log cron cron.1 cron.2 dmesg httpd lastlog lastlog.1 maillog maillog.1 maillog.2 messages messages.1 netconf.log netconf.log.1 netconf.log.2 secure secure.1 secure.2 secure.3 secure.4 spooler spooler.1 spooler.2 uucp wtmp wtmp.1 xferlog xferlog.1 xferlog.2 |
可以看到某些LOG文件有1,2等擴展名。這是由于系統(tǒng)運行cron.daily引起的。實際上,cron.daily是在/etc下面的子目錄,包含了很多系統(tǒng)自動運行的管理script文件。不需要你參與,這些script實現(xiàn)一些任務(wù)的自動化:如輪轉(zhuǎn)log文件使其不會變的過分大。作為管理員你應(yīng)該熟悉如何通過修改這些script來定時運行程序。當然,現(xiàn)在有很多功能完善的文本模式或圖形模式的log文件分析器,自動發(fā)現(xiàn)危險的攻擊
跡象,然后象管理者發(fā)送信件。在http://www.freshmeat.net/ tucows等可以找到很多這樣的工具。
從攻擊者的觀點而言,他們對你的你服務(wù)器上的安全文件最感興趣。若你關(guān)閉外部網(wǎng)絡(luò)對你的服務(wù)器 的訪問。你可能會遇到這樣的情況:
| [root@linux /]#grep refused /var/log/secure* Sep 12 07:52:42 netgate in.rlogind[7138]: refused connect from 2??.?.5?.?42 Sep 12 07:52:52 netgate in.rshd[7139]: refused connect from 2??.?.5?.?42 Sep 12 07:52:55 netgate in.rexecd[7144]: refused connect from 2??.?.5?.?42 Sep 12 07:52:59 netgate imapd[7146]: refused connect from 2??.?.5?.42 Sep 12 07:52:59 netgate in.fingerd[7142]: refused connect from 2??.?.5?.?42 Sep 12 07:53:00 netgate ipop3d[7143]: refused connect from 2??.?.5?.?42 Sep 12 07:53:07 netgate in.ftpd[7147]: refused connect from 2??.?.5?.?42 Sep 12 07:53:10 netgate gn[7145]: refused connect from 2??.?.5?.?42 Sep 12 07:53:22 netgate in.telnetd[7149]: refused connect from 2??.?.5?.?42 Sep 12 07:56:34 netgate imapd[7150]: refused connect from 2??.?.5?.?42 |
正如你看到的那樣,攻擊者已經(jīng)試圖連接服務(wù)器上的若干個端口。但是由于服務(wù)器關(guān)閉了inetd啟動的
所有服務(wù),所以LOG系統(tǒng)記錄下了這些訪問拒絕。若在你的機器中沒有發(fā)現(xiàn)這樣的服務(wù)拒絕并不能說明你的機
器沒有被攻擊。maillog文件將保存那些通過服務(wù)器被轉(zhuǎn)發(fā)的email信息。xferlog保存ftp的log信息等等。
若你希望查看wtmp,你可以使用last命令
# last | more fishduck ttyp6 nexus Tue Sep 28 16:03 still logged in birdrat ttyp5 speedy Tue Sep 28 15:57 still logged in root tty1 Tue Sep 28 12:54 still logged in 將顯示誰什么時候登陸進來,登陸了多長時間等信息。通過查看你可以發(fā)現(xiàn)非法登陸者信息。你也可以查看以前的wtmp文件如wtmp.1, 你可以用命令: # last -f /var/log/wtmp.1 | more 但是你還需要注意你的log文件的狀態(tài)信息,如果它特別小 或者大小為0 則說明可能有攻擊者進入系統(tǒng),并且修改了這個文件。為了防止任何用戶修改某些文件,如對log文件只允許添加,而不允許刪除操作等等: 可以通過使用Linux Intrusion Detection System可以防止攻擊者修改LOG文件password 文件等。該工具可以在啟動lilo時來決定是否允許對某些特定文件的修改。該工具的詳細信息可以通過訪問 www.soaring-bird.com.cn/oss_proj/lids/index.html獲得。系統(tǒng)的所有進程的祖父進程被成稱為"init",其進程ID號是1。你可以通過下面的命令,看到init進程信息。 # ps ax | grep init 1 ? S 6:03 init 系統(tǒng)在啟動時的init進程將會啟動"inetd"進程,正如前面提到的該進程實現(xiàn)監(jiān)聽網(wǎng)絡(luò)請求,監(jiān)聽是通過網(wǎng) 絡(luò)端口號來實現(xiàn)的。例如你telnet到你的linux服務(wù)器上時,實際上你上請求inetd進程啟動進程in.telnetd進程在23端口來處理你的訪問請求實現(xiàn)通信。隨后,in.telnetd進程啟動一個詢問你的用戶名和密碼的進程, 然后你就登陸到機器了。inetd同時監(jiān)聽很多端口來等待訪問請求,然后激活完成相關(guān)服務(wù)的程序。你可以通過查看文件/etc/services來看哪個服務(wù)使用哪個端口。從節(jié)省資源角度來說,利用一個進程而不是每 種服務(wù)對應(yīng)一個進程是有意義的。當一個攻擊者第一次訪問你的站點時,他們往往使用成為端口掃描儀的工具,通過該工具攻擊者來查看你開放了那些系統(tǒng)服務(wù)。LInux上比較出名的一個端口掃描儀是nmap. 可以從http://www.insecure.org/nmap/index.html下載得到該軟件,最新的版本甚至有一個圖形化界面nmapfe。下面我們就運行nmap看可以得到什么結(jié)果: 選項'-sS',指使用TCP SYN, 也就是半連接half-pen掃描, '-O',只同時探測被掃描系統(tǒng)的操作系統(tǒng)o。(利用OS指紋的技術(shù),可以參見http://www.isbase.com/book/showQueryL.asp?libID=271)攻擊者知道了 對方使用的何種操作系統(tǒng)就可以有針對性的尋找該操作系統(tǒng)的常見漏洞
| # nmap -sS -O localhost Starting nmap V. 2.3BETA5 by Fyodor (fyodor@dhp.com, www.insecure.org/nmap/) Interesting ports on localhost (127.0.0.1): Port State Protocol Service 21 open tcp ftp 23 open tcp telnet 25 open tcp smtp 53 open tcp domain 79 open tcp finger 80 open tcp http 98 open tcp linuxconf 111 open tcp sunrpc 113 open tcp auth 139 open tcp netbios-ssn 513 open tcp login 514 open tcp shell 515 open tcp printer TCP Sequence Prediction: Class=random positive increments Difficulty=4360068 (Good luck!) Remote operating system guess: Linux 2.1.122 - 2.2.12 Nmap run completed -- 1 IP address (1 host up) scanned in 2 seconds |
這些打開的端口就是攻擊者入侵點。當你修改過inetd.conf文件以關(guān)閉某些服務(wù),從新啟動inetd后,你 再用nmap掃描就可以發(fā)現(xiàn)被注釋掉的服務(wù)掃描不到了。
當然,管理員還可以使用一些其他的安全掃描工具如:satan或 Nessus等 來檢測自己的系統(tǒng)的安全可靠
性,在攻擊者發(fā)現(xiàn)其以前更早的發(fā)現(xiàn)自己的系統(tǒng)的漏洞,并加以彌補。
