網(wǎng)管必須掌握的LINUX系統(tǒng)安全知識 (1)

　　防止黑客的入侵

　　在談黑客入侵方面的安全管理之前，我先簡單介紹一些黑客攻擊Linux主機的主要途徑和慣用手法，讓大家對黑客攻擊的途徑和手法有所了解。這樣才能更好地防患于未然，做好安全防范。

　　要阻止黑客蓄意的入侵，可以減少內(nèi)網(wǎng)與外界網(wǎng)絡的聯(lián)系，甚至獨立于其它網(wǎng)絡系統(tǒng)之外。這種方式雖造成網(wǎng)絡使用上的不便，但也是最有效的防范措施。

　　黑客一般都會尋求下列途徑去試探一臺Linux或Unix主機，直到它找到容易入侵的目標，然后再開始動手入侵。常見的攻擊手法如下：

　　1、直接竊聽取得root密碼,或者取得某位特殊User的密碼，而該位User可能為root，再獲取任意一位User的密碼，因為取得一般用戶密碼通常很容易。

　　2、黑客們經(jīng)常用一些常用字來破解密 碼。曾經(jīng)有一位美國黑客表示，只要用“password”這個字，就可以打開全美多數(shù)的計算機。其它常用的單詞還有：account、ald、 alpha、beta、computer、dead、demo、dollar、games、bod、hello、help、intro、kill、 love、no、ok、okay、please、sex、secret、superuser、system、test、work、yes等。

　　3、使用命令：finger@some.cracked.host，就可以知道該臺計算機上面的用戶名稱。然后找這些用戶下手，并通過這些容易入侵的用戶取得系統(tǒng)的密碼文件/etc/passwd，再用密碼字典文件搭配密碼猜測工具猜出root的密碼。

　　4、利用一般用戶在/tmp目錄放置著的SetUID的文件或者執(zhí)行著SetUID程序，讓root去執(zhí)行，以產(chǎn)生安全漏洞。

　　5、利用系統(tǒng)上需要SetUID root權限的程序的安全漏洞，取得root的權限，例如:pppd。

　　6、從.rhost的主機入侵。因為當用戶執(zhí)行rlogin登錄時，rlogin程序會鎖定.rhost定義的主機及賬號，并且不需要密碼登錄。

　　7、修改用戶的.login、cshrc、.profile等Shell設置文件，加入一些破壞程序。用戶只要登錄就會執(zhí)行，例如“if /tmp/backdoor exists run /tmp/backdoor”。

　　8、只要用戶登錄系統(tǒng)，就會不知不覺地執(zhí)行Backdoor程序（可能是Crack程序），它會破壞系統(tǒng)或者提供更進一步的系統(tǒng)信息，以利Hacker滲透系統(tǒng)。

　　9、如果公司的重要主機可能有網(wǎng)絡防火墻的層層防護，Hacker有時先找該子網(wǎng)的任何一臺容易入侵的主機下手，再慢慢向重要主機伸出魔掌。例如：使用NIS共同聯(lián)機，可以利用remote 命令不需要密碼即可登錄等，這樣黑客就很容易得手了。

　　10、Hacker會通過中間主機聯(lián)機，再尋找攻擊目標，避免被用逆查法抓到其所在的真正IP地址。

　　11、Hacker進入主機有好幾種 方式，可以經(jīng)由Telnet（Port 23）、Sendmail（Port25）、FTP（Port 21）或WWW（Port 80）的方式進入。一臺主機雖然只有一個地址，但是它可能同時進行多項服務，而這些Port都是黑客“進入”該主機很好的方式。

　　12、Hacker通常利用 NIS（IP）、NFS這些RPC Service截獲信息。只要通過簡單的命令（例如showmount），便能讓遠方的主機自動報告它所提供的服務。當這些信息被截獲時，即使裝有 tcp_wrapper等安全防護軟件，管理員依然會在毫不知情的情況下被“借”用了NIS Server上的文件系統(tǒng)，而導致/etc/passwd外流。

　　13、發(fā)E-mail給anonymous賬號，從FTP站取得/etc/passwd密碼文件，或直接下載FTP站/etc目錄的passwd文件。

　　14、網(wǎng)絡竊聽，使用sniffer程序監(jiān)視網(wǎng)絡Packet，捕捉Telnet，F(xiàn)TP和Rlogin一開始的會話信息，便可順手截獲root密碼，所以Sniffer是造成今日Internet非法入侵的主要原因之一。

　　15、利用一些系統(tǒng)安全漏洞入侵主機，例如：Sendmail、Imapd、Pop3d、DNS等程序，經(jīng)常發(fā)現(xiàn)安全漏洞，這對于入侵不勤于修補系統(tǒng)漏洞的主機相當容易得手。

　　16、被Hacker入侵計算機，系統(tǒng)的Telnet程序可能被掉包，所有用戶Telnet session的賬號和密碼均被記錄下，并發(fā)E-mail給Hacker，進行更進一步的入侵。

　　17、Hacker會清除系統(tǒng)記錄。一些厲害的Hacker都會把記錄它們進入的時間、IP地址消除掉，諸如清除：syslog、lastlog、messages、wtmp、utmp的內(nèi)容，以及Shell歷史文件.history。

　　18、入侵者經(jīng)常將如ifconfig、tcpdump這類的檢查命令更換，以避免被發(fā)覺。

　　19、系統(tǒng)家賊偷偷復制/etc/passwd，然后利用字典文件去解密碼。

　　20、家賊通過su或sudo之類的Super User程序覬覦root的權限。

　　21、黑客經(jīng)常使用Buffer overflow（緩沖區(qū)溢位）手動入侵系統(tǒng)。

　　22、cron是Linux用來自動執(zhí)行命令的工具，如定時備份或刪除過期文件等等。入侵者常會用cron來留后門，除了可以定時執(zhí)行破譯碼來入侵系統(tǒng)外，又可避免被管理員發(fā)現(xiàn)的危險。 操作系統(tǒng)

　　23、利用IP spoof（IP詐騙）技術入侵Linux主機。

　　以上是目前常見的黑客攻擊Linux 主機的伎倆。如果黑客可以利用上述一種方法輕易地入侵計算機的話，那么該計算機的安全性實在太差了，需要趕快下載新版的軟件來升級或是用patch文件來 修補安全漏洞。在此警告，擅自使用他人計算機系統(tǒng)或竊取他人資料的都是違法行為，希望各位讀者不要以身試法。

　　除了上面這些方法，很多黑客還可 以利用入侵工具來攻擊Linux系統(tǒng)。這些工具常常被入侵者完成入侵以后種植在受害者服務器當中。這些入侵工具各自有不同的特點，有的只是簡單地用來捕捉 用戶名和密碼，有的則非常強大可記錄所有的網(wǎng)絡數(shù)據(jù)流�？傊�，黑客利用入侵工具也是攻擊Linux主機的常用方法。

　　對黑客的安全防護

　　如果要保護系統(tǒng)的安全，針對黑客入侵我們要做的第一步應該就是把預防工作提前做好。作為一名系統(tǒng)管理員一定要保證自己管理的系統(tǒng)在安全上沒有漏洞。這樣就不會給非法用戶可乘之機。

　　要提前做好預防工作，我認為主要有下面幾點：

　　第一，提前關閉所有可能的系統(tǒng)后門，以防止入侵者利用系統(tǒng)中的漏洞入侵。例如用“rpcinfo -p”來檢查機器上是否運行了一些不必要的遠程服務。一旦發(fā)現(xiàn)，立即停掉，以免給非法用戶留下系統(tǒng)的后門。

　　第二，確認系統(tǒng)當中運行的是較新的Linux、Unix守護程序。因為老的守護程序允許其它機器遠程運行一些非法的命令。

　　第三，定期從操作系統(tǒng)生產(chǎn)商那里獲得安全補丁程序。

　　第四，安裝加強系統(tǒng)安全的程序，如：Shadow password、TCP wrappet、SSH、PGP等。

　　第五，可以搭建網(wǎng)絡防火墻，防止網(wǎng)絡受到攻擊。

　　第六，利用掃描工具對系統(tǒng)進行漏洞檢測，來考驗主機容易受攻擊的程度。

　　第七，多訂閱一些安全通報，多訪問安全站點，以獲得及時的安全信息來修補系統(tǒng)軟硬件的漏洞。

　　具體說來, 對系統(tǒng)進行安全檢查有以下幾個方法:

　　1、充分利用Linux和Unix系統(tǒng)中內(nèi)置的檢查命令來檢測系統(tǒng)。例如，下面的幾個命令在Linux和Unix系統(tǒng)中就很有用處：

　　-who，查看誰登陸到系統(tǒng)中；

　　-w，查看誰登陸到系統(tǒng)中，且在做什么操作；

　　-last，顯示系統(tǒng)曾經(jīng)被登陸的用戶和TTYS；

　　-history，顯示系統(tǒng)過去被運行的命令；

　　-netstat，可以查看現(xiàn)在的網(wǎng)絡狀態(tài)；

　　-top，動態(tài)實時察看系統(tǒng)的進程；

　　-finger，查看所有的登陸用戶。

　　2、定期檢查系統(tǒng)中的日志、文件、時間和進程信息。如：

　　-檢查/var/log/messages日志文件查看外部用戶的登陸狀況；

　　-檢查用戶目錄下/home/username下的登陸歷史文件(如：.history 文件)；

　　-檢查用戶目錄下/home/username的.rhosts、.forward遠程登陸文件；

　　-用“find / -ctime -2 -ctime +1 -ls”命令來查看不到兩天以內(nèi)修改的一些文件；

　　-用“ls -lac”命令去查看文件真正的修改時間；

　　-用“cmp file1 file2”命令來比較文件大小的變化；

　　-保護重要的系統(tǒng)命令、進程和配置文件以防止入侵者替換獲得修改系統(tǒng)的權利。

　　當然為了保證系統(tǒng)的絕對安全，除了做好預防和進行安全檢查工作外，還要養(yǎng)成一個保證系統(tǒng)、網(wǎng)絡安全的好習慣。這就是定期定時做好完整的數(shù)據(jù)備份。有了完整的數(shù)據(jù)備份，在遭到攻擊或系統(tǒng)出現(xiàn)故障時也能迅速恢復系統(tǒng)。

　　對于病毒入侵的安全防范

　　如今dos、Windows 9X/Me/NT/2000/XP系統(tǒng)下的病毒很流行，但人們幾乎沒聽說過在Linux或Unix系統(tǒng)中有病毒，甚至有人認為Linux或Unix系統(tǒng)中 沒有病毒存在。其實這是一個很大的錯誤認識。事實上世界上第一個計算機病毒就是Unix病毒。如果Linux系統(tǒng)中一旦發(fā)生病毒泛濫，后果將不堪設想。現(xiàn) 在很多種病毒都用標準的C程序來編寫，以適應任何類的Linux和Unix。并且它們可以用make程序來跨平臺編譯。

　　盡管Windows NT/2000和Linux、Unix的系統(tǒng)是有著非常高級的保護機制的系統(tǒng)，可以預防大多數(shù)的病毒的傳染，但不是所有的。因此，對于Linux系統(tǒng)來 說，不是沒有計算機病毒的危害存在。比如Morris、Ramen、Lion等病毒都先后曾經(jīng)對Linux甚至Unix系統(tǒng)進行過攻擊。

　　一般大多數(shù)的Linux網(wǎng)絡主要 是由一臺或多臺安裝Linux操作系統(tǒng)的服務器做Web Server或FTP Server，通常也會有Mail Server。目前工作站端大多是安裝了Windows 9X/Me/NT/2000/XP等操作系統(tǒng)的計算機。對這種Linux網(wǎng)絡計算機病毒防護主要還是基于工作站的單機防護�？梢栽贚inux服務器上安裝 Samba服務，利用病毒掃描工具從某個安全的工作站定期對服務器磁盤上的文件進行掃描，從而達到病毒防護的目的。

　　計算機病毒是計算機制造商和政府 最頭痛的問題，據(jù)估計目前約有數(shù)千種病毒在計算機上流行，而每天又會出三種新的計算機病毒。目前，大多數(shù)計算機都使用

億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯(lián)系：億恩小凡
   QQ：89317007
   電話:0371-63322206

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]