文章內容

DIY的Linux安全平臺 (1)

發布時間: 2012/8/6 19:17:04

　如何保證安全的最大化呢？量體裁衣，有的放矢，取舍得當是關鍵。現從以下幾個方面加以詳述。
　　控制文件的屬性和權限
　　密切關注文件的屬性和權限設置是保證主機文件系統完整性的至關緊要的操作。
　　兩種特殊的文件訪問權限分別是SUID(八進制為4000)和SGID（八進制為2000）。設置這兩種權限的文件，將使其它用戶在執行它們時擁有所有者的權限。也就是說，如果一個設置為SUID的程序，即使是普通用戶使用也是作為root來運行的。因此，SUID/SGID文件是安全的隱患。
　　SUID和SGID攻擊方式的預防：
　　1．嚴格審查系統內的文件權限。可以找出系統內使用SUID/SGID的文件，列出清單保存，做到心中有數。命令如下：
　　[root#] find / -type f -perm +6000 -ls | less
　　[root#] find / -type f -perm +6000 > Suid-Sgid.txt
　　2．對于一部分程序必須設置為SUID的，可以讓它們自成一組，集中管理。但是絕對不允許在用戶的家目錄下有SUID程序存在。
　　3．確保重要的SUID腳本不可寫。命令如下：
　　[root#] find / -perm -2 ! -type l -ls
　　4．對于并非絕對需要被設置成SUID的程序，改變它們的訪問權限或者卸載程序。如：
　　[root#] chmod -s [program]
　　5．查找系統內所有不屬于任何用戶和組的文件。因為這些文件很容易被利用來獲得入侵主機的權限，造成潛在的威脅。命令如下：
　　[root#] find / -nouser -o -nogroup
　　6．善于使用lsattr和chattr這兩個ext2/3的屬性命令。本文將主要討論a屬性和i屬性，因為這兩個屬性對于提高文件系統的安全性和保障文件系統的完整性有很大的好處。a屬性（Append-only），系統只允許在這個文件之后追加數據，不允許任何進程覆蓋或截斷這個文件。如果目錄具有這個屬性，系統將只允許在這個目錄下建立和修改文件，而不允許刪除任何文件。i屬性（Immutable），系統不允許對這個文件進行任何的修改。如果目錄具有這個屬性，那么任何進程只能修改目錄之下的文件，不允許建立和刪除文件。
　　如果主機直接暴露在因特網或者位于其它危險（如其它非管理員亦可接觸服務器）環境，有很多Shell賬戶或提供HTTP和FTP等網絡服務，一般應該在安裝配置完成后使用如下命令，便于保護這些重要目錄：
　　[root#] chattr -R +i /bin /boot /etc /lib /sbin
　　[root#] chattr -R +i /usr/bin /usr/include /usr/lib /usr/sbin
　　[root#] chattr +a /var/log/messages /var/log/secure......
　　如果很少對賬戶進行添加、變更或刪除操作，把/home本身設置為Immutable屬性也不會造成什么問題。
　　在很多情況下，整個/usr目錄樹也應該具有不可改變屬性。實際上，除了對/usr目錄使用chattr -R +i /usr/命令外，還可以在/etc/fstab文件中使用ro選項，使/usr目錄所在的分區以只讀的方式加載。
　　另外，把系統日志文件設置為只能添加屬性(Append-only)，將使入侵者無法擦除自己的蹤跡，以便于執法人員取證、分析。文件系統的完整性檢查
　　完整性是安全系統的核心屬性。管理員需要知道是否有文件被惡意改動過。攻擊者可以用很多方法破壞文件系統，例如，可以利用錯誤配置獲得權限，也可以修改文件植入特洛伊木馬和病毒。Linux中常用如下工具進行校驗檢查。
　　1．md5sum
　　md5sum 命令可以用來創建長度為128位的文件指紋信息。通過md5sum -c命令可以反向檢查文件是否被修改過。黑客進入到系統后，會用修改后的文件來取代系統上某些特定的文件，如netstat命令等。于是當使用 netstat -a命令查看系統狀態時，不會顯示系統攻擊者存在的信息。攻擊者還可能會替代所有可能泄露其存在的文件，一般來說包括：/bin/ps、/bin/netstat、/bin/login、/bin/ls、
　　/usr/bin/top、/usr/bin/passwd、/usr/bin/top、
　　/sbin/portmap、/etc/xinetd.conf、/etc/services。
　　這些文件都是替代的對象。由于這些文件已經被取代，那么簡單地利用ls命令是查看不出這些文件有什么破綻的。因此你需要用md5sum工具在系統安裝前期為這些文件做好指紋認證并保存，以備日后檢測所用。
　　2．RPM安裝包
　　如果使用的是基于RPM的安裝包（Red Hat公司開發并包含在其Linux產品之中的多功能軟件安裝管理器，現有多種版本的Linux使用此管理器，如Red Hat、 TurboLinux），它可以用來建立、安裝、查詢、檢驗、升級和卸載獨立的軟件包。一個完整的RPM包包括壓縮文件和包信息。當使用RPM安裝軟件時，RPM為每個被安裝的文件向數據庫中添加信息，包括MD5校驗和、文件大小、文件類型、擁有者、組和權限模式。當RPM以-verify標志運行時，將把初始文件的值與當前安裝的文件進行比較并報告差異。例如，下面是對一個被黑站點的運行結果：
　　# rpm -qf /bin/ps（或# rpm -qf /usr/bin/top 查看命令隸屬哪個RPM包）
　　procps.2.0.2-2
　　# rpm -V procps（-V　MD5檢驗）
　　SM5..UGT /bin/ps
　　SM5..UGT /usr/bin/top（有消息表示此文件已被修改）
　　由上可以看出，攻擊者已經入侵到系統中，并且用自己的ps及top命令替代了原來系統中的命令，從而使管理員看不到其運行的進程。RPM的使用方法很多，具體操作方法參見man rpm文檔。
　　3．Tripwire
　　Tripwire是一個用來檢測整個系統是否存在惡意代碼和檢驗文件完整性的有用工具。它采用MD5算法生成128位的“指紋”，通過命令自動保存系統快照，再產生相應的MD5數值以供日后比較判斷。
　　使用Tripwire可以定義哪些文件/目錄需要被檢驗。一般默認設置能滿足大多數的要求。該工具運行在四種模式下：數據庫生成模式、數據庫更新模式、文件完整性檢查模式、互動式數據庫更新模式。當初始化數據庫生成的時候，它生成對現有文件各種信息的數據庫文件。為預防以后系統文件或者配置文件被意外地改變、替換或刪除，它將每天基于原始數據庫對現有文件進行比較，以發現哪些文件被更改、是否有系統入侵等意外事件發生。當然，如果系統中的配置文件或程序被更改，則需要再次生成數據庫文件，保持最新的系統快照。此軟件功能強大，使用方便。具體的安裝和使用，可以通過Google搜索獲得。有效控制服務器運行的后臺進程
　　服務進程（Daemon）是Linux操作系統的核心程序，是外界與主機互相交互的主要途徑，同時也是連接因特網的大門。正因為運行了不同的服務進程，Linux系統才能夠提供不同的服務，網絡才變得豐富多彩。一個稱職的管理員必須掌握以下幾個要領：
　　1．要對自己的服務器有足夠的了解，清楚每臺服務器的所有后臺進程，了解哪臺主機運行了哪些服務，開放了哪些端口。我們可以用以下方法得到服務器的配置：# ntsysv (或 setup) （列出所有的服務清單，可以選擇安裝/卸載）
　　# less /etc/services （列出所有服務運行的端口）
　　# ps -auxf　> daemons.txt（推薦使用，把所有后臺打印列表）
　　# cd /var/run/|ls -al（查看啟動服務的進程號文件）
　　2．對每個服務都要做好軟件版本號的登記歸檔，密切注意各服務軟件的漏洞，盡快升級或打補丁。如bind軟件在8.X存在安全漏洞，應該盡快升級到9.X。
　　3．尤其要注意的是，新手們總是認為把服務運行起來工作就已經做完了，其實這是不對的。當服務進程運行起來后，配置文件的優化處理相當重要。比如， Apache的配置文件中，KeepAlive、MaxKeepAliveRequests、KeepAliveTimeout、 StarServers、MinSpareServers、MaxSpareServers、MaxClients、 MaxRequestsPerChild對機器性能的影響都非常重要。所以，需要常去網上論壇了解最新信息和發展動態，從而更好地守住每個進出的要口。
　　同時還要特別注意以下幾方面：
　　配置獨立的專用服務器，增加負荷能力，降低風險
　　Linux 作為優秀的網絡操作平臺，完全有能力勝任運行多個服務器。比如，它可以作為Web服務器，同時也可以充當FTP服務器和Mail服務器。這樣做的好處在于能夠降低投資成本，但是不安全因素也會隨之相應增加。因此，需要在投資成本與安全最大化之間權衡。假如電腦連接因特網，提供多種服務，且每天都要提供大量訪問量時，建議一“不要把所有的雞蛋放在同一個籃子里”。把各個服務進程運行在不同的主機上，成為專用的Web服務器，FTP服務器或Mail服務器，共同分擔風險。建議二把各種服務分類管理。在FTP服務器和Mail服務器訪問量不大時，也可以把它們統一管理。
　　取消所有非必要的服務，盡量做到干凈，減少后門
　　把Linux作為專用服務器是個明智的舉措。例如，希望Linux成為強大的Web服務器，可以取消系統內所有非必要的服務，只開啟必要服務。這樣做可以盡量減少后門，降低隱患，而且可以合理分配系統資源，提高整機性能。以下是幾個不常用的服務：
　　1. fingerd（finger服務器）報告指定用戶的個人信息，包括用戶名、真實姓名、shell、目錄和聯系方式，它將使系統暴露在不受歡迎的情報收集活動下，應避免啟動此服務。
　　2. R服務（rshd、rlogin、rwhod、rexec）提供各種級別的命令，它們可以在遠程主機上運行或與遠程主機交互，在封閉的網絡環境中登錄而不再要求輸入用戶名和口令，相當方便。然而在公共服務器上就會暴露問題，導致安全威脅。
　　3. X-Window從嚴格的意義上說，是Linux窗口管理器的擴展，而不是重要組成部分。從目前的GNOME、KDE這兩種主流圖形服務器來看，體積越來越臃腫，耗存越來越大，一些基于圖形界面的軟件在使用上也存在不少問題。雖然開發人員不會放棄對它的完善，但對于服務器來說，它的存在價值幾乎沒有。因此，在安裝服務器時，務必考慮是否真的需要圖形管理界面。
　　4. 其它服務，如amd、arpwatch、atd、dhcpd、innd、nntpd、talkd、lpd、named、routed、snmpd、 xfs、wuftpd、tftpd、telnet、ypbind、yppasswd、ypserv，既然是Web服務器，都可以取消或卸載掉。
　　同理，如果是作為FTP服務器運行，只需FTP進程和必要的程序。
　　安全系數高的服務替代正在運行的服務進程
　　對于一些必要的服務器，如前所說的Web服務器，理論上只需要Apache的進程就可以工作了。但是如果管理員需要遠程控制放在運營中心的主機呢？或者用戶需要通過FTP上傳更新資料呢？Telnet、wu-ftp這些服務的安全性太低，這時，就需要啟用安全級別高的服務來替代這些服務程序。以下為幾個需要替代的進程：
　　1．用OpenSSH替代Telnet
　　推薦使用開放軟件OpenSSH（Secure Shell），這是一個安全的登錄系統，且不受加密方法的出口限制，適用于替代Telnet、rlogin、rsh、rcp、rdist。另外， OpenSSH也可以用來在兩臺計算機間建立一條加密信道供其它不安全軟件使用。OpenSSH支持多種算法，包括BlowFish、Triple DES、IDEA、RSA。目前支持SSH的客戶端軟件不少，推薦使用Putty和Filezilla。關于服務器和軟件的安裝使用，請參見相關文章，在此不再詳述。
　　2．用Vsftpd替代wu-ftpd、tftpd（基本的FTP服務）、ncftpd（匿名服務）
　　如果想要一個優秀的FTP軟件，建議使用Vsftpd。Vsftpd（Very Secure）是一個非常值得信賴的FTP軟件。除了與生俱來的高安全性外，在ASCⅡ傳輸模式下的速度是wu-ftpd的兩倍，在千兆以太網的下載速度可達86Mb/s；在穩定性方面，Vsftpd可以在單機（非集群）上支持4000～15000個以上的并發用戶同時連接。除此以外，還可以建立虛擬 FTP服務器，支持非系統用戶的登錄下載，同時也可以給不同的用戶分配不同的權限，保證服務的安全最大化。現在世界上很多著名的公司都在使用 Vsftpd，如Red Hat、GNU、GNOME、SUSE、KDE、OpenBSD等。具體安裝和配置請見參考資料。
　　3．用Qmail替代Sendmail
　　Sendmail 將來仍然是主要的SMTP服務器，網絡上有關Sendmail服務器的配置資料隨處可見。但事實上由于Sendmail代碼的復雜性，使得很多人對其配置一知半解。多數情況下，新手們往往只要能夠讓Sendmail啟動起來、能收發郵件就覺得萬事大吉了。這樣的配置其實漏洞太多，難以保證安全性。所以， Qmail是個更好的選擇。當然，要想真正建立一個功能強大、運行穩定的郵件服務器，掌握其靈活的配置，認真閱讀How-to手冊和FAQ是很有必要的。
　　使用tcpwrappers控制文件
　　在沒有設置防火墻之前，可以通過一種簡單而可靠的機制——tcpwrappers來加強網絡訪問控制。tcpwrappers從兩個文件中讀取網絡訪問控制規則：
　　/et