本文继续介绍如何深度加固Linux系统安全。
8.自行扫描
普通的安全加固基本上是做完了,现在让我们来对自己做的系统做一个风险评估,推荐使用nessus latest version.
也许你觉得自己的系统没有问题了,但有时nessus还是能报告出一些问题,比如一个第三方的Webrnail有某些安全缺陷,如果没有问题最好,有问题我们再回去修补。
9.高级技巧
以上的措施已经足以让大多数入侵者望而却步,接下来的部分给那些对安全极度敏感的偏执狂。缓冲区溢出对策中有stackgurad、stackshield、formatguard,heapguard和pointguard等编译技术,但它们需要重新编译源码,不仅麻烦而且会使系统性能有所下降,所以这里打算用防止缓冲区溢出的内核补叮
比较熟知的是PaX内核补丁,它主要通过数据区heap/bss/stack不可执行代码来防御直接覆盖返回地址后跳转到数据区执行shellcode的一些exploit.PaX的站点最近访问不了,但用Google可以找到很多对应较新内核的PaX下载。这些补丁并不能防御所有的溢出攻击,但却可以挡住市面上相当数量的exploit.
10.日志策略
主要就是创建对人侵相关的重要日志的硬拷贝,不致于应急响应的时候连最后的黑匣子都没有。可以把它们重定向到打印机,管理员邮件,独立的日志服务器及其热备份。
11.Snort入侵检测系统
对人侵响应和安全日志要求较高的系统有此必要;对于一般的系统而言,如果管理员根本不会去看一大堆日志,那么它白白占用系统资源,就如同鸡肋一样。
小结
对攻击的思考假设有一个技术高超的入侵者,拥有自行挖掘系统底层漏洞的能力,他发现了Apache的一个漏洞。并编写了remote exploit,这个漏洞暂时还没有出现在bugtraci上,处于'末知'状态,如果入侵者试图攻击我们的系统,他必须能挖掘一个Apache并且是root级的远程溢出,并进行下列的工作:
1)在snellcode中植人代码杀死httpd进程,并且把sh绑定在80端口。
2)在80端口复用。
3)让shellcode执行iptables-FOUTPUT/TNPUT,前提是他猜到有这么回事。
以上均需要溢出后是root权限,并且是能绕过PaX的高难度exploit;另外,Apacne杀掉后会自动重启。如果想攻击sshd,因为iptables将丢弃所有来自外网访问ssh目的包,所以即使有远程溢出(当然别忘了PaX),此路不通。
再看看其他的方法,如果脚本攻击可以获得允许远程登录ssn用户的明文口令,或是利用脚本缺陷直接添加系统账号,这不仅需要系统root权限,而且/etc/passwd已经被chattr过,满足以上条件,并且攻破server2,就有希望得到shelt。但提升权限的机会不大!普通脚本攻击在此无效,当然,如果该系统并不运行CGI的话,此路更是不通。
诚然,入侵者很可能在http上破坏你的脚本,第三方的Web安全加固不在本文讨论之列,以上条件对大多数人侵者足够苛刻,可以说几乎不可能实现。但是我们为此也牺牲了不少,并且这些措施依赖一定的环境而实现安全性和易用性,需要读者站在自己的角度寻找它们的平衡点。
京公网安备 11010802021500号