网络安全与防火墙技术5UNIX安全性及防护

《网络安全与防火墙技术5UNIX安全性及防护》由会员分享，可在线阅读，更多相关《网络安全与防火墙技术5UNIX安全性及防护（42页珍藏版）》请在装配图网上搜索。

1、5 UNIX安 全 性 及 防 护 5.1 UNIX的 安 全 机 制 5.1.1 UNIX系 统 简 介 5.1.2 UNIX系 统 的 安 全 机 制 1)文 件 许 可 权 文 件 权 限 是 UNIX文 件 系 统 的 关 键 。 UNIX系统 使 用 两 个 编 号 把 文 件 许 可 权 与 它 们 对 应 的用 户 和 工 作 组 连 接 起 来 。 User ID(UID， 用 户身 份 号 )是 分 配 给 系 统 上 每 个 登 录 名 的 惟 一 编号 。 Group ID(GID,工 作 组 身 份 号 )是 识 别 每个 工 作 组 的 惟 一 编 号 。 当 一 个

2、 文 件 存 储 到 系 统 上 时 ， 同 时 存 储 了 用 户 的 UID和 GID， UNIX系 统 就 可 以 对 文 件 的 访 问 权 限 加 以 限 制 。 有 两 个 文 件 用 来 存 储 UID和 GID信 息 ， 它 们 是/etc/passwd， 识 别 每 个 用 户 的 UID和 用 户 所 属主 工 作 组 的 GID;/etc/group,识 别 每 个 工 作 组 的GID， 并 列 出 每 个 用 户 除 主 工 作 组 外 的 其 余 组名 。 文 件 许 可 权 设 置 为 三 个 不 同 级 别 ： 文 件 所有 者 (owner)、 工 作 组 (

3、group)和 普 通 用 户(everyone)， 管 理 员 可 以 为 一 个 文 件 设 定 自 己拥 有 的 访 问 权 限 、 与 用 户 同 组 的 其 他 用 户 对 文件 的 访 问 权 限 和 所 有 除 上 述 用 户 外 的 其 他 用 户对 文 件 的 访 问 权 限 。 权 限 设 置 为 读 、 写 和 执 行 。 2)账 户 管 理 UNIX系 统 中 的 用 户 都 有 一 个 用 户 名 username (有 时 称 为 login name,即 登 录 名 )来 标 志 该 用 户 。当 把 一 个 新 的 账 户 加 入 系 统 中 时 ， 系 统 管

4、 理员 给 该 账 号 指 定 一 个 惟 一 的 用 户 标 识 符(UID)。 UID是 系 统 内 部 一 个 用 户 的 标 志 。 系统 管 理 员 同 时 也 把 用 户 加 入 一 个 或 多 个 组(group)。 每 个 组 都 有 一 个 类 似 于 UID的 组 标识 符 (GID)， 它 是 系 统 内 部 一 个 组 的 标 志 。一 个 用 户 的 UID和 GID决 定 该 用 户 对 文 件 和其 他 系 统 资 源 拥 有 的 权 限 。 在 账 户 管 理 中 ， 涉 及 到 对 口 令 文 件 、 GROUP文 件 的 管 理 ， 下 面 分 别 介 绍

5、口 令 文 件 、 口令 字 段 、 影 子 口 令 、 GROUP文 件 与 SUID和SGID。 口 令 文 件 (/etc/passwd)所 有 用 户 授 权 验 证请 求 都 使 用 口 令 文 件 /etc/passwd进 行 验 证 。 口 令 字 段 从 前 面 的 passwd文 件 输 出 信 息 中可 以 看 到 ， 各 加 密 口 令 的 密 文 清 晰 明 了 ，这 是 因 为 用 户 需 要 能 够 对 passwd文 件 具 有 读取 的 能 力 ， 以 执 行 授 权 验 证 过 程 。 影 子 口 令 为 了 解 决 用 户 可 以 查 看 passwd文件

6、中 的 加 密 口 令 这 个 问 题 ， 一 种 办 法 是 把密 文 存 放 在 其 他 地 方 ， 这 就 是 使 用 影 子 口令 (Shadow Password)所 要 达 到 的 目 的 ： 它使 得 用 户 可 以 把 口 令 存 放 在 一 个 只 有 超 级用 户 可 以 访 问 到 的 地 方 ， 从 而 避 免 系 统 中的 所 有 用 户 都 可 以 访 问 到 这 些 信 息 。 GROUP文 件 (/etc/group)在 前 面 内 容 中 已经 介 绍 过 ， group文 件 用 于 识 别 各 工 作 组 相连 的 GID和 工 作 组 成 员 。 SUI

7、D/SGID设 置 用 户 ID(SUID)和 设 置 用户 组 ID(SGID)属 性 允 许 用 户 以 特 殊 权 限 来运 行 程 序 。 5.2 UNIX安 全 策 略 5.2.1 系 统 管 理 安 全 1)防 止 未 授 权 存 取 这 是 网 络 环 境 中 重 要 的 安 全 问 题 ， 要 防 止未 被 授 权 使 用 系 统 的 用 户 进 入 系 统 ， 由 系统 管 理 员 和 用 户 配 合 建 立 良 好 的 口 令 管 理机 制 ， 登 录 活 动 记 录 、 审 计 和 报 告 ， 用 户和 网 络 活 动 的 周 期 检 查 等 ， 这 些 都 是 防 止未

8、 授 权 访 问 的 关 键 。 2)文 件 系 统 管 理 系 统 管 理 人 员 要 重 点 保 护 上 述 文 件 和 目录 的 安 全 性 ， 经 常 检 查 系 统 文 件 和 目 录 的许 可 权 限 和 所 有 者 。 系 统 管 理 员 可 做 一 个程 序 根 据 系 统 提 供 的 规 则 文 件 ( 在/etc/permlist文 件 中 )所 描 述 的 文 件 所 有者 和 许 可 权 规 则 检 查 各 文 件 。 要 建 立 和 应 用 系 统 的 安 全 机 制 ， 例 如 ，修 改 “ shell” ， 使 其 在 等 待 了 一 定 时 间 并 且无 任 务

9、 时 会 自 动 终 止 运 行 ； 修 改 “ 1ogin” ，使 其 能 输 出 用 户 登 录 的 最 后 时 间 ， 且 3次 无效 登 最 后 将 其 挂 起 ； 确 保 不 让 root在 除 控 制台 外 的 任 何 地 方 登 录 。 对 于 在 UNIX系 统 中 的 暂 存 目 录 (/tmp和/usr/tmp)， 程 序 员 和 许 多 系 统 命 令 都 使 用 它 们 ，如 果 用 这 些 目 录 存 放 暂 存 文 件 ， 别 的 用 户 可能 会 破 坏 这 些 文 件 ， 必 须 要 将 其 屏 蔽 起 来 或者 建 立 自 己 的 暂 存 目 录 ： “ $H

10、OME/tmp” 。而 不 要 将 重 要 文 件 存 放 于 公 共 的 暂 存 目 录 。UNIX系 统 上 有 一 独 特 的 情 形 是 “ 设 备 文 件 ” ，要 特 别 注 意 设 备 文 件 的 存 取 许 可 。 UNIX系 统与 连 接 在 系 统 上 的 各 种 设 备 之 间 的 通 讯 是 通过 设 备 文 件 来 实 现 的 ， 所 有 连 接 到 系 统 上 的设 备 都 在 /dev目 录 中 有 一 个 文 件 与 其 对 应 。 当在 这 些 文 件 上 执 行 I/O操 作 时 ， 由 UNIX系 统 将 I/O操 作 转 换 成 实 际 设 备的 动 作

11、 。 如 文 件 /dev/mem是 系 统 的 内 存 ， 在某 一 特 定 时 间 内 存 区 可 能 含 有 用 户 登 录 口 令或 运 行 程 序 的 口 令 ， 某 部 分 文 件 的 编 辑 缓 冲区 ， 以 及 用 户 不 愿 让 其 他 人 存 取 的 种 种 信 息 ，为 了 安 全 起 见 ， 这 个 文 件 对 普 通 用 户 是 不 可读 的 。 通 过 对 文 件 加 密 来 保 护 安 全 。 crypt命 令 可提 供 给 用 户 文 件 加 密 的 功 能 ， 它 使 用 一 个 关键 词 将 标 准 输 入 的 信 息 编 码 为 不 可 读 的 杂 乱字

12、符 串 ， 送 到 标 准 输 出 设 备 ； 当 再 次 使 用 此命 令 ， 用 同 一 关 键 词 作 用 于 加 密 后 的 文 件 ，即 可 恢 复 文 件 内 容 ； 在 文 件 加 密 后 ， 应 删 除原 始 文 件 ， 只 留 下 加 密 后 的 版 本 ， 但 注 意 别忘 记 加 密 关 键 词 。 此 外 要 注 意 由 于 crypt程 序可 能 被 做 成 特 洛 伊 木 马 ， 所 以 不 能 用 口 令 作 为 关 键 词 ， 并 且 最 好 在 加 密 前 用 pack或compress命 令 对 文 件 进 行 压 缩 后 再 加 密 。 作 为 用 户 要

13、 经 常 检 查 自 己 的 口 令 和 文 件 ，例 如 可 用 “ ls-a” 命 令 列 出 当 前 目 录 中 的 全部 文 件 ， 包 括 文 件 名 以 “ .” 开 头 的 文 件 ， 查看 所 有 文 件 的 存 取 许 可 方 式 和 文 件 所 有 者 ，任 何 不 属 于 自 己 的 但 存 在 于 自 己 目 录 中 的 文件 都 应 检 查 一 下 。 用 户 不 要 让 自 己 的 文 件 或 目 录 可 被 他 人 写 。如 “ .profile” 文 件 ， 它 是 用 户 HOME目 录 下的 文 件 ， 在 用 户 登 录 时 就 被 执 行 ， 若 该 文

14、 件对 其 他 人 也 是 可 写 的 ， 则 系 统 的 任 何 用 户 都能 修 改 此 文 件 并 使 其 按 自 己 的 意 愿 工 作 ， 从 而 可 使 其 他 用 户 具 有 与 该 用 户 相 同 的 权 限 ，所 以 要 确 保 自 己 的 “ .profile” 除 自 己 外 对 他人 都 不 可 读 写 。 如 不 信 任 本 组 其 他 用 户 ， 可将 umask设 置 为 “ 022” ； 若 不 想 其 他 用 户 读自 己 的 文 件 或 目 录 ， 就 将 umask设 置 为“ 006/007” ； 若 不 允 许 同 组 用 户 存 取 自 己 的文 件

15、 和 目 录 ， 则 将 uamsk设 置 为 “ 077” 。 暂存 文 件 按 当 前 umask设 置 ， 存 放 重 要 数 据 的暂 存 文 件 也 要 注 意 确 保 对 其 他 用 户 不 可 读 。 拷 贝 和 移 动 文 件 时 ， 要 注 意 文 件 的 存 取 许可 的 “ 变 异 ” 和 “ 继 承 ” 。 用 “ cp” 命 令 拷贝 文 件 时 ， 若 目 的 文 件 不 存 在 则 将 同 时 拷 贝源 文 件 的 存 取 许 可 SUID和 SGID许 可 。 拷 贝 的 文 件将 被 拷 贝 的 用 户 所 有 ， 因 此 拷 贝 他 人 的 文件 时 应 注

16、 意 其 存 取 许 可 ， 不 要 让 其 他 用 户的 SUID程 序 改 变 了 自 己 文 件 的 存 取 许 可 ，从 而 影 响 自 己 的 文 件 安 全 。 用 “ mv” 命 令移 文 件 时 ， 新 移 的 文 件 存 取 许 可 与 原 文 件相 同 ， “ mv” 仅 改 变 文 件 名 。 只 要 一 个 用户 拥 有 目 录 的 “ 写 ” 和 “ 搜 索 ” 许 可 ， 就可 移 走 该 目 录 中 某 人 的 SUID程 序 且 不 改 变其 存 取 许 可 。 若 目 录 许 可 设 置 不 正 确 ， 则用 户 的 SUID程 序 可 被 移 到 一 个 他

17、 不 能 修 改和 删 除 的 目 录 中 ， 将 出 现 安 全 漏 洞 。 此 外 ，要 小 心 使 用 “ cpio” 命 令 ， 它 能 覆 盖 不 在本 用 户 当 前 目 录 结 构 中 的 文 件 ， 因 此 在 使用 前 可 用 “ t” 选 项 列 出 要 被 拷 贝 的 文 件 。 5.2.2 安 全 检 查 UNIX系 统 中 有 一 些 检 查 程 序 ， 如 find和secure等 。 它 们 能 搜 索 文 件 系 统 ， 寻 找 出SUID(系 统 用 户 ID)/SGID(系 统 用 户 组 )文 件 、设 备 文 件 、 任 意 可 写 的 系 统 文 件

18、、 有 相 同UID/GID的 用 户 等 。 这 些 文 件 对 系 统 安 全 至关 重 要 ， 如 两 个 特 殊 的 命 令 程 序 SUID和GUID， 它 们 的 主 要 特 点 是 ： 执 行 SUID程 序的 账 户 会 在 本 程 序 终 止 前 拥 有 与 该 程 序 的 所有 者 相 同 的 UID， 与 此 类 似 执 行 GUID程 序 的账 户 会 在 本 程 序 终 止 前 ， 拥 有 与 该 程 序 的 所有 者 相 同 的 GID。 因 为 在 UNIX系 统 中 ， 检 查账 户 权 限 的 惟 一 根 据 就 是 该 账 户 的 UID或GID， 所 以

19、这 两 种 程 序 往 往 会 被 黑 客 们 所 利 用 ， 制 造 了 许 多 入 侵 事 件 ， 特 别 是 针 对 超级 用 户 的 程 序 ， 因 此 若 无 存 在 的 必 要 应 该 将它 们 从 系 统 中 清 除 掉 。 要 查 出 不 寻 常 的 系 统使 用 情 况 ， 如 大 量 的 占 用 磁 盘 、 大 量 的 使 用CPU时 间 、 大 量 的 进 程 、 大 量 使 用 su的 企 图 、大 量 无 效 登 录 、 大 量 的 到 某 一 网 络 的 传 输 以及 一 些 等 待 的 系 统 请 求 等 。 此 外 还 要 注 意 检查 久 未 使 用 的 登

20、录 账 户 ， 并 确 保 没 有 不 设 口令 的 登 录 账 户 。 UNIX记 账 软 件 包 也 可 用 作 安 全 检 查 工 具 ，除 最 后 登 录 时 间 的 记 录 外 ， 记 账 系 统 还 能 保存 全 天 运 行 的 所 有 进 程 的 完 整 记 录 ， 对 于 一个 进 程 所 存 储 的 信 息 包 括 ： UID， 命 令 名 ， 进 程 开 始 执 行 与 结 束 的 时 间 ， CPU时 间 和 实 际消 耗 的 时 间 ， 该 进 程 是 否 是 root进 程 等 ， 这 将有 助 于 系 统 管 理 员 了 解 系 统 中 的 用 户 在 干 什 么

21、。acctcon命 令 可 以 列 出 一 天 的 账 目 表 ， 表 明 系 统中 有 多 个 记 账 数 据 文 件 。 在 accton的 输 出 中 可查 找 一 个 用 户 过 多 的 登 录 过 程 ， 如 果 有 这 样 的情 况 ， 则 说 明 可 能 有 人 在 尝 试 登 录 、 猜 测 口 令 、企 图 非 法 进 入 系 统 。 还 有 其 他 一 些 检 查 命 令 可以 检 查 用 户 对 文 件 系 统 的 使 用 情 况 ， 报 告 整 个文 件 系 统 当 前 的 空 间 使 用 情 况 ， 检 查 当 前 系 统中 正 在 运 行 的 所 有 进 程 ， 告

22、 诉 系 统 管 理 员 系 统中 工 作 的 进 展 情 况 及 检 查 用 户 的 登 录 时 间 、 登录 终 端 ， 记 录 用 户 企 图 破 译 root口 令 进 入 root的无 效 操 作 信 息 等 。 系 统 管 理 员 可 定 期 (如 每 星 期 )或 不 定 期 地 随机 抽 选 一 个 用 户 ， 将 该 用 户 的 安 全 检 查 结 果(用 户 的 登 录 情 况 简 报 和 SUID/SGID文 件 列 表等 )发 送 给 他 的 管 理 部 门 和 他 本 人 ， 这 样 做可 以 使 用 户 考 虑 安 全 问 题 ， 拥 有 大 量 可 写 文件 的

23、用 户 将 每 星 期 得 到 一 次 邮 件 ， 直 到 他 们取 消 文 件 的 写 许 可 为 止 。 此 外 ， 列 出 用 户 的SUID程 序 将 引 起 用 户 注 意 自 己 有 SUID程 序 ，使 用 户 注 意 检 查 是 否 有 不 是 自 己 建 立 的SUID程 序 。 在 未 检 查 用 户 文 件 系 统 的 SUID SGID程 序 和 设 备 文 件 之 前 ， 不 要 安 装 用户 文 件 系 统 。 如 SUID/SGID程 序 确 有 必 要 ，应 建 立 一 个 新 用 户 供 该 软 件 运 行 ， 而 不 要 让这 些 程 序 具 有 系 统 的

24、 SUID或 SGID。 5.3 UNIX安 全 配 置 1)用 户 和 文 件 配 置 删 除 所 有 不 用 的 账 户 选 择 合 适 的 密 码 策 略 超 级 用 户 配 置 只 允 许 wheel组 (超 级 用 户 所 在 组 )的 用 户 通 过su命 令 改 变 为 root用 户 限 制 用 户 对 主 机 资 源 的 使 用 保 护 一 些 文 件 免 被 改 动 /etc/exports文 件 如 果 使 用 NFS网 络 文 件 系 统服 务 ， 那 么 应 确 保 /etc/exports具 有 最 严 格 的 存取 权 限 设 置 ， 这 意 味 着 不 要 使

25、用 任 何 通 配 符 ，不 允 许 root写 权 限 ， mount只 读 文 件 系 统 。 2)网 络 配 置 对 于 旧 的 L i n u x 系 统 ， 配 置/etc/inetd.conf， 去 掉 不 用 的 服 务 ， 对 于较 新 的 系 统 ， 则 应 当 配 置 xinetd.conf以 及/etc/xinetd.d/， 建 议 配 置 时 ， 先 备 份 原有 配 置 ， 然 后 去 掉 所 有 的 服 务 ， 然 后 再 根据 需 要 添 加 。 避 免 域 名 欺 骗 ， 修 改 “ /etc/host.cof” 文 件 。 3)系 统 配 置 禁 止 Cont

26、rol-Alt-Delete关 闭 系 统 命 令 /etc/lilo.con配 置 因 为 LILO对 Linux系 统 非 常 重 要 ， 所 以 要 尽可 能 地 保 护 好 它 。 LILO最 重 要 的 配 置 文 件是 “ /etc” 目 录 下 的 “ lilo.conf” 文 件 。 用 这个 文 件 可 以 配 置 或 提 高 LILO程 序 以 及 Linux系 统 的 安 全 性 。 下 面 是 LILO程 序 的 3个 重 要的 选 项 设 置 。 加 入 ： timeout=00。 这 项 设 置 设 定 LILO为引 导 默 认 的 系 统 之 前 ， 等 候 用

27、户 输 入 的 时间 。 C2安 全 等 级 规 定 这 个 时 间 间 隔 必 须 设成 0， 因 为 多 重 引 导 会 使 系 统 的 安 全 措 施 形同 虚 设 。 除 非 想 用 多 重 引 导 ， 否 则 最 好 把这 项 设 成 0。 加 入 ： restricted。 当 LILO引 导 的 时 候 ， 输入 参 数 Linux single， 进 入 单 用 户 (single)模 式 。因 为 单 用 户 模 式 没 有 口 令 验 证 ， 所 以 可 以 在LILO引 导 时 ， 加 上 口 令 保 护 。 “ restricted”选 项 只 能 和 “ passwo

28、rd” 合 起 来 用 。 注 意 要给 每 个 内 核 都 要 加 上 口 令 保 护 。 加 入 ： password 。 用 单 用 户模 式 启 动 Linux系 统 的 时 候 ， 系 统 要 求 用 户输 入 这 个 口 令 。 注 意 ： 口 令 是 大 小 写 敏 感 的 ，要 让 “ /etc/lilo.conf” 文 件 除 了 root之 外 ， 其他 用 户 没 有 读 的 权 限 ， 这 样 也 就 看 不 到 口 令了 。 4)常 见 服 务 的 安 全 防 护 随 着 WWW服 务 器 使 用 的 日 益 广 泛 ， WWW服 务 器 的 访 问 控 制 和 安

29、全 性 能 保 障 也 就 成 了一 个 重 要 的 内 容 。 WWW服 务 器 的 安 全 配 置 ，一 个 是 对 网 页 的 访 问 进 行 访 问 权 限 控 制 ， 另外 一 个 是 防 止 服 务 器 受 到 拒 绝 服 务 攻 击 的 影响 。 以 下 主 要 针 对 Apache， 讨 论 如 何 进 行 安全 配 置 。 Apache可 以 很 好 地 解 决 上 述 问 题 。 Apache实现 身 份 认 证 的 基 本 原 理 是 ： 当 系 统 管 理 员 启动 身 份 认 证 功 能 后 ， 可 以 在 要 限 制 的 目 录 下添 加 一 个 默 认 名 为 “

30、 .btaccess” 的 文 件 。 当用 户 访 问 该 路 径 下 的 资 源 时 ， 系 统 就 会 弹 出一 个 对 话 框 ， 要 求 用 户 输 入 “ 用 户 名 /口 令 ” 。也 就 是 说 ， 它 的 身 份 认 证 功 能 不 是 人 为 由程 序 控 制 ， 而 是 由 系 统 直 接 控 制 的 。 这 样就 避 免 了 用 户 记 录 需 要 认 证 的 资 源 的 超 级链 接 ， 不 会 下 次 直 接 访 问 资 源 。 不 仅 如 此 ，Apache的 身 份 认 证 的 限 制 有 多 种 ， 可 以 限定 某 个 目 录 的 读 取 权 ， 针 对 I

31、P地 址 进 行 的 限制 ， 以 及 一 个 目 录 下 各 子 目 录 的 不 同 限 制 。以 下 具 体 进 行 说 明 。 5.4 UNIX安 全 漏 洞 及 防 护 5.4.1 RPC服 务 缓 冲 区 溢 出 1)描 述 远 程 请 求 (RPC， Remote Procedure Calls)允许 一 台 机 器 上 的 程 序 执 行 另 一 台 机 器 上 的 程序 。 它 们 被 广 泛 的 用 来 提 供 网 络 服 务 如 NFS文 件 共 享 和 NIS。 由 于 RPC缺 陷 导 致 的 弱 点正 被 广 泛 的 利 用 着 。 有 证 据 显 示 ， 19992

32、000年 间 的 大 部 分 分 布 式 拒 绝 服 务 型 攻 击 都是 在 那 些 有 RPC漏 洞 的 机 器 上 执 行 的 。 在 五角 大 楼 事 件 中 成 功 的 对 美 国 军 方 系 统 的 攻 击就 是 通 过 利 用 国 防 部 几 百 个 系 统 中 的 一 个RPC缺 陷 来 实 现 的 。 它 影 响 的 系 统 包 括UNIX的 大 部 分 版 本 。 2)确 定 是 否 受 影 响 检 查 是 否 运 行 了 下 面 3个 被 广 泛 利 用 的 RPC服务 中 的 一 个 ： rpc.ttdbserverd rpc.cmsd rpc.statd 这 些 服

33、务 通 常 被 缓 冲 区 溢 出 攻 击 成 功 利 用 ，因 为 RPC程 序 不 进 行 合 适 的 错 误 检 查 。 缓 冲区 溢 出 允 许 攻 击 者 发 送 程 序 不 支 持 的 数 据 ，因 为 程 序 不 进 行 合 理 的 错 误 检 查 ， 数 据 被 继续 传 递 和 处 理 。 3)抵 御 攻 击 按 照 下 面 步 骤 保 护 系 统 避 免 受 到 该 类 攻 击 ： 只 要 允 许 ， 在 可 以 从 Internet直 接 访 问的 机 器 上 关 闭 或 删 除 这 些 服 务 。 在 必 须 运 行 该 服 务 时 ， 安 装 最 新 的 补 丁 ，以

34、 下 是 各 个 系 统 补 丁 下 载 网 址 。 Solaris Software补 丁 ： http:/ IBM AIX Software补 丁 ： http:/ http:/ SGI Software补 丁 ： Compaq (Digital Unix)补 丁 ： http:/ 定 期 搜 索 供 应 商 的 补 丁 库 查 找 最 新 的 补丁 并 立 刻 安 装 。 关 闭 使 用 的 RPC端 口 (port 111)。 关 闭 RPC“ loopback” 端 口 , 32770-32789 (TCP and UDP)。 5.4.2 Sendmail漏 洞 1)描 述 Send

35、mail是 在 UNIX和 Linux上 用 得 最 多 的 发送 、 接 收 和 转 发 电 子 邮 件 的 程 序 。Semdmail在 Internet上 的 广 泛 应 用 使 它 成 为攻 击 者 的 主 要 目 标 。 过 去 的 几 年 里 发 现 了若 干 个 缺 陷 。 其 中 最 为 常 用 的 是 攻 击 者 可以 发 送 一 封 特 别 的 邮 件 消 息 给 运 行 Sendmail的 机 器 ， Sendmail会 根 据 这 条 消 息 要 求 被 攻击 的 机 器 把 它 的 口 令 文 件 发 给 攻 击 者 的 机器 (或 者 另 一 台 被 其 控 制 的

36、 机 器 )， 这 样 口令 就 会 被 破 解 。 2)影 响 的 系 统 UNIX和 Linux的 大 部 分 版 本 。 3)确 认 是 否 受 影 响 Sendmail有 很 多 的 易 受 攻 击 的 弱 点 ， 必 须 定 期的 更 新 和 打 补 丁 。 检 查 Sendmail最 新 版 本 和 补丁 版 本 ， 如 果 你 没 有 更 新 版 本 或 安 装 补 丁 文 件 ，你 可 能 就 受 此 条 影 响 。 4)抵 御 攻 击 可 以 采 取 下 列 步 骤 来 保 护 Sendmail： 更 新 Sendmail到 最 新 版 本 或 安 装 相 应 的 补 丁文

37、件 ， 可 以 到 以 下 网 址 获 得 相 关 信 息 。 http:/www.cert.org/advisories/CA-97.05. sendmail.html 在 不 是 邮 件 服 务 器 和 代 理 服 务 器 上 ， 不 要 在daemon模 式 下 (关 闭 the-bd开 关 )运 行 Sendmail。 5.4.3 BIND脆 弱 性 1)描 述 Berkeley Internet Name Domain(BIND)是 域 名服 务 (DNS,Domain Name Service)用 得 最 多 的软 件 包 。 DNS非 常 重 要 ， 利 用 它 在 Intern

38、et上通 过 机 器 的 名 字 (如 )找 到 机器 而 不 必 知 道 机 器 的 IP地 址 。 这 使 它 成 为 攻击 的 目 标 。 根 据 1999年 的 调 查 ， 连 接 在Internet上 的 50%的 DNS服 务 器 运 行 的 都 是 易受 攻 击 的 版 本 。 在 一 个 典 型 的 BIND攻 击 的例 子 里 ， 入 侵 者 删 除 了 系 统 日 志 并 安 装 了 工具 来 获 取 管 理 员 的 权 限 ， 然 后 安 装 了 IRC工具 和 网 络 扫 描 工 具 ， 扫 描 了 12个 B类 网 来 寻 找 更 多 的 易 受 攻 击 的 BIND

39、。 在 1 min左 右 的时 间 里 ， 入 侵 者 就 使 用 已 经 控 制 的 机 器 攻 击了 几 百 台 远 程 的 机 器 ， 并 找 到 了 更 多 的 可 以控 制 的 机 器 。 这 个 例 子 说 明 了 像 DNS这 些Internet服 务 软 件 中 的 一 个 单 独 的 缺 陷 可 能 带来 很 大 的 安 全 隐 患 。 过 期 版 本 的 BIND还 存在 缓 冲 区 溢 出 的 问 题 ， 攻 击 者 可 以 用 来 获 取未 经 授 权 的 权 限 。 可 以 通 过 运 行 漏 洞 扫 描 器 ， 检 查 BIND版 本 ，或 手 工 检 查 文 件

40、是 否 易 受 攻 击 。 如 何 抵 御 该攻 击 ， 应 该 采 取 下 面 步 骤 来 防 止 BIND缺 陷导 致 的 攻 击 ： 在 所 有 不 是 DNS服 务 器 的 机 器 上 ， 取 消BIND name daemon(称 为 “ named” )。 以 非 特 权 的 用 户 身 份 运 行 BIND以 免 远 程 控制 的 攻 击 。 然 而 DNS要 求 只 有 作 为 root才 有权 配 置 1024以 下 的 端 口 并 运 行 该 程 序 。 因 此必 须 配 置 BIND使 其 与 端 口 捆 绑 后 改 变 用 户 ID。 在 chroot目 录 下 运 行

41、 BIND以 免 受 到 远 程 控制 攻 击 。 除 了 对 授 权 的 用 户 外 取 消 区 域 转 换 功 能 。 取 消 递 归 和 粘 合 以 保 护 DNS缓 冲 区 位 置 。 2)隐 藏 版 本 字 符 串 5.4.4 R命 令 1)描 述 在 UNIX世 界 里 ， 相 互 信 任 关 系 到 处 存 在 ，特 别 是 在 系 统 管 理 方 面 。 公 司 里 经 常 指 定一 个 管 理 员 管 理 几 十 个 区 域 或 者 甚 至 上 百台 机 器 。 管 理 员 经 常 使 用 信 任 关 系 和 UNIX的 R命 令 从 一 个 系 统 方 便 的 切 换 到

42、另 一 个 系统 。 R命 令 允 许 一 个 用 户 登 录 远 程 机 器 而不 必 提 供 口 令 。 取 代 询 问 用 户 名 和 口 令 ，远 程 机 器 认 可 来 自 可 信 赖 IP地 址 的 任 何 用户 。 如 果 攻 击 者 获 得 了 可 信 任 网 络 里 的 任何 一 台 的 机 器 ， 就 能 登 录 任 何 信 任 该 IP的任 何 机 器 。 下 面 命 令 经 常 用 到 ： rlogin remote login， 远 程 登 录 。 rsh remote shell， 远 程 shell。 rcp remote copy， 远 程 拷 贝 。 2)影

43、响 的 系 统 UNIX包 括 Linux的 大 部 分 版 本 。 信 任 关 系 通 过 设 置 两 个 文 件 来 建 立 的 ， 通过 检 测 /etc/hosts.equiv或 /.rhosts来 确 认 该UNIX系 统 是 否 设 置 了 信 任 关 系 。 3)怎 样 抵 御 攻 击 不 要 允 许 以 IP为 基 础 的 信 任 关 系 ， 不 要 使用 R命 令 。 基 于 IP地 址 的 认 证 太 容 易 被 跳 过 ，认 证 应 该 基 于 更 安 全 的 方 式 像 tokens或 者至 少 是 口 令 。 如 果 使 用 R命 令 ， 应 限 制 它 的登 录 范

44、 围 ， 小 心 的 控 制 可 触 及 的 网 络 的 范围 。 不 要 把 “ rhost” 文 件 放 在 “ root” 用户 下 。 可 以 经 常 使 用 “ find” 命 令 来 查 找由 用 户 生 成 的 任 何 “ rhost” 文 件 。 5.4.5 LPD 1)描 述 UNIX里 ， in.lpd为 用 户 提 供 了 与 本 地 打 印机 交 互 的 服 务 。 lpd侦 听 TCP 515端 口 的 请求 。 程 序 员 在 写 代 码 时 犯 了 一 点 错 误 ， 使得 当 打 印 工 作 从 一 台 机 器 传 到 另 一 台 机 器时 会 导 致 缓 冲

45、区 溢 出 的 漏 洞 。 如 果 在 较 短的 时 间 里 接 受 了 太 多 的 任 务 ， 后 台 程 序 就会 崩 溃 或 者 以 更 高 的 权 限 运 行 任 意 的 代 码 。 2)影 响 的 系 统 受 影 响 的 系 统 有 ： Solaris 2.6 for SPARC；Solaris 2.6 x86； Solaris 7 for SPARC；Solaris 7 x86； Solaris 8 for SPARC； Solaris 8 x86； Linux 的 多 个 版 本 。 3)确 认 是 否 受 影 响 运 行 一 个 漏 洞 扫 描 程 序 来 查 找 这 个 漏

46、洞 或者 进 行 手 工 检 查 。 最 简 单 的 办 法 是 查 看 系统 是 否 运 行 LDP以 及 它 的 版 本 。 如 果 使 用 的是 该 软 件 容 易 受 攻 击 的 版 本 并 且 没 有 打 补丁 ， 那 么 系 统 就 将 易 受 到 影 响 。 4)抵 御 攻 击 可 以 将 补 丁 文 件 安 装 在 受 影 响 的 机 器 上 以防 此 类 漏 洞 。 同 时 ， 还 有 其 他 的 一 些 方 法防 止 利 用 这 个 漏 洞 进 行 的 攻 击 ： 如 果 对 远 程 的 打 印 处 理 不 是 必 要 的 ， 在 /etc/inetd.conf中 关 闭

47、打 印 设 备 。 打 开 noexec_user_stack,可 以 在 /etc/system文 件 里 加 入 下 面 的 行 ， 然 后 重启 来 打 开 该 功 能 ： set noexec_user_stack=1 set noexec_user_stack_log=1 限 制 到 port 515/tcp的 连 接 。 配 置 安 装 tcpwrappers,它 是 tcpd-7.6软 件 包的 一 部 分 ， 可 以 从http:/ 载 。 5.4.6 Sadmind and Mountd 1)描 述 Sadmind允 许 远 程 登 录 到 Solaris系 统 进 行 管理

48、 ， 并 提 供 了 一 个 系 统 管 理 功 能 的 图 形 用户 接 口 。 Mountd控 制 和 判 断 安 装 在 UNIX主机 上 的 NFS的 连 接 。 由 于 软 件 开 发 人 员 的 错误 导 致 的 这 些 应 用 的 缓 冲 区 溢 出 漏 洞 可 能被 攻 击 者 利 用 获 取 root的 存 取 权 限 。 2)影 响 的 系 统 UNIX的 多 个 版 本 。 3)确 认 是 否 受 影 响 可 以 使 用 漏 洞 扫 描 器 查 看 这 些 服 务 是 否 在运 行 以 及 它 们 是 否 易 于 攻 击 。 可 采 取 一 定措 施 防 御 该 类 攻

49、击 。 4)抵 御 攻 击 下 面 的 措 施 会 保 护 NFS漏 洞 ， 包 括 Sadmind和 Mountd: 如 果 可 能 ， 在 直 接 与 Internet连 接 的 机器 上 关 闭 或 者 删 除 Sadmind和 Mountd。 安 装 最 新 的 补 丁 。 使 用 基 于 host/ip的 输 出 清 单 。 把 输 出 文 件 系 统 设 置 成 只 读 或 者 没 有suid。 使 用 nfsbug扫 描 漏 洞 。 5.4.7 缺 省 SNMP字 串 1)描 述 简 单 网 络 管 理 协 议 (SNMP,Simple Network Management Pr

50、otocol)是 管 理 员 广 泛 使 用 的协 议 ， 用 来 管 理 和 监 视 各 种 各 样 与 网 络 连接 的 设 备 ， 从 路 由 器 到 打 印 机 到 计 算 机 。SNMP使 用 没 有 加 密 的 公 共 字 符 串 作 为 惟 一的 认 证 机 制 。 绝 大 部 分 SNMP设 备 使 用 的 公共 字 符 串 还 是 “ public” ， 只 有 少 部 分 设 备供 应 商 为 了 保 护 敏 感 信 息 把 字 符 串 改 为“ private” 。 攻 击 者 可 以 利 用 这 个 SNMP中的 漏 洞 远 程 重 新 配 置 或 关 闭 设 备 。

51、被 监 听的 SNMP通 讯 能 泄 漏 很 多 关 于 网 络 结 构 的 信息 ， 以 及 连 接 在 网 络 上 的 设 备 。 入 侵 者 可以 使 用 这 些 信 息 找 出 目 标 并 实 施 他 们 的 攻击 。 2)影 响 的 系 统 所 有 的 UNIX系 统 和 网 络 设 备 。 3)确 认 是 否 受 影 响 检 查 你 的 设 备 是 否 运 行 了 SNMP协 议 。 如 果是 ， 检 查 配 置 文 件 找 到 公 共 漏 洞 。 缺 省 的 和 空 白 的 SNMP community名 字 。 容 易 猜 测 的 SNMP community名 字 。 隐 藏

52、 SNMP community字 符 串 。 4)抵 御 攻 击 抵 御 SNMP漏 洞 的 攻 击 的 步 骤 如 下 ： 如 果 不 需 要 SNMP,关 闭 它 。 如 果 一 定 要 使 用 S N M P , 对 社 团 号(Community Names)使 用 和 口 令 一 样 的 策 略 ；确 保 它 们 难 于 猜 测 和 破 解 ， 并 定 期 改 变 。 使 用 snmpwalk命 令 验 证 和 检 验 社 团 号 。 除 非 必 须 从 本 地 网 外 部 访 问 和 管 理 设 备 ，否 则 在 边 界 路 由 器 或 防 火 墙 处 过 滤 掉 SNMP (Port 161/UDP)。 只 要 可 能 ， 设 置 MIB(管 理 信 息 结 构 )为 只读 。