Linux系統安全隱患及加強安全管理的方法

世界上沒(méi)有絕對安全的系統，即使是普遍認為穩定的Linux系統，在管理和安全方面也存在不足之處。我們期望讓系統盡量在承擔低風(fēng)險的情況下工作，這就要加強對系統安全的管理。

下面，我具體從兩個(gè)方面來(lái)闡述Linux存在的不足之處，并介紹如何加強Linux系統在安全方面的管理。

防止黑客的入侵

在談黑客入侵方面的安全管理之前，我先簡(jiǎn)單介紹一些黑客攻擊Linux主機的主要途徑和慣用手法，讓大家對黑客攻擊的途徑和手法有所了解。這樣才能更好地防患于未然，做好安全防范。

要阻止黑客蓄意的入侵，可以減少內網(wǎng)與外界網(wǎng)絡(luò )的聯(lián)系，甚至獨立于其它網(wǎng)絡(luò )系統之外。這種方式雖造成網(wǎng)絡(luò )使用上的不便，但也是最有效的防范措施。

黑客一般都會(huì )尋求下列途徑去試探一臺Linux或Unix主機，直到它找到容易入侵的目標，然后再開(kāi)始動(dòng)手入侵。常見(jiàn)的攻擊手法如下：

1、直接竊聽(tīng)取得root密碼,或者取得某位特殊User的密碼，而該位User可能為root，再獲取任意一位User的密碼，因為取得一般用戶(hù)密碼通常很容易。

2、黑客們經(jīng)常用一些常用字來(lái)破解密 碼。曾經(jīng)有一位美國黑客表示，只要用“password”這個(gè)字，就可以打開(kāi)全美多數的計算機。其它常用的單詞還有：account、ald、 alpha、beta、computer、dead、demo、dollar、games、bod、hello、help、intro、kill、 love、no、ok、okay、please、sex、secret、superuser、system、test、work、yes等。

3、使用命令：finger@some.cracked.host，就可以知道該臺計算機上面的用戶(hù)名稱(chēng)。然后找這些用戶(hù)下手，并通過(guò)這些容易入侵的用戶(hù)取得系統的密碼文件/etc/passwd，再用密碼字典文件搭配密碼猜測工具猜出root的密碼。

4、利用一般用戶(hù)在/tmp目錄放置著(zhù)的SetUID的文件或者執行著(zhù)SetUID程序，讓root去執行，以產(chǎn)生安全漏洞。

5、利用系統上需要SetUID root權限的程序的安全漏洞，取得root的權限，例如:pppd。

6、從.rhost的主機入侵。因為當用戶(hù)執行rlogin登錄時(shí)，rlogin程序會(huì )鎖定.rhost定義的主機及賬號，并且不需要密碼登錄。

7、修改用戶(hù)的.login、cshrc、.profile等Shell設置文件，加入一些破壞程序。用戶(hù)只要登錄就會(huì )執行，例如“if /tmp/backdoor exists run /tmp/backdoor”。

8、只要用戶(hù)登錄系統，就會(huì )不知不覺(jué)地執行Backdoor程序(可能是Crack程序)，它會(huì )破壞系統或者提供更進(jìn)一步的系統信息，以利Hacker滲透系統。

9、如果公司的重要主機可能有網(wǎng)絡(luò )防火墻的層層防護，Hacker有時(shí)先找該子網(wǎng)的任何一臺容易入侵的主機下手，再慢慢向重要主機伸出魔掌。例如：使用NIS共同聯(lián)機，可以利用remote 命令不需要密碼即可登錄等，這樣黑客就很容易得手了。

10、Hacker會(huì )通過(guò)中間主機聯(lián)機，再尋找攻擊目標，避免被用逆查法抓到其所在的真正IP地址。

11、Hacker進(jìn)入主機有好幾種 方式，可以經(jīng)由Telnet(Port 23)、Sendmail(Port25)、FTP(Port 21)或WWW(Port 80)的方式進(jìn)入。一臺主機雖然只有一個(gè)地址，但是它可能同時(shí)進(jìn)行多項服務(wù)，而這些Port都是黑客“進(jìn)入”該主機很好的方式。

12、Hacker通常利用 NIS(IP)、NFS這些RPC Service截獲信息。只要通過(guò)簡(jiǎn)單的命令(例如showmount)，便能讓遠方的主機自動(dòng)報告它所提供的服務(wù)。當這些信息被截獲時(shí)，即使裝有 tcp_wrapper等安全防護軟件，管理員依然會(huì )在毫不知情的情況下被“借”用了NIS Server上的文件系統，而導致/etc/passwd外流。

13、發(fā)E-mail給anonymous賬號，從FTP站取得/etc/passwd密碼文件，或直接下載FTP站/etc目錄的passwd文件。

14、網(wǎng)絡(luò )竊聽(tīng)，使用sniffer程序監視網(wǎng)絡(luò )Packet，捕捉Telnet，FTP和Rlogin一開(kāi)始的會(huì )話(huà)信息，便可順手截獲root密碼，所以sniffer是造成今日Internet非法入侵的主要原因之一。

15、利用一些系統安全漏洞入侵主機，例如：Sendmail、Imapd、Pop3d、DNS等程序，經(jīng)常發(fā)現安全漏洞，這對于入侵不勤于修補系統漏洞的主機相當容易得手。

16、被Hacker入侵計算機，系統的Telnet程序可能被掉包，所有用戶(hù)Telnet session的賬號和密碼均被記錄下，并發(fā)E-mail給Hacker，進(jìn)行更進(jìn)一步的入侵。

17、Hacker會(huì )清除系統記錄。一些厲害的Hacker都會(huì )把記錄它們進(jìn)入的時(shí)間、IP地址消除掉，諸如清除：syslog、lastlog、messages、wtmp、utmp的內容，以及Shell歷史文件.history。

18、入侵者經(jīng)常將如ifconfig、tcpdump這類(lèi)的檢查命令更換，以避免被發(fā)覺(jué)。

19、系統家賊偷偷復制/etc/passwd，然后利用字典文件去解密碼。

20、家賊通過(guò)su或sudo之類(lèi)的Super User程序覬覦root的權限。

21、黑客經(jīng)常使用Buffer overflow(緩沖區溢位)手動(dòng)入侵系統。

22、cron是Linux操作系統用來(lái)自動(dòng)執行命令的工具，如定時(shí)備份或刪除過(guò)期文件等等。入侵者常會(huì )用cron來(lái)留后門(mén)，除了可以定時(shí)執行破譯碼來(lái)入侵系統外，又可避免被管理員發(fā)現的危險。

23、利用IP spoof(IP詐騙)技術(shù)入侵Linux主機。

以上是目前常見(jiàn)的黑客攻擊Linux 主機的伎倆。如果黑客可以利用上述一種方法輕易地入侵計算機的話(huà)，那么該計算機的安全性實(shí)在太差了，需要趕快下載新版的軟件來(lái)升級或是用patch文件來(lái) 修補安全漏洞。在此警告，擅自使用他人計算機系統或竊取他人資料的都是違法行為，希望各位讀者不要以身試法。

除了上面這些方法，很多黑客還可 以利用入侵工具來(lái)攻擊Linux系統。這些工具常常被入侵者完成入侵以后種植在受害者服務(wù)器當中。這些入侵工具各自有不同的特點(diǎn)，有的只是簡(jiǎn)單地用來(lái)捕捉 用戶(hù)名和密碼，有的則非常強大可記錄所有的網(wǎng)絡(luò )數據流?？傊?，黑客利用入侵工具也是攻擊Linux主機的常用方法。

[NextPage]

對黑客的安全防護

如果要保護系統的安全，針對黑客入侵我們要做的第一步應該就是把預防工作提前做好。作為一名系統管理員一定要保證自己管理的系統在安全上沒(méi)有漏洞。這樣就不會(huì )給非法用戶(hù)可乘之機。

要提前做好預防工作，我認為主要有下面幾點(diǎn)：

第一，提前關(guān)閉所有可能的系統后門(mén)，以防止入侵者利用系統中的漏洞入侵。例如用“rpcinfo -p”來(lái)檢查機器上是否運行了一些不必要的遠程服務(wù)。一旦發(fā)現，立即停掉，以免給非法用戶(hù)留下系統的后門(mén)。