隨著Linux企業應用的擴展,大量網絡服務器使用Linux操作系統。Linux服務器的安全性能越來越受到關註。這裏根據Linux服務器受到攻擊的深度,以等級的形式列出,並提出不同的解決方案。
Linux服務器攻擊的定義是,攻擊是壹種未經授權的行為,旨在阻礙、損害、削弱和破壞Linux服務器的安全性。攻擊的範圍從拒絕服務到完全損害和破壞Linux服務器。對Linux服務器的攻擊有很多種。本文從攻擊深度的角度說明了我們將攻擊分為四個層次。
攻擊級別1:拒絕服務攻擊(DoS)
由於DoS攻擊工具的泛濫,以及目標協議層的缺陷無法在短時間內改變,DoS已經成為傳播最廣、難度最大的攻擊方式。
拒絕服務攻擊包括分布式拒絕服務攻擊、反射式分布式拒絕服務攻擊、DNS分布式拒絕服務攻擊、FTP攻擊等。大多數拒絕服務攻擊導致的風險相對較低,即使是那些可能導致系統重啟的攻擊也只是暫時的問題。這種攻擊很大程度上不同於那些想要獲得網絡控制權的攻擊,壹般不會影響數據安全,但是拒絕服務攻擊會持續很長時間,難度很大。
到目前為止,還沒有絕對的方法來阻止這種攻擊。然而,這並不意味著我們應該輕易屈服。除了強調加強保護個人主機不被利用的重要性,加強對服務器的管理是非常重要的壹個環節。壹定要安裝驗證軟件和過濾功能,檢查消息源地址的真實地址。另外,對於幾種服務拒絕可以采取以下措施:關閉不必要的服務,限制同時打開的Syn半連接數量,縮短Syn半連接的超時時間,及時更新系統補丁。
攻擊級別2:本地用戶獲得對其未授權文件的讀寫權限。
本地用戶是指在本地網絡上的任何機器上都有密碼的用戶,因此在某個驅動器上有壹個目錄。本地用戶獲得其未授權文件的讀寫權限的問題是否構成危險,很大程度上取決於被訪問文件的密鑰。任何本地用戶隨意訪問臨時文件目錄(/tmp)都是危險的,這可能為下壹級攻擊鋪平道路。
第二級的主要攻擊方式是:黑客誘騙合法用戶告訴他們機密信息或執行任務,有時黑客會偽裝成網絡管理員給用戶發郵件,要求他們給自己系統升級的密碼。
幾乎所有本地用戶發起的攻擊都是從遠程登錄開始的。對於Linux服務器,最好的方法是將所有的shell帳戶放在壹臺機器上,也就是說,只註冊壹臺或多臺具有shell訪問權限的服務器。這可以使日誌管理、訪問控制管理、發布協議和其他潛在的安全問題更容易管理。您還應該區分存儲用戶cgI的系統。這些機器應該被隔離在壹個特定的網段中,也就是說,根據網絡的配置,它們應該被路由器或網絡交換機包圍。其拓撲結構應確保硬件地址欺騙不能超出此部分。
攻擊級別3:遠程用戶獲得特權文件的讀寫權限。
第三級攻擊不僅可以驗證特定文件的存在,還可以讀寫這些文件。造成這種情況的原因是Linux服務器配置存在壹些弱點:遠程用戶可以在沒有有效帳戶的情況下在服務器上執行有限數量的命令。
密碼攻擊是第三級中主要的攻擊方式,破解密碼是最常見的攻擊方式。密碼破解是壹個術語,用於描述使用或不使用工具來滲透網絡、系統或資源,以解鎖受密碼保護的資源。用戶經常忽略他們的密碼,並且密碼策略很難實現。黑客有很多工具可以破解技術和社會保護的密碼。主要包括:字典攻擊、混合攻擊和暴力攻擊。黑客壹旦有了用戶密碼,就擁有了很多用戶權限。密碼猜測是指手動輸入普通密碼或通過編譯原程序獲得密碼。壹些用戶選擇簡單的密碼——如生日、紀念日和配偶的名字,但他們沒有遵循字母和數字應該混合的規則。黑客用不了多久就能猜出壹串8個字的生日數據。
對第三級攻擊最好的防禦是嚴格控制訪問權限,即使用有效的密碼。
◆主要包括密碼要遵循字母、數字、大小寫混合使用的規則(因為Linux是區分大小寫的)。
◆使用“#”或“%”或“countbak”之類的詞,並在其後加上“# #”。
攻擊級別4:遠程用戶獲得root權限。
第四攻擊等級指的是那些本不該發生的事情。這是致命的攻擊。表示攻擊者擁有Linux服務器的root、超級用戶或管理員權限,可以讀取、寫入和執行所有文件。換句話說,攻擊者完全控制了Linux服務器,可以隨時完全關閉甚至破壞網絡。
攻擊級別4的主要攻擊形式有TCP/IP連續竊取、被動信道偵聽和數據包攔截。TCP/IP連續竊取、被動信道偵聽和數據包攔截是收集進入網絡的重要信息的方法。與拒絕服務攻擊不同,這些方法更類似於竊取,並且相對隱蔽,難以被發現。成功的TCP/IP攻擊可以讓黑客阻斷兩個群體之間的交易,為中間人攻擊提供了很好的機會,然後黑客會在受害者不察覺的情況下控制壹方或雙方的交易。通過被動竊聽,黑客將操縱和註冊信息,傳遞文檔,並找到可以通過目標系統上所有可訪問通道的致命密鑰。黑客會尋找在線和密碼的結合,認可合法的申請渠道。包攔截是指約束目標系統中的主動監聽器程序來攔截和改變所有或特殊信息的地址。信息可以被重定向到非法系統進行讀取,然後原封不動地發回給黑客。
TCP/IP連續盜竊其實就是網絡嗅探。註意,如果妳確定有人在妳自己的網絡上連接了嗅探器,可以找壹些工具進行驗證。這個工具叫做時域反射儀(TDR)。TDR測量電磁波的傳播和變化。將TDR連接到網絡可以檢測獲取網絡數據的未授權設備。然而,許多中小型公司沒有如此昂貴的工具。
防止嗅探器攻擊的最佳方法是:
1,安全拓撲。嗅探器只能捕獲當前網段上的數據。這意味著網絡分段越細,嗅探器收集的信息就越少。
2.會話加密。不用擔心數據被嗅探,但是盡量讓嗅探者不知道被嗅探的數據。這種方法的優勢很明顯:即使攻擊者嗅到了數據,對他也沒用。
特別說明:應對攻擊的反制措施。
妳要特別註意二級以上的攻擊。因為他們可以不斷升級攻擊級別來滲透Linux服務器。此時,我們可以采取的反制措施有:
◆首先,備份重要的企業關鍵數據。
◆更改系統中的所有密碼,並通知用戶找到系統管理員獲取新密碼。
◆隔離網段使攻擊行為只出現在小範圍內。
◆允許行為繼續。如果可能的話,不要急於把攻擊者趕出系統,為下壹步做準備。
◆記錄所有行為,收集證據。這些證據包括:系統登錄文件、應用程序登錄文件、AAA(認證、授權、記賬)登錄文件、RADIUS(遠程認證撥入用戶服務)登錄、網元日誌、防火墻日誌、HIDS(基於主機的IDS)事件、NIDS(網絡入侵檢測系統)事件、磁盤驅動器、隱藏文件等。收集證據時要註意:移動或拆卸任何設備前要拍照;在調查中要遵循兩人規則,信息采集至少要有兩個人,防止篡改信息;應記錄采取的所有步驟和對配置設置的任何更改,這些記錄應保存在安全的地方。檢查系統中所有目錄的訪問權限,並檢查Permslist是否已被修改。
進行各種嘗試(使用網絡的不同部分)以確定攻擊的來源。
為了用法律武器打擊犯罪,必須保存證據,形成證據需要時間。為了做到這壹點,我們必須忍受攻擊的影響(盡管可以制定壹些安全措施來確保攻擊不會破壞網絡)。在這種情況下,我們不僅要采取壹些法律措施,而且至少要請壹家權威的安全公司來幫助制止這種犯罪。這種行動最重要的特點是獲取犯罪證據,找到罪犯的地址並提供日誌。收集的證據應得到有效保存。開頭做兩份,壹份評估證據,壹份法律核查。
◆找到系統漏洞後,嘗試堵塞漏洞,進行自我攻擊測試。
網絡安全不僅是壹個技術問題,也是壹個社會問題。企業應該更加重視網絡安全,如果僅僅依靠技術手段,將會越來越被動;只有充分發揮社會和法律兩方面的作用來打擊網絡犯罪,才能更加有效。我國打擊網絡犯罪已經有了明確的司法解釋。遺憾的是,大多數企業只重視技術環節的作用,而忽略了法律和社會因素,這也是本文的目的。