随着Linux企业应用的扩展,大量网络服务器使用Linux操作系统。Linux服务器的安全性能越来越受到关注。这里根据Linux服务器受到攻击的深度,以等级的形式列出,并提出不同的解决方案。
Linux服务器攻击的定义是,攻击是一种未经授权的行为,旨在阻碍、损害、削弱和破坏Linux服务器的安全性。攻击的范围从拒绝服务到完全损害和破坏Linux服务器。对Linux服务器攻击有很多种,
本文从攻击深度的角度出发,将攻击分为四个层次。
攻击级别1:拒绝服务攻击(DoS)
由于DoS攻击工具的泛滥,以及目标协议层的缺陷无法在短时间内改变,DoS已经成为传播最广、难度最大的攻击方式。
拒绝服务攻击包括分布式拒绝服务攻击、反射式分布式拒绝服务攻击、DNS分布式拒绝服务攻击、FTP攻击等。大多数拒绝服务攻击导致的风险相对较低,即使是那些可能导致系统重启的攻击也只是暂时的问题。
这种攻击很大程度上不同于那些想要获得网络控制权的攻击,一般不会影响数据安全,但是拒绝服务攻击会持续很长时间,难度很大。
到目前为止,还没有绝对的方法来阻止这种攻击。然而,这并不意味着我们应该轻易屈服。除了强调加强保护个人主机不被利用的重要性,加强对服务器的管理是非常重要的一个环节。一定要安装验证软件和过滤功能。
检查消息源地址的真实地址。另外,对于几种服务拒绝可以采取以下措施:关闭不必要的服务,限制同时打开的Syn半连接数量,缩短Syn半连接的超时时间,及时更新系统补丁。
攻击级别2:本地用户获得了其未授权文件的读写权限。本地用户是指在本地网络中的任何机器上都有密码的用户,因此在某个驱动器上有一个目录。
本地用户获得其未授权文件的读写权限的问题是否构成危险,很大程度上取决于被访问文件的密钥。任何本地用户随意访问临时文件目录(/tmp)都是危险的,这可能为下一级攻击铺平道路。
第二级的主要攻击方式是:黑客诱骗合法用户告诉他们机密信息或执行任务,有时黑客会伪装成网络管理员给用户发邮件,要求他们给自己系统升级的密码。
几乎所有本地用户发起的攻击都是从远程登录开始的。对于Linux服务器,最好的方法是将所有的shell帐户放在一台机器上,也就是说,只注册一台或多台具有shell访问权限的服务器。
这可以使日志管理、访问控制管理、发布协议和其他潜在的安全问题更容易管理。您还应该区分存储用户CGI的系统。这些机器应该被隔离在特定的网段中,即根据网络的配置,
它们应该被路由器或网络交换机包围。其拓扑结构应确保硬件地址欺骗不能超出此部分。
攻击级别3:远程用户获得特权文件的读写权限。
第三级攻击不仅可以验证特定文件的存在,还可以读写这些文件。造成这种情况的原因是Linux服务器配置存在一些弱点:远程用户可以在没有有效帐户的情况下在服务器上执行有限数量的命令。
密码攻击是第三级中主要的攻击方式,破解密码是最常见的攻击方式。密码破解是一个术语,用于描述使用或不使用工具来渗透网络、系统或资源,以解锁受密码保护的资源。用户经常忽略他们的密码,
密码策略难以实施。黑客有很多工具可以破解技术和社会保护的密码。
主要包括:字典攻击、混合攻击和暴力攻击。黑客一旦有了用户密码,就拥有了很多用户权限。
密码猜测是指手动输入普通密码或通过编译原程序获得密码。一些用户选择简单的密码——如生日、纪念日和配偶的名字,但他们没有遵循字母和数字应该混合的规则。黑客用不了多久就能猜出一串8个字的生日数据。
对第三级攻击最好的防御是严格控制访问权限,即使用有效的密码。
主要包括密码要遵循字母、数字、大小写混合使用的规则(因为Linux是区分大小写的)。
使用特殊字符如“#”或“%”或“$”也会增加复杂性。比如,取单词' countbak '在它后面加上“# $”(count bak # $),这样你就有了一个相当有效的密码。
攻击级别4:远程用户获得root权限。
第四攻击等级指的是那些本不该发生的事情。这是致命的攻击。表示攻击者拥有Linux服务器的root、超级用户或管理员权限,可以读取、写入和执行所有文件。换句话说,攻击者可以完全控制Linux服务器。
这个网络随时可能被完全关闭甚至摧毁。
攻击级别4的主要攻击形式有TCP/IP连续窃取、被动信道侦听和数据包拦截。TCP/IP连续窃取、被动信道侦听和数据包拦截是收集进入网络的重要信息的方法。与拒绝服务攻击不同,这些方法更类似于盗窃。
很隐蔽,很难找到。成功的TCP/IP攻击可以让黑客阻断两个群体之间的交易,为中间人攻击提供了很好的机会,然后黑客会在受害者不察觉的情况下控制一方或双方的交易。通过被动窃听,黑客将操纵和登记信息。
传送文件还会找到致命点,它可以从目标系统上所有可访问的通道传递。黑客会寻找在线和密码的结合,认可合法的申请渠道。包拦截是指约束目标系统中的主动监听器程序来拦截和改变所有或特殊信息的地址。
信息可以被重定向到非法系统进行读取,然后原封不动地发回给黑客。
TCP/IP连续盗窃其实就是网络嗅探。注意,如果你确定有人在你自己的网络上连接了嗅探器,可以找一些工具进行验证。这个工具叫做时域反射仪(TDR)。
TDR测量电磁波的传播和变化。将TDR连接到网络可以检测获取网络数据的未授权设备。然而,许多中小型公司没有如此昂贵的工具。防止嗅探器攻击的最佳方法是:
1.安全拓扑。嗅探器只能捕获当前网段上的数据。这意味着网络分段越细,嗅探器收集的信息就越少。
2.会话加密。不用担心数据被嗅探,但是尽量让嗅探者不知道被嗅探的数据。
这种方法的优势很明显:即使攻击者嗅到了数据,对他也没用。
特别说明:应对攻击的反制措施。
你要特别注意二级以上的攻击。因为他们可以不断升级攻击级别来渗透Linux服务器。此时,我们可以采取的反制措施有:
首先,备份重要的企业关键数据。
更改系统中的所有密码,并通知用户找到系统管理员获取新密码。
隔离网段使攻击行为只出现在小范围内。
允许行为继续。如果可能的话,不要急于把攻击者赶出系统,为下一步做准备。
记录所有行为,收集证据。这些证据包括:系统登录文件、应用程序登录文件、AAA(认证、授权、记账)登录文件、
Remote authentication dial-in user service login,
网络元素日志、防火墙日志、HIDS(基于主机的IDS)事件、NIDS(网络入侵检测系统)事件、磁盘驱动器、隐藏文件等。
收集证据时要注意:移动或拆卸任何设备前要拍照;在调查中要遵循两人规则,信息采集至少要有两个人,防止篡改信息;应记录采取的所有步骤和对配置设置的任何更改,这些记录应保存在安全的地方。
检查系统中所有目录的访问权限,并检查Permslist是否已被修改。
进行各种尝试(使用网络的不同部分)以确定攻击的来源。
为了用法律武器打击犯罪,必须保存证据,形成证据需要时间。为了做到这一点,我们必须忍受攻击的影响(尽管可以制定一些安全措施来确保攻击不会破坏网络)。在这种情况下,我们不仅应该采取一些法律措施,
而且还要至少请一家有权威的安全公司协助阻止这种犯罪。这类操作的最重要特点就是取得犯罪的证据、并查找犯罪者的地址,提供所拥有的日志。对于所搜集到的证据,应进行有效地保存。在开始时制作两份,
一个用于评估证据,另一个用于法律验证。
找到系统漏洞后设法堵住漏洞,并进行自我攻击测试。
网络安全已经不仅仅是技术问题,而是一个社会问题。企业应当提高对网络安全重视,如果一味地只依靠技术工具,那就会越来越被动;只有发挥社会和法律方面打击网络犯罪,才能更加有效。
我国对于打击网络犯罪已经有了明确的司法解释,遗憾的是大多数企业只重视技术环节的作用而忽略法律、社会因素,这也是本文的写作目的。
拒绝服务攻击(DoS)
DoS即Denial Of Service,拒绝服务的缩写,可不能认为是微软的DOS操作系统!DoS攻击即让目标机器停止提供服务或资源访问,通常是以消耗服务器端资源为目标,
通过伪造超过服务器处理能力的请求数据造成服务器响应阻塞,使正常的用户请求得不到应答,以实现攻击目的。
