随着linux企业应用的扩展,大量网络服务器使用Linux操作系统。Linux服务器的安全性能越来越受到关注。这里根据Linux服务器受到攻击的深度,以等级的形式列出,并提出不同的解决方案。
Linux服务器攻击的定义是,攻击是一种未经授权的行为,旨在阻碍、损害、削弱和破坏Linux服务器的安全性。攻击的范围从拒绝服务到完全损害和破坏Linux服务器。对Linux服务器的攻击有很多种。从攻击深度的角度,我们可以把攻击分为四个层次。
攻击级别一:拒绝服务攻击(DoS)
由于DoS攻击工具的泛滥,以及针对协议层的缺陷无法在短时间内改变,DoS已经成为传播最广、最难防范的攻击方式。
拒绝服务攻击包括分布式拒绝服务攻击、反射式分布式拒绝服务攻击、DNS分布式拒绝服务攻击、FTP攻击等。大多数拒绝服务攻击导致的风险相对较低,即使是那些可能导致系统重启的攻击也只是暂时的问题。这种攻击很大程度上不同于那些想要获得网络控制权的攻击。一般不会影响数据安全,但拒绝服务攻击会持续很长时间,难度很大。
到目前为止,还没有绝对的方法来阻止这种攻击。然而,这并不意味着我们应该轻易屈服。除了强调加强保护个人电脑不被使用的重要性外,加强对服务器的管理是非常重要的一个环节。一定要安装验证软件和过滤功能,验证消息源地址的真实地址。对于其他种类的服务拒绝,可以采取以下措施:关闭不必要的服务,限制同时打开的Syn半连接数量,缩短Syn半连接的超时时间,及时更新系统补丁。
攻击级别2:本地用户获得了其未授权文件的读写权限。本地用户是指在本地网络中的任何机器上都有密码的用户,因此在某个驱动器上有一个目录。本地用户是否获得其未授权文件的读写权限很大程度上取决于所访问文件的危险程度。任何本地用户随意访问临时文件目录(/tmp)都是危险的,这可能为下一级攻击铺平道路。
2级的主要攻击方式是:黑客诱骗合法用户说出自己的机密信息或执行任务。有时黑客会伪装成网络管理员给用户发邮件,要求他们给自己系统升级的密码。
本地用户发起的攻击几乎总是从远程登录开始。对于Linux服务器来说,最好的办法是把所有的shell账号放在一台机器上,也就是只接受一台或多台有shell访问权限的服务器上的注册。这可以更容易地管理日志、访问控制、发布协议和其他潜在的安全问题。您还应该区分存储用户CGI的系统。这些机器应该被隔离在一个特定的网段中,也就是说,根据网络的配置,它们应该被路由器或网络交换机包围。它的拓扑应该确保硬件地址欺骗不能超出这个部分。
攻击级别3:远程用户获得特权文件的读写权限。
三级攻击不仅可以验证特定文件的存在,还可以读写这些文件。其原因是Linux服务器配置中存在一些弱点:远程用户可以在没有有效帐户的情况下在服务器上执行有限数量的命令。
密码攻击是第三级中的主要攻击方式,密码破坏是最常见的攻击方式。密码破解是一个术语,用于描述如何渗透网络、系统或资源,使用或不使用工具来解锁受密码保护的资源。用户经常忽略他们的密码,并且密码策略很难实现。黑客有很多工具可以破解技术和社会保护的密码。包括字典攻击、混合攻击和暴力攻击。黑客一旦有了用户密码,就拥有了很多用户权限。密码猜测是指人工输入常用密码或通过编译原程序获得密码。一些用户选择简单的密码——如生日、纪念日和配偶姓名,但他们没有遵循字母和数字应该混合的规则。黑客不用多久就能猜出一串8字生日数据。
对第三级攻击最好的防御是严格控制访问权限,即使用有效的密码。
主要包括密码要遵循字母、数字、大小写混合使用的规则(因为Linux是区分大小写的)。
使用“#”或“%”或“$”等特殊字符也会增加复杂性。例如,取单词' countbak '并在它后面加上' #$'(countbak#$),这样你就有了一个相当有效的密码。
攻击级别4:远程用户获得root权限。
第四攻击等级指的是那些永远不应该发生的事情。这是致命的攻击。意味着攻击者拥有Linux服务器的root、超级用户或管理员权限,可以读取、写入和执行所有文件。换句话说,攻击者完全控制了Linux服务器,可以随时完全关闭甚至摧毁这个网络。
攻击级别4的主要攻击形式有TCP/IP连续窃取、被动信道侦听和数据包拦截。TCP/IP连续窃取、被动信道侦听和数据包拦截是收集进入网络的重要信息的方法。与拒绝服务攻击不同,这些方法具有更多类似窃取的性质,具有隐蔽性,难以被发现。成功的TCP/IP攻击可以让黑客阻断两个群体之间的交易,为中间人攻击提供了很好的机会,然后黑客会在受害者不察觉的情况下控制一方或双方的交易。通过被动窃听,黑客将操纵和注册信息,传递文件,并从目标系统上所有可通过的通道中找到可通过的致命点。黑客会寻找在线和密码的结合,识别应用的合法渠道。包拦截是指限制目标系统中的一个主动监听器程序拦截和改变所有或特殊信息的地址。信息可以发送到非法系统读取,然后原封不动地发回给黑客。
TCP/IP连续窃取其实就是网络嗅探。注意,如果你确定有人将嗅探器连接到你自己的网络,你可以找到一些验证工具。这个工具叫做时域反射仪(TDR)。TDR测量电磁波的传播和变化。将TDR连接到网络,它可以检测获取网络数据的未授权设备。然而,许多中小型公司没有如此昂贵的工具。防止嗅探器攻击的最佳方法是:
1.安全拓扑。嗅探器只能捕获当前网段上的数据。这意味着网络分段越细,嗅探器收集的信息就越少。
2.会话加密。不要特别担心数据被嗅探,但是尽量让嗅探器不识别嗅探到的数据。
这种方法的优势很明显:即使攻击者嗅到了数据,对他也没用。
特别提示:应对攻击的反击措施
你要特别注意二级以上的攻击。因为他们可以不断升级攻击级别来渗透Linux服务器。此时,我们可以采取的反制措施有:
首先,备份重要的企业关键数据。
更改系统中的所有密码,并通知用户从系统管理员处获取新密码。
隔离网段使攻击行为只出现在小范围内。
允许行为继续。如果可能的话,不要急着把攻击者赶出系统,为下一步做准备。
记录所有行为,收集证据。这些证据包括:系统登录文件、应用程序登录文件、AAA(认证、授权、记账)登录文件、RADIUS(远程认证拨入用户服务)登录、网元日志、防火墙日志、HIDs(基于主机的入侵检测系统)事件、NIDS(网络入侵检测系统)事件、磁盘驱动器、隐藏文件等。取证时要注意:移动或拆卸任何设备前要拍照;调查时应遵循两人规则,信息采集时至少有两人,防止篡改信息;记录采取的所有步骤和对配置设置的任何更改,并将这些记录保存在安全的地方。检查系统中所有目录的访问权限,并检查Permslist是否已被修改。
进行各种尝试(使用网络的不同部分)以识别攻击源。
为了用法律武器打击犯罪行为,必须保留证据,形成证据需要时间。为了做到这一点,我们必须忍受攻击的影响(尽管可以采取一些安全措施来确保攻击不会破坏网络)。在这种情况下,我们不仅要采取一些法律措施,还应该请至少一家权威的安全公司来帮助阻止这种犯罪。这种行动最重要的特点是获取犯罪证据,找到罪犯的地址并提供日志。收集的证据应有效保存。开头做两份,一份评估证据,一份法律核查。
发现系统漏洞后,尝试封堵,进行自我攻击测试。
网络安全不仅是一个技术问题,也是一个社会问题。企业应更加重视网络安全。如果仅仅依靠技术工具,他们会越来越被动。只有充分发挥社会和法律两方面的作用来打击网络犯罪,才能更加有效。我国打击网络犯罪已经有了明确的司法解释。遗憾的是,大多数企业只重视技术环节的作用,而忽略了法律和社会因素,这也是本文的目的。
拒绝服务攻击(DoS)
就是DOS拒绝服务,拒绝服务的缩写,不能算是微软的DoS操作系统!DoS攻击会阻止目标机器提供服务或访问资源。通常,它旨在消耗服务器资源。通过伪造超出服务器处理能力的请求数据,阻塞服务器的响应,使正常的用户请求无法得到响应,从而达到攻击目的。
