由于linux操作系统是一个开放源代码的免费操作系统,因此受到越来越多用户的欢迎。随着Linux操作系统在我国的不断普及,政府相关部门已经把基于Linux的自主版权操作系统的开发上升到了维护国家信息安全的高度。因此,不难预测,未来Linux操作系统将在我国得到更快更大的发展。尽管Linux与UNIX相似,但它们之间有一些重要的区别。对于很多习惯了UNIX和WindowsNT的系统管理员来说,如何保证Linux操作系统的安全性将面临很多新的挑战。本文介绍了一系列实用的Linux安全管理经验。
一.文件系统
在Linux系统中,为不同的应用程序安装单独的主分区,并将关键分区设置为只读,会大大提高文件系统的安全性。这主要涉及到Linux自带的ext2文件系统的两个属性:add-only(仅添加)和不变性。
分区Linux的文件系统可以分为几个主分区,每个分区的配置和安装都是不同的。一般至少要建立/、/usr/local、/var和/home分区。/usr可以以只读方式安装,并且被认为是不可修改的。如果/usr中的任何文件被更改,那么系统将立即发出安全警报。当然,这不包括用户自己更改/usr中的内容。/lib、/boot和/sbin的安装和设置是相同的。安装时应尽可能将它们设置为只读,对它们的文件、目录和属性的任何修改都会引起系统报警。
当然,不可能将所有主要分区都设置为只读。有些分区,比如/var,由于其本身的性质,不能设置为只读,但是不应该允许它们有执行权。
ext2扩展通过在ext2文件系统上使用两个文件属性,即add-only和immutable,可以进一步提高安全级别。不可变和只添加属性只是扩展ext2文件系统属性标志的两种方式。标记为不可变的文件不能被修改,即使是根用户也不能修改。标记为只添加的文件可以被修改,但是只有内容可以添加到它之后,即使是根用户也只能这样做。
您可以通过chattr命令修改文件的这些属性,如果您想查看它们的属性值,可以使用lsattr命令。要了解更多关于ext2文件属性的信息,您可以使用命令manchattr获得帮助。这两个文件属性对于检测黑客试图在现有文件中安装入侵后门非常有用。出于安全原因,一旦检测到此类活动,应立即停止并发送警报消息。
如果你的关键文件系统安装为只读,文件标记为不可变,入侵者必须重装系统删除这些不可变的文件,但这样会立即产生报警,从而大大降低非法入侵的几率。
当与日志文件和日志备份一起使用时,保护日志文件不变,并且只添加这两个文件属性,这是特别有用的。系统管理员应将“活动日志文件”属性设置为“仅添加”。当日志更新时,新生成的日志备份文件的属性应该设置为不可变,并且只添加新活动日志文件的属性。这通常需要在日志更新脚本中添加一些控制命令。
第二,备份
Linux系统安装完成后,要对整个系统进行备份,以后可以根据这个备份来验证系统的完整性,从而发现系统文件是否被非法篡改过。如果系统文件已经损坏,还可以使用系统备份来恢复到正常状态。
目前光盘备份最好的系统备份介质是光盘。以后可以定期将系统与光盘的内容进行对比,验证系统的完整性是否被破坏。如果对安全级别的要求特别高,可以将光盘设置为可引导的,验证工作可以作为系统启动过程的一部分。只要它可以从光盘启动,就意味着系统没有被损坏。
如果您创建了一个只读分区,您可以定期从CD映像重新加载它们。即使/boot、/lib和/sbin等分区不能以只读方式安装,仍然可以根据光盘镜像进行检查,甚至可以在启动时从另一个安全镜像下载。
其他备份方式虽然/etc中的很多文件经常变化,但是/etc中的很多内容还是可以放在光盘上进行系统完整性验证。其他不经常修改的文件可以备份到另一个系统(如磁带)或压缩到只读目录中。这种方法可以在使用光盘映像验证的基础上执行额外的系统完整性检查。
由于现在大部分操作系统都配有光盘,所以制作一张光盘应急启动盘或者验证盘是非常方便的,是一种非常有效可行的验证方法。
第三,完善系统内部安全机制
通过改进Linux操作系统的内部功能,可以防止极具破坏性但最难防范的缓冲区溢出攻击。虽然这样的改进需要系统管理员有丰富的经验和技能,但对于很多要求高安全级别的Linux系统来说,还是很有必要的。
SolarisDesigner的安全Linux补丁SolarisDesigner的2.0版内核的安全Linux补丁提供了一个可执行堆栈,减少了缓冲区溢出的威胁,从而大大提高了整个系统的安全性。
缓冲区溢出很难实现,因为入侵者必须能够判断潜在的缓冲区溢出何时发生,以及它将在内存中的什么位置发生。缓冲区溢出也很难防止,系统管理员必须彻底消除缓冲区溢出的条件才能防止这种攻击。正因为如此,很多人,包括LinuxTorvalds自己,都认为这个安全Linux补丁非常重要,因为它防止了所有利用缓冲区溢出的攻击。但需要注意的是,这些补丁也会导致执行栈中一些程序和库的依赖,这也会给系统管理员带来新的挑战。
不可执行的栈补丁已经在很多安全邮件列表中分发(比如securedistros@nl.linux.org),用户可以轻松下载。
StackGuardStackGuard是一个非常强大的安全补丁工具。可以用StackGuard打补丁的gcc版本重新编译链接关键应用。
StackGuard在编译时增加了堆栈检查,防止堆栈攻击缓冲区溢出。虽然这将导致系统性能的轻微下降,但对于安全性要求较高的特定应用,StackGuard仍然是非常有用的工具。
现在有了使用SafeGuard的Linux版本,用户使用StackGuard会更容易。虽然使用StackGuard会导致系统性能下降10 ~ 20%左右,但可以防止整个缓冲区溢出攻击。
增加新的访问控制功能Linux内核2.3版正在尝试在文件系统中实现一个访问控制列表,可以在原有的三类访问控制机制(所有者、组和其他)的基础上增加更细致的访问控制。
在Linux内核2.2和2.3版本中会开发新的访问控制功能,最终会影响当前一些关于ext2文件属性的问题。与使用ext2的传统文件系统相比,它提供了更精确的安全控制功能。有了这个新特性,应用程序将能够在没有超级用户权限的情况下访问一些系统资源,比如初始套接字。
基于规则的访问控制目前,相关的Linux团体正在开发一个基于规则的访问控制(RSBAC)项目,该项目声称可以使Linux操作系统达到B1级的安全性。RSBAC是一个基于访问控制的扩展框架,扩展了许多系统调用方法。它支持许多不同的访问和认证方法。这对于扩展和加强Linux系统的内部和本地安全性非常有用。
第四,设置陷阱和蜜罐
所谓陷阱,就是被激活时可以触发报警事件的软件,而蜜罐程序则是指设计用来引诱入侵者触发特殊报警的陷阱程序。通过设置陷阱和蜜罐程序,一旦发生入侵事件,系统可以快速报警。在许多大型网络中,一般会设计专门的陷阱程序。陷阱程序一般分为两种:一种是只找闯入者不报仇,一种是同时报仇。
一种常见的设置蜜罐的方式是故意宣称Linux系统使用IMAP服务器版本,漏洞很多。当入侵者大容量扫描这些IMAP服务器时,就会落入陷阱,触发系统报警。
蜜罐陷阱的另一个例子是著名的phf,这是一个非常脆弱的Webcgi-bin脚本。最初的phf旨在查找电话号码,但它有一个严重的安全漏洞:它允许入侵者使用它来获取系统密码文件或执行其他恶意操作。系统管理员可以设置一个假的phf脚本,但它不是将系统的密码文件发送给入侵者,而是返回一些虚假信息给入侵者,同时向系统管理员发出警报。
另一种蜜罐陷阱程序通过在防火墙中将入侵者的IP地址设置为黑名单,可以立即拒绝入侵者的访问。拒绝不友好的拜访可能是短期的,也可能是长期的。Linux内核中的防火墙代码非常适合这个。
5.将入侵消灭在萌芽状态。
入侵者在攻击前最常做的一件事就是pin扫描。如果能够及时发现并阻止入侵者的pin扫描行为,就可以大大降低入侵事件的发生率。反应系统可以是简单的状态检查包过滤器、复杂的入侵检测系统或可配置的防火墙。
AbacusportSentry AbacusportSentry是一个开源工具包,它可以监控网络接口,并与防火墙互操作,以关闭端口扫描攻击。当正在进行的端口扫描发生时,AbacusSentry可以快速阻止它继续进行。但是如果配置不当,它也可能允许怀有敌意的外来者在您的系统中安装拒绝服务攻击。
如果与Linux中的透明代理工具一起使用,AbacusPortSentry可以提供非常有效的入侵防御措施。这样,为所有IP地址提供通用服务的未使用端口可以被重定向到PortSentry,它可以在入侵者采取进一步行动之前及时检测并阻止端口扫描。
AbacusPortSentry可以检测slowscan,但不能检测structuredattack。两种方法的最终目的都是试图掩盖攻击意图。慢速扫描是通过将端口扫描分散在很长一段时间内完成的,而在结构化攻击中,攻击者试图通过扫描或检测多个源地址来掩盖他们真正的攻击目标。
正确使用这个软件会有效。
