Linux中安全性概述

发布时间:2006-10-02 21:32:55来源:红联作者:嘀嗒滴答

简介

维护一个完全安全的系统是不可能的。然而，只要勤奋，则有可能使 Linux 机器足够安全，并让大多数偶尔出现的骇客、脚本小子（script-kiddies）以及其它的“坏家伙”止步而去骚扰其他人。请记住：仅仅遵循本教程不会产生一个安全的系统。相反，我们希望您接触到主要主题的多个方面，并向您提供一些有关如何入门的有用示例。

Linux 系统安全性可分为两个部分：内部安全性和外部安全性。内部安全性指预防用户无意或恶意地破坏系统。外部安全性指防止未授权用户获得对系统的访问。

本章将首先介绍内部安全性，然后介绍外部安全性，最后介绍一些常规指导原则和技巧。

文章评论

共有 19 条评论

嘀嗒滴答于 2006-10-02 21:41:48发表:

常规指南：测试安全性

测试系统的安全性很重要，但不要让一次成功的测试使您产生安全性的错误感觉。这些测试工具找不到漏洞并不能保证一些具有知识和想象力的人 -- 并且他们有一大堆时间 -- 也会失败。

我们已经提到了 nmap 和 netcat 可用于测试网络安全性。还应该检查薄弱的密码，特别当系统有多个用户时，更是如此。有许多工具可以使用，如我们在本教程末尾的“参考资料”中提到的那些工具。
嘀嗒滴答于 2006-10-02 21:41:29发表:

常规指南：高质量密码

听起来可能很普通，为自己选择高质量密码，并且“鼓励”（也就是命令）用户也这样做，以形成良好的安全性的基石。记住要避免常见的词和名字，特别是与自己有关的任何事物，如朋友的名字、工作地点或宠物的名字。还要避免可猜测的数字，如生日或周年纪念日。相反要尝试使用字母、数字和标点的随机组合。
嘀嗒滴答于 2006-10-02 21:41:07发表:

常规指南：保持软件为最新

因为所有软件都可能有安全性漏洞，所以重要的是：只要获得包的安全性修正包就立刻安装。这是安全专家最常提出的一条建议，也是管理员新手们最常忽略的一条建议。不要吃过苦头才吸取教训 -- 机器因为您忽视了使补丁程序保持最新而被人通过存在数年之久的后门侵入。

对于开放源码和封闭源码哪个更安全的争论非常激烈。迄今最好的结论是：管理正确时，两者都足够安全，这里的管理包括保持安全性补丁程序为最新！

有几个网站可以帮助保持软件为最新，并有助于提防已知的威胁。包括特别注意安全性的 CERT 和 SecurityFocus 的 BugTraq 列表，以及通常的软件更新站点（象freshmeat.net）和分发版的主页。我们还将在参考资料中重复这些 URL，不过安全性真的非常重要 -- 如果还不熟悉这些站点的话，建议您现在就花几分钟访问头两个站点。
嘀嗒滴答于 2006-10-02 21:40:41发表:

入侵检测 -- portsentry

PortSentry 包来自 Psionic Technologies，它实际上有点介于入侵预防与检测之间。该包监控网络连接，并且如果它看到任何它认为“可疑”的与系统连接的尝试，它会把这一事件编入日志然后阻止它再次发生。该包也可以在本教程末尾的参考资料中找到。

当安装了该包并运行它时，将能够在 syslog 中看到所有尝试的连接，并看到 PortSentry 如何对它们做出反应：

[code]# tail /var/log/messages
Oct 15 00:21:24 mycroft portsentry[603]: attackalert:
SYN/Normal scan from host: 302.174.40.34/302.174.40.34 to TCP port: 111
Oct 15 00:21:24 mycroft portsentry[603]: attackalert:
Host 302.174.40.34 has been blocked via wrappers with string:
"ALL: 302.174.40.34"
Oct 15 00:21:24 mycroft portsentry[603]: attackalert:
Host 302.174.40.34 has been blocked via dropped route using command:
"/sbin/route add -host 302.174.40.34 reject"
Oct 15 00:21:24 mycroft portsentry[603]: attackalert:
SYN/Normal scan from host: 302.174.40.34/302.174.40.34 to TCP port: 111
Oct 15 00:21:24 mycroft portsentry[603]: attackalert:
Host: 302.174.40.34/302.174.40.34 is already blocked Ignoring
Oct 15 00:33:59 mycroft portsentry[603]: attackalert:
SYN/Normal scan from host: 302.106.103.19/302.106.103.19 to TCP port: 111
Oct 15 00:33:59 mycroft portsentry[603]: attackalert:
Host 302.106.103.19 has been blocked via wrappers with string:
"ALL: 302.106.103.19"
Oct 15 00:33:59 mycroft portsentry[603]: attackalert:
Host 302.106.103.19 has been blocked via dropped route using command:
"/sbin/route add -host 302.106.103.19 reject"[/code]
嘀嗒滴答于 2006-10-02 21:40:12发表:

入侵检测 -- tripwire

有许多可用的包可以对整个文件系统进行“快照”，然后将它与较早的快照比较以了解什么发生了更改。若能明确地定义哪些文件作为系统正常操作的一部分应该发生更改，则这些包能很快提醒黑客的存在及其活动。

Tripwire 是最流行的入侵检测包之一（请参阅本教程末尾的参考资料以获取链接）。安装 tripwire 后，必须定制它的配置文件以使它知道哪些文件应该更改而哪些不应更改。还需要告诉它如何向您发送有关发生什么更改的报告，以及它应隔多久运行一次（通常每天一次）。
嘀嗒滴答于 2006-10-02 21:39:51发表:

入侵检测 -- 系统日志（syslog）

入侵检测通常被那些相信自己安置的入侵预防设备的系统管理员所忽略。不幸的是，这意味着一旦黑客找到可以入侵的细微漏洞，在注意到他们的存在以前，系统可能很长一段时间都处于他们的控制之下。

入侵检测最基本的形式是注意系统日志。这些文件通常出现在 /var/log 目录中，不过实际的文件名会因分发版和配置而有所不同。

[code]# less /var/log/messages
Feb 17 21:21:38 [kernel] Vendor: SONY Model: CD-RW CRX140E Rev: 1.0n
Feb 17 21:21:39 [kernel] eth0: generic NE2100 found at 0xe800, Version 0x031243,
DMA 3 (autodetected), IRQ 11 (autodetected).
Feb 17 21:21:39 [kernel] ne.c:v1.10 9/23/94 Donald Becker (becker@scyld.com)
Feb 17 21:22:11 [kernel] NVRM: AGPGART: VIA MVP3 chipset
Feb 17 21:22:11 [kernel] NVRM: AGPGART: allocated 16 pages
Feb 17 22:20:05 [PAM_pwdb] authentication failure; (uid=1000)
-> root for su service
Feb 17 22:20:06 [su] pam_authenticate: Authentication failure
Feb 17 22:20:06 [su] - pts/3 chouser-root[/code]

要理解所有这些消息可能需要进行一些实践，但大多数重要消息都相当清楚。例如，在日志的末尾，我们可以看到用户“chouser”试图使用 su 成为 root 用户，但失败了。
嘀嗒滴答于 2006-10-02 21:39:24发表:

iptables 和 Linux 信息包过滤器

有效地使用 Linux 信息包过滤器需要对 TCP/IP 联网及其如何在 Linux 内核中实现有扎实的理解。netfilter 主页（请参阅本教程最后一章的参考资料，以获得链接）是学习更多知识的好去处。

在能自如地构建自己的规则集以前，有许多脚本可以让您入门，只要您信任它们的作者即可。最完整的脚本之一是 gShield（请参阅参考资料）。您可以调整其注释良好且相当简单的配置文件以设置信息包过滤器规则最常规的格式。
嘀嗒滴答于 2006-10-02 21:39:03发表:

iptables（ipchains）简介

iptables 和 ipchains 命令用于在运行的 Linux 内核中调整和检查网络信息包过滤器规则。ipchains 命令用于 2.2.x 版本内核，尽管它仍可用于 2.4.x 内核，但已被 iptables 取代。

可设置信息包过滤器规则进行防火墙和路由器的活动。可以对 iptables 命令加上 -L 选项来检查当前的规则：

[code]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination[/code]

这是一个非常开放的系统示例，没有启用路由或防火墙。
嘀嗒滴答于 2006-10-02 21:38:33发表:

拒绝登录以进行维护

除了以上方法外，还有通过创建 /etc/nologin 文件来拒绝登录的普通方法。通常这一方法用于短期维护操作。仍然可以允许以 root 用户身份登录，但将拒绝以其他用户身份登录。例如：

[code]# cat > /etc/nologin
==============================================

System is currently undergoing maintenance
until 2:00. Please come back later.

==============================================
# telnet localhost
login: agriffis
Password:
==============================================

System is currently undergoing maintenance
until 2:00. Please come back later.

==============================================

Login incorrect[/code]

完成维护后，一定要删除这个文件，否则在您想起以前，没人能登录！我可没这么做过，对，我没有...
嘀嗒滴答于 2006-10-02 21:38:04发表:

测试更改

在修改 inetd 或 xinetd 配置以禁用或限制服务，或用服务器初始化脚本关闭该服务器后，应该对所做的更改加以测试。可以使用 telnet 客户机通过指定服务名称或号码来测试 tcp 端口。例如，要验证 rlogin 已被禁用：

[code]# grep ^login /etc/services
login 513/tcp
# telnet localhost 513
Trying 127.0.0.1...
telnet: Unable to connect to remote host: Connection refused[/code]

除了标准 telnet 客户机以外，还应考虑使用实用程序以测试系统“开放程度”的可能性。我们推荐使用 netcat 和 nmap。

ncat 是“网络瑞士军刀”：它是使用 TCP 或 UDP 协议、跨越网络连接读写数据的简单 UNIX 实用程序。nmap 是用于网络探测或安全性审计的实用程序。具体而言，nmap 扫描端口以确定哪个端口打开了。

可以在本教程最后一章（参考资料）中找到指向这些实用程序的链接。
嘀嗒滴答于 2006-10-02 21:37:34发表:

关闭未使用的网络服务（独立服务器）

有些服务器并不由 inetd 或 xinetd 启动，但却作为“独立”服务器始终运行着。这样的服务器通常是 atd、lpd、sshd、nfsd 和其它服务器。事实上，inetd 和 xinetd 本身都是独立服务器，如果在它们各自的配置文件中注释掉所有的服务，就选择了将它们完全关闭。

独立服务器通常在系统引导或更改运行级别时由 init 系统启动。如果不记得运行级别是如何工作的，可以看看 LPI 101 系列第 4 部分。

要使 init 系统不再启动服务器，在每个运行级别目录中找到指向该服务器启动脚本的符号链接，然后删除它。运行级别目录的名称通常为 /etc/rc3.d 或 /etc/rc.d/rc3.d（针对运行级别 3）。还需要检查其它运行级别。

除去服务的运行级别符号链接后，仍需要关闭当前运行的服务器。最好用服务的初始化脚本完成这一操作，通常可以在 /etc/init.d 或 /etc/rc.d/init.d 中找到这一脚本。例如，要关闭 sshd：

[code]# /etc/init.d/sshd stop
* Stopping sshd... [ ok ][/code]
嘀嗒滴答于 2006-10-02 21:37:04发表:

关闭未使用的网络服务（超级服务器）

关闭未使用的网络服务一直是提高入侵预防能力的好方法。例如，如果正在运行因特网超级服务器（如本教程前面描述的 inetd 或 xinetd），那么 in.rshd、in.rlogind 和 in.telnetd 通常都在缺省情况下启用。这些网络服务几乎都已被更安全的替代项（如 ssh）所取代。

要在 inetd 中禁用服务，只需在 /etc/inetd.conf 中在适当的行前面加上“#”将其注释掉；然后重新启动 inetd 即可。（这在本教程前面已有描述，若需要复习，可返回几页快速浏览。）

要在 xinetd 中禁用服务，可以执行与 /etc/xinetd.d 中适当的代码片段相似的工作。例如，要禁用 telnet，可以将 /etc/xinetd.d/telnet 文件的整个内容注释掉，或简单地删除该文件。重新启动 xinetd 以完成此过程。

如果正在结合 inetd 使用 tcpd，或如果正在使用 xinetd，还可以选择限制与可信的主机进行的进入连接。对于 tcpd，可参阅本教程的前几章。对于 xinetd，可在 xinetd.conf(5) 手册页中搜索“only_from”。
嘀嗒滴答于 2006-10-02 21:36:39发表:

入侵预防

外部安全性可分为两类：入侵预防和入侵检测。采取入侵预防手段是为了防止未授权用户访问系统。如果这些手段失败，那么入侵检测在确定何时发生未授权访问以及造成什么损坏方面或许有用。

完全的 Linux 安装是巨大且复杂的系统。跟踪已安装的每一项是很困难的，而配置每个包的安全性特征就更困难了。安装的包越少，则问题就变得越简单。入侵预防的第一步是除去不需要的包。
嘀嗒滴答于 2006-10-02 21:36:09发表:

用 ulimit 设置 CPU 时间限制

作为 ulimit 的一个示例，我们尝试将一个进程的 CPU 时间设置为 1 秒钟，然后用一个忙循环使它超时。一定要确保启动新的 bash 进程（象我们在下面做的那样），以在其中进行尝试；否则将被注销！

[code]# time bash
# ulimit -t 1
# while true; do true; done
Killed

real 0m28.941s
user 0m1.990s
sys 0m0.017s[/code]

在上面的示例中，“user”时间加上“sys”时间等于该进程所用的全部 CPU 时间。当 bash 进程到达 2 秒标记时，Linux 断定它超过 1 秒的限制，因此该进程被杀掉。酷吧？

注：一秒钟只是示例而已。不要对您的用户这样做！即使几小时也是不对的，因为 X 真地很消耗时间（我当前的会话已用掉了 69+ 小时的 CPU 时间）。在实际的实现中，您可能要对某些项而不是 CPU 时间执行 ulimit。
嘀嗒滴答于 2006-10-02 21:35:40发表:

用 ulimit 设置用户限制

bash 中的 ulimit 命令提供了限制特定用户的资源使用情况的方法。一旦限制降低，则在进程的生命期内无法提高该限制。此外，该限制会被所有子进程继承。结果是：可以在 /etc/profile 中调用 ulimit，而限制将以不能撤消的方式应用于所有用户（假设用户正在运行 bash 或另一个 shell，该 shell 在登录时运行 /etc/profile）。

要检索当前限制，可使用 ulimit -a：

[code]# ulimit -a
core file size (blocks, -c) 0
data seg size (kbytes, -d) unlimited
file size (blocks, -f) unlimited
max locked memory (kbytes, -l) unlimited
max memory size (kbytes, -m) unlimited
open files (-n) 1024
pipe size (512 bytes, -p) 8
stack size (kbytes, -s) unlimited
cpu time (seconds, -t) unlimited
max user processes (-u) 3071
virtual memory (kbytes, -v) unlimited[/code]

以一种能实际提高系统安全性而不会对合法用户造成麻烦的方式设置这些限制是相当复杂的，所以调整这些设置时要小心。
嘀嗒滴答于 2006-10-02 21:35:10发表:

查找 SUID/SGID 程序

寻求 root 访问权的恶意用户总是会在系统上寻找设置了 SUID 或 SGID 位的程序。就象我们在 LPI 101 系列第 3 部分中讨论的那样，这些位使程序始终作为拥有该文件的用户或组运行。有时这是程序正确运行所必需的。问题是任何程序都可能包含允许用户在不正确地使用程序时获得特权的错误。

应该仔细考虑每个程序以确定是否需要将其 SUID 或 SGID 位打开。系统上有些 SUID/SGID 程序可能是根本不需要的。

要搜索具有这样性质的程序，可使用 find 命令。例如，可以在 /usr 目录中启动对 SUID/SGID 程序的搜索：

[code]# cd /usr
# find . -type f -perm +6000 -xdev -exec ls {} \;
-rwsr-sr-x 1 root root 593972 11-09 12:47 ./bin/gpg
-r-xr-sr-x 1 root man 38460 01-27 22:13 ./bin/man
-rwsr-xr-x 1 root root 15576 09-29 22:51 ./bin/rcp
-rwsr-xr-x 1 root root 8256 09-29 22:51 ./bin/rsh
-rwsr-xr-x 1 root root 29520 01-17 19:42 ./bin/chfn
-rwsr-xr-x 1 root root 27500 01-17 19:42 ./bin/chsh
-rwsr-xr-x 1 lp root 8812 01-15 23:21 ./bin/lppasswd
-rwsr-x--- 1 root cron 10476 01-15 22:16 ./bin/crontab[/code]

在这个清单中，我已经发现了需要更仔细检查的侯选对象：lppasswd 是 CUPS 打印软件分发版的一部分。因为没有在系统上提供打印服务，所以我会考虑除去 CUPS，那也会除去 lppasswd 程序。lppasswd 中可能没有危及安全性的错误，但为什么要在不使用的程序上冒险呢？同样地，应该关闭所有不使用的服务。您总是可以在需要时再启用它们。
嘀嗒滴答于 2006-10-02 21:34:36发表:

用户文件的文件权限

最后，用户文件在缺省情况下通常被创建为所有人可读。那可能不是用户所期望的，而且它当然不是最好的策略。应该使用与下面类似的命令在 /etc/profile 中设置缺省的 umask：

[code]if [ "$UID" = 0 ]; then
# root user; set world-readable by default so that
# installed files can be read by normal users.
umask 022
else
# make user files secure unless they explicitly open them
# for reading by other users
umask 077
fi[/code]

应该查询 umask(2) 和 bash(1) 手册页以获取有关设置 umask 的更多信息。请注意：umask(2) 手册页涉及 C 函数，但它所包含的信息也适用于 bash 命令。
嘀嗒滴答于 2006-10-02 21:34:07发表:

root 用户其它文件的文件权限

其次，root 用户的点文件对于普通用户应是不可读的。检查 root 用户主目录中的文件（ls -la）以确保它们受到适当的保护。甚至可以使整个目录仅对 root 用户可读：

[code]# cd
# pwd
/root
# chmod 700 .[/code]
嘀嗒滴答于 2006-10-02 21:33:19发表:

日志文件的文件权限

内部安全性可以是很大的任务，这要看您对用户的信任程度。这里介绍的指导原则是设计用来防止偶然用户访问敏感信息和防止不公平地使用系统资源。

至于文件权限，您可能希望修改以下三种情况的权限：

首先，/var/log 中的日志文件不需要是所有人都可以读取的。没有理由让非 root 用户窥视日志。为了创建具有适当权限的日志。

Linux中安全性概述

共有 19 条评论

频道文章

最新教程

随机推荐