Linux 的系統安全不容忽視.然而系統加固又不是一件很容易的事.本文作者簡單介紹了一下 Linux 系統深度安全加固.
★ Linux 系統深度安全加固
註:以下內容可能不適用於某些場合,請對號入座
1. 安裝和升級 盡量選用最新的 Linux 發行版本,安裝前拔掉網線,斷開物理連接,安裝時建議用 custom 自定義方式安裝軟體包,數量以少為好,一般來說伺服器沒有必要安裝 X-windows,在 lilo/grub 引導器中加入口令限制,防止能夠物理接觸的惡意用戶因為 Linux 安裝光碟的 rescue 模式可以跳過這個限制,所以還要給bios加上密碼或伺服器機箱上鎖 /var, /home, /usr, /root 等目錄用獨立的物理分區,防止垃圾數據和日誌填滿硬碟而導致 D.o.S 攻擊.
root 賬號給予強壯的口令.
安裝完畢立即用 up2date 或 apt 升級系統軟體,有時升級內核也是必要的,因為內核出現問題同樣會給攻擊者提供機會Apt 是 Debian GNU Linux 下的一個強大的包管理工具,也可用於其他版本的 Linux.
2. 賬號 如果系統中的用戶比較多,可以編輯 /etc/login.defs,更改密碼策略
刪除系統中不必要帳戶和組,
CODE: [root@ayazero /]# userdel -r username |
如果不開匿名 ftp 則可以把 ftp 賬號也刪了
最安全的方式是本地維護,可惜不太現實,但還是需要限制 root 的遠程訪問,管理員可以用普通賬戶遠程登錄,然後 su 到 root,我們可以把使用 su 的用戶加到 wheel 組來提高安全性
在 /etc/pam.d/su 文件的頭部加入下面兩行:
CODE: auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=wheel |
然後把可以執行 su 的用戶放入 wheel 組
CODE: [root@ayazero /]# usermod -G10 admin |
編輯 /etc/securetty,註釋掉所有允許 root 遠程登錄的控制台,然後禁止使用所有的控制台程序,[root@ayazero /]# rm -f /etc/security/console.apps/servicename
登錄採用加密的 ssh,如果管理員只從固定的終端登陸,還應限制合法 ssh 客戶端的範圍防止嗅探及中間人攻擊
將命令歷史紀錄歸為零,儘可能的隱藏你做過的事情
CODE: [root@ayazero /]# unset HISTFILESIZE |
3. 服務 最少服務原則,凡是不需要的服務一律註釋掉
在 /etc/inetd.conf 中不需要的服務前加 "#",較高版本中已經沒有 inetd 而換成了 Xinetd;取消開機自動運行服務,把 /etc/rc.d/rc3.d 下不需要運行的服務第一個字母大寫改稱小寫,或者由 setup 命令啟動的 GUI 界面中的 service 更改
如果你希望簡單一點,可以使用 /etc/host.allow,/etc/host.deny 這兩個文件,但是本文計劃用 iptables 防火牆,所以不在此詳述.
4. 文件系統許可權 找出系統中所有含 "s" 位的程序,把不必要得 "s" 位去掉,或者把根本不用的直接刪除
CODE: [root@ayazero /]# find / -type f ( -perm -04000 -o -perm -02000 ) -exec ls -lg {}
[root@ayazero /]# chmod a-s filename |
防止用戶濫用及提升許可權的可能性
把重要文件加上不可改變屬性
CODE: [root@ayazero /]# chattr +i /etc/passwd
[root@ayazero /]# chattr +i /etc/shadow
[root@ayazero /]# chattr +i /etc/gshadow
[root@ayazero /]# chattr +i /etc/group
[root@ayazero /]# chattr +i /etc/inetd.conf
[root@ayazero /]# chattr +i /etc/httpd.conf |
...............................
具體視需要而定,我懷疑現在的入侵者都知道這個命令,有些 exploit 溢出后往 inetd.conf 寫一條語句綁定 shell 在一個埠監聽,此時這條命令就起了作用,淺薄的入侵者會以為溢出不成功.
找出系統中沒有屬主的文件:
CODE: [root@ayazero /]# find / -nouser -o -nogroup |
找出任何人都有寫許可權的文件和目錄:
CODE: [root@ayazero /]# find / -type f ( -perm -2 -o -perm -20 ) -exec ls -lg {}
[root@ayazero /]# find / -type d ( -perm -2 -o -perm -20 ) -exec ls -ldg {} |
防止入侵者向其中寫入木馬語句(諸如一個shell的拷貝)或繼承屬主許可權而非法訪問
找出並加固那些歷來被入侵者利用的文件,比如 .rhosts
編輯 /etc/security/limits.conf,加入或改變如下行:
CODE: * hard core 0
* hard rss 5000
* hard nproc 20 |
5. Banner 偽裝 入侵者通常通過操作系統,服務及應用程序版本來攻擊,漏洞列表和攻擊程序也是按此來分類,所以我們有必要作點手腳來加大入侵的難度
更改 /etc/issue,因為 reboot 后重新載入,所以編輯 /ect/rc.d/rc.local
CODE: # This will overwrite /etc/issue at every boot. So, make any changes you
# want to make to /etc/issue here or you will lose them when you reboot.
#echo "" > /etc/issue
#echo "$R" >> /etc/issue
#echo "Kernel $(uname -r) on $a $(uname -m)" >> /etc/issue
#
#cp -f /etc/issue /etc/issue.net
#echo >> /etc/issue |
把以上行前的 "#" 去掉
Apache 不回顯版本:
apache 的配置文件,找到 ServerTokens 和 ServerSignature 兩個 directive,修改默認屬性:
CODE: #ServerTokens Full
ServerTokens Prod <----------
#ServerSignature On
ServerSignature Off <---------- |
修改 uname
拿出 uname.c 的源碼,找到如下行
CODE: print_element (PRINT_SYSNAME, name.sysname);//操作系統名如 linux
print_element (PRINT_NODENAME, name.nodename);//主機名
print_element (PRINT_RELEASE, name.release);//發行版本,如:2.4.20-18
print_element (PRINT_VERSION, name.version);//
print_element (PRINT_MACHINE, name.machine);//機器類型,如i686
print_element (PRINT_PROCESSOR, processor);//處理器類型 |
可以修改為
CODE: print_element (PRINT_SYSNAME,"HP-UX"); |
.......
編譯后替換 /bin/uname
其他服務及程序的修改可以查看其配置文件或者源碼不要改太多,否則會給系統管理帶來大麻煩。
6. Iptales 防火牆規則 假設我們的伺服器 server1 運行 apache,sshd (sshd 可以不運行在標準埠,配置文件中能修改)eth0 網卡接 Internet,eth1 連接 LAN,管理員在家中撥號登陸到 server2 (其私用網路 IP 為 192.168.0.12),再登陸 server1[roor@ayazero root]# iptables -A INPUT -i eth1 -s 192.168.0.12 -p tcp --dport 22 -j ACCEPT為防止 IP spoofing 的可能,還可以綁定 server2 的網卡地址:sh-2.05b# iptables -A INPUT -i eth1 -s 192.168.0.12 --mac-source 01:68:4B:91:CC:B7 -p tcp --dport 22 -j ACCEPT不過好像也很少有入侵者能夠做到這種地步,而且沒什麼利用的價值
CODE: [root@ayazero root]# iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
[root@ayazero root]# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
[root@ayazero root]# iptables -A INPUT -j DROP |
對攻擊有所了解的人都知道「埠重定向+反向管道」的美妙結合來穿越防火牆的例子吧這種技巧已經運用太廣,而危害很大為了對抗這種難以防禦的攻擊,我們必須以犧牲一定的易用性為代價 [root@ayazero root]# iptables -A OUTPUT -o eth0 -p tcp --syn -j DROP以上規則將阻止由內而外的 TCP 主動連接另外,用 tftp 或其他客戶端反向攫取文件的攻擊行為也很普遍,由於 tftp 以及其他一些工具依賴 UDP,所以現在要把它徹底抹煞掉[root@ayazero root]# iptables -A OUTPUT -o eth0 -p udp -j DROPPS: 在更新系統和調試網路時需要把這兩條規則臨時去掉因為入侵的本質就是通過文本或圖形界面在標準或非標準埠得到目標操作系統的 shell,所以,這不僅能阻止反向管道本身,還能免疫很多入侵技巧不過對一般的系統管理員而言,這太苛刻了!
iptables 的一些攻擊對策
CODE: Syn-flood protection:
[root@ayazero foo]# iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
Furtive port scanner:
[root@ayazero foo]# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
Ping of death:
[root@ayazero foo]# iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT |
此外,iptables 還能配置出讓一些掃描行為比如 nmap 失效的規則,應當注意:防火牆不是萬能的,當一個攻擊者足夠瘋狂時,不要指望你的防火牆能抵擋得住 DDoS 的洪水。
關於 iptables 得更多細節,請參閱 Rusty Russell 的 Packet Filtering HOWTO
7. 完整性校驗 tripwire 是一個比較有名的工具,它能幫你判斷出一些重要系統文件是否被修改過現在的 Linux 發行版中一般都帶有他的開源版本,在默認的校驗對象配置文件中加入一些敏感文件就可以使用
RPM MD5 校驗
CODE: [root@ayazero rpm]# rpm -V |
用 "man rpm" 查看命令幫助,"-V" 參數用於 MD5 校驗,注意要把 rpm 校驗產生的二進位數據文件作一個硬備份,以防止其本身被修改
8. 自行掃描 普通的安全加固基本上是做完了,現在讓我們來對自己做的系統做一個風險評估,推薦使用 nessus latest version [homepage:http://www.nessus.org](既然從頭到尾用的都是開源的東西,這裡也繼續節約成本,呵呵)也許你覺得自己的系統沒有問題了,但有時 nessus 還是能報告出一些問題,比如一個第三方的 webmail 有某些安全缺陷,如果沒有問題最好,有問題我們再回去修補
9. 高級技巧 以上的措施已經足以讓大多數入侵者望而卻步,接下來的部分給那些對安全極度敏感的偏執狂 緩衝區溢出對策中有: stackgurad,stackshield,formatguard,heapguard,pointguard 等編譯技術,但他們需要重新編譯源碼,不僅麻煩而且會使系統性能有所下降.所以這裡打算用防止緩衝區溢出的內核補丁.
比較熟知的是 PaX 內核補丁,它主要通過數據區 [heap/bss/stack] 不可執行代碼來防禦直接覆蓋返回地址后跳轉到數據區執行 shellcode 的一些exploitPaX的站點好像訪問不了,但用google可以找到很多對應較新內核的PaX下載http://home.hetnet.nl/~ottolander/pax/pax.html
??f??甜祥夔?玎L?~衄腔祛堤?擊,但卻可以擋住市面上相當數量的 exploit,現在那些關於如何繞過補丁的高級 exploit 技巧已經很不神秘,但是書寫那樣的攻擊程序通常要滿足一定的條件,即使那樣的程序被寫出來,函數,文件指針被成功覆蓋,可能在這個系統上還是無法把那「溢出成果」傳遞給攻擊者--仍然沒有辦法得到 shell 或是建立一個連接
lids
Linux 上的入侵檢測和防護系統,內核補丁,通過一個比 root 更大的 ring0 許可權來提供增強的訪問控制,甚至連 root 都不能改變,已有現成資料,不在此討論。站點:http://www.lids.org
lids 和緩衝區溢出補丁可能不兼容,歡迎知道真相的朋友告訴我
10. 日誌策略 主要就是創建對入侵相關的重要日誌的硬拷貝,不至於應急響應的時候連最後的黑匣子都沒有可以把他們重定向到印表機,管理員郵件,獨立的日誌伺服器及其熱備份
11. Snort 入侵檢測系統 對入侵響應和安全日誌要求較高的系統有此必要;對於一般的系統而言,如果管理員根本不會去看一大堆日誌,那麼它白白佔用系統資源就如同雞肋一樣
12. 最後的建議 關心 bugtraq 上的漏洞列表
訂閱廠商的安全公告
勤打補丁
站在攻擊者的角度去思考如何防禦
小結 對攻擊的思考:
假設有一個技術高超的入侵者,擁有自行挖掘系統底層漏洞的能力,他發現了 apache 的一個漏洞,並書寫了 remote exploit,這個漏洞暫時還沒有出現在 bugtraq 上,處於「未知」狀態,如果入侵者試圖攻擊我們的系統,他必須能挖掘一個 apache 並且是 root 級的遠程溢出,
<1>在 shellcode 中植入代碼殺死 httpd 進程,並且把 sh 綁定在 80 埠
<2>在 80 埠復用
<3>讓 shellcode 執行 iptables -F OUTPUT/INPUT,前提是他猜到有這麼回事以上均需要溢出后是 root 許可權,並且是能繞過 PaX 的高級 exploit,另外 apach e殺掉後會自動重啟如果想攻擊 sshd,因為 iptables 將丟棄所有來自外網訪問 sshd 的包,所以即使有遠程溢出 (當然別忘了 PaX),此路不通其他的方法,如果腳本攻擊可以獲得允許遠程登錄 ssh 用戶的明文口令,或是利用腳本缺陷直接添加系統賬號,這不僅需要系統 root 許可權,而且 /etc/passwd 已經被 chattr 過,滿足以上條件,並且攻破 server2,就有希望得到 shell但提升許可權的機會不大!普通腳本攻擊在此無效,當然如果該系統並不運行 CGI 的話,此路更是不通誠然入侵者很可能在 http 上破壞你的腳本,不過第三方的 web 安全加固暫不在本文討論之列以上條件對大多數入侵者足夠苛刻,可以說幾乎不可能實現.
但是我們為此也犧牲了不少,並且這些措施依賴一定的環境而實現安全性和易用性,需要讀者站在自己的角度尋找他們的平衡點。
