计算机网络信息安全理论与实践教程第18章

第 18章 UNIX/Linux操 作系统安全 第 18章 UNIX/Linux操 作系统安全 18.1 UNIX/Linux系统安全概况18.2 UNIX/Linux系统安全分析 18.3 UNIX/Linux系统安全增强方法和流程18.4 UNIX/Linux系统安全增强技术18.5 Linux安全增强实例18.6 UNIX/Linux系统常见漏洞与解决方法18.7 本 章 小 结本章思考与练习 第 18章 UNIX/Linux操 作系统安全 18.1 UNIX/Linux系统安全概况 18.1.1 UNIX/Linux系统结构同 Windows系统相比较， UNIX系统的历史更长。经过长期的发展演变，已形成了多种具有不同特色的 UNIX操作系统，如 Solaris、 AIX、 HP-UNIX、 Free BSD等。另外，一种开放源代码的 Linux操作系统 (类似于 UNIX系统 )，目前广泛应用在互联网上。虽然 Linux与 UNIX有不同的类型，但是它们在技术原理和系统设计结构上是相同的。一般的 UNIX/Linux操作系统分为三层：硬件层、系统内核及应用层，如图 18-1所示。 第 18章 UNIX/Linux操 作系统安全 图 18-1 UNIX/Linux系统结构 第 18章 UNIX/Linux操 作系统安全 18.1.2 UNIX/Linux安全机制 1 UNIX/Linux认证认证是 UNIX/Linux系统中的第一道关卡，用户在进入系统之前，首先经过认证系统识别身份，然后再由系统授权访问系统资源。目前， UNIX/Linux常用的认证方式有：(1) 基于口令的认证方式。基于口令的认证方式是UNIX/Linux最常用的一种技术，用户只要给系统提供正确的用户名和口令就可以进入到系统。 第 18章 UNIX/Linux操 作系统安全 (2) 终端认证。在 UNIX/Linux系统还提供了一个限制超级用户从远程登录的终端认证。(3) 主机信任机制。 UNIX/Linux系统提供了一个不同主机之间的相互信任机制，这就使得不同主机用户之间无需系统认证就可以登录。(4) 第三方认证。第三方认证是指非 UNIX/Linux系统自身带有的认证机制，而是由第三方提供认证。在 UNIX/Linux中，系统支持第三方认证，例如一次一密口令认证 S/Key、Kerberos认证系统、插入式身份认证 PAM(Pluggable Authentication Modules)等。 第 18章 UNIX/Linux操 作系统安全 2 UNIX/Linux访问控制普通的 UNIX/Linux系统一般通过文件访问控制表 ACL来实现系统资源的控制，也就是常说的 “9 bit” 来实现。例如，某个文件的列表显示信息如下 :-rwxr-xr- 1 test test 4月 9日 17： 50 sample.txt由这些信息看出，用户 test对文件 sample.txt的访问权限有“ 读、写、执行 ” ，而 test这个组的其他用户只有 “ 读、执行” 权限，除此以外的其他用户只有 “ 读 ” 权限。 第 18章 UNIX/Linux操 作系统安全 3 UNIX/Linux 日志 /审计审计机制也是 UNIX/Linux系统安全的重要组成部分。审计有助于系统管理员及时发现系统入侵行为或潜在的系统安全隐患。不同版本的 UNIX/Linux日志文件的目录是不同的。 UNIX早期版本的审计日志目录在 /usr/adm， 较新版本的在 /var/adm； Solaris、 Linux、 BSD在 Unix /var/log。 在这些目录或其子目录下，常见日志文件如下：* lastlog： 记录用户最后一次成功登录的时间。* loginlog： 不良的登录尝试记录。 第 18章 UNIX/Linux操 作系统安全 * messages： 记录输出到系统主控台以及由 syslog系统服务程序产生的消息。* utmp： 记录当前登录的每个用户。* utmpx： 扩展的 utmp。* wtmp： 记录每一次用户登录和注销的历史信息。* wtmpx： 扩展的 wtmp。* vold.log： 记录使用外部介质出现的错误。* xferkig： 记录 ftp的存取情况。* sulog： 记录 su命令的使用情况。* acct： 记录每个用户使用过的命令。 第 18章 UNIX/Linux操 作系统安全 18.2 UNIX/Linux系统安全分析 18.2.1 UNIX/Linux口令 /帐号安全UNIX/Linux系统的帐号和口令是入侵者最为重要的攻击对象，特别是超级用户 root的口令，一旦 root的口令泄露，则危及整个系统的安全。在 UNIX/Linux中，口令信息保存在passwd和 shadow文件中，这两个文件所在的目录是 /etc。 入侵者常利用各种方法来获取口令文件。例如，通过 WEB CGI程序的漏洞来查看口令文件 passwd。 第 18章 UNIX/Linux操 作系统安全 18.2.2 UNIX/Linux可信主机文件安全在 UNIX/Linux系统环境中，为了便于主机之间的互操作，系统提供了两个文件 $HOME/.rhost和 /etc/hosts.equiv来配置实现可信主机的添加。当一台主机 A信任另外一台主机 B后，主机 B的用户无需主机 A的认证就可以从主机 B登录到主机 A。 但是，这种简单的信任关系很容易导致假冒，如果可信主机文件配置不当的话，就难以避免地带来安全 隐患。 第 18章 UNIX/Linux操 作系统安全 18.2.3 UNIX/Linux应用软件漏洞UNIX/Linux平台的应用软件安全隐患日益暴露，特别是常用的应用软件包，例如 Sendmail和 BIND， 这些安全隐患常常导致系统被非授权访问、非法滥用等。早期的 “ 小莫里斯 ”网络蠕虫就是利用 Sendmail漏洞来传播的。 第 18章 UNIX/Linux操 作系统安全 18.2.4 UNIX/Linux的 SUID文件安全在 UNIX/Linux中， SUID文件是指被设置成可以带有文件拥有者的身份和权限被执行的可执行文件。因为许多系统安全漏洞存在于 SUID文件中，所以 SUID文件已成为系统安全的重大隐患。 第 18章 UNIX/Linux操 作系统安全 18.2.5 UNIX/Linux的恶意代码同 Windows系统相比较， UNIX系统的计算机病毒危害少一些，但仍然存在，其他针对 UNIX系统的网络蠕虫、特洛伊木马、 rootkit也时有报道。例如，最早的网络蠕虫就是在UNIX系统中爆发的。 第 18章 UNIX/Linux操 作系统安全 18.2.6 UNIX/Linux文件系统安全文件系统是 UNIX/Linux系统安全的核心。在 UNIX/Linux中，所有的资源都被看作文件。 UNIX/Linux文件安全是通过“ 9 bit” 控制的，每个文件有三组权限，一组是文件的拥有者，一组是文件所属组的成员，一组是其他所有用户。文件的权限有： r(读 )、 w(写 )、 x(执行 )。但是，如果这种控制操作设置不当，就会给系统带来危害。例如，假设 /etc/shadow文件允许任何人可读，就会导致口令信息泄露。 第 18章 UNIX/Linux操 作系统安全 18.2.7 UNIX/Linux网络服务安全在 UNIX/LINUX系统中，系统提供许多网络服务，例如 finger、 R-命令服务等，虽然这些服务能够给工作带来方便，但是也造成系统存在安全隐患。例如，通过 finger服务可以获取远程UNIX/Linux主机的信息，如下所示：$ finger 0victim.host alice ? pts/2 Mon 17:18 some.placebob ? pts/4 xxx.xxx.xxx.xxx第 18章 UNIX/Linux操 作系统安全 18.2.8 UNIX/Linux系统程序漏洞入侵者一般通过普通帐号进入 UNIX/Linux系统， 然后再利用系统的程序漏洞提升权限。下面就是利用 SunOS 5.5的 eject程序漏洞获取超级用户权限的例子：$ telnet victim.host 登录主机Connecting to host victim.host.ConnectedUNIX(r) System V Release 4.0 (ox)login: bobPassword:bob123 猜测弱口令 第 18章 UNIX/Linux操 作系统安全 Last login: Mon May 17 17:18:00 from some.placeSun Microsystems Inc. SunOS 5.5 Generic November 1995ox%ox1% cd /tmp; mkdir .X12; cd .X12ox1% cat eject.c source file.ox1% gcc eject.c -o ejox1% ./ej 缓冲区溢出攻击Jumping to address 0xdffff678 B364 E400 SO400# iduid=0(root) gid=1(other) 获得超级权限 第 18章 UNIX/Linux操 作系统安全 18.3 UNIX/Linux系统安全增强方法和流程 18.3.1 UNIX/Linux系统安全增强方法同 Windows系统的安全增强一样，目前，常见的 UNIX/Linux系统的安全增强方法有下面几种：(1) 给安全漏洞打补丁。(2) 停止不必要的服务。(3) 升级或更换软件包。(4) 修改系统配置。(5) 安装专用的安全工具软件。 第 18章 UNIX/Linux操 作系统安全 18.3.2 UNIX/Linux系统安全增强基本流程同 Windows系统安全增强类似， UNIX/Linux系统安全增强也是一件繁琐的事情，其安全增强基本流程如图 18-2所示。 第 18章 UNIX/Linux操 作系统安全 图 18-2 UNIX/Linux系统安全增强基本流程图 第 18章 UNIX/Linux操 作系统安全 由图 18-2所知， UNIX/Linux系统安全加固的步骤如下：第一步，确认系统的安全目标。实际上，系统的安全目标就是用户根据系统的运行业务而期望的安全要求，包括系统的保密性、系统的完整性、系统的可用性、系统的可控制性、系统的抗抵赖性。第二步，安装最小化 UNIX/Linux系统。这一步的任务就是根据系统所要完成的业务，选择合适的安装包，减少不需要的软件包，以减少安全隐患。 第 18章 UNIX/Linux操 作系统安全 第三步，利用 UNIX/Linux系统自身的安全机制，配置安全策略，主要有用户及口令、主机信任、文件访问、网络服务、系统审计等。第四步，在 UNIX/Linux系统自身的安全机制不行的情况下，利用第三方软件包来增强系统安全，例如用 SSH来替换Telnet。第五步，利用系统安全测试工具，检查 UNIX/Linux系统的安全策略的有效性或系统的安全隐患。这些常用的安全工具有端口扫描 nmap、 文件安全配置检查 COPS、 口令检查工具crack等。 第 18章 UNIX/Linux操 作系统安全 第六步，根据系统安全测试的结果，重新调整安全策略或安全措施。第七步，在系统安全检查通过后， UNIX/Linux系统开始正常运行。这时，系统需要不定期进行安全监控，包括进程监控、用户监控、网络连接监控、日志分析等，通过安全监控来保持系统安全。 第 18章 UNIX/Linux操 作系统安全 18.4 UNIX/Linux系统安全增强技术 18.4.1 安装系统补丁软件包及时从应急响应安全站点 (如 )获取 UNIX/Linux系统漏洞公布信息，并根据漏洞的危害情况，给系统安装补丁包。同时，在安装操作系统补丁前，必须确认补丁软件包的数字签名，检查其完整性，保证补丁软件包是可信的，以防止特洛伊木马或恶意代码的攻击。在 Linux中，可以用 md5sum检查工具来判断补丁软件包的完整性。 第 18章 UNIX/Linux操 作系统安全 18.4.2 最小化系统网络服务最小化配置服务是指在满足业务的前提条件下，尽量关闭不需要的服务和网络端口，以减少系统潜在的安全危害。实现UNIX/Linux网络服务的最小化，具体安全要求如下：* inetd.conf的文件权限设置为 600。* inetd.conf的文件属主为 root。* services 的文件权限设置为 644。* services的文件属主为 root。* 在 inetd.conf中注销不必要的服务，比如 finger 、 echo、 chargen、 rsh、 rlogin、 tftp服务。* 只开放与系统业务运行有关的网络通信端口。 第 18章 UNIX/Linux操 作系统安全 18.4.3 设置系统开机保护口令在 UNIX/Linux系统中，用户可以通过特殊的组合键而无需提供用户名和口令，就能以单用户身份进入系统。因此，针对这种威胁，一方面要尽量避免入侵者物理临近系统，另一方面要设置系统开机保护口令，阻止入侵者开机，从而达到保护系统的目的。开机保护口令由 BIOS程序设置实现。当系统启动时， BIOS程序将提示用户输入的密码。 第 18章 UNIX/Linux操 作系统安全 18.4.4 弱口令检查UNIX/Linux系统中的弱口令是入侵者进行攻击的切入点。一旦口令被入侵者猜测到，系统就会受到极大的危害。因此，针对弱口令安全隐患，系统管理员通过口令破解工具来检查系统中的弱口令，常用的口令检查工具是 John the Ripper。John the Ripper是一个快速的口令破解工具，主要针对UNIX下的弱口令，支持的平台有 UNIX、 DOS、 Linux、Windows。 下面举例说明应用 Jonh工具破解 UNIX弱口令的过程。在命令行方式下键入 John， 可显示它的使用方法，如图 18-3所示。 John提供了多种参数模式来破解口令。可选的参数有： 第 18章 UNIX/Linux操 作系统安全 * -single：