Før du læser denne artikel, har vi også brug for grundlæggende sikkerhedsfunktioner af Linux-systemer har en vis forståelse for
Open-source Linux operativsystem er et frit styresystem, er det ikke kun sikkert, stabilt, lave omkostninger, og få fundet virus spredes, derfor har Linux operativsystem blevet betragtet som den rivaliserende Microsofts Windows-system. I de seneste år med Linux-styresystem i vort lands fortsatte popularitet, som flere og flere servere, arbejdsstationer og pc'er begyndte at bruge Linux software, selvfølgelig mere og mere fans begyndte at få et sikkert sted stærk operativsystem interesse. Formålet med dette oplæg er at brugerne så hurtigt som på Linux, boutique Hack software features og brug en mere detaljeret og omfattende forståelse. I dag har vi først forstå de typer af våben til at finde N slagtekyllinger.
Vulnerability Skanner er en fjern eller lokal vært automatisk registrere sikkerhedshuller i programmet. Og Windows-systemer, når hackere få en liste over mål vært, kan han bruge nogle Linux scanner program til at finde smuthuller i disse værter. På denne måde kan en hacker finde en lang række TCP-porte på serveren distribution, service, web-tjenester, software version, og disse tjenester og sikkerhedsproblemer. Systemadministratoren, hvis evne til at opdage og forhindre sådanne handlinger, kan det i høj grad reducere forekomsten af invasion. Ifølge konventionel standarder, kan sårbarheden scannere opdeles i to typer: host sårbarhed scannere (Host Scanner) og netværk sårbarhed scanner (Network Scanner). Host sårbarhed scanner kører i det lokale procedurer for testning system sårbarheder; nettet sårbarhed scanner refererer til målet net baseret på Internet fjerntliggende afsløring procedurer og vært sårbarheder, efter vi vælge nogle typiske eksempler på software og introduktion.
1, host-baseret scanning software utility
(1) sXid
sXid er et system overvågningsprogram, software downloads, brug "make install" kommandoen til at installere. Det kan skanne systemet suid og sgid filer og mapper, fordi disse mapper er sandsynligvis bagdør program, og kan indstilles til at rapportere resultater fra e-mail. Den standard installation opsætningsfilen / etc / sxid.conf, denne fil er let at læse kommentarerne, der definerer arbejdet sxid måde, cyklus hyppigheden af logfilen; logfil default er / var / log / sxid. log. Af sikkerhedsmæssige overvejelser, kan vi konfigurere parametrene til sxid.conf uforanderlige ved hjælp af chattr kommandoen for at indstille sxid.log filer kan kun tilføjes. Derudover kan vi altid bruge sxid-k med-k mulighed for at kontrollere, dette tjek er meget fleksibel måde, ikke opføres på log, udsteder e-mail. Vist i figur 1.
Figur 1
(2) SENESTE
Linux Security Auditing Tool (sidste) er en lokal sikkerhed scanner og fundet usikre default-konfiguration, kan det generere rapporter. LAST af Triode udvikling, primært til Linux RPM overgang baseret på design. Software downloades, opgjort som følger:
cndes $ tar xzvf sidste VERSION.tgz
cndes $ cd lsat-VERSION
cndes $. / configure
cndes $ gøre
Så kører som root: root #. / Sidste. Som standard, vil det generere et navn lsat.out rapport. Kan også angive nogle muligheder:
-O filnavn angive filnavnet for at generere rapporter.
-V verbose output mode.
-S udskriver ikke nogen oplysninger på skærmen, kun generere rapporter.
-R gennemførelse af RPM kontrol og inspektion, frem til det indhold og standard filtilladelser er ændret.
LAST kan tjekke mange ting, især: Check ubrugelig RPM anlægget tjekke inetd og xinetd og nogle system konfigurationsfiler; tjekke SUID og SGID filer, tjekke 777 filer, inspektion processer og tjenesteydelser, åbne porte og så videre. SIDSTE fælles metode er at bruge cron med jævne mellemrum opfordret, og derefter bruge diff sammenligner den nuværende rapport og tidligere rapporteret forskelle, kan du finde systemkonfiguration ændringer. Nedenstående er en rapport fra en test stykke:
****************************************
Dette er en liste over SUID filer på systemet:
/ Bin / ping
/ Bin / mount
/ Bin / umount
/ Bin / su
/ Sbin / pam_timestamp_check
/ Sbin / pwdb_chkpwd
/ Sbin / unix_chkpwd
****************************************
Dette er en liste over SGID filer / mapper på systemet:
/ Root / sendmail.bak
/ Root / mta.bak
/ Sbin / netreport
****************************************
Liste over normal filer i / dev. MAKEDEV er ok, men der
bør der ikke være andre filer:
/ Dev / MAKEDEV
/ Dev / MAKEDEV.afa
****************************************
Dette er en liste over verdens skrivbar filer
/ Etc / cron.daily / backup.sh
/ Etc / cron.daily / update_CDV.sh
/ Etc / megamonitor / skærm
/ Root / e
/ Root / pl / outfile
(3) GNU Tiger
Dette er den scanning software kan opdage sikkerheden af denne maskine, fra TAMU's Tiger (en gammel-scanning software). Tiger program kan du kontrollere følgende punkter: systemkonfiguration fejl usikre tilladelser, alle brugere kan skrive filer SUID og SGID filer, Crontab tilmeldinger Sendmail og ftp-indstillinger, svag adgangskode eller en tom adgangskode, system-fil ændringer. Desuden det udstillede svaghederne og generere detaljeret rapport.
(4) Nabou
Nabou er et system, der kan bruges til at overvåge ændringer i Perl program, som giver filen integritet kontrol og brugerkonti osv., og alle data er gemt i databasen. Desuden kan brugerne også indkapsle Perl kode i konfigurationsfilen til at definere din egen funktion udføre brugerdefinerede test, drift er faktisk meget nemt.
(5) COPS
COPS er konfigurationen fejlrapportering system og andre oplysninger, på linux system sikkerhedskontroller. Testen mål er: file, bibliotek og enhedsfiler tilladelser check; vigtige systemfiler i indhold, format og myndighed eksistensen af ejeren som den primære årsag til SUID fil vigtige system binære filer til CRC checksum og check for at se, om blevet ændret; på anonyme FTP, Sendmai netværk applikationer såsom inspektion. Bemærkes, at der er COPS overvågningsværktøjer gør ikke den faktiske reparation. Denne software er mere velegnet til brug sammen med andre værktøjer, dens fordel er bedre til at finde potentielle sårbarheder.
(6) strobe
Strobe er en TCP-port scanner, som kan registrere alle de maskiner, angivne åbne porte, der kører meget hurtigt. Det blev oprindeligt brugt til at scanne LAN åbne e-mail for at få e-mail brugeroplysninger. Et andet vigtigt element i Strobe er, at det hurtigt kan identificere specificere, hvilke tjenester der kører på maskinen, mangler en sådan relativt begrænset mængde information.
(7) Satan
Satan kan bruges til at hjælpe systemadministratorer afsløre net-baserede hacker kan bruges til at søge efter sårbare systemer. Satan er designet til systemadministratorer og en sikkerhed værktøj. Men på grund af sin bredde, brugervenlighed og evne til at scanne fjernnetværk, Satan eller på grund af nysgerrighed, der bruges til at lokalisere sårbare værter. Satan består af et netværk sikkerhedsspørgsmål i forbindelse med afsløring af bordet, finder den særlige ordning via nettet eller subnet, og rapportere sine resultater. Det kan søge på følgende svagheder:
NFS - uden tilladelse fra programmet eller havn til eksport.
NIS --- adgang password fil.
Rexd - er blokeret af en firewall.
Sendmail - svagheder.
ftp - ftp, wu-ftpd eller tftp konfiguration problem.
Remote Shell adgang - uanset om det er forbudt eller skjult.
X vinduer - om at give ubegrænset adgang til værten.
Modem - dial-up-adgang via tcp ingen grænse.
(8) IdentTCPscan
IdentTCPscan er en mere specialiseret scanner, kan du køre på forskellige platforme. Software, angive TCP-port til at tilslutte sig processen med at identificere ejeren af den funktion, altså at det fastslås, at processen UID. Dette program har en meget vigtig funktion er gennem opdagelsen proces, UID, hurtigt at identificere forkert. Det kører meget hurtigt, kan betragtes som ubudne gæster kæledyr, er en stærk, skarpe værktøjer.
2, net-baseret scanning værktøj utility
(1) Nmap
Nmap eller Netværk Mapper, det er Free Software Foundation's GNU General Public License (GPL) under udgivelse. De grundlæggende funktioner: påvisning af en vært er online; skanne vært havneby, sniffer netværk tjenester; afgøre det operativsystem. Efter at downloade software, gøre gennemførelsen af konfigurere og make install tre kendelser, de nmap binær kode installeret på systemet, kan du udføre en nmap.
Nmap syntax er meget simpelt, men er meget kraftfuld. For eksempel: Ping-scan kommandoen "-SP", at definere målet vært og netværk, kan blive skannet. Hvis root at køre Nmap, vil Nmap funktioner ikke være mere styrket, fordi superbruger kan oprette nem at bruge brugerdefinerede Nmap datapakker. Engangsbrug Nmap at scanne eller scanne hele netværket er enkel, bare med en "/ maske" modtageradressen kan henføres til Nmap. Desuden giver Nmap brug af alle de specificerede netadresse, såsom 192.168.100 .* subnet er vært udvalgt til scanning.
Ping Scan. Intruder at bruge Nmap at scanne hele netværket til at finde mål. Ved at bruge "-SP" kommando, som standard, at Nmap scanne hosts hver sende en ICMP ekko og en TCP ACK, værten af enhver form for reaktion vil blive modtaget Nmap. Vist i Figur 2.
Figur 2
Nmap understøtter forskellige typer af havnen scanninger, TCP sammenknytte scan kan bruge "-ST" kommando, der specifikt er vist i figur 3:
Figur 3
Skjulte scan (Stealth Scanning). I scanningen, hvis angriberen ikke ønsker deres oplysninger, der skal registreres i loggen på målsystemet, TCP SYN scanning kan hjælpe dig. Brug "-SS" kommandoen, kan du sende en SYN scan opdaget værten eller netværk. Figur 4.
Figur 4
Hvis en hacker at foretage UDP scanninger, kan du vide, hvilke porte er åbne på UDP. Nmap vil sende en UDP pakke O byte til hver port. Hvis værten ikke er op at vende tilbage til havn, sagde port er lukket. Figur 5.
Figur 5
Operativsystem identifikation. Ved at bruge "-O" option, kan du registrere fjernbetjeningen operativsystemet type. Nmap sender til værten gennem de forskellige typer af afsløring signaler, indsnævre søgningen række operativsystemer. Vist i Figur 6.
Figur 6
Ident scanning. Angribere gerne finde en bestemt proces for sårbare computere, som kører en webserver rod. Hvis målet maskinen kører IdentD, en hacker kan "-I" valgmulighed, hvor brugerne har konstateret, at TCP-forbindelse http daemon. Vi scanner en Linux WEB server, for eksempel kan du bruge følgende kommando:
# Nmap-ST-p 80-I-O www.yourserver.com
Ud over disse scanninger, tilbyder Nmap mange muligheder, er det vigtigt for mange Linux magi våben angriberen gennem software, kan vi godt klar over ordningen og dermed efter angrebet lå et godt fundament.
(2) p0f
p0f er meget nyttigt for netværks angreb, bruger SYN pakker for at opnå den passive operativsystemet opdagelse teknologi, har nøje kendskab til den type målsystemet. Og andre scanningssoftware, betyder det ikke sende nogen til målet systemets data, bare accepterer data fra målet system analyse. Derfor, at en stor fordel: næsten umuligt blive opdaget, er, og p0f konstrueret identifikation af redskaber, fingeraftryksdatabase er meget detaljeret og hurtigere opdatering er også specielt velegnet til montering i porten. Software download, kør den følgende kommando til at kompilere og installere p0f:
# Tar zxvf p0f-1.8.2.tgz
# Make & & make install
p0f er meget let at bruge, skal du bruge følgende kommando ved systemets start, systemet starter automatisk p0f at identificere:
# Cp p0f.init / etc/init.d/p0f
# Chkconfig p0f på
Derefter kan fra tid til anden om p0f log analyse. For brugervenlighed, pakke p0f giver en enkel analyse af scriptet p0frep, hvorigennem en hacker kan nemt finde en bestemt type system, der kører fjernvært adresse. P0f også kan registrere følgende: eksistensen af en firewall eller forklædt, at afstanden mellem fjernbetjeningen og dets start tid, andre netværksforbindelse, og ISP.
(3) ISS
ISS Internet Scanner er verdens førende netsikkerhed produkter på markedet, gennem en omfattende og uafhængig net sikkerhedsbrist afsløring og analyse, og undersøge deres svagheder og høj risiko er opdelt i tre niveauer lav, og kan generere en bred vifte af meningsfulde rapporter . Nu gebyret version af softwaren giver flere angreb, og efterhånden bevæger sig i retning af kommercialisering.
(4) Nessus
Nessus er et kraftfuldt fjern sikkerhed scanner, som har en stærk evne til at rapportere output, kan du generere HTML, XML, LaTeX, og ASCII-tekst formater såsom sikkerhedsrapport, og fremsætte henstillinger for hver spørgsmål om sikkerhed. Software system til klient / server-mode, at serveren er ansvarlig for sikkerhedskontroller, kunden bruges til at konfigurere Management Server. Anvendes også i den service-side plug-in system, der giver brugerne mulighed for at udføre specifikke funktioner ved at tilføje plug-ins, kan være hurtigere og mere komplekse sikkerhedskontrol. Ud over plug-in desuden Nessus også giver brugerne en beskrivelse af de angreb typer scriptsprog, at gennemføre yderligere sikkerhedsforanstaltninger tests.
Software download, uddrag og afslutte installationen. Installeret, bekræfter, at i / etc / ld.so.conf fil ved at tilføje installationssti af den installerede biblioteket file: / usr / local / lib. Hvis ikke, skal du blot tilføje stien til den fil, derefter køre ldconfig, at Nessus kan findes på runtime den runtime. Nessus konfigurationsfil for Nessusd.conf, som ligger i / usr / local / etc / Nessus / bibliotek. Under normale omstændigheder ikke anbefale ændringer af indholdet. Bemærk, bruges til at oprette en nessusd konto til fremtidig brug, da det landede scanning. Efter afslutningen af ovennævnte præparater for at rydde det brugerens identitet med følgende kommando starter serveren: Nessusd-d.
Klienten, kan brugeren angive maskine, der kører Nessus tjenester, anvendelse af havnefaciliteter scannere og test af indhold og teste ip-adresse område. Nessus selv er baseret på arbejde i multi-threaded, så brugeren kan også indstille antallet af tråde, der arbejder på samme tid. Således at brugerne kan indstille fjernbetjeningen konfiguration af Nessus arbejde. Er sat op, skal du klikke start, kan du begynde at scanne. Når scanningen er færdig, vil generere rapporter, venstre side af vinduet viser alle de værter bliver skannet, så længe værtsnavn med et museklik i vinduet til højre blev fundet ved scanning af listen over sikkerhedshuller i værten. Sikkerhedshuller og klik derefter på den lille ikon, som opregner alvoren af problemet og problemets årsager og løsninger.
(5) Nikto
Nikto er en web-server kan teste en række forskellige sikkerhedsteknologier projekter scanning software, kan scannes i mere end 200 slags servere ud af mere end 2000 slags potentielt farlige filer, CGI og andre problemer. Det bruger også Whiske bibliotek, men som regel opdateret hyppigere end knurhår.
(6) knurhår
Knurhår er en meget god HTTP server fejl scanning software, der kan scanne et stort antal kendte sikkerhedsproblemer, især de farlige CGI sårbarhed, bruger den perl programmering bibliotek, kan vi bruge det til at skabe deres egne HTTP scanner.
(7) Xprobe
XProbe er en aktiv operativsystem fingeraftryk redskaber, der kan bestemme, hvilken type fjernværten operativsystem. XProbe stole på en signatur database med fuzzy matching og et rimeligt gæt at bestemme fjernbetjeningen operativsystem type, styresystem, bruger ICMP-protokollen er dens unikke fingeraftryk. Når det bruges, det antager en havn ikke er i brug, vil det port til målet værten til at sende UDP pakker højere, vil målet vært reagere på ICMP pakker, og derefter vil XProbe sende pakken til at identificere andre mål vært system, med denne software, til operativsystemet dommeren hinanden meget let.