Vor dem Lesen dieses Artikels, brauchen wir auch grundlegende Sicherheitsfunktionen von Linux-Systeme haben ein gewisses Verständnis für
Open-Source-Betriebssystem Linux ist ein freies Betriebssystem, es ist nicht nur sicher, stabil, kostengünstig, und nur wenige finden den Virus zu verbreiten, also Linux-Betriebssystem wurde als der Rivale von Microsoft Windows-System. In den letzten Jahren mit dem Linux-Betriebssystem in unserem Land die anhaltende Popularität, da mehr und mehr Server, Workstations und PCs mit Linux-Software gestartet, natürlich, begannen mehr und mehr Fans an einen sicheren Ort zu erhalten starkes Betriebssystem Interesse. Der Zweck dieses Papiers ist es, Nutzer so schnell wie auf Linux-, Boutique-Hack-Software-Funktion und verwenden Sie eine detailliertere und umfassendere Verständnis. Heute haben wir zuerst verstehen, welche Arten von Waffen an N Broiler finden.
Vulnerability Scanner ist ein Remote-oder lokalen Rechner automatisch erkennt Sicherheitslücken Verfahren. Und Windows-Systemen, wenn Hacker eine Liste der Ziel-Host zu bekommen, kann er mit einigen Linux-Scanner-Programm, um Lücken in diesen Hosts zu finden. Auf diese Weise kann ein Angreifer finden eine Vielzahl von TCP-Ports der Server-Distribution, Dienstleistungen, Web-Services, Software-Version, und diese Dienste und Sicherheitslücken. Der System-Administrator, wenn die Fähigkeit zu erkennen und solche Taten abzuschrecken, es kann sehr Senkung der Inzidenz der Invasion. Nach konventionellen Maßstäben, Schwachstellen-Scanner kann in zwei Typen: Schwachstellen-Scanner Host (Host-Scanner) und Netzwerk-Schwachstellen-Scanner (Network Scanner) unterteilt werden. Host Vulnerability Scanner ist in das System der lokalen Verfahren für die Prüfung der Systemintegrität ausgeführt; Network Vulnerability Scanner bezieht sich auf die Ziel-Netzwerk im Internet Ferndetektion Verfahren und Host-Schwachstellen, die folgenden, wählen wir einige typische Beispiele von Software und Einführung basiert.
1, Host-basierten Scan-Software-Dienstprogramm
(1) sxid
sxid ist ein System-Monitoring-Programm, Software-Downloads, "make install"-Befehl zu installieren. Es kann eine Überprüfung des Systems SUID und SGID Dateien und Verzeichnisse, weil diese Verzeichnisse wahrscheinlich Backdoor-Programm sind, und kann die Ergebnisse Bericht zu erstatten e-mail werden. Die Standard-Installation Konfigurationsdatei / etc / sxid.conf, wird diese Datei einfach auf die Kommentare, die die Arbeit definiert sxid Weise zu lesen, Datei die Taktfrequenz des Protokolls; Protokolldatei Voreinstellung ist / var / log / sxid. log. Aus Sicherheitsgründen können wir konfigurieren Sie die Parameter festlegen, um sxid.conf unveränderlich, mit dem Befehl chattr sxid.log Dateien festlegen können nur hinzugefügt werden. Darüber hinaus können wir immer mit sxid-k-k-Option zu prüfen, ist dieses Kontrollkästchen sehr flexible Art und Weise, nicht in die Protokolldatei geladen, Thema der E-Mail. In Abbildung 1 dargestellt.
Abbildung 1
(2) Last
Linux Security Auditing Tool (LAST) ist eine lokale Sicherheits-Scanner und fand unsicheren Default-Konfiguration, es kann Berichte generieren. Zuletzt durch die Triode Entwicklung, vor allem für die Linux-RPM-Version basiert auf dem Design. Software heruntergeladen, übersetzt wie folgt:
cndes $ tar xzvf letzten VERSION.tgz
cndes $ cd lsat-VERSION
cndes $. / configure
cndes $ make
Dann als root ausführen: root #. / Last. Standardmäßig wird sie erzeugen einen Namen lsat.out Bericht. Kann auch einige Optionen angeben:
-O Dateiname gibt den Dateinamen um Berichte zu erstellen.
V-verbose Modus.
-S nicht gedruckt werden alle Informationen auf dem Bildschirm, nur um Berichte zu erstellen.
R-Umsetzung des RPM Überprüfung und Inspektion, zur Identifizierung der Inhalte und die Standard-Dateiberechtigungen verändert werden.
LAST können sich viele Dinge, vor allem: Prüfen nutzlos RPM-Installation, überprüfen Sie die inetd und xinetd und einige Konfigurationsdateien, kontrollieren das SUID und SGID Dateien, 777 Dateien zu überprüfen; Inspektion Prozesse und Dienstleistungen; offene Ports und so weiter. Letzten gemeinsamen Methode besteht darin, regelmäßig cron aufgerufen verwenden, und verwenden Sie dann diff vergleichen den aktuellen Bericht und zuvor berichtet Unterschiede, finden Sie die Änderungen der Systemkonfiguration. Das Folgende ist der Bericht eines Prüflings:
****************************************
Dies ist eine Liste von SUID Dateien auf dem System:
/ Bin / ping
/ Bin / mount
/ Bin / umount
/ Bin / su
/ Sbin / mit Session
/ Sbin / pwdb_chkpwd
/ Sbin / unix_chkpwd
****************************************
Dies ist eine Liste der SGID Dateien / Verzeichnisse auf dem System:
/ Root / sendmail.bak
/ Root / mta.bak
/ Sbin / netreport
****************************************
Liste der normale Dateien in / dev. MAKEDEV ist ok, aber es
sollten keine anderen Dateien werden:
/ Dev / MAKEDEV
/ Dev / MAKEDEV.afa
****************************************
Dies ist eine Liste der weltweit beschreibbare Dateien
/ Etc / cron.daily / backup.sh
/ Etc / cron.daily / update_CDV.sh
/ Etc / megamonitor / Monitor
/ Root / e
/ Root / pl / outfile
(3) GNU Tiger
Dies ist die Scan-Software können die Sicherheit der Maschine zu erkennen, aus TAMU's Tiger (ein alter-Scan-Software). Tiger-Programm können sich über folgende Punkte: Systemkonfiguration Fehler; unsicheren Berechtigungen, alle Benutzer können Dateien zu schreiben; SUID und SGID Dateien; crontab-Einträge, Sendmail und FTP-Einstellungen; unsicheres Kennwort oder ein leeres Passwort; System Datei ändert. Darüber hinaus ist es auch ausgesetzt, die Schwächen und detaillierten Bericht zu generieren.
(4) Nabou
Nabou ist ein System, verwendet, um Veränderungen in der Perl-Programm, das die Integrität der Datei-und Benutzerkonten und andere Kontrollen bietet überwacht werden kann, und alle Daten in der Datenbank gespeichert. Darüber hinaus können Anwender auch Perl-Code in die Konfiguration einbinden Datei auf Ihren eigenen benutzerdefinierten Funktion zu definieren, ausführen Prüfung, ist der Betrieb eigentlich sehr einfach.
(5) COPS
COPS ist die Konfiguration der Fehlerberichterstattung System und andere Informationen, auf dem Linux-System Sicherheitskontrollen. Der Test Ziele sind: file, Datei-und Verzeichnis-Device-Dateien die Berechtigungen zu überprüfen; wichtige Systemdateien der Inhalt, das Format und die Autorität, die Existenz des Eigentümers als die Wurzel des SUID; wichtiger System-Binärdateien für die CRC-Prüfsumme und überprüfen Sie, ob geändert worden; auf anonymen FTP, Sendmai Netzwerk-Anwendungen wie Kontrollberichte. darauf hingewiesen, dass COPS ist Monitoring-Tools nicht tun die eigentliche Reparatur. Diese Software eignet sich besser für den Einsatz mit anderen Werkzeugen, ist sein Vorteil, besser auf potenzielle Schwachstellen zu finden.
(6) Strobe
Strobe ist ein TCP-Port-Scanner, der alle Maschinen angegeben offene Ports aufnehmen kann, läuft sehr schnell. Es wurde ursprünglich verwendet, um die LAN scannen offenen E-Mail zu erhalten E-Mail-Benutzer Informationen. Ein weiteres wichtiges Merkmal der Strobe ist, dass es schnell zu identifizieren angeben, welche Dienste auf dem Rechner, die Unzulänglichkeiten dieser eine relativ begrenzte Menge an Informationen.
(7) SATAN
Satan kann verwendet werden, um System-Administratoren helfen, zu erkennen Sicherheit der Netzwerk-basierten Angreifer verwendet werden können, um verwundbare Systeme zu suchen. Satan ist für Systemadministratoren und ein Sicherheits-Tool entwickelt. Jedoch wegen seiner Breite, der Einsatz und die Fähigkeit sich auf remote Netzwerkfreigaben, Satan oder weil der Neugier Scan Leichtigkeit, werden verwendet, um gefährdete Hosts zu finden. SATAN besteht aus einem Netzwerk Sicherheitsfragen in Bezug auf Erkennung der Tabelle finden Sie die spezifischen System über das Netz oder Subnetz, und berichten über ihre Erkenntnisse. Es kann die Suche nach Schwachstellen:
NFS - ohne Erlaubnis aus dem Programm oder Hafen zu exportieren.
NIS --- Zugangs-Passwort-Datei.
Rexd - wird durch eine Firewall blockiert.
Sendmail - Schwächen.
ftp - ftp, wu-ftpd oder TFTP-Konfiguration Problem.
Remote Shell-Zugang - ob es verboten ist oder ausgeblendet werden.
X Windows - ob zu bieten uneingeschränkten Zugriff auf den Host.
Modem - Einwahl über TCP keine Grenzen gesetzt.
(8) IdentTCPscan
IdentTCPscan ist ein spezialisierter Scanner, können Sie auf verschiedenen Plattformen laufen. Software, geben Sie den TCP-Port an den Prozess der Identifizierung der Inhaber der Funktion, das heißt beitreten, bestimmt es, dass der Prozess UID. Dieses Programm hat eine sehr wichtige Funktion ist durch die Entdeckung Prozesses, UID, schnell falsch konfiguriert zu identifizieren. Es läuft sehr schnell, kann als Eindringlinge Haustier betrachtet werden, ist eine starke, scharfe Werkzeuge.
2, Netzwerk-basierten Scan-Tool-Dienstprogramm
(1) Nmap
Nmap Network Mapper oder ist es die Free Software Foundation's GNU General Public License (GPL) freigegeben unter. Die grundlegenden Funktionen: Erkennung von einem Host online ist; Scan-Host-Anschluss, Netzwerk-Sniffer Dienstleistungen erbracht werden; bestimmen das Host-Betriebssystem. Nach dem Herunterladen der Software machen die Umsetzung der configure und make install drei Aufträge, die nmap Binär-Code auf dem System installiert, können Sie einen nmap.
Nmap Syntax ist sehr einfach, ist aber sehr mächtig. Zum Beispiel: Ping-Scan-Befehl "-SP", bei der Festlegung der Ziel-Host-und Netzwerk, kann die gescannt werden sollen. Wenn root ausführen, um Nmap wird Nmap bietet mehr erweiterte, weil der Super-User einfach erstellen können, um benutzerdefinierte Nmap Datenpakete verwendet. Single use Nmap-Scan zum Scannen oder das gesamte Netzwerk ist einfach, nur mit einem "/ Maske" die Zieladresse kann Nmap zugeordnet werden. Darüber hinaus ermöglicht die Verwendung von Nmap alle angegebenen Netzwerk-Adresse, z. B. 192.168.100 .* Subnetz ist der Host für das Scannen ausgewählt.
Ping Scan. Intruder zu verwenden Nmap auf das gesamte Netzwerk scannen, um Ziele zu finden. Durch die Nutzung der "-SP"-Befehl, die standardmäßig Nmap-Scan, um Hosts jeweils ein ICMP Echo und ein TCP ACK, das Heer der jede Art von Antwort wird empfangen Nmap werden. In Abbildung 2 gezeigt.
Abbildung 2
Nmap unterstützt verschiedene Arten von Port-Scans, verbinden TCP-Scan kann die "-st" Befehl verwenden, die speziell in Abbildung 3 dargestellt:
Abbildung 3
Cover-Scan (Stealth Scanning). In dem, scannen, wenn der Angreifer nicht will, dass ihre Informationen in der Protokolldatei auf dem Zielsystem aufgezeichnet werden, TCP-SYN-Scan kann Ihnen helfen. Use "-SS"-Befehl können Sie senden ein SYN Detection System oder Netzwerk zu scannen. Abbildung 4.
Abbildung 4
Wenn ein Angreifer UDP-Scans durchzuführen, können Sie wissen, welche Ports offen sind auf dem UDP. Nmap sendet ein UDP-Paket A-Byte für jeden Port. Wenn der Host ist nicht bis in den Hafen zurückkehren, sagte Port geschlossen ist. Abbildung 5.
Abbildung 5
Betriebssystem Identifikation. Durch die Nutzung der "-O"-Option können Sie erkennen den Remote-Betriebssystem Typ. Nmap sendet der Host über die verschiedenen Arten von Detektionssignale, Verengung der Suche Palette von Betriebssystemen. Dargestellt in Abbildung 6.
Abbildung 6
Ident-Scan. Angreifer wie ein bestimmter Prozess nach anfälligen Computern, z. B. zum Betrieb eines Webservers Wurzel zu finden. Wenn der Zielcomputer ausgeführt wird, kann ein Angreifer "-I"-Option, die Benutzer, die TCP-Verbindung http-Daemon identd gefunden zu haben. Wir scannen Linux-Webserver, zum Beispiel, verwenden Sie den folgenden Befehl ein:
# Nmap-sT-p 80-I-O www.yourserver.com
Zusätzlich zu diesen Scans, Nmap viele Optionen bietet, ist es für viele Linux magische Waffe des Angreifers durch die Software wesentlich, wir können sehr wohl bewusst das System, also nach dem Anschlag lag ein gutes Fundament.
(2) p0f
p0f ist sehr nützlich für Angriffe auf das Netzwerk, verwendet es SYN-Pakete an die passive Betriebssystem-Detection-Technologie zu erreichen, eindeutig identifizieren kann den Typ des Zielsystems. Und andere Scan-Software, es werden jedoch keine an das Zielsystem die Daten, so übernimmt die Daten aus dem Zielsystem Analyse. Deshalb einen großen Vorteil: fast unmöglich erkannt zu werden, und ist p0f System zur Identifizierung konzipiert, die Fingerabdruck-Datenbank ist sehr detailliert und schnellere Update ist auch besonders geeignet für den Einbau in das Tor. Software herunterladen, führen Sie den folgenden Befehl zu kompilieren und zu installieren p0f:
# Tar zxvf p0f-1.8.2.tgz
# Make & & make install
p0f ist sehr einfach zu benutzen, verwenden Sie den folgenden Befehl beim Hochfahren des Betriebssystems, das System startet automatisch p0f zu identifizieren:
# Cp p0f.init / etc/init.d/p0f
# Chkconfig p0f auf
Dann kann von Zeit zu Zeit auf der p0f Log-Analyse. Für Benutzerfreundlichkeit, p0f Paket bietet eine einfache Analyse des Skripts p0frep, durch die ein Angreifer leicht finden können eine bestimmte Art von System mit der Remote-Host-Adresse. P0f kann auch erkennen, die folgenden: die Existenz einer Firewall oder zu verschleiern, um den Abstand zwischen dem Remote-System und seine Startzeit; andere Netzwerkverbindung, und ISP.
(3) ISS
ISS Internet Scanner ist der weltweit führende Netzwerk-Sicherheits-Produkte auf den Markt, durch ein umfassendes und unabhängiges Netzwerk Sicherheitslücke Erkennung und Analyse, und untersuchen ihre Schwächen und die Risiken hoch sind in drei Ebenen unterteilt niedrig, und kann eine Vielzahl von aussagekräftigen Reports zu generieren . Nun sieht die Gebühr Version der Software mehr angreifen und allmählich in Richtung der Kommerzialisierung.
(4) Nessus
Nessus ist ein leistungsfähiges Remote Security Scanner, die eine starke Fähigkeit zur Ausgabe zu berichten hat, können Sie HTML-, XML, LaTeX und ASCII-Text-Formate wie Sicherheit Bericht zu erstatten und Empfehlungen für jede Frage der Sicherheit zu machen. Software für die Client / Server-Modell, Server-Side durchzuführen Sicherheitsprüfungen, der Client verwendet, um den Management-Server zu konfigurieren. Auch in der Service-Seite Plug-in-System, dass die Nutzer auf bestimmte Funktionen durch Hinzufügen von Plug-Ins, können schneller und komplexer werden Sicherheitskontrollen durchführen können verwendet werden. Zusätzlich zur Plug-in hinaus Nessus bietet dem Anwender mit einer Beschreibung des Angriffs Arten von Skriptsprachen, um zusätzliche Sicherheits-Tests durchzuführen.
Software herunterladen, entpacken und die Installation abzuschließen. Installiert, bestätigen, dass in der Datei / etc / ld.so.conf Datei, indem Sie Installationspfad der Library-Datei installiert: / usr / local / lib. Wenn nicht, fügen Sie einfach den Pfad der Datei, dann führen Sie ldconfig, dass Nessus zur Laufzeit gefunden werden kann die Laufzeit. Nessus-Konfigurationsdatei für die Nessusd.conf, in / usr / local / etc / Nessus /-Verzeichnis befindet. Unter normalen Umständen nicht zu empfehlen Änderungen an den Inhalten. Beachten Sie, verwendet, um eine nessusd Konto zur späteren Verwendung bei der Landung Scan erstellen. Nach Abschluss der oben genannten Präparate, um die Identität des Benutzers mit dem folgenden Befehl root startet den Server: nessusd-d.
Der Client kann der Benutzer die Maschine läuft Nessus Dienstleistungen angeben, die Verwendung von Port-Scanner und testen Sie den Inhalt und testen Sie die IP-Adressbereich. Nessus selbst basiert auf der Arbeit in multi-threaded, so kann der Anwender auch die Anzahl der Threads, die gleichzeitig arbeiten. Damit können Benutzer die Remote-Konfiguration des Nessus Arbeit eingestellt. Eingerichtet ist, klicken Sie beginnen können Sie starten. Wenn der Scan abgeschlossen ist, werden Berichte generieren, Listen der linken Seite des Fensters alle Hosts gescannt, solange der Host-Name mit einem Mausklick der rechten Seite des Fensters auf den Listen durch das Scannen der Gastgeber Sicherheitslücken gefunden. Sicherheitslücken und klicken Sie dann auf das kleine Symbol, die Schwere des Problems und das Problem Ursachen und Lösungen aufzeigt.
(5) Nikto
Nikto ist ein Web-Server kann eine Vielzahl von Vorhaben zur Sicherung der Scan-Software zu testen, können in mehr als 200 Arten von Servern aus der mehr als 2000 Arten von potenziell gefährlichen Dateien, CGI und andere Probleme gescannt werden. Es nutzt auch Whiske Bibliothek, aber in der Regel häufiger als Whisker aktualisiert.
(6) Whisker
Whisker ist ein sehr gutes HTTP-Server Fehler Scan-Software kann eine große Anzahl von bekannten Sicherheitslücken, insbesondere scannen, die gefährliche Sicherheitslücke CGI nutzt sie die Bibliothek Perl-Programmierung, wir können es verwenden, um ihre eigenen HTTP-Scanner erstellen.
(7) xprobe
Xprobe ist ein aktives Betriebssystem-Fingerprinting-Tools, die den Typ des Remote-Host-Betriebssystem bestimmen können. Xprobe auf einer Signatur-Datenbank mit Fuzzy Matching und eine vernünftige Vermutung stützen, um die Remote-Betriebssystem-Typ zu bestimmen, das Betriebssystem, mit ICMP-Protokoll ist seine einzigartige Fingerabdruck. Wenn verwendet, nimmt es an, dass ein Port nicht wird, wird Port an den Ziel-Host verwendet werden, um UDP-Pakete gesendet höher, auf dem Zielrechner wird ICMP-Paketen zu reagieren, und dann wird xprobe senden Sie das Paket auf andere Ziel-Host-System zu ermitteln, mit diesem Software, das Betriebssystem einander sehr leicht zu beurteilen.