Antes de leer este artículo, también necesitan funciones básicas de seguridad de los sistemas Linux tienen una cierta comprensión de
De código abierto del sistema operativo Linux es un sistema operativo libre, es no sólo seguro, estable, de bajo costo, y pocos encuentran el virus se propagó, por lo tanto, el sistema operativo Linux ha sido considerado el rival sistema Windows de Microsoft. En los últimos años, con el sistema operativo Linux en continua popularidad de nuestro país, los equipos que más y más servidores, estaciones de trabajo y personal comenzó a utilizar el software de Linux, por supuesto, más y más fans comenzó a ser un lugar seguro sistema operativo fuerte de interés. El propósito de este trabajo es para los usuarios lo más rápido posible sobre la multa en virtud de las características de software Linux Hack y el uso de una comprensión más detallada y exhaustiva. Hoy primero comprender los tipos de armas para encontrar asar N.
escáner de vulnerabilidad es un host remoto o local detecta automáticamente las vulnerabilidades de seguridad procedimientos. Y los sistemas Windows, cuando los piratas informáticos obtener una lista de host de destino, puede utilizar algún programa de escáner de Linux para encontrar lagunas en estos huéspedes. De esta manera, un atacante puede encontrar una variedad de puertos TCP del servidor de distribución, servicios, servicios web, la versión del software, y servicios de éstos y vulnerabilidades de seguridad. El administrador del sistema, si la capacidad para detectar y prevenir tales actos, que puede disminuir significativamente la incidencia de la invasión. De acuerdo a las normas convencionales, los escáneres de vulnerabilidad se pueden dividir en dos tipos: los escáneres de vulnerabilidad de acogida (de acogida escáner), y un escáner de vulnerabilidades de red (Network Scanner). escáner de vulnerabilidad de host se está ejecutando en el sistema de los procedimientos locales para la comprobación de las vulnerabilidades del sistema; escáner de vulnerabilidades de red se refiere a la red de destino sobre la base de procedimientos de pruebas remotas de Internet y las vulnerabilidades de acogida, el siguiente, seleccionamos algunos ejemplos típicos de software y la introducción.
1, basado en host utilidad de software de escaneo
(1) sXid
sXid es un programa de monitoreo del sistema, descargas de software, utilice "make install" de comandos para instalar. Puede escanear los archivos de sistema SUID y SGID y los directorios, ya que estos directorios es probable que se programa de puerta trasera, y se puede fijar para informar los resultados por correo electrónico. La instalación por defecto del archivo de configuración / etc / sxid.conf, este archivo es fácil de leer los comentarios, que define la forma en que trabajan sxid, la frecuencia de ciclo del archivo de registro, por defecto del archivo de registro es / var / log / sxid. registro. Por razones de seguridad, podemos configurar los parámetros establecidos para sxid.conf inmutables, utilizando el comando chattr para establecer sxid.log archivos sólo se pueden agregar. Además, siempre podemos utilizar sxid-k con la opción-k para comprobar, este control es sumamente flexible, no está cargado en el registro, emita el correo electrónico. Se muestra en la Figura 1.
Figura 1
(2) ÚLTIMA
informes de Auditoría de Seguridad Linux Tool (LSAT) es un escáner de seguridad local y encontró configuración por defecto peligroso, que puede generar. PASADO el desarrollo Triodo, principalmente para el lanzamiento de Linux RPM basados en el diseño. Software descargado, compilado de la siguiente manera:
$ tar xzvf CNDES último VERSION.tgz
CNDES $ lsat cd-VERSION
CNDES $. / configure
CNDES $ make
A continuación, ejecute como root: root #. / Última. Por defecto, se generará un informe lsat.out nombre. Puede también especificar algunas opciones:
Nombre de archivo-O especifica el nombre del archivo para generar informes.
verbose-V modo de salida.
informes-S no imprimir la información en la pantalla, sólo para generar.
aplicación-R de la verificación de RPM y la inspección, para identificar el contenido y los permisos de archivo por defecto se cambian.
ÚLTIMA puede comprobar muchas cosas, principalmente: Revise la instalación RPM inútil; comprobar el inetd y xinetd y algunos archivos de configuración del sistema, revise la SUID y SGID archivos, verifique 777 archivos, los procesos de inspección y servicios, los puertos abiertos, etc. último método común es usar cron periódicamente llamada, y luego usar esta comparar el informe actual y las diferencias se informó anteriormente, se pueden encontrar los cambios de configuración del sistema. El siguiente es el informe de una pieza de ensayo:
****************************************
Esta es una lista de archivos SUID en el sistema:
/ Bin / ping
/ Bin / mount
/ Bin / umount
/ Bin / su
/ Sbin / pam_timestamp_check
/ Sbin / pwdb_chkpwd
/ Sbin / unix_chkpwd
****************************************
Esta es una lista de archivos SGID / directorios en el sistema:
/ Root / sendmail.bak
/ Root / mta.bak
/ Sbin / netreport
****************************************
Lista de los archivos normales en / dev. MAKEDEV está bien, pero hay
debe haber otros archivos:
/ Dev / MAKEDEV
/ Dev / MAKEDEV.afa
****************************************
Esta es una lista de archivos modificables mundo
/ Etc / cron.daily / backup.sh
/ Etc / cron.daily / update_CDV.sh
/ Etc / megamonitor / monitor
/ Root / e
/ Root / pl / archivosalida
(3) Tigre GNU
Este es el software de exploración puede detectar la seguridad de esta máquina, desde el Tigre TAMU (un viejo software de escaneo). programa Tigre puede consultar los siguientes artículos: Error de configuración del sistema: permisos inseguros; todos los usuarios pueden escribir archivos; SUID y SGID archivos, entradas de Crontab, Sendmail y configuración del FTP, contraseña débil o una contraseña en blanco; cambios en el sistema de archivos. Además, también se exponen las debilidades y generar informes detallados.
(4) Nabou
Nabou es un sistema que puede ser usado para monitorear los cambios en el programa de Perl, que proporciona archivo de comprobación de la integridad y cuentas de usuario, etc, y todos los datos almacenados en la base de datos. Además, los usuarios también pueden incluir código Perl en el fichero de configuración para definir su propia función realizar pruebas personalizadas, es realmente muy fácil.
(5) COPS
COPS es el error de configuración del sistema de presentación de informes y otra información, los controles de seguridad de sistemas Linux. Los objetivos de prueba son: archivos, directorios y archivos de dispositivos de verificación de permisos, los archivos importantes del sistema del contenido, el formato y la autoridad, la existencia del propietario como la raíz del archivo SUID, de los binarios del sistema importante para la suma de comprobación CRC y comprobar para ver si sido modificada; el FTP anónimo, las aplicaciones de red tales como Sendmai inspección. Se observó que, COPS está instrumentos de seguimiento no hacen la reparación. Este software es más adecuado para su uso en combinación con otras herramientas, su ventaja es mejor para encontrar vulnerabilidades potenciales.
(6) estroboscópica
Strobe es un escáner de puertos TCP, que puede grabar todas las máquinas incluidas puertos abiertos, corriendo muy rápido. Originalmente fue utilizado para explorar al aire libre LAN e-mail para recibir por e-mail la información del usuario. Otra característica importante de Strobe es que puede identificar rápidamente especificar qué servicios se están ejecutando en la máquina, las insuficiencias de una cantidad relativamente limitada de información.
(7) SATAN
Satanás puede usar para ayudar a los administradores del sistema de seguridad de la detección basada en la red atacante puede utilizar para buscar sistemas vulnerables. SATAN ha sido diseñado para administradores de sistema y una herramienta de seguridad. Sin embargo, debido a su amplitud, facilidad de uso y capacidad de escanear la red remota, Satanás o por curiosidad, se utilizan para localizar hosts vulnerables. SATAN consiste en una serie de cuestiones de seguridad de red relacionados con la detección de la mesa, encontrar el sistema específico a través de la red o subred, y comunicar sus conclusiones. Puede buscar los siguientes fallos:
NFS - sin la autorización del programa o de un puerto para exportar.
NIS --- acceso a archivos de contraseña.
Rexd - está bloqueado por un firewall.
Sendmail - debilidades.
ftp - ftp, configuración de wu-ftpd o tftp problema.
Shell Remoto de acceso - ya sea prohibido o está oculto.
X ventanas - ya sea para facilitar el libre acceso al host.
Modem - acceso por línea telefónica a través de TCP no tiene límites.
(8) IdentTCPscan
IdentTCPscan es un escáner más especializado, puede ejecutar en varias plataformas. Software, especifique el puerto TCP para unirse al proceso de identificación de propietario de la función, es decir, se determinó que el proceso de UID. Este programa tiene una función muy importante es a través del proceso de descubrimiento, UID, a identificar rápidamente mal configurado. Se corre muy rápido, se puede considerar como intrusos mascota, es una herramienta fuerte y definido.
2, basada en la red de servicios públicos de barrido herramienta
(1) Nmap
Nmap o Asignador de red, es GNU de la Free Software Foundation Licencia Pública General (GPL) publicada bajo. Las funciones básicas: la detección de un host está en línea; escanear puertos de anfitrión, succionador de servicios de red proporcionados; determinar el sistema operativo anfitrión. Después de descargar el software, la aplicación de configure, make y make install tres órdenes, el código binario nmap instalado en el sistema, puede realizar un nmap.
sintaxis de Nmap es muy simple, pero es muy potente. Por ejemplo: ping-scan comando es "-sP", al definir el host de destino y de la red, el puede ser escaneada. Si root para ejecutar Nmap, características Nmap será más mayor, ya que el super-usuario puede crear fácil de usar paquetes de datos personalizados Nmap. De un solo uso de Nmap para escanear o digitalizar toda la red es sencillo, sólo con una "mascara" la dirección de destino se pueden asignar a Nmap. Además, Nmap permite el uso de todas las direcciones de red especificados, como 192.168.100 .* subred es la variedad seleccionada para escanear.
Ping Scan. Intruso utilizar Nmap para escanear toda la red para encontrar los objetivos. Al utilizar la opción "-sP" de comandos, por omisión, Nmap para escanear cada host envía un eco ICMP y TCP ACK uno, el anfitrión de cualquier tipo de respuesta se recibirá Nmap. Se muestra en la Figura 2.
Figura 2
Nmap soporta diferentes tipos de escaneo de puertos, escaneo de conexión TCP puede utilizar "-sT" comando, en concreto se muestra en la Figura 3:
Figura 3
Ocultos exploración (escaneo Stealth). En la exploración, si el atacante no quiere que su información se registre en el registro del sistema de destino, TCP SYN digitalización puede ayudar. Use "-sS" comando, puede enviar un SYN scan sistema de detección o de la red. Figura 4.
Figura 4
Si un atacante para realizar escaneos UDP, usted puede saber qué puertos están abiertos en la UDP. Nmap se envía un paquete UDP O bytes a cada puerto. Si el anfitrión no es hasta el regreso a puerto, dijo que el puerto está cerrado. Figura 5.
Figura 5
El sistema operativo de identificación. Al utilizar la opción "-O", puede detectar el tipo de sistema operativo remoto. Nmap envía al host a través de los diferentes tipos de señales de detección, reduciendo el rango de búsqueda de sistemas operativos. Se muestra en la Figura 6.
Figura 6
Ident exploración. Los atacantes gustaría encontrar un cierto proceso para los equipos vulnerables, tales como correr una raíz del servidor web. Si el equipo de destino se está ejecutando identd, un atacante puede "-I" opción, que los usuarios han encontrado que la conexión TCP demonio http. Podemos escanear un servidor Web de Linux, por ejemplo, utiliza el siguiente comando:
# Www.yourserver.com 80-I-O Nmap-sT-p
Además de estas exploraciones, Nmap ofrece muchas opciones, es esencial para muchas armas Linux magia del atacante, a través del software, así se puede conocer el sistema, siguiendo así el ataque sentar una base firme.
(2) p0f
p0f es muy útil para ataques a la red, usa paquetes SYN para lograr la tecnología pasiva de detección de sistema operativo, puede identificar con precisión el tipo de sistema de destino. Y otro software de escaneo, no envía a los datos del sistema de destino, sólo acepta los datos de los análisis de sistema de destino. Por lo tanto, una gran ventaja: casi imposible de detectar, y p0f está diseñado herramientas de sistema de identificación, la base de datos de huellas dactilares es muy detallado y más rápida actualización también está especialmente indicado para su instalación en la puerta de enlace. Descarga de software, ejecute el comando siguiente para compilar e instalar p0f:
# Tar zxvf p0f-1.8.2.tgz
# Make & & make install
p0f es muy sencillo de utilizar, utilice el comando siguiente en el inicio del sistema, el sistema inicia automáticamente p0f para identificar:
# P0f.init Cp / etc/init.d/p0f
# Chkconfig en p0f
Entonces, de vez en cuando en el p0f de iniciar la sesión de análisis. Para facilitar su uso, paquete p0f proporciona un análisis simple de los p0frep guión, a través del cual un atacante puede encontrar fácilmente un tipo particular de sistema que ejecuta la dirección del host remoto. P0f también puede detectar los siguientes: la existencia de un cortafuegos o un disfraz; a la distancia entre el sistema remoto y su hora de inicio, otra conexión de red, y la ISP.
(3) ISS
ISS Internet Scanner es el mundo de soluciones de seguridad de la red los productos de mercado, a través de una detección de vulnerabilidad de red global e independiente de seguridad y análisis, y examinar sus debilidades y altos riesgos se dividen en tres niveles bajos, y puede generar una amplia gama de informes significativos . Ahora, la versión de pago del software ofrece más de ataque, y poco a poco avanzando en la dirección de la comercialización.
(4) Neso
Nessus es un potente escáner de seguridad a distancia, que tiene una fuerte capacidad de informe de salida, puede generar HTML, XML, LaTeX, y formatos de texto ASCII como el informe de seguridad, y hacer recomendaciones para cada problema de seguridad. sistema de software para el cliente / cortar modelo, del lado del servidor para llevar a cabo los controles de seguridad, el cliente utiliza para configurar el servidor de administración. También utilizado en el enchufe de servicio del lado del sistema en que permite a los usuarios realizar funciones específicas mediante la adición de plug-ins, puede ser más rápido y los controles de seguridad más complejos. Además de plug-in, además, Neso también proporciona a los usuarios una descripción de los tipos de ataque de lenguajes de script, para realizar pruebas adicionales de seguridad.
Descarga de software, extracto y completar la instalación. Instalado, confirman que en el archivo / etc / ld.so.conf la ruta de instalación mediante la adición de la biblioteca instalada file: / usr / local / lib. Si no, basta con añadir la ruta del archivo, a continuación, ejecute ldconfig, Neso que se puede encontrar en tiempo de ejecución el tiempo de ejecución. Neso archivo de configuración del Nessusd.conf, ubicado en / usr / local / etc / nessus / directorio. En circunstancias normales, no recomienda cambios en los contenidos. Tenga en cuenta, que sirve para crear una cuenta nessusd para su uso futuro en su aterrizaje exploración. Después de la realización de todos estos preparativos, con el fin de erradicar la identidad del usuario mediante el comando siguiente inicia el servidor: nessusd-d.
El cliente, el usuario puede especificar el equipo que ejecuta los servicios de Neso, el uso de escáneres de puerto y contenido de la prueba y la prueba del rango de direcciones IP. Neso se ha basado en el trabajo en varios subprocesos, por lo que el usuario también puede definir el número de hilos que trabajan de forma simultánea. De modo que los usuarios pueden establecer la configuración remota de los trabajos Neso. Es creado, haga clic en inicio puede iniciar la exploración. Cuando el escaneado completo, genera informes, el lado izquierdo de la ventana de las listas de todos los anfitriones está siendo escaneado, siempre y cuando el nombre de host con un clic del ratón en la ventana de la derecha se encontró mediante la exploración de la lista de vulnerabilidades de seguridad del host. Vulnerabilidades de seguridad y haga clic en el icono pequeño, que muestra la gravedad del problema y las causas de problemas y soluciones.
(5) Nikto
Nikto es un servidor web puede probar una variedad de proyectos de exploración de seguridad, se pueden escanear en más de 200 tipos de servidores de los más de 2000 tipos de archivos potencialmente peligrosos, CGI y otros problemas. También utiliza la biblioteca Whiske, pero generalmente se actualiza con más frecuencia que bigote.
(6) Bigote
Bigote es una falla del servidor HTTP muy bueno el software de escaneo, puede escanear un gran número de vulnerabilidades de seguridad conocidas, en particular, las peligrosas vulnerabilidad CGI, utiliza la biblioteca de programación Perl, podemos usarlo para crear su propio escáner HTTP.
(7) Xprobe
XProbe es un sistema operativo activo huellas herramientas, que pueden determinar el tipo de sistema operativo host remoto. XProbe contar con una base de datos de la firma donde se han encontrado difusa y una conjetura razonable para determinar el tipo de sistema operativo remoto, sistema operativo, utilizando el protocolo ICMP es su huella digital única. Cuando se usa, se supone que un puerto no está siendo utilizado, será puerto para el host de destino para enviar paquetes UDP más alto, el host de destino responderá a los paquetes ICMP y, a continuación, XProbe enviará el paquete para identificar otro sistema host de destino, con este software, el sistema operativo para juzgar a los demás con mucha facilidad.