Avant de lire cet article, nous avons également besoin de fonctionnalités de sécurité de base des systèmes Linux ont une certaine compréhension de la
système d'exploitation open-source Linux est un système d'exploitation libre, ce n'est pas seulement sûr, stable, à faible coût, et peu ont trouvé la propagation du virus, donc, le système d'exploitation Linux a été considéré comme le rival du système Microsoft Windows. Ces dernières années, avec le système d'exploitation Linux en popularité soutenue de notre pays, les ordinateurs de plus en plus de serveurs, postes de travail et personnelle a commencé à utiliser des logiciels Linux, bien sûr, fans de plus en plus commencé à devenir un endroit sûr du système d'exploitation solide d'intérêt. Le but de cet article est pour les utilisateurs aussi rapidement que sur Linux, les fonctionnalités des logiciels Hack boutique et l'utilisation à une compréhension plus détaillée et complète. Aujourd'hui, nous avons d'abord comprendre les types d'armes pour trouver de chair N.
Scanner de vulnérabilité est un hôte distant ou local de détecter automatiquement les failles de sécurité des procédures. Et les systèmes Windows, lorsque les pirates obtenir une liste de l'hôte cible, il peut utiliser des programmes Linux scanner à trouver des échappatoires à ces hôtes. De cette façon, un attaquant peut trouver une variété de ports TCP de la distribution de serveurs, services, services Web, la version du logiciel, et de ces services et les failles de sécurité. L'administrateur du système, si la capacité de détecter et de dissuader de tels actes, il peut réduire considérablement l'incidence de l'invasion. Selon les normes classiques, les scanners de vulnérabilités peuvent être divisées en deux types: les scanners de vulnérabilités hôte (Host Scanner), et un scanner de vulnérabilité de réseau (Network Scanner). un scanner de vulnérabilité d'accueil est en cours d'exécution dans le système des procédures locales pour tester les vulnérabilités du système d'analyse des vulnérabilités du réseau fait référence au réseau cible repose sur des procédures de détection à distance sur Internet et les vulnérabilités d'accueil, ce qui suit, nous sélectionnons quelques exemples typiques de logiciels et de l'introduction.
1, basé sur l'hôte logiciel utilitaire de numérisation
(1) sXid
sXid est un programme de surveillance du système, le téléchargement de logiciels, utilisez "make install" de commande pour installer. Il peut analyser le système de fichiers SUID et SGID et répertoires, car ces répertoires sont susceptibles d'être des programmes de porte dérobée, et peut être configuré pour présenter les résultats par e-mail. Le fichier de configuration d'installation par défaut / etc / sxid.conf, ce fichier est facile à lire les commentaires, qui définit la façon de travailler sxid la fréquence du cycle du fichier journal, fichier de log est par défaut / var / log / sxid. log. Pour des raisons de sécurité, nous pouvons configurer les paramètres fixés à sxid.conf immuable, en utilisant la commande chattr pour définir les fichiers sxid.log ne peut être ajouté. En outre, nous pouvons toujours utiliser sxid-K avec l'option-k pour vérifier, cette vérification est de manière très souple, non accusés dans le journal, question de l'e-mail. Le montre la figure 1.
Figure 1
(2) Dernière
rapports d'audit de sécurité Linux Tool (LSAT) est un scanner de sécurité locales et trouver la configuration par défaut dangereux, il peut générer. Dernier lieu par le développement Triode, principalement pour la libération Linux RPM basé sur la conception. Le logiciel téléchargé, compilé comme suit:
xzvf CNEDES $ tar dernière VERSION.tgz
CNEDES $ lsat version CD
CNEDES $. / configure
CNEDES $ make
Ensuite, exécutez en tant que root: root #. / Dernière. Par défaut, il va générer un rapport lsat.out nom. Pouvez également spécifier des options:
filename-O préciser le nom du fichier pour générer des rapports.
mode-V sortie verbeuse.
rapports-S ne s'impriment pas toutes les informations sur l'écran, uniquement pour générer.
mise en œuvre-R de la vérification RPM et l'inspection, afin d'identifier le contenu et les autorisations de fichier par défaut sont modifiés.
Dernier peut vérifier beaucoup de choses, principalement: Vérifiez l'installation RPM inutiles; vérifier l'inetd et xinetd et certains fichiers de configuration système, vérifiez l'SUID et SGID fichiers, vérifiez 777 fichiers, les processus d'inspection et de services; les ports ouverts et ainsi de suite. LAST méthode courante consiste à utiliser cron régulièrement appelé, et ensuite utiliser diff de comparer le présent rapport et indiqué précédemment différences, vous pouvez trouver les changements de configuration du système. Ce qui suit est le rapport d'une éprouvette:
****************************************
Il s'agit d'une liste des fichiers SUID sur le système:
/ Bin / ping
/ Bin / mount
/ Bin / umount
/ Bin / su
/ Sbin / pam_timestamp_check
/ Sbin / pwdb_chkpwd
/ Sbin / unix_chkpwd
****************************************
Il s'agit d'une liste des fichiers SGID / répertoires sur le système:
/ Racine / sendmail.bak
/ Racine / mta.bak
/ Sbin / netreport
****************************************
Liste des fichiers normaux dans / dev. MAKEDEV est ok, mais il
ne devrait pas être d'autres fichiers:
/ Dev / MAKEDEV
/ Dev / MAKEDEV.afa
****************************************
Ceci est une liste de fichiers accessible en écriture monde
/ Etc / cron.daily / backup.sh
/ Etc / cron.daily / update_CDV.sh
/ Etc / megamonitor / moniteur
/ Racine / e
/ Racine / pl / outfile
(3) Tiger GNU
C'est le logiciel de numérisation permet de détecter la sécurité de cette machine, à partir de Tiger TAMU (un ancien logiciel de balayage). Tiger procédure peut vérifier les éléments sont les suivants: les erreurs de configuration du système; dangereuse paramètres des autorisations; tous les utilisateurs peuvent écrire des fichiers; SUID et SGID fichiers; entrées Crontab; Sendmail et les paramètres FTP; mots de passe faibles ou mot de passe vide, les changements du système de fichiers. En outre, il a aussi exposé les faiblesses et de générer des rapports détaillés.
(4) Nabou
Nabou est un système qui peut être utilisé pour surveiller les changements dans le programme Perl, qui prévoit la vérification d'intégrité de fichiers et des comptes d'utilisateurs, etc, et toutes les données stockées dans la base de données. En outre, les utilisateurs peuvent également insérer du code Perl dans le fichier de configuration pour définir votre propre fonction d'effectuer des tests sur mesure, le fonctionnement est très simple.
(5) COPS
COPS est l'erreur de configuration de système de déclaration et d'autres informations, des contrôles sur la sécurité du système Linux. Les objectifs de test sont les suivants: fichiers, répertoires et fichiers de périphériques vérifier les permissions, les fichiers système importants du contenu, le format et l'autorité, l'existence du propriétaire de la racine du fichier SUID; de binaires système importants pour checksum CRC et vérifier pour voir si été modifiée; le FTP anonyme, les applications de réseau telles que l'inspection Sendmai. Est à noter que, COPS est des outils de suivi ne font pas la réparation proprement dite. Ce logiciel est plus adapté pour une utilisation avec d'autres outils, son avantage est préférable de trouver des vulnérabilités potentielles.
(6) stroboscopique
Strobe est un scanner de port TCP, qui peut enregistrer toutes les machines visées par les ports ouverts, en cours d'exécution très rapide. Il a été utilisé pour scanner le réseau local ouvert e-mail pour recevoir e-mail d'information des usagers. Une autre caractéristique importante de Strobe est qu'elle permet d'identifier rapidement préciser quels services sont en cours d'exécution sur la machine, les insuffisances d'une telle quantité relativement limitée d'informations.
(7) SATAN
Satan ne peut être utilisé pour aider les administrateurs système de détecter la sécurité de l'attaquant basé sur le réseau peut être utilisé pour rechercher des systèmes vulnérables. SATAN est destiné aux administrateurs système et un outil de sécurité. Toutefois, en raison de son ampleur, la facilité d'utilisation et sa capacité à numériser réseau distant, Satan ou à cause de la curiosité, sont utilisés pour repérer les hôtes vulnérables. SATAN se compose d'un réseau de questions de sécurité liées à la détection de la table, trouver le système spécifique à travers le réseau ou sous-réseau, et de faire rapport de ses conclusions. Il peut rechercher les faiblesses suivantes:
NFS - sans l'autorisation du programme ou le port d'exportation.
NIS --- fichier mot de passe d'accès.
Rexd - est bloqué par un pare-feu.
Sendmail - faiblesses.
FTP - FTP, problème de configuration de wu-ftpd ou TFTP.
Remote Shell accès - que ce soit interdit ou caché.
Windows X - que ce soit de fournir un accès illimité à l'hôte.
Modem - accès par ligne commutée via TCP aucune limite.
(8) IdentTCPscan
IdentTCPscan est un scanner plus spécialisé, vous pouvez exécuter sur différentes plates-formes. Software, spécifiez le port TCP à rejoindre le processus de l'identification du propriétaire de la fonction, qui est, elle a déterminé que le processus UID. Ce programme a une fonction très importante à travers le processus de découverte, UID, d'identifier rapidement mal configuré. Il court très vite, peuvent être considérés comme des intrus pour animaux de compagnie, est un fort, des outils tranchants.
2, basé sur le réseau d'utilité outil d'analyse
(1) Nmap
Nmap ou Network Mapper, c'est la Free Software Foundation Licence Publique Générale GNU (GPL) a publié au titre. Les fonctions de base: la détection d'un hôte est en ligne, scan de port d'accueil, les services fournis analyseur de réseau, de déterminer le système d'exploitation hôte. Après avoir téléchargé le logiciel, la mise en œuvre de configure, make et make install trois ordres, le code binaire nmap installé sur le système, vous pouvez effectuer une nmap.
Nmap est une syntaxe très simple, mais il est très puissant. Par exemple: Ping-scan commande "-SP", dans la définition de l'hôte cible et le réseau, l'peuvent être scannés. Si root pour exécuter Nmap, caractéristiques Nmap sera plus amélioré, parce que le super-utilisateur peut créer facile à utiliser de données personnalisée Nmap paquets. Nmap à usage unique pour numériser ou de numériser l'ensemble du réseau est très simple, juste avec un "/" masque l'adresse de destination peut être attribué à Nmap. En outre, Nmap permet l'utilisation de toutes les adresses de réseau spécifiques, tels que sous-réseau 192.168.100 .* est sélectionné pour scanner l'hôte.
Ping Scan. Intruder à utiliser Nmap pour balayer l'ensemble du réseau pour trouver des cibles. En utilisant l'option "-SP" commande, par défaut, Nmap pour scanner accueille chaque envoyer un message ICMP echo et un ACK TCP, l'hôte de n'importe quel type de réponse sera reçue Nmap. Montre la figure 2.
Figure 2
Nmap supporte différents types de scans de ports, TCP connect scan pouvez utiliser "-er" commande, en particulier à la figure 3:
Figure 3
Hidden numérisation (scan furtif). Dans l'analyse, si l'attaquant ne veulent pas que leurs informations à consigner dans le journal sur le système cible, TCP SYN scan peut vous aider. Utilisez "-ss" commande, vous pouvez envoyer un scan SYN système de détection ou de réseau. Figure 4.
Figure 4
Si un attaquant d'effectuer des analyses UDP, vous pouvez savoir quels ports sont ouverts sur l'UDP. Nmap envoie un octet O paquets UDP à chaque port. Si l'hôte n'est pas à rentrer au port, a déclaré le port est fermé. Figure 5.
Figure 5
l'identification du système d'exploitation. En utilisant l'option "-O" option, vous pouvez détecter le type de système d'exploitation à distance. Nmap envoie à l'hôte par le biais des différents types de signaux de détection, de réduire l'intervalle de recherche des systèmes d'exploitation. Montre la figure 6.
Figure 6
Ident scan. Les attaquants, comme pour trouver un certain processus pour les ordinateurs vulnérables, tels que la gestion d'une racine du serveur Web. Si la machine cible est en cours d'exécution identd, un attaquant peut "-I" option, les utilisateurs qui ont constaté que le démon http TCP de connexion. Nous numérisons un serveur Web Linux, par exemple, utilisez la commande suivante:
# Www.yourserver.com Nmap-st-p 80-I-O
En plus de ces analyses, Nmap offre de nombreuses options, il est essentiel pour Linux arme de nombreux magie de l'attaquant, par l'intermédiaire du logiciel, nous pouvons bien au courant du système, suivant ainsi l'attaque était une bonne base.
(2) p0f
p0f est très utile pour les attaques de réseau, il utilise des paquets SYN pour atteindre la technologie de détection passive du système d'exploitation, peut identifier avec précision le type de système cible. Et d'autres logiciels de numérisation, il n'envoie pas les données du système cible, accepte seulement les données de l'analyse du système cible. Par conséquent, un grand avantage: presque impossible à détecter, et p0f est conçu des outils d'identification du système, la base de données d'empreintes digitales est très détaillée et plus rapide mise à jour est également particulièrement adapté pour l'installation de la passerelle. Le téléchargement du logiciel, exécutez la commande suivante pour compiler et installer p0f:
# Tar zxvf p0f-1.8.2.tgz
# Make & & make install
p0f est très simple à utiliser, utilisez la commande suivante au démarrage du système, le système démarre automatiquement p0f d'identifier:
# P0f.init Cp / etc/init.d/p0f
# P0f Chkconfig sur
Puis, de temps à autre sur le p0f pouvez vous connecter analyse. Pour la facilité d'utilisation paquet p0f, fournit une analyse simple de la p0frep script, par laquelle un attaquant peut facilement trouver un type particulier de système exécutant l'adresse hôte distant. P0f peut également détecter les suivants: l'existence d'un pare-feu ou le déguisement, à la distance entre le système à distance et l'heure de début; autre connexion réseau, et d'ISP.
(3) de l'ISS
ISS Internet Scanner est le leader mondial de la sécurité des réseaux des produits du marché, grâce à une détection des vulnérabilités de sécurité réseau complète et indépendante et à l'analyse, et d'examiner leurs faiblesses et les risques élevés sont divisés en trois niveaux faibles, et peuvent générer une grande variété de rapports significatifs . Maintenant, la version taxe du logiciel offre plus d'attaque, et progressivement dans le sens de la commercialisation.
(4) Nessus
Nessus est un scanner de sécurité à distance puissant, qui a une forte capacité à la sortie des rapports, vous pouvez générer du HTML, XML, LaTeX, les formats de texte ASCII comme le rapport de sécurité, et de formuler des recommandations pour chaque problème de sécurité. logiciel pour le client / séparer modèle, côté serveur pour effectuer les contrôles de sécurité, le client a utilisé pour configurer le serveur de gestion. Également utilisé dans la prise de service du côté du système en permettant aux utilisateurs de remplir des fonctions spécifiques en ajoutant des plug-ins, peuvent être plus rapides et les contrôles de sécurité plus complexes. En plus de plug-in plus, Nessus fournit également aux utilisateurs une description des types d'attaque des langages de script, d'effectuer des tests de sécurité supplémentaires.
Le téléchargement du logiciel, d'extraire et de terminer l'installation. Installé, vérifiez que dans le fichier / etc / ld.so.conf en ajoutant chemin d'installation de la bibliothèque installée file: / usr / local / lib. Sinon, il suffit d'ajouter le chemin d'accès du fichier, puis lancez, que Nessus peut être trouvé lors de l'exécution du runtime. fichier de configuration Nessus pour la Nessusd.conf, situé dans / usr / local / etc / nessus / répertoire. Dans des circonstances normales, ne recommande pas de changements au contenu. Remarque, utilisé pour créer un compte nessusd pour une utilisation future lors d'un atterrissage de numérisation. Après l'achèvement de la préparation ci-dessus, afin d'ancrer l'identité de l'utilisateur avec la commande suivante démarre le serveur: nessusd-d.
Le client, l'utilisateur peut spécifier l'ordinateur qui exécute les services Nessus, l'utilisation de scanners de ports et du contenu du test et de tester la plage d'adresses IP. Nessus est elle-même basée sur le travail en multi-thread, afin que l'utilisateur peut également définir le nombre de threads qui fonctionnent simultanément. Alors que les utilisateurs peuvent mettre en place la configuration à distance de l'œuvre Nessus. Est mis en place, cliquez sur Démarrer, vous pouvez lancer la numérisation. Lorsque la numérisation est terminée, va générer des rapports, le côté gauche de la fenêtre répertorie tous les hôtes en cours de numérisation, aussi longtemps que le nom d'hôte avec un clic de souris dans la fenêtre de droite a été trouvée en analysant la liste des failles de sécurité de l'hôte. Les failles de sécurité et puis cliquez sur la petite icône, qui énumère la gravité du problème et les causes du problème et des solutions.
(5) Nikto
Nikto est un serveur web permet de tester une variété de projets de sécurité logiciel de numérisation, peuvent être numérisés dans plus de 200 types de serveurs de plus de 2000 types de fichiers potentiellement dangereux, CGI et d'autres problèmes. Il utilise également la bibliothèque Whiske, mais le plus souvent mis à jour plus fréquemment que les moustaches.
(6) Whisker
Moustache est un défaut du serveur HTTP très bon logiciel de numérisation, permet de numériser un grand nombre de vulnérabilités de sécurité connues, en particulier, celles vulnérabilité dangereuse CGI, il utilise la librairie de programmation Perl, nous pouvons l'utiliser pour créer leur propre scanner HTTP.
(7) xprobe
Xprobe est un système d'exploitation active des empreintes d'outils, qui peuvent déterminer le type de système d'exploitation hôte distant. Xprobe s'appuyer sur une base de données de signature avec la correspondance approximative et une proposition raisonnable pour déterminer le type de système d'exploitation à distance, système d'exploitation, en utilisant le protocole ICMP est son empreinte unique. Lorsqu'il est utilisé, il suppose que le port n'est pas utilisé, il sera le port de l'hôte cible d'envoyer des paquets UDP supérieurs, l'hôte cible répondre aux paquets ICMP, et puis, xprobe enverra le paquet d'identifier un autre système hôte cible, avec ce logiciel, il est facile de juger le système d'exploitation de l'autre.