Prima di leggere questo articolo, abbiamo bisogno anche di funzionalità di protezione di base dei sistemi Linux hanno una certa comprensione della
Open-source del sistema operativo Linux è un sistema operativo libero, non solo è sicuro, stabile, a basso costo, e qualche trovata la diffusione del virus, dunque, il sistema operativo Linux è stato considerato il rivale di sistema di Windows di Microsoft. Negli ultimi anni, con il sistema operativo Linux in popolarità ha continuato il nostro Paese, come i computer più server, workstation e personal iniziato ad usare il software Linux, naturalmente, i tifosi sempre più cominciò a ottenere un posto sicuro sistema operativo forte interesse. Lo scopo di questo lavoro è per gli utenti veloce come su Linux, boutique offre software Hack e utilizzare una comprensione più dettagliata ed esauriente. Oggi abbiamo prima capire i tipi di armi a trovare polli da carne N.
Vulnerability Scanner è un host remoto o locale di rilevare automaticamente le vulnerabilità di sicurezza delle procedure. E dei sistemi Windows, quando gli hacker ottenere un elenco di host di destinazione, può utilizzare qualche programma Linux scanner per trovare scappatoie in questi host. In questo modo, un utente malintenzionato può trovare una varietà di porte TCP la distribuzione di server, servizi, servizi Web, versione del software, e di questi servizi e vulnerabilità di sicurezza. L'amministratore di sistema, se la capacità di individuare ed impedire tali atti, può notevolmente ridurre l'incidenza di invasione. Secondo gli standard convenzionali, scanner di vulnerabilità possono essere divisi in due tipi: scanner di vulnerabilità host (Host lettore) e scanner di vulnerabilità di rete (Network Scanner). scanner di vulnerabilità Host è in esecuzione nel sistema delle procedure locali per testare le vulnerabilità del sistema; Vulnerability Scanner di rete si riferisce alla rete bersaglio in base alle procedure di rilevamento Internet remoto e vulnerabilità di accoglienza, di seguito, we selezionare some typical esempi di software e introduction.
1, host-based il software di scansione di utilità
(1) sXid
sXid è un programma di monitoraggio di sistema, download di software, "make install" comando per installare. Si può eseguire la scansione del file di sistema suid e sgid e directory, perché queste directory possono essere programmi backdoor, e può essere impostato per riportare i risultati via e-mail. L'installazione di file di configurazione / etc / sxid.conf, questo file è facile da leggere i commenti, che definisce il modo di lavorare sxid, la frequenza del ciclo del file di log, file di log predefinito è / var / log / sxid. log. Per motivi di sicurezza, possiamo configurare i parametri di sxid.conf immutabile, utilizzando il comando chattr sxid.log di impostare i file possono essere aggiunti solo. Inoltre, possiamo sempre utilizzare sxid-K con l'opzione-k per verificare, questo controllo è un modo molto flessibile, non a carico del registro, il problema di posta elettronica. Mostrato nella Figura 1.
Figura 1
(2) LAST
relazioni Linux Security Auditing Tool (LAST) è uno scanner di sicurezza locale e ha trovato la configurazione di default a rischio, che può generare. LAST dallo sviluppo Triode, principalmente per il rilascio di Linux basate su RPM sul disegno. Software scaricato, compilato come segue:
tar xzvf cndes $ last-VERSION.tgz
cndes $ cd lsat-versione
cndes $. / configure
cndes $ make
Quindi eseguire come root: root #. / Ultimo. Per impostazione predefinita, genera un rapporto lsat.out nome. È inoltre possibile specificare alcune opzioni:
nome del file-O specificare il nome del file per creare relazioni.
-V verbose mode uscita.
relazioni-S non stampare tutte le informazioni sullo schermo, solo per generare.
attuazione-R della verifica RPM e di ispezione, di identificare il contenuto e le autorizzazioni predefinite di file sono cambiati.
LAST può controllare molte cose, principalmente: Controlla inutile installazione RPM; controllare la inetd e xinetd e alcuni file di configurazione del sistema, controllare i file SUID e SGID, controllare 777 files, processi di controllo e dei servizi; porte aperte e così via. ultimo metodo comune è quello di usare cron regolarmente chiamato, e quindi utilizzare diff confrontare la presente relazione e in precedenza segnalato le differenze, è possibile trovare i cambiamenti del sistema di configurazione. Di seguito è riportato il resoconto di un pezzo di prova:
****************************************
Si tratta di un elenco di file SUID sul sistema:
/ Bin / ping
/ Bin / mount
/ Bin / umount
/ Bin / su
/ Sbin / pam_timestamp_check
/ Sbin / pwdb_chkpwd
/ Sbin / unix_chkpwd
****************************************
Si tratta di un elenco di file SGID / directory sul sistema:
/ Root / sendmail.bak
/ Root / mta.bak
/ Sbin / netreport
****************************************
Elenco di tutti i file in / dev. MAKEDEV è ok, ma c'è
dovrebbero esserci altri file:
/ Dev / MAKEDEV
/ Dev / MAKEDEV.afa
****************************************
Questa è una lista di file scrivibili
/ Etc / cron.daily / backup.sh
/ Etc / cron.daily / update_CDV.sh
/ Etc / megamonitor / monitor
/ Root / e
/ Root / pl / outfile
(3) Tiger GNU
Questo è il software di scansione in grado di rilevare la sicurezza di questa macchina, da Tiger's TAMU (un vecchio software di scansione). Tiger programma può controllare i seguenti elementi: Errore di configurazione di sistema; permessi non sicuri, tutti gli utenti possono scrivere file, file SUID e SGID, voci di crontab, Sendmail e le impostazioni ftp; password deboli o una password vuota, le modifiche di file di sistema. Inoltre, ha anche esposto i punti deboli e di generare report dettagliati.
(4) Nabou
Nabou è uno sistema che può essere utilizzato per monitorare i cambiamenti nel programma Perl, che prevede il controllo di integrità di file e gli account utente, ecc, e all i dati memorizzati nel database. Inoltre, gli utenti possono anche inserire codice Perl nel file di configurazione per definire la propria funzione eseguire test personalizzati, il funzionamento è in realtà molto semplice.
(5) COPS
COPS è l'errore di configurazione del sistema di notifica e altre informazioni, sui controlli di sicurezza del sistema linux. Gli obiettivi di prova sono: file, directory e file del dispositivo di controllo delle autorizzazioni, i file di sistema importante del contenuto, il formato e l'autorità, l'esistenza del proprietario, come la radice del file SUID; di file binari di sistema importanti per la checksum CRC e controllare per vedere se stato modificato; su FTP anonimo, applicazioni di rete Sendmai come ispezione. Osservato che, COPS è di strumenti di monitoraggio non fare la riparazione vera e propria. Questo software è più adatto per l'uso con altri strumenti, il suo vantaggio è meglio trovare le potenziali vulnerabilità.
(6) strobe
Strobe è uno scanner di porta TCP, che può registrare tutte le macchine specificate le porte aperte, correre molto velocemente. E 'stato originariamente utilizzato per eseguire la scansione del aperto LAN e-mail per ricevere e-mail le informazioni dell'utente. Un'altra importante caratteristica di Strobe è che si può identificare rapidamente specificare quali servizi sono in esecuzione sulla macchina, l'inadeguatezza di una tale quantità relativamente limitata di informazioni.
(7) Satana
Satana può essere utilizzato per aiutare gli amministratori di sistema di rilevamento di sicurezza l'attaccante basati sulla rete può essere utilizzata per ricerca di sistemi vulnerabili. Satana è progettato per gli amministratori di sistema e strumento di sicurezza. Tuttavia, a causa della sua ampiezza, facilità d'uso e la capacità di eseguire la scansione di rete remoto, Satana o per curiosità, vengono utilizzati per individuare gli host vulnerabili. SATAN è costituito da una rete di problematiche di sicurezza connesse al rilevamento della tabella, trovare il sistema specifico attraverso la rete o subnet, e presentarne i risultati. E 'possibile cercare le seguenti carenze:
NFS - senza il permesso del programma o porta da esportare.
NIS --- accesso ai file password.
Rexd - è bloccata da un firewall.
Sendmail - debolezze.
FTP - ftp, il problema di configurazione di wu-ftpd o TFTP.
Remote Shell accesso - sia che si tratti vietati o nascosti.
finestre X - se fornire un accesso senza restrizioni per l'host.
Modem - l'accesso remoto tramite TCP senza limiti.
(8) IdentTCPscan
IdentTCPscan è uno scanner più specializzato, è possibile eseguire su piattaforme diverse. Software, specificare la porta TCP ad aderire al processo di identificazione del titolare della funzione, cioè, stabilito che il processo di UID. Questo programma ha una funzione molto importante è il processo di scoperta, UID, identificare velocemente configurati correttamente. Corre molto veloce, può essere considerato come intrusi da compagnia, è un forte, strumenti taglienti.
2, network-based strumento di scansione di utilità
(1) Nmap
Nmap o Network Mapper, è la Free Software Foundation GNU General Public License (GPL) rilasciato sotto. Le funzioni di base: l'individuazione di un host è online; scansione porta host, i servizi di sniffer di rete forniti; determinare il sistema operativo host. Dopo aver scaricato il software, l'attuazione di configure, make e make install tre ordini, il codice binario nmap installato sul sistema, è possibile eseguire un nmap.
Nmap sintassi è molto semplice, ma è molto potente. Per esempio: ping-comando di scansione è "-SP", nel definire l'host di destinazione e di rete, la si può acquisire. Se root per eseguire Nmap, caratteristiche Nmap sarà più rafforzata, perché il super-utente può creare facile da utilizzare dati personalizzati Nmap pacchetti. Uso singola Nmap per eseguire la scansione o la scansione dell'intera rete è semplice, solo con un "/ maschera" l'indirizzo di destinazione può essere assegnato ad Nmap. Inoltre, Nmap permette l'utilizzo di tutti gli indirizzi di rete specifici, come 192.168.100 .* sottorete è l'host selezionati per la scansione.
Ping Scan. Intruder di usare Nmap per la scansione dell'intera rete per trovare obiettivi. Utilizzando il comando "-SP, di default, Nmap per la scansione di ogni host invia un ICMP echo e un ACK TCP, l'host di qualsiasi tipo di risposta sarà ricevuta Nmap. Mostrato nella Figura 2.
Figura 2
Nmap supporta diversi tipi di port scan, connessione TCP scansione può usare "," comando ST, in particolare nella figura 3 qui sotto:
Figura 3
Hidden scansione (Scanning Stealth). Nella scansione, se l'aggressore non vogliono che i loro dati da registrare nel registro del sistema di destinazione, il protocollo TCP SYN scansione ti può aiutare. Usare "comando"-SS, è possibile inviare un SYN scan sistema di rilevazione o di rete. Figura 4.
Figura 4
Se un utente malintenzionato di effettuare scansioni UDP, si può sapere quali porte sono aperte sul UDP. Nmap invia un pacchetto UDP byte O per ogni porta. Se l'host non è fino a tornare in porto, ha detto che porta è chiusa. Figura 5.
Figura 5
sistema di identificazione di funzionamento. Utilizzando l'opzione "-O, è possibile rilevare il tipo di telecomando del sistema operativo. Nmap invia all'host attraverso l'individuazione di diversi tipi di segnali, restringendo il campo di ricerca dei sistemi operativi. Mostrato nella Figura 6.
Figura 6
Ident scansione. Gli aggressori, come trovare un certo processo per i computer vulnerabili, come eseguire un root server WEB. Se il computer di destinazione è in esecuzione identd, un aggressore può "-I" opzione, che gli utenti hanno scoperto che il demone http connessione TCP. Abbiamo la scansione di un server Linux WEB, ad esempio, utilizzare il seguente comando:
# Www.yourserver.com nmap-sT-p 80-I-O
In aggiunta a queste scansioni, Nmap offre molte opzioni, è indispensabile per molti arma Linux magia del malintenzionato, attraverso il software, si può ben a conoscenza del sistema, seguendo così l'attacco c'era una buona base.
(2) p0f
p0f è molto utile per gli attacchi alla rete, utilizza i pacchetti SYN per raggiungere il passivo di rilevamento del sistema operativo tecnologia, poter identificare esattamente il tipo di sistema di destinazione. E altri software di scansione, non inviare ai dati del sistema di destinazione, accetta solo i dati dall'analisi del sistema di destinazione. Pertanto, un grande vantaggio: quasi impossibile da rilevare, ed è progettato p0f strumenti per l'identificazione del sistema, la banca dati delle impronte digitali è molto dettagliata e veloce aggiornamento è inoltre particolarmente adatto per l'installazione nel gateway. Software per il download, eseguire il seguente comando per compilare e installare p0f:
# Tar zxvf p0f-1.8.2.tgz
# Make & & make install
p0f è molto semplice da usare, utilizzare il seguente comando al avvio del sistema, il sistema si avvia automaticamente p0f di individuare:
# P0f.init Cp / etc/init.d/p0f
# Chkconfig su p0f
Poi, di volta in volta sulla p0f può accedere analisi. Per facilità d'uso, pacchetto p0f fornisce una semplice analisi del p0frep script, attraverso la quale un aggressore può facilmente trovare un particolare tipo di sistema che esegue l'indirizzo di host remoto. P0f anche in grado di rilevare i seguenti: l'esistenza di un firewall o un travestimento, alla distanza tra il sistema remoto e il suo tempo di inizio; altra connessione di rete, e ISP.
(3) ISS
ISS Internet Scanner è il leader mondiale nella sicurezza di rete prodotti di mercato, attraverso una completa e indipendente rilevazione di vulnerabilità di sicurezza di rete e di analisi ed esaminare i loro punti deboli, e meno del rischio è suddivisa in tre livelli, e può generare una vasta gamma di report significativi . Ora, la versione a pagamento del software fornisce ulteriori attacchi, e gradualmente muovendo nella direzione della commercializzazione.
(4) Nessus
Nessus è un potente scanner a distanza di sicurezza, che ha una forte capacità di relazione in uscita, è possibile generare HTML, XML, LaTeX, e formati di testo ASCII, come rapporto di sicurezza, e di formulare raccomandazioni per ogni problema di sicurezza. sistema software per il client / server modello, sul lato server per effettuare i controlli di sicurezza, il client utilizzato per configurare il server di gestione. Inoltre utilizzato in servizio sul lato plug-in di sistema che permette agli utenti di eseguire funzioni specifiche con l'aggiunta di plug-in, può essere più veloce e controlli di sicurezza più complessi. Oltre ai plug-in, inoltre, Nessus fornisce inoltre agli utenti con una descrizione dei tipi di attacco di linguaggi di scripting, per condurre test di sicurezza supplementari.
Software per il download, estrarre e completare l'installazione. Installato, confermano che nel file / etc / ld.so.conf aggiungendo percorso di installazione della libreria installata file: / usr / local / lib. In caso contrario, basta aggiungere il percorso del file, quindi eseguire ldconfig, che Nessus può essere trovato in fase di esecuzione del runtime. Nessus file di configurazione per il Nessusd.conf, che si trova in / usr / local / etc / Nesso / directory. In circostanze normali, consiglia di non modificare il contenuto. Nota, utilizzato per creare un account nessusd per un utilizzo futuro al momento dello sbarco scansione. Dopo il completamento dei preparativi sopra, al fine di radicare l'identità dell'utente con il comando seguente avvia il server: nessusd-d.
Il cliente, l'utente può specificare la macchina in funzione dei servizi Nessus, l'uso di port scanner e il contenuto di prova e prova l'intervallo di indirizzi IP. Nessus stessa si basa sul lavoro in multi-threaded, così l'utente può anche impostare il numero di thread che lavorano contemporaneamente. In modo che gli utenti possono impostare la configurazione remota dei lavori Nesso. È impostato, avviare clic è possibile avviare la scansione. Quando la scansione è completata, sarà generare report, la finestra sulle liste di sinistra in corso di scansione tutti gli host, a condizione che il nome host con un click del mouse nella finestra a destra è stato trovato da scansione della lista di vulnerabilità di sicurezza dell'ospite. Le vulnerabilità di sicurezza e quindi fare clic sulla piccola icona, che elenca la gravità del problema e le cause dei problemi e delle soluzioni.
(5) Nikto
Nikto è un server web può verificare una serie di progetti di sicurezza software di scansione, possono essere acquisiti in oltre 200 tipi di server per più di 2000 tipi di file potenzialmente pericolosi, CGI e altri problemi. Utilizza anche Whiske biblioteca, ma di solito aggiornato più frequentemente di Whisker.
(6) Whisker
Baffo è un ottimo difetto server HTTP software di scansione, può esplorare un gran numero di vulnerabilità note, in particolare, quelle pericolose vulnerabilità CGI, si utilizza la libreria di programmazione Perl, lo possiamo utilizzare per creare i loro propri scanner HTTP.
(7) Xprobe
XProbe è un sistema operativo attivo strumenti di rilevamento delle impronte digitali, che possono determinare il tipo di sistema operativo host remoto. XProbe contare su un database di firme con la corrispondenza fuzzy e una stima ragionevole per determinare il tipo remoto del sistema operativo, il sistema operativo, utilizzando il protocollo ICMP è la sua impronta digitale unica. Quando viene usato, si presuppone che il porto non è in uso, si porta per l'host di destinazione per inviare pacchetti UDP superiori, l'host di destinazione risponderà ai pacchetti ICMP, e poi, XProbe invierà il pacchetto di individuare un altro sistema host di destinazione, con questo software, il sistema operativo di giudicare l'altro molto facilmente.