また、一定の理解を持っているLinuxシステムの基本的なセキュリティ機能を必要とするこの記事を、我々が読む前に
Linuxオープンソースのオペレーティングシステムは、無料OSである、それは、安定した、低コスト安全ではないであり、いくつかはvirusのため、Linuxの操作系统が考えられているrivalマイクロソフトWindows Xitongですspread有見つける。近年では、我々の国の継続的な人気では、Linuxオペレーティングシステムで、として、複数のサーバー、ワークステーション、よりパーソナルコンピュータは、Linuxソフトウェアを使用し、もちろん生産開始、より多くのセキュリティの愛好家は、強力な、このオペレーティングシステム上に配置し始めている関心。本論文の目的は、ユーザーにLinux上として速い、ブティックハックソフトウェアの機能は、詳細かつ包括的な理解を使用します。今日は最初のNブロイラーを見つけるために武器の種類を理解する。
脆弱性スキャナは、リモートまたはローカルホストに自動的にセキュリティの脆弱性の手順を検出します。およびWindowsシステムでは、ハッカーがターゲットホストのリストを取得、彼はこれらのホストの抜け穴を見つけるためにいくつかのLinux scannerプログラムを使用できます。この方法では、攻撃者は、これらのサービスおよびセキュリティの脆弱性のTCPポートサーバーの配布、サービス、Webサービス、ソフトウェアバージョンの様々なをご覧ください。システム管理者は、能力を検出し、そのような行為を阻止する、それが大幅に浸潤の発生率を減らすことができますか。従来の基準によると、脆弱性スキャナは、2つのタイプ:ホストの脆弱性スキャナ(ホストスキャナ)、およびネットワークの脆弱性スキャナ(ネットワークスキャナ)に分けることができます。ホストの脆弱性スキャナは、システムの脆弱性をテストするためのローカルプロシージャのシステムで実行されます。ネットワーク脆弱性スキャナは、対象のネットワーク、ソフトウェア、導入のいくつかの典型的な例を選択してインターネットを介したリモート検出手順と、ホストの脆弱性は、次のに基づいてのことです。
1、ホストベースのスキャンソフトウェアユーティリティ
(1)のsxid
のsxidは、システムの監視プログラム、ソフトウェアのダウンロード、使用しての"make install"コマンドをインストールすることです。これには、suidされたsgidはファイルシステムをスキャンしてディレクトリを、これらのディレクトリは、バックドアプログラムする可能性があるため、と電子メールで結果を報告するように設定することができます。デフォルトのインストール設定ファイル/ etc / sxid.confは、このファイルのsxid方法仕事を定義してコメントを読んで簡単ですが、ログのサイクル周波数はファイル、ログファイルのデフォルトは/ var / log /ののsxidです。ログ。安全への配慮については、我々は、sxid.logファイルを設定するにはchattrコマンドを使用してのみ追加することができるパラメータを不変sxid.confに設定を構成できます。また、我々は常にチェックすると、- kオプションをのsxid - kを使用できますが、このチェックは非常に柔軟な方法は、ログには、問題のメールをご利用いただけますされていません。示され、図1。
図1
(2)ラスト
Linuxのセキュリティ監査ツールは、(最後の)ローカルセキュリティスキャナですと危険なデフォルトの設定を発見し、それが生成することが報告します。 LinuxのRPMのリリース設計に基づいて主に三極管の開発によって、最後に。ソフトウェアは、としてコンパイルダウンロード次:
cndes $タールxzvf最後VERSION.tgz
cndesする$ cd lsat -バージョン
cndes $。/ configureを
cndesは$作る
次に、rootとして実行:ルート#。/最後に。デフォルトでは、名前のlsat.outレポートを生成します。することもできますいくつかのオプションを指定する:
- Oをファイル名がレポートを生成するファイル名を指定します。
- Vの冗長出力モード。
- Sは、画面上の任意の情報を印刷しないだけで生成するために報告します。
RPMの検証と検査の- Rの実装は、変更された内容と既定のファイルのアクセス許可を識別します。
最後は、主に多くのことを調べることができます:無駄なRPMインストールを確認し、inetdのとxinetdといくつかのシステム構成ファイルをチェックし、SUIDさとsgidはファイルを確認、チェックを777ファイル、検査プロセスとサービス、開いているポートのように。ラスト一般的な方法はcronを定期的に呼ばれる使用して、とされ、その後と現在のレポートを比較以前の違いをreported差分を使用して、システムの構成のchangesを見つけることができます。以下は、試験片のレポート:
****************************************
これは、システム上のSUIDファイルのリストです:
/ binに/ pingを実行する
/ binに/マウント
/ビン/アンマウント
/ bin / suを
/ sbinに/タイムスタンプファイル
/ sbinに/ pwdb_chkpwd
/ sbinに/ unix_chkpwd
****************************************
これは、sgidはファイルシステム上の/ディレクトリの一覧です:
/ルート/ sendmail.bak
/ルート/ mta.bak
/ sbinに/ netreport
****************************************
/ dev中の通常のファイルのリスト。MAKEDEVは大丈夫ですが、
他のファイルする必要があります:
は/ dev / MAKEDEVを
は/ dev / MAKEDEV.afa
****************************************
これは、世界のリスト可能ファイルです
の/ etc / cron.dailyに/ backup.sh
の/ etc / cron.dailyに/ update_CDV.sh
の/ etc / megamonitor /監視
/ルート/電子
/ルート/ plの/出力ファイル
(3)GNUのタイガー
これはタムのタイガー(旧スキャンソフトからスキャンソフトウェアはこのマシンのセキュリティを検出することができます)です。タイガープログラムが以下の項目:システム構成エラーをチェックすることができます。安全のアクセス許可を、すべてのユーザーがファイルを書き込むことができます。SUIDさとsgidはファイル、crontabのエントリ; Sendmailとのftp設定;弱いパスワードまたは空のパスワード;システムファイルを変更します。また、それはまた弱点を露呈し、詳細なレポートを生成します。
(4)Nabou
Nabouは整合性チェックとユーザーID、ファイルなど提供するPerlプログラムの変更を監視するために使用することができるシステムであり、すべてのデータがデータベースに格納されます。また、ユーザーは、構成のカスタムテストを実行する独自の関数を定義するファイルをPerlコードを埋め込むことができます、操作は実際とても簡単です。
(5)は警官
COPSは、構成エラーは、Linuxシステムの安全性チェックシステムとその他の情報を報告している。テストの目的は:ファイル、ディレクトリ、デバイスファイルのアクセス許可のチェック、コンテンツの重要なシステムファイル、形式は、権威、SUIDさのルートとして所有者の存在ファイル; CRCチェックサムの重要なシステムのバイナリと確認してくださいかどうか変更されて、匿名FTPで、検査などSendmaiネットワークアプリケーション。つまり、COPSは、実際の修理をしない監視ツールであることに注意してください。このソフトウェアは、他のツールで使用するに適している、その利点は、潜在的な脆弱性を見つけるに優れています。
(6)ストロボ
ストロボは、すべてのマシン開いているポートを指定された記録可能なTCPポートスキャナ、非常に高速な実行している。もともとは無線LANを開いてスキャンするために使われた電子メールは、電子メールユーザー情報を取得します。ストロボのもう一つの重要な特徴は、それがすぐにどのようなサービスがマシン上で実行している指定特定することができますが、情報のような比較的限られた量の不備。
(7)サタン
サタンは、管理者がネットワークベースの攻撃のセキュリティを検出するシステムを助けるために脆弱なシステムの検索に使用することができます使用することができます。サタンはシステム管理者やセキュリティツールに最適です。しかし、その幅のため、使用できるリモートネットワークを、サタンや好奇心のためにスキャンするための、脆弱なホストを見つけるために使われます容易になります。サタンは、ネットワークのセキュリティ問題のテーブルの検出に関連する、ネットワークまたはサブネットを特定のシステムを見つけるには、構成され、その結果を報告する。これは、次の弱点を検索することができます:
NFSの - プログラムまたはポートエクスポートからの許可なし。
国情院---アクセスのパスワードファイルです。
Rexdは - ファイアウォールによってブロックされます。
Sendmailは - 弱点。
ftpの - のftp、wu - ftpdはまたはtftp設定の問題。
リモートシェルアクセス - かどうかは、禁止されるか、非表示。
Xウィンドウ - ホストへのアクセスを制限提供するかどうか。
モデム - TCP経由のダイヤルアップアクセス制限がない。
(8)IdentTCPscan
IdentTCPscanはより専門的なスキャナの場合は、様々なプラットフォーム上で実行することができます。ソフトウェアは、TCPポート関数の所有者は、特定のプロセスに参加するかを指定、そのプロセスのUIDを決定した。このプログラムは非常に重要な機能を持って検出プロセス、UIDを介して、すぐに誤って設定を識別します。それは非常に速く、侵入者がペットとして考えることができる、実行強く、シャープなツールです。
2、ネットワークベースのスキャンツールユーティリティ
(1)Nmapの
Nmapのまたはネットワークマッパー、それはフリーソフトウェア財団のGNU General Public Licenseは(GPL)の下でリリースされます。基本的な機能は:ホストの検出オンラインです。ホストポート、スニファネットワークサービスをスキャンを提供、ホストオペレーティングシステムを決定します。ソフトウェアをダウンロードした後、設定の実装は、作り、の3つの命令を、nmapのバイナリコードがシステムにインストールmake installをすると、Nmapを実行できます。
Nmapの構文は非常に簡単ですが、非常に強力です。例:Pingはコマンドをスキャン"- SP"は、ターゲットのホストやネットワークを定義する場合、スキャンすることができます。ルートは、Nmapを実行する場合は、スーパーユーザーが簡単にカスタムNmapのデータパケットを使用して作成することができますので、Nmapの機能がより強化された、されます。シングルユースNmapはスキャンするか、ネットワーク全体をスキャンし、単純な、"/マスク"宛先アドレスNmapのに割り当てることができるだけです。また、Nmapは192.168.100など.*サブネットは、ホストのスキャンに選択されて指定されたすべてのネットワークアドレスの使用を可能にする。
pingがスキャン。侵入者はネットワーク全体をスキャンするターゲットを見つけるためにNmapを使用する。は、デフォルトで"- SP"はコマンドを使用すると、Nmapは、ICMPを送信する各ホストをスキャンすると、TCP ACKが、Nmapを受信される応答のあらゆる種類のホストをエコーする。示され、図2。
図2
Nmapはポートスキャンの種類をサポートして、TCPは""コマンドは、特に図3に示すようにSTを使用できます:スキャン接続
図3
隠しは(ステルススキャン)スキャンします。攻撃者はターゲットシステム上のログに記録される自分の情報を望んでいない場合では、スキャンは、TCP SYNはあなたを助けることができるスキャン。使用して"- ss"のコマンドは、あなたは、SYNが検出システムやネットワークをスキャンし送信することができます。図4。
図4
攻撃者は、UDPスキャンを実施する場合は、どのポートがUDPで開いている知ることができます。 NmapのはOバイト、各ポートにUDPパケットを送信します。ホストがポートに戻りますれていない場合、ポートは閉じていると述べた。図5。
図5
オペレーティングシステムの識別。 "- O"のオプションを使用する場合は、リモートオペレーティングシステムの種類を検出することができます。 Nmapはホストに検出信号の種類によって、オペレーティングシステムの検索範囲を狭める送信されます。示され、図6。
図6
identはスキャンします。攻撃者はこのようなWebサーバーのルートを実行した脆弱なコンピュータ、特定のプロセスを見つけることが好きです。ターゲットマシンがidentdをユーザーがTCP接続のhttpデーモンを発見した、攻撃することができます"- I"のオプションを実行している場合。我々は、例えば、LinuxのWebサーバーをスキャン、次のコマンドを使用して:
#Nmapの- stの- pの80のI - Oのwww.yourserver.com
これらのスキャンに加えて、Nmapは多くのオプションを提供し、それが不可欠なソフトウェアを介して攻撃者の多くのLinux魔法武器、です、我々はシステムのため、攻撃、次の注意することができます良好な基礎を築く。
(2)p0f
p0fは非常にネットワーク攻撃に便利です、それは受動的なオペレーティングシステムの検出技術を達成するために、正確にターゲットシステムのタイプを識別することができますSYNパケットを使用します。そして、他のスキャンソフトウェアは、ターゲットシステムのデータには、単にターゲットシステムの分析からのデータを受け入れる任意の送信しません。したがって、大きな利点は:ほとんど不可能検出されると、p0fは、指紋のデータベースは非常に詳細かつ迅速にも、特にゲートウェイのインストールに適して更新してシステム同定ツールを設計されます。ソフトウェアはダウンロード、次のコマンドをコンパイルし、p0fをインストールする実行:
#ターzxvf p0f - 1.8.2.tgz
#&メイクをインストールする
p0fは非常に簡単に使えますが、システムの起動時に次のコマンドを使用すると、システムは自動的にp0fを識別するために開始:
#cpはp0f.init / etc/init.d/p0f
#chkconfigのp0fに
次に、p0fに随時に分析をログに記録することができます。使いやすさについては、p0fのパッケージには、スクリプトp0frepの攻撃者が容易にシステムの特定の種類のリモートホストのアドレスを実行して見つけることができる簡単な分析を提供します。 P0fまた、次の:ファイアウォールの有無変装を検出することができます。リモートシステムとその開始時刻との間の距離に、他のネットワーク接続、およびISPの。
(3)国際宇宙ステーション
ISSのInternet Scannerは、世界有数のネットワークセキュリティ製品市場は、包括的かつ独立したネットワークセキュリティの脆弱性の検出と分析を通じて、され、その弱点と高く、低悪性度の3種類のリスクを調べるには、意味のあるレポートの広い範囲を生成することが。今、ソフトウェアの手数料のバージョンは、より攻撃を提供しています徐々に実用化の方向に移動します。
(4)ネッソス
Nessusは強力な能力出力を報告している強力なリモートセキュリティスキャナ、れている場合は、ASCIIテキスト形式の安全レポートなど、HTMLやXML、LaTeXを生成することができます各セキュリティ問題の提言を行う。のクライアントのためのソフトウェア、システムの安全性チェックを、クライアント管理サーバを設定するために使用を実施するためのモデル、サーバー側を断つ/。また、ユーザーはより速く、より複雑なセキュリティチェックすることができますプラグインを追加することによって、特定の機能を実行することができるサービス側のシステムのプラグインで使用されます。またへ加えて、Nessusはまた、スクリプト言語の攻撃の種類の説明と、追加の安全性試験を実施するユーザに提供します差し込みます。
ソフトウェアはダウンロード、解凍し、インストールを完了します。インストールされて、ことを確認/ etc / ld.so.confファイルにファイルをインストールライブラリのインストールパスを追加します:/ usr / local / libにします。ていない場合は、単にファイルのパスをし、ldconfigを実行する追加すると、そのNessusは、実行時にランタイムを見つけることができます。 Nessusd.confは、/ usr /ローカルの/ etc / Nessusは/ディレクトリにあるNessusの設定ファイルです。通常の状況下で、内容を変更することをお勧めしていません。 、将来の使用の着陸は、スキャンnessusdに関するアカウントを作成するために使用してください。サーバー:起動上記の準備が完了ため、次のコマンドを使ってユーザーの身元をルートにした後nessusdの- dを。
クライアントは、ユーザーがマシンをNessusのサービスを実行して指定することができます、ポートスキャナおよびテストの内容とIPアドレスの範囲をテストを使用できます。 Nessusは自身の作業に基づいてマルチスレッドは、ユーザーが同時に動作するスレッドの数を設定することができます。だからユーザーはNessusの仕事のリモート構成を設定できます。設定されて、をクリックしてスタートでは、スキャンを開始することができます。スキャンするときに完了すると、ははレポートを生成しますと、ウィンドウの左側の側はとして長い右のウィンドウでマウスのクリックでホスト名として、ホストのセキュリティ脆弱性のリストをscanningによって発見されたall hostsをスキャンされてlists。セキュリティの脆弱性をクリック問題の重大度と問題の原因と解決方法を示します小さいアイコンを、。
(5)Niktoは
Niktoはスキャナソフトウェアをテストするセキュリティ上のさまざまなプロジェクトには、Webサーバーのサーバーの200種類以上の潜在的に危険なファイルは、CGIやその他の問題の2000以上の種類の中からスキャンすることです。また、しかし、ウィスキーのライブラリを使用して通常より頻繁にウィスカーよりも更新しました。
(6)ウィスカー
ウィスカーは非常に良いHTTPサーバー欠陥は、ソフトウェアをスキャンし、特定の既知のセキュリティの脆弱性の数が多い、スキャンすることができます、これらの危険のCGIの脆弱性が、それはPerlプログラミングライブラリを使用し、我々は自分自身のHTTPスキャナを作成するために使用できます。
(7)xprobeに関する
xprobeのは、リモートホストのオペレーティングシステムのタイプを決定することができますアクティブなオペレーティングシステムツールを指紋です。 xprobeのは、あいまい一致、合理的な推測を使用した署名データベース上のリモートオペレーティングシステムのタイプを決定するために、オペレーティングシステムは、ICMPプロトコルを使用して依存して独自の指紋です。使用される場合、そのポートがターゲットホストに高いUDPパケットを送信するために、それはポートを使用されていないと仮定、ターゲットホストは、ICMPパケットに応答し、その後、xprobeのは、これでパッケージを他のターゲットホストシステムを識別するために送信されますソフトウェアは、オペレーティングシステムは非常に簡単にお互いを判断する。