Vóór het lezen van dit artikel, we moeten ook elementaire echtheidskenmerken van Linux-systemen hebben een bepaalde kennis van
Open-source besturingssysteem Linux is een vrij besturingssysteem, is het niet alleen veilig, stabiel, lage kosten, en weinigen vinden het virus verspreiden, dus Linux besturingssysteem is beschouwd als de concurrent van Microsoft Windows-systeem. In de afgelopen jaren, met het Linux besturingssysteem in ons land bleef de populariteit, omdat meer en meer servers, werkstations en personal computers begonnen met Linux-software, uiteraard, meer en meer fans begonnen naar een veilige plaats te krijgen sterke besturingssysteem belang. Het doel van deze paper is om gebruikers zo snel als op Linux, boetiek Hack softwarefuncties en gebruik een meer gedetailleerde en uitgebreide kennis. Vandaag hebben we eerst begrijpen de soorten van wapens naar N vleeskuikens te vinden.
Kwetsbaarheid Scanner is een externe of lokale host automatisch detecteren beveiligingsproblemen procedures. En Windows-systemen, toen hackers een lijst van de doel host te krijgen, kan hij gebruik maken sommige Linux-scanner programma om achterpoortjes te vinden in deze machines. Op deze manier kan een aanvaller op een verscheidenheid van TCP-poorten van de server distributie, diensten, Web services, software versie, en deze diensten en beveiligingsrisico's. De systeembeheerder, indien de mogelijkheid om op te sporen en te ontmoedigen dergelijke handelingen, kan sterk verminderen van de incidentie van een invasie. Volgens de conventionele normen, kan de kwetsbaarheid van scanners worden onderverdeeld in twee soorten: de kwetsbaarheid van scanners host (Host Scanner), en netwerk vulnerability scanner (Network Scanner). Host vulnerability scanner actief is in het systeem van de lokale procedures voor het testen van kwetsbaarheden in het systeem, netwerk vulnerability scanner verwijst naar het netwerk dat gebaseerd is op de internetsite van detectie op afstand procedures en gastheer kwetsbaarheden, de volgende, selecteren we enkele typische voorbeelden van software en de introductie.
1, host-based scanning software utility
(1) sxid
sxid is een systeem van toezicht-programma, software downloads, gebruik dan "make install"-commando te installeren. Het kan scannen van het systeem SUID en SGID bestanden en directory's, omdat deze mappen zijn waarschijnlijk backdoor programma, en kan worden ingesteld om resultaten te rapporteren via e-mail. De standaard installatie configuratie bestand / etc / sxid.conf, dit bestand is gemakkelijk om de opmerkingen, die de werkzaamheden wordt omschreven sxid manier lezen, de cyclus frequentie van het logbestand; logboekbestand standaard is / var / log / sxid. log. Voor de veiligheid overwegingen, kunnen we het configureren van de parameters op sxid.conf onveranderlijk, met behulp van de chattr commando om bestanden in te stellen sxid.log kunnen alleen worden toegevoegd. Bovendien, we kunnen altijd sxid-k-k gebruik met optie om te controleren, is deze controle zeer flexibele manier, niet ten laste van het logboek, de uitgifte van de e-mail. Afgebeeld in figuur 1.
Figuur 1
(2) Laatste
Linux Security Auditing Tool (laatste) is een lokaal veiligheids-scanner en vond onveilige standaardconfiguratie, kan rapporten genereren. LAST door de Triode ontwikkeling, vooral voor de Linux RPM release op basis van het ontwerp. Software gedownload, als volgt samengesteld:
cndes $ tar xzvf laatste VERSION.tgz
cndes lsat $ cd-versie
cndes $. / configure
cndes $ make
Dan start je als root: root #. / Last. Door gebrek, zal het genereren van een naam lsat.out verslag. Kan ook een aantal opties specificeren:
-O bestandsnaam te specificeren op de bestandsnaam om rapporten te genereren.
V-verbose output-modus.
-S print geen informatie op het scherm, alleen om rapporten te genereren.
R-uitvoering van de RPM-controle en inspectie, de inhoud en de standaard bestandspermissies te identificeren, zijn veranderd.
LAST kunt veel dingen, met name: Controleer nutteloze RPM installatie; controleer de inetd en xinetd en sommige systeem configuratie bestanden, controleert u de SUID en SGID bestanden; check 777 bestanden; inspectie processen en diensten; open poorten en ga zo maar door. Laatste gemeenschappelijke methode is het gebruik maken van cron regelmatig genoemd, en gebruik vervolgens diff vergelijk het huidige rapport en de eerder gerapporteerde verschillen, kunt u wijzigingen in de configuratie van het systeem. Het volgende is het verslag van een proefstuk:
****************************************
Dit is een lijst van de SUID-bestanden op het systeem:
/ Bin / ping
/ Bin / mount
/ Bin / umount
/ Bin / su
/ Sbin / pam_timestamp_check
/ Sbin / pwdb_chkpwd
/ Sbin / unix_chkpwd
****************************************
Dit is een lijst van SGID bestanden / mappen op het systeem:
/ Root / sendmail.bak
/ Root / mta.bak
/ Sbin / netreport
****************************************
Lijst van normale bestanden in / dev. MAKEDEV is ok, maar er
mogen geen andere bestanden:
/ Dev / MAKEDEV
/ Dev / MAKEDEV.afa
****************************************
Dit is een lijst van werelderfgoed bestanden schrijfbaar
/ Etc / cron.daily / backup.sh
/ Etc / cron.daily / update_CDV.sh
/ Etc / megamonitor / monitor
/ Root / e
/ Root / pl / outfile
(3) GNU Tiger
Dit is de software voor het scannen kan de veiligheid van deze machine op te sporen, uit Tamu Tiger (een oud-scanning software). Tiger-programma kunt de volgende items: systeem fout in de configuratie; onveilige permissies; alle gebruikers bestanden kunnen schrijven; SUID en SGID bestanden; Crontab inzendingen; Sendmail en ftp-instellingen; zwak wachtwoord of een leeg wachtwoord; systeem bestand wijzigt. Bovendien, ook de zwakke punten bloot en het genereren van gedetailleerde verslag.
(4) Nabou
Nabou is een systeem dat kan worden gebruikt om wijzigingen in de Perl programma, dat voorziet van de bestanden te controleren en user accounts, enz. te controleren, en alle gegevens die zijn opgeslagen in de database. Daarnaast kunnen de gebruikers ook Perl-code insluiten in het configuratie bestand naar uw eigen functie definieert aangepaste proeven uit te voeren, de werking is eigenlijk heel eenvoudig.
(5) COPS
COPS is de fout in de configuratie systeem van rapportage en andere informatie, op de Linux-systeem veiligheidscontroles. De test doelstellingen zijn: bestand, map en het apparaat bestanden machtigingen te controleren; belangrijke systeembestanden van de inhoud, het formaat en het gezag, het bestaan van de eigenaar als de wortel van de SUID-bestand; belangrijke systeem binaries voor CRC checksum en te controleren om te zien of zijn gewijzigd; op anonieme FTP, Sendmai netwerk toepassingen zoals inspectie. Worden opgemerkt dat, COPS is monitoring tools niet doen de eigenlijke reparatie. Deze software is meer geschikt voor gebruik met andere instrumenten, in haar voordeel is beter in het vinden van potentiële kwetsbaarheden.
(6) flitser
Strobe is een TCP poort scanner, die een lijst van alle machines in de open poorten, werkt zeer snel. Het werd oorspronkelijk gebruikt om de LAN open scannen van e-mail te krijgen e-mail informatie voor de gebruiker. Een ander belangrijk kenmerk van Strobe is dat het snel kunnen identificeren specificeren welke diensten worden uitgevoerd op de machine, de tekortkomingen van een dergelijke relatief beperkte hoeveelheid informatie.
(7) SATAN
Satan kan worden gebruikt om het systeem te helpen bij de beheerders op te sporen beveiliging van het netwerk-gebaseerde aanvaller kan worden gebruikt om te zoeken naar kwetsbare systemen. Satan is ontworpen voor systeembeheerders en een tool. Echter, vanwege de breedte, het gebruiksgemak en de mogelijkheid om externe netwerk, Satan of omdat de scan van nieuwsgierigheid, worden gebruikt om kwetsbare hosts te vinden. SATAN bestaat uit een netwerk veiligheidskwesties die verband houden met de opsporing van de tabel, vindt het specifieke systeem via het netwerk of subnet en brengt verslag uit van haar bevindingen. Het kan zoeken naar de volgende zwakke punten:
NFS - zonder toestemming van het programma of de poort om te exporteren.
NOS --- toegang wachtwoord bestand.
Rexd - wordt geblokkeerd door een firewall.
Sendmail - zwakke punten.
FTP - FTP, wu-ftpd of TFTP probleem met de configuratie.
Remote Shell toegang - of het nu verboden of verborgen.
X Window - of om onbeperkte toegang tot de host.
Modem - dial-up toegang via tcp geen limiet.
(8) IdentTCPscan
IdentTCPscan is een meer gespecialiseerde scanner, kun je draaien op verschillende platformen. Software, de TCP-poort om het proces van identificatie van de eigenaar van de functie, dat wil toetreden opgeeft, bepaald dat het proces UID. Dit programma heeft een zeer belangrijke functie is, door de ontdekking proces, UID, snel te identificeren geconfigureerd. Het loopt erg snel, kan worden beschouwd als indringers huisdier, is een sterke, scherpe voorwerpen.
2, netwerk-gebaseerde scanning tool utility
(1) Nmap
Nmap of Network Mapper, is het de Free Software Foundation GNU General Public License (GPL) uitgebracht onder. De basisfuncties: detectie van een host online scannen en host-poort, netwerk-sniffer verleende diensten; bepalen van de host-besturingssysteem. Na het downloaden van software, de implementatie van configure, make en make install drie orden, de nmap binaire code op het systeem geïnstalleerd, kunt u een nmap.
Nmap syntax is zeer eenvoudig, maar is zeer krachtig. Bijvoorbeeld: Ping-scan commando is "-SP", het definiëren van het doel host en het netwerk, kan het worden gescand. Als root om Nmap draait, zal Nmap functies worden meer versterkt, omdat de super-gebruiker kan eenvoudig maken om aangepaste Nmap datapakketten te gebruiken. Nmap voor eenmalig gebruik te scannen of het scannen van het gehele netwerk is eenvoudig, met een "/ masker" het adres van bestemming kunnen worden toegewezen aan Nmap. Bovendien, Nmap maakt het gebruik van alle gespecificeerde netwerk adres, zoals 192.168.100 .* subnet is de gastheer geselecteerd voor het scannen.
Ping Scan. Inbreker om Nmap gebruiken om het gehele netwerk te scannen om doelen te vinden. Door het gebruik van "-SP" commando, wordt standaard aan nmap scan gastheer voor elk een ICMP echo, en een TCP ACK, elke vorm van respons van de gastheer zal zijn Nmap worden. Afgebeeld in figuur 2.
Figuur 2
Nmap ondersteunt verschillende soorten poortscans, TCP verbinden scan kan gebruiken "-st" commando, met name in figuur 3:
Figuur 3
Verborgen scan (stealth scanning). In de scan, als de aanvaller niet willen dat hun gegevens worden geregistreerd in het logboek op het doelsysteem, TCP SYN scan kan je helpen. Gebruik "-sS" commando, dan kunt u een SYN-detectie systeem of netwerk te scannen. Figuur 4.
Figuur 4
Als een aanvaller UDP scans uitvoeren, weet u welke poorten open zijn op de UDP. Nmap stuurt een UDP pakket O-byte in elke haven. Als de host is niet aan terugkeer naar de haven, zei poort gesloten is. Figuur 5.
Figuur 5
Besturingssysteem-identificatie. Door gebruik te maken van de "-o" optie, kunt u de afstandsbediening op te sporen besturingssysteem type. Nmap stuurt naar de host door middel van de verschillende soorten van detectie signalen, het verkleinen van de zoekopdracht scala aan besturingssystemen. Afgebeeld in figuur 6.
Figuur 6
Ident scan. Aanvallers graag een bepaald proces voor kwetsbare computers te vinden, zoals het runnen van een webserver. Als het doel machine is identd draait, kan een aanvaller "-i" optie, die gebruikers hebben gemerkt dat TCP verbinding http daemon. We scannen een Linux webserver, bijvoorbeeld, gebruik het volgende commando:
# Nmap-st-p 80-I-O www.yourserver.com
In aanvulling op deze scans, Nmap veel opties biedt, is het essentieel voor veel Linux magische wapen van de aanvaller, door middel van de software, kunnen we goed op de hoogte van het systeem, dus na de aanval lag een goede basis.
(2) p0f
p0f is zeer nuttig voor aanvallen op het netwerk, gebruikt het SYN pakketjes naar het bereiken van de passieve besturingssysteem Detection Technology, goed kan identificeren van het type doelsysteem. En andere software voor het scannen, is het niet sturen van gegevens het doelsysteem, op slechts accepteert de gegevens van het doelsysteem analyse. Daarom is een groot voordeel: bijna onmogelijk te detecteren, en p0f is een gespecialiseerd systeem voor de identificatie-instrumenten, de vingerafdruk database is zeer gedetailleerd en sneller update is ook bijzonder geschikt voor montage in de gateway. Software downloaden, voer de volgende opdracht te compileren en installeren p0f:
# Tar-zxvf p0f 1.8.2.tgz
# Make & & make install
p0f is zeer eenvoudig te gebruiken, het volgende commando gebruiken bij het opstarten van het systeem, het systeem start automatisch p0f te identificeren:
# Cp p0f.init / etc/init.d/p0f
# Chkconfig p0f op
Dan kan inloggen van tijd tot tijd op de p0f analyse. Voor het gebruiksgemak, p0f pakket voorziet in een eenvoudige analyse van het script p0frep, waardoor een aanvaller kunt eenvoudig een bepaald type van het systeem draait de remote host-adres. P0f ook kan detecteren de volgende: het bestaan van een firewall of te verhullen; aan de afstand tussen het systeem op afstand en de begintijd; andere netwerkverbinding, en ISP.
(3) ISS
ISS Internet Scanner is het 's werelds toonaangevende netwerkbeveiliging producten op de markt, dankzij een uitgebreid en onafhankelijk netwerk beveiligingsprobleem detectie en analysis, en onderzoeken hun zwakke punten en hoge risks zijn onderverdeeld in drie niveaus laag, en kan een breed scala van zinvolle reports generate . Nu, de vergoeding versie van de software levert meer aanvallen, en geleidelijk in de richting van commercialisering.
(4) Nessus
Nessus is een krachtige externe veiligheids-scanner, die een sterk vermogen om de uitgang van het verslag heeft, kunt u het genereren van HTML, XML, latex en ASCII-tekst-formaten zoals veiligheid verslag en aanbevelingen te doen voor elk beveiligingsprobleem. Software systeem voor de cliënt / serverprotocol model, server-side uit te voeren veiligheidscontroles, de klant gebruikt om het beheer-server te configureren. Ook gebruikt in de dienst-side plug-in systeem dat gebruikers toestaat om specifieke functies te vervullen door het toevoegen van plug-ins, kan sneller en meer complexe veiligheidscontroles worden. Naast de plug-in aanvulling, Nessus biedt ook gebruikers met een beschrijving van de aanval vormen van scripting talen, uit te voeren extra veiligheid testen.
Software downloaden, uitpakken en de installatie voltooien. Geïnstalleerd, bevestigen dat in het bestand / etc / ld.so.conf door toevoeging van de installatie pad van het geïnstalleerde library file: / usr / local / lib. Zo niet, voeg gewoon de pad van het bestand, dan voert u ldconfig, dat Nessus kan gevonden worden op runtime de runtime. Nessus configuratie bestand voor de Nessusd.conf, gelegen in / usr / local / etc / Nessus / directory. Onder normale omstandigheden, niet aanbevelen van wijzigingen aan de inhoud. Let op, gebruikt om een account aan te maken nessusd voor toekomstig gebruik bij de landing te scannen. Na de voltooiing van het bovenstaande voorbereidingen, om de identiteit van de gebruiker met het volgende commando start root van de server: nessusd-d.
De klant kan de gebruiker de machine draait Nessus te specificeren, het gebruik van poort-scanners en de inhoud te testen en testen van de IP-adressen. Nessus zelf is gebaseerd op het werk in multi-threaded, zodat de gebruiker kan ook het aantal draden die tegelijk te werken. Zodat gebruikers kunnen deze op afstand de configuratie van de Nessus het werk. Is ingesteld, klikt u op start kun je beginnen met scannen. Wanneer het scannen is voltooid, zal rapporten genereren, de linkerkant van het venster worden alle hosts worden gescand, zolang de hostnaam met een muisklik in het venster aan de rechterkant werd gevonden door het scannen van de lijst van de beveiligingsproblemen van de gastheer. Klik vervolgens op de beveiligingsproblemen van kleine iconen, lijsten van de ernst van het probleem en het probleem oorzaken en oplossingen.
(5) Nikto
Nikto is een web-server kan een verscheidenheid aan beveiligingstechnologieën projecten scanning software te testen, kunnen worden gescand in meer dan 200 soorten servers van meer dan 2000 soorten van potentieel gevaarlijke bestanden, CGI en andere problemen. Het gebruikt ook Whiske bibliotheek, maar meestal vaker bijgewerkt dan Whisker.
(6) Whisker
Whisker is een zeer goede HTTP-server fout scansoftware, kunt een groot aantal bekende beveiligingsproblemen, in het bijzonder, die gevaarlijke kwetsbaarheid van CGI, maakt gebruik van de Perl Programmeren bibliotheek, kunnen we het gebruiken om hun eigen HTTP-scanner te maken.
(7) Xprobe
XProbe is een actieve besturingssysteem vingerafdrukken tools, die het type van externe host-besturingssysteem kan bepalen. XProbe rekenen op een handtekening database met fuzzy matching en een redelijke schatting van het besturingssysteem op afstand type te bepalen, besturingssysteem, met behulp van ICMP-protocol is de unieke vingerafdruk. Indien gebruikt, wordt ervan uitgegaan dat een haven niet wordt, zal de haven gebruikt voor het doel host te sturen UDP-pakketten hoger, de doelhost zal reageren op ICMP-pakketten, en dan zal XProbe Stuur het pakket aan andere doelgroepen host systeem te identificeren, met dit software, het besturingssysteem beoordelen elkaar heel gemakkelijk.