Før du leser denne artikkelen, må vi også grunnleggende sikkerhetsfunksjoner i Linux-systemer har en viss forståelse av
Open-source operativsystemet Linux er et gratis operativsystem, er det ikke bare trygt, stabile, lave kostnader, og få fant viruset sprer seg, derfor har Linux operativsystem blitt regnet som en rival Microsofts Windows-system. I de senere årene, med operativsystemet Linux i USAs fortsatte popularitet, som flere og flere servere, arbeidsstasjoner og personlige datamaskiner begynte å bruke Linux-programvare, selvfølgelig, begynte flere og flere fans for å få et trygt sted sterk operativsystem interesse. Formålet med denne avhandlingen er for brukere så raskt som på Linux, boutique Hack programvarefunksjoner og bruke en mer detaljert og omfattende forståelse. I dag har vi først forstå hvilke typer våpen for å finne N broiler.
Sårbarhet skanner er en ekstern eller lokal vert automatisk gjenkjenne sikkerhetsproblemer prosedyrer. Og Windows-systemer, da hackere få en liste over målet vert, kan han bruke noen Linux-skanner programmet for å finne smutthull i disse vertene. På denne måten kan en angriper finne en mengde TCP-portene på serveren distribusjon, tjenester, web-tjenester, programvare versjon, og disse tjenestene og sikkerhetsproblemer. Systemet administrator, hvis evne til å oppdage og hindre slike handlinger, kan det i stor grad redusere forekomsten av invasjonen. Ifølge konvensjonelle standarder, kan sårbarhet skannere deles inn i to typer: host sårbarhet skannere (Host skanner), og nettverk sårbarhet scanner (Network Scanner). Host sårbarhet skanneren kjører i systemet av lokale prosedyrer for testing av systemet sårbarheter; nettverket sårbarhet skanner viser til målet nettverk basert på Internett eksterne deteksjon prosedyrer og vert svakheter, følgende, velger vi noen typiske eksempler på programvare og introduksjon.
1, vert-basert skanning programvare verktøyet
(1) sXid
sXid er et system avlytting program, nedlasting av programvare, bruk "make install"-kommandoen til å installere. Den kan skanne systemet suid og sgid filer og kataloger, fordi disse katalogene er sannsynligvis gi tilbakevirkende kraft program, og kan settes til å rapportere resultatene på e-post. Standard installasjon konfigurasjonsfilen / etc / sxid.conf, er denne filen lett å lese kommentarene, som definerer arbeidet sxid veien, syklusen frekvensen av loggfilen; loggfilen standard er / var / log / sxid. logg. Av sikkerhetsmessige hensyn kan vi konfigurere parametere satt til sxid.conf uforanderlige, bruke chattr kommandoen til å sette sxid.log filer kan bare legges til. I tillegg kan vi alltid bruke sxid-k med k-alternativet for å sjekke, er denne kontrollen svært fleksibel måte, ikke belastet loggen, problemet e-posten. Vist i Figur 1.
Figur 1
(2) LAST
Linux Security Revisjon Tool (SISTE) er en lokal sikkerhets skanner og fant utrygg standard konfigurasjon, kan det generere rapporter. LAST av Triode utvikling, hovedsakelig for Linux RPM utgivelsen basert på design. Programvare som lastes ned, kompilert som følger:
cndes $ tar xzvf siste VERSION.tgz
cndes $ cd lsat-VERSION
cndes $. / configure
cndes $ foreta
Deretter kjøres som root: root #. / Siste. Som standard, vil det generere et navn lsat.out rapporter. Kan også angi noen alternativer:
-O filnavn angir filnavnet til å generere rapporter.
-V verbose output modus.
-S ikke ut all informasjon på skjermen, bare for å generere rapporter.
-R gjennomføring av RPM verifikasjon og inspeksjon, for å identifisere innhold og standard filrettigheter er endret.
LAST kan sjekke mange ting, hovedsakelig: Sjekk ubrukelig RPM installering, sjekk inetd og xinetd og noe system konfigurasjonsfiler, sjekke SUID og sgid filer, kontroller 777 filer, inspeksjon prosesser og tjenester, åpne porter og så videre. SISTE vanligste metoden er å bruke cron regelmessig heter, og deretter bruke diff sammenligne gjeldende rapporten og tidligere rapportert forskjeller, kan du finne systemet konfigurasjonsendringer. Følgende er rapporten av en test stykke:
****************************************
Dette er en liste over SUID filer på systemet:
/ Bin / ping
/ Bin / mount
/ Bin / umount
/ Bin / su
/ Sbin / pam_timestamp_check
/ Sbin / pwdb_chkpwd
/ Sbin / unix_chkpwd
****************************************
Dette er en liste over sgid filer / kataloger på systemet:
/ Root / sendmail.bak
/ Root / mta.bak
/ Sbin / netreport
****************************************
Liste over vanlige filer i / dev. MAKEDEV er ok, men det
bør ikke være noen andre filer:
/ Dev / MAKEDEV
/ Dev / MAKEDEV.afa
****************************************
Dette er en liste over verdens skrivbare filer
/ Etc / cron.daily / backup.sh
/ Etc / cron.daily / update_CDV.sh
/ Etc / megamonitor / monitor
/ Root / e
/ Root / pl / utfil for barneprosess
(3) GNU Tiger
Dette er den skanneprogramvare kan oppdage sikkerheten til denne maskinen, fra TAMU's Tiger (en gammel-skanning programvare). Tiger program kan sjekke følgende elementer: systemkonfigurasjon feil; usikre tillatelser, alle brukere kan skrive filer, SUID og sgid filer; Crontab oppføringer, Sendmail og ftp innstillingene, svake passord eller et tomt passord; systemfil endringer. I tillegg er det også avdekket svakheter og generere detaljert rapport.
(4) Nabou
Nabou er et system som kan brukes til å overvåke endringer i Perl-programmet, som gir filen integritet kontrollere og brukerkontoer, etc., og alle data som er lagret i databasen. I tillegg kan brukerne også legge ned Perl-kode i konfigurasjonsfilen til å definere din egen funksjon utføre tilpassede testing, operasjon egentlig veldig enkelt.
(5) COPS
COPS er konfigurasjonsfeil rapporteringssystem og annen informasjon, på linux systemet sikkerhetskontroll. Testen målene er: arkiv, katalog og enhetsfiler tillatelser sjekk; viktige systemfiler av innholdet, format og myndighet, eksistensen av eieren som roten til SUID-filen; viktige system binærfiler for CRC sjekksum og kontrollere om blitt endret; på anonym FTP, Sendmai nettverket programmer, for eksempel inspeksjon. Anføres at er COPS overvåkingsverktøy gjør det ikke selve reparasjonen. Denne programvaren er mer egnet for bruk med andre verktøy, er dens fordel bedre til å finne potensielle sårbarheter.
(6) strobe
Strobe er en TCP-port skanner, som kan spille inn alle de maskinene angitte åpne porter, kjører veldig fort. Det ble opprinnelig brukt til å skanne LAN åpne e-post for å få e-post brukerinformasjon. En annen viktig funksjon i Strobe er at den kan raskt identifisere spesifisere hvilke tjenester som kjører på maskinen, utilstrekkeligheten av en slik forholdsvis begrenset mengde informasjon.
(7) Satan
Satan kan brukes til å hjelpe systemansvarlige gjenkjenne sikkerhetsoppdateringer, kan også være nettverksbaserte angrep benyttes til å søke den skjøre systemet. Satan er designet for systemadministratorer og et sikkerhetsverktøy. Men på grunn av bredden sin, brukervennlighet og evne til å skanne eksternt nettverk, Satan eller på grunn av nysgjerrighet, brukes til å lokalisere sårbare maskiner. Satan består av et nettverk sikkerhetsspørsmål knyttet til påvisning av bordet, finne den spesifikke systemet gjennom nettverk eller subnett, og rapportere sine funn. Det kan søke på følgende svakheter:
NFS - uten tillatelse fra programmet eller porten til eksport.
NIS --- tilgangspassord fil.
Rexd - er blokkert av en brannmur.
Sendmail - svakheter.
ftp - ftp, Wu-ftpd eller TFTP konfigurasjonen problem.
Remote Shell-tilgang - enten det er forbudt eller skjult.
X vinduer - om å gi ubegrenset tilgang til verten.
Modem - oppringt tilgang via TCP ingen grense.
(8) IdentTCPscan
IdentTCPscan er en mer spesialisert skanner, kan du kjøre på forskjellige plattformer. Software, angi TCP-port til å delta i prosessen med å identifisere eieren av funksjon, det vil si bestemt det at prosessen UID. Dette programmet har en svært viktig funksjon er gjennom oppdagelsen prosessen, UID, raskt identifisere feilkonfigurert. Den kjører veldig fort, kan betraktes som inntrengere kjæledyr, er en sterk, skarpe redskaper.
2, nettverksbaserte skanning verktøyet verktøyet
(1) Nmap
Nmap eller Network Mapper, det er Free Software Foundations GNU General Public License (GPL) utgitt under. De grunnleggende funksjonene: deteksjon av en vert som er pålogget; skanne host port, sniffer nettverkstjenester forutsatt, bestemmer verten operativsystemet. Etter nedlasting av programvare, implementering av konfigurere, lage og make install tre bestillinger, det nmap binære koden installert på systemet, kan du utføre en nmap.
Nmap syntaksen er veldig enkel, men er veldig kraftfull. For eksempel: Ping-skanning kommando er "-SP", med å definere målet vert og nettverk, kan det bli skannet. Hvis root for å kjøre Nmap, vil Nmap funksjoner skal være forbedret mer, fordi super-brukeren kan lage enkle å bruke egendefinerte Nmap datapakker. Single bruker Nmap å skanne eller skanne hele nettverket er enkel, bare med en "/ maske" destinasjonen adressen kan tildeles Nmap. I tillegg gjør Nmap bruk av alle de angitte nettverksadresse, for eksempel 192.168.100 .* subnett er vert valgt for skanning.
Ping Scan. Forstyrre å bruke Nmap å skanne hele nettverket for å finne mål. Ved hjelp av "-SP"-kommandoen, som standard, Nmap skanne verter hver sender en ICMP ekko og en TCP ACK, det vert for noen form for respons vil bli mottatt Nmap. Vist i Figur 2.
Figur 2
Nmap støtter ulike typer port skanner, TCP forbinde skann kan bruke "-st"-kommandoen, spesielt vist i Figur 3:
Figur 3
Skjulte skanning (Stealth Scanning). I skanningen, hvis angriperen ikke ønsker at informasjonen skal registreres i loggen på målsystemet, TCP SYN skanning kan hjelpe deg. Bruk "-SS"-kommandoen, kan du sende en SYN scan oppdagelsen system eller nettverk. Figur 4.
Figur 4
Dersom en angriper å utføre UDP skanner, kan du vite hvilke porter er åpne på UDP. Nmap sender en UDP pakke O byte til hver port. Hvis verten ikke er å returnere til havn, sier porten er lukket. Figur 5.
Figur 5
Operativsystem identifikasjon. Ved hjelp av "-O" alternativet, kan du gjenkjenne den eksterne operativsystemet type. Nmap sender til verten gjennom de forskjellige typene av oppdagelsen signaler, en innsnevring av søket utvalg av operativsystemer. Vist i Figur 6.
Figur 6
Ident skanning. Angripere å finne en viss prosess for sårbare datamaskiner, som kjører en webserver rot. Hvis målet maskinen kjører identd, kan en angriper "-I" alternativet, som brukere har funnet ut at TCP forbindelse http daemon. Vi skanner en Linux-server, for eksempel bruke følgende kommando:
# Nmap-ST-p 80-I-O www.yourserver.com
I tillegg til disse skanninger, tilbyr Nmap mange alternativer, er det viktig for mange Linux magi våpen til angriperen, gjennom programvaren, kan vi godt kjent med systemet, og dermed etter angrepet legge et godt grunnlag.
(2) p0f
p0f er svært nyttig for angrep på nettverket, bruker den SYN pakker for å oppnå den passive operativsystemet oppdagelsen teknologien, nøyaktig kan identifisere hvilken type målsystemet. Og andre skanneprogramvare, den ikke sende noen til målet systemets data, bare godtar data fra målsystemet analysen. Derfor, en stor fordel: nesten umulig bli oppdaget, og er p0f designet system identifikasjon verktøy, fingeravtrykket databasen er svært detaljert og raskere oppdateringen er også spesielt egnet for installasjon i porten. Nedlasting av programvare, kjør følgende kommando for å kompilere og installere p0f:
# Tar zxvf p0f-1.8.2.tgz
# Lag & & make install
p0f er svært enkel å bruke, bruker du følgende kommando ved oppstart, starter systemet automatisk p0f å identifisere:
# Cp p0f.init / etc/init.d/p0f
# Chkconfig p0f på
Deretter kan fra tid til annen på p0f loggen analysen. For brukervennlighet, p0f pakken gir en enkel analyse av skriptet p0frep, som en angriper kan lett finne en bestemt type system som kjører ekstern vert adressen. P0f også kan gjenkjenne følgende: eksistensen av en brannmur eller forkledning, til avstanden mellom det eksterne systemet og dets starttid; andre nettverkstilkobling, og ISP.
(3) ISS
ISS Internet Skanner er verdens ledende nettverk sikkerhetsprodukter markedet, gjennom en omfattende og uavhengig nettverk sikkerhetsproblem deteksjon og analyse, og undersøke deres svakheter og høy risiko er delt inn i tre nivåer lavt, og kan generere en rekke meningsfulle rapporter . Nå gir avgiften versjonen av programvaren mer angrepet, og gradvis beveger seg i retning av kommersialisering.
(4) Nessus
Nessus er en kraftig ekstern sikkerhet skanneren, som har en sterk evne til å rapportere utgang, kan du generere HTML, XML, LaTeX, og ASCII tekst formater som sikkerhet rapport, og å gi anbefalinger for hver sikkerhetsproblem. Programvare for klienten / kutte modellen, server-side å gjennomføre sikkerhetskontroll, klienten brukes til å konfigurere Management Server. Brukes også i tjeneste-side plug-in system som lar brukerne utføre bestemte funksjoner ved å legge til plug-ins, kan være raskere og mer komplekse sikkerhetskontrollene. I tillegg til plug-in tillegg gir Nessus også brukere med en beskrivelse av angrepet typer skriptspråk, å gjennomføre ytterligere sikkerhet tester.
Nedlasting av programvare, ekstra og fullføre installasjonen. Installert, bekrefter at det i / etc / ld.so.conf filen ved å legge til installasjon banen for det installerte biblioteket file: / usr / local / lib. Hvis ikke, bare å legge banen til filen, så løpe ldconfig, som Nessus kan finnes under kjøring i runtime. Nessus konfigurasjonsfil for Nessusd.conf, som ligger i / usr / local / etc / Nessus / katalogen. Under normale omstendigheter, anbefaler ikke endringer i innholdet. Obs, brukes til å lage en nessusd konto for senere bruk under landing skanning. Etter gjennomføring av ovennevnte preparater, for å rot identiteten til brukeren med følgende kommando starter serveren: Nessusd-d.
Klienten, kan brukeren spesifisere maskinen som kjører Nessus tjenester, bruk av havnen skannere og test innhold og test den ip adressen området. Nessus seg selv er basert på arbeid i multi-threaded, slik at brukeren kan også angi hvor mange tråder som fungerer samtidig. Slik at brukerne kan stille den eksterne konfigurasjonen av Nessus arbeidet. Er satt opp, klikk starter du kan starte skanningen. Når skanningen er fullført vil generere rapporter, lister venstre side av vinduet alle vertene skal skannes, så lenge verten navnet med et museklikk i vinduet til høyre ble funnet av skanning listen over sikkerhetshull i verten. Sikkerhetshull og deretter klikker det lille ikonet, som viser alvorlighetsgraden av problemet og problemet årsaker og løsninger.
(5) Nikto
Nikto er en web-server kan teste en rekke sikkerhet prosjekter skanning programvare, kan skannes i mer enn 200 typer servere ut av mer enn 2000 typer potensielt farlige filer, CGI og andre problemer. Den bruker også Whiske biblioteket, men vanligvis oppdateres oftere enn Whisker.
(6) Whisker
Whisker er en meget god HTTP server feil skanning programvare, kan skanne et stort antall kjente sikkerhetshull, særlig de som er farlige CGI sårbarhet, bruker den til perl programmering biblioteket, kan vi bruke det til å skape sin egen HTTP scanner.
(7) Xprobe
XProbe er en aktiv operativsystem fingerprinting verktøy, som kan avgjøre hvilken type ekstern vert driftssystem. XProbe stole på en signatur database med «fuzzy» sammenligning og en rimelig gjetning å bestemme eksterne operativsystemet, operativsystem, bruker ICMP protokollen er dens unike fingeravtrykk. Når den brukes, forutsetter det at porten ikke er i bruk, vil det port til målet vert å sende UDP pakker høyere, vil målet vert svare på ICMP pakker, og da vil XProbe sende pakken til å identifisere andre målet vert system, med dette programvare til operativsystemet dommeren hverandre veldig enkelt.