Innan du läser denna artikel, behöver vi också grundläggande säkerhetsfunktionerna i Linux-system har en viss förståelse för
Öppen källkod operativsystemet Linux är ett fritt operativsystem, är det inte bara säkert, stabilt, låg kostnad, och få fann viruset sprids, därför har Linux operativsystem ansetts vara den rivaliserande Microsofts Windows-system. Under de senaste åren, med operativsystemet Linux i vårt lands växande popularitet, som mer och mer av servrar, arbetsstationer och persondatorer började använda Linux programvara, naturligtvis, började fler och fler fläktar för att få en säker plats en stark operativsystem intresse. Syftet med detta dokument är att användarna så snabbt som på Linux, butik Hacka mjukvaran dragen och använda en mer detaljerad och omfattande förståelse. Idag har vi först förstå vilka typer av vapen för att hitta N slaktkycklingar.
Säkerhetsproblem scanner är ett fjärr-eller lokal värd automatiskt upptäcka säkerhetsproblem förfaranden. Och Windows-system, när hackare få en lista över mål värd, kan han använda en del Linux scanner för att hitta kryphål i dessa värdar. På detta sätt kan en angripare finna en uppsjö av TCP-portar på servern distribution, tjänster, webbtjänster, programvaruversion, och dessa tjänster och sårbarheter säkerhet. Systemadministratören, om förmågan att upptäcka och avvärja sådana handlingar, kan den avsevärt minska förekomsten av invasionen. Enligt vedertagna standarder, kan sårbarhet skannrar delas in i två typer: mottagande skannrar sårbarhet (Host scanner) och nätverk sårbarhet skanner (Network Scanner). Host sårbarhet sökaren körs i systemet för lokala rutiner för testning sårbarheter i systemet, nätverk sårbarhet scanner hänvisar till målet nätverk baserat på Internet avlägsen upptäcka förfaranden och sårbarheter värd, följande, vi väljer några typiska exempel på programvara och införande.
1, värdbaserad scanning mjukvaran nytta
(1) sxid
sxid är ett system övervakningsprogram, nedladdningar, använd "make install" för att installera. Den kan skanna systemet SUID och SGID filer och kataloger, eftersom dessa kataloger kan komma att bakdörr program, och kan ställas in att rapportera resultat via e-post. Standardinstallationen konfigurationsfilen / etc / sxid.conf finns denna fil lätt att läsa kommentarerna, som definierar arbetet sxid vägen, cykeln frekvensen av loggfilen, loggfil standard är / var / log / sxid. log. För säkerhets skäl kan vi konfigurera de parametrar som till sxid.conf oföränderliga, med hjälp av chattr kommandot för att ställa sxid.log filer kan endast läggas till. Dessutom kan vi alltid använda sxid-k med-k möjlighet att utföra inspektioner, som kontrollerar hur är mycket flexibel och inte trätt i loggen, eller skicka e-post. Visas i figur 1.
Figur 1
(2) SISTA
Linux säkerhetsgranskning Tool (LAST) är en lokal säkerhet scanner och hittade osäkra standardinställningarna, kan det generera rapporter. SISTA av triod utveckling, främst för Linux RPM ut baserat på design. Mjukvaran laddas ner, sammanställas enligt följande:
cndes $ tjära xzvf sista VERSION.tgz
cndes $ cd lsat-version
cndes $. / configure
cndes $ göra
Sedan köra som root: root #. / Last. Som standard kommer den att generera en rapport namn lsat.out. Kan även ange några alternativ:
-O filnamn ange filnamn att generera rapporter.
-V utförlig output läge.
-S inte skriva ut någon information på skärmen, bara för att generera rapporter.
-R genomförandet av RPM kontroll och inspektion, för att identifiera innehållet och standardbehörigheter fil ändras.
SISTA kan kontrollera många saker, främst: Kontrollera onödiga RPM installation, kontrollera inetd och xinetd och vissa system konfigurationsfiler, kontrollera SUID och SGID filer, kontrollera 777 filer, inspektions-processer och tjänster, öppna portar och så vidare. SISTA vanlig metod är att använda cron regelbundet kallas, och sedan använda diff jämför den nuvarande rapporten och tidigare redovisade skillnader kan du hitta de förändringar systemkonfiguration. Följande är ett betänkande om en provbit:
****************************************
Detta är en lista över SUID filer på systemet:
/ Bin / ping
/ Bin / mount
/ Bin / umount
/ Bin / su
/ Sbin / pam_timestamp_check
/ Sbin / pwdb_chkpwd
/ Sbin / unix_chkpwd
****************************************
Detta är en lista över SGID filer / kataloger på systemet:
/ Root / sendmail.bak
/ Root / mta.bak
/ Sbin / netreport
****************************************
Lista över vanliga filer i / dev. MAKEDEV är ok, men det
bör inte finnas några andra filer:
/ Dev / MAKEDEV
/ Dev / MAKEDEV.afa
****************************************
Detta är en lista över världens skrivbara filer
/ Etc / cron.daily / backup.sh
/ Etc / cron.daily / update_CDV.sh
/ Etc / megamonitor / bildskärm
/ Root / e
/ Root / pl / utfil
(3) GNU Tiger
Detta är den scanningsprogram kan identifiera säkerheten i denna maskin, från Tamu Tiger (en gammal scanningsprogram). Tiger programmet kan kontrollera följande: systemkonfigurationen fel, osäkra behörigheter, alla användare kan skriva filer, SUID och SGID filer, Crontab poster, Sendmail och inställningar ftp, svaga lösenord eller ett tomt lösenord, system arkivera ändringar. Dessutom utsätts den också svagheter och skapa detaljerade rapport.
(4) Nabou
Nabou är ett system som kan användas för att övervaka förändringar i Perl-programmet, som ger filintegritet kontroll och användarkonton, osv, och alla data lagras i databasen. Dessutom kan användarna också visa Perl kod i konfigurationsfilen för att definiera en egen funktion utföra anpassade tester, funktionen är faktiskt väldigt enkelt.
(5) COPS
COPS är konfigurationen felrapportering system och annan information om linux kontroller säkerhetsledningssystem. Testet målen är: fil, katalog och filer enheten behörigheter kontroll, viktiga filer systemet för innehåll, format och myndigheten, förekomsten av ägaren till den som roten till SUID-filen, viktiga systemfiler för CRC-kontrollsumma och kontrollera om ändrats, om anonym FTP, Sendmai nätverk applikationer såsom inspektion. Påpekas att det COPS uppföljningsverktyg gör inte själva reparationen. Denna programvara är mer lämplig för användning med andra verktyg blir nyttan bättre på att hitta potentiella sårbarheter.
(6) strobe
Strobe är en TCP-port scanner, som kan spela in alla de maskiner som öppna portar, kör väldigt fort. Den användes ursprungligen för att skanna LAN öppna e-post för att få e-post användarinformation. Ett annat viktigt inslag i Strobe är att den snabbt kan identifiera ange vilka tjänster som körs på maskinen, otillräckligheten i ett sådant relativt begränsad mängd information.
(7) SATAN
Satan kan användas för att hjälpa systemadministratörer upptäcka nätsäkerheten-baserade angripare kan användas för att söka efter sårbara system. SATAN är utformad för systemadministratörer och ett säkerhetsverktyg. På grund av dess bredd, användarvänlighet och möjligheten att skanna fjärrnätverk, Satan eller på grund av nyfikenhet, används för att lokalisera utsatta värdar. SATAN består av ett nätverksproblem säkerhet i samband med upptäckt av tabellen, finna specifika system via nätverket eller subnät, och rapportera resultaten. Den kan söka följande brister:
NFS - utan tillstånd från det program eller hamn till export.
NIS --- tillgång lösenordsfil.
Rexd - blockeras av en brandvägg.
Sendmail - svagheter.
ftp - ftp, wu-ftpd eller tftp konfiguration problem.
Remote Shell tillgång - vare sig det är förbjudet eller dolda.
X fönstren - om att ge fri tillgång till värden.
Modem - uppringd access via tcp ingen gräns.
(8) IdentTCPscan
IdentTCPscan är en mer specialiserad scanner kan du köra på olika plattformar. Programvara, ange TCP-port att ansluta sig till processen att identifiera ägaren till funktion, dvs bestäms det att processen UID. Detta program har en mycket viktig funktion är genom upptäckten processen, UID, snabbt identifiera felkonfigurerad. Den går väldigt snabbt, kan betraktas som inkräktare sällskapsdjur, är en stark, vassa verktyg.
2, nätbaserad felsökningsverktyg nytta
(1) Nmap
Nmap eller Network Mapper är det Free Software Foundations GNU General Public License (GPL) utgivna under. De grundläggande funktioner: upptäckt av en värd på Internet, skanna värd hamn, vädra nättjänster tillhandahållas, fastställa det värdoperativsystemet. Efter dataöverföring mjukvaran, genomförandet av configure, make och make install tre beställningarna, nmap binär kod installeras på systemet, kan du utföra en nmap.
Nmap syntax är mycket enkelt, men är mycket mäktig. Till exempel: Ping-scan kommando "-SP" Vid fastställandet av mål värd och nätverk, kan sökas igenom. Om root för att köra Nmap kommer Nmap funktioner ska mer förbättras, eftersom superanvändare kan skapa enkla att använda anpassade Nmap datapaket. Engångsbruk Nmap för att skanna eller skanna hela nätet är enkelt, bara med ett "/ mask" destination adress kan tilldelas Nmap. Dessutom kan Nmap användningen av alla de angivna nätverksadress, såsom 192.168.100 .* subnät är värd valts för skanning.
Ping Scan. Inkräktare att använda Nmap för att scanna hela nätet för att hitta mål. Genom att använda "-SP" kommandot, som standard, till Nmap scanna värd att sända ett ICMP eko och en TCP ACK, värd för någon form av svar kommer att erhållas Nmap. Visas i figur 2.
Figur 2
Nmap hantera olika typer av hamn skanningar, TCP förbinda skanna kan använda "-ST" kommandot, särskilt i figur 3:
Figur 3
Dolda scan (Stealth scanning). I skanna, om angriparen inte vill att deras uppgifter som skall registreras i loggen på målsystemet, TCP SYN skanning kan hjälpa dig. Använd "-SS" kommandot, kan du skicka ett SYN skanning detektionssystem eller nätverk. Figur 4.
Figur 4
Om en angripare att utföra UDP söker kan du veta vilka portar som är öppna för UDP. Nmap skickar ett UDP paket O byte för varje hamn. Om värden inte upp att återvända till hamn, sade port är stängd. Figur 5.
Figur 5
Operativsystem identifiering. Genom att använda "-O" alternativet kan du identifiera fjärrkontrollen operativsystemet typ. Nmap skickar till värden genom de olika typerna av detektering signaler, förträngning sökandet olika operativsystem. Visas i figur 6.
Figur 6
Ident skanna. Angripare som att hitta en särskild process för utsatta datorer som kör en webbserver rot. Om målet maskinen är igång identd, en angripare kan "-I" alternativ, som användare har upptäckt att TCP demonen anslutning http. Vi skannar en Linux-webbserver, till exempel använda följande kommando:
# Nmap-ST-p 80-I-O www.yourserver.com
Utöver dessa skanningar erbjuder Nmap många alternativ är det viktigt för många Linux magiska vapen av angriparen, genom programmet, kan vi väl medvetna om systemet, och därmed efter attacken lägga en bra grund.
(2) p0f
p0f är mycket användbart för nätverk attacker, använder den SYN paket för att uppnå de passiva operativsystemet detekteringsteknik kan identifiera vilken typ av målsystemet. Och andra skanningsprogramvara skickar inte det inte någon att målsystemet data, bara godtar uppgifterna från målsystemet analys. Därför att en stor fördel: nästan omöjligt att upptäcka, och är p0f utformade verktyg systemidentifiering, fingeravtryck databasen är mycket detaljerat och snabbare uppdatering är också särskilt lämplig för installation i porten. Mjukvara nedladdning, kör du följande kommando att kompilera och installera p0f:
# Tar zxvf p0f-1.8.2.tgz
# Se & & make install
p0f är mycket enkel att använda, använder du följande kommando vid start, startar systemet automatiskt p0f att identifiera:
# Cp p0f.init / etc/init.d/p0f
# Chkconfig p0f på
Sedan kan från tid till annan på p0f logganalys. För enkel användning, p0f paketet ger en enkel analys av manus p0frep, genom vilket en angripare kan lätt hitta en viss typ av system som kör fjärrvärden adress. P0f också kan upptäcka följande: det finns en brandvägg eller förklädd, att avståndet mellan fjärrkontrollen och dess starttid, andra nätverksanslutning och ISP.
(3) ISS
ISS Internet Scanner är världens ledande nätverk säkerhetsprodukter marknaden genom en omfattande och oberoende nätverk säkerhetsproblem och analys, och undersöka deras svagheter och hög risk är indelade i tre nivåer låg, och kan generera ett brett utbud av meningsfulla rapporter . Nu ger avgift versionen av programvaran mer attack, och gradvis rör sig i riktning mot kommersialisering.
(4) Nessus
Nessus är en kraftfull avlägsen säkerhet scanner, som har en stark förmåga att rapportera utgång kan du generera HTML, XML, LaTeX, och ASCII-textformat som säkerhetsrapporten, och att utfärda rekommendationer för varje säkerhetsproblem. Mjukvarusystem för kunden / avskilja modellen på serversidan för att utföra säkerhetskontroller, klienten används för att konfigurera Management Server. Används också i service-sida plug-in system som tillåter användare att utföra vissa funktioner genom att lägga till plug-ins, kan snabbare och mer komplexa säkerhetskontroller. Förutom att plug-in Dessutom föreskrivs Nessus även användare med en beskrivning av attacken typer av skriptspråk, att utföra ytterligare undersökningar av säkerheten.
Mjukvara nedladdning, extrakt och slutföra installationen. Installerat, bekräftar att det i / etc / ld.so.conf fil genom att lägga till installationen stig av den installerade biblioteket file: / usr / local / lib. Om inte, bara lägga till sökvägen till filen, kör sedan ldconfig, att Nessus finns vid körning i runtime. Nessus konfigurationsfilen för Nessusd.conf, som ligger i / usr / local / etc / Nessus / katalogen. Under normala omständigheter inte rekommendera ändringar i innehållet. Obs, används för att skapa en nessusd konto för framtida användning vid landningen skanna. Efter genomförandet av ovanstående preparat, i syfte att befästa identiteten på användaren med följande kommando startar servern: nessusd-d.
Kunden kan användaren specificera maskinen som kör Nessus tjänster, användning av hamnen skannrar och testa material och testa olika IP-adress. Nessus tur baseras på arbete i flera trådar, så att användaren kan också ställa in hur många trådar som fungerar samtidigt. Så att användarna kan ställa in fjärrkontrollen konfiguration av Nessus arbetet. Är inrättat, klicka på Start kan du starta skanningen. När skanningen är klar, kommer att generera rapporter, listor till vänster i fönstret alla värdar som ska skannas, så länge värd namnet med ett musklick i fönstret till höger hittades genom att söka av förteckningen över sårbarheter i den mottagande. Säkerhetsluckor och klicka på den lilla ikonen, som listar hur allvarligt problemet är och orsakerna problem och lösningar.
(5) Nikto
Nikto är en webbserver kan testa olika säkerhetsprojekt scanning mjukvaran, kan scannas i mer än 200 typer av servrar på mer än 2000 typer av potentiellt farliga filer, CGI och andra problem. Den använder också Whiske bibliotek, men oftast uppdateras oftare än Whisker.
(6) Whisker
Morrhår är en mycket bra HTTP-server fel scanning program kan skanna ett stort antal kända säkerhetsproblem, särskilt de farliga CGI sårbarhet, använder de perl programmering biblioteket, kan vi använda den för att skapa sina egna HTTP-skanner.
(7) Xprobe
XProbe är en aktiv operativsystem fingeravtryck verktyg, som kan avgöra vilken typ av fjärrvärden operativsystem. XProbe förlita sig på en signatur databas med fuzzy matchning och en rimlig gissning att bestämma avlägsen operativsystemet, operativsystem, med hjälp av ICMP protokoll är dess unika fingeravtryck. När det används, förutsätts det att en hamn inte används, kommer den port till målet värd att skicka UDP-paket högre, kommer målet värd svara på ICMP-paket, och då kommer XProbe skickar paketet att identifiera andra system mål värd, med detta programvara för operativsystemet bedöma varandra mycket lätt.