Linux下的防黑之道

在人們的印象中，對(duì)于Windows服務(wù)器來(lái)說(shuō)，其安全性往往比較低，存在各種可能被黑客利用的漏洞，因此，大家會(huì)想方設(shè)法提高其安全性。而對(duì)于Linux服務(wù)器來(lái)說(shuō)，一般人都會(huì)覺得其安全性很高，出現(xiàn)漏洞較少，黑客很難對(duì)其進(jìn)行攻擊。

但是，實(shí)際情況卻并非如此，因?yàn)閃indows服務(wù)器在內(nèi)網(wǎng)中應(yīng)用的很多，而Linux服務(wù)器經(jīng)常在Internet上提供各種服務(wù)，其在某種程度上來(lái)說(shuō)更加容易受到黑客的攻擊。如果Linux服務(wù)器存在漏洞或者配置不當(dāng)?shù)脑挘瑯訒?huì)遭到黑客的非法控制。這里就從不同的方面出發(fā)，分析了Linux系統(tǒng)下黑客的活動(dòng)特點(diǎn)以及防御黑客之道。

了解黑客的攻擊手段

從黑客攻擊的手段上說(shuō)，其實(shí)際上可以分為多個(gè)層次。例如網(wǎng)絡(luò)層面，操作系統(tǒng)層面以及應(yīng)用程序?qū)用娴?。?duì)于網(wǎng)絡(luò)層面攻擊，包括滲透進(jìn)入局域網(wǎng)，發(fā)送大量非破壞性的網(wǎng)絡(luò)包進(jìn)行DoS攻擊來(lái)拖垮目標(biāo)服務(wù)器，針對(duì)交換網(wǎng)發(fā)起IP欺騙攻擊，對(duì)局域網(wǎng)進(jìn)行中間人攻擊，來(lái)嗅探各種機(jī)密信息。利用DNS欺騙，冒充正常的服務(wù)器來(lái)蒙騙用戶。對(duì)于局域網(wǎng)中采用明文通訊的數(shù)據(jù)，黑客可以毫不費(fèi)力的進(jìn)行攔截。即使對(duì)于采取簡(jiǎn)單方式加密的數(shù)據(jù)，黑客破解起來(lái)也不困難，從操作系統(tǒng)層面上說(shuō)，其安全問題常常被大家疏忽。在大家的印象中，Windows系統(tǒng)存在眾多的漏洞，實(shí)際上，Linux系統(tǒng)同樣存在數(shù)量不少的BUG。為了提高系統(tǒng)安全性，需要及時(shí)為L(zhǎng)inux系統(tǒng)打上各種補(bǔ)丁。

對(duì)于Linux來(lái)說(shuō)，只要按照標(biāo)準(zhǔn)的操作進(jìn)行配置，感染病毒的可能性很低。對(duì)于普通用戶來(lái)說(shuō)，其權(quán)限會(huì)受到系統(tǒng)嚴(yán)格控制，即使黑客獲得了普通的權(quán)限，如果不進(jìn)行提權(quán)的話，對(duì)系統(tǒng)也幾乎造不成什么破壞。在Windows中，當(dāng)木馬侵入后查找起來(lái)很簡(jiǎn)單。但是對(duì)于Linux來(lái)說(shuō)，如果木馬隱藏到Kernel中或者庫(kù)文件等不起眼的地方的話，那么查找起來(lái)就很困難。從應(yīng)用程序?qū)用嫔峡?，黑客?huì)發(fā)起各種應(yīng)用級(jí)別的攻擊，例如大家熟知的SQL注入攻擊，讓黑客可以毫不費(fèi)力的侵入網(wǎng)站。

不過現(xiàn)在在開發(fā)網(wǎng)站程序時(shí)，基本上都會(huì)對(duì)用戶提交的數(shù)據(jù)進(jìn)行過濾，來(lái)防范該種攻擊。腳本攻擊也是黑客常用的攻擊伎倆，實(shí)際上，使用ASP、PHP、JSP等腳本語(yǔ)言開發(fā)的網(wǎng)站，不可避免的存在各種安全隱患。腳本是動(dòng)態(tài)解釋的，具有一定的安全風(fēng)險(xiǎn)，附帶的參數(shù)比較復(fù)雜，黑客可以很容易的找到可以利用的漏洞。對(duì)于一個(gè)安全級(jí)別很高的網(wǎng)站來(lái)說(shuō)，最好使用二進(jìn)制方式搭建。例如可以將PHP腳本進(jìn)行編譯，形成可執(zhí)行文件，讓黑客無(wú)從修改。因?yàn)槟_本是可以修改的，很容易被黑客利用。

例如對(duì)于一臺(tái)服務(wù)器來(lái)說(shuō)，管理員為其打上各種補(bǔ)丁，進(jìn)行了嚴(yán)格的安全設(shè)置，從整體上確實(shí)沒有漏洞。但是，在其上運(yùn)行的網(wǎng)站的某個(gè)模塊存在安全漏洞，導(dǎo)致黑客可以將自己設(shè)計(jì)的一段腳本上傳到某個(gè)頁(yè)面上，該腳本的作用是用來(lái)上傳文件之用。這樣，黑客就可以很容易的將木馬上傳到該服務(wù)器上，這樣原本無(wú)懈可擊的服務(wù)器被黑客徹底控制。因此說(shuō)，如果在開發(fā)網(wǎng)站時(shí)，將程序腳本進(jìn)行編譯的話，黑客就無(wú)計(jì)可施了。因?yàn)榫W(wǎng)站由二進(jìn)制文件組成，黑客自然無(wú)法對(duì)其修改。當(dāng)然，任何軟件都不可能堅(jiān)不可摧，都存在這樣或者那樣的漏洞。對(duì)于互動(dòng)式的網(wǎng)站來(lái)說(shuō)，黑客可以從各種入口來(lái)尋找其BUG，進(jìn)而有針對(duì)性的發(fā)起攻擊。

防御黑客入侵的方法

了解黑客常用的攻擊手段，就可以針鋒相對(duì)的進(jìn)行防御了。對(duì)于網(wǎng)絡(luò)的保護(hù)，可以使用防火墻。對(duì)于位于不同地理位置的兩個(gè)局域網(wǎng)之間的通訊，可以使用VPN通道連接在一個(gè)私有網(wǎng)絡(luò)中。對(duì)于暴露在Internet上的主機(jī)，必須使用IDS入侵檢測(cè)系統(tǒng)對(duì)其進(jìn)行保護(hù)。除了使用硬件級(jí)的保護(hù)外，也可以使用Snort等軟件，來(lái)檢測(cè)常見的網(wǎng)絡(luò)攻擊行為。對(duì)于操作系統(tǒng)來(lái)說(shuō)，運(yùn)行盡可能少的服務(wù)，將無(wú)關(guān)的服務(wù)（尤其是和Internet相接觸的）全部關(guān)閉，為系統(tǒng)打上各種補(bǔ)丁，及時(shí)修復(fù)各種BUG。當(dāng)然，在打補(bǔ)丁之前，最好對(duì)其進(jìn)行測(cè)試，因?yàn)橛械难a(bǔ)丁可能會(huì)對(duì)實(shí)際的生產(chǎn)環(huán)境造成影響，例如讓應(yīng)用程序無(wú)法正常運(yùn)行等。

另外對(duì)于RedHat Linux來(lái)說(shuō)，其使用的不是HotFix補(bǔ)丁，在安裝時(shí)可能需要重啟相關(guān)服務(wù)，這對(duì)實(shí)際的服務(wù)是有影響的。對(duì)于各種網(wǎng)絡(luò)服務(wù)來(lái)說(shuō)，盡量啟用其安全特性，使其安全可靠的運(yùn)作。例如對(duì)于HTTP，F(xiàn)TP，SMTP等服務(wù)來(lái)說(shuō)，其使用的是明文通訊，安全性自然很差，使用SSL/TLS加密機(jī)制，可以有效提高其安全性。對(duì)于網(wǎng)絡(luò)服務(wù)來(lái)說(shuō)，都應(yīng)該適應(yīng)SELinux的包裝。使用集中式認(rèn)證，讓用戶和服務(wù)之間可以彼此信任，也可以提高系統(tǒng)的安全性。對(duì)于應(yīng)用層的防護(hù)，需要保證開發(fā)的程序盡可能的少的存在漏洞，避免被黑客發(fā)現(xiàn)利用。利用應(yīng)用層防火墻，可以有效監(jiān)控各種敏感區(qū)域，發(fā)現(xiàn)并攔截異常的行為。

使用入侵檢測(cè)程序，發(fā)現(xiàn)黑客蹤跡

上面談到了使用入侵檢測(cè)系統(tǒng)，來(lái)保護(hù)系統(tǒng)安全安全。所謂的入侵檢測(cè)，就是對(duì)正常運(yùn)行的操作系統(tǒng)進(jìn)行完整的記錄，因?yàn)楫?dāng)黑客入侵時(shí)，往往從管理員不注意的地方下手，例如非法替換系統(tǒng)命令，讓管理員在執(zhí)行看似正常的命令時(shí)，其實(shí)運(yùn)行的是黑客精心設(shè)計(jì)的程序。利用針對(duì)系統(tǒng)的原始的完整記錄，就可以幫助管理員及時(shí)發(fā)現(xiàn)黑客的蹤跡。例如發(fā)現(xiàn)操作系統(tǒng)的哪些文件發(fā)生了變化，是否被黑客惡意篡改等。

尤其對(duì)于二進(jìn)制的可執(zhí)行文件以及Shell腳本等對(duì)象，更要提防其被黑客非法替換。對(duì)于定時(shí)任務(wù)，Kernel模塊等對(duì)象，也需要經(jīng)常進(jìn)行檢測(cè)。當(dāng)黑客試圖對(duì)系統(tǒng)進(jìn)行滲透時(shí)，往往會(huì)采用正向或者和反向的方式進(jìn)行。對(duì)于前者來(lái)說(shuō)，黑客會(huì)利用設(shè)置定時(shí)任務(wù)或者替換可執(zhí)行文件的方式，當(dāng)觸發(fā)的時(shí)候，黑客預(yù)設(shè)的程序就會(huì)在系統(tǒng)中開啟后門。對(duì)于后者來(lái)說(shuō)，黑客會(huì)先在系統(tǒng)中植入木馬，讓其反向訪問黑客控制的頁(yè)面或者主機(jī)，來(lái)讓黑客獲得入侵接口等。黑客觸發(fā)非法程序的方法有多種，例如設(shè)置定時(shí)任務(wù)，替換可執(zhí)行文件，設(shè)置開機(jī)自動(dòng)運(yùn)行，嵌入到Kernel模塊中觸發(fā)等。

在企業(yè)版RedHat只內(nèi)置了名為AIDE的軟件，其全稱為Advanced Intrusion Detection Environment，是一款很專業(yè)的入侵檢測(cè)程序，其運(yùn)行原理是當(dāng)配置好系統(tǒng)后，將整個(gè)文件系統(tǒng)進(jìn)行初始化并進(jìn)行索引，將每個(gè)文件的哈希值存放到數(shù)據(jù)庫(kù)中。在默認(rèn)情況下，AIDE會(huì)監(jiān)控所有的可執(zhí)行文件和相關(guān)的配置文件，但是其不會(huì)監(jiān)控所有文件。管理員懷疑存在安全隱患的話，可以利用AIDE對(duì)系統(tǒng)進(jìn)行徹底檢查，來(lái)了解其監(jiān)控的系統(tǒng)關(guān)鍵文件（例如可執(zhí)行文件，配置文件等）是否被修改過，而且AIDE記錄的數(shù)據(jù)很難被偽造。以Root賬戶登錄系統(tǒng)，執(zhí)行“yum install aide”命令，來(lái)安裝該軟件。

執(zhí) 行“vim /etc/aide.conf”命令，打開AIDE的配置文件。可以看到在默認(rèn)情況下，其數(shù)據(jù)庫(kù)存放在“/etc/lib/aide”目錄下。原始數(shù)據(jù)庫(kù)文件名稱為“aide.db.gz”，新生成的數(shù)據(jù)庫(kù)文件 名 稱 為“aide.db.new.gz”。所謂原版數(shù)據(jù)庫(kù)文件，是指AIDE初始化時(shí)，生成的文件信息記錄文件。當(dāng)進(jìn)行安全檢查時(shí)，必須再次進(jìn)行掃描來(lái)創(chuàng)建新的記錄數(shù)據(jù)，之后將兩者進(jìn)行比較，來(lái)發(fā)現(xiàn)可疑的變動(dòng)信息。為了節(jié)省磁盤空間，AIDE會(huì)對(duì)數(shù)據(jù)庫(kù)進(jìn)行壓縮處理。AIDE會(huì)對(duì)“/boot”，“/bin”，“/sbin”，“/lib”，“/opt”，“/usr”，“/root”等系統(tǒng)目錄進(jìn)行全面監(jiān)控。當(dāng)然，您可以將更多的目錄添加進(jìn)來(lái)，讓AIDE對(duì)其全面監(jiān)控。

在默認(rèn)配置中，對(duì)于“/etc”目錄只是進(jìn)行權(quán)限監(jiān)控，對(duì)其中的文件內(nèi)容不進(jìn)行檢查。即在該目錄下如果部署相應(yīng)的配置文件，那么只有其權(quán)限發(fā)生變動(dòng)，AIDE才對(duì)使用者進(jìn)行報(bào)告。這主要是因?yàn)樵撃夸浵碌奈募儎?dòng)比較頻繁，所以對(duì)其全面監(jiān)控作用有限。當(dāng)然，對(duì)于該目錄下的特定的配置 文 件（例 如“/etc/xxx.cfg NORMAL”）而 言，因 為其內(nèi)容不會(huì)經(jīng)常變動(dòng)，可以將其添加進(jìn)來(lái)。這樣，如果黑客對(duì)其進(jìn)行了修改，管理員就能及時(shí)發(fā)現(xiàn)。注意，對(duì)監(jiān)控的對(duì)象，后面需要跟隨“NORMAL”參數(shù)。注意其后面不要添加“PERM”參數(shù)，該參數(shù)表示只進(jìn)行權(quán)限檢測(cè)。

通過該配置文件，不拿看出系統(tǒng)的所有關(guān)鍵位置都處于AIDE的監(jiān)控之中。當(dāng)配置好系統(tǒng)后，執(zhí)行“aide--init”命令，對(duì)全盤進(jìn)行初始化，這需要花費(fèi)一段時(shí)間。完畢后執(zhí)行“l(fā)l /var/lib/aide”命令，顯示新建立的“aide.db.new.gz”數(shù) 據(jù)庫(kù)文件。進(jìn)入該目錄，執(zhí)行“mv aide.db.new.gz aide.db.gz”，對(duì)其進(jìn)行更名操作，將其作為原始的數(shù)據(jù)庫(kù)文件。當(dāng)系統(tǒng)運(yùn)行一段時(shí)間后，管理員希望檢查系統(tǒng)是否存在安全問題的話，可以執(zhí)行“aide”命令，AIDE可以對(duì)系統(tǒng)進(jìn)行掃描，創(chuàng)建新的數(shù)據(jù)庫(kù)文件，之后將其和原始的數(shù)據(jù)庫(kù)進(jìn)行比對(duì)，發(fā)現(xiàn)其監(jiān)控的系統(tǒng)關(guān)鍵點(diǎn)以及用戶自定義監(jiān)控點(diǎn)的變化情況。

如果發(fā)生變動(dòng)（即使是很細(xì)微的變化），AIDE都會(huì)將其完整的顯示出來(lái)，例如新增的文件，內(nèi)容變動(dòng)的文件，刪除的文件等等。不僅如此，在報(bào)告信息中的“Detailed information about changes”列表中會(huì)針對(duì)每一個(gè)變化的文件，列出詳細(xì)的變化信息，例如文件尺寸、創(chuàng)建時(shí)間、修改時(shí)間、哈希值（包括 MD5、RMD160、SHA256）等。尤其是同時(shí)顯示多個(gè)算法的哈希值，讓黑客根本無(wú)法對(duì)文件變動(dòng)信息進(jìn)行偽造。根據(jù)這些信息，就很容易發(fā)現(xiàn)系統(tǒng)是否黑客光臨過。

當(dāng)然，在實(shí)際使用AIDE時(shí)，是講究方法技巧的。對(duì)于已經(jīng)被黑客入侵的系統(tǒng)來(lái)說(shuō)，不要直接在該環(huán)境中進(jìn)行安全檢查，防止被黑客精心設(shè)計(jì)的騙局欺騙（例如黑客可能非法替換可執(zhí)行文件，甚至對(duì)AIDE進(jìn)行替換等）。要進(jìn)入一個(gè)干凈的環(huán)境（例如救援模式，將本機(jī)硬盤掛載到正常的系統(tǒng)中等），即使進(jìn)行救援模式等環(huán)境中，一定要切記不要運(yùn)行其中的任何文件，不能給黑客以任何可乘之機(jī)。之后利用AIDE的原始數(shù)據(jù)庫(kù)，就可以對(duì)其其進(jìn)行安全檢查。當(dāng)檢查出問題后，說(shuō)明系統(tǒng)已經(jīng)被黑客入侵，被注入木馬等惡意程序的話，最好的解決方法就是重裝系統(tǒng)，而不要嘗試對(duì)其進(jìn)行修復(fù)，當(dāng)然，對(duì)于重要的數(shù)據(jù)而言，實(shí)現(xiàn)對(duì)其進(jìn)行即使的備份，在系統(tǒng)完全恢復(fù)后，就可以對(duì)其進(jìn)行恢復(fù)。