UNIX系统中常见的入侵方式及其安全检测策略.pdfVIP

UNIX系统中常见的入侵方式及安全检测策略 缪继东 中国工程物理研究院 摘要；本文简述了入侵UNIX系统的常用方法极及其防御措施。并总结出 UNIX系统一般性的安全检查策略。 关键词：UNIX安全、?入侵检测 1．前言 UNIX作为一个多用户操作系统已广泛地应用于商业、政府、军事和 科研部门，随之而来的问题就是如何提高UNIX系统的安全性。对UNIX 系统安全性的成胁不仅仅来自于系统设计上的许多固有的缺陷，还有很大 一部分来自于对UNIX系统的不合理的使用。在过去的大量针对UNIX系 统的入侵事件中，许多攻击并没有使用多么高深的技术，而恰恰是利用了 目标主机不合理的配置和使用。 2．UNIX中常见的入侵方式 在UNIX系统的安全中。注册过程和存取控制过程是两道主要防线。 因而黑客的攻击一是通过对口令的破解而成为合法用户达到入侵目的，另 一是利用目标主机潜在的漏洞，非法获得存取权限来入侵系统。下面是一 些常见的方法和手段： 2．1口令的攻击 首先可猜测弱口令．弱口令包括厂商预装的省缺帐户，空口令，以及 口令名与帐户名相同或相似等。特别是当利用蠡ng日或其它资源获取帐户 名后，黑客经常成功地猜测出口令，或是利用字典穷举法破解口令。其次， 可利用目标主机的漏洞．伺机夺取口令文件passwd和shadow，然后利用 破解DEs加密算法的程序来解口令。 2．2r系列命令 ‘ r系列命令包括曲，rlogin，rcp等等。它可使用户在信任主机之间不必 输入口令就可执行远程操作。因而在系统中，若某—信任主机被入侵后， 可迅速导致整个系统的被入侵。另外，黑客在侵入某一主机后，经常会去 修改铷【0M眇daosts文件，以便为自己日后再次进入留下后门。 因此，在系统中最好删除r系列命令，以提高系统的安全性。若有必 要使用此类命令，可通过删除触哪曲sts wu如和Lrt础Xs文件，以强迫用户 使用时输入口令。另外，用户也可用SSH营代rsh。 101 2．3rexexd 该项服务不提供源地址检查，而使用用户名，口令形式的鉴别机制， 但不能审计失败的注册企图。它使黑客在不被系统管理员发现的情况下， 用字典穷举法攻击主机。 建议关闭此项服务。 2．4rexd 它是一种远程过程调用服务。它允许远程主机以任意用户的名义在目 标主机上运行命令。值得注意的是它的安全检查是基于客户机面不是服务 器，利用改进的客户程序可逃避这种检查。 建议关闭此项服务。 2．5匿名ft口的错误配置 匿名flp的配置非常容易出错。它可使黑客破坏下载文件，交换非法 软件，放置特洛伊木马程序，获得远程访问权限，甚至绕过防火墙和包过 滤的安全检查。 除非真正需要，最好不要运行匿名{ID。 2．6蛳 fingd命令可抓取目标圭机的合法用户的帐户名。有的版本可以访问 本地romp文件，以观察用户从何时何地注册。有的版本还可以远程执行 命令或初始化#an文件，并把系统特权信息mail出去。 不要使用1998年11月5日以前的版本，不要使用GUN6ngcrV1．37 版本。若非必须，虽好关掉此项鹰务。 2．7GenericRoo_．onMechanism fing％口stat，ne缴吐nl酬等命令．可被黑客用来搜集用户名、两络统 计信息、进程记帐、网络配置和其它信息。这些信息可使黑客了解主机和 网络系统，以策划其攻击行动。 若非必须，最好关掉此项服务。 2．8NIS NIS存在非常多的问题，使得黑客可远程抓取文件，在某些情况下还 可远程执行命令。若确实需要该项服务，要确保升级到NIS+井正确安装 补丁．否则不要运行NIS 2．9RPC PortmaplⅪr 某些版本的RPCPof咖印p日可允许黑客执行“代理”攻击(嘲， Attack)，即使RPc请求象是从目标主机本地发出的，以绕过安全检查． 该服务还可测出目标主机所有可用的服务，以发现潜在的漏洞。 若非必须，最好关掉此项服务。值得注意的是，这仅仅阻止进攻者通 过观察Pormmpper来搜寻信息，丽一个侵入者可绕过RPCPormmptM直 接探寻服务