实验：linux系统中蜜罐陷阱实现.docVIP

试验：linux系统中蜜罐陷阱的实现 实验人：中国移动 北京公司 王春艳 （wangchunyan@） 实验目的： 我们知道，在LINUX或者UNIX系统中，系统管理员root的权限是最大的，可以进行系统管理的全部操作。黑客一旦获得root口令，对系统造成的危害可想而知。 黑客登录系统，一般有两种方式： 用root身份直接登录； 以普通用户身份登录，然后用su命令转换成root身份。此种途径的隐蔽性较第一种更强一些。 针对这两种方式，我们管理员可以通过如下的三种陷阱，来阻止黑客的入侵行动。 在黑客以root身份直接登录时设置陷阱； 在黑客以普通用户身份执行su命令时设置陷阱； 万一黑客以root身份登录一旦成功，在登录后的一段时间内设置陷阱。 实验原理： 在黑客以root身份直接登录时设置陷阱。 一般情况下，只要用户输入的用户名和口令正确，就能顺利进入系统。如果我们在进入系统时设置了陷阱，并使黑客对此防不胜防，就会大大提高入侵的难度系数。 例如，当黑客已获取正确的root口令，并以root身份登录时，我们在此设置一个迷魂阵，提示它，你输入的口令错误，并让它重新输入用户名和口令。而其实，这些提示都是虚假的，只要在某处输入一个密码就可通过。黑客因此就掉入这个陷阱，不断地输入root用户名和口令，却不断地得到口令错误的提示，从而使它怀疑所获口令的正确性，放弃入侵的企图。 给超级用户也就是root用户设置陷阱，并不会给系统带来太多的麻烦，因为，拥有root口令的人数不会太多，为了系统的安全，稍微增加一点复杂性也是值得的。这种陷阱的设置是很方便的，我们只要在root用户的.profile中加一段程序就可以了。我们完全可以在这段程序中触发其他入侵检测与预警控制程序。 在黑客以普通用户身份执行su命令时设置陷阱。 在很多情况下，黑客会先以普通用户身份登录系统，用以迷惑管理员。然后通过su命令转换成root身份，因此，必须在此设置陷阱。当黑客使用su命令，并输入正确的root口令时，也应该报错，以此来迷惑它，使它误认为口令错误，从而放弃入侵企图。 LINUX系统中，对全体用户都生效的登录配置文件是/etc/profile文件。因此，我们就在此文件中设置陷阱。可以为su命令设置一个别名，从而使su命令不再是以前的su。 在黑客成功以root身份登录后设置陷阱。 万一前两种陷阱都失效了，黑客已经成功登录，就必须启用登录成功的陷阱。 此陷阱的设计原理是一旦以root用户登录，就可以启动一个计时器，正常的root登录后，先停止计时。而非法入侵者因不知道何处有计时器，就无法停止计时，等到一个规定的时间到，就意味着有黑客入侵，需要触发必要的控制程序，如强制关机等，以免造成损害，等待系统管理员进行善后处理。 实验环境： 硬件环境：一台IBM笔记本，windows XP操作系统 软件环境：VMware5.5；redhat Linux.vmx903；此实验的实验环境相对简单，无须构建复杂的攻防环境，只需要单机运行linux系统即可。 实验一，黑客以root身份直接登录时设置陷阱。 实验步骤： 在笔记本上安装虚拟机Vmware workstation 5.5.3 build－34685。（此处不详述） 在虚拟机上安装Redhat linux 9。（此处不详述） 判断root用户的登录shell。 我们发现在LINUX系统中，root用户的sh是bash。 修改root用户的.profile文件。 修改完用户的profile文件之后退出，重新登录，使修改生效。此时我们发现，在输入完正确的用户名和密码后，系统做出如下的提示： 当我们按约定在用户名处输入 123456，则系统登陆成功，如下图；如果输入其他字符串，则登录失败退出。 试验结论： 通过设置登录陷阱，能有效地防止了已经掌握了root口令的黑客的入侵，对其造成了迷惑。 实验二，黑客以普通用户身份执行su命令时设置陷阱。 1．以root用户身份修改配置文件：/etc/profile 2．#cd /etc #vi profile 在该文件中增加如下的一行： alias su=”su – user1” 用户重新登录后生效。 3．以普通用户登录，后执行su – root，系统给出如下提示： 试验结论： 通过设置此陷阱，使系统的su命令失效，从而达到黑客无法通过su命令实现用户的身份从普通用户到root身份的转换。 此实验在系统的/etc/profile文件中设置一个别名alias su=”su user1”。这样，当使用su时，系统判断的是user1的口令，而不是root的口令，当然不能匹配。即