UNIX系统中常见的入侵方式及安全检测策略.pdfVIP

UNIX系统中常见的入侵方式及安全检侧策略 缪继东 中国工程物理研究院 摘要:本文简述了入侵UNIX系统的常用方法极及其防御措施，并总结出 UNIX系统一般性的安全检查策略。 关键词:UNIX 安全{入侵 检测 1.前言 UNIX作为一个多用户操作系统己广泛地应用于商业、政府、军事和 科研部门，随之而来的问题就是如何提离UNIX系统的安全性。对UNIX 系统安全性的威胁不仅仅来自于系统设计上的许多固有的缺陷，还有很大 一部分来自于对UNIX系统的不合理的使用。在过去的大量针对UNIX系 统的入畏事件中，许多攻击并没有使用多么高深的技术，而怡怡是利用了 目标主机不合理的配置和使用。 2.UNIX中常见的入俊方式 在UNIX系统的安全中，注册过程和存取控制过程是两道主要防线。 因而黑客的攻击一是通过对口令的破解而成为合法用户达到入侵目的，另 一是利用目标主机潜在的漏洞，非法获得存取权限来入侵系统。下面是一 些常见的方法和手段: 2.1口令的攻击 首先可猜侧弱口令。弱口令包括厂商预装的省缺帐户/空口令，以及 口令名与帐户名相同或相似等。特别是当利用finger或其它资源获取帐户 名后，黑客经常成功地猜测出口令，或是利用字典穷举法破解口令。其次， 可利用目标主机的汤洞，伺机夺取口令文件P-W和shadow,然后利用 破解DES加密算法的程序来解口令。 2.2 r系列命令 r系列命令包括rsh,rlogin,rcp等等。它可使用户在信任主机之间不必 输入口令就可执行远程操作.因而在系统中，若某一信任主机被入侵后， 可迅速导致整个系统的被入侵。另外，黑客在侵入某一主机后，经常会去 修改翎OMEJ.rhosts文件，以便为自己日后再次进入留下后门。 因此，在系统中最好剧除r系列命令，以提高系统的安全性。若有必 要使用此类命令，可通过删除MWAhosts.equiv和Ishosts文件，以强迫用户 使用时钧入口令。另外，用户也可用SSH替代rshe 101 2.3 rexexd 该项服务不提供源地址检查，而使用用户名/口令形式的鉴别机制， 但不能审计失败的注册企图。它使黑客在不被系统管理员发现的情况下， 用字典穷举法攻击主机。 建议关闭此项服务。 2.4 rexd 它是一种远程过程调用服务。它允许远程主机以任意用户的名义在目 标主机上运行命令。值得注意的是它的安全检查是基于客户机而不是服务 器，利用改进的客户程序可逃避这种检查。 建议关闭此项服务。 2.5匿名ftp的错误配置 匿名flp的配置非常容易出错。它可使黑客破坏下载文件，交换非法 软件，放置特洛伊木马程序，获得远程访问权限，甚至绕过防火墙和包过 滤的安全检查。 除非真正需要，最好不要运行匿名彻= 2.6 finger finger命令可抓取目标主机的合法用户的帐户名。有的版本可以访问 本地utmp文件，以观察用户从何时何地注册。有的版本还可以远程执行 命令或初始化.plan文件，井把系统特权信息mali出去。 不要使用1998年11月5日以前的版本，不要使用GUNfnigerV1.37 版本。若非必须，最好关掉此项服务。 2.7 GenericReconMechanism fingersystatnetsl式mserd等命令，可被黑客用来搜集用户名、网络统 计信息、进程记帐、网络配置和其它信息。这些信息可使黑客了解主机和 网络系统，以策划其攻击行动. 若非必须，最好关掉此项服务。 2. 8 NIS NIS存在非常多的问题，使得黑客可远程抓取文件，在某些情况下还 可远程执行命令。若确实需要该项服务，要确保升级到NIS十井正确安装 补丁，否则不要运行NIS. 2.9 RPCPortmapper 某些版本的RPCPortmapper可允许黑客执行 “代理”攻击 (Proxy Attack),即使RPC请求象是从目标主机本地发出的，以绕过安全检查。 该服务还可测出目标主机所有可用的服务，以发现潜在的漏洞。 若非必须，最好关掉此项服务。值得注意的是，这仅仅阻止进攻者通 过观察Portmapper来搜寻信息，而一个侵入者可绕过RP