閱讀本文之前��,我們還需要對linux系統的基本安全特性有一定的了解
linux操作系統是一個開放源代碼的免費操作系統,它不僅安全、穩定�����、成本低���,而且很少發現有病毒傳播,因此�����,linux操作系統一直被認為是微軟Windows系統的勁敵。近年來��,隨著linux操作系統在我國的不斷普及���,隨著越來越多的服務器��、工作站和個人電腦開始使用linux軟件���,當然,越來越多的安全發燒友也開始對這個操作系統發生了濃厚的興趣��。本文的目的是希望用戶以最快的速度對linux下的精品Hack軟件功能及使用方法有一個比較細致全面的了解���。今天我們先了解尋找肉雞的N種兵器���。
漏洞掃描器是一種自動檢測遠程或本地主機安全性弱點的程序。和Windows系統一樣��,當黑客得到目標主機的清單后���,他就可以用一些linux掃描器程序尋找這些主機的漏洞�����。這樣���,攻擊者可以發現服務器的各種TCP端口的分配���、提供的服務、Web服務軟件版本和這些服務及安全漏洞���。而對系統管理員來說���,如果能夠及時發現并阻止這些行為,也可以大大減少入侵事件的發生率��。按常規標準�����,可以將漏洞掃描器分為兩種類型:主機漏洞掃描器(Host Scanner)和網絡漏洞掃描器(Network Scanner)�����。主機漏洞掃描器是指在系統本地運行檢測系統漏洞的程序�����;網絡漏洞掃描器則是指基于Internet遠程檢測目標網絡和主機系統漏洞的程序��,下面�����,我們選取一些典型的軟件及實例進行介紹。
1�����、基于主機的實用掃描軟件
(1) sXid
sXid是一個系統監控程序,軟件下載后���,使用“make install”命令即可安裝。它可以掃描系統中suid和sgid文件和目錄�����,因為這些目錄很可能是后門程序,并可以設置通過電子郵件來報告結果���。缺省安裝的配置文件為/etc/sxid.conf��,這個文件的注釋很容易看懂�����,它定義了sxid 的工作方式��、日志文件的循環次數等;日志文件缺省為/var/log/sxid.log���。出于安全方面的考慮�����,我們可以在配置參數后把sxid.conf 設置為不可改變���,使用 chattr 命令把sxid.log文件設置為只可添加。此外��,我們還可以隨時用sxid -k加上 -k 選項來進行檢查��,這種檢查方式很靈活���,既不記入日志,也不發出 email�����。如圖1所示。
圖1
?��。?)LSAT
linux Security Auditing Tool (LSAT) 是一款本地安全掃描程序���,發現默認配置不安全時,它可以生成報告�����。LSAT由Triode開發��,主要針對基于RPM的linux發布設計的���。軟件下載后,進行如下編譯:
cndes$ tar xzvf last-VERSION.tgz
cndes$ cd lsat-VERSION
cndes$ ./configure
cndes$ make
然后以root身份運行:root# ./lsat���。默認情況下��,它會生成一份名字叫lsat.out的報告���。也可以指定一些選項:
-o filename 指定生成報告的文件名
-v 詳細輸出模式
-s 不在屏幕上打印任何信息���,只生成報告。
-r 執行RPM校驗和檢查,找出默認內容和權限被改動的文件
LSAT可以檢查的內容很多��,主要有:檢查無用的RPM安裝�����;檢查inetd和Xinetd和一些系統配置文件�����;檢查SUID和SGID文件���;檢查777的文件�����;檢查進程和服務���;開放端口等��。LSAT的常用方法是用cron定期調用��,然后用diff比較當前報告和以前報告的區別���,就可以發現系統配置發生的變化�����。下面是一個測試中的報告片斷:
****************************************
This is a list of SUID files on the system:
/bin/ping
/bin/mount
/bin/umount
/bin/su
/sbin/pam_timestamp_check
/sbin/pwdb_chkpwd
/sbin/unix_chkpwd
****************************************
This is a list of SGID files/directories on the system:
/root/sendmail.bak
/root/mta.bak
/sbin/netreport
****************************************
List of normal files in /dev. MAKEDEV is ok, but there
should be no other files:
/dev/MAKEDEV
/dev/MAKEDEV.afa
****************************************
This is a list of world writable files
/etc/cron.daily/backup.sh
/etc/cron.daily/update_CDV.sh
/etc/megamonitor/monitor
/root/e
/root/pl/outfile
?����。?)GNU Tiger
這是掃描軟件可以檢測本機安全性�����,源自TAMU的Tiger(一個老牌掃描軟件)��。Tiger程序可以檢查的項目有:系統配置錯誤�����;不安全的權限設置���;所有用戶可寫的文件���;SUID和SGID文件;Crontab條目�����;Sendmail和ftp設置���;脆弱的口令或者空口令;系統文件的改動���。另外���,它還能暴露各種弱點并產生詳細報告。
?����。?)Nabou
Nabou是一個可以用來監視系統變化的Perl 程序�����,它提供文件完整性和用戶賬號等檢查,并將所有數據保存在數據庫里��。此外���,用戶也可以在配置文件中嵌入Perl代碼來定義自己的函數��,執行自定義測試���,操作其實十分方便。
?�。?)COPS
COPS是可以報告系統的配置錯誤以及其他信息�����,對linux系統進行安全檢查��。其檢測目標有:文件�����、目錄和設備文件的權限檢查�����;重要系統文件的內容、格式和權限���;是否存在所有者為root的SUID 文件�����;對重要系統二進制文件進行CRC校驗和檢查�����,看其是否被修改過��;對匿名FTP���、Sendmai等網絡應用進行檢查�����。需要指出的是���,COPS只是監測工具��,并不做實際的修復���。這個軟件比較適合配合其他工具使用�����,其優點在于比較擅長找到潛在的漏洞��。
?�。?)strobe
Strobe是一個TCP端口掃描器�����,它可以記錄指定的機器的所有開放端口��,運行速度非?��?臁K畛跤糜趻呙杈钟蚓W中公開的電子郵件�����,從而得到郵件用戶信息��。Strobe的另一個重要特點是它能快速識別指定機器上正在運行什么服務���,不足之處是這類信息量比較有限���。
?�。?)SATAN
SATAN可以用來幫助系統管理員檢測安全��,也能被基于網絡的攻擊者用來搜索脆弱的系統���。SATAN是為系統和管理員設計的一個安全工具。然而���,由于它的廣泛性��,易用性和掃描遠程網絡的能力���,SATAN也可能因為好奇而被用來定位有弱點的主機。SATAN包括一個有關網絡安全問題的檢測表�����,經過網絡查找特定的系統或者子網�����,并報告它的發現�����。它能搜索以下的弱點:
