N tipos de armas para encontrar vulnerabilidades en Linux

El sistema operativo Linux es un sistema operativo de código abierto y libre que no solo es seguro, estable y de bajo costo, sino que también rara vez propaga virus. Por lo tanto, el sistema operativo Linux siempre ha sido considerado un rival de Microsoft Windows. En los últimos años, con la creciente popularidad del sistema operativo Linux en China, a medida que más y más servidores, estaciones de trabajo y computadoras personales comienzan a utilizar el software de Linux, por supuesto, cada vez más entusiastas de la seguridad han comenzado a tener una fuerte presencia en este sistema operativo. Intereses El propósito de este artículo es brindar a los usuarios una comprensión más detallada y completa de las características y el uso del software boutique Hack en Linux. Hoy entendemos por primera vez los tipos N de armas para encontrar pollos de engorde.
Vulnerability Scanner es un programa que detecta automáticamente las debilidades de seguridad en hosts remotos o locales. Al igual que el sistema Windows, cuando un pirata informático obtiene una lista de hosts de destino, puede usar algunos programas de escáner de Linux para encontrar vulnerabilidades en esos hosts. De esta manera, un atacante puede descubrir las diversas asignaciones de puerto TCP, los servicios proporcionados, las versiones de software de servicios web y estos servicios y vulnerabilidades de seguridad. Para los administradores de sistemas, si puede detectar y bloquear estos comportamientos a tiempo, puede reducir en gran medida la incidencia de intrusiones. Los escáneres de vulnerabilidad se pueden dividir en dos tipos de manera estándar: Host Scanner y Network Scanner. El escáner de vulnerabilidades del host se refiere al programa que ejecuta la vulnerabilidad del sistema de detección localmente. El escáner de vulnerabilidades de la red se refiere al programa que detecta de forma remota las vulnerabilidades de la red de destino y del sistema host basadas en Internet. A continuación, seleccionamos algunos programas típicos y ejemplos para presentar.
1. Software de escaneo de utilidades basado en host
(1) sXid
sXid es un programa de monitoreo del sistema. Después de descargar el software, use el comando "make install" para instalar. Puede escanear archivos y directorios suid y sgid en el sistema, ya que es probable que estos directorios sean puertas traseras y se pueden configurar para que informen los resultados por correo electrónico. El archivo de configuración de instalación predeterminado es /etc/sxid.conf. Los comentarios para este archivo son fáciles de entender. Define cómo funciona sxid, cuántas veces se hacen bucles en los archivos de registro, etc. El archivo de registro predeterminado es /var /log /sxid. Iniciar sesión Por razones de seguridad, podemos configurar sxid.conf para que no se pueda cambiar después de configurar los parámetros. Use el comando chattr para configurar el archivo sxid.log para que solo se agregue. Además, siempre podemos verificar con sxid -k más la opción -k, que es flexible y no registra ni correo electrónico. Como se muestra en la Figura 1.

Usa la figura 1 gratis (2) LSAT
herramienta de auditoría de seguridad de Linux (LAST) es un escáner de seguridad local, encontró configuración por defecto peligroso, se Se puede generar un informe. LSAT fue desarrollado por Triode y está diseñado principalmente para distribuciones de Linux basadas en RPM. Después de descargar el software, compile de la siguiente manera:

cndes $ tar xzvf last-VERSION.tgz cndes $ cd lsat-VERSION cndes $ ./configure cndes $ make
Luego ejecute como root: root # ./Lsat. Por defecto, genera un informe llamado lsat.out. También puede especificar algunas opciones:

-o nombre de archivo Especifica el nombre del archivo que generó el informe -v Modo de salida detallado -s No imprime ninguna información en la pantalla, solo informa. -r Realice una comprobación de suma de RPM para averiguar el contenido predeterminado y los permisos de los archivos modificados. LSAT puede verificar una gran cantidad de contenido, principalmente: verifique la instalación inútil de RPM; verifique inetd y Xinetd y algunos archivos de configuración del sistema; verifique SUID Y archivos SGID; compruebe archivos 777; verifique procesos y servicios; puertos abiertos, etc. El método común de LSAT es usar cron para llamar periódicamente, y luego usar diff para comparar la diferencia entre el informe actual y el informe anterior, puede encontrar los cambios en la configuración del sistema. A continuación se muestra un fragmento de informe en la prueba:

*********************************** ***** Esta es una lista de archivos SUID en el sistema: /bin /ping /bin /mount /bin /umount /bin /su /sbin /pam_timestamp_check /sbin /pwdb_chkpwd /sbin /unix_chkpwd ****** ********************************** Esta es una lista de archivos /directorios SGID en el sistema: /root /Sendmail.bak /root/mta.bak /sbin /netreport ************************************* *** La lista de archivos normales en /dev. MAKEDEV está bien, pero no debería haber otros archivos: /dev /MAKEDEV /dev/MAKEDEV.afa ***************** *********************** Esta es una lista de archivos de escritura mundial /etc/cron.daily/backup.sh /etc/cron.daily/update_CDV. Sh /etc /megamonitor /monitor /root /e /root /pl /outfile
(3) GNU Tiger
Este es el software de escaneo que puede detectar la seguridad de esta máquina, de TAMU Tiger (un software de escaneo anticuado) . Los programas que el programa Tiger puede verificar son: error de configuración del sistema, configuración de permisos inseguros, todos los archivos editables por el usuario, archivos SUID y SGID; entradas de Crontab; configuración de Sendmail y ftp; contraseñas vulnerables o contraseñas vacías; Además, expone debilidades y produce informes detallados.
(4) Nabou
Nabou es un programa Perl que se puede usar para monitorear los cambios del sistema. Proporciona integridad de archivos y verificaciones de cuentas de usuarios, y guarda todos los datos en la base de datos. Además, los usuarios también pueden incrustar código Perl en el archivo de configuración para definir sus propias funciones, realizar pruebas personalizadas y la operación es muy conveniente.
(5) COPS
COPS puede informar errores de configuración del sistema y otra información, y realizar verificaciones de seguridad en sistemas Linux. Los objetivos de detección son: verificación de permisos de archivos, directorios y archivos de dispositivos; contenido, formato y permisos de archivos importantes del sistema; si hay un archivo SUID cuyo propietario es raíz; CRC verifica y verifica archivos binarios importantes del sistema para ver si está Ha sido modificado; verifica aplicaciones web como FTP anónimo y Sendmai. Cabe señalar que COPS es solo una herramienta de monitoreo y no hace reparaciones reales. Este software es más adecuado para su uso con otras herramientas, la ventaja es que es bueno para encontrar posibles vulnerabilidades.
(6) strobe
Strobe es un escáner de puerto TCP que registra todos los puertos abiertos de una máquina determinada y se ejecuta muy rápido. Originalmente se usó para escanear correos electrónicos que estaban públicamente disponibles en la LAN para obtener información del usuario del correo. Otra característica importante de Strobe es su capacidad para identificar rápidamente qué servicios se están ejecutando en una máquina determinada. El inconveniente es que esta cantidad de información es limitada.
(7) SATAN
SATAN puede utilizarse para ayudar a los administradores de sistemas a detectar la seguridad y puede ser utilizado por atacantes basados ​​en la red para buscar sistemas vulnerables. SATAN es una herramienta de seguridad diseñada para sistemas y administradores. Sin embargo, debido a su versatilidad, facilidad de uso y capacidad para escanear redes remotas, SATAN también se puede usar para ubicar hosts vulnerables debido a la curiosidad. SATAN incluye una lista de verificación de problemas de seguridad de la red, encuentra un sistema o subred en particular a través de la red e informa sus hallazgos.