Debido a que el sistema operativo Linux es un sistema operativo libre de código abierto, es recibido por más y más usuarios. Con la creciente popularidad de Linux Caozuojitong en nuestro país, el departamento gubernamental pertinente está desarrollando Caozuojitong basado en Linux con derechos de autor independiente elevado a la altura de la defensa de la seguridad nacional a la vista, por lo que se puede predecir fácilmente el futuro de Linux en China Caozuoxitong Consigue un desarrollo más rápido y más grande. Aunque Linux es muy similar a UNIX, existen algunas diferencias importantes entre ellos. Para muchos administradores de sistemas que están acostumbrados a UNIX y Windows NT, la forma de garantizar la seguridad del sistema operativo Linux enfrentará muchos nuevos desafíos. Este artículo presenta una serie de experiencias prácticas de administración de seguridad de Linux.
1. Sistema de archivos
En un sistema Linux, la instalación de particiones primarias separadas para diferentes aplicaciones y la configuración de las particiones críticas en solo lectura mejorará en gran medida la seguridad del sistema de archivos. Esto implica principalmente la adición de (solo agregado) y propiedades inmutables del propio sistema de archivos ext2 de Linux.
◆ Partición de archivos El sistema de archivos de Linux se puede dividir en varias particiones principales, cada partición se configura e instala por separado. En general, al menos /, /usr /local, /var y /home deben crearse. Particiones iguales. /usr puede instalarse como de solo lectura y puede considerarse no modificable. Si algún archivo en /usr ha cambiado, el sistema emitirá inmediatamente una alerta de seguridad. Por supuesto, esto no incluye que el usuario cambie el contenido en /usr. La instalación y la configuración de /lib, /boot y /sbin son las mismas. Debe intentar que sean de solo lectura cuando los instale, y cualquier modificación de sus archivos, directorios y propiedades puede provocar alertas del sistema.
Por supuesto, es imposible configurar todas las particiones principales en solo lectura. Algunas particiones como /var, etc., su naturaleza determina que no pueden configurarse en solo lectura, pero no deberían permitirse. Tiene permiso de ejecución.
◆ Extender ext2 usa los únicos atributos de archivo agregados e inmutables en el sistema de archivos ext2 para aumentar aún más el nivel de seguridad. Los atributos inmutables y que solo agregan son solo dos formas de extender las banderas de atributos de un sistema de archivos ext2. Un archivo marcado como inmutable no puede ser modificado o incluso modificado por el usuario root. Un archivo marcado como solo agregado se puede modificar, pero solo después de que se pueda agregar, incluso si el usuario root puede hacerlo.
Puede modificar estas propiedades del archivo con el comando chattr. Si desea ver los valores de propiedad, puede usar el comando lsattr. Para obtener más información sobre las propiedades de los archivos ext2, use el comando man chattr para obtener ayuda. Estos dos atributos de archivo son útiles al detectar piratas informáticos que intentan instalar puertas traseras de intrusión en archivos existentes. Por razones de seguridad, una vez que se detecte dicha actividad, debe bloquearse inmediatamente y enviarse un mensaje de alarma.
Si su sistema de archivos crítico está montado como de solo lectura y el archivo está marcado como inmutable, el intruso debe reinstalar el sistema para eliminar los archivos inmutables, pero esto generará una alerta inmediata, lo cual Reducir la posibilidad de ser hackeado.
◆ La protección de los archivos de registro es especialmente útil cuando se utiliza con archivos de registro y copias de seguridad de registros. Es inmutable y solo agrega estos dos atributos de archivo. El administrador del sistema debe configurar la propiedad del archivo de registro activo para agregar solo. Cuando se actualiza el registro, el atributo de archivo de copia de seguridad de registro recién generado debe configurarse para que sea inmutable, y el nuevo atributo de archivo de registro activo solo se agrega. Esto generalmente requiere agregar algunos comandos de control al script de actualización de registro.
En segundo lugar, la copia de seguridad
Después de completar la instalación de los sistemas Linux deberían realizar copias de seguridad de todo el sistema, entonces usted puede verificar la integridad del sistema de acuerdo con la copia de seguridad, por lo que puede averiguar si los archivos del sistema han sido ilegalmente Manipulado Si el archivo del sistema se ha dañado, también puede usar la copia de seguridad del sistema para restaurar al estado normal.
◆ Copia de seguridad en CD-ROM El mejor medio de copia de seguridad del sistema actual es un CD-ROM. Puede comparar periódicamente el sistema con el contenido del disco para verificar que la integridad del sistema se haya comprometido. Si el nivel de seguridad es particularmente exigente, puede configurar el disco para que pueda iniciarse y verificar el trabajo como parte del proceso de inicio del sistema. De esta manera, mientras se pueda arrancar desde el CD, el sistema no se ha destruido.
Si creas una partición de solo lectura, puedes volver a cargarlas desde la imagen del disco periódicamente. Incluso si las particiones como /boot, /lib, y /sbin no se pueden instalar como particiones de solo lectura, aún puede compararlas con la imagen del disco e incluso volver a descargarlas desde otra imagen segura en el momento del inicio.
◆ Otras formas de copia de seguridad Aunque muchos archivos en /etc cambian a menudo, muchos de los contenidos de /etc todavía se pueden colocar en el CD para verificar la integridad del sistema. Otros archivos que no se modifican a menudo se pueden copiar en otro sistema (como una cinta) o se pueden comprimir en un directorio de solo lectura. Este enfoque permite verificaciones adicionales de integridad del sistema basadas en la verificación utilizando la imagen del disco.
Dado que la mayoría de los sistemas operativos ahora se suministran con el CD, es muy conveniente crear un disco de arranque de emergencia o un disco de verificación de CD-ROM. Es muy efectivo y factible. Método de verificación.
En tercer lugar, mejorar el mecanismo de seguridad interno del sistema.
puede mejorar las funciones internas del sistema operativo Linux para evitar ataques de desbordamiento de búfer de forma altamente destructiva pero el más difícil de prevenir, aunque Tales mejoras requieren una cantidad considerable de experiencia y habilidad por parte de los administradores de sistemas, pero son necesarias para muchos sistemas Linux que requieren un alto nivel de seguridad.
◆ El parche de Linux seguro del Solaris Designer El parche de Linux seguro del Solaris Designer para la versión 2.0 kernel proporciona una pila no ejecutable para reducir la amenaza de desbordamientos de búfer, lo que mejora en gran medida la seguridad de todo el sistema.
Los desbordamientos de búfer son bastante difíciles de implementar porque el intruso debe poder determinar cuándo se producirá un desbordamiento de búfer potencial y dónde aparecerá en la memoria. Los desbordamientos de búfer también son muy difíciles de prevenir. Los administradores del sistema deben eliminar por completo la existencia de desbordamientos de búfer para evitar este tipo de ataque. Debido a esto, muchas personas incluso incluyen Linux Torvalds, que también consideran importante este parche seguro de Linux porque evita todos los ataques que usan desbordamientos de búfer. Sin embargo, es importante tener en cuenta que estos parches también causan problemas con ciertos programas y bibliotecas en la pila de ejecución, lo que también plantea nuevos desafíos para los administradores de sistemas.
Los parches de pila no ejecutables se han distribuido en muchas listas de correo seguras (tales como [email protected]), y los usuarios pueden descargarlas fácilmente.
◆ StackGuardStackGuard es una herramienta de parche de seguridad muy poderosa. Puede volver a compilar y vincular aplicaciones críticas con la versión de gcc parcheada por StackGuard.
StackGuard agrega la verificación de la pila para evitar el desbordamiento del búfer de ataque de la pila, aunque esto resultará en una leve degradación en el rendimiento del sistema, pero para aplicaciones específicas donde los niveles de seguridad son críticos, StackGuard sigue siendo muy Una herramienta para su uso.
Ahora que tiene una versión de Linux que usa SafeGuard, será más fácil para los usuarios usar StackGuard. Aunque el uso de StackGuard puede causar una degradación del rendimiento del sistema de aproximadamente 10 a 20%, puede evitar todo el desbordamiento del búfer.
◆ Agregar nuevas funciones de control de acceso El kernel de la versión 2.3 de Linux está intentando implementar una lista de control de acceso en el sistema de archivos, que se puede basar en las tres categorías originales (propietario, grupo y otros) mecanismo de control de acceso Añadir un control de acceso más detallado.
Las nuevas funciones de control de acceso se desarrollarán en los kernels de Linux 2.2 y 2.3, que eventualmente afectarán algunos de los problemas actuales con los atributos de los archivos ext2. Proporciona un control de seguridad más preciso que el sistema de archivos ext2 tradicional. Con esta nueva característica, las aplicaciones podrán acceder a ciertos recursos del sistema, como sockets iniciales, sin privilegios de superusuario.
◆ Control de acceso basado en conjuntos de reglas La comunidad de Linux está actualmente desarrollando un proyecto de Control de acceso basado en reglas (RSBAC) que pretende habilitar la seguridad B1 para el sistema operativo Linux. RSBAC es un marco de extensión basado en el control de acceso y extiende muchos métodos de invocación de sistemas. Admite una variedad de diferentes métodos de acceso y autenticación. Esto es útil para ampliar y mejorar la seguridad interna y local de los sistemas Linux.
Configuración de trampas y honeypots
Las llamadas trampas son software que pueden activar un evento de alarma cuando se activan, mientras que el programa Honey Pot se refiere al diseño. Para atrapar las trampas que tienen un intruso, intente activar una alarma dedicada. Al establecer procedimientos de trampa y honeypot, se puede emitir una alarma rápidamente en caso de un evento de intrusión. En muchas redes grandes, generalmente se diseñan programas especializados de trampas. Los procedimientos de trampa generalmente se dividen en dos tipos: uno es encontrar solo intrusos sin tomar medidas de venganza, y el otro es tomar acciones de represalia al mismo tiempo.
Una forma común de configurar un honeypot es afirmar deliberadamente que el sistema Linux utiliza una versión del servidor IMAP con muchas vulnerabilidades. Cuando un intruso escanea un gran puerto de estos servidores IMAP, cae en una trampa y activa una alarma del sistema.
Un ejemplo de otra trampa honeypot es el famoso phf, que es un script web cgi-bin muy frágil. El phf original fue diseñado para buscar números de teléfono, pero tiene un grave agujero de seguridad: permite a los intrusos utilizarlo para obtener archivos de contraseña del sistema o realizar otras operaciones maliciosas. El administrador del sistema puede configurar un script phf falso, pero en lugar de enviar el archivo de contraseña del sistema al intruso, devuelve cierta información falsa al intruso y, simultáneamente, alerta al administrador del sistema.
Otro tipo de trampa trampa de la miel puede inmediatamente negarse a permitir que un intruso continúe el acceso configurando la dirección IP del intruso en una lista negra en el firewall. Rechazar visitas hostiles puede ser a corto o largo plazo. El código de firewall en el kernel de Linux es excelente para hacer esto.
V. intrusión cortado de raíz
intrusos antes de atacar la cosa más común de hacerlo es el número final de exploraciones, si la capacidad de detectar y disuadir a los intrusos extremo No. barrido El comportamiento de focalización puede reducir en gran medida la incidencia de eventos de intrusión. El sistema de reacción puede ser un simple filtro de paquetes de verificación de estado, o puede ser un sistema complejo de detección de intrusos o un firewall configurable.
◆ Abacus Port SentryAbacus Port Sentry es un conjunto de herramientas de código abierto que supervisa las interfaces de red e interactúa con los firewalls para desactivar los ataques de escaneo de puertos. Cuando se produce un escaneo de puerto en curso, Abacus Sentry puede detener rápidamente su continuación. Pero si está mal configurado, también puede permitir que personas externas hostiles instalen ataques de denegación de servicio en su sistema.
Abacus PortSentry proporciona una medida muy eficaz de prevención de intrusiones si se utiliza con una herramienta de proxy transparente en Linux. Esto redirige los puertos no utilizados que proporcionan servicios genéricos para todas las direcciones IP a Port Sentry, que puede detectar y bloquear las exploraciones de puertos a tiempo antes de que el intruso tome medidas adicionales.
Kobject, kset es la estructura básica del modelo de dispositivo. El modelo de dispositivo utiliza
En sistemas similares a Unix, puede usar top para ver recursos del sistema, procesos, uso de memoria
Noticias de la tienda de computadoras: De acuerdo con el último informe de un sitio web de tecnologí
IAP, el nombre completo es Programación en la aplicación, el chino se interpreta como Programación
lanmp /lámpara /PNMB un paquete de instalación de la llave en Linux
Webalizer archivos de ayuda china Glosario
Ecmal añadir tiendas a granel (incluyendo la zonificación y permisos)
Sistema de archivos XFS en el entorno Linux
Fotoacoplador y su circuito de aplicación Figura
Tutorial básico de instalación de entorno de prueba OpenIPMP en Windows
El panel de control de Win8.1 no tiene el servicio BitLocker para usar BitLocker
Error en la búsqueda del sistema de Windows XP
Cómo configurar una conexión de red inalámbrica en Windows 8
Cómo Win10 convierte el botón de búsqueda en la barra de búsqueda
Win8 consejos y trucos para jugar Windows 8 destacados de la aplicación
Solucionar error de archivo DLL o pérdida en Windows 2000
¿Cómo borra el sistema Win7 el historial de Word?
Cómo resolver el problema del 100% del uso de memoria ekrn.exe en WinXP