您現(xiàn)在的位置:首頁(yè) >關(guān)于我們 >行業(yè)新聞 >基于Linux的服務(wù)器系統(tǒng)的風(fēng)險(xiǎn)評(píng)估

基于Linux的服務(wù)器系統(tǒng)的風(fēng)險(xiǎn)評(píng)估

時(shí)間:2011年2月21日

  維護(hù)一個(gè)企業(yè)級(jí)的安全的計(jì)算環(huán)境需要設(shè)計(jì)策略和過(guò)程從而使得對(duì)系統(tǒng)和數(shù)據(jù)的未授權(quán)訪問(wèn)降至最低。為了保護(hù)基于Linux的計(jì)算機(jī)資產(chǎn)免于這些威脅,像許多其它以安全為核心的過(guò)程一樣,服務(wù)器租用你必須知道你想保護(hù)什么以及別人可能會(huì)如何嘗試獲取訪問(wèn)。成功的安全管理是心態(tài)。也就是說(shuō),像壞孩子那樣思考。

  在本文中,我們將會(huì)討論基于Linux的服務(wù)器系統(tǒng)的風(fēng)險(xiǎn)評(píng)估。

  確保你的Linux服務(wù)器系統(tǒng)安全的第一步是正確地評(píng)估所面臨的風(fēng)險(xiǎn)。只有這之后企業(yè)才能部署一套有效的防護(hù)措施來(lái)預(yù)防、偵測(cè),并且如果需要的話對(duì)于可能發(fā)生的違規(guī)正確地做出反應(yīng)。

  首先,辨識(shí)需要保護(hù)的Linux資產(chǎn)。資產(chǎn)可能包括硬件、軟件、數(shù)據(jù)或像email或Web站點(diǎn)主機(jī)這樣運(yùn)轉(zhuǎn)的服務(wù)。每個(gè)資產(chǎn)都具有價(jià)值,要么是貨幣價(jià)值要么是未來(lái)可能帶來(lái)收入。

  接著,辨識(shí)每個(gè)資產(chǎn)面臨的潛在威脅。威脅可能來(lái)自組織的內(nèi)部或外部。一些內(nèi)部威脅只不過(guò)是偶然的,但是有些可能是惡意的。

  對(duì)于資產(chǎn)的威脅依賴于攻擊的動(dòng)機(jī)和攻擊者如何獲得對(duì)資產(chǎn)的訪問(wèn)。動(dòng)機(jī)可能是純粹的挑戰(zhàn),傷害資產(chǎn)的擁有者,或是為了謀利。攻擊者可能想訪問(wèn)你的數(shù)據(jù)或只是拒絕合法用戶的訪問(wèn)。每個(gè)威脅都有被利用的必然的可能性,這通常與資產(chǎn)的價(jià)值相關(guān)。雖然在組織內(nèi)廣泛地了解和變化會(huì)有困難,但是使用一個(gè)風(fēng)險(xiǎn)管理框架來(lái)給每個(gè)辨識(shí)的威脅分配一個(gè)可能性,會(huì)幫助你對(duì)緩和這些風(fēng)險(xiǎn)需要采取的行動(dòng)進(jìn)行優(yōu)先級(jí)安排。

  盡管不可能列出所有潛在的威脅途徑,但一份最常見(jiàn)風(fēng)險(xiǎn)的概述能讓你開始自己的風(fēng)險(xiǎn)評(píng)估。

  最棘手的威脅途徑是用戶。盡管有各種的保護(hù)機(jī)制,人們?nèi)匀粫?huì)被愚弄或被要挾做出不恰當(dāng)?shù)男袨椤S脩舻囊庾R(shí)、培訓(xùn)和訪問(wèn)權(quán)限是緩和任何Linux風(fēng)險(xiǎn)的重要部分。

  密碼在任何計(jì)算環(huán)境中經(jīng)常代表著最常見(jiàn)的軟肋。為了辨識(shí)不安全的登錄密碼,服務(wù)器租用運(yùn)行如John the Ripper這樣的密碼有效性檢查器。應(yīng)用和數(shù)據(jù)庫(kù)的密碼也應(yīng)該檢查“可被破解性”或是進(jìn)行修改以便滿足這樣的需求。同時(shí),辨識(shí)Linux服務(wù)器上不需要的訪問(wèn)授權(quán)。例如,如果密碼文件(/etc/passwd)被遠(yuǎn)程地分發(fā)(通過(guò)rcp/rcopy程序或NIS服務(wù)),用戶可能會(huì)對(duì)從未使用的服務(wù)器具有登錄訪問(wèn)權(quán)限,從而創(chuàng)造了毫無(wú)好處的潛在的威脅途徑。

  另外一個(gè)主要的威脅途徑是網(wǎng)絡(luò)。任何能訪問(wèn)你的本地網(wǎng)絡(luò)(物理的或是無(wú)線方式)的用戶有可能試圖連接到網(wǎng)絡(luò)上任何其它的資產(chǎn)。所有的Linux系統(tǒng)運(yùn)行開放的網(wǎng)絡(luò)端口,并等待來(lái)自網(wǎng)絡(luò)查詢的程序。每個(gè)這種服務(wù)都代表者一個(gè)威脅途徑,要么通過(guò)欺詐的認(rèn)證,或是由于軟件瑕疵可能錯(cuò)誤地允許訪問(wèn)。使用netstat命令來(lái)找到系統(tǒng)所有的開放端口。

  使用Nmap工具掃描網(wǎng)絡(luò)上其它機(jī)器的開放端口。每個(gè)開放端口代表著一個(gè)威脅途徑,應(yīng)該被關(guān)閉或是監(jiān)控非法的訪問(wèn)。不要忽視任何傳統(tǒng)的撥號(hào)訪問(wèn)點(diǎn)。防火墻是可信網(wǎng)絡(luò)和不可信網(wǎng)絡(luò)(如因特網(wǎng))之間的邊界。你的防火墻應(yīng)該配置只在已知和需要的端口上傳輸數(shù)據(jù)。防火墻傳輸數(shù)據(jù)的每個(gè)端口同樣都是一個(gè)威脅途徑。

  除了正常的監(jiān)控以外,你還應(yīng)該同時(shí)檢查日志來(lái)關(guān)聯(lián)需要的訪問(wèn)。Lastlog命令顯示用戶的登錄信息?梢栽诼窂/var/log/messages下發(fā)現(xiàn)各種各樣的日志信息。許多應(yīng)用和數(shù)據(jù)庫(kù)也提供記錄機(jī)制來(lái)追溯用戶的訪問(wèn)。檢查這些日志,你可以觀察當(dāng)前誰(shuí)在使用和(可能)需要訪問(wèn)特定的資源。

  無(wú)論什么復(fù)雜的軟件都是有缺陷的,但是只有當(dāng)缺陷以不受歡迎的行為表現(xiàn)它們時(shí)才會(huì)被了解。通常的bug只會(huì)破壞數(shù)據(jù)或是引起宕機(jī),但是有一些會(huì)造成無(wú)法預(yù)料的后果,比如允許未授權(quán)的訪問(wèn)。這明顯地表示為主要的危害。攻擊者不斷地搜索著這些類型的bug,而廠商們則在發(fā)現(xiàn)這些bug時(shí),盡力快速地修補(bǔ)它們和提供軟件補(bǔ)丁。你所能做的是確保定期地檢查和更新你的操作系統(tǒng)和應(yīng)用軟件。

  檢查L(zhǎng)inux服務(wù)器上軟件更新的過(guò)程依賴于應(yīng)用或是Linux版本。例如Ubuntu版本的Linux提供一個(gè)更新管理器(通過(guò)菜單“系統(tǒng)>管理>軟件源”可以發(fā)現(xiàn)),可以配置每天進(jìn)行檢查更新。你越經(jīng)常性地檢查更新,你的漏洞窗口越小。同樣對(duì)于來(lái)自未校驗(yàn)來(lái)源或作者的免費(fèi)程序或軟件要小心謹(jǐn)慎。

  需要監(jiān)控和保持更新的最重要的軟件是面臨外部環(huán)境的軟件,如Web服務(wù)器和網(wǎng)絡(luò)應(yīng)用(如VPN或SSH)。服務(wù)器租用Web服務(wù)器軟件定期地檢測(cè)糟糕的配置和bug.Web應(yīng)用可能會(huì)遇到惡作劇的輸入數(shù)據(jù)來(lái)進(jìn)行不正當(dāng)?shù)膽?yīng)用。大多數(shù)的Web應(yīng)用語(yǔ)言,像Perl、Python、Ruby或PHP有工具或可用的附件來(lái)凈化輸入數(shù)據(jù)以及禁止用戶輸入的代碼,如SQL或 Java腳本。你的Web服務(wù)器或是其它面臨外部環(huán)境的應(yīng)用接收來(lái)自用戶的數(shù)據(jù)都意味著可能的威脅。同樣,檢查這些程序產(chǎn)生的任何日志文件有助于你辨識(shí)合法和非法的訪問(wèn)。

Copyright© 2004-2020 河南海騰電子技術(shù)有限公司 版權(quán)所有   經(jīng)營(yíng)性ICP/ISP證 備案號(hào):B1-20180452   豫公網(wǎng)安備 41019702002018號(hào)    電子營(yíng)業(yè)執(zhí)照