联合挑战第九期 “快速定位入侵攻击” 礼品多多！

flb_2001

做linux安全的多吗?

为什么删我号

我也参与了
cxt442 发表于 2010-07-16 09:43

   

rain_fish

{:3_189:}

dream168

不错的活动

renxiao2003

回复 165# 为什么删我号


    你的分分还没有恢复啊。

jerrywjl

关于定位入侵和检测入侵的一些体会：

知道我们一般都用什么方法定位入侵？以常用的RHEL系统为例，我也来谈谈我的方法：


1。看日志是使用Linux系统的基本功。
系统上默认开启的形形色色的日志，一定都有他存在的道理，对于我们来说，接到问题的本能就是先去看日志。
那么和安全有关的日志有哪些？大家应该都清楚，就是/var/log/secure，这个文件详细记录了用户登录、用户管理相关的情况和信息。而为什么会这样，这就是由系统日志的总开关/etc/syslog.conf所定义，你可以通过remote log server或者syslog-ng来将日志远程定向到其他服务器，但是不建议更改其中的其他配置，把不同的日志打散到不同的文件，否则一旦你要逐行去查询的时候能郁闷死你！
什么样的日志能反映出入侵？很简单：

如果你发现在这个文件中的内容：
第一，有很多来自不明的IP请求；第二，有很多unknown的用户名；第三，有很多authentication failed的提示；第四，频率一致而且间隔时间很短（一般穷举软件在尝试猜密码的典型特征）。那么恭喜你，你的系统已经被人盯上了，该改什么改什么吧！


2。了解系统的基本结构。
我们都知道，目前的发行版Linux系统实际上是由一个来自上游社区经过无数软件工程师开发和维护的内核加上一堆开源社区的工具软件构成。由于开源的原因，内核本身的安全问题在使用过程当中会由社区和系统厂商进行不断的修补和加强，因此我们在大多数情况下不用怀疑内核本身的安全性和性能；而至于其外围的库和软件，在商业版系统上一般采用的不是软件的最新版本，而是经过测试比较稳定和安全的版本，即便发现新的问题，也会和厂商负责各个软件组的维护者联系，和安全相关的问题往往会在第一时间内提供更新和补丁。因此这部分内容也不必有太多的担心。

3。定位重要的文件。
另外发行版Linux最大的特点就是灵活和透明，你可以想象他们都是一堆二进制文件堆起来的一个系统，既然这样，检测入侵的一个重要手段，就是看文件被修改的情况了。

这里面常用的工具是rpm -Va和aide，实话实说，aide尽管是系统自带的专用工具，但是我百年未必用得了一次。无他，就是感觉麻烦，还要专门配置，尽管配置不繁琐。还是rpm -Va >来的方便。这个命令不消多说，很多人都知道他的意思，就是将所有包所安装的所有文件的改动情况列出来，如果某些关键文件被修改，他的MD5会变。其中有些文件被改当然很正常，但是某些文件被改就不太对劲了。

比如说/etc/rc.d/rc.sysinit这是系统启动脚本，/etc/login.defs关于登录控制的总开关，/etc/pam.d/system-auth，/etc/syslog.conf，最后还有一些lib库尤其是和glibc相关的东西被动了，那就要多少引起注意了，不过当然，prelink的不算。


个人的一点体会，如果有用，可以再聊。

rain_fish

{:3_189:}