如何分级抵御对Linux服务器的攻击

　　随着Linux企业应用的扩展，有大量的网络服务器使用Linux操作系统。Linux服务器的安全性能受到越来越多的关注，这里根据Linux服务器受到攻击的深度以级别形式列出，并提出不同的解决方案。

　　对Linux服务器攻击的定义是：攻击是一种旨在妨碍、损害、削弱、破坏Linux服务器安全的未授权行为。攻击的范围可以从服务拒绝直至完全危害和破坏Linux服务器。对Linux服务器攻击有许多种类,本文从攻击深度的角度说明，我们把攻击分为四级。

　　攻击级别一：服务拒绝攻击(DoS)

　　由于DoS攻击工具的泛滥，及所针对的协议层的缺陷短时无法改变的事实，DoS也就成为了流传最广、最难防范的攻击方式。

　　服务拒绝攻击包括分布式拒绝服务攻击、反射式分布拒绝服务攻击、DNS分布拒绝服务攻击、FTP攻击等。大多数服务拒绝攻击导致相对低级的危险，即便是那些可能导致系统重启的攻击也仅仅是暂时性的问题。这类攻击在很大程度上不同于那些想获取网络控制的攻击，一般不会对数据安全有影响，但是服务拒绝攻击会持续很长一段时间，非常难缠。

　　到目前为止，没有一个绝对的方法可以制止这类攻击。但这并不表明我们就应束手就擒，除了强调个人主机加强保护不被利用的重要性外，加强对服务器的管理是非常重要的一环。一定要安装验证软件和过滤功能，检验该报文的源地址的真实地址。另外对于几种服务拒绝可以采用以下措施：关闭不必要的服务、限制同时打开的Syn半连接数目、缩短Syn半连接的time out 时间、及时更新系统补丁。

　　攻击级别二：本地用户获取了他们非授权的文件的读写权限

　　本地用户是指在本地网络的任一台机器上有口令、因而在某一驱动器上有一个目录的用户。本地用户获取到了他们非授权的文件的读写权限的问题是否构成危险很大程度上要看被访问文件的关键性。任何本地用户随意访问临时文件目录(/tmp)都具有危险性，它能够潜在地铺设一条通向下一级别攻击的路径。

　　级别二的主要攻击方法是：黑客诱骗合法用户告知其机密信息或执行任务，有时黑客会假装网络管理人员向用户发送邮件，要求用户给他系统升级的密码。

　　由本地用户启动的攻击几乎都是从远程登录开始。对于Linux服务器，最好的办法是将所有shell账号放置于一个单独的机器上，也就是说，只在一台或多台分配有shell访问的服务器上接受注册。这可以使日志管理、访问控制管理、释放协议和其他潜在的安全问题管理更容易些。还应该将存放用户CGI的系统区分出来。这些机器应该隔离在特定的网络区段，也就是说，根据网络的配置情况，它们应该被路由器或网络交换机包围。其拓扑结构应该确保硬件地址欺骗也不能超出这个区段。

　　攻击级别三：远程用户获得特权文件的读写权限

　　第三级别的攻击能做到的不只是核实特定文件是否存在，而且还能读写这些文件。造成这种情况的原因是：Linux服务器配置中出现这样一些弱点：即远程用户无需有效账号就可以在服务器上执行有限数量的命令。

　　密码攻击法是第三级别中的主要攻击法，损坏密码是最常见的攻击方法。密码破解是用以描述在使用或不使用工具的情况下渗透网络、系统或资源以解锁用密码保护的资源的一个术语。用户常常忽略他们的密码，密码政策很难得到实施。黑客有多种工具可以击败技术和社会所保护的密码。主要包括：字典攻击(Dictionary attack)、混合攻击(Hybrid attack)、蛮力攻击(Brute force attack)。一旦黑客拥有了用户的密码，他就有很多用户的特权。密码猜想是指手工进入普通密码或通过编好程序的正本取得密码。一些用户选择简单的密码—如生日、纪念日和配偶名字，却并不遵循应使用字母、数字混合使用的规则。对黑客来说要猜出一串8个字生日数据不用花多长时间。

　　防范第三级别的攻击的最好的防卫方法便是严格控制进入特权，即使用有效的密码。

　　◆ 主要包括密码应当遵循字母、数字、大小写(因为Linux对大小写是有区分)混合使用的规则。

　　◆ 使用象“#”或“%”或“$”这样的特殊字符也会添加复杂性。例如采用"countbak"一词，在它后面添加“#$”(countbak#$)，这样您就拥有了一个相当有效的密码。

　　计算机系统中，用户在一般情况并不直接与内核打交道，中间还有一层应用层作为接口在用户与内核之间相互作用着，但这种设计能够保护内核不会被用户肆意修改窥测，但也随之带来了安全问题，由于应用层并不是能完全信任之的，因此在操作系统安全功能中，往往会提供可信路径这一功能[这也是橘皮书 B2 级的安全要求]。

　　可信路径[trusted path]是怎么样的概念?顾名思义，它就是这么一种功能的实现：避过应用层，在用户与内核之间开辟一条直接的可信任的交互通道。真的有必要那么麻烦，不得不在进行高风险操作时使用可信路径与内核互动吗?遗憾地告诉你：确实是!有经验的系统管理员普遍都很清楚来自网络的威胁有多么严重。黑帽子们能使用特洛伊木马[Trojan horse],记录你在登陆及其它敏感操作时的行动，从而窃取你的宝贵口令。

　　你一定对"ctrl + alt + del"三键序列极有印象，在DOS年代，我们用它快速重启机器，并称之为"热启动"，而在WINDOWS 9X时代，我们则用它查看进程，不过也许你没有注意到，在WINDOWS9X 向WINNT过渡后，我们的PC也运行着NT内核的WIN2000/XP时，事实上"ctrl + alt + del"三键的职能已经有了些微改变，微软在它的官方文档中，称"ctrl + alt + del"为SAS[Secure Attention Sequence]，并且将之列为安全功能-可信路径的构成部分，而在linux下，也有着类似的按键序列可用。

　　Linux 环境下的安全留意键—— SAK[Secure Attention Key],这个SAK是一组键, 在我们常见的X86平台下，它是"alt+sysrq+k"，而在SPARC下，SAK则是"alt+STOP+k", SAK默认不打开，需要用 echo "1" > /proc/sys/kernel/sysrq 这条命令激活，当然，你也可以将它写进登录脚本中，这样就不必每次麻烦了。对SAK实现有兴趣的朋友，可以参考参考 linux/drivers/char/sysrq.c和 linux/drivers/char/tty_io.c::do_SAK

　　SAK序列键其实是被称做"magic sysrq key" 中的一组，"magic sysrq key" 还有一些特殊键，与SAK一样，它们都是使用"alt + sysrq + ..."格式，其中的...可换为某些特殊的字母比如"i",在《MAGIC SYSRQ KEY DOCUMENTATION v1.32》手册上，"alt + sysrq +i" 所代表的行为是"Send a SIGKILL to all processes, except for init." 意思就是向除了 init 外的所有进程发送一条kill 信号;现在我们看看在

　　《MAGIC SYSRQ KEY DOCUMENTATION v1.32》手册中对"alt + sysrq +k"的解释吧：

　　"sa"K" (Secure Access Key) is usefull when you want to be

　　sure there are no trojan program is running at console and

　　which could grab your password when you would try to login.

　　It will kill all programs on given console and thus

　　letting you make sure that the login prompt you see is

　　actually the one from init, not some trojan program. "

　　这段话正是SAK的功能写照：SAK对你确定在登陆时没有试图窃取密码的特洛伊木马程序运行在当前控制台上，它能杀死当前控制台上的全部应用程序，以此令你确信看到的登陆画面来自init,而非木马程序。当你按下这组键时，也就是引发了这一特定事件，那么按照设计的流程，系统陷入核心状态，这时你将可以直接与内核沟通，也就是说，出现在你的“理应”是如假包换的真实登陆提示信息，为什么是理应?我们下文分析:->