分享
 
 
 

提高开放式 UNIX 平台的安全性

王朝system·作者佚名  2006-11-24
窄屏简体版  字體: |||超大  

使用 Mandrake MD5 校验和

Igor Maximov (uniug@cris.net)

Web 开发人员,softPilot.2000

本文要看一下使用一种新方法提高开放式 UNIX 安全性的小外壳(shell)应用程序。本文提供了对代码逐步的分析。作者的专业领域是 Web 编程及尖端网络安全性开发。

破坏系统并获得超级用户权限的恶意用户对所有的系统管理员都将是一场恶梦。为保护开放式 UNIX 平台,下面的小外壳应用程序将为开放式 UNIX 安全壁垒添砖加瓦。

开放式 UNIX 操作系统 FreeBSD 和 Linux Mandrake 都有完整的外壳安全系统。FreeBSD 程序的位置在 /etc/security。Linux 的 Mandrake 安全包可以在 /usr/share/msec 下找到。这些标准工具功能相近,但是,它们把对文件系统完整性的控制限于有 SUID 和 SGID 标志的文件。可 Mandrake 计算 MD5 文件校验和的方式不同于 FreeBSD。

通常正在运行的程序对系统资源的访问权限同该程序用户的权限对应。设置 SGID 和 SUID 标志会更改这一点,以便根据文件所有者的权限来指定访问权限。因此,不管程序用户是谁,root 用户的正运行着的可执行程序全都可以无任何限制的访问系统资源。在这种情况下,设置 SUID 和 SGID 标志导致了文件所有者的权限和组所有者的权限分别被继承。然后,单为运行时及单为程序对特权进行更改(通常是扩展)。由应用程序启动的其它进程也继承该应用程序的权限。因此,应该谨慎的设置 SUID 和 SGID 标志,而且只给那些不能启动任意任务的程序设置。

MD5

MD5 是数字签名应用程序的消息摘要算法,作者 Ronald L. Rivest 在 1991 年开发的。请参阅本文后面参考资料以得到算法的源代码及更多信息。

解决方案:使用 MD5 校验和

使用 SGID/SUID 标志跟踪对新系统文件所做的修改是一项极其困难的任务。但是,依靠足够的经验和谨慎,可以修改系统服务与设置而不更改标准文件属性(通常管理员会注意文件创建及修改的日期)。下面的程序基于对为防止修改而被伪装的 MD5 校验和进行的完整性测试,跟踪对指定目录中全部文件所做的修改。

FreeBSD 的 files-diffs 配置与源代码

标准服务在以下目录中:/etc *、/bin、/sbin、/modules、/usr/bin、/usr/sbin、/usr/lib *、/usr/libexec *、/usr/X11R6/bin、/usr/X11R6/lib *、/usr/local/bin、/usr/local/etc * 及 /usr/local/sbin。这样的层次结构对标准服务的完整性进行跟踪,但是无法跟踪那些也会受到损害的附加服务(Perl、Web、News 等)。用 * 标记的目录含有附加层次,且也应对它们进行跟踪。让 root 用户收到关于修改过的文件的每日的电子邮件报告是个好主意。设置我们的外壳程序:

以 root 用户身份登录

[cd /etc/periodic/daily]

把代码存到 files-diffs 文件

[chmod 755 files-diffs]

[chown root:wheel files-diffs]

清单 1. FreeBSD 的 files-diffs

#!/bin/bash

#

#Checking files for modification

#

#Written by Igor B. Maximov, uniug@cris.net

#

#Dirs with sub-folders checking

DeepDirs="/boot /etc /lib /sbin /usr/bin /usr/lib /usr/libexec"

#Dirs without sub-folders checking

Dirs="/bin /usr/local/bin /usr/local/sbin /usr/sbin"

TMP=/var/run/files-diff.$$

LOG=/var/log/security

(

for j in $DeepDirs

do

cd $j

for i in `/usr/bin/find . -type f -or -type l -or -type s -or -type p -xdev`

do

echo ${j}"/ "`(/bin/ls -l $i; /usr/bin/md5sum $i)`

done

done

for j in $Dirs

do

cd $j

for i in `/usr/bin/find . -type f -or -type l -or -type s -or -type p -xdev -maxdepth 1`

do

echo ${j}"/ "`(/bin/ls -l $i; /usr/bin/md5sum $i)`

done

done

)>${TMP}

if [ ! -f ${LOG}/files-diff.today ]; then

(

echo "No ${LOG}/files-diff.today"

cp ${TMP} ${LOG}/files-diff.today

)|mail -sNo_${LOG}/files-diff.today root

fi

if cmp ${LOG}/files-diff.today ${TMP} >/dev/null; then :; else

(

echo "files diffs: "

diff -b ${LOG}/files-diff.today ${TMP}

mv ${LOG}/files-diff.today ${LOG}/files-diff.yesterday

mv ${TMP} ${LOG}/files-diff.today

)|mail -sfiles-diff root

fi

if [ -f ${TMP} ]; then

rm ${TMP}

fi

Linux Mandrake 的 files-diffs 配置与源代码

标准服务的位置在以下目录中:/boot *、/etc *、/bin、/sbin *、/usr/bin *、/usr/sbin、/usr/lib *、/usr/libexec *、/usr/local/bin、/usr/local/etc * 及 /usr/local/sbin。假定您已经安装了 Mandrake 安全包(对 RPM: /System/Base/msec),请遵照如下这些安装说明:

以 root 用户身份登录

[cd /usr/share/msec]

把代码存在 files-diffs 文件

[chmod 755 files-diffs.sh]

[chown root:root files-diffs.sh]

打开 Security.sh 文件编辑并把下列串添加到文件的末尾:

. /usr/share/msec/files-diffs.sh

清单 2. Linux Mandrake 的 files-diffs

#!/bin/sh

#

#Checking files for modification

#

#Written by Igor B. Maximov, uniug@cris.net

#

#Dirs with sub-folders checking

DeepDirs="/etc /usr/lib /usr/libexec /usr/X11R6/lib /usr/local/etc"

#Dirs without sub-folders checking

Dirs="/bin /sbin /modules /usr/bin /usr/sbin /usr/X11R6/bin /usr/local/bin /usr/local/sbin"

TMP=/var/run/_files-diffs.$$

LOG=/var/log

(

for j in $DeepDirs

do

cd $j

for i in `/usr/bin/find . -type f -or -type l -or -type s -or -type p -xdev`

do

echo ${j}"/ "`(/bin/ls -l $i; /sbin/md5 $i)`

done

done

for j in $Dirs

do

cd $j

for i in `/usr/bin/find . -type f -or -type l -or -type s -or -type p -xdev -maxdepth 1`

do

echo ${j}"/ "`(/bin/ls -l $i; /sbin/md5 $i)`

done

done

)>${TMP}

if [ ! -f ${LOG}/files-diffs.today ]; then

(

echo "No ${LOG}/files-diffs.today"

cp ${TMP} ${LOG}/files-diffs.today

)|mail -sNo_${LOG}/files-diffs.today root

fi

if cmp ${LOG}/files-diffs.today ${TMP} >/dev/null; then :; else

(

echo "files diffs:"

diff -b ${LOG}/files-diffs.today ${TMP}

mv ${LOG}/files-diffs.today ${LOG}/files-diffs.yesterday

mv ${TMP} ${LOG}/files-diffs.today

)|mail -sfiles-diffs root

fi

if [ -f ${TMP} ]; then

rm ${TMP}

fi

进一步改进

通过在标准安全系统中单独使用该程序,您可以进一步改进系统的稳定性。如您采用这种做法,该程序的位置应该在另一目录,而且应该用不同的路径存储临时文件和源代码。这样,监视系统的存在对恶意用户并不明显,因而,不容易被避开。

参考资料

到 FreeBSD 官方站点去找新闻、软件、文档及支持。

请阅读 FreeBSD Handbook 查找关于 FreeBSD 4.3 安装与日常用法的信息。

请到官方的 Linux Mandrake 站点去找新闻以及开发者和产品支持信息。

查找更多关于 MDx 的信息。

获取 MD5 的描述和源代码。

阅读手册页(Man page):

适用于 FreeBSD:[man md5]

适用于 Linux Mandrake:[man md5sum]

查找更多关于 IBM ViaVoice ASR SDK 的 Linux Mandrake 和其它分发包版本。

查找更多关于 IBM 的 Internet Security Services.

还可以在 developerWorks 上阅读:

Addressing security issues in Linux

Linux 硬件稳定性指南,第 1 部分

Linux 硬件稳定性指南,第 2 部分

教程:安装 FreeBSD

看一下 developerWorks 上的安全性参考资料。

浏览 developerWorks 上的更多的 Linux 参考资料。

浏览 developerWorks 上的更多的开放源代码参考资料。

关于作者

Igor Maximov 是 softPilot.2000 项目(CONSUL Bureau, Sevastopol, Ukraine)的一名 Web 开发人员和系统管理员。他专注于网络安全性方面及 Web 编程方面的新想法。您可以通过 uniug@cris.net 同他联系。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有