Linux システムのローカル プロセスを攻撃するにはどのような方法がありますか?

Linux システムのローカル プロセス攻撃手法には、1. サービス拒否攻撃 (DOS)、2. ローカル ユーザーが未承認のファイルの読み取りおよび書き込み権限を取得、3. リモート ユーザーが特権ファイルの読み取りおよび書き込み権限を取得、5. リモート ユーザーが特権ファイルの読み取りおよび書き込み権限を取得、5. リモート ユーザーが権限のあるファイルの読み取りおよび書き込み権限を取得、および 3. リモート ユーザーが権限のあるファイルの読み取りおよび書き込み権限を取得します。 4. リモート ユーザーが root 権限を取得します。

このチュートリアルの動作環境: Windows 10 システム、Dell G3 コンピューター。

Linux システムのローカル プロセスを攻撃する方法は何ですか?

linux システム Linux エンタープライズ アプリケーションの拡大に伴い、多数のネットワーク サーバーが Linux オペレーティング システムを使用しています。 Linux サーバーのセキュリティ性能への注目が高まっていますが、ここでは攻撃の深さに応じて Linux サーバーを分類し、さまざまなソリューションを提案します。

Linux サーバー攻撃の定義は次のとおりです。攻撃とは、Linux サーバーのセキュリティを妨害、損傷、弱体化、または破壊することを目的とした不正な行為です。攻撃の範囲は、サービス拒否から Linux サーバーの完全な侵害および破壊まで多岐にわたります。 Linuxサーバーに対する攻撃には様々な種類がありますが、本記事では攻撃の深さの観点から攻撃を4つのレベルに分けて説明します。

攻撃レベル 1. サービス拒否攻撃 (DOS)

DOS 攻撃ツールが急増しており、ターゲットとなるプロトコル層の欠陥は攻撃できないため、短期的には変化し、DOS は最も普及しており、防ぐのが最も難しい攻撃方法になりました。

サービス拒否攻撃には、分散型サービス拒否攻撃、反射型分散型サービス拒否攻撃、DNS 分散型サービス拒否攻撃、FTP 攻撃などが含まれます。ほとんどのサービス拒否攻撃は比較的低レベルの危険を引き起こし、システムの再起動を引き起こす可能性のある危険でさえ一時的な問題にすぎません。このタイプの攻撃は、ネットワーク制御を狙う攻撃とは大きく異なり、一般にデータのセキュリティには影響しませんが、サービス妨害攻撃は長期間継続するため、対処が非常に困難です。

現時点では、この種の攻撃を阻止する絶対的な方法はありません。しかし、これを黙って利用すればよいというわけではなく、個人ホストが悪用されないように保護を強化することの重要性を強調するとともに、サーバーの管理を強化することも非常に重要です。メッセージの送信元アドレスの真のアドレスを検証するための検証ソフトウェアとフィルタリング機能を必ずインストールしてください。さらに、いくつかの種類のサービス拒否に対して、不要なサービスを閉じる、同時にオープンされる Syn セミ接続の数を制限する、Syn セミ接続のタイムアウトを短縮する、システム パッチを一時的に更新するなどの対策を講じることができます。タイムリーなやり方。

攻撃レベル 2: ローカル ユーザーが不正なファイルの読み取りおよび書き込み権限を取得しました

ローカル ユーザーとは、ローカル ネットワーク上の任意のマシンでパスワードを持っているユーザーを指します。したがって、特定のドライブ上にユーザーのディレクトリが存在します。ローカル ユーザーが権限のないファイルへの読み取りおよび書き込み権限を取得する問題がリスクを引き起こすかどうかは、アクセスされるファイルの重要度によって大きく異なります。ローカル ユーザーが一時ファイル ディレクトリ (/tmp) に自由にアクセスすることは危険であり、次のレベルの攻撃への道を開く可能性があります。

レベル 2 の主な攻撃方法は次のとおりです: ハッカーは正当なユーザーをだまして機密情報を教えたり、タスクを実行させたりします。場合によっては、ハッカーはネットワーク管理者になりすましてユーザーに電子メールを送信し、ユーザーにシステムのパスワードを要求することもありますアップグレード。

ローカル ユーザーによって開始される攻撃は、ほとんどの場合、リモート ログインから始まります。 Linux サーバーの場合、最善の方法は、すべてのシェル アカウントを別のマシンに配置することです。つまり、シェル アクセスが割り当てられた 1 つ以上のサーバーでの登録のみを受け入れることです。これにより、ログ管理、アクセス制御管理、リリース プロトコル、およびその他の潜在的なセキュリティ問題の管理が容易になります。ユーザーCGIを保存するシステムも区別する必要があります。これらのマシンは、特定のネットワーク セグメント内に分離する必要があります。つまり、ネットワークの構成に応じて、ルーターまたはネットワーク スイッチで囲む必要があります。トポロジでは、ハードウェア アドレス スプーフィングがこのゾーンを超えて拡張できないようにする必要があります。

攻撃レベル 3: リモート ユーザーが特権ファイルの読み取りおよび書き込み権限を取得します

攻撃の 3 番目のレベルでは、特定のファイルが存在するかどうかを確認するだけでなく、これらのファイルの読み取りと書き込みが可能です。この状況が発生する理由は、Linux サーバー構成にいくつかの弱点があるためです。リモート ユーザーは、有効なアカウントがなくてもサーバー上で限られた数のコマンドを実行できます。

パスワード攻撃手法は、第 3 レベルの主な攻撃手法であり、パスワードを破壊することが最も一般的な攻撃手法です。パスワード クラッキングは、パスワードで保護されたリソースのロックを解除するためのツールの使用の有無にかかわらず、ネットワーク、システム、またはリソースへの侵入を説明するために使用される用語です。ユーザーはパスワードを無視することが多く、パスワード ポリシーを強制するのは困難です。ハッカーは、テクノロジーや社会によって保護されているパスワードを破るためのさまざまなツールを持っています。主に辞書攻撃（Dictionary攻撃）、ハイブリッド攻撃（ハイブリッド攻撃）、ブルートフォース攻撃（ブルートフォース攻撃）があります。ハッカーがユーザーのパスワードを取得すると、ユーザーの多くの権限が与えられることになります。パスワードの推測とは、一般的なパスワードを手動で入力するか、プログラムされたプログラムの元のコピーからパスワードを取得することを指します。誕生日、記念日、配偶者の名前などの単純なパスワードを選択するユーザーもいますが、文字と数字を組み合わせて使用​​するというルールには従いません。ハッカーが 8 文字の誕生日の数字を推測するのにそれほど時間はかかりません。

レベル 3 攻撃に対する最善の防御策は、アクセス権限を厳密に制御すること、つまり、有効なパスワードを使用することです。

主に、パスワードには文字、数字、大文字と小文字を混在して使用する必要があるというルールが含まれます (Linux は大文字と小文字を区別するため)。

「#」、「%」、「$」などの特殊文字を使用すると、さらに複雑になります。たとえば、「countbak」という単語の後に「#$」 (countbak#$) を追加すると、非常に効果的なパスワードが完成します。

攻撃レベル 4、リモート ユーザーが root 権限を取得

攻撃レベル 4 は、決して起こってはならないことを指します。これは致命的な攻撃です。攻撃者が Linux サーバー上で root、スーパーユーザー、または管理者の権限を持っており、すべてのファイルの読み取り、書き込み、実行ができることを示します。言い換えれば、攻撃者は Linux サーバーを完全に制御でき、いつでもネットワークを完全にシャットダウンしたり、破壊したりすることができます。

攻撃レベル 4 の主な攻撃形態は、TCP/IP シリアル盗難、パッシブ チャネル リスニング、およびパケット傍受です。 TCP/IP シリアル盗難、パッシブ チャネル リスニング、およびパケット傍受は、ネットワークに侵入するための重要な情報を収集する方法です。サービス拒否攻撃とは異なり、これらの方法は盗難に似た性質があり、隠蔽性が高く、検出が困難です。

TCP/IP 攻撃が成功すると、ハッカーは 2 者間のトランザクションをブロックできるようになり、中間者攻撃の良い機会となります。その後、ハッカーは一方または両方のトランザクションを制御できるようになります。被害者が気付かないうちに。。ハッカーは受動的な盗聴を通じて、情報を操作および登録し、ファイルを配信し、ターゲット システム上のすべての通過可能なチャネルから通過可能な重要なポイントを見つけます。ハッカーは、接続とパスワードの間の接続ポイントを探して、正規のチャネルを特定します。パケット インターセプトには、ターゲット システム上のアクティブなリスナー プログラムを制約して、すべてまたは特定のメッセージをインターセプトしてリダイレクトすることが含まれます。情報は読み取りのために違法なシステムにリダイレクトされ、変更されずにハッカーに送り返される可能性があります。

TCP/IP の継続的な盗難は、実際にはネットワーク スニッフィングです。誰かがネットワークにスニファを接続したことが確実な場合は、いくつかの検証ツールを見つけることができることに注意してください。このツールはタイム ドメイン反射率計 (TDR) と呼ばれます。 TDR は電磁波の伝播と変化を測定します。 TDR をネットワークに接続すると、ネットワーク データにアクセスする不正なデバイスを検出できます。しかし、多くの中小企業はそのような高価なツールを持っていません。

スニファー攻撃を防ぐ最善の方法は次のとおりです:

1. 安全なトポロジ。スニファは、現在のネットワーク セグメント上のデータのみをキャプチャできます。これは、ネットワークを細分化すればするほど、スニファーが収集できる情報が少なくなることを意味します。

2. セッションの暗号化。データが盗聴されることについて特に心配する必要はありませんが、盗聴者が盗聴されたデータを認識しないようにする方法を見つけてください。このアプローチの利点は明らかです。攻撃者がデータを盗聴しても、そのデータは役に立たないのです。

特別なヒント: 攻撃に対する反撃対策

第 2 レベルを超える攻撃には特に注意する必要があります。それは、Linux サーバーに侵入するために攻撃レベルを継続的に高めることができるからです。現時点で私たちが講じられる対策は次のとおりです。

まず、重要な企業データをバックアップします。

システム内のすべてのパスワードを変更し、システム管理者から新しいパスワードを見つけるようにユーザーに通知します。

攻撃動作が狭い範囲でのみ発生するようにネットワーク セグメントを分離します。

この動作を継続させてください。可能であれば、攻撃者をシステムから急いで排除せず、次のステップに備えてください。

すべての行動を記録し、証拠を収集します。これらの証拠には、システム ログイン ファイル、アプリケーション ログイン ファイル、AAA (認証、認可、アカウンティング、認証、認可、アカウンティング) ログイン ファイル、RADIUS (リモート認証ダイヤルイン ユーザー サービス) ログイン、ネットワーク要素ログ (ネットワーク要素ログ) が含まれます。ファイアウォール ログイン、HIDS (ホストベース IDS、ホストベース侵入検知システム) イベント、NIDS (ネットワーク侵入検知システム) イベント、ディスク ドライブ、隠しファイルなど。

証拠を収集する際は注意してください: 機器を移動または解体する前に写真を撮ってください。捜査中は 2 人体制のルールに従い、情報の改ざんを防ぐために情報収集には少なくとも 2 人が参加してください。すべての情報を記録する必要があります。実行されたすべての手順と構成設定への変更を安全な場所に記録します。システム内のすべてのディレクトリのアクセス許可をチェックし、Permslist が変更されているかどうかを検出します。

(ネットワークのさまざまな部分を使用して) さまざまな試みを行って、攻撃元を特定します。

合法的な武器を使って犯罪と戦うためには証拠を保全する必要があり、証拠形成には時間がかかります。これを行うには、攻撃の矢面に耐えなければなりません (ただし、攻撃がネットワークに損害を与えないように、いくつかのセキュリティ対策を講じることはできます)。この場合、何らかの法的措置を講じるだけでなく、少なくとも 1 つの権威あるセキュリティ会社にこの犯罪の防止を依頼する必要があります。この種の作戦の最も重要な特徴は、犯罪の証拠を入手し、加害者の住所を見つけて、所有するログを提供することです。収集された証拠は効果的に保存されるべきです。最初に 2 部コピーを作成し、1 部は証拠の評価用、もう 1 部は法的検証用に作成します。

システムの脆弱性を発見したら、それをブロックし、自己攻撃テストを実施してみます。

ネットワーク セキュリティは単なる技術的な問題ではなく、社会的な問題です。企業はネットワーク セキュリティにもっと注意を払う必要があります。盲目的に技術ツールのみに依存すると、企業はますます消極的になってしまいます。サイバー犯罪と戦うために社会的および法的側面を活用することによってのみ、より効果的に対処することができます。我が国には、サイバー犯罪との戦いについて明確な司法解釈がありますが、残念なことに、ほとんどの企業は技術的リンクの役割のみに注目し、法的および社会的要因を無視しています。これがこの記事を書く目的でもあります。

用語の説明: サービス拒否攻撃 (DOS)

DOS は Denial Of Service、Denial of Service の略称であり、Microsoft の DOS オペレーティング システムとは考えられません。 DOS 攻撃は、通常、サーバー側のリソースを消費することを目的として、ターゲット マシンにサービスやリソース アクセスの提供を停止させます。サーバーの処理能力を超えるリクエスト データを偽造することにより、サーバーの応答がブロックされ、通常のユーザー リクエストを実行できなくなります。攻撃を達成するために応答します。

関連知識の詳細については、FAQ 列をご覧ください。

以上がLinux システムのローカル プロセスを攻撃するにはどのような方法がありますか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。