Apakah cara untuk menyerang proses tempatan dalam sistem Linux?

Kaedah serangan proses tempatan sistem Linux termasuk: 1. Penafian serangan perkhidmatan (DOS); 4. Pengguna jauh mendapat keistimewaan root.

Persekitaran pengendalian tutorial ini: sistem Windows 10, komputer Dell G3.

Apakah cara untuk menyerang proses tempatan sistem Linux?

sistem linux Dengan pengembangan aplikasi perusahaan Linux, sejumlah besar pelayan rangkaian menggunakan sistem pengendalian Linux. Prestasi keselamatan pelayan Linux telah menerima lebih banyak perhatian Di sini kami menyenaraikan pelayan Linux dalam tahap mengikut kedalaman serangan dan mencadangkan penyelesaian yang berbeza.

Takrif serangan pelayan Linux ialah: Serangan ialah tingkah laku tidak dibenarkan yang direka untuk menghalang, merosakkan, melemahkan atau memusnahkan keselamatan pelayan Linux. Serangan boleh terdiri daripada penafian perkhidmatan untuk menyelesaikan kompromi dan pemusnahan pelayan Linux. Terdapat banyak jenis serangan pada pelayan Linux Artikel ini menerangkan dari perspektif kedalaman serangan, kami membahagikan serangan kepada empat peringkat.

Tahap Serangan 1. Serangan Penafian Perkhidmatan (DOS)

Disebabkan percambahan alat serangan DOS dan fakta bahawa kelemahan dalam lapisan protokol yang disasarkan tidak boleh berubah dalam jangka pendek, DOS telah menjadi kaedah serangan yang paling meluas dan paling sukar untuk dicegah.

Serangan penafian perkhidmatan termasuk serangan penafian perkhidmatan yang diedarkan, serangan penafian perkhidmatan teragih reflektif, serangan penafian perkhidmatan yang diedarkan DNS, serangan FTP, dsb. Kebanyakan serangan penafian perkhidmatan menyebabkan bahaya peringkat rendah, malah yang mungkin menyebabkan but semula sistem hanyalah masalah sementara. Jenis serangan ini sebahagian besarnya berbeza daripada yang ingin mengawal rangkaian Secara amnya, ia tidak akan menjejaskan keselamatan data, tetapi serangan penafian perkhidmatan akan bertahan lama dan sangat sukar untuk ditangani.

Setakat ini, tiada cara mutlak untuk menghentikan jenis serangan ini. Tetapi ini tidak bermakna kita hanya perlu duduk dan mengambil kesempatan daripadanya. Selain menekankan kepentingan mengukuhkan perlindungan hos peribadi daripada dieksploitasi, mengukuhkan pengurusan pelayan adalah bahagian yang sangat penting. Perisian pengesahan dan fungsi penapisan mesti dipasang untuk mengesahkan alamat sebenar alamat sumber mesej. Di samping itu, langkah-langkah berikut boleh diambil untuk beberapa jenis penafian perkhidmatan: tutup perkhidmatan yang tidak diperlukan, hadkan bilangan separa sambungan Syn dibuka pada masa yang sama, memendekkan masa tamat separa sambungan Syn dan kemas kini tampung sistem dalam tepat pada masanya.

Serangan Tahap 2: Pengguna tempatan telah memperoleh kebenaran membaca dan menulis tanpa kebenaran untuk fail

Pengguna tempatan merujuk kepada seseorang yang mempunyai kata laluan pada mana-mana mesin pada tempatan rangkaian, Oleh itu terdapat direktori pengguna pada pemacu tertentu. Sama ada isu pengguna tempatan mendapat kebenaran membaca dan menulis kepada fail yang mereka tidak diberi kuasa untuk menimbulkan risiko bergantung sebahagian besarnya pada kritikalnya fail yang diakses. Adalah berbahaya bagi mana-mana pengguna tempatan untuk mengakses direktori fail sementara (/tmp) secara bebas, yang berpotensi membuka laluan ke tahap serangan seterusnya.

Kaedah serangan utama pada tahap dua ialah: penggodam menipu pengguna yang sah untuk memberitahu mereka maklumat sulit atau melaksanakan tugas Kadangkala penggodam akan berpura-pura menjadi pengurus rangkaian dan menghantar e-mel kepada pengguna, meminta pengguna memberi mereka kata laluan untuk sistem naik taraf.

Serangan yang dimulakan oleh pengguna tempatan hampir selalu bermula dengan log masuk jauh. Untuk pelayan Linux, pendekatan terbaik ialah meletakkan semua akaun shell pada mesin yang berasingan, iaitu, hanya menerima pendaftaran pada satu atau lebih pelayan yang diberikan akses shell. Ini boleh menjadikan pengurusan log, pengurusan kawalan akses, protokol keluaran dan isu keselamatan berpotensi lain lebih mudah untuk diurus. Sistem yang menyimpan CGI pengguna juga harus dibezakan. Mesin ini harus diasingkan dalam segmen rangkaian tertentu, iaitu, ia harus dikelilingi oleh penghala atau suis rangkaian, bergantung pada cara rangkaian dikonfigurasikan. Topologi harus memastikan bahawa pemalsuan alamat perkakasan tidak boleh melampaui zon ini.

Tahap Serangan 3: Pengguna jauh memperoleh kebenaran baca dan tulis untuk fail istimewa

Tahap serangan ketiga bukan sahaja boleh mengesahkan sama ada fail tertentu wujud, tetapi juga Boleh membaca dan menulis fail-fail ini. Sebab bagi situasi ini ialah terdapat beberapa kelemahan dalam konfigurasi pelayan Linux: pengguna jauh boleh melaksanakan bilangan arahan yang terhad pada pelayan tanpa akaun yang sah.

Kaedah serangan kata laluan ialah kaedah serangan utama di peringkat ketiga, dan merosakkan kata laluan ialah kaedah serangan yang paling biasa. Pemecahan kata laluan ialah istilah yang digunakan untuk menggambarkan penembusan rangkaian, sistem atau sumber dengan atau tanpa penggunaan alat untuk membuka kunci sumber yang dilindungi kata laluan. Pengguna sering mengabaikan kata laluan mereka dan dasar kata laluan sukar dikuatkuasakan. Penggodam mempunyai pelbagai alat untuk mengalahkan kata laluan yang dilindungi oleh teknologi dan masyarakat. Terutamanya termasuk: serangan kamus (Serangan kamus), serangan hibrid (serangan Hibrid), serangan kekerasan (Brute force attack). Sebaik sahaja penggodam mempunyai kata laluan pengguna, dia mempunyai banyak keistimewaan pengguna. Meneka kata laluan merujuk kepada memasukkan kata laluan biasa secara manual atau mendapatkan kata laluan melalui salinan asal program yang diprogramkan. Sesetengah pengguna memilih kata laluan mudah—seperti hari lahir, hari jadi dan nama pasangan—tetapi tidak mengikut peraturan menggunakan gabungan huruf dan nombor. Ia tidak mengambil masa yang lama untuk seorang penggodam meneka nombor hari lahir lapan aksara.

Pertahanan terbaik terhadap serangan Tahap 3 adalah dengan mengawal ketat keistimewaan akses, iaitu menggunakan kata laluan yang sah.

Terutamanya termasuk peraturan bahawa kata laluan harus mengikut penggunaan campuran huruf, nombor dan huruf besar dan kecil (kerana Linux membezakan antara huruf besar dan huruf kecil).

Menggunakan aksara khas seperti "#" atau "%" atau "$" juga menambahkan kerumitan. Sebagai contoh, ambil perkataan "countbak", tambah "#$" (countbak#$) selepas itu, dan anda mempunyai kata laluan yang cukup berkesan.

Tahap Serangan 4: Pengguna jauh mendapat keistimewaan root

Tahap serangan keempat bermaksud perkara yang tidak sepatutnya berlaku Ini adalah serangan yang membawa maut. Menunjukkan bahawa penyerang mempunyai kebenaran root, superuser atau pentadbir pada pelayan Linux dan boleh membaca, menulis dan melaksanakan semua fail. Dalam erti kata lain, penyerang mempunyai kawalan penuh ke atas pelayan Linux dan boleh menutup sepenuhnya atau bahkan memusnahkan rangkaian pada bila-bila masa.

Bentuk serangan utama bagi empat peringkat serangan ialah kecurian bersiri TCP/IP, mendengar saluran pasif dan pemintasan paket. Kecurian bersiri TCP/IP, mendengar saluran pasif dan pemintasan paket adalah kaedah untuk mengumpul maklumat penting untuk memasuki rangkaian Tidak seperti serangan penafian perkhidmatan, kaedah ini mempunyai lebih sifat seperti kecurian dan lebih tersembunyi dan sukar untuk dikesan.

Serangan TCP/IP yang berjaya membolehkan penggodam menyekat urus niaga antara dua pihak, memberikan peluang yang baik untuk serangan man-in-the-middle, di mana penggodam kemudiannya boleh mengawal satu atau kedua-dua pihak. transaksi tanpa disedari oleh mangsa. Melalui penyadapan pasif, penggodam akan memanipulasi dan mendaftar maklumat, menghantar fail, dan mencari titik kritikal yang boleh dilalui daripada semua saluran yang boleh dilalui pada sistem sasaran. Penggodam akan mencari titik sambungan antara sambungan dan kata laluan untuk mengenal pasti saluran yang sah. Pemintasan paket melibatkan mengekang program pendengar aktif pada sistem sasaran untuk memintas dan mengubah hala semua atau mesej tertentu. Maklumat boleh dialihkan ke sistem haram untuk dibaca dan kemudian dihantar kembali kepada penggodam tidak berubah.

Kecurian berterusan TCP/IP sebenarnya adalah menghidu rangkaian Ambil perhatian bahawa jika anda pasti seseorang telah menyambungkan penghidu kepada rangkaian anda, anda boleh menemui beberapa alat pengesahan. Alat ini dipanggil Time Domain Reflectometer (TDR). TDR mengukur perambatan dan perubahan gelombang elektromagnet. Menyambungkan TDR ke rangkaian boleh mengesan peranti yang tidak dibenarkan yang mengakses data rangkaian. Walau bagaimanapun, banyak syarikat kecil dan sederhana tidak mempunyai alat yang begitu mahal.

Cara terbaik untuk mencegah serangan sniffer ialah:

1. Penghidu hanya boleh menangkap data pada segmen rangkaian semasa. Ini bermakna bahawa semakin terperinci anda membahagikan rangkaian anda, semakin sedikit maklumat yang boleh dikumpulkan oleh penghidu.

2. Jangan bimbang secara khusus tentang data yang dihidu, tetapi cari cara untuk membuat penghidu tidak mengenali data yang dihidu. Kelebihan pendekatan ini adalah jelas: walaupun penyerang menghidu data, data itu tidak berguna kepadanya.

Petua Khas: Tindakan balas terhadap Serangan

Anda harus memberi perhatian khusus kepada serangan yang melebihi tahap kedua. Kerana mereka boleh terus meningkatkan tahap serangan untuk menembusi pelayan Linux. Pada masa ini, langkah balas yang boleh kami ambil ialah:

Mula-mula, sandarkan data penting perusahaan penting.

Tukar semua kata laluan dalam sistem dan maklumkan pengguna untuk mencari kata laluan baharu daripada pentadbir sistem.

Asingkan segmen rangkaian supaya serangan hanya berlaku di kawasan kecil.

Benarkan tingkah laku diteruskan. Jika boleh, jangan tergesa-gesa untuk mengeluarkan penyerang daripada sistem dan bersedia untuk langkah seterusnya.

Rekod semua tindakan dan kumpulkan bukti. Bukti-bukti ini termasuk: fail log masuk sistem, fail log masuk aplikasi, fail log masuk AAA (Pengesahan, Keizinan, Perakaunan, Pengesahan, Kebenaran, Perakaunan), log masuk RADIUS (Perkhidmatan Pengguna Dail Masuk Pengesahan Jauh), Log Elemen Rangkaian (Log Elemen Rangkaian) , log masuk firewall, peristiwa HIDS (Host-base IDS, sistem pengesanan pencerobohan berasaskan hos), peristiwa NIDS (sistem pengesanan pencerobohan rangkaian), pemacu cakera, fail tersembunyi, dsb.

Berhati-hati semasa mengumpul bukti: ambil gambar sebelum mengalih atau merungkai mana-mana peralatan mengikut peraturan dua orang semasa penyiasatan dan mempunyai sekurang-kurangnya dua orang dalam pengumpulan maklumat untuk mengelakkan gangguan maklumat hendaklah direkodkan; rekod semua langkah yang diambil dan sebarang perubahan pada tetapan konfigurasi di tempat yang selamat. Semak kebenaran akses semua direktori dalam sistem dan mengesan sama ada Senarai Perm telah diubah suai.

Lakukan pelbagai percubaan (menggunakan bahagian rangkaian yang berlainan) untuk mengenal pasti punca serangan.

Untuk menggunakan senjata undang-undang untuk memerangi jenayah, bukti mesti dipelihara, dan ia mengambil masa untuk membentuk bukti. Untuk melakukan ini, beban serangan mesti ditanggung (walaupun beberapa langkah keselamatan boleh dilaksanakan untuk memastikan serangan itu tidak membahayakan rangkaian). Dalam kes ini, kita bukan sahaja perlu mengambil beberapa langkah undang-undang, tetapi juga meminta sekurang-kurangnya satu syarikat keselamatan yang berwibawa untuk membantu mencegah jenayah ini. Ciri yang paling penting dalam jenis operasi ini adalah untuk mendapatkan bukti jenayah, mencari alamat pelaku, dan menyediakan log dalam milikan. Bukti yang dikumpul harus dipelihara dengan berkesan. Buat dua salinan pada permulaan, satu untuk menilai bukti dan satu untuk pengesahan undang-undang.

Selepas menemui kelemahan sistem, cuba sekatnya dan jalankan ujian serangan diri.

Keselamatan siber bukan lagi sekadar isu teknikal, tetapi isu sosial. Perusahaan harus memberi lebih perhatian kepada keselamatan rangkaian Jika mereka hanya bergantung pada alat teknikal, mereka akan menjadi lebih dan lebih pasif Hanya dengan memanfaatkan aspek sosial dan undang-undang untuk memerangi jenayah siber mereka boleh menjadi lebih berkesan. Negara kita mempunyai tafsiran kehakiman yang jelas tentang memerangi jenayah siber Malangnya, kebanyakan syarikat hanya menumpukan pada peranan pautan teknikal dan mengabaikan faktor undang-undang dan sosial Ini juga tujuan menulis artikel ini.

Penjelasan istilah: Denial of Service Attack (DOS)

DOS ialah Denial Of Service, singkatan Denial of Service Ia tidak boleh dianggap sebagai sistem pengendalian DOS Microsoft. Serangan DOS menyebabkan mesin sasaran berhenti menyediakan perkhidmatan atau akses sumber, biasanya dengan matlamat untuk menggunakan sumber sisi pelayan Dengan memalsukan data permintaan yang melebihi keupayaan pemprosesan pelayan, tindak balas pelayan disekat, supaya permintaan pengguna biasa tidak boleh. bertindak balas untuk mencapai tujuan serangan.

Untuk lebih banyak pengetahuan berkaitan, sila lawati ruangan Soalan Lazim!

Atas ialah kandungan terperinci Apakah cara untuk menyerang proses tempatan dalam sistem Linux?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!