 |
|
 |
| 您现在的位置: 先创网 >> 网络应用 >> 网络安全 >> 文章正文 |
|
|
| 利用Linux操作系统安全防护工具 |
| 赛迪网 |
| 2006-11-27 11:12:36文/佚名 |
|
|
|
|
|
2.内核级rootkit
在大多数操作系统中(各种Unix和Windows),内核是操作系统最基本的部件,它控制着对网络设备、进程、系统内存、磁盘等的访问。例如当你打开一个文件时,打开文件的请求被发送到内核,内核负责从磁盘得到文件的比特位并运行文件浏览程序。内核级 rootkit使攻击者获得对系统底层的完全控制权。攻击者可以修改系统内核,大多数内核级rootkit都能进行执行重定向,即截获运行某一程序的命令,将其重定向到入侵者所选中的程序并运行此程序。也就是说,用户或管理员要运行程序A,被修改过的内核假装执行A,实际却执行了程序B。
对于工作在文件级的rootkit来说,它们非常容易被检测到。而内核级rootkit工作在一个很低的内核级上。它们经常依附在内核上,并没有修改系统的任何文件,于是tripwire工具就不能检测到它的使用。因为它并没有对系统的任何文件进行修改,攻击者可以对系统为所欲为而不被发现。系统级rootkit为攻击者提供了很大的便利,并且修复了文件级rootkit的一些错误。所以建议用户要做好前期的安全防范工作。例如将最小权限的原则应用到整个系统当中,这样攻击者就很难在系统中运行内核级的rootkit,因为运行它首先需要取得root权限。另外,可以模仿攻击者的攻击方式来确认系统是否已经受到内核级rootkit的威胁。以系统管理员的身份来运行攻击者一般需要运行的命令,如果系统对这些命令有所反应,那么基本可以确定系统已经被入侵了。不过做好前期的防范工作始终是最重要的,事后的弥补比较困难,而且显得有些捉襟见肘。
下面给出一些目前常用的内核级rootkit工具,用户可以选择使用:Knark、Adore。
由于上述的rootkit的工具种类繁多,所以这里不再介绍其安装以及使用的步骤,网上有很丰富的资源,读者可以参看。
系统管理工具——sudo
sudo是允许系统管理员让普通用户执行一些或者全部的root命令的一个工具,如halt、reboot、su 等等。这样不仅减少了root用户的登陆和管理时间,同样也提高了安全性。如果用户在系统中需要每天以root身份做一些日常工作,经常执行一些固定的几个只有root身份才能执行的命令,那么用sudo是非常适合的。
sudo不是对shell的一个代替,它是面向每个命令的。它的特性主要有这样几点:
● sudo能够限制用户只在某台主机上运行某些命令。
● sudo提供了丰富的日志,详细地记录了每个用户干了什么。它能够将日志传到中心主机或者日志服务器。
● sudo使用时间戳文件来执行类似的“检票”系统。当用户调用sudo并且输入它的密码时,用户获得了一张存活期为5分钟的票(这个值可以在编译的时候改变),过了这个时间,用户所获得的权限将失效。
上一页 [1] [2] [3] [4] [5] [6] [7] 下一页 |
|
|
|
|
|
|
 |
|
 |
|
|
|
相关文章 
