UNIX系統(tǒng)安全危機(jī)評(píng)估手段
1、概述
目前,國(guó)內(nèi)重要政府部門(如財(cái)稅、公安、電信、移動(dòng)、電力等)、大型公司和著名門戶網(wǎng)站,都使用UNIX系列服務(wù)器來(lái)運(yùn)行其關(guān)鍵業(yè)務(wù)如電子商務(wù)、數(shù)據(jù)庫(kù)等。這些部門或者公司往往有數(shù)百臺(tái)Linux/Unix系統(tǒng)服務(wù)器,由多名系統(tǒng)管理員負(fù)責(zé)管理,并通過(guò)規(guī)章制度,對(duì)系統(tǒng)管理員的行為進(jìn)行規(guī)范。但是,由于缺乏相應(yīng)的先進(jìn)工具和手段,這些部門或者企業(yè)無(wú)法保證系統(tǒng)管理員嚴(yán)格按照規(guī)范來(lái)進(jìn)行管理,無(wú)法保證系統(tǒng)管理員的真實(shí)管理行為和規(guī)章制度要求一致,和系統(tǒng)管理員的管理報(bào)告一致,以至于企業(yè)網(wǎng)絡(luò)及服務(wù)器常處于不可信、不可控、不可視狀態(tài)。另外,由于服務(wù)器眾多,系統(tǒng)管理員壓力太大等因素,人為誤操作的可能性時(shí)有發(fā)生,這會(huì)對(duì)部門或者企業(yè)聲譽(yù)造成重大影響,并嚴(yán)重影響其經(jīng)濟(jì)運(yùn)行效能。黑客也有可能通過(guò)手段,獲取系統(tǒng)權(quán)限,闖入部門或企業(yè)內(nèi)部網(wǎng)絡(luò),這樣造成的損失,更不可估量。因此,如何提高系統(tǒng)管理員的管理水平,如何防止黑客的入侵,如何跟蹤服務(wù)器上用戶行為,將系統(tǒng)宕機(jī)時(shí)間、故障時(shí)間等減到最小,已經(jīng)成為這些部門或者企業(yè)至關(guān)重要的問(wèn)題。
2、現(xiàn)存問(wèn)題與服務(wù)器管理現(xiàn)狀
2.1 UNIX服務(wù)器系統(tǒng)安全存在的問(wèn)題
2.1.1 企業(yè)UNIX安全風(fēng)險(xiǎn)分析
1、嚴(yán)重的攻擊來(lái)自系統(tǒng)內(nèi)部(53%來(lái)自內(nèi)部攻擊)
2、 UNIX運(yùn)行最為關(guān)鍵的業(yè)務(wù)系統(tǒng)攻擊趨向于獲取商業(yè)利益
3、 交換網(wǎng)絡(luò)環(huán)境難于實(shí)施網(wǎng)絡(luò)入侵檢測(cè)
4、 基于主機(jī)的IDS/IPS 開(kāi)始成熟,可以減輕網(wǎng)絡(luò)傳輸攻擊級(jí)別安全威脅,但不是全部
5、 用戶操作難于審計(jì)
6、 操作/管理/維護(hù)不善,造成的安全威脅和損失日趨嚴(yán)重
2.1.2 UNIX/LINUX安全風(fēng)險(xiǎn)-口令安全風(fēng)險(xiǎn)分析
1、R-Services -- Trust Relationships
(很多R服務(wù)漏洞被利用,都是因?yàn)榭诹顔?wèn)題引起。入侵者使用脆弱的帳戶口令,利 用系統(tǒng)文件和目錄的訪問(wèn)控制漏洞,設(shè)置信任主機(jī),獲取關(guān)鍵信息、破壞應(yīng)用系統(tǒng)!)
2、General Unix Authentication
(用戶口令簡(jiǎn)單、無(wú)口令或口令被泄漏,入侵者使用普通用戶或root權(quán)限對(duì)系統(tǒng)進(jìn)行破壞,種植木馬、獲取信息并涂改日志,消滅犯罪證據(jù)。)
3、社會(huì)工程
(黑客、惡意破壞者可以通過(guò)社會(huì)工程渠道,獲取口令)
2.1.3 UNIX/LINUX企業(yè)應(yīng)用問(wèn)題
1、網(wǎng)絡(luò)管理人選需要監(jiān)控第三方程序操作和命令(用戶登錄系統(tǒng),執(zhí)行mysql,oracle,ssh 等命令,容易產(chǎn)生數(shù)據(jù)破壞或者網(wǎng)絡(luò)攻擊,所有的這些操作需要被跟蹤和限制)
2、大型集中應(yīng)用環(huán)境不易統(tǒng)一監(jiān)控、管理和快速響應(yīng)(對(duì)于大型應(yīng)用環(huán)境,網(wǎng)絡(luò)管理員要管理和配置大量UNIX/LINUX服務(wù)器,大量事故響應(yīng),網(wǎng)絡(luò)管理人員不堪重負(fù))
3、無(wú)法提供對(duì)網(wǎng)絡(luò)通信設(shè)備的操作,修改等行為審計(jì)(網(wǎng)絡(luò)通信設(shè)備常常在UNIX/LINUX系統(tǒng)上通過(guò)ssh遠(yuǎn)程登錄進(jìn)行管理,對(duì)網(wǎng)絡(luò)通信設(shè)備的操作無(wú)法審計(jì),埋下安全隱患)
4、網(wǎng)絡(luò)管理人員需要統(tǒng)一的手段,對(duì)服務(wù)器組進(jìn)行安全保護(hù)(網(wǎng)絡(luò)管理人員常用防火墻,IDS等設(shè)備,針對(duì)網(wǎng)段進(jìn)行隔離和操作限制,因此,網(wǎng)絡(luò)管理人員需要不同手段,對(duì)外網(wǎng)/內(nèi)網(wǎng)用戶應(yīng)用不同安全保護(hù)策略,應(yīng)用和實(shí)施麻煩,容易疏忽造成隱患)
5、服務(wù)器及其集群的運(yùn)行狀態(tài)監(jiān)控已及性能調(diào)控(現(xiàn)有服務(wù)器監(jiān)控軟件基本上都是單機(jī)、單服務(wù)器方式運(yùn)行,需要高素質(zhì)管理人才進(jìn)行管理。將服務(wù)器狀態(tài)信息集中化,發(fā)現(xiàn)企業(yè)服務(wù)器運(yùn)行狀態(tài)及瓶頸,成為UNIX應(yīng)用的比較急切和關(guān)心的問(wèn)題)
2.2 集中式網(wǎng)絡(luò)管理
集中式網(wǎng)絡(luò)管理是目前比較流行的網(wǎng)絡(luò)管理方式,系統(tǒng)管理員用普通用戶賬號(hào)(如:admin)登錄管理作業(yè)服務(wù)器,然后轉(zhuǎn)換身份(su)為ROOT,再對(duì)相關(guān)服務(wù)器進(jìn)行維護(hù)。該管理方式網(wǎng)絡(luò)邏輯圖如下:
集中式網(wǎng)絡(luò)管理簡(jiǎn)單高效,配合網(wǎng)絡(luò)邊界安全設(shè)備,能比較好的保證服務(wù)器的運(yùn)行安全,保證業(yè)務(wù)正常進(jìn)行。集中式管理屬于多用戶單賬號(hào)管理方式,多個(gè)用戶共享ROOT帳號(hào)和權(quán)限,存在如下明顯缺點(diǎn):
1、多個(gè)管理員共享ROOT用戶權(quán)限,無(wú)法區(qū)別命令的操作者、執(zhí)行者。
2、無(wú)法跟蹤某個(gè)管理員的確切操作。如果用戶執(zhí)行誤操作或攻擊者在服務(wù)器上輸入命令造成系統(tǒng)癱瘓,即便有日志可查詢也只能看到是ROOT相關(guān)操作,并不能找到罪魁禍?zhǔn)祝膊荒芎芎玫囊?guī)范系統(tǒng)管理員的行為。
3、啟用第三方遠(yuǎn)程日志服務(wù)器可以解決日志安全問(wèn)題,但達(dá)不到審計(jì)管理員行為效果。
4、 由于程序開(kāi)發(fā)人員、系統(tǒng)維護(hù)人員、數(shù)據(jù)庫(kù)管理人員等多種角色都使用admin賬戶、ROOT賬戶,造成權(quán)限劃分不明,所有人員都具有最高的ROOT權(quán)限,無(wú)形中增大誤操作帶來(lái)的危害。
5、 由于所有角色都具有ROOT密碼,也不利于賬號(hào)密碼的安全管理。
2.3 嚴(yán)格分權(quán)管理
嚴(yán)格分權(quán)管理在軟件生產(chǎn)企業(yè)比較多見(jiàn),用戶只能夠擁有自己的賬號(hào)和權(quán)限,只能在自己權(quán)限下進(jìn)行服務(wù)器操作。
嚴(yán)格分權(quán)管理源自UNIX系統(tǒng)自身的權(quán)限管理方式,如:用useradd,passwd等進(jìn)行用戶賬號(hào)和權(quán)限設(shè)置。賬號(hào)和權(quán)限由管理員分配,由用戶自己進(jìn)行密碼管理。嚴(yán)格分權(quán)管理比較安全,是公認(rèn)比較安全的管理方式。但是,該方式可能影響生產(chǎn)正常進(jìn)行,存在如下需要改進(jìn)的地方:
1、嚴(yán)格分權(quán)管理屬于多用戶多賬號(hào)管理方式,用戶在自己權(quán)限下生產(chǎn)和工作,但是,由于生產(chǎn)的特殊性,常常需要用戶具有ROOT賬戶權(quán)限。這就造成生產(chǎn)和管理的矛盾,臨時(shí)ROOT權(quán)限分發(fā)可以解決ROOT權(quán)限生產(chǎn)問(wèn)題,但是,這極大增大管理的復(fù)雜性和不安全性,稍有舒服,就可能造成管理的混亂。不分發(fā)ROOT權(quán)限,可能導(dǎo)致生產(chǎn)不能正常進(jìn)行,至少影響生產(chǎn)效率。
2、 現(xiàn)有操作系統(tǒng)存在許多安全隱患,暴力破解、溢出攻擊、社會(huì)工程等攻擊方式,都可能使普通用戶或者黑客獲取ROOT賬戶權(quán)限,進(jìn)而執(zhí)行普通用戶權(quán)限外的操作,產(chǎn)生破壞。
3、 嚴(yán)格分權(quán)管理管理負(fù)擔(dān)比較重,管理員要對(duì)權(quán)限的分配和服務(wù)器上行為負(fù)責(zé),同時(shí),用戶在服務(wù)器上行為對(duì)管理員來(lái)說(shuō)不可視,不可審計(jì),出現(xiàn)問(wèn)題,沒(méi)人負(fù)責(zé)。
#p#2.4 網(wǎng)絡(luò)管理員碰到的問(wèn)題
網(wǎng)絡(luò)管理員由于工作的特殊性和管理內(nèi)容及對(duì)象的復(fù)雜性,對(duì)企業(yè)、部門重要服務(wù)器上的活動(dòng)和正在發(fā)生的行為,需要保持可控、可視、可跟蹤、可鑒定狀態(tài),才能保障系統(tǒng)的正常運(yùn)行,提供穩(wěn)定可靠的服務(wù)。管理員需要對(duì)如下問(wèn)題保持足夠警惕:
1、 誰(shuí)在服務(wù)器上做過(guò)操作?
2、 怎樣將服務(wù)器上的命令操作行為變?yōu)橥该骺梢暎M(jìn)而簡(jiǎn)單明了的管理和控制服務(wù)器?
3、 系統(tǒng)管理員在服務(wù)器上做過(guò)什么操作?做過(guò)多少操作?
4、 怎么限制用戶對(duì)命令的執(zhí)行?
5、 怎么知道災(zāi)難/事故發(fā)生的時(shí)間?怎么調(diào)查取證?
6、 怎么規(guī)范管理員的行為?
7、 怎么控制和審計(jì)用戶對(duì)交換機(jī)、路由器、防火墻等網(wǎng)絡(luò)設(shè)備的操作?
8、 怎么控制和審計(jì)用戶對(duì)數(shù)據(jù)庫(kù)的操作?
9、 密碼\權(quán)限如何管理?
10、 嚴(yán)格分權(quán)將導(dǎo)致許多命令和操作不能進(jìn)行,需要權(quán)限切換,公開(kāi)admin/root密碼給相關(guān)用戶?
11、 怎么進(jìn)行責(zé)任鑒定?多臺(tái)服務(wù)器上跳轉(zhuǎn)執(zhí)行的命令如何跟蹤?
12、 沒(méi)有admin/root權(quán)限的用戶如何安全的開(kāi)展需要admin/root權(quán)限的工作?分發(fā)root權(quán)限?
13、 誰(shuí)該對(duì)危險(xiǎn)操作造成的事故負(fù)責(zé)?誰(shuí)該對(duì)其的惡意操作負(fù)責(zé)?怎么進(jìn)行責(zé)任鑒定?
3 、拉迪服務(wù)器命令控制與審計(jì)系統(tǒng)特點(diǎn)
杭州帕拉迪網(wǎng)絡(luò)科技有限公司致力于UNIX服務(wù)器安全防御產(chǎn)品的開(kāi)發(fā)和網(wǎng)絡(luò)安全服務(wù)的推廣,此系統(tǒng)主要用于UNIX服務(wù)器系統(tǒng)安全防護(hù),讓UNIX服務(wù)器的操作、管理和運(yùn)行更加可視、可控、可管理、可跟蹤、可鑒定,解決UNIX服務(wù)器系統(tǒng)級(jí)別的安全問(wèn)題、安全威脅,為國(guó)家重要部門和企業(yè)UNIX服務(wù)器的正常有序運(yùn)行,提供可靠的安全保障。
3.1 可視
PLDSEC UNIX SCS 1000能夠動(dòng)態(tài)實(shí)時(shí)的捕獲UNIX系統(tǒng)用戶使用的操作命令,真正做到讓UNIX服務(wù)器上的操作和行為可視。系統(tǒng)管理員可以直觀的了解服務(wù)器上發(fā)生過(guò)的操作命令及其運(yùn)行結(jié)果,結(jié)束UNIX服務(wù)器操作管理的黑匣子時(shí)代。PLDSEC UNIX SCS 1000可以實(shí)時(shí)監(jiān)控系統(tǒng)管理員操作過(guò)程,提供實(shí)時(shí)監(jiān)控中心和值班中心,可以集中實(shí)時(shí)的監(jiān)控所有用戶的操作行為和過(guò)程。
3.2 可控
PLDSEC UNIX SCS 1000動(dòng)態(tài)實(shí)時(shí)的捕獲系統(tǒng)管理員操作行為,并可以對(duì)其進(jìn)行策略審計(jì),違反安全策略的用戶命令,將被禁止執(zhí)行,使用危險(xiǎn)命令的用戶,將被剔出系統(tǒng)。這樣,UNIX服務(wù)器將增加一層安全防護(hù)功能,即使用戶(惡意用戶、黑客)取得命令的操作權(quán)限,該命令也不能生效,進(jìn)而保護(hù)UNIX服務(wù)器上關(guān)鍵資源和重要服務(wù)。
3.3 可管理
PLDSEC UNIX SCS 1000可以根據(jù)需要對(duì)指定用戶或所有用戶展開(kāi)監(jiān)控,可以限制和管理可疑用戶行為,真正讓UNIX服務(wù)器擺脫操作和使用的黑匣子狀態(tài),監(jiān)控和管理UNIX服務(wù)器上用戶操作行為。同時(shí),PLDSEC UNIX SCS 1000還對(duì)CPU、MEM、DISK、PROCESS和網(wǎng)絡(luò)I/O進(jìn)行監(jiān)控管理,并通過(guò)圖形化方式直觀的顯示服務(wù)器運(yùn)行狀態(tài),可以對(duì)UNIX服務(wù)器進(jìn)行故障診斷。
3.4 可跟蹤
PLDSEC UNIX SCS 1000通過(guò)遠(yuǎn)程日志服務(wù)器保存所有用戶操作行為和運(yùn)行結(jié)果,可以通過(guò)對(duì)用戶操作行為及其結(jié)果進(jìn)行回放,跟蹤用戶在服務(wù)器上的操作過(guò)程,查看用戶在服務(wù)器上的所有操作行為,準(zhǔn)確無(wú)誤的了解用戶的行為意圖。PLDSEC UNIX SCS 1000日志服務(wù)器提供日志動(dòng)態(tài)查詢功能,支持特色化報(bào)表生成功能,可以根據(jù)用戶環(huán)境進(jìn)行報(bào)表定制,及時(shí)直觀的報(bào)告用戶所關(guān)心的資源使用情況。
3.5 可鑒定
PLDSEC UNIX SCS 1000使用二次日志記錄系統(tǒng),保存用戶操作行為過(guò)程。同時(shí),日志系統(tǒng)使用PDF文件格式保存,日志文件不可修改,不可杜撰,通過(guò)對(duì)用戶操作行為日志的分析,可以鑒定用戶行為,并進(jìn)行責(zé)任認(rèn)定。二次日志記錄加強(qiáng)了原始日志材料的防偽防杜撰功能,通過(guò)對(duì)比保存于兩臺(tái)日志服務(wù)器上的日志材料,可以準(zhǔn)確可靠的進(jìn)行故障鑒定和責(zé)任認(rèn)定。
3.6 功能列表
帕拉迪UNIX服務(wù)器命令控制與審計(jì)系統(tǒng)具有如下功能和特點(diǎn):
1、實(shí)時(shí)捕獲管理員操作命令,并對(duì)其進(jìn)行策略審計(jì),支持所有功能鍵的使用,能自動(dòng)捕獲功能鍵擴(kuò)展后的操作命令(如TAB補(bǔ)齊,BACKSPACE回退刪除等);
2、監(jiān)控和管理管理員在服務(wù)器上的操作,對(duì)管理員操作的跟蹤不受管理員執(zhí)行SU,SSH等命令的影響;
3、智能識(shí)別編輯狀態(tài)、命令狀態(tài)和執(zhí)行狀態(tài),完整回放用戶的所有操作(包括TAB等特殊擊鍵操作);
4、實(shí)時(shí)集中監(jiān)控用戶和管理員當(dāng)前行為,能實(shí)時(shí)查看管理員工作過(guò)程;
5、提供WEB方式日志查詢及監(jiān)控平臺(tái),提供多種過(guò)濾檢索條件,方便后期審計(jì)、取證;
6、策略可遺傳繼承,采用樹(shù)形方式組織,利用正則表達(dá)式進(jìn)行模式匹配,策略適合現(xiàn)代企事業(yè)組織架構(gòu);
7、不提高服務(wù)器負(fù)擔(dān);
8、支持?jǐn)?shù)據(jù)庫(kù)、防火墻、路由器、小型機(jī)等所有使用字符命令進(jìn)行管理和操作的設(shè)備和系統(tǒng);
9、方便第三方對(duì)所有系統(tǒng)管理員的行為進(jìn)行監(jiān)督;
10、日志記錄雙備份,確保證據(jù)的準(zhǔn)確可靠,對(duì)事后取證,責(zé)任鑒定,行為跟蹤等,提供準(zhǔn)確可靠的原始依據(jù);
11、詳盡的報(bào)表功能,及時(shí)報(bào)告服務(wù)器上危險(xiǎn)操作,報(bào)表可由用戶靈活定制,可以根據(jù)用戶業(yè)務(wù)定制自動(dòng)報(bào)表;
12、提供服務(wù)器安全策略文件保護(hù)功能,實(shí)時(shí)可視化監(jiān)控服務(wù)器CPU,MEM,DISK,PROCESS,I/O等狀態(tài)信息和故障信息,提供故障診斷功能;
13、支持服務(wù)器方式部署和網(wǎng)關(guān)方式部署,提供自動(dòng)部署功能,部署和配置簡(jiǎn)單,適合大規(guī)模自動(dòng)部署;
14、實(shí)時(shí)查看用戶使用命令和屏幕,提供實(shí)時(shí)監(jiān)控中心和值班中心,最終達(dá)到通過(guò)對(duì)系統(tǒng)管理員或者黑客的所有操作行為進(jìn)行管理及審計(jì),把由于人為操作造成宕機(jī)、故障和隱患的可能性降到最低。;
3.7 應(yīng)用領(lǐng)域
帕拉迪UNIX服務(wù)器安全管理系統(tǒng)非常適合于企事業(yè)加強(qiáng)對(duì)UNIX服務(wù)器的安全管理,減輕和防止企事業(yè)的UNIX系統(tǒng)安全級(jí)別威脅。PLDSEC UNIX SCS 1000應(yīng)用領(lǐng)域非常廣闊,提供服務(wù)器部署方式和網(wǎng)關(guān)部署方式,可以非常靈活的兼容于企事業(yè)現(xiàn)有安全架構(gòu)。
3.7.1內(nèi)部網(wǎng)絡(luò)行為管理
嚴(yán)重的攻擊來(lái)自系統(tǒng)內(nèi)部(53%來(lái)自內(nèi)部攻擊),帕拉迪UNIX服務(wù)器主要應(yīng)用于內(nèi)部用戶行為管理,保證內(nèi)部用戶的操作和行為可控、可視、可管理、可跟蹤、可鑒定,防止內(nèi)部人員對(duì)機(jī)密材料的非法獲取和使用,保護(hù)企事業(yè)核心機(jī)密。
3.7.2對(duì)網(wǎng)絡(luò)邊界網(wǎng)關(guān)設(shè)備的管理
網(wǎng)絡(luò)邊界安全設(shè)備是企事業(yè)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的重要組成部分,網(wǎng)絡(luò)邊界安全設(shè)備的安全策略,對(duì)企事業(yè)內(nèi)部網(wǎng)絡(luò)安全,起著非常重要的作用。目前關(guān)鍵網(wǎng)絡(luò)邊界安全設(shè)備,主要來(lái)自于國(guó)外巨頭和國(guó)內(nèi)領(lǐng)先公司,這些公司一般都提供先進(jìn)的CLI功能,管理員可以通過(guò)SSH和串口,對(duì)網(wǎng)絡(luò)邊界安全設(shè)備(如交換機(jī)、防護(hù)墻、VPN等)進(jìn)行安全策略配置。但是,目前沒(méi)有可靠辦法保證系統(tǒng)管理員安全策略配置行為的有效性,合法性以及一致性,一般都通過(guò)行政手段,讓系統(tǒng)管理員記錄安全策略配置過(guò)程,這有嚴(yán)重的安全隱患。PLDSEC UNIX SCS 1000提供網(wǎng)關(guān)部署方式,可以記錄系統(tǒng)管理員對(duì)網(wǎng)絡(luò)邊界安全設(shè)備的配置過(guò)程,保證安全策略的一致性,其生成的日志系統(tǒng),可以比較方便的集成到企事業(yè)現(xiàn)有安全策略管理架構(gòu)中。
3.7.3對(duì)數(shù)據(jù)庫(kù)的管理
數(shù)據(jù)庫(kù)是企事業(yè)核心機(jī)密的重中之重,PLDSEC UNIX SCS 1000可以記錄用戶對(duì)數(shù)據(jù)庫(kù)(如:MYSQL,Oracle)的操作過(guò)程,防止用戶人為修改數(shù)據(jù)庫(kù)數(shù)據(jù)記錄,防止用戶刪除數(shù)據(jù)記錄。PLDSEC UNIX SCS 1000可以還原用戶操作過(guò)程,對(duì)于重要數(shù)據(jù)庫(kù)的防護(hù),有非常重要的價(jià)值。
3.7.4對(duì)黑客行為的防范
黑客常常通過(guò)手段(如:社會(huì)工程、惡意程序、系統(tǒng)設(shè)置漏洞、緩沖區(qū)溢出程序等)獲取用戶權(quán)限,然后使用該權(quán)限登陸系統(tǒng)。PLDSEC UNIX SCS 1000可以記錄該黑客的操作過(guò)程,對(duì)于事后查證和數(shù)據(jù)恢復(fù),有非常好的適用價(jià)值。PLDSEC UNIX SCS 1000還可以通過(guò)地址邦定功能對(duì)黑客行為進(jìn)行限制,即使黑客取得系統(tǒng)權(quán)限,也不能對(duì)系統(tǒng)做任何操作。
【編輯推薦】
