在此系列文章中,您将看到如何以一种安全的方法来计划、设计、安装、配置和维护运行 Linux 的系统。 除了安全概念的理论概述、安装问题、潜在的危险及其作用以外,您还将得到关于如何保护和加固基于 Linux 的系统的实用建议。我们将讨论最小化安装、加固 Linux 安装、授权/认证、本地和网络安全、攻击和如何防御攻击, 以及数据安全、病毒和恶意程序。
本系列的第 1 部分通过给出关于安全概念和潜在危险的一般理解让您开始上手。第 2 部分引导您进行到下一个阶段,列出当计划 一个安全安装时需要紧记的事情,其中包括制定一个详细的安全行动计划。
在本部分,我们将讨论加固(hardening)Linux 的步骤。
要让加固行动更为成功,您应该:
- 在系统连接到网络之前进行加固,以避免攻击。
- 基于最小权限原则(least-privilege model)进行配置:系统应该为特定的功能只赋予其所需要的权限。类似地, 用户应该只拥有他们所需要的最小限度的权限。
在完成初步计划并准备和执行了最小化安装后(见第 2 部分),您需要进行一些配置步骤。这些步骤通常被称作是 加固 Linux。
- 保护引导过程
- 保护服务和后台进程
- 保护本地文件
- 强制实行配额和限制
- 启用强制访问控制
- 更新和添加安全补丁
配置引导加载器(LILO 或者 Grub),以令其在引导时不被任何用户干涉;这样就防止了用户在引导提示时 向内核传递参数。除非您需要远程引导(比如在远程的数据中心),不然就配置它让它要求输入密码。这是 对有可能物理上接触机器的人的进一步防范;它可以防止某些事件的偶然攻击,比如使用参数single或者init=/bin/sh来获得 root shell, 等等。不过,要注意,稍加努力就可以避开此防范机制(比如拆下硬盘驱动器并将其挂载到另一个系统上), 除非您对文件系统也进行了加密。
对 LILO 而言,在 lilo.conf 配置文件(通常在 /etc 下)中使用参数password替换prompt。对于 Grub,相应的参数是 Grub 配置文件(通常在 /boot/grub/grub/conf 下)中的hiddenmenu、default 0和password。
在 /etc/inittab 中添加sp:S:respawn:/sbin/sulogin,以确保当切换到单用户模式时 运行级的配置要求输入 root 密码。
防止用户使用 Ctrl-Alt-Del 进行重新引导:在 /etc/inittab 中注释掉ctrlaltdel行, 禁用ctrlaltdel。通过向类似这样一行(#ca::ctrlaltdel:/sbin/shutdown -t5 -rf now)添加一个井号(#),您就可以防止 那个组合键触发重新引导。
服务的安全配置的第一个步骤是,禁用所有不需要的服务。不提供的服务不会为潜在的入侵者所利用,有效地降低了风险。
为了找出所有启用的服务,需要检查若干个位置。另外,要禁用不安全的服务,并使用更为安全的选择来取代它们。例如,telnet 不是加密的,所以,使用加密的 ssh 服务来取代 telnet(见第 2 部分)。
当保护服务时,考虑这些方面:
- /etc/inittab
- /etc/init.d 中的引导脚本
-
inetd/xinetd后台进程 - TCP 封装器(wrappers)
- 防火墙
在引导过程中,init进程会去读取 /etc/inittab 文件中的条目。 每一个条目 —— 每一行 —— 都定义了在特定的条件下运行哪个程序。这些程序或者本身是服务, 或者是用于启动和停止服务。
init进程能识别若干个称为运行级(run levels)(由一个字母标识) 的状态。当输入了运行级或者发生特定的事件(比如电源故障)时,就会考察那些条目,并执行适当的命令。
/etc/inittab 中条目的格式是,前面是条目的标签,随后是在哪些运行级下此条目要执行,然后是动作关键字以及 包括命令行参数的需要执行的命令。所有这些域都由冒号隔开,典型的条目应该类似这样:
my_service:35:once:/usr/local/bin/my_service someparameter
(在inittab手册中可以找到动作关键字的完全列表。)
在这个示例中,条目的标签是my_service。当输入的运行级为 3 或 5 时, 它将使用参数someparameter来运行程序/usr/local/bin/my_service。一旦这个程序被终止,它将不会再重新启动 (动作关键字“once”)。
为了保护 Linux 系统,您应该理解 /etc/inittab 中所有条目的功能,并禁用潜在不必要的服务,方法是 删除那个条目,或者在那一行的开头使用井号注释掉它。
在所有 Linux 系统中,都会有以下两类条目。第一类用来启动名为/sbin/getty(或者类似的)的程序,这些通常是用来允许通过 Linux 虚拟控制台或者串行线登录。第二类会运行 /etc/rc.d 目录中通常名为rc的脚本,并将当前运行级作为参数给出。 这个脚本控制服务的启动和停止(接下来会介绍)。
/etc/init.d 中的引导脚本用来启动或者停止系统服务。对于每一个运行级,都有一个 /etc/rcN.d 目录 (“N”是运行级的标识),其中包含了指向那些在运行级改变时需要调用的脚本的软链接。
如果链接名以“S”开头,则脚本在进入那个运行级时执行,启动相应的服务;如果以“K”开头,则 脚本在退出那个运行级时执行,停止那个服务。
大部分情况下,引导脚本的名称会暗示它所控制的服务。要防止在特定的运行级中会启动某个服务, 则删除运行级目录中指向相应引导脚本的链接,或者使用一个不做任何事情的虚脚本取代 /etc/init.d 中原来的引导脚本。
也可以在客户机请求时根据需要调用服务。这些请求被转交给超级后台进程inetd或者xinetd。然后超级后台 进程确定要启动哪个服务,并将请求传递到相应的后台进程。通常,telnet、ftp、rlogin 等服务 使用inetd或者xinetd启动。
inetd后台进程在 /etc/inetd.conf 配置,那个文件中包含了关于每一个超级后台 进程需要提供的服务的条目。配置 FTP 服务器的条目应该类似这样 ——ftp stream tcp nowait root /usr/bin/ftpd in.ftpd -el—— 使用井号注释掉它, 就可以禁用它。
为了安全起见,建议使用xinetd。与inetd相比,xinetd能够启动基于 rpc 的服务,并支持访问控制。xinetd可以限制进入连接的速度、来自特定主机的进入连接的数目,或者某个服务的总连接数。
通过用于每个从属后台进程的独立配置文件来配置xinetd。 这些文件位于 /etc/xinetd.d/ 目录中。前面 FTP 服务器的示例配置文件应该称为 called /etc/xinetd.d/ftp, 类似这样:
清单 1. 配置文件,/etc/xinetd.d/ftp
service ftp
{
socket_type = stream
protocol = tcp
wait = no
user = root
server = /usr/bin/ftpd
server_args = -el
disable = yes
}
|
为了禁用这个服务,参数disable被设置为yes,如上面示例所示。
为了更详细的访问控制,xinetd支持以下三个另外的参数:
-
only_from -
no_access -
access_time
为了限制访问,但不完全禁用 ftp 后台进程,您可以如下修改配置文件 /etc/xinetd.d/ftp:
清单 2. 为限制访问而修改过的配置文件,/etc/xinetd.d/ftp
service ftp
{
socket_type = stream
protocol = tcp
wait = no
user = root
server = /usr/bin/ftpd
server_args = -el
disable = no
only-from = 192.168.200.3 192.168.200.7 192.168.200.9
only-from += 192.168.200.10 192.168.200.12 172.16.0.0
no_access = 172.16.{1,2,3,10}
access_times = 07:00-21:00
}
|
only-from和no_access可以接受数字 IP 地址 (最右边的零作为任意数值处理)、IP 地址/网络掩码 范围、主机名以及 /etc/networks 中的网络名。 如果组合使用only-from和no_access,xinetd会为每个主机连接寻找最接近的匹配。
在前面的代码示例中,表示 IP 地址为 172.16.x.x 的主机可以连接到此主机,但地址属于 172.16.1.x、 172.16.2.x、172.16.3.x 和 172.16.10.x 的则不能连接。可见,当使用no_access所用的因数符号时,不需要指定地址的所有四个部分。因数部分必须是地址最右边的部分。 参阅下面的参考资料部分,以获得关于xinetd及其配置 的文章。
如果您决定不使用xinetd,而是使用inted, 那么您可以使用 TCP 封装器来记录请求和具体的对特定网络的 允许/拒绝。TCP 封装器会为了认证和记录日志而 去检查/etc/hosts.allow和/etc/hosts.deny, 并将客户机请求封装起来,不直接回应它们。一旦认证成功,请求就会被转发到原来请求的服务。
相对于使用普通的inetd,使用 TCP 封装器有两个主要的好处:
- 发出请求的客户机不会察觉到 TCP 封装器;因此,没有异心的人不会发现任何区别,而心怀不轨的人也得不到 关于他们的请求失败的任何信息。
- TCP 封装器的工作不会理会任何已经被封装的服务,让应用程序能够共享它们的配置文件,从而简化管理。
要获得关于 TCP 封装器配置文件的详细文档,请参阅参考资料中列出的Red Hat Linux Reference Guide。
为了防范与不应该运行的服务或者不应该被 Internet 等特定网络所访问的服务的通信,建议安装一个防火墙。 防火墙提供网络间基于信任级别的受控通信,并权衡使用基于角色的安全策略和最小权限原则允许或者拒绝对特定服务 的访问。
防火墙的安装与配置是一个非常复杂的话题,不在本系列文章的讨论范围之内。
保护本地文件系统涉及的是文件和目录的所有者及访问它们的权限。要保护文件系统,文件和目录的保护位必须 设置为只授予最小限度的权限。
要特别注意关于所有人可写的文件和系统目录的不适当权限,以及所谓的setuid或者setgid命令。这些命令运行时的用户权限比运行此命令的用户实际拥有的权限 更高。对访问只有 root 才可以访问的文件来说这可能是必需的(比如 /bin/passwd 需要访问 /etc/passwd)。 对于这些命令,要确保它们每一个都确实需要设置setuid/setgid位。 如果不是这样,那么禁用它。
当某个分区上的所有文件确实都不需要setuid/setgid位时, /etc/fstab 中的nosuid选项可以为相应文件系统中的每个文件都禁用它 (下面的示例中的 /dev/hdc1):
#device mountpoint filesystemtype options dump fsckorder /dev/hda1 / ext2 defaults 1 1 ... /dev/hdc1 /mnt/cdrom iso9660 nosuid,user 1 2 |
此外,对于所有敏感的数据,都有必要对其进行加密并使用密码保护它。为此,GnuPG 提供了一个合适的软件包。
Linux PAM(插入式认证模块,Pluggable Authentication Modules)可以强制实行一些实用的限制,在 /etc/security/limits.conf 文件中对此进行配置。谨记,这些限制适用于单个对话。您可以使用maxlogins来控制总额限制。limits.conf 中的条目有如下结构:username|@groupname type resource limit。
为了与 username 区别,groupname 之前必须加@。类型必须是soft或者hard。软限制(soft-limit)可以 被超出,通常只是警戒线,而硬限制(hard-limit)不能被超出。resource可以 是下面的关键字之一:
-
core- 限制内核文件的大小(KB)。 -
data- 最大数据大小(KB)。 -
fsize- 最大文件大小(KB)。 -
memlock- 最大锁定内存地址空间(KB)。 -
nofile- 打开文件的最大数目。 -
rss- 最大持久设置大小(KB)。 -
stack- 最大栈大小(KB)。 -
cpu- 以分钟为单位的最多 CPU 时间。 -
nproc- 进程的最大数目。 -
as- 地址空间限制。 -
maxlogins- 此用户允许登录的最大数目。
在下面的代码示例中,所有用户每个会话都限制在 10 MB,并允许同时有四个登录。第三行禁用了每个人的内核 转储。第四行除去了用户bin的所有限制。ftp允许 有 10 个并发会话(对匿名 ftp 帐号尤其实用);managers组的成员的进程数目限制 为 40 个。developers有 64 MB 的 memlock 限制,wwwusers的成员不能创建大于 50 MB 的文件。
清单 3. 设置配额和限制
* hard rss 10000 * hard maxlogins 4 * hard core 0 bin - ftp hard maxlogins 10 @managers hard nproc 40 @developers hard memlock 64000 @wwwusers hard fsize 50000 |
要激活这些限制,您需要在 /etc/pam.d/login 底部添加下面一行:session required /lib/security/pam_limits.so。
配额让您能够限制用户和组的 inode 数目和可用空间。注意,配额是在每个加载点上定义的,所以,如果 用户在若干个分区上有写权限,那么要确保为它们每个都定义配额。
配额是管理员最小化 DoS 攻击的一种方式,这类攻击以填满硬盘驱动器上所有可用空间为手段(这会使其他进程 不能创建临时文件而使它们失败)。根据您正在使用的发行版本,您可以安装自带的配额工具,也可以自己下载、 编译并安装它们(参见参考资料)。
必须在内核中启用配额。当前大部分发行版本都支持配额。如果您的发行版本没有启用配额,那么参考参考资料中的 mini-howto 来获得启用它们的说明。
要为文件系统启用配额,您必须在 /etc/fstab 中为相应的那行添加一个选项。 使用usrquota和grpquota来启用 用户配额和组配额,如清单 4 所示:
清单 4. 启用用户配额和组配额
/dev/hda1 / ext3 defaults 1 1 /dev/hda2 /home ext3 defaults,usrquota 1 1 /dev/hda3 /tmp ext3 defaults,usrquota,grpquota 1 1 /dev/hda4 /shared ext3 defaults,grpquota 1 1 /dev/hdc1 /mnt/cdrom iso9660 nosuid,user 1 2 |
然后,使用mount -a -o remount重新挂载相应的文件系统,来激活刚才添加 的选项;然后使用quotacheck -cugvm创建一个二进制配额文件,其中包含了机器 可读格式的配额配置。这是配额子系统要操作的文件。
使用工具edquota完成配额的指派。要为用户alice定义限制,则使用edquota -u alice来调用它。环境变量EDITOR中定义的编辑器(默认是 vi)会打开,其中有类似如下的内容:
Quotas for user alice:
/dev/hda2: blocks in use: 3567, limits (soft = 5500, hard = 6500)
inodes in use: 412, limits (soft = 1000, hard = 1500)
|
“in use”值只是为您提供信息,不能被修改 —— 您能修改的只是软限制和硬限制。保存并退出编辑器后,edquota会读取您刚才编辑的临时文件,并将那些值传递到二进制配额文件,以 使您的修改生效。对组配额的编辑与此相同,只是必须使用-g选项而不是-u。
软限制是警告级别,可以被超出,而硬限制是严格强制的。软限制有一个宽限期(grace period)(有时也称为软性时间限制(soft time limits));这是允许用户超出软限制直到被系统强制执行之前的 时间间隔。
您可以使用edquota -t来设置宽限期。可以使用的单位是秒、分、小时、天、周和月。 其他管理配额的实用工具包括repquota(总结某个文件系统的配额)、quotaon和quotaoff(打开和关闭配额)。
通过 SELinux 所实现的强制访问控制(或者说是 MAC),您可以获得进一步的安全性。使用 MAC, 操作系统中的许可由进程所属的 用户/组 ID 以及正要被访问的对象(文件)所属的 用户/组 ID 来管理。 另外,使用 MAC,Linux 会强制为每个单独的进程执行这些策略,它们会控制进程可以做什么事情。
那样,在使用 MAC 进行适当配置的系统中,被外来控制或攻击的服务不能够接管系统。就算是进程运行 所属的用户或组 ID(最坏的情形:root)可能会与 /etc/passwd 等关键系统文件权限相匹配,那个策略也会及时 地禁止对它们的访问。
Internet 上的测试系统可以展现出 SELinux 的有效性,它允许任何人登录;控制机制防止了所有的恶意 行为,即使用户能够以 root 身份登录!
不过,使用 SELinux 也有一些问题。首先,如果发行版本提供商不支持 MAC,那么其配置是相当困难的。 可能需要打补丁和重新编译内核,并替换特定的系统管理工具(所有这些都可能影响发行版本提供商的支持 策略)。第二,定义一个适当的策略是非常复杂的任务。如果没有可用的策略定义供您的应用程序选择, 那么在 MAC 环境中制定并实施这个策略会非常艰难。这就使得对某些使用情形来说这样做比较困难, 比如需要支持种类很多的软件包的桌面工作站。
为了让系统尽可能保持安全,您需要及时了解用于您的软件的新修订和补丁。这些信息可以通过若干个渠道得到,不过,通常软件 提供商和 Linux 发行商应该为您及时地提供这些信息。您也可以使用(几乎永远免费)CERT(Computer Emergency Response Team) 的服务。他们通常会维持传达关于最新的建议、漏洞等信息的邮件列表。
当有新的更新可用时,您应该去查看它是否适用于您的系统以及您的安全需要。安装更新本身可能会导致安全问题。 另外,要考虑到每个更新都可能会引入新的漏洞,或者如果更新失败,您的系统可能会停留在不可用的状态。
当在大范围的系统中安装某个更新时,您通常不能同时对它们全部进行更新 —— 这可能会导致您的多个系统在更新期间 互相不兼容。
可见,更新系统会涉及到很多风险。这里是降低这些风险的一些建议:
- 初始安装后,不要将您的系统立即连接到网络。将所有相关的更新下载到一台单独的机器,然后手工地传输它们, 以确保系统在暴露在网络上之前已经处于当前状态(current state)。
- 始终拥有可用的近期系统备份。
- 对于业务中每一个关键的系统,您都应该有一个与产品环境的硬件和软件相同的独立测试环境。 首先在测试环境中获得关于更新的经验,以防止在管理产品系统时出现意外。
- 理想情况下,您应该已经准备好一套回归测试,在更新包括系统在内的所有程序之前和之后对适当的功能和性能进行对比。 至少,要确保拥有可重复的而且文档化的质量控制检查,以保证在修改产品环境之前测试环境中的主要功能和服务不会 受到影响。
- 对于小型网络来说,手工安装更新或许可行,但规模较大时很快就难以处理了。这经常会导致更新不能被安装。 使用商业的或者开放源代码的系统管理或者软件分发工作来简化更新的部署。
- 我们是不是提醒过您最好在手边准备一个备份?我们还要再提醒一次。
- 制定一个安装更新的计划,并考虑:
- 更新系统的次序
- 对您的业务来说关键的系统
- 系统如何互相依赖
- 哪个系统包含机密数据
- 当使用完整性检查工具时(强烈建议至少对服务器使用),为了能识别出意外的更改,要记得更新系统 在已知安全状态下占用内存的基线。
- 在安装任何修订之前,要使用密码检验和工具检查软件的完全性和真实性(尤其是从 Web 站点或者 ftp 服务器 上下载时)。在 Linux 领域中,通常使用 MD5 和/或 SHA-1 检验和。如果软件以 RPM 包的形式提供,那么提供 商应该已经提供了一个 GnuPG 签名。您可以运行
$ rpm -v --checksig <name>.rpm命令来检查它。成功的响应应该是"<name>.rpm: md5 gpg OK"; 不成功的会是"<name>.rpm: md5 GPG NOT OK"。 您可以使用$ md5sum <name>.rpm或$ sha1sum <name>.rpm来确认 MD5 或 SHA-1 检验和。 如果您下载的某个文件中包含的检验和可用于多个文件(大部分情况下称为 md5sum.asc 或 <name>.md5), 那么您可以使用$ md5sum -c md5sum.asc。 - 最后,但不是最不重要的是,要备份您的系统。(我们是不是已经说过了?)
如本系列第 2 部分中所讨论的, 现在来将文档化的安全计划应用到已经安装的系统。弄清楚哪些进程正在您的系统中实际地运行,并禁用不需要的那些。 要定期地检查不正常的行为;未知的进程可能会提供不必要的服务,预示着系统的受损。
本节向您介绍如何找出并禁用那些不必要的(潜在危险)进程,以及如何为系统准备定期审计。
理想情况下,您应该明白在您的系统中运行的每一个进程。要获得所有进程的列表,可以执行命令ps -ef(POSIX 风格)或ps ax(BSD 风格)。 进程名有方括号的是内核级的进程,执行辅助功能(比如将缓存写入到磁盘);所有其他进程都是使用者进程。 您会注意到,就算是在您新安装的(最小化的)系统中,也会有很多进程在运行。熟悉它们,并把它们记录到 文档中。
现在让我们来看那些开放网络连接的进程;它们受到攻击的潜在可能最大。要获得所有 TCP 或 UDP 连接的列表,执行命令netstat -atu(附带名字解析,易读)或者netstat -atun(没有名字解析,更快)。在这个列表中,特别要注意状态为LISTEN的 TCP 连接和 所有的 UDP 连接,因为服务器通过这些连接来接收到来的连接。
如果服务器侦听 127.0.0.1/localhost,那么它只能由系统本身(环回接口)访问到。因此它的暴露程度要远 低于侦听外部可达接口甚至 0.0.0.0(= *,如果打开名字解析)的服务器,后者可以由任意网络接口所访问。
如果您使用过netstat -atun,那么您需要自己翻译端口号。 可以在 /etc/services 中去查找它们。使用附加的参数-p来显示 相应的进程,如清单 5所示。
在这个示例中,您可以推断出 portmapper 和 graphical user interface(X)是特定的服务器所不需要的。portmapper 为 NFS 等各种基于 RPC 的服务提供标准端点(endpoint);系统并不提供 NFS 共享。当系统用作工作站时 X 窗口是 有用的,但在服务器上的使用受限。
确定这些进程是如何被启动的(通过 /etc/inittab,通过引导脚本,等等)并如前所述的那样禁用它们。 如果程序是由另一个程序启动的,那么这项任务可能会更具挑战性:X 服务器很有可能是由显示管理器 启动的,比如 xdm、kdm 或 gdm,其本身并不会出现在 inittab 或引导脚本目录中。
netstat 所列出的连接并不是自动都可以由网络上的所有计算机来使用。在任何数据包到达开放的连接之前, 基于 Linux 内置功能的防火墙可以进一步控制访问。
安装了基本的系统并安全地配置后,您的最终目标是保持系统的安全。为了识别出对系统的不必要修改,使用审计工具来 记录处于希望是已知且安全的状态的系统的内存占用,并检测对它的修改。
本期文章向您展示了如何加固您的 Linux 系统,即通过保护引导过程和本地文件系统、锁定服务和后台进程、 强制实行配额和限制、启用强制访问控制、找出在使用新软件版本更新安全性时可能会引入的安全漏洞。 当配置安全性参数时,请遵循最小权限原则的概念。另外,要了解在您的系统中运行的所有进程, 以使得您可以禁用不需要的那些,防止它们成为进入到您的 Linux 环境安全心脏的途径。
下一期将深入研究 SELinux,为您给出关于如何使用它的概念资料和实践资料。
1904
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
