1、吳賢明國立中興大學計算機及資訊網路中心中華民國九十年八月三日l關於電腦系統安全l電腦安全自我檢測與防護llinux系統檔案完整性與安全llinux 系統紀錄與安全llinux系統安全工具lq & alcomputer security“a computer is secure if you can depend on it and its software to behave as you expect.”-practical unix and internet security“電腦安全的終極目標在-處理敏感資料時可以被信任的系統”-unix 系統保全工具l資料完整性(integri

2、ty)確保儲存於該系統的任何資料不被竄改或破壞。l私秘性(privacy)確保儲存於其中的任何資料及透過該系統傳輸的資料不被竊取。l系統可用性(availability)保證維持系統隨時可正常提供服務 l數量眾多的電腦系統l不成比例的專職管理人員l風氣開放自由的電腦使用環境l入侵手法的專業及複雜程度程度提昇入侵者所需專業知識卻大幅下降l入侵工具與日俱增，垂手可得l主機數與使用人口逐年激增l網際互連所使用的應用程式種類與數量快速上揚，具有安全缺失的軟體亦隨之增加l網路安全工具的發展通常落後於多樣化的入侵l網路新殺手-電腦病毒，正藉由網路快速擴張其影響層面，來無影，去無蹤l 系統弱點是系統、程式或

3、標準制定過程考慮欠週，所遺留可資侵入之漏洞。l系統弱點是絕大多數入侵事件的憑藉。l系統弱點即時的修補是確保系統安全及重要的工作。lthe network is computer-主機安全是校園網路安全的第一步l安全政策的擬定與實施l主機安全三部曲系統安全防護系統安全自我檢測快速安全的入侵系統復原l善用系統及網路安全工具l系統安全：系統防護的三個重要觀念分散：可減少損失備援：確保某些系統被破壞時，整體系統仍可運作如常防禦縱深：讓攻擊者能夠造成實際損害之前，必須先突破重重防線。增加攻擊者的困難度。l系統安全工具的使用，在於加強系統的防禦縱深。l系統安全防護：實體安全：主機外殼設置防範措施或機房門禁

4、管制。帳號安全：一般帳號與root帳號的管理。檔案系統安全：乃是防護的核心，如權限設定、加密、系統指紋、備份等。l帳號安全帳號安全的淪陷通常是系統入侵成功的第一步帳號安全應包括一般帳號與root帳號的管理l重要做法教育使用者正確使用及選擇密碼。分配密碼：為使用者提供密碼，使他們沒選用脆弱密碼的機會。密碼逾時機制：強迫使用者定期更換密碼。使用shadow密碼。將密碼由/etc/passwd中分離出來。預防性密碼稽查：在密碼生效之前就評估其安全性l預防性密碼檢查工具包括passwd+、npasswd等，redhat linux則內建cracklib檢查使用者的密碼。反應性密碼稽查：用密碼檢查程式找

5、出不安全的密碼。l工具- crack 、crack for nt 限制root帳號進入系統的方式l檔案系統安全：檔案系統控制誰能存取資訊，以及對資訊能作何種處理。當一切防護均失效時，加密機制仍能維護檔案的機密性。l重要做法審慎授與使用者適當的檔案權限l指紋資料庫的完整性是系統安全的一個極重要指標l建立最佳時機為系統初建立及更新時l應建立指紋的檔案包括系統執行檔、應用程式組態檔及其他重要資料檔定時檢查及更新指紋資料庫相關的工具lsum/cksum：可檢查某檔案的crc值。lmd5：可用來製作訊息和檔案指紋。lrpm(redhat package manager)：軟體安裝程式的驗證與簽章檢查。l

6、tripwire 、aide: 檔案系統完整性檢查工具l定期安全自我檢測組態錯誤、程式瑕疵、系統漏洞，以及其他潛在的安全問題。檢測應藉助安全工具，有系統且定期進行系統弱點掃描工具-cops (computer oracle and password system) 、 tiger (美國德州a&m大學研發)網路弱點掃描工具-satan 、saint、iss 、 nessus 、nmap 、cgi scannerl安全缺失修補組態修正修補程式(security patch)版本更新l其他具體做法建議嚇阻力量是最好的防禦-善用系統稽核(auditing)與記錄(log)留意來自網路上及軟體

7、廠商的系統安全漏洞報告，並確實修補之訂閱系統安全相關討論群組文章(mailing list)llook for signs that your system may have been compromised check for packet sniffers examine files run by cron and at. check for unauthorized services check system and network configuration examine all machines on the local network l常見系統入侵程序進入系統利用各種管道取得系

8、統super user權限留下後門(bacckdoor)便利日後進入系統。l留意系統檔案不正常異動是早期發現入侵徵候及檢查惡意程式碼的最佳方法l正常檔案 v.s 異常檔案files finger printl常見工具tripwire 、tamu 、atp 、aidel正常檔案特徵紀錄保存-檔案指紋建立檔案檢查原理是比對，因此你必須在確定系統是乾淨的時候，建立比對依據的指紋資料(fingerprint)，而建立這個檔案的最佳時機是當你完成系統安裝，尚未對外開放的時候，或系統完成更新時.lfile time 、 size 、 access mode 、 check suml檔案特徵比對l檔案特徵紀

9、錄更新系統檔案正常變動後laide (advanced intrusion detection environment) 是一個可以藉由檔案完整性檢查(file integrity check)，協助管理者早期發現系統入侵跡象的安全工具。aide可以根據管理者訂下的檔案範圍及檢查項目(permission, access time, modify time, check sum .)，藉由比對方式，產生檔案變動的報告。 aide可以檢查檔案特性項目包括：存取權限設定(permissions), inode編號(inode number), 檔案擁有者(user), 檔案擁有群組(group),

10、 檔案大小(file size),檔案最近被修改時間(mtime and ctime), 檔案最近被修改時間(atime), 檔案大小的改變(growing size)及檔案鏈結數(number of links) aide用來檢查檔案完整性的演算法(algorithm)包括：sha1, md5, rmd160, tiger (crc32, haval and gost can be compiled in if mhash support is available).laide適用平臺：solaris 2.5.1,2.6,7 、 linux 2.2.x,2.0.x 、 freebsd 2.2

11、.8,3.4 、 unixware 7.0.1 、 bsdi 4.1 openbsd 2.6lget aide:檔名：aide-xx.tar.gz (xx is the version name, the current version is 0.7) where ： lhttp:/ luse archie to find this filelaide安裝(參考 .tw/linux/aide.htm)compile the sourcemodify the configuration filel保留哪些檔案的特徵l保留檔案的哪些特徵create initia

12、l aide database (for the files finger print)laide -init#把/etc/passwd的permission由644改為664，測試aide可以檢查出來woodynmc aide-0.7# -rw-r-r- 1 root root 5596 jun 15 09:45 /etc/passwdwoodynmc aide-0.7# woodynmc aide-0.7# -rw-rw-r- 1 root root 5596 jun 15 09:45 /etc/passwdwoodynmc aide-0.7# aide found differences

13、 between database and filesystem!start timestamp: 2000-06-16 15:40:30summary:total number of files=1211,added files=0,removed files=0, changed files=1 changed files:changed:/etc/passwd#aide發現/etc/passwd的permission遭修改，並提出警告detailed information about changes:file: /etc/passwdpermissions: old = -rw-r-r

14、- , new = -rw-rw-r-ctime: old = 2000-06-15 09:45:43, new = 2000-06-16 15:39:32end timestamp: 2000-06-16 15:40:48l選擇適當時機建立aide.db，更新時謹慎行事 l妥善保存aide.db(tape or floopy) l精確修改aide.conf，去除無意義的檢查(例如經常更動的檔案)，使你的檢查結果更有意義l嚇阻力量是最好的防禦-系統稽核(auditing)與記錄(log)llinux上的系統記錄機制syslogd無關系統記錄:如wtmp、utmp、lastlog、pacct等。

15、syslogd相關系統記錄檔: messages、syslog及管理者所設定之檔案。應用程式運作記錄檔: 如apache server的access.log及error.log等。 lsyslogdsyslogd是unix中負責記錄大部分系統事件(event)的一個背景程式(daemon) 。syslogd可以經由設定與設計，記錄包括核心、系統程式及使用者自行開發程式的運作情形及所發生的事件。syslogd的記錄以純文字的方式記錄於檔案中，管理者可以用任何文字編輯緝查閱，藉以掌握系統各項活動。/etc/syslog.conf是syslogd運作的關鍵，經由適當的設定，syslogd可以把相關應

16、用程式的指定事件，寫入特定檔案之中，供管理與系統追蹤之用。 l/etc/syslog.conf內容控制syslogd如何紀錄系統相關事件(what、where) 。l/etc/syslog.conf內容更動必須重新啟動syslogd更動部份方始生效。l/etc/syslog.conf格式lselector = facility.priority priority是事件的優先等級。一般而言，syslogd將系統事件分成八個不同的等級debuginfonoticewarning(=warn)error(=err)critalertemerg(=panic)。(優先順序由低至高排列)facility

17、是產生事件的子系統(subsystem)，syslog.conf中用來描素事件產生子系統的關鍵字。系統內定facility包括auth、auth-priv、cron、daemon、kern、lpr、mail、mark、news、security(=auth)、syslog、user、uucp，使用者自行開發之程式則可使用local1 local7。laction這個欄位描述syslogd會將符合該行中selector條件的訊息，記錄於何處。 一般檔案(regular file):l檔案以絕對路徑方式描述，檔案不存在，syslogd啟動，重新讀取/etc/syslog.conf時會自動產生。 終

18、端機或是主控站(e.g. /dev/tty0 or /dev/console in linux)使用者名稱(list of users)所有線上使用者(with symbol “*”) 遠端主機l將除了facilitykern外的所有facility，priority等級為crit (and crit only)的message記錄到檔案/var/adm/critical中。#etc/syslog.conf內容# store critical stuff in critical#*.=crit;kern.none /var/adm/criticall將所有kernfacility相關messages記錄至/var/adm/kernel。l將kern.crit、kern.alert及kern.emerg相關訊息，利用port 143送至遠端主機finlandia記錄。(priority比crit高的訊息有alert及emerg)。l將kern.crit、kern.alert及kern.emerg相關訊息傳送到系統console。(console一般是指人為定義的某一臺連接主機的終端機)。l將kern相關，priority高於或等於info，但priority為e