October 12, 2004

UNIX 十大安全隐患 及对策::[Source]


Liang

上周美国系统网络安全协会(SANS Institute)公布了UNIX的10大安全隐患,从我自己使用了10年UNIX的经验出发,基本上都是据之有理,鉴于没有标准的隐患对策,我简单阐述以下这些隐患的对策。

美国系统网络安全协会公布的Unix十大安全隐患排行榜:

  1 BIND域名系统(BIND Domain Name System)

  2 Web服务器(Web Server)

  3 认证(Authentication)

  4 版本控制系统(Version Control Systems )

  5 电子邮件传输服务(Mail Transport Service)

  6 简单网络管理协议(Simple Network Management Protocol)

  7 开放安全连接通讯层(Open Secure Sockets Layer)

  8 企业服务NIS/NFS 配置不当(Misconfiguration of Enterprise Services NIS/NFS)

  9 数据库(Databases)

  10 内核(Kernel)

1] Bind 的NIS 服务以往常常和NFS服务绑定在一起,提供局域网内用户的统一登录和远程的目录文件共享。

其漏洞在如果hacker控制局域网内任何一台unix/linux的服务器的local root帐户,可以通过su进入任何其它的用户的文件系统,简直是弱智的无以伦比。

这个漏洞我5,6年前用过竟然到今天还没有消除。

2] Web服务器(Web Server) 就是通常大家使用的各种 httpd server,鉴于apache 2.0 是最流行的web server,这里说明一下webserver的隐患。

cgi的配置,默认的conf 以及apache module都有很广泛的隐患,通常是通过升级来达到消除这些隐患,但是终究不是解决办法。

3年前我的apache webser曾经感染过wrom的病毒,可见其安全性之差。

3] 认证(Authentication) ,这里的隐患也不少,例如ssh 就曾经是一个众所周知的一个大漏洞,著名的电影《matrix II》里就使用了这样的指令: ssh host -l root -v 来监查ssh 的版本和漏洞。

4] 版本控制系统(Version Control Systems )
这个我不熟悉,不做评论。

5] 电子邮件传输服务(Mail Transport Service)
这是一个耗子窝,无论SMTP,Qmail等所有现在运行的 MTS 都有很多的安全隐患,并且在防止hack 和 spam email 上都有许多要做。

当系统管理员打开25端口的时候,需要知道这个端口是一个仅次于80 端口被hacker关注的服务。建立信任的IP以及好的email relay机制非常重要。

6] 简单网络管理协议(Simple Network Management Protocol)
这个简直不用讨论了,禁止使用。

7] 开放安全连接通讯层(Open Secure Sockets Layer)
明码广播曾经使得多少hacker使用简单的sniffit 工具(监听工具)得手,telnet 的明码传播曾经是hacker的最爱。
采用硬件的MAC绑定技术,或者干脆消灭ftp/telnet 等老古董的服务甚至client程序。

8] 企业服务NIS/NFS 配置不当(Misconfiguration of Enterprise Services NIS/NFS)
这个见[1] ,不当的NFS可以使得外部的人mount系统读取文件,甚至修改文件。
NFS最好禁止。

9] 数据库(Databases)
数据库也曾经是一种非常不安全的服务,因此提倡将数据库服务界入子网内部,企业内网要比暴露给整个Internet安全的多。

10] 内核(Kernel)
请找你的unix硬件厂商和跟踪最新的消息。

备注,基本上一个系统开启的服务越多,越容易受到攻击,安装的gnu软件越多,越不稳定安全。防火墙是非常必要的,另外每天检查日志也是一个好的习惯。

Posted at October 12, 2004 01:09 PM by Liang at 01:09 PM | Comments (1) | TrackBack(0) | Booso!| Niu.la收藏!


Trackback

You can ping this entry by using http://www.wespoke.com/cgi-bin/mt/mt-tb.cgi/601

Comments

第 1 楼:

TV host Oprah Winfrey gives audience members $1,000 (526) each to donate to a charitable cause...

Posted by: Gaven Rowe at December 12, 2006 12:04 AM from 82.137.247.132

Post a comment

请注意,为了防止spam,您的留言必需含有中文字符!









Remember personal info?




所有发表