Linux操作系統的漏洞及防范措施
Linux操作系統的漏洞及防范措施
Linux操作系統的漏洞威脅會被黑客利用,從而危害到系統安全。下面由學習啦小編為大家整理了Linux操作系統的漏洞及防范措施的相關知識,希望對大家有幫助!
Linux操作系統的漏洞及防范措施一
1. 安全漏洞:Linux VMLinux 任意內核執行拒絕服務漏洞
漏洞描述:
Linux 是 UNIX 操作系統的變種,目前已經出現了很多版本,其中某些版本的內核存在安全問題,可能導致拒絕服務攻擊。如果本地用戶從命令行執行第二種內核時,該內核通常會被正在運行的內核殺死,但是對于某些版本的內核來說,第二種內核會使正在運行的內核崩潰,從而導致拒絕服務。
防范措施:
如果不能立刻安裝補丁或者升級,建議采取以下措施以減少風險: 禁止用戶運行第二種內核。建議使用Linux系統的用戶立刻升級到2.4.12或更新內核
2. 安全漏洞:SuSE Linux SuSEHelp CGI 腳本執行任意命令漏洞
漏洞描述:
SuSE Linux由SuSE發布的免費、開放源代碼的UNIX操作系統的變種。susehelp是SuSE用戶幫助文檔的一部分,用來快速解決用戶遇到的常見問題。該程序存在一個安全問題,可能允許攻擊者執行任意命令。這是由于susehelp所帶的幾個CGI腳本在打開文件時沒有過濾用戶輸入的元字符造成的。
防范措施:
如果不能立刻安裝補丁或者升級,建議采取以下措施以減少風險:暫時去掉這些CGI腳本的執行權限。廠商已經發布了補丁以修復該安全問題。
3. 安全漏洞:RedHat Linux IPTables 保存選項無法恢復規則漏洞
漏洞描述:Red Hat Linux 是免費、開放源代碼的UNIX操作系統的變種,是由Red Hat 公司發布和維護的。該系統的防火墻存在一個安全問題,可能導致管理員在不知情的情況下將系統暴露在危險之中。這是由于“-c”選項創建了一個iptables無讀權限的文件,當系統重新啟動,iptables試圖加載這個文件時會失敗,這樣該系統就會失去保護。
防范措施:目前廠商已經發布了補丁程序,可安裝補丁或者升級,或手工修改該文件的權限,使其可以被iptables讀取。
4. 安全漏洞: RH Linux Tux HTTPD 拒絕服務漏洞
漏洞描述:
Tux 是內核空間的HTTP Server,可以最大地提高系統性能,能夠與用戶空間的HTTPServer如Apache同時工作,缺省情況下是禁止的。該軟件存在一個安全問題,可能導致拒絕服務。通過向遠程服務器發送超長的“Host:”頭,就可以導致遠程服務器拒絕服務,只有重新啟動才能恢復正常工作。
如果運行以下命令:
perl -e "print qq(GET / HTTP/1.0 Accept: */* Host:). qq(A) x 6000 .qq( )" |nc
這將會導致遠程主機發生下列信息:
Code: Bad EIP Value.(0)Kernel Panic: Aiee, killing interrupt handler!In interrupt handler - not syncing!
防范措施:
如果不能立刻安裝補丁或者升級,建議采取以下措施:禁止運行Tux廠商補丁。
5. HP Secure OS Software for Linux 文件系統保護漏洞
漏洞描述:
HP Secure OS Software for Linux 是一個軟件包,同時也是一個提供了多種安全增強的Linux內核,包括附加的文件系統控制。該軟件包被發現存在一個安全問題:可能允許用戶訪問到部分通過文件系統保護規則保護的文件。
防范措施:
目前廠商已經發布了針對該問題的補丁,請安裝廠家提供的補丁。
6. Linux kernel ptrace提升權限漏洞
受影響的系統: Linux kernel 2.2.x, x<=19 Linux kernel 2.4.y, y<=9
漏洞描述:Linux kernel的某些版本在處理ptrace時存在一些實現上的漏洞。本地用戶可能非法提升權限,比如獲取root權限。問題在于當一個進程被ptrace跟蹤后,如果它再啟動某個setuid程序時,系統仍然認為它是一個被跟蹤的進程。這可能導致普通用戶的進程可以修改特權進程的執行流程,從而提升權限。
防范措施:Linux kernel 2.4.12已經解決了這一問題,可以在廠商主頁下載最新升級版本,注意升級到新版本需要重新編譯并替換原有內核,并重新啟動系統才能生效。
7. Linux kernel 深層鏈接拒絕服務漏洞
受影響的系統:Linux kernel 2.2.x, x<=19 Linux kernel 2.4.y, y<=9
漏洞描述:
Linux kernel的某些版本中存在一個漏洞,當處理一個深層鏈接的目錄時,將消耗大量的CPU時間,其他進程將無法繼續運行。這可能允許本地攻擊者進行拒絕服務攻擊。
防范措施:
下載安裝最新的補丁。
Linux操作系統的漏洞及防范措施二
8. Linux Util-Linux Login Pam 權限提升漏洞
漏洞描述:
util-Linux 軟件包中提供了很多標準 UNIX 工具,例如 login.。它存在一個問題可能允許本地用戶提升權限。如果某些用戶的 login 訪問數目收到受到 pam_limits 控制的話,就可能導致一些不可預料的結果:登錄的用戶可能獲取控制臺或者pts/0用戶的權限。
防范措施:
如果已經在 pam 配置文件中設置允許使用 pam_limits.so 對登錄session 進行限制,并且在/etc/security/limits.conf 中對某些用戶或者組設置了最大登錄限制的話,最好暫時注釋掉這些選項。目前各個Linux廠商正在著手開發相應的補丁。
9. Linux 2.4 iptables MAC地址匹配繞過漏洞
受影響的系統:Linux kernel 2.4
漏洞描述:
Linux 2.4 內核中包含一個新的功能強大的防火墻體系——Netfilter。它的主要組件是 iptables.,Iptables中包含了一個擴展模塊MAC,它可以基于MAC地址來匹配經過防火墻的報文。這個模塊主要是用來防止惡意的內部用戶通過修改IP地址進行欺騙攻擊。然而,MAC模塊沒有正確匹配長度很小的報文,例如4個字節的ICMP或者UDP報文。這使得內部攻擊者可能利用這一漏洞來探測受iptables保護的主機是否存活。
防范措施:
下載安裝最新的補丁包。
10. Mandrake Linux Kernel devfs實現漏洞
受影響的系統: Mandrake Linux 8.1
漏洞描述:
Mandrake Linux 8.1 內核中的devfs實現中存在一個安全問題,目前還沒有此問題的細節公布。
防范措施:
如果正在使用 8.1,在啟動時請使用 devfs=nomount 參數來禁止 devfs 加載,其廠商也著手開發補丁(www.Linux-mandrake.com/en/security/)。
11. RedHat Linux setserial腳本條件競爭漏洞
受影響的系統:RedHat Linux 6.xRedHat Linux 7.x
漏洞描述:RedHat Linux的setserial包的文檔目錄中帶了一個初始化腳本。如果這個腳本被手工拷貝到/etc/init.d目錄中,并且內核被重新編譯為支持模塊化串口支持,那么這個腳本執行時會使用一個可以預測的臨時文件名。攻擊者可能猜測臨時文件名并利用符號鏈接攻擊來覆蓋系統文件。
這個問題在缺省配置下并不存在。如果執行下列命令:/bin/ls /etc/rc.d/init.d/serial 返回“/et /rc.d/init.cd/serial”,說明這個腳本已經被手工安裝了。再執行命令:/sbin/modprobe -l | grep "/serial.o,如果有返回,這說明你的系統是受影響的。
防范措施:RedHat 的安全公告中建議用戶禁止串口支持或者使用不支持串口模塊的內核。
12. Red Hat Linux Apache 遠程列舉用戶名漏洞
受影響的系統:RedHat Linux 7.0
漏洞描述:
隨同Red Hat Linux 7.0一起發布的Apache存在一個這樣的配置錯誤:導致遠程攻擊者可能列舉該主機上存在的用戶。如果遠程攻擊者發送一個請求,那么一般會有以下三種情況:
(1)如果用戶存在,并且配置好了自己的個人主頁,那么服務器返回該用戶的首頁;
(2)如果用戶存在,但是還沒有配置自己的個人主頁,那么服務器返回:“You don"t have permission toaccess /~username on this server.”;
(3)如果用戶不存在,那么服務器返回:“The requested URL /~username was not found on this server.”,
利用不同情況返回不同錯誤信息,導致遠程攻擊者可能列舉主機用戶名。
防范措施:
建議安裝廠商補丁。安裝補丁程序之前,可采用如下臨時解決方法:
(1)關閉缺省打開的“UserDir”選項% echo "UserDir Disabled" >>/var/www/conf/httpd.conf
(2)替換路徑名URL% echo "ErrorDocument 404 http://localhost/sample.html" >>/var/www/conf/httpd.conf%echo "ErrorDocument 403 http://localhost/sample.html" >>/var/www/conf/httpd.conf% sudo apachectl restart
13. Linux LPRng rhs-printfilters遠程執行命令漏洞
受影響的系統: RedHat Linux 7.0
漏洞描述:
果系統安裝了tetex-dvips,而且在調用dvips命令時沒有指定“-R”開關(安全本模式),那么攻擊者可能利用LPRng來遠程執行任意命令。dvips程序用來將一個.dvi文件轉換成“.ps”文件。在遠程用戶向目標系統的LPRng打印守護進程提交一個“.dvi”文件的打印請求時,LPRng會將此請求交給過濾器“dvi-to-ps.fpi”來將“.dvi”文件轉換成“.ps”文件。攻擊者可以構造一個惡意的“.dvi”文件,并在psfile部分中輸入包含shell元字符的任意命令,在dvips進行轉換時,就會以lp用戶的身份執行這些命令。上述問題只有在dvips沒有指定“-R”開關時才會存在。
14. Linux ColdFusion CFReThrow 標簽拒絕服務漏洞
受影響的系統:Allaire ColdFusion Server 5.0 for Linux、 Allaire ColdFusion Server 4.5.1 for Linux
漏洞描述:
ColdFusion是由Allaire發布和維護的WEB應用軟件包。如果ColdFusion服務器是安裝在Linux系統的話,CFRETHROW標簽就可能導致ColdFusion服務器崩潰,這時ColdFusion就會在安裝目錄下的“log”子目錄生成一個“core”文件。這個漏洞只影響 Linux 下的 ColdFusion,攻擊者要利用這個漏洞,必須有權限上傳文件。利用這個漏洞,攻擊者可以使ColdFusion服務器崩潰,還可能訪問到該服務器上的敏感信息。
防范措施:
編輯文件/usr/lib/rhs/rhs-printfilters/dvi-to-ps.fpi,找到下列語句:dvips -f $DVIPS_OPTIONS < $TMP_FILE將其變成:dvips -R -f $DVIPS_OPTIONS < $TMP_FILE。目前廠商還沒有提供補丁或者升級程序。
防范措施:
使用CFTHROW標簽廠商補丁。目前廠商還沒有提供補丁或者升級程序,建議使用此軟件的用戶隨時關注廠商的主頁以獲取最新版本:www.allaire.com/Products/index.cfm。
15. SuSE Linux sdbsearch.cgi執行任意代碼漏洞
受影響的系統:SuSE Linux 6.x、SuSE Linux 7.1、SuSE Linux 7.2
漏洞描述:
SuSE Linux發行版中帶了一個名為“sdbsearch.cgi”的Perl腳本。它存在一個安全問題,可能導致攻擊者執行任意命令。這個腳本信任客戶端發送的HTTP請求中的HTTP_REFERER變量的內容。“"sdbsearch.cgi”利用它來作為關鍵字來定位文件。如果攻擊者可以設法上傳一個包含特定內容的文件,“sdbsearch.cgi”將會使用open()調用來打開匹配的文件。如果文件中包含管道符等shell元字符,攻擊者就可能以httpd身份執行任意命令。
測試方法:
Maurycy Prodeus (z33d@eth-security.net)提供了如下測試方法。
首先攻擊者要設法上傳一個"keylist.txt"的文件。 如果在本機測試可以執行如下操作:
$ echo -e "keywordtouch exploitable|"> /tmp/keylist.txt
將向目標主機發送如下HTTP請求:
GET /cgi-bin/sdbsearch.cgi?stichwort=keyword HTTP/1.0Referer:http://szachy.org/../../../../../tmp
這將會在/tmp/下創建"exploitable"文件。
防范措施:
暫時禁止 CGI 腳本的執行權限。或者將其移出/cgi-bin/目錄。建議使用此軟件的用戶隨時關注廠商的主頁獲取最新版本。
補充:Linux操作系統查找漏洞的兵器
(1) sXid
sXid是一個系統監控程序,軟件下載后,使用“make install”命令即可安裝。它可以掃描系統中suid和sgid文件和目錄,因為這些目錄很可能是后門程序,并可以設置通過電子郵件來報告結果。缺省安裝的配置文件為/etc/sxid.conf,這個文件的注釋很容易看懂,它定義了sxid 的工作方式、日志文件的循環次數等;日志文件缺省為/var/log/sxid.log。出于安全方面的考慮,我們可以在配置參數后把sxid.conf 設置為不可改變,使用 chattr 命令把sxid.log文件設置為只可添加。此外,我們還可以隨時用sxid -k加上 -k 選項來進行檢查,這種檢查方式很靈活,既不記入日志,也不發出 email。
(2)LSAT
Linux Security Auditing Tool (LSAT) 是一款本地安全掃描程序,發現默認配置不安全時,它可以生成報告。LSAT由Triode開發,主要針對基于RPM的Linux發布設計的。軟件下載后,進行如下編譯:
cndes$ tar xzvf last-VERSION.tgz
cndes$ cd lsat-VERSION
cndes$ ./configure
cndes$ make
然后以root身份運行:root# ./lsat。默認情況下,它會生成一份名字叫lsat.out的報告。也可以指定一些選項:
-o filename 指定生成報告的文件名
-v 詳細輸出模式
-s 不在屏幕上打印任何信息,只生成報告。
-r 執行RPM校驗和檢查,找出默認內容和權限被改動的文件
LSAT可以檢查的內容很多,主要有:檢查無用的RPM安裝;檢查inetd和Xinetd和一些系統配置文件;檢查SUID和SGID文件;檢查777的文件;檢查進程和服務;開放端口等。LSAT的常用方法是用cron定期調用,然后用diff比較當前報告和以前報告的區別,就可以發現系統配置發生的變化。下面是一個測試中的報告片斷:
****************************************
This is a list of SUID files on the system:
/bin/ping
/bin/mount
/bin/umount
/bin/su
/sbin/pam_timestamp_check
/sbin/pwdb_chkpwd
/sbin/unix_chkpwd
****************************************
This is a list of SGID files/directories on the system:
/root/sendmail.bak
/root/mta.bak
/sbin/netreport
****************************************
List of normal files in /dev. MAKEDEV is ok, but there
should be no other files:
/dev/MAKEDEV
/dev/MAKEDEV.afa
****************************************
This is a list of world writable files
/etc/cron.daily/backup.sh
/etc/cron.daily/update_CDV.sh
/etc/megamonitor/monitor
/root/e
/root/pl/outfile
(3)GNU Tiger
這是掃描軟件可以檢測本機安全性,源自TAMU的Tiger(一個老牌掃描軟件)。Tiger程序可以檢查的項目有:系統配置錯誤;不安全的權限設置;所有用戶可寫的文件;SUID和SGID文件;Crontab條目;Sendmail和ftp設置;脆弱的口令或者空口令;系統文件的改動。另外,它還能暴露各種弱點并產生詳細報告。
(4)Nabou
Nabou是一個可以用來監視系統變化的Perl 程序,它提供文件完整性和用戶賬號等檢查,并將所有數據保存在數據庫里。此外,用戶也可以在配置文件中嵌入Perl代碼來定義自己的函數,執行自定義測試,操作其實十分方便。
(5)COPS
COPS是可以報告系統的配置錯誤以及其他信息,對Linux系統進行安全檢查。其檢測目標有:文件、目錄和設備文件的權限檢查;重要系統文件的內容、格式和權限;是否存在所有者為root的SUID 文件;對重要系統二進制文件進行CRC校驗和檢查,看其是否被修改過;對匿名FTP、Sendmai等網絡應用進行檢查。需要指出的是,COPS只是監測工具,并不做實際的修復。這個軟件比較適合配合其他工具使用,其優點在于比較擅長找到潛在的漏洞。
(6)strobe
Strobe是一個TCP端口掃描器,它可以記錄指定的機器的所有開放端口,運行速度非常快。它最初用于掃描局域網中公開的電子郵件,從而得到郵件用戶信息。Strobe的另一個重要特點是它能快速識別指定機器上正在運行什么服務,不足之處是這類信息量比較有限。
(7)SATAN
SATAN可以用來幫助系統管理員檢測安全,也能被基于網絡的攻擊者用來搜索脆弱的系統。SATAN是為系統和管理員設計的一個安全工具。然而,由于它的廣泛性,易用性和掃描遠程網絡的能力,SATAN也可能因為好奇而被用來定位有弱點的主機。SATAN包括一個有關網絡安全問題的檢測表,經過網絡查找特定的系統或者子網,并報告它的發現。它能搜索以下的弱點:
NFS——由無權限的程序或端口導出。
NIS-——口令文件訪問。
Rexd——是否被防火墻阻止。
Sendmail——各種弱點。
ftp——ftp、wu-ftpd或tftp配置問題。
遠程Shell的訪問——它是否被禁止或者隱藏。
X windows——主機是否提供無限制的訪問。
Modem——經過tcp沒有限制撥號訪問。
(8)IdentTCPscan
IdentTCPscan是一個比較專業的掃描器,可以在各種平臺上運行。軟件加入了識別指定TCP端口進程的所有者的功能,也就是說,它能測定該進程的UID。這個程序具有很重要的功能就是通過發現進程的UID,很快識別出錯誤配置。它的運行速度非常快,可以稱得上是入侵者的寵物,是一個強大、銳利的工具。