Linux系統安全加固需要做以下方面:
修改系統密碼:服務器設置大寫、小寫、特殊字符、數字組成的12-16位的復雜密碼 ,也可使用密碼生成器自動生成復雜密碼。可以參考密碼生成器生成隨機密碼 。
關閉沒必要的端口:服務器為了應用部署方便都選用了完全安裝,導致很多沒有使用的服務也在啟動狀態。需要卸載服務器上不必要的服務,禁用多余的端口。
設置賬戶保存歷史命令條數,超時時間:設置成功后,五分鐘沒有指令動作服務器會超時自動斷開與客戶端的鏈接。
查看系統是否已設定了正確UMASK值:查看系統是否已設定了正確UMASK值,如果沒有設定正確UMASK值及時進行設定。
鎖定系統中不必要的系統用戶和組:將系統中不需要的系統用戶和組進行鎖定。
預防flood攻擊:采取一定的措施預防flood攻擊,一面遭受不必要的損失。
禁用X-windows服務:禁止使用X-windows服務。
加固TCP/IP協議:對TCP/IP協議進行加固。
加強傳感器網絡安全的防護手段有以下這些:
信息加密:對通信信息進行加密,即對傳感器網絡中節點與節點之間的通信鏈路上的通信數據進行加密,不以明文數據進行傳輸,即使攻擊者竊聽或截取到數據,也不會得到真實信息。
數據校驗:數據接收端對接收到的數據進行校驗,檢測接收到的數據包是否在傳輸過程中被篡改或丟失,確保數據的完整性。優秀的校驗算法不僅能確保數據的完整性,也能夠確保攻擊者的重放攻擊,從假數據包中找到真實數據包,防御“拒絕服務”攻擊。
身份認證:為確保通信一方或雙方的真實性,要對數據的發起者或接收者進行認證。這就好比阿里巴巴的咒語,只有知道咒語的人,門才能打開。認證能夠確保每個數據包來源的真實性,防止偽造,拒絕為來自偽造節點的信息服務,防御對數據接收端的“拒絕服務”攻擊等。
擴頻與跳頻:固定無線信道的帶寬總是有限的,當網絡中多個節點同時進行數據傳輸時,將導致很大的延遲及沖突,就像單車道一樣,每次只能通過一輛車,如果車流量增大,相互搶道,那么將導致堵車;同時其信道是固定的,即使用固定的頻率進行數據的發送和接收,很容易被攻擊者發現通信的信道,并進行竊聽、截取通信信息。在無線通信中使用擴頻或跳頻,雖然兩個節點通信時還是使用單一的頻率,但是每次通信的頻率都不相同,而別的節點就可以使用不同的頻率進行通信,即增加了通信信道,可以容納更多的節點進行同時通信,減少沖突和延遲,也可以防御攻擊者對通信鏈路的竊聽和截取。在擴頻或跳頻技術中,使用“說前先聽[Listen Before Talk(LBT)]”的機制,即要發送數據之前,對準備使用的頻率進行監聽,確認沒有別的節點在使用該頻率后,才在這個信道(頻率)上發送數據,不然就監聽下個頻率,依次類推。
安全路由:傳統網絡的路由技術主要考慮路由的效率、節能需求,但是很少考慮路由的安全需求。在傳感器網絡中,節點和節點通信、節點和基站通信、基站和基站通信、基站和網關(后臺系統)通信都涉及路由技術。在傳感器網絡中要充分考慮路由安全,防止節點數據、基站數據泄露,同時不給惡意節點、基站發送數據,防止惡意數據入侵。
入侵檢測:簡單的安全技術能夠識別外來節點的入侵而無法識別那些被捕獲節點的入侵。因為這些被捕獲的節點和正常的節點一樣,具有相同的加/解密、認證、路由機制。安全防護技術要能夠實現傳感器網絡的入侵檢測,防止出現由于一個節點的暴露而導致整個網絡癱瘓的危險。
BlackEnergy是一款自動化的網絡攻擊工具,于2007年被Arbor網絡公司首次發現,主要影響領域是電力、軍事、通信和政府等的基礎設施。BlackEnergy被各種犯罪團伙使用多年。其可采用插件的方式進行擴展,第三方開發者可以通過增加插件并針對攻擊目標進行組合,實現更多攻擊。BlackEnergy工具帶有一個構建器(Builder)應用程序,可生成感染受害者機器的客戶端。
降低計算機病毒危害的措施有以下這些:
安裝和維護防病毒軟件:防病毒軟件可識別惡意軟件并保護我們的計算機免受惡意軟件侵害。安裝來自信譽良好的供應商的防病毒軟件是預防和檢測感染的重要步驟。始終直接訪問供應商網站,而不是點擊廣告或電子郵件鏈接。由于攻擊者不斷地制造新病毒和其他形式的惡意代碼,因此保持我們使用的防病毒軟件保持最新非常重要。
謹慎使用鏈接和附件:在使用電子郵件和網絡瀏覽器時采取適當的預防措施以降低感染風險。警惕未經請求的電子郵件附件,并在單擊電子郵件鏈接時小心謹慎,即使它們貌似來自我們認識的人。
阻止彈出廣告:彈出窗口阻止程序禁用可能包含惡意代碼的窗口。大多數瀏覽器都有一個免費功能,可以啟用它來阻止彈出廣告。
使用權限有限的帳戶:瀏覽網頁時,使用權限有限的賬戶是一種很好的安全做法。如果我們確實受到感染,受限權限可防止惡意代碼傳播并升級到管理賬戶。
禁用外部媒體自動運行和自動播放功能:禁用自動運行和自動播放功能可防止感染惡意代碼的外部媒體在我們的計算機上自動運行。
更改密碼:如果我們認為我們的計算機受到感染,應該及時更改我們的密碼(口令)。這包括可能已緩存在我們的網絡瀏覽器中的任何網站密碼。創建和使用強密碼,使攻擊者難以猜測。
保持軟件更新:在我們的計算機上安裝軟件補丁,這樣攻擊者就不會利用已知漏洞。如果可用,請考慮啟用自動更新。
資料備份:定期將我們的文檔、照片和重要電子郵件備份到云或外部硬盤驅動器。如果發生感染,我們的信息不會丟失。
安裝或啟用防火墻:防火墻可以通過在惡意流量進入我們的計算機之前阻止它來防止某些類型的感染。一些操作系統包括防火墻;如果我們使用的操作系統包含一個防火墻,請啟用它。
使用反間諜軟件工具:間諜軟件是一種常見的病毒源,但可以通過使用識別和刪除間諜軟件的程序來最大程度地減少感染。大多數防病毒軟件都包含反間諜軟件選項,確保啟用。
監控賬戶:尋找任何未經授權的使用或異常活動,尤其是銀行賬戶。如果我們發現未經授權或異常的活動,請立即聯系我們的賬戶提供商。
避免使用公共Wi-Fi:不安全的公共Wi-Fi可能允許攻擊者攔截我們設備的網絡流量并訪問我們的個人信息。
常見的脫殼方法有以下兩種:
硬脫殼
這是指找出加殼軟件的加殼算法,寫出逆向算法,就像壓縮和解壓縮一樣。由于,目前很多 “殼” 均帶有加密、變形的特點,每次加殼生成的代碼都不一樣。硬脫殼對此無能為力,但由于其技術門檻較低,仍然被一些殺毒軟件所使用。
動態脫殼
由于加殼的程序運行時必須還原成原始形態,即加殼程序會在運行時自行脫掉 “馬甲”。目前,有一種脫殼方式是抓取(Dump)內存中的鏡像,再重構成標準的執行文件。相比硬脫殼方法,這種脫殼方法對自行加密、變形的殼處理效果更好。
計算機病毒的危害性主要表現為以下六種:
潛伏性
一般情況下,計算機病毒感染系統后,并不會立即發作攻擊計算機,而是具有一段時間的潛伏期。潛伏期長短一般由病毒程序編制者所設定的觸發條件來決定。
傳染性
計算機病毒入侵系統后,在一定條件下,破壞系統本身的防御功能,迅速地進行自我復制,從感染存儲位置擴散至未感染存儲位置,通過網絡更可以進行計算機與計算機之間的病毒傳染。
破壞性
計算機系統一旦感染了病毒程序,系統的穩定性將受到不同程度的影響。一般情況下,計算機病毒發作時,由于其連續不斷的自我復制,大部分系統資源被占用,從而減緩了計算機的運行速度,使用戶無法正常使用。嚴重者,可使整個系統癱瘓,無法修復,造成損失。
隱蔽性
計算機病毒通常會以人們熟悉的程序形式存在。有些病毒名稱往往會被命名為類似系統文件名,例如Internet單詞的一個“n”被假圖標改為了兩個“n”,很難被用戶發現,一旦點擊訪問這些圖標指向的網站,很有可能面臨釣魚或掛馬威脅;又如文件夾EXE病毒,其圖標與Windows默認的文件夾圖標是一樣的,十分具有迷惑性,當用戶雙擊打開此文件夾時,就會激活病毒。
多樣性
由于計算機病毒具有自我復制和傳播的特性,加上現代傳播媒介的多元化,計算機病毒的發展在數量與種類上均呈現出多樣性特點。
觸發性
一般情況下,計算機病毒侵入系統后,并不會立刻發作,而是較為隱蔽地潛伏在某個程序或某個磁盤中,當達到病毒程序所敲定的觸發條件,例如設定日期為觸發條件,或設定操作為觸發條件,當條件滿足預設時,病毒程序立即自動執行,并且不斷地進行自我復制和傳染其它磁盤,對系統進行破壞。例如,March 25th病毒,在每年的3月25日,如果該病毒在內存中便會激活。
系統安全常見的一些問題有以下這些:
系統的體系結構造成系統本身不保密。這是計算機系統不保密的根本原因。系統的程序可以動態鏈接,包括輸入輸出的驅動程序與系統服務,可以用打補丁的方式進行動態鏈接。這種方法廠商可以使用,黑客同樣也可以使用,所以動態鏈接是計算機病毒寄存的有利環境。
系統可以在網絡的節點上創建和激活遠程進程,支持被創建的進程繼續原創建進程的權限。這兩點結合起來就構成了可以在遠端服務器上安裝隱患軟件的條件。這種隱患軟件可以以打補丁的方式放在一個合法的用戶上,尤其是放在一個特權用戶上,并且使系統進程與作業的監視程序都監測不到它的存在。
系統通常都提供守護進程。它們總是在等待一些條件的出現,一旦有滿足要求的條件出現,程序便繼續運行下去。這樣的軟件可以被黑客所利用。
系統支持在網絡上傳輸文件,包括可執行的映像文件,即在網絡上加載程序,這就為黑客提供了方便。系統提供遠程過程調用服務,其服務本身也存在一些被非法用戶利用的漏洞。
系統提供調試器與向導。一些軟件研制人員的基本技能就是開發補丁程序和系統調試器,掌握了這兩種技術就有條件做黑客要做的事情。
系統安排的無口令入口是為系統開發人員提供的便捷入口,但它也是黑客的通道。
系統安全加固可以從以下方面入手:
端口和進程:網絡操作系統使用進程向外提供服務,減少無用軟件及服務的任務就是要在所有系統進程中找出多余進程。由于進程通過打開網絡端口向外提供服務,所以找出多余進程的最快方法是觀察進程及端口對應表。Netstat命令顯示協議統計和當前的TCP/IP網絡連接,該命令只有在安裝了TCP/IP協議后才可以使用。通過使用該命令可以列出一個系統上所有打開的TCP/IP網絡監聽端口。這些打開著的端口正是入侵者所要攻擊的,因為它們通向系統平臺內部。因此,作為平臺加固的一部分,用戶使用Netstat命令來識別出無關端口,并由此找到需要刪除或禁用的服務。
安裝系統補丁:所有軟件都有缺陷。為了修復這些錯誤,供應商會發布軟件補丁。如果沒有這些補丁,組織很容易遭受攻擊。在有很嚴格的更改控制策略的組織中,及時安裝補丁會是一個問題。對補丁的徹底測試是這個過程的關鍵部分,因為供應商在解決舊問題時,有可能會引入新的問題。而對于和安全缺陷無關的補丁來說沒有問題。但是,入侵者搜索和利用安全弱點的速度很快,所以要求有更快的安全補丁修正過程。企業必須注意安全補丁的發布,并隨時準備快速地使用它們。
用戶賬戶:用戶賬戶標識了需要訪問平臺資源的實體(無論是應用程序進程還是人)。操作系統通過權限和優先權將用戶賬戶與其訪問控制系統相關聯。因為用戶賬戶是合法進入系統的機制,所以入侵者常常試圖利用用戶賬戶管理和訪問控制中的缺陷。如果可以作為合法用戶輕松地登錄系統,那么為什么還要浪費時間去做自定義緩沖器溢出攻擊呢?用戶賬戶管理的弱點有5個方面:弱密碼、制造商默認的賬戶、基于角色的賬戶、公司默認賬戶,以及廢棄賬戶。在任何情況下,平臺加固的目標是將用戶賬戶數目減少到所需的絕對最小值。
用戶特權:為每一個用戶指派通常只能作為超級用戶運行的特定的應用程序和功能,而不是真正地使用超級用戶賬戶。也可以啟用詳細的日志記錄,使得可以根據任何運行于超級用戶功能追蹤到某個特定的用戶。在特定的應用中,意味著沒有人使用過超級用戶賬戶。
文件系統安全:通過在程序文件上設置SUID標志,某一個進程可以臨時提升其特權用以完成某項任務(例如,訪問文件passwd)。當程序執行時,可以暫時得到這些額外的特權而不用被全授予如此高的特權。這個SUID標志常常過度使用,當它與被黑客修改過的軟件包結合時,被修改的程序執行后會使某個用戶得到全時提升的系統權利。UNIX系統可能有很多帶有這個標志的組件,但是通常只需要它們中的一小部分。建議使用命令從整個系統中刪除不需要SUID標志程序的SUID標志。
遠程訪問的安全:Telnet和rlogin是UNIX系統上最常用的遠程訪問方式。這些系統都不采用加密技術來保護遠程訪問會話。一種被動的網絡監聽攻擊可以看到用戶在進入Telnet或者rlogin會話中按下的每一個鍵。安全Shell(SSH)是一種在UNIX及Window系統上使用的軟件包,它提供與Telnet和rlogin相同功能,但增加了加密會話功能。這個軟件包已經成為用加密和訪問控制的各種可配置級別進行安全遠程訪問的行業標準。
微服務API安全網關具有以下功能:
NIO接入和異步接出:API網關作為所有的客戶端與微服務之間的橋梁,在兩者之間多加了一層網絡跳轉。為了盡可能地消除這層網絡跳轉所帶來的性能影響,API網關在實現上需要提供NIO接入和異步接出的功能。
報文格式轉換:API網關的一大作用在于構建異構系統,API網關作為單一入口,通過協議轉換整合后臺基于 REST、AMQP 和 Dubbo 等不同風格和實現技術的微服務,面向Web、Mobile、開放平臺等特定客戶端提供統一服務。
安全性控制:一般而言,無論對內網還是外網的接口都需要做用戶身份認證,而用戶認證在一些規模較大的系統都會采用統一的單點登錄(Single Sign On,SSO)功能,如果每個微服務都要對接單點登錄系統,那么顯然比較浪費資源且開發效率低。API 網關是統一管理安全性的絕佳場所,可以將認證的部分抽取到網關層,然后微服務系統無需關注認證的邏輯只關注自身業務即可。常見的安全性技術(如密鑰交換、客戶端認證與報文加/解密等功能)都可以在API網關中加以實現。
訪問控制:某些場景下需要控制客戶端的訪問次數和訪問頻率,對于一些高并發系統有時還會有限流的需求。為了防止站點不被未知的大流量沖垮,在網關上可以配置一個閥值,當請求數超過閥值時就直接返回錯誤而不繼續訪問后臺服務。
業務路由支持:可以在網關層制訂靈活的路由策略。針對一些特定的API,我們需要設置白名單、路由規則等各類限制。而這些非業務功能的配置以及變更都可以在網關層單獨操作。
漏洞管理周期有以下七個階段:
漏洞發現(掃描):不管治理工作有多重要,漏洞發現一定是第一步的,只有發現,才會涉及治理。
漏洞修復:對于修復,安全團隊要從督促和協助兩個方面進行,所謂督促是從監督層面用各種辦法讓相關方盡快修復漏洞,協助就是提供必要的技術支持。
復查:這是一般的漏洞掃描都不會落下的工作,安全部門需要確認漏洞是否真的被修復了。
復發判斷及處理:對于復發的處理是個可選項,有些情況下漏洞明明已經修復,但是由于恢復系統而將漏洞同步恢復的情況也有。如果能夠對復發進行特別的處理,就可以讓業務部門更重視這類情況。
時效性管理:對于不同威脅程度的漏洞,要有不同的修復時限,這是對漏洞修復的進一步要求。同時對超時修復漏洞的管理也基于時效性的規定。
數據統計:有了各個環節的管理,后續的數據統計就比較簡單了,主要看安全團隊需要從哪些角度進行數據統計,比如:累計發現漏洞數、各類漏洞數占比、未修復漏洞數量及占比、各業務部門超時漏洞數量排名(或超時時間排名)等。這些數據統計方法要根據各企業的實際情況輸出,有些統計還是比較容易引發部門矛盾的,所以在捋順內部關系之前,數據可以留在后臺,而慎用展示手段。
通報制度:有了統計數據,就可以通過各種手段通報了,例如:例會、大屏展示、安全周報等。這些通報最好提前制度化,而非“隨心所欲”地通報。因為“隨心所欲”會讓人當成是“別有用心”。
解析漏洞主要是一些特殊文件被Apache、IIS、Nginx等Web容器在某種情況下解釋成腳本文件格式并得以執行而產生的漏洞。主要有:
IIS 5.x/6.0解析漏洞
目錄解析:在網站下建立文件夾的名稱中帶有.asp、.asa等可執行腳本文件后綴的文件夾,其目錄內的任何擴展名的文件都被IIS當作可執行文件來解析并執行。
http://www.xxx.com/xx.asp/xx.jpg
文件解析:在IIS6.0下,分號后面的不被解析,也就是說6.0下,分號后面的不被解析,也就是說xx.asp;.jpg將被當做xx.asp解析并執行。
http://www.xxx.com/xx.asp;.jpg
IIS6.0 默認的可執行文件有asp、asa、cer、cdx四種。
IIS 7.0/IIS 7.5/ Nginx < 0.8.3畸形解析漏洞
在默認Fast-CGI開啟狀況下,訪問以下網址,服務器將把xx.jpg文件當做php解析并執行。
http://www.xxx.com/xx.jpg/.php
Nginx < 8.03 空字節代碼執行漏洞
影響范圍:Nginx0.5.,0.6., 0.7 <= 0.7.65, 0.8 <= 0.8.37
訪問以下網址,服務器將把xx.jpg文件當做php解析并執行。
http://www.xxx.com/xx.jpg%00.php
Apache解析漏洞
Apache對文件解析是從右到左開始判斷解析,如果文件的后綴為不可識別,就再往左判斷,解析。 如xx.php.owf.rar,由于Apache無法解析rar和owf后綴,但能夠解析php后綴,因此Apache會將xx.php.owf.rar當做php格式的文件進行解析并執行。
訪問以下網址,服務器將把xx.php.owf.rar文件當做php解析并執行。
http://www.xxx.com/xx.php.owf.rar
CVE-2013-4547 Nginx解析漏洞
訪問以下網址,服務器將把xx.jpg文件當做php解析并執行。
http://www.xxx.com/xx.jpg(非編碼空格)0.php
使用.htaccess將任意文件作為可執行腳本解析
如果在Apache中.htaccess可被執行.且可被上傳.那可以嘗試在.htaccess中寫入:
<FilesMatch ".(jpg)$"> SetHandler application/x-httpd-php </FilesMatch>
這將把目錄下的所有后綴為jpg的文件當做可執行的php腳本進行解析并執行。
下一代防火墻的功能有:
應用識別與控制:下一代防火墻依托先進的應用識別技術,在性能、安全性、易用性、可管理性等方面有了質的飛躍,下一代防火墻一般可識別超過上千種應用程序,而不論應用程序使用何種端口、協議、SSL、加密技術或逃避策略。
用戶識別與控制:通過與認證系統的完美集成,對應用程序使用者實現基于策略的可視化和控制功能。提供基于用戶與用戶組的訪問控制策略,使管理員能夠基于各個用戶和用戶組來查看和控制應用使用情況。在所有功能中均可獲得用戶信息,包括應用控制策略的制定和創建、取證調查和報表分析。管理員亦可將用戶信息編輯成Excel、TXT文件,將賬戶導入,實現快捷的創建用戶和分組信息。 支持多種身份認證方式,幫助組織管理員有效區分用戶,建立組織身份認證體系,進而形成樹形用戶分組,映射組織行政結構,實現用戶與資源的一一對應。下一代防火墻支持為未認證通過的用戶分配受限的網絡訪問權限,將通過Web認證的用戶重定向至顯示指定網頁,方便組織管理員發布通知。
內容識別與管控:下一代防火墻可以將數據包還原的內容級別進行全面的威脅檢測,還可以針對黑客入侵過程中使用的不同攻擊方法進行關聯分析,從而精確定位出一個黑客的攻擊行為,有效阻斷威脅風險的發生,幫助用戶最大程度減少風險短板的出現,保證業務系統穩定運行。通過內容識別技術,下一代防火墻實現了阻止病毒、間諜軟件和漏洞攻擊,限制未經授權的文件和敏感數據的傳輸,控制與工作無關的網絡瀏覽等功能。
流量管理與控制:傳統防火墻的QoS流量管理策略是簡單的基于數據包優先級的轉發,當用戶帶寬流量過大、垃圾流量占據大量帶寬,而這些流量來源于同一合法端口的不同非法應用時,傳統防火墻的QoS無能為力。
下一代防火墻提供基于用戶和應用的流量管理功能,能夠基于應用做流量控制,實現阻斷非法流量、限制無關流量保證核心業務的可視化流量管理價值。首先,下一代防火墻將數據流根據各種條件進行分類(如IP地址,URL,文件類型,應用類型等分類),分類后的數據包被放置于各自的分隊列中,每個分類都被分配了一定帶寬值,相同的分類共享帶寬,當一個分類上的帶寬空閑時,可以分配給其他分類,其中帶寬限制是通過限制每個分隊列上數據包的發送速率來限制每個分類的帶寬,提高了帶寬限制的精確度。
下一代防火墻可以基于不同用戶(組)、出口鏈路、應用類型、網站類型、文件類型、目標地址、時間段進行細致的帶寬劃分與分配,精細智能的流量管理既防止帶寬濫用,提升帶寬使用效率。
