坚不可摧 Linux系统下御敌策略浅议 （2）

巧御外敌

方法一：将入侵消灭在“萌芽”

入侵者进行攻击之前最常做的就是端号扫瞄，如果能够及时发现和阻止入侵者的这种行为，那么可以大大减少入侵事件的发生率。

Abacus Port Sentry是开放源代码的工具包，它能够监视网络接口，并且与防火墙交互操作来关闭端口扫瞄攻击。

Abacus Port Sentry能够检测到慢扫瞄（Slow Scan），但它不能检测到结构化攻击（Structured Attack）,这两种方式的最终目的都是要试图掩盖攻击意图。正确地使用这个软件将能够有效地防止对IMAP服务大量的并行扫瞄,并且阻止所有这样的入侵者。Abacus Sentry与Linux 2.2内核的IPChains工具一起使用时最有效，它 能够自动将所有的端口扫瞄行为定向到Port Sentry。

当然更好的办法就是使用专门的入侵检测系统，但这样的产品一般价格较高，普通用户承受起来有困难。

方法二：登录服务器“单一化”

将系统的登录服务器移到一个单独的机器中会增加系统的安全级别，在大的Linux网络中，最好使用一个单独的登录服务器用于Syslog服务。更安全的登录服务器会大大削弱入侵者透过登录系统窜改日志文件的能力。

1.安全Syslog

即使使用单独的登录服务器，Linux自身的Syslog工具也是相当不安全的。因此，有人开发了所谓的安全log服务器，将密码签名集成到日志中，这会确保入侵者即使在窜改系统日志以后也无法做到不被发现。现在最常用于取代Syslog的安全log服务器称为“安全Syslog”，用户可以从Core SDI站点http://www.core-sdi.com/ssylog处下载这个工具。这个守护程序实现一个称为PEQ-1的密码协议来实现对系统日志的远程审计。即使在入侵者获得系统超级用户权限的情况下也仍然可以进行审计，因为协议保证了以前以及入侵过程中的log信息没有审计者的通知无法被修改。

2.第二代Syslog

另一个取代Syslog的工具是Syslogs-ng（下一代的Syslog）。它提供了密码签名来检测对日志文件的窜改。密码安全登录服务器和远程审计功能可以使入侵者极难进行日志窜改并且很容易被检测到。用户可以从www.babit.hu/products/syslog-ng.html处下载这个工具。

方法三：单一登录系统更安全

维护分散的大网络环境中的多个用户账号对于系统管理员来讲是一件非常头疼的事情。现在有一些单一的登录（Sign On）系统不仅可以减轻管理员的负担，而且同时还提高了安全级别。

1.NIS

网络信息服务（NIS）是一个很好的单一登录系统，它是在Sun公司的Yellow Page服务的基础上发展起来的 ，它的基本安全特性不够健壮。NIS的更新版本NIS+，对原NIS的不足进行了改进，现在已经有了用于Linux的NIS+版本。

2.Kerberos

Kerberos也是一种非常有名的单一登录系统。Kerberos V4存在一些安全漏洞，Ketberos V5对此进行了改进。

方法四：用陷阱和蜜罐诱敌深入

所谓陷阱就是激活时能够触发报警事件的软件，而蜜罐（honeypot）程序是指设计用来引诱有入侵企图者触发专门报警的陷阱程序。

通过设置陷阱和蜜罐程序，一旦出现入侵事件，系统就可以很快发出报警。

在许多大的网络中，一般都设计有专门的陷井程序。陷阱程序一般分为两种：一种是只发现入侵者而不对其采取报复行动，另一种是同时采取报复行动。

设置蜜罐的一种常用方法是故意声称Linux系统使用了具有许多脆弱性的IMAP服务器版本。当入侵者对这些IMAP服务器进行大容量端口扫瞄，就会落入陷阱并且激发系统报警。

另一个蜜罐陷阱的例子就是很有名的phf，它是一个非常脆弱的Webcgi-bin脚本。最初的phf是设计来查找电话号码的，但它有一个严重的安全漏洞：允许入侵者使用它来获得系统口令文件或执行其它恶意操作。系统管理员可以设置一个假的phf脚本，但是它不是将系统的口令文件发送给入侵者，而是向入侵者返回一些假信息并且同时向系统管理员发出报警。

另外一类蜜罐陷阱程序可以通过在防火墙中将入侵者的IP地址设置为黑名单来立即拒绝入侵者继续进行访问。拒绝不友好的访问既可以是短期的，也可以是长期的。Linux内核中的防火墙代码非常适合于这样做。