科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网软件频道基础软件Linux内核入侵检测安全增强实现(上) (3)

Linux内核入侵检测安全增强实现(上) (3)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

只有一个UNIX系统才会有root程序在后台运行。大多数情况下,系统管理员不会去直接开启他们也不会控制他们的执行,所以,象我们前面提到的一样,这样的特权程序就会被当作缓冲区溢出漏洞攻击的主要目标。

作者:赛迪网技术社区 来源:赛迪网技术社区 2007年11月2日

关键字: Linux

  • 评论
  • 分享微博
  • 分享邮件
 

3.2 后台的root程序

只有一个UNIX系统才会有root程序在后台运行。大多数情况下,系统管理员不会去直接开启他们也不会控制他们的执行,所以,象我们前面提到的一样,这样的特权程序就会被当作缓冲区溢出漏洞攻击的主要目标。大概可以分成下面几种类型:

后台程序都是在系统系统的时候直接由初始化脚本运行的。就象网络服务器中的inetd超级服务器程序那样,里面有web服务器,mail服务器(主要是sendmail)就是利用这样的方式来启动的。另外一个这样的例子就是syslogd后台程序。

网络服务器由inetd超级服务器启动来履行如远程访问(telnet),文件传输(ftp)等等的服务。程序执行启动一个特定的后台程序,大多数都是在系统启动的时候运行。(属于类型级别1。)程序是在未来的特定时间用at命令来启动的。实际上这些程序可以认为是特定类型的级别分类。程序是在交互的会话时刻在后台运行的。这些都是某些特定的原因才应用的。

这些程序一般来说都没有一个控制终端。为了告诉它们不在程序交互的模式下运行,我们可以利用下面的宏定义。

  #define IS_A_ROOT_RAEMON(proc) !((proc)->euid)&&((proc)->tty==NULL)

这里,我们首先检查程序是否是以root级别来运行的,然后我们检查这个程序是否有一个控制终端。

3.3 系统调用的工具

为了防止危险的缓冲区溢出漏洞的攻击,有一些简单的简单代码加入到以下的几个系统调用中去。Execve(executable-file,…):这个系统调用允许一个嵌入的setuid进程来调用一个交互的shell外壳。为了阻止这样的调用和其他的简单攻击,我们定义了一个原始的检查,来确定这个调用的进程是不是拥有root的权限。如果没有,就不再继续进行检查,这个系统调用可以继续运行,就忽略截取系统调用的其他动作。如果调用的系统调用有root的权限,进一步的,setuid为root,那么这个访问控制数据库就要决定证明是否这个参数executable-file是否可以被setuid进程调用。如果接受了的话,这个调用就继续进行。除非这个调用被入侵处理的子系统禁止抛弃。其他情况下,这些调用的情况都会记录在一个日志文件里面。

Setuid:我们认为任何一个setuid为root或是在后台以root权限的进程都是可以作为一个潜在的攻击目标。对这样的进程我们用特定的检查程序来过滤这些系统调用。一个setuid的进程是可以在交互模式下,在调用其他避免运行setuid进程的系统调用之前来运行setuid(0)调用的。通过这样的方式,我们可以跳过所有的我们介绍过的检查。因为这个原因,我们必须加载一段代码来补充setuid系统调用来阻止一个setuid进程得到root的UID权限。

Chmod:当我们调用一个setuid的进程。用户可以应用Chmod来取得对敏感文件的写权限。(如,密码文件)。阻止这样的和其他相关的攻击,一个检查代码加到chmod系统调用代码里来阻止一个setuid进程对一般文件或目录访问权限的修改。

Chown:当调用一个setuid进程的时候,chown可以用来改变一个可执行文件的拥有者为root。Chown是一个非常的调用,尤其是当他和chmod一起应用的时候。基于这个原因,我们也加入了一段检查的代码到chown系统调用里面去,来阻止一个setuid进程修改常规文件或目录的拥有权。

Chgrp:和chown一样,来利用chgrp改变组用户来取得一定的访问权限来攻击系统。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章