Linux系统由于架构和Windows有较大不同
一般非常稳定,即便遭到网络DOS攻击,也可以坚持运转
通常一般的linux服务器工作一年上无须重启
但是,linux自身也有漏洞和特点
攻击linux的主要方式是,向linux服务器上上传程序,然后通过脚本提升权限来攻击
这种攻击方式对于linux的web服务器是最有效的
攻击流程一般如下:
1) 通过一个web站点的ftp服务上传文件
2) 上传的文件是一个小的shell脚本,调用本服务器的gcc
3) 如果服务器安装了gcc等开发环境,攻击者就可以调用gcc现场编译程序
4) 通过web方式执行这个程序,攻击linux内核的漏洞,提升权限
5) 攻击者获得了root帐号
在这个攻击流程中,有几点是很重要的必备条件:
1) 攻击者要能向这个服务器上传文件,一般是ftp方式
这是web服务器最容易被攻击的地方
而email服务器和dns服务器不启动ftp服务,漏洞就少很多
2) 本linux服务器上安装了gcc等开发程序包
攻击者才可以现场编译
这就是为什么很多安全教程上都说,在生产环境的服务器上,绝不要装gcc等开发包的原因
3) 本linux服务器的kernel版本低,存在提升权限漏洞
因此,为了对应着几个攻击方式,在日常运维中应采取如下方法:
1) 安装高版本的linux,比如目前的as4 update5等版本
update版本号越高,内核越新
可通过rpm -q kernel命令来查询内核版本
此外,安装centos是比较好的选择,因为其和redhat as linux完全兼容
同时可在线升级
什么是centos,参考下边的文章:
2) 对以往的linux,升级kernel。
可从最新版的linux光盘中找到kernel的rpm
到服务器上执行rpm -ivh kernel-2.6.xxx即可
注意,这里一定要用 -ivh参数
升级kernel的文章,请参考:
3) 在给生产环境的服务器安装系统的时候
不安装gcc开发包
如果安装了gcc开发包,可以卸载掉这个rpm包
执行rpm -e gcc --nodeps即可
或者手工修改gcc等执行文件的权限,不允许ftpd组的用户调用亦可
通过以上方法,上述大部分内核漏洞提升权限的攻击即可防御
阅读(3024) | 评论(0) | 转发(1) |
