UNIX系統安全危機評估手段
1、概述
目前,國內重要政府部門(如財稅、公安、電信、移動、電力等)、大型公司和著名門戶網站,都使用UNIX系列服務器來運行其關鍵業務如電子商務、數據庫等。這些部門或者公司往往有數百臺Linux/Unix系統服務器,由多名系統管理員負責管理,并通過規章制度,對系統管理員的行為進行規范。但是,由于缺乏相應的先進工具和手段,這些部門或者企業無法保證系統管理員嚴格按照規范來進行管理,無法保證系統管理員的真實管理行為和規章制度要求一致,和系統管理員的管理報告一致,以至于企業網絡及服務器常處于不可信、不可控、不可視狀態。另外,由于服務器眾多,系統管理員壓力太大等因素,人為誤操作的可能性時有發生,這會對部門或者企業聲譽造成重大影響,并嚴重影響其經濟運行效能。黑客也有可能通過手段,獲取系統權限,闖入部門或企業內部網絡,這樣造成的損失,更不可估量。因此,如何提高系統管理員的管理水平,如何防止黑客的入侵,如何跟蹤服務器上用戶行為,將系統宕機時間、故障時間等減到最小,已經成為這些部門或者企業至關重要的問題。
2、現存問題與服務器管理現狀
2.1 UNIX服務器系統安全存在的問題
2.1.1 企業UNIX安全風險分析
1、嚴重的攻擊來自系統內部(53%來自內部攻擊)
2、 UNIX運行最為關鍵的業務系統攻擊趨向于獲取商業利益
3、 交換網絡環境難于實施網絡入侵檢測
4、 基于主機的IDS/IPS 開始成熟,可以減輕網絡傳輸攻擊級別安全威脅,但不是全部
5、 用戶操作難于審計
6、 操作/管理/維護不善,造成的安全威脅和損失日趨嚴重
2.1.2 UNIX/LINUX安全風險-口令安全風險分析
1、R-Services -- Trust Relationships
(很多R服務漏洞被利用,都是因為口令問題引起。入侵者使用脆弱的帳戶口令,利 用系統文件和目錄的訪問控制漏洞,設置信任主機,獲取關鍵信息、破壞應用系統!)
2、General Unix Authentication
(用戶口令簡單、無口令或口令被泄漏,入侵者使用普通用戶或root權限對系統進行破壞,種植木馬、獲取信息并涂改日志,消滅犯罪證據。)
3、社會工程
(黑客、惡意破壞者可以通過社會工程渠道,獲取口令)
2.1.3 UNIX/LINUX企業應用問題
1、網絡管理人選需要監控第三方程序操作和命令(用戶登錄系統,執行mysql,oracle,ssh 等命令,容易產生數據破壞或者網絡攻擊,所有的這些操作需要被跟蹤和限制)
2、大型集中應用環境不易統一監控、管理和快速響應(對于大型應用環境,網絡管理員要管理和配置大量UNIX/LINUX服務器,大量事故響應,網絡管理人員不堪重負)
3、無法提供對網絡通信設備的操作,修改等行為審計(網絡通信設備常常在UNIX/LINUX系統上通過ssh遠程登錄進行管理,對網絡通信設備的操作無法審計,埋下安全隱患)
4、網絡管理人員需要統一的手段,對服務器組進行安全保護(網絡管理人員常用防火墻,IDS等設備,針對網段進行隔離和操作限制,因此,網絡管理人員需要不同手段,對外網/內網用戶應用不同安全保護策略,應用和實施麻煩,容易疏忽造成隱患)
5、服務器及其集群的運行狀態監控已及性能調控(現有服務器監控軟件基本上都是單機、單服務器方式運行,需要高素質管理人才進行管理。將服務器狀態信息集中化,發現企業服務器運行狀態及瓶頸,成為UNIX應用的比較急切和關心的問題)
2.2 集中式網絡管理
集中式網絡管理是目前比較流行的網絡管理方式,系統管理員用普通用戶賬號(如:admin)登錄管理作業服務器,然后轉換身份(su)為ROOT,再對相關服務器進行維護。該管理方式網絡邏輯圖如下:
集中式網絡管理簡單高效,配合網絡邊界安全設備,能比較好的保證服務器的運行安全,保證業務正常進行。集中式管理屬于多用戶單賬號管理方式,多個用戶共享ROOT帳號和權限,存在如下明顯缺點:
1、多個管理員共享ROOT用戶權限,無法區別命令的操作者、執行者。
2、無法跟蹤某個管理員的確切操作。如果用戶執行誤操作或攻擊者在服務器上輸入命令造成系統癱瘓,即便有日志可查詢也只能看到是ROOT相關操作,并不能找到罪魁禍首,也不能很好的規范系統管理員的行為。
3、啟用第三方遠程日志服務器可以解決日志安全問題,但達不到審計管理員行為效果。
4、 由于程序開發人員、系統維護人員、數據庫管理人員等多種角色都使用admin賬戶、ROOT賬戶,造成權限劃分不明,所有人員都具有最高的ROOT權限,無形中增大誤操作帶來的危害。
5、 由于所有角色都具有ROOT密碼,也不利于賬號密碼的安全管理。
2.3 嚴格分權管理
嚴格分權管理在軟件生產企業比較多見,用戶只能夠擁有自己的賬號和權限,只能在自己權限下進行服務器操作。
嚴格分權管理源自UNIX系統自身的權限管理方式,如:用useradd,passwd等進行用戶賬號和權限設置。賬號和權限由管理員分配,由用戶自己進行密碼管理。嚴格分權管理比較安全,是公認比較安全的管理方式。但是,該方式可能影響生產正常進行,存在如下需要改進的地方:
1、嚴格分權管理屬于多用戶多賬號管理方式,用戶在自己權限下生產和工作,但是,由于生產的特殊性,常常需要用戶具有ROOT賬戶權限。這就造成生產和管理的矛盾,臨時ROOT權限分發可以解決ROOT權限生產問題,但是,這極大增大管理的復雜性和不安全性,稍有舒服,就可能造成管理的混亂。不分發ROOT權限,可能導致生產不能正常進行,至少影響生產效率。
2、 現有操作系統存在許多安全隱患,暴力破解、溢出攻擊、社會工程等攻擊方式,都可能使普通用戶或者黑客獲取ROOT賬戶權限,進而執行普通用戶權限外的操作,產生破壞。
3、 嚴格分權管理管理負擔比較重,管理員要對權限的分配和服務器上行為負責,同時,用戶在服務器上行為對管理員來說不可視,不可審計,出現問題,沒人負責。
#p#2.4 網絡管理員碰到的問題
網絡管理員由于工作的特殊性和管理內容及對象的復雜性,對企業、部門重要服務器上的活動和正在發生的行為,需要保持可控、可視、可跟蹤、可鑒定狀態,才能保障系統的正常運行,提供穩定可靠的服務。管理員需要對如下問題保持足夠警惕:
1、 誰在服務器上做過操作?
2、 怎樣將服務器上的命令操作行為變為透明可視,進而簡單明了的管理和控制服務器?
3、 系統管理員在服務器上做過什么操作?做過多少操作?
4、 怎么限制用戶對命令的執行?
5、 怎么知道災難/事故發生的時間?怎么調查取證?
6、 怎么規范管理員的行為?
7、 怎么控制和審計用戶對交換機、路由器、防火墻等網絡設備的操作?
8、 怎么控制和審計用戶對數據庫的操作?
9、 密碼\權限如何管理?
10、 嚴格分權將導致許多命令和操作不能進行,需要權限切換,公開admin/root密碼給相關用戶?
11、 怎么進行責任鑒定?多臺服務器上跳轉執行的命令如何跟蹤?
12、 沒有admin/root權限的用戶如何安全的開展需要admin/root權限的工作?分發root權限?
13、 誰該對危險操作造成的事故負責?誰該對其的惡意操作負責?怎么進行責任鑒定?
3 、拉迪服務器命令控制與審計系統特點
杭州帕拉迪網絡科技有限公司致力于UNIX服務器安全防御產品的開發和網絡安全服務的推廣,此系統主要用于UNIX服務器系統安全防護,讓UNIX服務器的操作、管理和運行更加可視、可控、可管理、可跟蹤、可鑒定,解決UNIX服務器系統級別的安全問題、安全威脅,為國家重要部門和企業UNIX服務器的正常有序運行,提供可靠的安全保障。
3.1 可視
PLDSEC UNIX SCS 1000能夠動態實時的捕獲UNIX系統用戶使用的操作命令,真正做到讓UNIX服務器上的操作和行為可視。系統管理員可以直觀的了解服務器上發生過的操作命令及其運行結果,結束UNIX服務器操作管理的黑匣子時代。PLDSEC UNIX SCS 1000可以實時監控系統管理員操作過程,提供實時監控中心和值班中心,可以集中實時的監控所有用戶的操作行為和過程。
3.2 可控
PLDSEC UNIX SCS 1000動態實時的捕獲系統管理員操作行為,并可以對其進行策略審計,違反安全策略的用戶命令,將被禁止執行,使用危險命令的用戶,將被剔出系統。這樣,UNIX服務器將增加一層安全防護功能,即使用戶(惡意用戶、黑客)取得命令的操作權限,該命令也不能生效,進而保護UNIX服務器上關鍵資源和重要服務。
3.3 可管理
PLDSEC UNIX SCS 1000可以根據需要對指定用戶或所有用戶展開監控,可以限制和管理可疑用戶行為,真正讓UNIX服務器擺脫操作和使用的黑匣子狀態,監控和管理UNIX服務器上用戶操作行為。同時,PLDSEC UNIX SCS 1000還對CPU、MEM、DISK、PROCESS和網絡I/O進行監控管理,并通過圖形化方式直觀的顯示服務器運行狀態,可以對UNIX服務器進行故障診斷。
3.4 可跟蹤
PLDSEC UNIX SCS 1000通過遠程日志服務器保存所有用戶操作行為和運行結果,可以通過對用戶操作行為及其結果進行回放,跟蹤用戶在服務器上的操作過程,查看用戶在服務器上的所有操作行為,準確無誤的了解用戶的行為意圖。PLDSEC UNIX SCS 1000日志服務器提供日志動態查詢功能,支持特色化報表生成功能,可以根據用戶環境進行報表定制,及時直觀的報告用戶所關心的資源使用情況。
3.5 可鑒定
PLDSEC UNIX SCS 1000使用二次日志記錄系統,保存用戶操作行為過程。同時,日志系統使用PDF文件格式保存,日志文件不可修改,不可杜撰,通過對用戶操作行為日志的分析,可以鑒定用戶行為,并進行責任認定。二次日志記錄加強了原始日志材料的防偽防杜撰功能,通過對比保存于兩臺日志服務器上的日志材料,可以準確可靠的進行故障鑒定和責任認定。
3.6 功能列表
帕拉迪UNIX服務器命令控制與審計系統具有如下功能和特點:
1、實時捕獲管理員操作命令,并對其進行策略審計,支持所有功能鍵的使用,能自動捕獲功能鍵擴展后的操作命令(如TAB補齊,BACKSPACE回退刪除等);
2、監控和管理管理員在服務器上的操作,對管理員操作的跟蹤不受管理員執行SU,SSH等命令的影響;
3、智能識別編輯狀態、命令狀態和執行狀態,完整回放用戶的所有操作(包括TAB等特殊擊鍵操作);
4、實時集中監控用戶和管理員當前行為,能實時查看管理員工作過程;
5、提供WEB方式日志查詢及監控平臺,提供多種過濾檢索條件,方便后期審計、取證;
6、策略可遺傳繼承,采用樹形方式組織,利用正則表達式進行模式匹配,策略適合現代企事業組織架構;
7、不提高服務器負擔;
8、支持數據庫、防火墻、路由器、小型機等所有使用字符命令進行管理和操作的設備和系統;
9、方便第三方對所有系統管理員的行為進行監督;
10、日志記錄雙備份,確保證據的準確可靠,對事后取證,責任鑒定,行為跟蹤等,提供準確可靠的原始依據;
11、詳盡的報表功能,及時報告服務器上危險操作,報表可由用戶靈活定制,可以根據用戶業務定制自動報表;
12、提供服務器安全策略文件保護功能,實時可視化監控服務器CPU,MEM,DISK,PROCESS,I/O等狀態信息和故障信息,提供故障診斷功能;
13、支持服務器方式部署和網關方式部署,提供自動部署功能,部署和配置簡單,適合大規模自動部署;
14、實時查看用戶使用命令和屏幕,提供實時監控中心和值班中心,最終達到通過對系統管理員或者黑客的所有操作行為進行管理及審計,把由于人為操作造成宕機、故障和隱患的可能性降到最低。;
3.7 應用領域
帕拉迪UNIX服務器安全管理系統非常適合于企事業加強對UNIX服務器的安全管理,減輕和防止企事業的UNIX系統安全級別威脅。PLDSEC UNIX SCS 1000應用領域非常廣闊,提供服務器部署方式和網關部署方式,可以非常靈活的兼容于企事業現有安全架構。
3.7.1內部網絡行為管理
嚴重的攻擊來自系統內部(53%來自內部攻擊),帕拉迪UNIX服務器主要應用于內部用戶行為管理,保證內部用戶的操作和行為可控、可視、可管理、可跟蹤、可鑒定,防止內部人員對機密材料的非法獲取和使用,保護企事業核心機密。
3.7.2對網絡邊界網關設備的管理
網絡邊界安全設備是企事業網絡安全防護系統的重要組成部分,網絡邊界安全設備的安全策略,對企事業內部網絡安全,起著非常重要的作用。目前關鍵網絡邊界安全設備,主要來自于國外巨頭和國內領先公司,這些公司一般都提供先進的CLI功能,管理員可以通過SSH和串口,對網絡邊界安全設備(如交換機、防護墻、VPN等)進行安全策略配置。但是,目前沒有可靠辦法保證系統管理員安全策略配置行為的有效性,合法性以及一致性,一般都通過行政手段,讓系統管理員記錄安全策略配置過程,這有嚴重的安全隱患。PLDSEC UNIX SCS 1000提供網關部署方式,可以記錄系統管理員對網絡邊界安全設備的配置過程,保證安全策略的一致性,其生成的日志系統,可以比較方便的集成到企事業現有安全策略管理架構中。
3.7.3對數據庫的管理
數據庫是企事業核心機密的重中之重,PLDSEC UNIX SCS 1000可以記錄用戶對數據庫(如:MYSQL,Oracle)的操作過程,防止用戶人為修改數據庫數據記錄,防止用戶刪除數據記錄。PLDSEC UNIX SCS 1000可以還原用戶操作過程,對于重要數據庫的防護,有非常重要的價值。
3.7.4對黑客行為的防范
黑客常常通過手段(如:社會工程、惡意程序、系統設置漏洞、緩沖區溢出程序等)獲取用戶權限,然后使用該權限登陸系統。PLDSEC UNIX SCS 1000可以記錄該黑客的操作過程,對于事后查證和數據恢復,有非常好的適用價值。PLDSEC UNIX SCS 1000還可以通過地址邦定功能對黑客行為進行限制,即使黑客取得系統權限,也不能對系統做任何操作。
【編輯推薦】
