.第10章弱点测试.pdfVIP

下载 下载 第10章 弱 点测 试 本章描述了弱点测试—系统地检测主机以知道配置错误、缺陷和其他安全问题的过程。 这可以在安全检测表和弱点数据库的帮助下手工完成，或用各种系统检测工具自动地完成。 同时讲述了对单独一个系统进行安全情况检测的工具，检测并主动修复特定问题的工具，以 及能够检测外部弱点的基于网络的工具。 10.1 安全检测的艺术 让我们考虑一个很可能发生的情景。用户的任务是把一个系统连接到 I n t e r n e t上。这里有 一个强大的安全策略。用户检查了自己帐号的安全，并运行 C r a c k进行二次检查。还检查了文 件系统安全并通过加密对其进行了加强。作为预防，还安装了 Tr i p w i r e来监测重要的系统文件。 日志系统也已建立并运行，包括了进程统计。还运行了 S w a t c h来实时监测系统事件。还要检 查系统的网络安全，从系统安全的观点来看，这是应该做的。 或者也许不是。一个新系统也许放在一个更富有敌意的环境中（像 I n t e r n e t ），使用基于主 机的安全审计或检测来一次次检查工作是明智的。这种检查与日志一章（参见第 8章）描述的 日志和审计不一样。弱点测试或基于主机的审计用来检查将来可能会发生什么事情。基于主 机的审计是想阻止问题而不是检测问题。一个好的基于主机的审计或安全检查涉及到系统安 全的几乎所有方面—用户、口令、起始目录、系统文件、所有用户可写和 S U I D / S G I D文件， 以及提供的服务，目标是找到并修复系统安全弱点和配置错误。它就像一个安全专家那样能 捕获错误、消灭并恢复。 10.1.1 检测表 一个查看系统安全的方式是通过检测表。安全检测表是计算机安全（和计算机安全书籍） 中存在很久的传统。它们通常包含关于已知的弱点和配置错误的内容。系统管理员检查表中 的每一项并和系统进行对比。如果系统与之相符，则该项通过了检测。潜在的弱点在暴露之 前就被修复。一旦所有的项目都被检查通过，则系统管理员宣布系统“安全”了，并把系统 投入到使用中。 或许不是这样。一个好的检测表可以激励系统管理员发现许多以前可能未曾注意到的安 全弱点。同时，安全检测表方式存在本质的问题。没有一个检测表是完全的。一个详尽的检 测表也可能过时了，每天都有新的弱点被发现。甚至一个详尽的、必威体育精装版的检测表也只是人们 用起来才好。人类有一种倾向是为每天都看见的东西进行发展。一个系统管理员可能想：“我 已经看到了关于s e n d m a i l 的检测表了，但它太麻烦了，我等到其他什么时候再考虑吧。”更坏 的情况是检测表方式会降低安全的错误感—我们已经检查了表中的所有项目了，现在可以 准备把系统连接到I n t e r n e t 中了。 用户需要像敌人那样考虑 （参考1 . 4节）。假若一个有技巧的攻击者已经看了所有的检测表， 那么就可以根据它们来寻找里面没有的新弱点了。 第10章 弱 点 测 试 115 下载 只要时刻记住检测表中的限制，那就很有用；也有一些很不错的安全检测表。有些通用 的计算机安全列表也能在应用上进行扩展，用在其他特定的系统中。 U N I X系统最详尽的检测 表可能是《Practical Unix and Internet Security 》中的附录A ，它们包括了很多有帮助的信息 （参见参考书目）。另一个好的U N I X 安全检测表是Australian Computer Emergency Response Te a m （A U S C E RT ）提出的。下面节选自一个检测表项目范例（包括没有提到的）：[ 1 ] 10.1.2 弱点数据库 另一个“公正检测”安全情况的方式是查询安全弱点数据库。它允许用户有哪些信誉好的足球投注网站众所周知 可能影响特定系统的弱点。它们有些可以在 World Wide We b 中找到，但要当心骗人的东西； 有些是由有声望的供应商提供的；其他的是黑客提供的。有些是不规范的，其他是详尽的。 [ 2 ] 可以用从这些数据库中找到的项目创建自己的检测表，然后要细心确保每个问题被正确 处理了。定期查看供应商的站点来寻找安全补丁也比较明智。有些产品，像 Red Hat Linux ，