服務(wù)器防入侵加固的幾種做法

無(wú)論是對(duì)技術(shù)的喜好，還是金錢誘惑，或者是政治利益驅(qū)使，黑客們主打的入侵與攻擊技術(shù)的發(fā)展速度都明顯在加快。安全廠家好像也很努力，但總是在自己的銷售利益上走來(lái)走去，從最初的老三樣(防火墻FW、入侵檢測(cè)IDS、防病毒AV)，到現(xiàn)在的統(tǒng)一安全網(wǎng)關(guān)(UTM)、漏洞掃描、行為審計(jì)、身份認(rèn)證、傳輸加密(VPN)、Web應(yīng)用防火墻(WAF)、虛擬瀏覽器…安全產(chǎn)品琳瑯滿目，卻忽視了服務(wù)器本身的加固，因?yàn)橐�保護(hù)的數(shù)據(jù)、服務(wù)都在這里，也是黑客們?nèi)肭值慕K級(jí)目標(biāo)。

搞信息安全人員都有句口頭禪：沒有絕對(duì)的安全，僅有安全防護(hù)的基本底線。

底線是什么？對(duì)于大多數(shù)的信息安全主管來(lái)說(shuō)就是：我不能不讓你攻擊，但我可以不讓你控制我。你可以讓我的服務(wù)器中斷服務(wù)，徹底癱瘓，但你不能讓我的服務(wù)器變成你的工具，成為你攻擊其他人的跳板，最低限度是我不做你的幫兇。

服務(wù)器的安全加固并不是剛出現(xiàn)的新想法，早期的入侵檢測(cè)IDS就誕生在服務(wù)器上，只是后來(lái)才發(fā)展為現(xiàn)在流行的網(wǎng)絡(luò)入侵檢測(cè)。

1、 不一樣的安全思路：

我們都知道，服務(wù)器的安全首先來(lái)自操作系統(tǒng)(OS)的安全，這是防護(hù)入侵的第一道防線，若操作系統(tǒng)的安全性非常好，就沒有后續(xù)的問題了。但是，目前流行的各種操作系統(tǒng)，臺(tái)式機(jī)的Windows、Linux，工作站的Unix、Aix，嵌入式的vxWorks，手機(jī)的安卓…每天都爆出很多的漏洞，關(guān)鍵是不公開的所謂“0Day”越來(lái)越多，國(guó)家擁有是因?yàn)榫W(wǎng)際戰(zhàn)爭(zhēng)的需要，安全公司擁有是因?yàn)楦?jìng)爭(zhēng)力的需要，黑客擁有是因?yàn)槔�益的需要…反正，公布的漏洞只是其中的小部分�?/SPAN>

服務(wù)器加固就是為操作系統(tǒng)安全引入“第三方”機(jī)制，對(duì)黑客常用的入侵通道增加監(jiān)控手段，黑客一般針對(duì)操作系統(tǒng)的漏洞，繞過(guò)操作系統(tǒng)自身的安全機(jī)制，但黑客們并不知曉該服務(wù)器上的“第三方”機(jī)制，入侵就不那么容易得手了。

2、 安全加固的幾種思路：

服務(wù)器的安全加固(也稱為服務(wù)器防入侵加固)思路是在對(duì)抗黑客入侵的過(guò)程中逐步建立起來(lái)的，到目前為止，應(yīng)該說(shuō)經(jīng)歷了三個(gè)發(fā)展階段：

Ø  配置加固階段

Ø  合規(guī)性加固階段

Ø  反控制加固階段

配置加固階段：

所謂配置加固就是對(duì)操作系統(tǒng)的安全配置進(jìn)行安全加固升級(jí)，提升服務(wù)器的安全保護(hù)等級(jí)。常見的做法有下面幾個(gè)方面：

1)限制連續(xù)密碼錯(cuò)誤的登錄次數(shù)，是對(duì)抗密碼暴力破解的重要手段；

2)拆分系統(tǒng)管理員的權(quán)限，取消超級(jí)管理員，從而限制入侵者獲取管理員賬戶時(shí)的權(quán)限；

3)刪除不需要的各種賬戶，避免被攻擊者利用；

4)關(guān)閉不需要的服務(wù)端口，一是減少攻擊者的入侵點(diǎn)，二是避免被入侵者當(dāng)作后門利用；

5) 限制遠(yuǎn)程登錄者的權(quán)限，尤其是系統(tǒng)管理權(quán)限；

配置加固主要是靜態(tài)安全策略的提升，入侵者入侵后可以再打開或修改這些配置。這種加固方式一般是人工的定期檢查與加固，留給入侵者的“窗口”比較大，或者入侵者完成自己的潛伏后，還可以恢復(fù)你的配置，把管理者蒙在鼓里。

主機(jī)IDS可以動(dòng)態(tài)監(jiān)控上面的安全配置，發(fā)現(xiàn)異常進(jìn)行報(bào)警，也可以主動(dòng)檢查“用戶”的行為，發(fā)現(xiàn)異常及時(shí)報(bào)警，還可以根據(jù)自己的攻擊特征庫(kù)，發(fā)現(xiàn)惡意代碼進(jìn)入立即報(bào)警…這在一定程度上為入侵者帶來(lái)了麻煩。

但是主機(jī)IDS的誤報(bào)率很高，讓管理者不勝其煩，虱子多了不癢，報(bào)警多了不理，目前用戶選擇的越來(lái)越少了。另外，很多正常的操作，也產(chǎn)生大量的入侵報(bào)警，就像我們安裝了防病毒軟件，進(jìn)行其他安裝軟件時(shí)，提示多得讓人不知道該怎么做。

合規(guī)性加固階段：

做信息安全的人都熟悉一個(gè)詞匯：強(qiáng)制性訪問控制。也就是在用戶訪問數(shù)據(jù)時(shí)，不僅查看訪問者的身份，確認(rèn)他的訪問權(quán)限，同時(shí)還要查看被訪問的數(shù)據(jù)的安全等級(jí)，是否與訪問者的安全等級(jí)相匹配，若不符合安全策略規(guī)定，同樣決絕訪問。舉一個(gè)例子：每個(gè)用戶都可以修改自己賬戶的密碼，所以他應(yīng)該可以讀寫系統(tǒng)存儲(chǔ)用戶口令的文件，但是系統(tǒng)中這個(gè)文件里還有其他用戶的密碼，所以你只能讀取這個(gè)文件的一個(gè)記錄而已，而不是文件的全部。此時(shí)就需要對(duì)查看密碼文件用戶的安全等級(jí)進(jìn)行比對(duì)，區(qū)別對(duì)待。

目前的操作系統(tǒng)大多實(shí)現(xiàn)了自主性訪問控制(Windows的新版具有強(qiáng)制性訪問控制能力，但好像沒提供中國(guó)市場(chǎng))，因此從符合國(guó)家等級(jí)保護(hù)要的角度，都需要對(duì)操作系統(tǒng)進(jìn)行加固。

合規(guī)性加固是要為用戶提供一個(gè)賬戶與數(shù)據(jù)文件安全等級(jí)管理的平臺(tái)，以及訪問時(shí)的控制機(jī)制，廣義上的強(qiáng)制性訪問不僅包括文件、數(shù)據(jù)，還包括進(jìn)程、內(nèi)存、網(wǎng)絡(luò)連接等。

合規(guī)性加固不只是強(qiáng)制性訪問控制，還有很多安全策略的貫徹，比如：三權(quán)分立。現(xiàn)在的操作系統(tǒng)都有一個(gè)超級(jí)管理員，權(quán)限最大，這也是黑客攻擊的主要目標(biāo)，從安全管理角度來(lái)講，分權(quán)是必須的：

²  系統(tǒng)管理員：負(fù)責(zé)系統(tǒng)的維護(hù)工作，如賬戶開通、數(shù)據(jù)備份、應(yīng)用安裝等；

²  系統(tǒng)安全員：負(fù)責(zé)系統(tǒng)安全操作，如權(quán)限分配，口令修復(fù)，日志管理等；

²  安全審計(jì)員：負(fù)責(zé)對(duì)系統(tǒng)管理員、安全員的行為進(jìn)行審計(jì)。

三員的身份需要分開，尤其是安全員與審計(jì)員不能兼任。

合規(guī)性加固不僅是符合國(guó)家標(biāo)準(zhǔn)的要求，而且提升了操作系統(tǒng)的安全級(jí)別，對(duì)敏感數(shù)據(jù)加強(qiáng)了訪問控制，一些系統(tǒng)命令的執(zhí)行就相對(duì)嚴(yán)謹(jǐn)了。對(duì)于黑客來(lái)講，突破操作系統(tǒng)只是初步，即使獲得系統(tǒng)管理員權(quán)限，也還不是不能完全占領(lǐng)你的服務(wù)器。

反控制加固階段：

反控制(anti-control)是明確對(duì)服務(wù)器的管理權(quán)提出了要求，也就是安全底線的保障。

反控制有幾方面的含義：

1)掌握控制權(quán)：對(duì)服務(wù)器的控制就是可以隨意支配服務(wù)的資源滿足自己的需求，如安裝掃描器，掃描本網(wǎng)絡(luò)內(nèi)其他計(jì)算機(jī)的漏洞；如安裝攻擊工具，直接攻擊其他目標(biāo)。對(duì)服務(wù)器的控制一般有幾個(gè)重要的環(huán)節(jié)：

a)管理員賬戶登錄：可以直接部署各種服務(wù)；

b)遠(yuǎn)程桌面進(jìn)程：遠(yuǎn)程直接操縱管理服務(wù)器；

c)上傳工具軟件：沒有這些工具，黑客就如同沒有爪牙的老虎，能在服務(wù)器上安裝各種工具軟件是把服務(wù)器變成攻擊工具的必經(jīng)階段。

2)發(fā)現(xiàn)隱藏者：黑客要控制服務(wù)器，就必須設(shè)法隱藏自己，一旦被發(fā)現(xiàn)，管理者就可以立即清除它，黑客的所有努力就付之東流。隱藏自己技術(shù)很多，常見的有：

a)進(jìn)程注入：隱藏在系統(tǒng)進(jìn)程內(nèi)，用戶很難識(shí)別；

b)不啟動(dòng)：服務(wù)器內(nèi)文件多達(dá)幾十萬(wàn)，隱藏起來(lái)很容易，它不啟動(dòng)，你就不容易抓住它。當(dāng)然，通過(guò)定時(shí)或遠(yuǎn)程召喚等方式，在需要的時(shí)候啟動(dòng)就可以完成入侵者的意圖；

c) Rootkit：就是替換系統(tǒng)驅(qū)動(dòng)，當(dāng)然是隱藏了激活自己的代碼，或監(jiān)控代碼。

3)切斷回家者：入侵不同于病毒，入侵者為了控制你的服務(wù)器，就需要與他的“老板”聯(lián)系，接收命令，回送信息，控制住它的“回家連接”，切斷入侵者的控制通道，就可以讓隱藏者成為無(wú)人控制的“傻子”�；丶矣泻芏喾N技術(shù)，常見的有：

a)在你上網(wǎng)時(shí)，偷偷訪問它的“老家”網(wǎng)站；

b)偽裝為各種軟件(如防病毒等)的升級(jí)連接，當(dāng)然先檢測(cè)是否安裝了該軟件；

c)發(fā)送郵件；

d)移動(dòng)介質(zhì)擺渡；

e)后門服務(wù)；

4)監(jiān)控操作者：無(wú)論入侵者如何狡猾，總要運(yùn)行它的“惡意代碼”，否則就一事無(wú)成。因此監(jiān)控系統(tǒng)內(nèi)的各種關(guān)鍵進(jìn)程與重要操作，是確保自己控制權(quán)的關(guān)鍵。如下面重要的操作：

a)賬戶操作；

b)安裝軟件與打補(bǔ)��；

c)打開控制臺(tái)進(jìn)程，如桌面窗口、shell、webshell等；

d)開通或停止服務(wù)；

3、小結(jié)

建立一個(gè)清潔的網(wǎng)絡(luò)環(huán)境，讓黑客無(wú)處容身。我們一直渴求能有一個(gè)“安全”的操作系統(tǒng)，但現(xiàn)實(shí)中總是離我們那么遙遠(yuǎn)。

網(wǎng)絡(luò)是信息社會(huì)的神經(jīng)傳到系統(tǒng)，已經(jīng)是我們生活與工作所不能離開的了，我們總不能因噎廢食，因?yàn)榘踩�而放棄互通；在沒有安全操作系統(tǒng)保護(hù)的情況下，服務(wù)器的安全加固是一個(gè)很不錯(cuò)的選擇。