Linuxサーバ攻撃に対する階層的防御

Linuxエンタープライズアプリケーションの拡大に伴い、Linuxオペレーティングシステムを使用しているネットワークサーバが多数あります。 Linuxサーバのセキュリティ性能はますます注目を集めており、ここではLinuxサーバに対する攻撃の深さが段階的にリストされており、さまざまな解決策が提案されています。

Linuxサーバ攻撃の定義は、攻撃はLinuxサーバのセキュリティを妨害、損傷、弱体化、または危殆化するように設計された不正行為であるということです。 Linuxサーバが完全に危険にさらされ破壊されるまで、攻撃の範囲はサービスから拒否される可能性があります。この記事では、攻撃の深さの観点から、攻撃を4つのレベルに分けて説明します。

目次

攻撃レベル1
攻撃レベル2
攻撃レベル3
攻撃レベル4
特別なヒント：攻撃に対する反撃対策

リンク
サービス妨害攻撃（DoS）

攻撃レベル1：サービス妨害攻撃（DoS）

攻撃対象のDoS攻撃ツールが急増し、ターゲットとなっているプロトコル層の欠点DoSが最も広く普及し、最も困難な攻撃防御方法になったという事実を変えることができません。

サービス拒否攻撃には、分散サービス拒否攻撃、リフレクティブ分散サービス拒否攻撃、DNS配信サービス拒否攻撃、およびFTP攻撃が含まれます。システムを再起動させる可能性があるものであっても、ほとんどのサービス拒否攻撃は比較的低レベルのリスクにつながります。この種の攻撃は、ネットワーク制御を取得しようとする攻撃とは大きく異なり、一般にデータセキュリティには影響しませんが、サービス拒否攻撃は長期間続くため、非常に困難です。

これまでのところ、そのような攻撃を阻止する絶対的な方法はありません。個人のホスト保護と保護の重要性を強調することに加えて、サーバー管理の強化は非常に重要な部分です。メッセージの送信元アドレスの実アドレスを検証するために、検証ソフトウェアとフィルタリング機能を必ずインストールしてください。さらに、いくつかのサービス拒否に対して、以下の対策を講じることができます。不要なサービスをオフにする、同時に開くことができる同時半接続の数を制限する、Syn半結合のタイムアウト時間を短くする、システムパッチを時間内に更新する。

攻撃レベル2：ローカルユーザーは、権限のないファイルへの読み書きアクセス権を取得します。

ローカルユーザーは、ローカルネットワーク上の任意のマシン、つまりドライブ上のパスワードを参照します。ディレクトリにユーザーがいます。ローカルユーザーが自分の未承認ファイルの読み取りおよび書き込み権限にアクセスできるかどうかの問題は、主にアクセスされているファイルの重要性によるものです。ローカルユーザーによる一時ファイルディレクトリ（/tmp）への任意のアクセスは危険であり、潜在的に次のレベルの攻撃への道を開く可能性があります。

レベル2の主な攻撃方法は、ハッカーが正当なユーザーに機密情報の漏洩やタスクの実行を仕掛け、ネットワーク管理者がユーザーに電子メールを送信し、システムアップグレードのためにパスワードを提供するようユーザーに要求することです。

ローカルユーザーによる攻撃は、ほとんどの場合リモートログインから始まります。 Linuxサーバーの場合、最善の方法は、すべてのシェルアカウントを単一のマシンに配置することです。つまり、シェルアクセスが割り当てられている1つ以上のサーバーにのみ登録することです。これにより、ログ管理、アクセス制御管理、リリースプロトコル、およびその他の潜在的なセキュリティ問題の管理が容易になります。ユーザーのCGIを保存するシステムも区別する必要があります。これらのマシンは、特定のネットワークセグメントに隔離する必要があります。つまり、ネットワークの構成に応じて、それらをルーターまたはネットワークスイッチで囲む必要があります。そのトポロジは、ハードウェアアドレスのなりすましがこのセクションを超えないようにする必要があります。

攻撃レベル3：リモートユーザーが特権ファイルの読み書きアクセス権を取得

第3レベルの攻撃では、特定のファイルの存在を確認し、それらのファイルを読み書きするだけでは不十分です。これは、Linuxサーバの設定に弱点がいくつかあるためです。リモートユーザは、有効なアカウントがなくても限られた数のコマンドをサーバ上で実行できます。

パスワードによる攻撃方法が第3段階の主な攻撃方法であり、損害によるパスワードが最も一般的な攻撃方法です。パスワードクラッキングは、ツールで、またはツールなしでパスワード保護されたリソースをロック解除するためのネットワーク、システム、またはリソースの侵入を説明するために使用される用語です。ユーザーは自分のパスワードを無視することが多く、パスワードポリシーを実装するのは困難です。ハッカーは技術と社会によって保護されたパスワードを破るための複数のツールを持っています。主に含まれています：辞書攻撃、ハイブリッド攻撃、総当たり攻撃。ハッカーがユーザーのパスワードを入手すると、彼は多くのユーザーの特権を持ちます。パスワード推測とは、通常のパスワードを手動で入力すること、またはプログラムのオリジナルをコンパイルしてパスワードを入手することを指します。誕生日、記念日、配偶者名などの単純なパスワードを選択するユーザーもいますが、文字と数字を混在させる必要がある規則には従いません。ハッカーが8ワードの誕生日データを推測するのにそれほど時間はかかりません。

第3レベルの攻撃に対する最良の防御策は、有効なパスワードを使用してアクセス権限を厳密に制御することです。

◆パスワードには文字、数字、大文字と小文字を混在させるという規則が主に含まれています（Linuxでは大文字と小文字が区別されるため）。

◆ "＃"、 "％"、 "$"などの特殊文字を使用すると複雑になります。たとえば、「countbak」という単語を使用し、その後ろに「＃$」（countbak＃$）を追加すると、かなり有効なパスワードになります。

攻撃レベル4：リモートユーザーがroot権限を取得

4番目の攻撃レベルは、決して起こり得ないことを意味しますこれは致命的な攻撃です。攻撃者がすべてのファイルの読み取り、書き込み、実行を実行するためのLinuxサーバーに対するroot、スーパーユーザー、または管理者権限を持っていることを示します。言い換えれば、攻撃者はLinuxサーバーを完全に制御し、いつでもネットワークを完全にシャットダウンまたは破壊することさえできます。

攻撃レベル4主な攻撃形態は、TCP /IPの継続的な盗難、受動的なチャンネルの監視、およびパケットの傍受です。 TCP /IP連続スチール、パッシブチャネルリスニング、およびパケット傍受は、重要な情報をネットワークに収集するための方法ですサービス拒否攻撃とは異なり、これらの方法はスチールのような性質を持つため発見が困難です。 TCP /IP攻撃が成功すると、ハッカーは2つのグループ間のトランザクションをブロックでき、中間者攻撃の可能性が高くなります。その後、ハッカーは被害者に気付かれることなく一方または両方の取引を制御します。受動的な盗聴によって、ハッカーは情報を操作および登録し、ファイルを配信し、ターゲットシステム上のすべての利用可能なチャネルから送信される可能性がある致命的な脅威を見つけます。ハッカーはオンラインとパスワードの組み合わせを探してアプリケーションの正当なチャネルを認識します。パケット傍受とは、すべてのまたは特別な情報を傍受して変更するようにアクティブなリスナープログラムを制限する、ターゲットシステムのアドレスを指します。情報は読み取りのために違法なシステムにリダイレクトされ、その後変更なしにハッカーに送り返される可能性があります。

TCP /IPによる継続的な盗難は、実際にはネットワーク盗聴です。誰かがあなたのネットワークに盗聴したことが確実な場合は、確認のためのツールがいくつかあります。このツールはTime Domain Reflectometer（TDR）と呼ばれます。 TDRは電磁波の伝播と変化を測定します。 TDRをネットワークに接続して、ネットワークデータを取得する不正なデバイスを検出します。しかし、多くの中小企業はそのような高価なツールを持っていません。スニファ攻撃から保護するための最良の方法は次のとおりです。

1.安全なトポロジ。探知機器は、現在のネットワークセグメントのデータのみをキャプチャできます。これは、ネットワークセグメンテーション作業が細かいほど、スニファが収集できる情報が少なくなることを意味します。

2.セッション暗号化。データが盗聴されることを心配する代わりに、探知機器に盗聴されたデータを知らせない方法を見つける必要があります。このアプローチの利点は明らかです。たとえ攻撃者がデータを盗聴したとしても、そのデータは彼には役に立ちません。

特別なヒント：攻撃への対抗策

第2レベルを超える攻撃には特別な注意を払う必要があります。なぜなら彼らはLinuxサーバに侵入するために攻撃レベルを絶えず高めることができるからです。この時点で、私たちが取ることができる攻撃は次のとおりです。

◆まず重要なエンタープライズキーデータをバックアップします。

◆システム内のすべてのパスワードを変更し、システム管理者用の新しいパスワードを見つけるようにユーザーに通知します。

◆攻撃行動が小さな領域にのみ現れるようにネットワークセグメントを隔離します。

◆行動を続けることを許可する。可能であれば、システムから攻撃者を急いで連れ出して次のステップの準備をしないでください。

◆すべての行動を記録し、証拠を収集する。証拠には、システムログインファイル、アプリケーションログインファイル、AAA（認証、許可、アカウンティング、認証、許可、アカウンティング）ログインファイル、RADIUS（リモート認証ダイヤルインユーザサービス）ログイン、ネットワーク要素ログイン（ネットワーク要素ログ）が含まれます。 、ファイアウォールログイン、HIDS（ホストベースIDS）、NIDS（ネットワーク侵入検知システム）イベント、ディスクドライブ、隠しファイルなど証拠を収集するときは注意してください：機器を移動または分解する前に写真を撮り、調査の2人のルールに従い、情報の改ざんを防ぐために少なくとも2人の情報を集めてください。構成設定への変更はすべて安全な場所に保管してください。システム内のすべてのディレクトリに対するアクセス権を確認し、Permslistが変更されているかどうかを確認してください。

◆攻撃の原因を特定するためにさまざまな試みを（ネットワークのさまざまな部分を使用して）行う。

◆法的武器を使って犯罪行為に対抗するためには証拠を保持しなければならず、証拠の作成に時間がかかります。これを行うには、攻撃の影響に耐える必要があります（ただし、攻撃がネットワークに悪影響を及ぼさないようにするためにセキュリティ対策を講じることはできます）。この場合、私たちは何らかの法的措置を講じるだけでなく、少なくとも権威ある警備会社にこの犯罪を阻止するように依頼する必要があります。この種の操作の最も重要な特徴は、犯罪の証拠を入手し、加害者の住所を見つけ、それが持っているログを提供することです。集められた証拠は効果的に保存されるべきです。最初に、証拠を評価するためのものと法的検証のためのものを2部ずつ作成します。

◆システムの脆弱性を見つけたら、その脆弱性をブロックして自己攻撃テストを行います。

サイバーセキュリティは技術的な問題ではなく、社会的な問題です。企業がネットワークセキュリティにもっと注意を払う必要があります技術的なツールだけに頼るのであれば、それらはますます受動的になるでしょう。中国は、サイバー犯罪との闘いについて明確な司法解釈を持っていますが、残念ながら、ほとんどの企業はテクノロジーの役割に注意を払い、法的および社会的要因を無視しているだけなのです。

-------------------------------------------- -------------------------------------

リンク

サービス拒否攻撃（DoS）

サービス拒否（DoS）はサービス拒否の略語で、MicrosoftのDOSオペレーティングシステムとは見なされません。 DoS攻撃は、ターゲットマシンがサービスやリソースへのアクセスを提供できないようにするもので、通常はサーバ側のリソースを消費することを狙いとし、サーバの処理能力を超えるリクエストデータを偽造することでブロックします。目的zh-CN"],null,[1],zh-TW"]]]