Linuxエンタープライズアプリケーションの拡大に伴い、Linuxオペレーティングシステムを使用しているネットワークサーバが多数あります。 Linuxサーバのセキュリティ性能はますます注目を集めており、ここではLinuxサーバに対する攻撃の深さが段階的にリストされており、さまざまなソリューションが提案されています。 Linuxサーバー攻撃の定義は、攻撃がLinuxサーバーのセキュリティを妨害、損傷、弱体化、または危殆化するように設計された不正行為であるということです。 Linuxサーバが完全に危険にさらされ破壊されるまで、攻撃の範囲はサービスから拒否される可能性があります。この記事では、攻撃の深さの観点から、攻撃を4つのレベルに分けて説明します。
攻撃レベル1:サービス拒否攻撃(DoS)
DoS攻撃ツールが急増し、対象となるプロトコル層の欠陥を短期間で変更することができないため、DoSは最も普及しており、防止が最も困難です。攻撃の仕方サービス拒否攻撃には、分散サービス拒否攻撃、リフレクティブ分散サービス拒否攻撃、DNS分散サービス拒否攻撃、およびFTP攻撃が含まれます。システムを再起動させる可能性があるものであっても、ほとんどのサービス拒否攻撃は比較的低レベルのリスクにつながりますが、一時的な問題にすぎません。この種の攻撃は、ネットワーク制御を取得しようとする攻撃とは大きく異なり、一般にデータセキュリティには影響しませんが、サービス拒否攻撃は長期間続くため、非常に困難です。これまでのところ、そのような攻撃を阻止する絶対的な方法はありません。個人的なホスト保護と保護の重要性を強調することに加えて、サーバー管理の強化は非常に重要な部分です。メッセージの送信元アドレスの実際のアドレスを確認するための確認ソフトウェアとフィルタリング機能を必ずインストールしてください。さらに、いくつかのサービス拒否に対しては、不要なサービスをオフにする、同時に開くことができる同時半接続の数を制限する、Syn半結合のタイムアウト時間を短くする、システムパッチを適時に更新するなどの対策を講じることができます。 攻撃レベル2:ローカルユーザーは、自分の未承認ファイルへの読み取りおよび書き込みアクセス権を取得します。
ローカルユーザーは、ローカルネットワーク上の任意のコンピュータにパスワードを設定し、ドライブにディレクトリを設定するユーザーです。 。ローカルユーザーが自分の未承認ファイルの読み取りおよび書き込み権限にアクセスできるかどうかの問題は、主にアクセスされているファイルの重要性によるものです。ローカルユーザーによる一時ファイルディレクトリ(/tmp)への任意のアクセスは危険であり、潜在的に次のレベルの攻撃への道を開く可能性があります。レベル2の主な攻撃方法は、ハッカーが正当なユーザーに秘密情報の漏洩やタスクの実行を仕掛け、ネットワーク管理者がユーザーに電子メールを送信し、システムアップグレードのためにパスワードを提供するようユーザーに要求することです。ローカルユーザーによる攻撃は、ほとんどの場合リモートログインから始まります。 Linuxサーバーの場合、最善の方法は、すべてのシェルアカウントを単一のマシンに配置することです。つまり、シェルアクセスが割り当てられている1つ以上のサーバーにのみ登録することです。これにより、ログ管理、アクセス制御管理、リリースプロトコル、およびその他の潜在的なセキュリティ問題の管理が容易になります。ユーザーのCGIを保存するシステムも区別する必要があります。これらのマシンは、特定のネットワークセグメントに隔離する必要があります。つまり、ネットワークの構成に応じて、それらをルーターまたはネットワークスイッチで囲む必要があります。そのトポロジは、ハードウェアアドレスのなりすましがこのセクションを超えないようにする必要があります。 攻撃レベル3:リモートユーザーが特権ファイルの読み書きアクセス権を取得
第3レベルの攻撃では、特定のファイルの存在を確認し、それらのファイルを読み書きするだけでは不十分です。これは、Linuxサーバの設定に弱点がいくつかあるためです。リモートユーザは、有効なアカウントがなくても限られた数のコマンドをサーバ上で実行できます。パスワード攻撃方法が第3レベルの主な攻撃方法であり、破損したパスワードが最も一般的な攻撃方法です。パスワードクラッキングは、ツールで、またはツールなしでパスワードで保護されたリソースをロック解除するためのネットワーク、システム、またはリソースの侵入を説明するために使用される用語です。ユーザーは自分のパスワードを無視することが多く、パスワードポリシーを実装するのは困難です。ハッカーは、技術と社会によって保護されたパスワードを破るための複数のツールを持っています。主に含まれています:辞書攻撃、ハイブリッド攻撃、総当たり攻撃。ハッカーがユーザーのパスワードを入手すると、彼は多くのユーザーの特権を持ちます。パスワード推測とは、通常のパスワードを手動で入力すること、またはプログラムのオリジナルをコンパイルしてパスワードを入手することを指します。誕生日、記念日、配偶者名などの単純なパスワードを選択するユーザーもいますが、文字と数字を混在させる必要がある規則には従いません。ハッカーが8ワードの誕生日データを推測するのにそれほど時間はかかりません。第3レベルの攻撃に対する最善の防御策は、有効なパスワードを使用してアクセス権限を厳密に制御することです。これは主にパスワードに文字、数字、大文字と小文字を混在させるべきであるという規則を含みます(Linuxは大文字と小文字が異なるので)。 "#"、 "%"、 "$"などの特殊文字を使用すると、複雑さも増します。たとえば、 "countbak"という単語を使用し、その後に "#$"(countbak#$)を追加すると、かなり有効なパスワードになります。
攻撃レベル4:リモートユーザroot権限
第四アタックレベルを得るためにそれらの事が起こったことはなかったはずですが、それは致命的な攻撃です。攻撃者がすべてのファイルの読み取り、書き込み、実行を実行するためのLinuxサーバーに対するroot、スーパーユーザー、または管理者権限を持っていることを示します。言い換えれば、攻撃者はLinuxサーバーを完全に制御し、いつでもネットワークを完全にシャットダウンまたは破壊することさえできます。攻撃レベルの4つの主な攻撃タイプは、TCP /IP連続スチール、パッシブチャネルリスニング、およびパケット傍受です。 TCP /IP連続スチール、パッシブチャネルリスニング、およびパケット傍受は、重要な情報をネットワークに収集するための方法ですサービス拒否攻撃とは異なり、これらの方法はスチールのような性質を持つため発見が困難です。 TCP /IP攻撃が成功すると、ハッカーが2つのグループ間のトランザクションをブロックして中間者攻撃の可能性が高まり、被害者に気付かれることなく一方または両方の取引が制御されます。受動的な盗聴によって、ハッカーは情報を操作して登録し、ファイルを配信し、ターゲットシステムの利用可能なすべてのチャネルから送信される可能性がある致命的な脅威を見つけます。ハッカーはオンラインとパスワードの組み合わせを探してアプリケーションの正当なチャネルを認識します。パケット傍受とは、すべてのまたは特別な情報を傍受して変更するようにアクティブなリスナープログラムを制限する、ターゲットシステムのアドレスのことです。情報は読み取りのために違法なシステムにリダイレクトされ、その後変更なしにハッカーに送り返される可能性があります。 TCP /IPによる継続的な盗難は、実際にはネットワークスニッフィングです。誰かがあなたのネットワークにスニファをかけたことが確実な場合は、検証のためのツールを見つけることができます。このツールはTime Domain Reflectometer(TDR)と呼ばれます。 TDRは電磁波の伝播と変化を測定します。 TDRをネットワークに接続して、ネットワークデータを取得する不正なデバイスを検出します。しかし、多くの中小企業はそのような高価なツールを持っていません。スニファ攻撃を防ぐための最善の方法は次のとおりです。1.安全なトポロジ。探知機器は、現在のネットワークセグメントのデータのみをキャプチャできます。これは、ネットワークセグメンテーション作業が細かいほど、探知機器が収集できる情報が少なくなることを意味します。セッション暗号化。データが盗聴されることを心配する代わりに、探知機器に盗聴されたデータを認識させない方法を見つける必要があります。このアプローチの利点は明らかです。たとえ攻撃者がデータを盗聴したとしても、そのデータは彼には役に立ちません。特別なヒント:攻撃に対処するための反撃対策2番目のレベルを超える攻撃には特別な注意を払う必要があります。なぜなら彼らはLinuxサーバに侵入するために攻撃レベルを絶えず高めることができるからです。この時点で、我々が取ることができる攻撃は次のとおりです。まず、重要なエンタープライズキーデータをバックアップします。システム内のすべてのパスワードを変更し、システム管理者用の新しいパスワードを見つけるようにユーザーに通知します。攻撃動作が小さな領域にのみ現れるようにネットワークセグメントを隔離します。動作を続行させます。可能であれば、システムから攻撃者を急いで連れ出して次のステップの準備をしないでください。すべての行動を記録し、証拠を収集してください。証拠には、システムログインファイル、アプリケーションログインファイル、AAA(認証、許可、アカウンティング、認証、許可、アカウンティング)ログインファイル、RADIUS(リモート認証ダイヤルインユーザサービス)ログイン、ネットワーク要素ログイン(ネットワーク要素ログ)が含まれます。 、ファイアウォールログイン、HIDS(ホストベースIDS)、NIDS(ネットワーク侵入検知システム)イベント、ディスクドライブ、隠しファイルなど証拠を収集するときは注意してください:機器を移動または分解する前に写真を撮り、調査の2人の規則に従って、情報の改ざんを防ぐために少なくとも2人の情報を集めてください。構成設定への変更はすべて安全な場所に保管してください。システム内のすべてのディレクトリに対するアクセス権を確認し、Permslistが変更されているかどうかを確認してください。攻撃の原因を特定するためにさまざまな試みを(ネットワークのさまざまな部分を使用して)実行します。法的武器を使用して犯罪行為に対抗するためには、証拠を保持しなければならず、証拠を作成するのに時間がかかります。これを行うには、攻撃の影響に耐えなければなりません(ただし、攻撃がネットワークに悪影響を与えないようにするためにセキュリティ対策を講じることはできます)。この場合、私たちは何らかの法的措置を講じるだけでなく、少なくとも権威ある警備会社にこの犯罪を阻止するように依頼する必要があります。この種の操作の最も重要な特徴は、犯罪の証拠を入手し、加害者の住所を見つけ、それが持っているログを提供することです。集められた証拠は効果的に保存されるべきです。最初に、証拠を評価するためのものと法的検証のためのものを2部ずつ作成します。システムの脆弱性を見つけたら、脆弱性をブロックして自己攻撃テストを行ってください。サイバーセキュリティは単なる技術的な問題ではなく、社会的な問題です。企業がネットワークセキュリティにもっと注意を払う必要があります技術的なツールだけに頼るのであれば、それらはますます受動的になるでしょう。中国はサイバー犯罪との闘いについて明確な司法解釈を持っていますが、残念ながら、ほとんどの企業はテクノロジーの役割に注意を払い、法的および社会的要因を無視しています。 名詞の説明:サービス拒否攻撃(DoS)
サービス拒否、サービス拒否の略語であるDoSは、MicrosoftのDOSオペレーティングシステムと見なすことはできません。 DoS攻撃は、ターゲットマシンがサービスやリソースへのアクセスを提供できないようにするもので、通常はサーバ側のリソースを消費することを狙いとし、サーバの処理能力を超えるリクエストデータを偽造することでブロックします。目的
zh-CN"],null,[1],zh-TW"]]]