Linuxサーバーのセキュリティを確保するための4つのレベルの攻撃の防止

以下の記事では、主にLinuxサーバーのセキュリティを確保するための4つのレベルの攻撃の防止について説明します。それはその謎を明らかにするでしょう。 Linuxエンタープライズアプリケーションの継続的な拡大とともに。

多数のWebサーバーがLinuxオペレーティングシステムを使用しています。 Linuxサーバのセキュリティ性能はますます注目を集めています。

Linuxサーバに対する攻撃の深さはレベルごとにリストされており、さまざまな解決策を提案しています。

Linuxエンタープライズアプリケーションの拡大に伴い、Linuxオペレーティングシステムを使用するネットワークサーバーが多数あります。 Linuxサーバのセキュリティ性能はますます注目を集めており、ここではLinuxサーバに対する攻撃の深さが段階的にリストされており、さまざまなソリューションが提案されています。

Linuxサーバー攻撃の定義は、攻撃とは、Linuxサーバーのセキュリティを妨害、損傷、弱体化、または危殆化することを目的とした不正行為のことです。 Linuxサーバが完全に危険にさらされ破壊されるまで、攻撃の範囲はサービスから拒否される可能性があります。この記事では、攻撃の深さの観点から、攻撃を4つのレベルに分けて説明します。

アタッチメントレベル1：サービス拒否攻撃（DoS）

DoS攻撃ツールが急増していること、およびターゲットとなるプロトコルレイヤの欠陥を短期間で変更できないことが原因で、DoSが問題となっています。攻撃に対して防御するための最も広範囲で最も困難な方法。

サービス拒否攻撃には、分散サービス拒否攻撃、リフレクティブ分散サービス拒否攻撃、DNS配布サービス拒否攻撃、FTP攻撃などがあります。システムを再起動させる可能性があるものであっても、ほとんどのサービス拒否攻撃は比較的低レベルのリスクにつながりますが、一時的な問題にすぎません。この種の攻撃は、ネットワーク制御を取得しようとする攻撃とは大きく異なり、通常、データLinuxサーバーのセキュリティには影響しませんが、サービス拒否攻撃は長期間続くため非常に困難です。

これまでのところ、そのような攻撃を阻止する絶対的な方法はありません。個人的なホスト保護と保護の重要性を強調することに加えて、サーバー管理の強化は非常に重要な部分です。メッセージの送信元アドレスの実際のアドレスを確認するための確認ソフトウェアとフィルタリング機能を必ずインストールしてください。さらに、いくつかのサービス拒否に対しては、不要なサービスをオフにする、同時に開くことができる同時半接続の数を制限する、Syn半結合のタイムアウト時間を短くする、システムパッチを適時に更新するなどの対策を講じることができます。

攻撃レベル2：ローカルユーザーは、権限のないファイルへの読み取りおよび書き込みアクセス権を取得します。

ローカルユーザーは、ローカルネットワーク上の任意のコンピュータ、つまりドライブ上のパスワードを参照します。ディレクトリにユーザーがいます。ローカルユーザーが自分の未承認ファイルの読み取りおよび書き込み権限にアクセスできるかどうかの問題は、主にアクセスされているファイルの重要性によるものです。ローカルユーザーによる一時ファイルディレクトリ（/tmp）への任意のアクセスは危険であり、潜在的に次のレベルの攻撃への道を開く可能性があります。

レベル2の主な攻撃方法は、ハッカーが合法的なユーザーに秘密情報の漏洩やタスクの実行を仕掛け、ネットワーク管理者がユーザーに電子メールを送信し、システムアップグレードのためにパスワードを提供するようユーザーに要求することです。

ローカルユーザーによるほとんどの攻撃はリモートログインから始まります。 Linuxサーバーの場合、最善の方法は、すべてのシェルアカウントを単一のマシンに配置することです。つまり、シェルアクセスが割り当てられている1つ以上のサーバーにのみ登録することです。これにより、ログ管理、アクセス制御管理、リリースプロトコル、およびその他の潜在的なセキュリティ問題の管理が容易になります。ユーザーのCGIを保存するシステムも区別する必要があります。これらのマシンは、特定のネットワークセグメントに隔離する必要があります。つまり、ネットワークの構成に応じて、それらをルーターまたはネットワークスイッチで囲む必要があります。そのトポロジは、ハードウェアアドレスのなりすましがこのセクションを超えないようにする必要があります。

攻撃レベル3：リモートユーザーが特権ファイルの読み書きアクセス権を取得

第3レベルの攻撃では、特定のファイルの存在を確認し、それらのファイルを読み書きするだけでは不十分です。これは、Linuxサーバの設定に弱点がいくつかあるためです。リモートユーザは、有効なアカウントがなくても限られた数のコマンドをサーバ上で実行できます。

パスワード攻撃が第3レベルの主な攻撃方法であり、損害パスワードが最も一般的な攻撃方法です。パスワードクラッキングは、ツールで、またはツールなしでパスワードで保護されたリソースをロック解除するためのネットワーク、システム、またはリソースの侵入を説明するために使用される用語です。ユーザーは自分のパスワードを無視することが多く、パスワードポリシーを実装するのは困難です。

ハッカーは技術と社会によって保護されたパスワードを破るための複数のツールを持っています。主に含まれています：辞書攻撃、ハイブリッド攻撃、総当たり攻撃。ハッカーがユーザーのパスワードを入手すると、彼は多くのユーザーの特権を持ちます。パスワード推測とは、通常のパスワードを手動で入力すること、またはプログラムのオリジナルをコンパイルしてパスワードを入手することを指します。誕生日、記念日、配偶者名などの単純なパスワードを選択するユーザーもいますが、文字と数字を混在させる必要がある規則には従いません。ハッカーが8ワードの誕生日データを推測するのにそれほど時間はかかりません。

第3レベルの攻撃に対する最良の防御策は、有効なパスワードを使用してアクセス権限を厳密に制御することです。これは主にパスワードに文字、数字、大文字と小文字を混在させるべきであるという規則を含みます（Linuxは大文字と小文字が異なるので）。 "＃"、 "％"、 "$"などの特殊文字を使用すると、複雑さも増します。たとえば、 "countbak"という単語を使用し、その後に "＃$"（countbak＃$）を追加すると、かなり有効なパスワードになります。

攻撃レベル4：リモートユーザーがroot権限を取得する

4番目の攻撃レベルとは、決して起こり得ないことであり、致命的な攻撃です。攻撃者がすべてのファイルの読み取り、書き込み、実行を実行するためのLinuxサーバーに対するroot、スーパーユーザー、または管理者権限を持っていることを示します。言い換えれば、攻撃者はLinuxサーバーを完全に制御し、いつでもネットワークを完全にシャットダウンまたは破壊することさえできます。

攻撃レベル4主な攻撃形態は、TCP /IPの継続的な盗難、受動的なチャンネルの監視、およびパケットの傍受です。 TCP /IP連続スチール、パッシブチャネルリスニング、およびパケット傍受は、重要な情報をネットワークに収集するための方法ですサービス拒否攻撃とは異なり、これらの方法はスチールのような性質を持つため発見が困難です。

成功したTCP /IP攻撃はハッカーが2つのグループ間のトランザクションをブロックすることを可能にし、中間者攻撃のための良い機会を提供します。そしてハッカーは犠牲者に気付かれることなく一方または両方のトランザクションを制御できます。 。受動的な盗聴によって、ハッカーは情報を操作して登録し、ファイルを配信し、ターゲットシステムの利用可能なすべてのチャネルから送信される可能性がある致命的な脅威を見つけます。ハッカーはオンラインとパスワードの組み合わせを探してアプリケーションの正当なチャネルを認識します。パケット傍受とは、すべてのまたは特別な情報を傍受して変更するようにアクティブなリスナープログラムを制限する、ターゲットシステムのアドレスのことです。情報は読み取りのために違法なシステムにリダイレクトされ、その後変更なしにハッカーに送り返される可能性があります。

TCP /IPによる継続的な盗難は、実際にはネットワーク盗聴です。誰かがあなたのネットワークに盗聴したことが確実な場合は、検証のためのツールを見つけることができます。このツールはTime Domain Reflectometer（TDR）と呼ばれます。 TDRは電磁波の伝播と変化を測定します。 TDRをネットワークに接続して、ネットワークデータを取得する不正なデバイスを検出します。しかし、多くの中小企業はそのような高価なツールを持っていません。スニファ攻撃を防ぐ最善の方法は次のとおりです。

1、Linuxサーバのセキュリティトポロジ。探知機器は、現在のネットワークセグメントのデータのみをキャプチャできます。これは、ネットワークセグメンテーション作業が細かいほど、探知機器が収集できる情報が少なくなることを意味します。

2.セッション暗号化。データが盗聴されることを心配する代わりに、探知機器に盗聴されたデータを認識させない方法を見つける必要があります。このアプローチの利点は明らかです。たとえ攻撃者がデータを盗聴したとしても、そのデータは彼には役に立ちません。

特別なヒント：攻撃への対抗策

第2レベルを超える攻撃には特別な注意を払う必要があります。なぜなら彼らはLinuxサーバに侵入するために攻撃レベルを絶えず高めることができるからです。この時点での攻撃は、次のとおりです。

最初に重要な企業の重要なデータをバックアップします。

システム内のすべてのパスワードを変更し、システム管理者用の新しいパスワードを見つけるようにユーザーに通知します。

このネットワークセグメントを分離すると、攻撃の振る舞いは小さな領域にしか現れなくなります。

動作を続行させます。可能であれば、システムから攻撃者を急いで連れ出して次のステップの準備をしないでください。

すべての行動を記録して証拠を収集します。証拠には、システムログインファイル、アプリケーションログインファイル、AAA（認証、許可、アカウンティング、認証、許可、アカウンティング）ログインファイル、RADIUS（リモート認証ダイヤルインユーザサービス）ログイン、ネットワーク要素ログイン（ネットワーク要素ログ）が含まれます。 、ファイアウォールログイン、HIDS（ホストベースIDS）、NIDS（ネットワーク侵入検知システム）イベント、ディスクドライブ、隠しファイルなど証拠を収集するときは注意してください：機器を移動または分解する前に写真を撮り、調査の2人の規則に従って、情報の改ざんを防ぐために少なくとも2人の情報を集めてください。構成設定への変更はすべて安全な場所に保管してください。システム内のすべてのディレクトリに対するアクセス権を確認し、Permslistが変更されているかどうかを確認してください。

攻撃の原因を特定するためのさまざまな試み（ネットワークのさまざまな部分を使用）。

法的な武器を使って犯罪と闘うためには、証拠を保持しなければならず、証拠を形成するのに時間がかかります。これを行うには、攻撃の影響に耐えなければなりません（ただし、攻撃がネットワークに悪影響を与えないようにするためにセキュリティ対策を講じることはできます）。この場合、私たちは何らかの法的措置を講じるだけでなく、少なくとも権威ある警備会社にこの犯罪を阻止するように依頼する必要があります。この種の操作の最も重要な特徴は、犯罪の証拠を入手し、加害者の住所を見つけ、それが持っているログを提供することです。集められた証拠は効果的に保存されるべきです。最初に、証拠を評価するためのものと法的検証のためのものを2部ずつ作成します。

システムの脆弱性を見つけた後、脆弱性をブロックして自己攻撃テストを行ってください。

ネットワークセキュリティは技術的な問題ではなく、社会的な問題です。企業は、ネットワークLinuxサーバーのセキュリティにもっと注意を払う必要がありますが、技術的なツールだけに頼るのであれば、ますます受動的になるでしょう。中国はサイバー犯罪との闘いについて明確な司法解釈を持っていますが、残念ながら、ほとんどの企業はテクノロジーの役割に注意を払い、法的および社会的要因を無視しています。

サービス拒否攻撃（DoS）

サービス拒否はサービス拒否の略で、MicrosoftのDOSオペレーティングシステムと見なすことはできません！DoS攻撃は、ターゲットマシンがサービスまたはリソースの提供を停止することを可能にします。サーバーの処理能力を超える要求データを偽造することによって、サーバーはブロッキングに応答し、通常のユーザーの要求には答えられず、攻撃の目的を達成します。
zh-CN"],null,[1],zh-TW"]]]