【51CTO精選譯文】當(dāng)今許多Linux服務(wù)器都不是剛剛部署完畢的新機(jī)器，有專業(yè)的Linux系統(tǒng)管理員進(jìn)行定期維護(hù)，IT技術(shù)人員往往需要為自己所使用的服務(wù)器在安全性方面負(fù)全責(zé)。如果大家的服務(wù)器遭到侵入，不僅所有的敏感信息很可能暴露無(wú)遺，服務(wù)器本身也許還會(huì)在攻擊者手中造成更大規(guī)模的破壞。為了避免上述事態(tài)的發(fā)生，我們務(wù)必要確保自己的服務(wù)器配置正確并且定期更新。所以，利用下面要提到的各類工具及程序按時(shí)進(jìn)行安全審計(jì)是非常必要的。

最有效的Linux安全審計(jì)方式是在服務(wù)器上運(yùn)行專門為之量身打造的應(yīng)用程序及服務(wù)項(xiàng)目。這意味著我們必須首先了解自己所要審計(jì)的運(yùn)行環(huán)境，進(jìn)而判斷安全風(fēng)險(xiǎn)可能會(huì)隱藏在哪些部位，最終決定安全掃描應(yīng)該從何處著手。舉例來(lái)說(shuō)，運(yùn)行中的網(wǎng)頁(yè)服務(wù)器，其最薄弱的環(huán)節(jié)無(wú)疑是Web腳本風(fēng)險(xiǎn)，這也正是黑客們最常見的攻擊目標(biāo)之一。更不用說(shuō)網(wǎng)頁(yè)服務(wù)器本身或者是其中的任何模塊都可能存在著過(guò)期、脆弱或是不安全的配置。

要想部署一套成功的審計(jì)流程，我們還需要了解一些關(guān)于網(wǎng)絡(luò)、編程（如Perl、PHP或者是其它服務(wù)器上支持的語(yǔ)言）及Linux系統(tǒng)的知識(shí)。這可能要求我們花費(fèi)時(shí)間來(lái)學(xué)習(xí)一些自己尚不能運(yùn)用自如的技術(shù)。然而，在某些情況下我們似乎沒有更好的選擇。舉例來(lái)說(shuō)，如果大家有關(guān)服務(wù)器的投訴中得知自己所在的數(shù)據(jù)中心存在如垃圾郵件或黑客攻擊之類的可疑活動(dòng)，那么安全審計(jì)是必不可少的。專門在企業(yè)中設(shè)立相關(guān)職位、聘請(qǐng)了解此類技術(shù)的專業(yè)人士當(dāng)然是不錯(cuò)的選擇，然而如果大家無(wú)法承受常設(shè)人員所帶來(lái)的經(jīng)濟(jì)負(fù)擔(dān)，也可以考慮暫時(shí)雇用一家Linux服務(wù)器管理公司，或是將業(yè)務(wù)平臺(tái)整體遷移至某家負(fù)責(zé)的共享服務(wù)器供應(yīng)商處。

一旦大家準(zhǔn)備好著手實(shí)施安全審計(jì)，請(qǐng)按照下列步驟進(jìn)行操作：

◆執(zhí)行滲透測(cè)試

◆檢查日志文件

◆比較及掃描文件

◆檢查可疑活動(dòng)及rootkits

◆從外部掛載調(diào)用服務(wù)器驅(qū)動(dòng)器

下面一一說(shuō)明。

滲透測(cè)試

滲透測(cè)試能夠幫助大家找出存在于自己服務(wù)器上的漏洞并對(duì)設(shè)備的整體安全性進(jìn)行評(píng)估。這種評(píng)估是任何形式的安全審計(jì)工作的基礎(chǔ)。它能夠就如何提高服務(wù)器安全性給出實(shí)用的結(jié)論，并為即將開展的進(jìn)一步安全審計(jì)提供有關(guān)掃描側(cè)重點(diǎn)的重要信息。

要執(zhí)行滲透測(cè)試，我們可以使用諸如Nessus之類的漏洞掃描程序，這款工具具備能夠接入幾乎任何在線服務(wù)項(xiàng)目的端口。不過(guò)雖然Nessus是公認(rèn)最流行、最先進(jìn)的漏洞掃描工具，大家仍然可以嘗試其它選擇，例如Nmap，雖然它總體來(lái)說(shuō)只是個(gè)端口掃描器，還不能完全稱之為漏洞掃描器；Metasploit，功能強(qiáng)大但使用復(fù)雜、售價(jià)昂貴；或者是Backtrack Linux，已發(fā)布的Linux滲透測(cè)試工具大合集。無(wú)論大家最終選擇哪款工具或者說(shuō)如何部署自己的滲透測(cè)試工作，總會(huì)有一些漏洞被揪出來(lái)，盡管它們可能并不是情況最嚴(yán)重、影響最惡劣的。這種情況其實(shí)證明了當(dāng)下流行的一套理論：任何暴露在公眾視野內(nèi)的資源或服務(wù)項(xiàng)目都應(yīng)被視為具有潛在安全隱患，并且應(yīng)對(duì)其加以密切監(jiān)測(cè)。這也正是安全審計(jì)接下來(lái)要做的工作：檢查日志并掃描文件。

檢查日志

檢查服務(wù)器日志文件能夠?yàn)榘踩录峁┰敱M的參考信息。如果大家對(duì)日志記錄進(jìn)行了正確配置，那么黑客的攻擊及行跡其實(shí)完全可以被追蹤到。而如果手頭要審計(jì)的幾臺(tái)服務(wù)器很少使用，那么整個(gè)檢查過(guò)程就相對(duì)簡(jiǎn)單，只需使用簡(jiǎn)單的Linux命令，例如Splunk。Splunk為快速搜索多套系統(tǒng)中的大量日志文件提供了一套直觀的網(wǎng)頁(yè)接口。它也可以在發(fā)現(xiàn)特定預(yù)設(shè)事件時(shí)及時(shí)通知大家，并協(xié)助阻止安全危害的發(fā)生。不過(guò)，要準(zhǔn)確判斷哪些日志文件有必要被監(jiān)測(cè)實(shí)際上要求我們具備相當(dāng)高的技術(shù)水平，尤其是必須了解每個(gè)服務(wù)項(xiàng)目本身的情況。由于應(yīng)用程序與日志文件間有著極大的差異，因此我們所能給出的建議只能是盡量關(guān)注那些異常動(dòng)向。

比較及掃描文件

安全審計(jì)的下一步是比較并掃描服務(wù)器上的文件。查獲惡意內(nèi)容絕不輕松，因?yàn)楣舸a可以很容易地被混淆、編碼及加密，進(jìn)而變得難以識(shí)別，連最選擇的掃描工具及安全產(chǎn)品也使它們沒轍。另外，不管大家在編程方面的經(jīng)驗(yàn)多么豐富，藏身于成千上萬(wàn)其它代碼中的惡意代碼片段仍然極有可能成為漏網(wǎng)之魚。這時(shí)大家可以求助于AIDE（高級(jí)入侵檢測(cè)環(huán)境），它會(huì)跟蹤那些兩次安全審計(jì)之間內(nèi)容發(fā)生了變化的文件。但是，我們要在之前的安全審計(jì)中至少將其運(yùn)行一次，以使其創(chuàng)建針對(duì)當(dāng)時(shí)情況的數(shù)據(jù)庫(kù)鏡像。另外，大家必須能夠跟蹤到所有發(fā)生了變化的文件。如果服務(wù)器上的文件變動(dòng)程度較大，這一點(diǎn)恐怕很難甚至不可能實(shí)現(xiàn)。在這種情況下，大家可以選擇直接搜索那些包含惡意內(nèi)容的文件。為此，使用諸如卡巴斯基在內(nèi)的通用防病毒應(yīng)用程序或者有針對(duì)性地為類似Web腳本惡意代碼創(chuàng)建內(nèi)部工具都是可行的。在執(zhí)行此類文件掃描工作之前，請(qǐng)大家務(wù)必牢記：該流程屬于系統(tǒng)資源密集型，盡量把此類工作安排在服務(wù)器負(fù)載較輕的時(shí)段。如果必要的話，大家也可以將掃描范圍設(shè)定為那些允許公開訪問(wèn)的文件。

檢查可疑活動(dòng)及rootkits

接下來(lái)的階段是安全掃描流程中最復(fù)雜的部分：尋找服務(wù)器上的可疑活動(dòng)及rootkits。這一步非常必要，因?yàn)闊o(wú)論大家對(duì)日志及文件進(jìn)行怎樣嚴(yán)謹(jǐn)?shù)膶彶?，服?wù)器安全都無(wú)法僅通過(guò)這種措施得到萬(wàn)全的保障。對(duì)于攻擊者來(lái)說(shuō)，只要獲得一定資源及權(quán)限，隱藏蹤跡可謂相當(dāng)輕松。首先，我們要使用netstat-ntuap命令對(duì)自己服務(wù)器上的TCP及UDP端口或活動(dòng)連接加以偵測(cè)。不要忘記程序名稱是可以反復(fù)更改的，因此攻擊者們常常會(huì)使用諸如“apache 2”這樣的名稱讓我們誤以為這是服務(wù)器工作中的正常進(jìn)程。如果對(duì)正在運(yùn)行的程序抱有任何疑問(wèn)，立即運(yùn)行l(wèi)sof –p XXXX指令，這里的XXXX是可疑程序的進(jìn)程號(hào)。此命令將列出所有接入此進(jìn)程號(hào)的運(yùn)行文件，包括已被刪除的對(duì)象。

在Linux環(huán)境下，前1000個(gè)端口是為那些具有超級(jí)用戶權(quán)限的應(yīng)用程序所預(yù)留的。由于攻擊者往往并不具備此類超級(jí)權(quán)限，這就意味著他們所制作的腳本大部分必須運(yùn)行于編號(hào)為1000以上的端口。例如看到6667端口上運(yùn)行著某個(gè)名為apache 2、由用戶johnb發(fā)起的程序，而且與其相關(guān)聯(lián)的文件（包括已被刪除的）包含在/tmp目錄中，則可以初步斷定該程序有問(wèn)題。

檢查可疑的網(wǎng)絡(luò)活動(dòng)也很重要，因?yàn)閹缀跛械墓粽叨枷Ｍ粝乱坏篮箝T，這樣他就可以輕松地再次連入受害者的計(jì)算機(jī)。由此，我們可以使用ps auxwf命令搜索包括網(wǎng)絡(luò)在內(nèi)的任何可疑進(jìn)程。此命令將顯示所有正在運(yùn)行的進(jìn)程以及其啟動(dòng)的方式，包括雇用這些進(jìn)程的原始文件。

如果攻擊者已然獲得了超級(jí)用戶權(quán)限，那么我們恐怕無(wú)法查出任何可疑活動(dòng)，因?yàn)樗麄兺鶗?huì)在第一時(shí)間安裝rootkit。Rootkit能夠完全篡改我們的環(huán)境，變更那些重要的可執(zhí)行項(xiàng)目如ps、netstat以及who，并加載惡意Linux內(nèi)核模塊。這也正是安全審計(jì)中總是不能落下諸如Rootkit Hunter這類rootkit掃描工具的原因。這種工具易用且高效，能夠通過(guò)MD5校驗(yàn)手段可靠地確保系統(tǒng)中二進(jìn)制文件的完整性。它還會(huì)對(duì)服務(wù)器進(jìn)行掃描，以尋獲那些已被加載的、內(nèi)核級(jí)別的rootkit。

從外部掛載調(diào)用服務(wù)器驅(qū)動(dòng)器

上面提到的各個(gè)步驟對(duì)于應(yīng)付大多數(shù)Linux服務(wù)器部署中的風(fēng)險(xiǎn)都綽綽有余，包括網(wǎng)頁(yè)、電子郵件、DNS及數(shù)據(jù)庫(kù)任務(wù)。但是，如果我們的Linux服務(wù)器中存儲(chǔ)的是有關(guān)財(cái)務(wù)或重要機(jī)密文件等敏感信息，那安保手段恐怕還要再進(jìn)一步。在完整的安全審計(jì)流程中，我們可以將自己的Linux服務(wù)器硬盤接入另一臺(tái)計(jì)算機(jī)，并通過(guò)手動(dòng)或使用主流Linux殺毒軟件的方式檢查其上的全部文件。有些時(shí)候服務(wù)器發(fā)生了嚴(yán)重故障，那么通過(guò)外部硬盤啟動(dòng)計(jì)算機(jī)可能是我們找出蛛絲馬跡的惟一機(jī)會(huì)。在某些情況下，攻擊者在服務(wù)器上的最后操作是將其癱瘓化并加以摧毀。當(dāng)前最受技術(shù)人員青睞的應(yīng)對(duì)方法是利用諸如System Rescue CD之類的綠色Linux系統(tǒng)盤以硬盤接入的形式激活癱瘓?jiān)O(shè)備。然而，這套方案具體實(shí)施起來(lái)并不簡(jiǎn)單——它會(huì)導(dǎo)致宕機(jī)，而我們也很可能沒有額外的物理設(shè)備能夠應(yīng)付這一時(shí)段內(nèi)的訪問(wèn)——但相對(duì)來(lái)說(shuō)它還是較為可行的，尤其是當(dāng)我們使用虛擬服務(wù)器時(shí)，存儲(chǔ)文件在此方案下能夠被直接訪問(wèn)。

專家總結(jié)：Linux服務(wù)器安全審計(jì)不應(yīng)被視為一次性工作加以處理。相反，此類審計(jì)必須定期進(jìn)行。一旦大家真正著手執(zhí)行，絕對(duì)能從流程中找到一些可以通過(guò)自動(dòng)化處理以簡(jiǎn)化任務(wù)操作的方法。而一旦大家的Linux服務(wù)器在安全審計(jì)中獲得了令人滿意的結(jié)果，我們就可以將更多的精力投入到數(shù)據(jù)存儲(chǔ)以及提高服務(wù)正常運(yùn)行時(shí)間的工作中去，進(jìn)而對(duì)自己的商業(yè)運(yùn)作狀態(tài)充滿信心。

備注：PCI標(biāo)準(zhǔn)

PCI數(shù)據(jù)安全標(biāo)準(zhǔn)及評(píng)估是由銀行卡行業(yè)人士組建的代表委員會(huì)。其頻繁發(fā)布的各類強(qiáng)制性標(biāo)準(zhǔn)及程序在保障敏感信息，例如信用卡在交易過(guò)程中的詳細(xì)信息存儲(chǔ)方面貢獻(xiàn)良多。這些標(biāo)準(zhǔn)大多可延伸至其它行業(yè)，在合理分配網(wǎng)絡(luò)、正確配置日志記錄、有效進(jìn)行滲透測(cè)試以及軟件更新規(guī)劃方面提供權(quán)威性參考。PCI標(biāo)準(zhǔn)及其評(píng)估流程中對(duì)滲透測(cè)試部分尤為重視。

原文：How to Conduct a Linux Server Security Audit

【編輯推薦】

1. Linux服務(wù)器操作系統(tǒng)日志管理六大秘訣
2. 20個(gè)你不得不知的Linux服務(wù)器性能調(diào)優(yōu)技巧
3. 防止惡意掃描 用PortSentry保護(hù)Linux服務(wù)器