Maison Problème commun Quels sont les moyens d'attaquer les processus locaux dans les systèmes Linux ?

Quels sont les moyens d'attaquer les processus locaux dans les systèmes Linux ?

Sep 24, 2021 pm 03:58 PM
linux

Les méthodes d'attaque pour les processus locaux dans les systèmes Linux incluent : 1. Attaque par déni de service (DOS) ; 2. Les utilisateurs locaux obtiennent des autorisations de lecture et d'écriture pour les fichiers non autorisés ; 3. Les utilisateurs distants obtiennent des autorisations de lecture et d'écriture pour les fichiers privilégiés ; . Utilisateurs distants Obtenez un accès root.

Quels sont les moyens d'attaquer les processus locaux dans les systèmes Linux ?

L'environnement d'exploitation de ce tutoriel : système Windows 10, ordinateur Dell G3.

Quels sont les moyens d'attaquer le processus local du système Linux ?

système Linux Avec l'expansion des applications d'entreprise Linux, un grand nombre de serveurs réseau utilisent le système d'exploitation Linux. Les performances de sécurité des serveurs Linux font l'objet de plus en plus d'attention. Nous listons ici les serveurs Linux par niveaux en fonction de la profondeur des attaques et proposons différentes solutions.

La définition d'une attaque de serveur Linux est la suivante : Une attaque est un comportement non autorisé conçu pour entraver, endommager, affaiblir ou détruire la sécurité d'un serveur Linux. Les attaques peuvent aller du déni de service à la compromission complète et à la destruction d'un serveur Linux. Il existe de nombreux types d'attaques sur les serveurs Linux. Cet article explique que du point de vue de la profondeur des attaques, nous divisons les attaques en quatre niveaux.

Attaque de niveau 1, attaque par déni de service (DOS)

En raison de la prolifération des outils d'attaque DOS et du fait que les failles de la couche protocolaire ciblée ne peuvent pas être modifiées en peu de temps, DOS est devenu le plus répandu et la méthode d'attaque la plus difficile à prévenir.

Les attaques par déni de service incluent les attaques par déni de service distribué, les attaques par déni de service distribué réfléchissant, les attaques par déni de service distribué DNS, les attaques FTP, etc. La plupart des attaques par déni de service génèrent des dangers de niveau relativement faible, et même celles susceptibles de provoquer un redémarrage du système ne constituent que des problèmes temporaires. Ce type d'attaque est très différent de celles visant à prendre le contrôle du réseau. Généralement, il n'affectera pas la sécurité des données, mais les attaques par déni de service dureront longtemps et sont très difficiles à gérer.

Jusqu’à présent, il n’existe aucun moyen absolu d’arrêter ce type d’attaque. Mais cela ne signifie pas que nous devons simplement rester les bras croisés et en profiter. En plus de souligner l'importance de renforcer la protection des hôtes personnels contre toute exploitation, le renforcement de la gestion des serveurs est un élément très important. Assurez-vous d'installer un logiciel de vérification et des fonctions de filtrage pour vérifier la véritable adresse de l'adresse source du message. De plus, les mesures suivantes peuvent être prises pour plusieurs types de déni de service : fermer les services inutiles, limiter le nombre de semi-connexions Syn ouvertes en même temps, raccourcir le délai d'expiration des semi-connexions Syn et mettre à jour les correctifs système de manière rapide. en temps opportun.

Niveau d'attaque 2 : un utilisateur local a obtenu des autorisations de lecture et d'écriture non autorisées sur des fichiers

Un utilisateur local fait référence à un utilisateur qui dispose d'un mot de passe sur n'importe quelle machine du réseau local et dispose donc d'un répertoire sur un certain lecteur. La question de savoir si les utilisateurs locaux obtiennent des autorisations de lecture et d'écriture sur des fichiers sur lesquels ils ne sont pas autorisés pose un risque dépend en grande partie de la criticité des fichiers auxquels ils accèdent. Il est dangereux pour tout utilisateur local d'accéder librement au répertoire de fichiers temporaires (/tmp), ce qui peut potentiellement ouvrir la voie au niveau d'attaque suivant.

La principale méthode d'attaque au niveau deux est la suivante : les pirates informatiques incitent les utilisateurs légitimes à leur communiquer des informations confidentielles ou à effectuer des tâches. Parfois, les pirates se font passer pour des gestionnaires de réseau et envoient des e-mails aux utilisateurs, leur demandant de leur donner des mots de passe pour les mises à niveau du système.

Les attaques lancées par des utilisateurs locaux commencent presque toujours par une connexion à distance. Pour les serveurs Linux, la meilleure approche consiste à placer tous les comptes shell sur une machine distincte, c'est-à-dire à n'accepter que les inscriptions sur un ou plusieurs serveurs auxquels un accès shell est attribué. Cela peut faciliter la gestion des journaux, du contrôle d’accès, des protocoles de publication et d’autres problèmes de sécurité potentiels. Le système qui stocke les CGI des utilisateurs doit également être distingué. Ces machines doivent être isolées dans des segments de réseau spécifiques, c'est-à-dire qu'elles doivent être entourées de routeurs ou de commutateurs réseau, selon la configuration du réseau. La topologie doit garantir que l'usurpation d'adresse matérielle ne peut pas s'étendre au-delà de cette zone.

Niveau d'attaque 3 : l'utilisateur distant obtient des autorisations de lecture et d'écriture sur des fichiers privilégiés

Le troisième niveau d'attaque peut non seulement vérifier si des fichiers spécifiques existent, mais également lire et écrire ces fichiers. La raison de cette situation est qu'il existe certaines faiblesses dans la configuration du serveur Linux : les utilisateurs distants peuvent exécuter un nombre limité de commandes sur le serveur sans compte valide.

La méthode d'attaque par mot de passe est la méthode d'attaque principale du troisième niveau, et les mots de passe dommageables sont la méthode d'attaque la plus courante. Le craquage de mot de passe est un terme utilisé pour décrire la pénétration d'un réseau, d'un système ou d'une ressource avec ou sans l'utilisation d'outils permettant de déverrouiller des ressources protégées par mot de passe. Les utilisateurs négligent souvent leurs mots de passe et les politiques relatives aux mots de passe sont difficiles à appliquer. Les pirates disposent de nombreux outils pour vaincre les mots de passe protégés par la technologie et la société. Incluent principalement : l'attaque par dictionnaire (attaque par dictionnaire), l'attaque hybride (attaque hybride), l'attaque par force brute (attaque par force brute). Une fois qu'un pirate informatique possède le mot de passe d'un utilisateur, il dispose de nombreux privilèges de l'utilisateur. La deviner un mot de passe fait référence à la saisie manuelle d'un mot de passe commun ou à l'obtention du mot de passe via la copie originale d'un programme programmé. Certains utilisateurs choisissent des mots de passe simples, tels que les anniversaires, les anniversaires et les noms des conjoints, mais ne suivent pas la règle consistant à utiliser un mélange de lettres et de chiffres. Il ne faut pas longtemps à un pirate informatique pour deviner un numéro d'anniversaire à huit caractères.

La meilleure défense contre les attaques de niveau 3 est de contrôler strictement les privilèges d'accès, c'est-à-dire d'utiliser des mots de passe valides.

Comprend principalement les règles selon lesquelles les mots de passe doivent suivre l'utilisation mixte de lettres, de chiffres et de majuscules et minuscules (car Linux fait la distinction entre les majuscules et les minuscules).

L'utilisation de caractères spéciaux comme "#" ou "%" ou "$" ajoute également de la complexité. Par exemple, prenez le mot "countbak", ajoutez "#$" (countbak#$) après, et vous obtenez un mot de passe assez efficace.

Niveau d'attaque quatre, l'utilisateur distant obtient les privilèges root

Le quatrième niveau d'attaque signifie que des choses qui ne devraient jamais arriver se produisent, c'est une attaque fatale. Indique que l'attaquant dispose des autorisations root, superutilisateur ou administrateur sur le serveur Linux et peut lire, écrire et exécuter tous les fichiers. En d’autres termes, l’attaquant a un contrôle total sur le serveur Linux et peut arrêter complètement, voire détruire le réseau à tout moment.

Les principales formes d'attaque de niveau quatre sont le vol continu TCP/IP, l'écoute passive des canaux et l'interception de paquets. Le vol en série TCP/IP, l'écoute passive des canaux et l'interception de paquets sont des méthodes permettant de collecter des informations importantes pour entrer dans le réseau. Contrairement aux attaques par déni de service, ces méthodes ont des propriétés plus proches du vol et sont plus secrètes et difficiles à détecter.

Une attaque TCP/IP réussie permet à un pirate informatique de bloquer les transactions entre deux groupes, offrant ainsi une bonne opportunité pour une attaque de l'homme du milieu, où le pirate informatique peut ensuite prendre le contrôle des transactions de l'une ou des deux parties sans la victime. remarquer. Grâce à l'écoute passive, les pirates informatiques manipuleront et enregistreront des informations, livreront des fichiers et trouveront des points critiques praticables sur tous les canaux praticables du système cible. Les pirates rechercheront le point de connexion entre la connexion et le mot de passe pour identifier le canal légitime. L'interception de paquets consiste à contraindre un programme d'écoute actif sur un système cible à intercepter et à rediriger la totalité ou des messages spécifiques. Les informations peuvent être redirigées vers des systèmes illégaux pour être lues, puis renvoyées sans modification aux pirates.

Le vol continu TCP/IP est en fait un reniflage de réseau. Notez que si vous êtes sûr que quelqu'un a connecté un renifleur à votre réseau, vous pouvez trouver des outils de vérification. Cet outil est appelé réflectomètre temporel (TDR). Le TDR mesure la propagation et les modifications des ondes électromagnétiques. La connexion d'un TDR au réseau peut détecter les appareils non autorisés qui accèdent aux données du réseau. Cependant, de nombreuses petites et moyennes entreprises ne disposent pas d’outils aussi coûteux.

La meilleure façon de prévenir les attaques par renifleur est :

1. Le renifleur ne peut capturer des données que sur le segment de réseau actuel. Cela signifie que plus vous segmentez votre réseau de manière granulaire, moins un renifleur peut collecter d’informations.

2. Cryptage de session. Ne vous inquiétez pas spécifiquement des données reniflées, mais trouvez un moyen pour que le renifleur ne reconnaisse pas les données reniflées. L’avantage de cette approche est évident : même si l’attaquant renifle les données, celles-ci ne lui sont d’aucune utilité.

Rappel spécial : Contre-mesures pour faire face aux attaques

Vous devez porter une attention particulière aux attaques dépassant le deuxième niveau. Parce qu'ils peuvent augmenter continuellement le niveau d'attaque pour pénétrer les serveurs Linux. À l'heure actuelle, les contre-mesures que nous pouvons prendre sont les suivantes :

Tout d'abord, sauvegardez les données clés importantes de l'entreprise.

Modifiez tous les mots de passe du système et informez les utilisateurs de trouver l'administrateur système pour obtenir de nouveaux mots de passe.

Isolez le segment de réseau afin que le comportement d'attaque ne se produise que dans une petite plage.

Autorisez le comportement à continuer. Si possible, ne précipitez pas l’attaquant hors du système et préparez-vous à l’étape suivante.

Enregistrez toutes les actions et collectez des preuves. Ces preuves incluent : les fichiers de connexion au système, les fichiers de connexion à l'application, les fichiers de connexion AAA (Authentification, Authorization, Accounting, Authentication, Authorization, Accounting), la connexion RADIUS (Remote Authentication Dial-In User Service), les journaux d'éléments de réseau (journaux d'éléments de réseau), connexion au pare-feu, événements HIDS (Host-base IDS, système de détection d'intrusion basé sur l'hôte), événements NIDS (système de détection d'intrusion réseau), lecteurs de disque, fichiers cachés, etc.

Soyez prudent lors de la collecte de preuves : prenez des photos avant de déplacer ou de démonter tout équipement ; suivez la règle de deux personnes lors des enquêtes et demandez à au moins deux personnes de recueillir des informations pour éviter toute falsification des informations. Toutes les mesures prises doivent être enregistrées ainsi que toute autre personne ; modifications apportées aux paramètres de configuration, conservez-en une trace dans un endroit sûr. Vérifiez les autorisations d'accès de tous les répertoires du système et détectez si la Permslist a été modifiée.

Faites diverses tentatives (en utilisant différentes parties du réseau) pour identifier la source de l'attaque.

Afin d'utiliser des armes légales pour lutter contre les crimes, les preuves doivent être préservées, et il faut du temps pour les constituer. Pour ce faire, il faut supporter le plus gros de l’attaque (même si certaines mesures de sécurité peuvent être mises en place pour garantir que l’attaque ne nuise pas au réseau). Dans ce cas, nous devons non seulement prendre des mesures juridiques, mais également demander à au moins une entreprise de sécurité faisant autorité de nous aider à prévenir ce crime. La caractéristique la plus importante de ce type d'opération est d'obtenir des preuves d'un crime, de trouver l'adresse de l'auteur et de fournir les registres en sa possession. Les preuves recueillies doivent être efficacement préservées. Faites deux copies au début, une pour évaluer les preuves et une pour la vérification juridique.

Après avoir trouvé la vulnérabilité du système, essayez de la bloquer et effectuez un test d'auto-attaque.

La cybersécurité n'est plus seulement un enjeu technique, mais un enjeu social. Les entreprises devraient accorder davantage d’attention à la sécurité des réseaux. Si elles s’appuient aveuglément uniquement sur des outils techniques, elles deviendront de plus en plus passives. Ce n’est qu’en tirant parti des aspects sociaux et juridiques pour lutter contre la cybercriminalité qu’elles pourront être plus efficaces. Notre pays a une interprétation judiciaire claire de la lutte contre la cybercriminalité. Malheureusement, la plupart des entreprises se concentrent uniquement sur le rôle des liens techniques et ignorent les facteurs juridiques et sociaux. C'est également le but de la rédaction de cet article.

Explication des termes : Attaque par déni de service (DOS)

DOS est Denial Of Service, l'abréviation de Denial of Service. Il ne peut pas être considéré comme le système d'exploitation DOS de Microsoft ! Une attaque DOS empêche la machine cible de fournir des services ou un accès aux ressources, généralement dans le but de consommer les ressources côté serveur. En falsifiant des données de requête qui dépassent les capacités de traitement du serveur, la réponse du serveur est bloquée, de sorte que les requêtes normales des utilisateurs ne peuvent pas être traitées. répondu afin d’atteindre le but de l’attaque.

Pour plus de connaissances connexes, veuillez visiter la rubrique FAQ !

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Déclaration de ce site Web
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn

Outils d'IA chauds

Undresser.AI Undress

Undresser.AI Undress

Application basée sur l'IA pour créer des photos de nu réalistes

AI Clothes Remover

AI Clothes Remover

Outil d'IA en ligne pour supprimer les vêtements des photos.

Undress AI Tool

Undress AI Tool

Images de déshabillage gratuites

Clothoff.io

Clothoff.io

Dissolvant de vêtements AI

AI Hentai Generator

AI Hentai Generator

Générez AI Hentai gratuitement.

Article chaud

R.E.P.O. Crystals d'énergie expliqués et ce qu'ils font (cristal jaune)
3 Il y a quelques semaines By 尊渡假赌尊渡假赌尊渡假赌
R.E.P.O. Meilleurs paramètres graphiques
3 Il y a quelques semaines By 尊渡假赌尊渡假赌尊渡假赌
R.E.P.O. Comment réparer l'audio si vous n'entendez personne
3 Il y a quelques semaines By 尊渡假赌尊渡假赌尊渡假赌
WWE 2K25: Comment déverrouiller tout dans Myrise
4 Il y a quelques semaines By 尊渡假赌尊渡假赌尊渡假赌

Outils chauds

Bloc-notes++7.3.1

Bloc-notes++7.3.1

Éditeur de code facile à utiliser et gratuit

SublimeText3 version chinoise

SublimeText3 version chinoise

Version chinoise, très simple à utiliser

Envoyer Studio 13.0.1

Envoyer Studio 13.0.1

Puissant environnement de développement intégré PHP

Dreamweaver CS6

Dreamweaver CS6

Outils de développement Web visuel

SublimeText3 version Mac

SublimeText3 version Mac

Logiciel d'édition de code au niveau de Dieu (SublimeText3)

Quatre façons d'implémenter le multithreading dans le langage C Quatre façons d'implémenter le multithreading dans le langage C Apr 03, 2025 pm 03:00 PM

Le multithreading dans la langue peut considérablement améliorer l'efficacité du programme. Il existe quatre façons principales d'implémenter le multithreading dans le langage C: créer des processus indépendants: créer plusieurs processus en cours d'exécution indépendante, chaque processus a son propre espace mémoire. Pseudo-Multithreading: Créez plusieurs flux d'exécution dans un processus qui partagent le même espace mémoire et exécutent alternativement. Bibliothèque multi-thread: Utilisez des bibliothèques multi-threades telles que PTHEADS pour créer et gérer des threads, en fournissant des fonctions de fonctionnement de thread riches. Coroutine: une implémentation multi-thread légère qui divise les tâches en petites sous-tâches et les exécute tour à tour.

Comment ouvrir web.xml Comment ouvrir web.xml Apr 03, 2025 am 06:51 AM

Pour ouvrir un fichier web.xml, vous pouvez utiliser les méthodes suivantes: Utilisez un éditeur de texte (tel que le bloc-notes ou TextEdit) pour modifier les commandes à l'aide d'un environnement de développement intégré (tel qu'Eclipse ou NetBeans) (Windows: Notepad web.xml; Mac / Linux: Open -A TextEdit web.xml)

L'interprète Python peut-il être supprimé dans le système Linux? L'interprète Python peut-il être supprimé dans le système Linux? Apr 02, 2025 am 07:00 AM

En ce qui concerne le problème de la suppression de l'interpréteur Python qui est livré avec des systèmes Linux, de nombreuses distributions Linux préinstalleront l'interpréteur Python lors de l'installation, et il n'utilise pas le gestionnaire de packages ...

À quoi sert le mieux le Linux? À quoi sert le mieux le Linux? Apr 03, 2025 am 12:11 AM

Linux est mieux utilisé comme gestion de serveurs, systèmes intégrés et environnements de bureau. 1) Dans la gestion des serveurs, Linux est utilisé pour héberger des sites Web, des bases de données et des applications, assurant la stabilité et la fiabilité. 2) Dans les systèmes intégrés, Linux est largement utilisé dans les systèmes électroniques intelligents et automobiles en raison de sa flexibilité et de sa stabilité. 3) Dans l'environnement de bureau, Linux fournit des applications riches et des performances efficaces.

Comment est la compatibilité Debian Hadoop Comment est la compatibilité Debian Hadoop Apr 02, 2025 am 08:42 AM

Debianlinux est connu pour sa stabilité et sa sécurité et est largement utilisé dans les environnements de serveur, de développement et de bureau. Bien qu'il y ait actuellement un manque d'instructions officielles sur la compatibilité directe avec Debian et Hadoop, cet article vous guidera sur la façon de déployer Hadoop sur votre système Debian. Exigences du système Debian: Avant de commencer la configuration de Hadoop, assurez-vous que votre système Debian répond aux exigences de fonctionnement minimales de Hadoop, qui comprend l'installation de l'environnement d'exécution Java (JRE) nécessaire et des packages Hadoop. Étapes de déploiement de Hadoop: Télécharger et unzip Hadoop: Téléchargez la version Hadoop dont vous avez besoin sur le site officiel d'Apachehadoop et résolvez-le

Dois-je installer un client Oracle lors de la connexion à une base de données Oracle à l'aide de Go? Dois-je installer un client Oracle lors de la connexion à une base de données Oracle à l'aide de Go? Apr 02, 2025 pm 03:48 PM

Dois-je installer un client Oracle lors de la connexion à une base de données Oracle à l'aide de Go? Lorsque vous développez GO, la connexion aux bases de données Oracle est une exigence commune ...

Debian Strings est-il compatible avec plusieurs navigateurs Debian Strings est-il compatible avec plusieurs navigateurs Apr 02, 2025 am 08:30 AM

"Debianstrings" n'est pas un terme standard, et sa signification spécifique n'est pas encore claire. Cet article ne peut pas commenter directement la compatibilité de son navigateur. Cependant, si "DebianStrings" fait référence à une application Web exécutée sur un système Debian, sa compatibilité du navigateur dépend de l'architecture technique de l'application elle-même. La plupart des applications Web modernes se sont engagées à compatibilité entre les navigateurs. Cela repose sur les normes Web suivantes et l'utilisation de technologies frontales bien compatibles (telles que HTML, CSS, JavaScript) et les technologies back-end (telles que PHP, Python, Node.js, etc.). Pour s'assurer que l'application est compatible avec plusieurs navigateurs, les développeurs doivent souvent effectuer des tests croisés et utiliser la réactivité