Les méthodes d'attaque pour les processus locaux dans les systèmes Linux incluent : 1. Attaque par déni de service (DOS) ; 2. Les utilisateurs locaux obtiennent des autorisations de lecture et d'écriture pour les fichiers non autorisés ; 3. Les utilisateurs distants obtiennent des autorisations de lecture et d'écriture pour les fichiers privilégiés ; . Utilisateurs distants Obtenez un accès root.
L'environnement d'exploitation de ce tutoriel : système Windows 10, ordinateur Dell G3.
Quels sont les moyens d'attaquer le processus local du système Linux ?
système Linux Avec l'expansion des applications d'entreprise Linux, un grand nombre de serveurs réseau utilisent le système d'exploitation Linux. Les performances de sécurité des serveurs Linux font l'objet de plus en plus d'attention. Nous listons ici les serveurs Linux par niveaux en fonction de la profondeur des attaques et proposons différentes solutions.
La définition d'une attaque de serveur Linux est la suivante : Une attaque est un comportement non autorisé conçu pour entraver, endommager, affaiblir ou détruire la sécurité d'un serveur Linux. Les attaques peuvent aller du déni de service à la compromission complète et à la destruction d'un serveur Linux. Il existe de nombreux types d'attaques sur les serveurs Linux. Cet article explique que du point de vue de la profondeur des attaques, nous divisons les attaques en quatre niveaux.
Attaque de niveau 1, attaque par déni de service (DOS)
En raison de la prolifération des outils d'attaque DOS et du fait que les failles de la couche protocolaire ciblée ne peuvent pas être modifiées en peu de temps, DOS est devenu le plus répandu et la méthode d'attaque la plus difficile à prévenir.
Les attaques par déni de service incluent les attaques par déni de service distribué, les attaques par déni de service distribué réfléchissant, les attaques par déni de service distribué DNS, les attaques FTP, etc. La plupart des attaques par déni de service génèrent des dangers de niveau relativement faible, et même celles susceptibles de provoquer un redémarrage du système ne constituent que des problèmes temporaires. Ce type d'attaque est très différent de celles visant à prendre le contrôle du réseau. Généralement, il n'affectera pas la sécurité des données, mais les attaques par déni de service dureront longtemps et sont très difficiles à gérer.
Jusqu’à présent, il n’existe aucun moyen absolu d’arrêter ce type d’attaque. Mais cela ne signifie pas que nous devons simplement rester les bras croisés et en profiter. En plus de souligner l'importance de renforcer la protection des hôtes personnels contre toute exploitation, le renforcement de la gestion des serveurs est un élément très important. Assurez-vous d'installer un logiciel de vérification et des fonctions de filtrage pour vérifier la véritable adresse de l'adresse source du message. De plus, les mesures suivantes peuvent être prises pour plusieurs types de déni de service : fermer les services inutiles, limiter le nombre de semi-connexions Syn ouvertes en même temps, raccourcir le délai d'expiration des semi-connexions Syn et mettre à jour les correctifs système de manière rapide. en temps opportun.
Niveau d'attaque 2 : un utilisateur local a obtenu des autorisations de lecture et d'écriture non autorisées sur des fichiers
Un utilisateur local fait référence à un utilisateur qui dispose d'un mot de passe sur n'importe quelle machine du réseau local et dispose donc d'un répertoire sur un certain lecteur. La question de savoir si les utilisateurs locaux obtiennent des autorisations de lecture et d'écriture sur des fichiers sur lesquels ils ne sont pas autorisés pose un risque dépend en grande partie de la criticité des fichiers auxquels ils accèdent. Il est dangereux pour tout utilisateur local d'accéder librement au répertoire de fichiers temporaires (/tmp), ce qui peut potentiellement ouvrir la voie au niveau d'attaque suivant.
La principale méthode d'attaque au niveau deux est la suivante : les pirates informatiques incitent les utilisateurs légitimes à leur communiquer des informations confidentielles ou à effectuer des tâches. Parfois, les pirates se font passer pour des gestionnaires de réseau et envoient des e-mails aux utilisateurs, leur demandant de leur donner des mots de passe pour les mises à niveau du système.
Les attaques lancées par des utilisateurs locaux commencent presque toujours par une connexion à distance. Pour les serveurs Linux, la meilleure approche consiste à placer tous les comptes shell sur une machine distincte, c'est-à-dire à n'accepter que les inscriptions sur un ou plusieurs serveurs auxquels un accès shell est attribué. Cela peut faciliter la gestion des journaux, du contrôle d’accès, des protocoles de publication et d’autres problèmes de sécurité potentiels. Le système qui stocke les CGI des utilisateurs doit également être distingué. Ces machines doivent être isolées dans des segments de réseau spécifiques, c'est-à-dire qu'elles doivent être entourées de routeurs ou de commutateurs réseau, selon la configuration du réseau. La topologie doit garantir que l'usurpation d'adresse matérielle ne peut pas s'étendre au-delà de cette zone.
Niveau d'attaque 3 : l'utilisateur distant obtient des autorisations de lecture et d'écriture sur des fichiers privilégiés
Le troisième niveau d'attaque peut non seulement vérifier si des fichiers spécifiques existent, mais également lire et écrire ces fichiers. La raison de cette situation est qu'il existe certaines faiblesses dans la configuration du serveur Linux : les utilisateurs distants peuvent exécuter un nombre limité de commandes sur le serveur sans compte valide.
La méthode d'attaque par mot de passe est la méthode d'attaque principale du troisième niveau, et les mots de passe dommageables sont la méthode d'attaque la plus courante. Le craquage de mot de passe est un terme utilisé pour décrire la pénétration d'un réseau, d'un système ou d'une ressource avec ou sans l'utilisation d'outils permettant de déverrouiller des ressources protégées par mot de passe. Les utilisateurs négligent souvent leurs mots de passe et les politiques relatives aux mots de passe sont difficiles à appliquer. Les pirates disposent de nombreux outils pour vaincre les mots de passe protégés par la technologie et la société. Incluent principalement : l'attaque par dictionnaire (attaque par dictionnaire), l'attaque hybride (attaque hybride), l'attaque par force brute (attaque par force brute). Une fois qu'un pirate informatique possède le mot de passe d'un utilisateur, il dispose de nombreux privilèges de l'utilisateur. La deviner un mot de passe fait référence à la saisie manuelle d'un mot de passe commun ou à l'obtention du mot de passe via la copie originale d'un programme programmé. Certains utilisateurs choisissent des mots de passe simples, tels que les anniversaires, les anniversaires et les noms des conjoints, mais ne suivent pas la règle consistant à utiliser un mélange de lettres et de chiffres. Il ne faut pas longtemps à un pirate informatique pour deviner un numéro d'anniversaire à huit caractères.
La meilleure défense contre les attaques de niveau 3 est de contrôler strictement les privilèges d'accès, c'est-à-dire d'utiliser des mots de passe valides.
Comprend principalement les règles selon lesquelles les mots de passe doivent suivre l'utilisation mixte de lettres, de chiffres et de majuscules et minuscules (car Linux fait la distinction entre les majuscules et les minuscules).
L'utilisation de caractères spéciaux comme "#" ou "%" ou "$" ajoute également de la complexité. Par exemple, prenez le mot "countbak", ajoutez "#$" (countbak#$) après, et vous obtenez un mot de passe assez efficace.
Niveau d'attaque quatre, l'utilisateur distant obtient les privilèges root
Le quatrième niveau d'attaque signifie que des choses qui ne devraient jamais arriver se produisent, c'est une attaque fatale. Indique que l'attaquant dispose des autorisations root, superutilisateur ou administrateur sur le serveur Linux et peut lire, écrire et exécuter tous les fichiers. En d’autres termes, l’attaquant a un contrôle total sur le serveur Linux et peut arrêter complètement, voire détruire le réseau à tout moment.
Les principales formes d'attaque de niveau quatre sont le vol continu TCP/IP, l'écoute passive des canaux et l'interception de paquets. Le vol en série TCP/IP, l'écoute passive des canaux et l'interception de paquets sont des méthodes permettant de collecter des informations importantes pour entrer dans le réseau. Contrairement aux attaques par déni de service, ces méthodes ont des propriétés plus proches du vol et sont plus secrètes et difficiles à détecter.
Une attaque TCP/IP réussie permet à un pirate informatique de bloquer les transactions entre deux groupes, offrant ainsi une bonne opportunité pour une attaque de l'homme du milieu, où le pirate informatique peut ensuite prendre le contrôle des transactions de l'une ou des deux parties sans la victime. remarquer. Grâce à l'écoute passive, les pirates informatiques manipuleront et enregistreront des informations, livreront des fichiers et trouveront des points critiques praticables sur tous les canaux praticables du système cible. Les pirates rechercheront le point de connexion entre la connexion et le mot de passe pour identifier le canal légitime. L'interception de paquets consiste à contraindre un programme d'écoute actif sur un système cible à intercepter et à rediriger la totalité ou des messages spécifiques. Les informations peuvent être redirigées vers des systèmes illégaux pour être lues, puis renvoyées sans modification aux pirates.
Le vol continu TCP/IP est en fait un reniflage de réseau. Notez que si vous êtes sûr que quelqu'un a connecté un renifleur à votre réseau, vous pouvez trouver des outils de vérification. Cet outil est appelé réflectomètre temporel (TDR). Le TDR mesure la propagation et les modifications des ondes électromagnétiques. La connexion d'un TDR au réseau peut détecter les appareils non autorisés qui accèdent aux données du réseau. Cependant, de nombreuses petites et moyennes entreprises ne disposent pas d’outils aussi coûteux.
La meilleure façon de prévenir les attaques par renifleur est :
1. Le renifleur ne peut capturer des données que sur le segment de réseau actuel. Cela signifie que plus vous segmentez votre réseau de manière granulaire, moins un renifleur peut collecter d’informations.
2. Cryptage de session. Ne vous inquiétez pas spécifiquement des données reniflées, mais trouvez un moyen pour que le renifleur ne reconnaisse pas les données reniflées. L’avantage de cette approche est évident : même si l’attaquant renifle les données, celles-ci ne lui sont d’aucune utilité.
Rappel spécial : Contre-mesures pour faire face aux attaques
Vous devez porter une attention particulière aux attaques dépassant le deuxième niveau. Parce qu'ils peuvent augmenter continuellement le niveau d'attaque pour pénétrer les serveurs Linux. À l'heure actuelle, les contre-mesures que nous pouvons prendre sont les suivantes :
Tout d'abord, sauvegardez les données clés importantes de l'entreprise.
Modifiez tous les mots de passe du système et informez les utilisateurs de trouver l'administrateur système pour obtenir de nouveaux mots de passe.
Isolez le segment de réseau afin que le comportement d'attaque ne se produise que dans une petite plage.
Autorisez le comportement à continuer. Si possible, ne précipitez pas l’attaquant hors du système et préparez-vous à l’étape suivante.
Enregistrez toutes les actions et collectez des preuves. Ces preuves incluent : les fichiers de connexion au système, les fichiers de connexion à l'application, les fichiers de connexion AAA (Authentification, Authorization, Accounting, Authentication, Authorization, Accounting), la connexion RADIUS (Remote Authentication Dial-In User Service), les journaux d'éléments de réseau (journaux d'éléments de réseau), connexion au pare-feu, événements HIDS (Host-base IDS, système de détection d'intrusion basé sur l'hôte), événements NIDS (système de détection d'intrusion réseau), lecteurs de disque, fichiers cachés, etc.
Soyez prudent lors de la collecte de preuves : prenez des photos avant de déplacer ou de démonter tout équipement ; suivez la règle de deux personnes lors des enquêtes et demandez à au moins deux personnes de recueillir des informations pour éviter toute falsification des informations. Toutes les mesures prises doivent être enregistrées ainsi que toute autre personne ; modifications apportées aux paramètres de configuration, conservez-en une trace dans un endroit sûr. Vérifiez les autorisations d'accès de tous les répertoires du système et détectez si la Permslist a été modifiée.
Faites diverses tentatives (en utilisant différentes parties du réseau) pour identifier la source de l'attaque.
Afin d'utiliser des armes légales pour lutter contre les crimes, les preuves doivent être préservées, et il faut du temps pour les constituer. Pour ce faire, il faut supporter le plus gros de l’attaque (même si certaines mesures de sécurité peuvent être mises en place pour garantir que l’attaque ne nuise pas au réseau). Dans ce cas, nous devons non seulement prendre des mesures juridiques, mais également demander à au moins une entreprise de sécurité faisant autorité de nous aider à prévenir ce crime. La caractéristique la plus importante de ce type d'opération est d'obtenir des preuves d'un crime, de trouver l'adresse de l'auteur et de fournir les registres en sa possession. Les preuves recueillies doivent être efficacement préservées. Faites deux copies au début, une pour évaluer les preuves et une pour la vérification juridique.
Après avoir trouvé la vulnérabilité du système, essayez de la bloquer et effectuez un test d'auto-attaque.
La cybersécurité n'est plus seulement un enjeu technique, mais un enjeu social. Les entreprises devraient accorder davantage d’attention à la sécurité des réseaux. Si elles s’appuient aveuglément uniquement sur des outils techniques, elles deviendront de plus en plus passives. Ce n’est qu’en tirant parti des aspects sociaux et juridiques pour lutter contre la cybercriminalité qu’elles pourront être plus efficaces. Notre pays a une interprétation judiciaire claire de la lutte contre la cybercriminalité. Malheureusement, la plupart des entreprises se concentrent uniquement sur le rôle des liens techniques et ignorent les facteurs juridiques et sociaux. C'est également le but de la rédaction de cet article.
Explication des termes : Attaque par déni de service (DOS)
DOS est Denial Of Service, l'abréviation de Denial of Service. Il ne peut pas être considéré comme le système d'exploitation DOS de Microsoft ! Une attaque DOS empêche la machine cible de fournir des services ou un accès aux ressources, généralement dans le but de consommer les ressources côté serveur. En falsifiant des données de requête qui dépassent les capacités de traitement du serveur, la réponse du serveur est bloquée, de sorte que les requêtes normales des utilisateurs ne peuvent pas être traitées. répondu afin d’atteindre le but de l’attaque.
Pour plus de connaissances connexes, veuillez visiter la rubrique FAQ !
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!