服務(wù)器防入侵加固的幾種做法

無論是對技術(shù)的喜好，還是金錢誘惑，或者是政治利益驅(qū)使，黑客們主打的入侵與攻擊技術(shù)的發(fā)展速度都明顯在加快。安全廠家好像也很努力，但總是在自己的銷售利益上走來走去，從最初的老三樣(防火墻FW、入侵檢測IDS、防病毒AV)，到現(xiàn)在的統(tǒng)一安全網(wǎng)關(guān)(UTM)、漏洞掃描、行為審計、身份認證、傳輸加密(VPN)、Web應(yīng)用防火墻(WAF)、虛擬瀏覽器…安全產(chǎn)品琳瑯滿目，卻忽視了服務(wù)器本身的加固，因為要保護的數(shù)據(jù)、服務(wù)都在這里，也是黑客們?nèi)肭值慕K級目標。

搞信息安全人員都有句口頭禪：沒有絕對的安全，僅有安全防護的基本底線。

底線是什么？對于大多數(shù)的信息安全主管來說就是：我不能不讓你攻擊，但我可以不讓你控制我。你可以讓我的服務(wù)器中斷服務(wù)，徹底癱瘓，但你不能讓我的服務(wù)器變成你的工具，成為你攻擊其他人的跳板，最低限度是我不做你的幫兇。

服務(wù)器的安全加固并不是剛出現(xiàn)的新想法，早期的入侵檢測IDS就誕生在服務(wù)器上，只是后來才發(fā)展為現(xiàn)在流行的網(wǎng)絡(luò)入侵檢測。

1、 不一樣的安全思路：

我們都知道，服務(wù)器的安全首先來自操作系統(tǒng)(OS)的安全，這是防護入侵的第一道防線，若操作系統(tǒng)的安全性非常好，就沒有后續(xù)的問題了。但是，目前流行的各種操作系統(tǒng)，臺式機的Windows、Linux，工作站的Unix、Aix，嵌入式的vxWorks，手機的安卓…每天都爆出很多的漏洞，關(guān)鍵是不公開的所謂“0Day”越來越多，國家擁有是因為網(wǎng)際戰(zhàn)爭的需要，安全公司擁有是因為競爭力的需要，黑客擁有是因為利益的需要…反正，公布的漏洞只是其中的小部分。

服務(wù)器加固就是為操作系統(tǒng)安全引入“第三方”機制，對黑客常用的入侵通道增加監(jiān)控手段，黑客一般針對操作系統(tǒng)的漏洞，繞過操作系統(tǒng)自身的安全機制，但黑客們并不知曉該服務(wù)器上的“第三方”機制，入侵就不那么容易得手了。

2、 安全加固的幾種思路：

服務(wù)器的安全加固(也稱為服務(wù)器防入侵加固)思路是在對抗黑客入侵的過程中逐步建立起來的，到目前為止，應(yīng)該說經(jīng)歷了三個發(fā)展階段：

Ø  配置加固階段

Ø  合規(guī)性加固階段

Ø  反控制加固階段

配置加固階段：

所謂配置加固就是對操作系統(tǒng)的安全配置進行安全加固升級，提升服務(wù)器的安全保護等級。常見的做法有下面幾個方面：

1)限制連續(xù)密碼錯誤的登錄次數(shù)，是對抗密碼暴力破解的重要手段；

2)拆分系統(tǒng)管理員的權(quán)限，取消超級管理員，從而限制入侵者獲取管理員賬戶時的權(quán)限；

3)刪除不需要的各種賬戶，避免被攻擊者利用；

4)關(guān)閉不需要的服務(wù)端口，一是減少攻擊者的入侵點，二是避免被入侵者當作后門利用；

5) 限制遠程登錄者的權(quán)限，尤其是系統(tǒng)管理權(quán)限；

配置加固主要是靜態(tài)安全策略的提升，入侵者入侵后可以再打開或修改這些配置。這種加固方式一般是人工的定期檢查與加固，留給入侵者的“窗口”比較大，或者入侵者完成自己的潛伏后，還可以恢復(fù)你的配置，把管理者蒙在鼓里。

主機IDS可以動態(tài)監(jiān)控上面的安全配置，發(fā)現(xiàn)異常進行報警，也可以主動檢查“用戶”的行為，發(fā)現(xiàn)異常及時報警，還可以根據(jù)自己的攻擊特征庫，發(fā)現(xiàn)惡意代碼進入立即報警…這在一定程度上為入侵者帶來了麻煩。

但是主機IDS的誤報率很高，讓管理者不勝其煩，虱子多了不癢，報警多了不理，目前用戶選擇的越來越少了。另外，很多正常的操作，也產(chǎn)生大量的入侵報警，就像我們安裝了防病毒軟件，進行其他安裝軟件時，提示多得讓人不知道該怎么做。

合規(guī)性加固階段：

做信息安全的人都熟悉一個詞匯：強制性訪問控制。也就是在用戶訪問數(shù)據(jù)時，不僅查看訪問者的身份，確認他的訪問權(quán)限，同時還要查看被訪問的數(shù)據(jù)的安全等級，是否與訪問者的安全等級相匹配，若不符合安全策略規(guī)定，同樣決絕訪問。舉一個例子：每個用戶都可以修改自己賬戶的密碼，所以他應(yīng)該可以讀寫系統(tǒng)存儲用戶口令的文件，但是系統(tǒng)中這個文件里還有其他用戶的密碼，所以你只能讀取這個文件的一個記錄而已，而不是文件的全部。此時就需要對查看密碼文件用戶的安全等級進行比對，區(qū)別對待。

目前的操作系統(tǒng)大多實現(xiàn)了自主性訪問控制(Windows的新版具有強制性訪問控制能力，但好像沒提供中國市場)，因此從符合國家等級保護要的角度，都需要對操作系統(tǒng)進行加固。

合規(guī)性加固是要為用戶提供一個賬戶與數(shù)據(jù)文件安全等級管理的平臺，以及訪問時的控制機制，廣義上的強制性訪問不僅包括文件、數(shù)據(jù)，還包括進程、內(nèi)存、網(wǎng)絡(luò)連接等。

合規(guī)性加固不只是強制性訪問控制，還有很多安全策略的貫徹，比如：三權(quán)分立�，F(xiàn)在的操作系統(tǒng)都有一個超級管理員，權(quán)限最大，這也是黑客攻擊的主要目標，從安全管理角度來講，分權(quán)是必須的：

²  系統(tǒng)管理員：負責系統(tǒng)的維護工作，如賬戶開通、數(shù)據(jù)備份、應(yīng)用安裝等；

²  系統(tǒng)安全員：負責系統(tǒng)安全操作，如權(quán)限分配，口令修復(fù)，日志管理等；

²  安全審計員：負責對系統(tǒng)管理員、安全員的行為進行審計。

三員的身份需要分開，尤其是安全員與審計員不能兼任。

合規(guī)性加固不僅是符合國家標準的要求，而且提升了操作系統(tǒng)的安全級別，對敏感數(shù)據(jù)加強了訪問控制，一些系統(tǒng)命令的執(zhí)行就相對嚴謹了。對于黑客來講，突破操作系統(tǒng)只是初步，即使獲得系統(tǒng)管理員權(quán)限，也還不是不能完全占領(lǐng)你的服務(wù)器。

反控制加固階段：

反控制(anti-control)是明確對服務(wù)器的管理權(quán)提出了要求，也就是安全底線的保障。

反控制有幾方面的含義：

1)掌握控制權(quán)：對服務(wù)器的控制就是可以隨意支配服務(wù)的資源滿足自己的需求，如安裝掃描器，掃描本網(wǎng)絡(luò)內(nèi)其他計算機的漏洞；如安裝攻擊工具，直接攻擊其他目標。對服務(wù)器的控制一般有幾個重要的環(huán)節(jié)：

a)管理員賬戶登錄：可以直接部署各種服務(wù)；

b)遠程桌面進程：遠程直接操縱管理服務(wù)器；

c)上傳工具軟件：沒有這些工具，黑客就如同沒有爪牙的老虎，能在服務(wù)器上安裝各種工具軟件是把服務(wù)器變成攻擊工具的必經(jīng)階段。

2)發(fā)現(xiàn)隱藏者：黑客要控制服務(wù)器，就必須設(shè)法隱藏自己，一旦被發(fā)現(xiàn)，管理者就可以立即清除它，黑客的所有努力就付之東流。隱藏自己技術(shù)很多，常見的有：

a)進程注入：隱藏在系統(tǒng)進程內(nèi)，用戶很難識別；

b)不啟動：服務(wù)器內(nèi)文件多達幾十萬，隱藏起來很容易，它不啟動，你就不容易抓住它。當然，通過定時或遠程召喚等方式，在需要的時候啟動就可以完成入侵者的意圖；

c) Rootkit：就是替換系統(tǒng)驅(qū)動，當然是隱藏了激活自己的代碼，或監(jiān)控代碼。

3)切斷回家者：入侵不同于病毒，入侵者為了控制你的服務(wù)器，就需要與他的“老板”聯(lián)系，接收命令，回送信息，控制住它的“回家連接”，切斷入侵者的控制通道，就可以讓隱藏者成為無人控制的“傻子”。回家有很多種技術(shù)，常見的有：

a)在你上網(wǎng)時，偷偷訪問它的“老家”網(wǎng)站；

b)偽裝為各種軟件(如防病毒等)的升級連接，當然先檢測是否安裝了該軟件；

c)發(fā)送郵件；

d)移動介質(zhì)擺渡；

e)后門服務(wù)；

4)監(jiān)控操作者：無論入侵者如何狡猾，總要運行它的“惡意代碼”，否則就一事無成。因此監(jiān)控系統(tǒng)內(nèi)的各種關(guān)鍵進程與重要操作，是確保自己控制權(quán)的關(guān)鍵。如下面重要的操作：

a)賬戶操作；

b)安裝軟件與打補��；

c)打開控制臺進程，如桌面窗口、shell、webshell等；

d)開通或停止服務(wù)；

3、小結(jié)

建立一個清潔的網(wǎng)絡(luò)環(huán)境，讓黑客無處容身。我們一直渴求能有一個“安全”的操作系統(tǒng)，但現(xiàn)實中總是離我們那么遙遠。

網(wǎng)絡(luò)是信息社會的神經(jīng)傳到系統(tǒng)，已經(jīng)是我們生活與工作所不能離開的了，我們總不能因噎廢食，因為安全而放棄互通；在沒有安全操作系統(tǒng)保護的情況下，服務(wù)器的安全加固是一個很不錯的選擇。