作者:kevin2502896577 | 来源:互联网 | 2017-11-06 16:03
所有的操作系统都有漏洞,没有一个系统是绝对安全的,任何接入互联网的系统都会受到探测并可能遭到入侵,linux操作系统尽管被公认为是比较安全,运行稳定快速的操作系统,但是Linux自身同样存在不少隐蔽的弱点。如今互联网变得如此流行,每个人都在使用Linux
原创:李晨光
所有的操作系统都有漏洞,没有一个系统是绝对安全的,任何接入互联网的系统都会受到探测并可能遭到入侵,linux操作系统尽管被公认为是比较安全,运行稳定快速的操作系统,但是Linux自身同样存在不少隐蔽的弱点。如今互联网变得如此流行,每个人都在使用Linux,这是因为Linux自身强大而且价格便宜,也正是因为Linux非常便宜,许多人安装 Linux之后会忽视它的安全问题,由于粗心大意或是能力有限而没能很好地保护好它们。
根据网络安全专家的分析,linux存在的主要弱点包括示例脚本,无关软件,开放端口,未打补丁和弱口令等问题。然而最令人担心的则是linux下超级用户的权限过大的问题。有人形象的比喻,Linux下的超级用户就是上帝,他可以让你生,也可以让你死,黑客们常用的linux入侵技术就是搞高权限,如果一名黑客能通过一些手段在linux中将一个普通用户的权限提升为root用户权限,毫无疑问他就能控制整个linux系统。
这里我们谈谈虚拟执行环境技术(Virtual eXecuting Environment,简称VXE)。简单来说,VXE是一个入侵保护系统(IPS).入侵保护系统被看作是入侵检测系统的一个重要发展方向,它解决了入侵检测系统不会主动在攻击发生前阻断攻击的重要问题。入侵保护不仅可以进行检测 。还能在攻击造成损失之前阻断它们,从而将入侵检测系统提升一个新的水平。
一,VXE的工作原理
VXE提供对Linux/Uinux系统的保护,阻止黑客通过网络入侵,它主要通过保护主机及Linux下的子系统和服务来保证系统安全。例如,Linux下一般都会提供SSH,SMTP,POP和HTTP等服务,这些服务虽然经过很长时间的发展和使用,但是仍然会存在一些隐蔽的BUG。VXE在LINUX系统中的任务很简单,就是保护主机和应用程序的安全,对用户调用shell的行为作出必要的限制,对提供CGI(公共网关接口)的服务器进行脚本保护。因此可以看到,VXE的最大特点是无需改变这些子系统及程序的设置,而仅仅只是去保护它们。
在linux操作系统中,当以root用户来运行一个程序的时候,如果必要的话,这个程序可以调用和访问系统中所有的资源。尽管这样看起来很方便,对程序的运行也相当有好处,但是这种情形也给系统安全埋下了安全隐患,一旦黑客通过缓冲区溢出攻击或其它攻击方式控制应程序,破坏的范围就非常广泛了,这无疑是我们不想看到的结果。
通常情况下,在Linux/Unix系统上管理员有许多的事情要做,因而没有时间和精力正确地配置软件。这时为了保证系统能在尽可能短的时间内运行,管理员不得不在root权限下安装并配置程序或进程。这是保证这些进程能对所需要资源进行访问的一个快捷、简便的方法,也是使系统变得脆弱并成为攻击者目标的一个陕捷简便”的方法。特别是对于缓冲区溢出攻击,正确地配置所有软件,使其在尽可能少的权限下是非常关键的。这样,即使攻击者可以攻击系统,击溃某一个程序,但是由于攻击者权限受到限制,而不会造成更大的危险。
众所周知,有些应用程序在编程的过程中,不可能在短期内发现程序的缺陷,需要不断地改进才能达到软件的完整性。在此期间,该程序将会留下许多潜在的问题。VXE技术针对程序可能遭到的缓冲区溢出攻击提供必要的保护。
从以上示意图中不难发现,VXE技术的根本目的就是尽量缩小存在缺陷的程序或服务对整个系统带来的威胁,将风险控制在一定范围内,从而实现操作系统入侵保护。
三、VXE安装使用
VXE最新版本支持2.2.x以上的Linux内核版本。在安装VXE之前,Linux操作系统必须首先安装如下程序:
(1) Linux Kernel开发包;
(2) Perl语言环境,Perl的默认目录路径为/usr/bin/perl,如果Perl没有安装在默认目录路径,必须做相关链接;
(3)TClx,TClx默认目录路径为/usr/bin/tcl,如果TclX没有安装在默认目录路径,必须做相关链接;
(4)正常运行的HTTP服务。
手动建立一个临时目录,将VXE压缩包解压缩到该临时目录中。在正式安装VXE之前,还需要了解以下系统信息:
◆ Linux Kernel Source,通常在/usr/src/linux 目录下;
◆ CGI目录路径,推荐将VXE在CGI目录中运行,例如/home/httpd/cgi-bin/Vxe;
◆ VXE二进制代码及VXE安装路径,推荐安装在/usr/local/vxe;
◆ Kernel Log日志文件路径,推荐安装在/var/log/kernel;
◆ VXE CGI脚本地址,推荐安装在/cgi-bin/vxe。
以上目录需要用户手动创建,VXE安装脚本本身不会自动创建以上目录。如果Linux系统中没有Kernel Log文件,则必须修改syslogd配置文件。在/etc/syslog.conf文件中加入如下一行参数:
kern.* /var/log/kernel