使用 Mandrake MD5 校驗和
Igor Maximov ([email protected])
Web 開發人員,soFTPilot.2000
本文要看一下使用一種新方法提高開放式 UNIX 安全性的小外殼(shell)應用程序。本文提供了對代碼逐步的分析。作者的專業領域是 Web 編程及尖端網絡安全性開發。
破壞系統並獲得超級用戶權限的惡意用戶對所有的系統管理員都將是一場惡夢。為保護開放式 UNIX 平台,下面的小外殼應用程序將為開放式 UNIX 安全壁壘添磚加瓦。
開放式 UNIX 操作系統 FreeBSD 和 Linux Mandrake 都有完整的外殼安全系統。FreeBSD 程序的位置在 /etc/security。Linux 的 Mandrake 安全包可以在 /usr/share/msec 下找到。這些標准工具功能相近,但是,它們把對文件系統完整性的控制限於有 SUID 和 SGID 標志的文件。可 Mandrake 計算 MD5 文件校驗和的方式不同於 FreeBSD。
通常正在運行的程序對系統資源的訪問權限同該程序用戶的權限對應。設置 SGID 和 SUID 標志會更改這一點,以便根據文件所有者的權限來指定訪問權限。因此,不管程序用戶是誰,root 用戶的正運行著的可執行程序全都可以無任何限制的訪問系統資源。在這種情況下,設置 SUID 和 SGID 標志導致了文件所有者的權限和組所有者的權限分別被繼承。然後,單為運行時及單為程序對特權進行更改(通常是擴展)。由應用程序啟動的其它進程也繼承該應用程序的權限。因此,應該謹慎的設置 SUID 和 SGID 標志,而且只給那些不能啟動任意任務的程序設置。
MD5
MD5 是數字簽名應用程序的消息摘要算法,作者 Ronald L. Rivest 在 1991 年開發的。請參閱本文後面參考資料以得到算法的源代碼及更多信息。
解決方案:使用 MD5 校驗和
使用 SGID/SUID 標志跟蹤對新系統文件所做的修改是一項極其困難的任務。但是,依靠足夠的經驗和謹慎,可以修改系統服務與設置而不更改標准文件屬性(通常管理員會注意文件創建及修改的日期)。下面的程序基於對為防止修改而被偽裝的 MD5 校驗和進行的完整性測試,跟蹤對指定目錄中全部文件所做的修改。
FreeBSD 的 files-diffs 配置與源代碼
標准服務在以下目錄中:/etc *、/bin、/sbin、/modules、/usr/bin、/usr/sbin、/usr/lib *、/usr/libexec *、/usr/X11R6/bin、/usr/X11R6/lib *、/usr/local/bin、/usr/local/etc * 及 /usr/local/sbin。這樣的層次結構對標准服務的完整性進行跟蹤,但是無法跟蹤那些也會受到損害的附加服務(Perl、Web、News 等)。用 * 標記的目錄含有附加層次,且也應對它們進行跟蹤。讓 root 用戶收到關於修改過的文件的每日的電子郵件報告是個好主意。設置我們的外殼程序:
以 root 用戶身份登錄
[cd /etc/periodic/daily]
把代碼存到 files-diffs 文件
[chmod 755 files-diffs]
[chown root:wheel files-diffs]
清單 1. FreeBSD 的 files-diffs
#!/bin/bash
#
#Checking files for modification
#
#Written by Igor B. Maximov, [email protected]
#
#Dirs with sub-folders checking
DeepDirs="/boot /etc /lib /sbin /usr/bin /usr/lib /usr/libexec"
#Dirs without sub-folders checking
Dirs="/bin /usr/local/bin /usr/local/sbin /usr/sbin"
TMP=/var/run/files-diff.$$
LOG=/var/log/security
(
for j in $DeepDirs
do
cd $j
for i in `/usr/bin/find . -type f -or -type l -or -type s -or -type p -xdev`
do
echo ${j}"/ "`(/bin/ls -l $i; /usr/bin/md5sum $i)`
done
done
for j in $Dirs
do
cd $j
for i in `/usr/bin/find . -type f -or -type l -or -type s -or -type p -xdev -maxdepth 1`
do
echo ${j}"/ "`(/bin/ls -l $i; /usr/bin/md5sum $i)`
done
done
)>${TMP}
if [ ! -f ${LOG}/files-diff.today ]; then
(
echo "No ${LOG}/files-diff.today"
cp ${TMP} ${LOG}/files-diff.today
)mail -sNo_${LOG}/files-diff.today root
fi
if cmp ${LOG}/files-diff.today ${TMP} >/dev/null; then :; else
(
echo "files diffs: "
diff -b ${LOG}/files-diff.today ${TMP}
mv ${LOG}/files-diff.today ${LOG}/files-diff.yesterday
mv ${TMP} ${LOG}/files-diff.today
)mail -sfiles-diff root
fi
if [ -f ${TMP} ]; then
rm ${TMP}
fi
Linux Mandrake 的 files-diffs 配置與源代碼
標准服務的位置在以下目錄中:/boot *、/etc *、/bin、/sbin *、/usr/bin *、/usr/sbin、/usr/lib *、/usr/libexec *、/usr/local/bin、/usr/local/etc * 及 /usr/local/sbin。假定您已經安裝了 Mandrake 安全包(對 RPM: /System/Base/msec),請遵照如下這些安裝說明:
以 root 用戶身份登錄
[cd /usr/share/msec]
把代碼存在 files-diffs 文件
[chmod 755 files-diffs.sh]
[chown root:root files-diffs.sh]
打開 Security.sh 文件編輯並把下列串添加到文件的末尾:
. /usr/share/msec/files-diffs.sh
清單 2. Linux Mandrake 的 files-diffs
#!/bin/sh
#
#Checking files for modification
#
#Written by Igor B. Maximov, [email protected]
#
#Dirs with sub-folders checking
DeepDirs="/etc /usr/lib /usr/libexec /usr/X11R6/lib /usr/local/etc"
#Dirs without sub-folders checking
Dirs="/bin /sbin /modules /usr/bin /usr/sbin /usr/X11R6/bin /usr/local/bin /usr/local/sbin"
TMP=/var/run/_files-diffs.$$
LOG=/var/log
(
for j in $DeepDirs
do
cd $j
for i in `/usr/bin/find . -type f -or -type l -or -type s -or -type p -xdev`
do
echo ${j}"/ "`(/bin/ls -l $i; /sbin/md5 $i)`
done
done
for j in $Dirs
do
cd $j
for i in `/usr/bin/find . -type f -or -type l -or -type s -or -type p -xdev -maxdepth 1`
do
echo ${j}"/ "`(/bin/ls -l $i; /sbin/md5 $i)`
done
done
)>${TMP}
if [ ! -f ${LOG}/files-diffs.today ]; then
(
echo "No ${LOG}/files-diffs.today"
cp ${TMP} ${LOG}/files-diffs.today
)mail -sNo_${LOG}/files-diffs.today root
fi
if cmp ${LOG}/files-diffs.today ${TMP} >/dev/null; then :; else
(
echo "files diffs:"
diff -b ${LOG}/files-diffs.today ${TMP}
mv ${LOG}/files-diffs.today ${LOG}/files-diffs.yesterday
mv ${TMP} ${LOG}/files-diffs.today
)mail -sfiles-diffs root
fi
if [ -f ${TMP} ]; then
rm ${TMP}
fi
進一步改進
通過在標准安全系統中單獨使用該程序,您可以進一步改進系統的穩定性。如您采用這種做法,該程序的位置應該在另一目錄,而且應該用不同的路徑存儲臨時文件和源代碼。這樣,監視系統的存在對惡意用戶並不明顯,因而,不容易被避開。
參考資料
到 FreeBSD 官方站點去找新聞、軟件、文檔及支持。
請閱讀 FreeBSD Handbook 查找關於 FreeBSD 4.3 安裝與日常用法的信息。
請到官方的 Linux Mandrake 站點去找新聞以及開發者和產品支持信息。
查找更多關於 MDx 的信息。
獲取 MD5 的描述和源代碼。
閱讀手冊頁(Man page):
適用於 FreeBSD:[man md5]
適用於 Linux Mandrake:[man md5sum]
查找更多關於 IBM ViaVoice ASR SDK 的 Linux Mandrake 和其它分發包版本。
查找更多關於 IBM 的 Internet Security Services.
還可以在 developerWorks 上閱讀:
Addressing security issues in Linux
Linux 硬件穩定性指南,第 1 部分
Linux 硬件穩定性指南,第 2 部分
教程:安裝 FreeBSD
看一下 developerWorks 上的安全性參考資料。
浏覽 developerWorks 上的更多的 Linux 參考資料。
浏覽 developerWorks 上的更多的開放源代碼參考資料。
關於作者
Igor Maximov 是 softPilot.2000 項目(CONSUL Bureau, Sevastopol, Ukraine)的一名 Web 開發人員和系統管理員。他專注於網絡安全性方面及 Web 編程方面的新想法。您可以通過 [email protected] 同他聯系。