UNIX/LINUX系统上安全陷阱的危害及其预防
在数据中心, UNIX/LINUX系统上的安全陷阱是非常危险且很容易被不良人员所设置的一种安全隐患。例如,如果您有一台UNIX机器运行非常关键的金融数据库,您会有一组数据库管理员来保证该数据库的正常运行。而该数据库是用一个叫dba的帐号来维护的。
如果其中的一位数据库管理员张某对公司产生了不满,为了报复,他写了一个基于dba帐号的.profile的脚本程序,其中,他在原.profile文件内容之后加入了一些SQL命令,再将原.profile文件搬回。
一天,当张某当班时,有一项数据库维护的任务由他完成。他登录进dba帐号,对数据库做了维护。但在他退出系统之前,他把.profile文件改名成.profile_save,再把他的脚本程序命名成.profile。
几小时或几天之后,另一位数据库管理员王某接到了任务,需对数据库进行维护。他登录进dba帐号,对数据库进行了维护。王某甚至都没意识到,在他登录进dba帐号时,数据库中已发生了不该发生的事: 一大笔钱被从一个帐号转到了另一个帐号。
当公司的客户发觉其存放在您公司的一大笔钱已不翼而飞,并要求您公司调查时,这笔钱已然不见了。检查数据库的记录,证据却指向数据库管理员王某。而王某也拿不出证据证明他自己的清白。
现在,您应该已了解了为什么UNIX/LINUX上的安全陷阱是非常危险的。
显然,这已不是是否有必要防范这类安全隐患,而是怎样来防范的问题。
由于这类安全隐患是经由修改文件来实现的,所以很自然的,我们都会想到用文件完整性检测软件来助我们检测到这类威胁。确实,如果您所用的文件完整性检测软件覆盖了不良人员设置安全陷阱所要修改的文件,而其检测报告又足够可信,当张某设置了安全陷阱之后,您用该软件进行扫描,它应能发现对dba的.profile文件的修改。但请您注意, 这样的做法有几个问题:
1.
若您登录进系统,运行软件进行扫描,那当您登录系统时,也可能触发安全陷阱。
2.
从安全陷阱被设置,到系统被扫描,安全陷阱可能已被触发。
3.
从检测到dba的.profile文件被改,到王某接到通知, 安全陷阱可能已被触发。
4.
即使检测到dba的.profile文件被改,也无法知晓这是否产生了安全陷阱。
本公司的解决方案借助了WZSysGuard--一种能给您十分可信检测报告的UNIX/LINUX入侵检测及文件完整性检测软件/CaclMgr--一种能让您对各种作业的执行权力进行安全授权的软件/Apache—现时最流行的开源网络服务器软件/PHP--非常流行的服务器端脚本语言。
使用我们的解决方案,您公司的系统/应用/数据库管理员在登录系统之前,应该经由Web浏览器,对系统的可能安全陷阱进行扫描。若发现有关的文件变化,则通知信息/数据安全部门,由他们再经由Web浏览器,检查所改文件是否文本文件,若是,则查看文件内容,以确定是否安全陷阱。
由此,您应能了解,本公司的解决方案能有效的极大减低您公司受到安全陷阱攻击而遭受重大损失的可能性。