1、概述

目前，國內(nèi)重要政府部門(如財稅、公安、電信、移動、電力等)、大型公司和著名門戶網(wǎng)站，都使用UNIX系列服務(wù)器來運行其關(guān)鍵業(yè)務(wù)如電子商務(wù)、數(shù)據(jù)庫等。這些部門或者公司往往有數(shù)百臺Linux/Unix系統(tǒng)服務(wù)器，由多名系統(tǒng)管理員負責(zé)管理，并通過規(guī)章制度，對系統(tǒng)管理員的行為進行規(guī)范。但是，由于缺乏相應(yīng)的先進工具和手段，這些部門或者企業(yè)無法保證系統(tǒng)管理員嚴(yán)格按照規(guī)范來進行管理，無法保證系統(tǒng)管理員的真實管理行為和規(guī)章制度要求一致，和系統(tǒng)管理員的管理報告一致，以至于企業(yè)網(wǎng)絡(luò)及服務(wù)器常處于不可信、不可控、不可視狀態(tài)。另外，由于服務(wù)器眾多，系統(tǒng)管理員壓力太大等因素，人為誤操作的可能性時有發(fā)生，這會對部門或者企業(yè)聲譽造成重大影響，并嚴(yán)重影響其經(jīng)濟運行效能。黑客也有可能通過手段，獲取系統(tǒng)權(quán)限，闖入部門或企業(yè)內(nèi)部網(wǎng)絡(luò)，這樣造成的損失，更不可估量。因此，如何提高系統(tǒng)管理員的管理水平，如何防止黑客的入侵，如何跟蹤服務(wù)器上用戶行為，將系統(tǒng)宕機時間、故障時間等減到最小，已經(jīng)成為這些部門或者企業(yè)至關(guān)重要的問題。

2、現(xiàn)存問題與服務(wù)器管理現(xiàn)狀

2.1 UNIX服務(wù)器系統(tǒng)安全存在的問題

2.1.1 企業(yè)UNIX安全風(fēng)險分析

1、嚴(yán)重的攻擊來自系統(tǒng)內(nèi)部(53%來自內(nèi)部攻擊)

2、 UNIX運行最為關(guān)鍵的業(yè)務(wù)系統(tǒng)攻擊趨向于獲取商業(yè)利益

3、 交換網(wǎng)絡(luò)環(huán)境難于實施網(wǎng)絡(luò)入侵檢測

4、 基于主機的IDS/IPS 開始成熟，可以減輕網(wǎng)絡(luò)傳輸攻擊級別安全威脅，但不是全部

5、 用戶操作難于審計

6、 操作/管理/維護不善，造成的安全威脅和損失日趨嚴(yán)重

2.1.2 UNIX/LINUX安全風(fēng)險-口令安全風(fēng)險分析

1、R-Services -- Trust Relationships

(很多R服務(wù)漏洞被利用，都是因為口令問題引起。入侵者使用脆弱的帳戶口令，利 用系統(tǒng)文件和目錄的訪問控制漏洞，設(shè)置信任主機，獲取關(guān)鍵信息、破壞應(yīng)用系統(tǒng)!)

2、General Unix Authentication

(用戶口令簡單、無口令或口令被泄漏，入侵者使用普通用戶或root權(quán)限對系統(tǒng)進行破壞，種植木馬、獲取信息并涂改日志，消滅犯罪證據(jù)。)

3、社會工程

(黑客、惡意破壞者可以通過社會工程渠道，獲取口令)

2.1.3 UNIX/LINUX企業(yè)應(yīng)用問題

1、網(wǎng)絡(luò)管理人選需要監(jiān)控第三方程序操作和命令(用戶登錄系統(tǒng)，執(zhí)行mysql,oracle,ssh 等命令，容易產(chǎn)生數(shù)據(jù)破壞或者網(wǎng)絡(luò)攻擊，所有的這些操作需要被跟蹤和限制)

2、大型集中應(yīng)用環(huán)境不易統(tǒng)一監(jiān)控、管理和快速響應(yīng)(對于大型應(yīng)用環(huán)境，網(wǎng)絡(luò)管理員要管理和配置大量UNIX/LINUX服務(wù)器，大量事故響應(yīng)，網(wǎng)絡(luò)管理人員不堪重負)

3、無法提供對網(wǎng)絡(luò)通信設(shè)備的操作，修改等行為審計(網(wǎng)絡(luò)通信設(shè)備常常在UNIX/LINUX系統(tǒng)上通過ssh遠程登錄進行管理，對網(wǎng)絡(luò)通信設(shè)備的操作無法審計，埋下安全隱患)

4、網(wǎng)絡(luò)管理人員需要統(tǒng)一的手段，對服務(wù)器組進行安全保護(網(wǎng)絡(luò)管理人員常用防火墻，IDS等設(shè)備，針對網(wǎng)段進行隔離和操作限制，因此，網(wǎng)絡(luò)管理人員需要不同手段，對外網(wǎng)/內(nèi)網(wǎng)用戶應(yīng)用不同安全保護策略，應(yīng)用和實施麻煩，容易疏忽造成隱患)

5、服務(wù)器及其集群的運行狀態(tài)監(jiān)控已及性能調(diào)控(現(xiàn)有服務(wù)器監(jiān)控軟件基本上都是單機、單服務(wù)器方式運行，需要高素質(zhì)管理人才進行管理。將服務(wù)器狀態(tài)信息集中化，發(fā)現(xiàn)企業(yè)服務(wù)器運行狀態(tài)及瓶頸，成為UNIX應(yīng)用的比較急切和關(guān)心的問題)

2.2 集中式網(wǎng)絡(luò)管理

集中式網(wǎng)絡(luò)管理是目前比較流行的網(wǎng)絡(luò)管理方式，系統(tǒng)管理員用普通用戶賬號(如：admin)登錄管理作業(yè)服務(wù)器，然后轉(zhuǎn)換身份(su)為ROOT，再對相關(guān)服務(wù)器進行維護。該管理方式網(wǎng)絡(luò)邏輯圖如下：

集中式網(wǎng)絡(luò)管理簡單高效，配合網(wǎng)絡(luò)邊界安全設(shè)備，能比較好的保證服務(wù)器的運行安全，保證業(yè)務(wù)正常進行。集中式管理屬于多用戶單賬號管理方式，多個用戶共享ROOT帳號和權(quán)限，存在如下明顯缺點：

1、多個管理員共享ROOT用戶權(quán)限，無法區(qū)別命令的操作者、執(zhí)行者。

2、無法跟蹤某個管理員的確切操作。如果用戶執(zhí)行誤操作或攻擊者在服務(wù)器上輸入命令造成系統(tǒng)癱瘓，即便有日志可查詢也只能看到是ROOT相關(guān)操作，并不能找到罪魁禍?zhǔn)?，也不能很好的?guī)范系統(tǒng)管理員的行為。

3、啟用第三方遠程日志服務(wù)器可以解決日志安全問題，但達不到審計管理員行為效果。

4、 由于程序開發(fā)人員、系統(tǒng)維護人員、數(shù)據(jù)庫管理人員等多種角色都使用admin賬戶、ROOT賬戶，造成權(quán)限劃分不明，所有人員都具有最高的ROOT權(quán)限，無形中增大誤操作帶來的危害。

5、 由于所有角色都具有ROOT密碼，也不利于賬號密碼的安全管理。

2.3 嚴(yán)格分權(quán)管理

嚴(yán)格分權(quán)管理在軟件生產(chǎn)企業(yè)比較多見，用戶只能夠擁有自己的賬號和權(quán)限，只能在自己權(quán)限下進行服務(wù)器操作。

嚴(yán)格分權(quán)管理源自UNIX系統(tǒng)自身的權(quán)限管理方式，如：用useradd，passwd等進行用戶賬號和權(quán)限設(shè)置。賬號和權(quán)限由管理員分配，由用戶自己進行密碼管理。嚴(yán)格分權(quán)管理比較安全，是公認比較安全的管理方式。但是，該方式可能影響生產(chǎn)正常進行，存在如下需要改進的地方：

1、嚴(yán)格分權(quán)管理屬于多用戶多賬號管理方式，用戶在自己權(quán)限下生產(chǎn)和工作，但是，由于生產(chǎn)的特殊性，常常需要用戶具有ROOT賬戶權(quán)限。這就造成生產(chǎn)和管理的矛盾，臨時ROOT權(quán)限分發(fā)可以解決ROOT權(quán)限生產(chǎn)問題，但是，這極大增大管理的復(fù)雜性和不安全性，稍有舒服，就可能造成管理的混亂。不分發(fā)ROOT權(quán)限，可能導(dǎo)致生產(chǎn)不能正常進行，至少影響生產(chǎn)效率。

2、 現(xiàn)有操作系統(tǒng)存在許多安全隱患，暴力破解、溢出攻擊、社會工程等攻擊方式，都可能使普通用戶或者黑客獲取ROOT賬戶權(quán)限，進而執(zhí)行普通用戶權(quán)限外的操作，產(chǎn)生破壞。

3、 嚴(yán)格分權(quán)管理管理負擔(dān)比較重，管理員要對權(quán)限的分配和服務(wù)器上行為負責(zé)，同時，用戶在服務(wù)器上行為對管理員來說不可視，不可審計，出現(xiàn)問題，沒人負責(zé)。

#p#2.4 網(wǎng)絡(luò)管理員碰到的問題

網(wǎng)絡(luò)管理員由于工作的特殊性和管理內(nèi)容及對象的復(fù)雜性，對企業(yè)、部門重要服務(wù)器上的活動和正在發(fā)生的行為，需要保持可控、可視、可跟蹤、可鑒定狀態(tài)，才能保障系統(tǒng)的正常運行，提供穩(wěn)定可靠的服務(wù)。管理員需要對如下問題保持足夠警惕：

1、 誰在服務(wù)器上做過操作?

2、 怎樣將服務(wù)器上的命令操作行為變?yōu)橥该骺梢暎M而簡單明了的管理和控制服務(wù)器?

3、 系統(tǒng)管理員在服務(wù)器上做過什么操作?做過多少操作?

4、 怎么限制用戶對命令的執(zhí)行?

5、 怎么知道災(zāi)難/事故發(fā)生的時間?怎么調(diào)查取證?

6、 怎么規(guī)范管理員的行為?

7、 怎么控制和審計用戶對交換機、路由器、防火墻等網(wǎng)絡(luò)設(shè)備的操作?

8、 怎么控制和審計用戶對數(shù)據(jù)庫的操作?

9、 密碼\權(quán)限如何管理?

10、 嚴(yán)格分權(quán)將導(dǎo)致許多命令和操作不能進行，需要權(quán)限切換，公開admin/root密碼給相關(guān)用戶?

11、 怎么進行責(zé)任鑒定?多臺服務(wù)器上跳轉(zhuǎn)執(zhí)行的命令如何跟蹤?

12、 沒有admin/root權(quán)限的用戶如何安全的開展需要admin/root權(quán)限的工作?分發(fā)root權(quán)限?

13、 誰該對危險操作造成的事故負責(zé)?誰該對其的惡意操作負責(zé)?怎么進行責(zé)任鑒定?

3 、拉迪服務(wù)器命令控制與審計系統(tǒng)特點

杭州帕拉迪網(wǎng)絡(luò)科技有限公司致力于UNIX服務(wù)器安全防御產(chǎn)品的開發(fā)和網(wǎng)絡(luò)安全服務(wù)的推廣，此系統(tǒng)主要用于UNIX服務(wù)器系統(tǒng)安全防護，讓UNIX服務(wù)器的操作、管理和運行更加可視、可控、可管理、可跟蹤、可鑒定，解決UNIX服務(wù)器系統(tǒng)級別的安全問題、安全威脅，為國家重要部門和企業(yè)UNIX服務(wù)器的正常有序運行，提供可靠的安全保障。

3.1 可視

PLDSEC UNIX SCS 1000能夠動態(tài)實時的捕獲UNIX系統(tǒng)用戶使用的操作命令，真正做到讓UNIX服務(wù)器上的操作和行為可視。系統(tǒng)管理員可以直觀的了解服務(wù)器上發(fā)生過的操作命令及其運行結(jié)果，結(jié)束UNIX服務(wù)器操作管理的黑匣子時代。PLDSEC UNIX SCS 1000可以實時監(jiān)控系統(tǒng)管理員操作過程，提供實時監(jiān)控中心和值班中心，可以集中實時的監(jiān)控所有用戶的操作行為和過程。

3.2 可控

PLDSEC UNIX SCS 1000動態(tài)實時的捕獲系統(tǒng)管理員操作行為，并可以對其進行策略審計，違反安全策略的用戶命令，將被禁止執(zhí)行，使用危險命令的用戶，將被剔出系統(tǒng)。這樣，UNIX服務(wù)器將增加一層安全防護功能，即使用戶(惡意用戶、黑客)取得命令的操作權(quán)限，該命令也不能生效，進而保護UNIX服務(wù)器上關(guān)鍵資源和重要服務(wù)。

3.3 可管理

PLDSEC UNIX SCS 1000可以根據(jù)需要對指定用戶或所有用戶展開監(jiān)控，可以限制和管理可疑用戶行為，真正讓UNIX服務(wù)器擺脫操作和使用的黑匣子狀態(tài)，監(jiān)控和管理UNIX服務(wù)器上用戶操作行為。同時，PLDSEC UNIX SCS 1000還對CPU、MEM、DISK、PROCESS和網(wǎng)絡(luò)I/O進行監(jiān)控管理，并通過圖形化方式直觀的顯示服務(wù)器運行狀態(tài)，可以對UNIX服務(wù)器進行故障診斷。

3.4 可跟蹤

PLDSEC UNIX SCS 1000通過遠程日志服務(wù)器保存所有用戶操作行為和運行結(jié)果，可以通過對用戶操作行為及其結(jié)果進行回放，跟蹤用戶在服務(wù)器上的操作過程，查看用戶在服務(wù)器上的所有操作行為，準(zhǔn)確無誤的了解用戶的行為意圖。PLDSEC UNIX SCS 1000日志服務(wù)器提供日志動態(tài)查詢功能，支持特色化報表生成功能，可以根據(jù)用戶環(huán)境進行報表定制，及時直觀的報告用戶所關(guān)心的資源使用情況。

3.5 可鑒定

PLDSEC UNIX SCS 1000使用二次日志記錄系統(tǒng)，保存用戶操作行為過程。同時，日志系統(tǒng)使用PDF文件格式保存，日志文件不可修改，不可杜撰，通過對用戶操作行為日志的分析，可以鑒定用戶行為，并進行責(zé)任認定。二次日志記錄加強了原始日志材料的防偽防杜撰功能，通過對比保存于兩臺日志服務(wù)器上的日志材料，可以準(zhǔn)確可靠的進行故障鑒定和責(zé)任認定。

3.6 功能列表

帕拉迪UNIX服務(wù)器命令控制與審計系統(tǒng)具有如下功能和特點：

1、實時捕獲管理員操作命令，并對其進行策略審計，支持所有功能鍵的使用，能自動捕獲功能鍵擴展后的操作命令(如TAB補齊，BACKSPACE回退刪除等);

2、監(jiān)控和管理管理員在服務(wù)器上的操作，對管理員操作的跟蹤不受管理員執(zhí)行SU，SSH等命令的影響;

3、智能識別編輯狀態(tài)、命令狀態(tài)和執(zhí)行狀態(tài)，完整回放用戶的所有操作(包括TAB等特殊擊鍵操作);

4、實時集中監(jiān)控用戶和管理員當(dāng)前行為，能實時查看管理員工作過程;

5、提供WEB方式日志查詢及監(jiān)控平臺，提供多種過濾檢索條件，方便后期審計、取證;

6、策略可遺傳繼承，采用樹形方式組織，利用正則表達式進行模式匹配，策略適合現(xiàn)代企事業(yè)組織架構(gòu);

7、不提高服務(wù)器負擔(dān);

8、支持數(shù)據(jù)庫、防火墻、路由器、小型機等所有使用字符命令進行管理和操作的設(shè)備和系統(tǒng);

9、方便第三方對所有系統(tǒng)管理員的行為進行監(jiān)督;

10、日志記錄雙備份，確保證據(jù)的準(zhǔn)確可靠，對事后取證，責(zé)任鑒定，行為跟蹤等，提供準(zhǔn)確可靠的原始依據(jù);

11、詳盡的報表功能，及時報告服務(wù)器上危險操作，報表可由用戶靈活定制，可以根據(jù)用戶業(yè)務(wù)定制自動報表;

12、提供服務(wù)器安全策略文件保護功能，實時可視化監(jiān)控服務(wù)器CPU，MEM，DISK，PROCESS，I/O等狀態(tài)信息和故障信息，提供故障診斷功能;

13、支持服務(wù)器方式部署和網(wǎng)關(guān)方式部署，提供自動部署功能，部署和配置簡單，適合大規(guī)模自動部署;

14、實時查看用戶使用命令和屏幕，提供實時監(jiān)控中心和值班中心，最終達到通過對系統(tǒng)管理員或者黑客的所有操作行為進行管理及審計，把由于人為操作造成宕機、故障和隱患的可能性降到最低。;

3.7 應(yīng)用領(lǐng)域

帕拉迪UNIX服務(wù)器安全管理系統(tǒng)非常適合于企事業(yè)加強對UNIX服務(wù)器的安全管理，減輕和防止企事業(yè)的UNIX系統(tǒng)安全級別威脅。PLDSEC UNIX SCS 1000應(yīng)用領(lǐng)域非常廣闊，提供服務(wù)器部署方式和網(wǎng)關(guān)部署方式，可以非常靈活的兼容于企事業(yè)現(xiàn)有安全架構(gòu)。

3.7.1內(nèi)部網(wǎng)絡(luò)行為管理

嚴(yán)重的攻擊來自系統(tǒng)內(nèi)部(53%來自內(nèi)部攻擊)，帕拉迪UNIX服務(wù)器主要應(yīng)用于內(nèi)部用戶行為管理，保證內(nèi)部用戶的操作和行為可控、可視、可管理、可跟蹤、可鑒定，防止內(nèi)部人員對機密材料的非法獲取和使用，保護企事業(yè)核心機密。

3.7.2對網(wǎng)絡(luò)邊界網(wǎng)關(guān)設(shè)備的管理

網(wǎng)絡(luò)邊界安全設(shè)備是企事業(yè)網(wǎng)絡(luò)安全防護系統(tǒng)的重要組成部分，網(wǎng)絡(luò)邊界安全設(shè)備的安全策略，對企事業(yè)內(nèi)部網(wǎng)絡(luò)安全，起著非常重要的作用。目前關(guān)鍵網(wǎng)絡(luò)邊界安全設(shè)備，主要來自于國外巨頭和國內(nèi)領(lǐng)先公司，這些公司一般都提供先進的CLI功能，管理員可以通過SSH和串口，對網(wǎng)絡(luò)邊界安全設(shè)備(如交換機、防護墻、VPN等)進行安全策略配置。但是，目前沒有可靠辦法保證系統(tǒng)管理員安全策略配置行為的有效性，合法性以及一致性，一般都通過行政手段，讓系統(tǒng)管理員記錄安全策略配置過程，這有嚴(yán)重的安全隱患。PLDSEC UNIX SCS 1000提供網(wǎng)關(guān)部署方式，可以記錄系統(tǒng)管理員對網(wǎng)絡(luò)邊界安全設(shè)備的配置過程，保證安全策略的一致性，其生成的日志系統(tǒng)，可以比較方便的集成到企事業(yè)現(xiàn)有安全策略管理架構(gòu)中。

3.7.3對數(shù)據(jù)庫的管理

數(shù)據(jù)庫是企事業(yè)核心機密的重中之重，PLDSEC UNIX SCS 1000可以記錄用戶對數(shù)據(jù)庫(如：MYSQL，Oracle)的操作過程，防止用戶人為修改數(shù)據(jù)庫數(shù)據(jù)記錄，防止用戶刪除數(shù)據(jù)記錄。PLDSEC UNIX SCS 1000可以還原用戶操作過程，對于重要數(shù)據(jù)庫的防護，有非常重要的價值。

3.7.4對黑客行為的防范

黑客常常通過手段(如：社會工程、惡意程序、系統(tǒng)設(shè)置漏洞、緩沖區(qū)溢出程序等)獲取用戶權(quán)限，然后使用該權(quán)限登陸系統(tǒng)。PLDSEC UNIX SCS 1000可以記錄該黑客的操作過程，對于事后查證和數(shù)據(jù)恢復(fù)，有非常好的適用價值。PLDSEC UNIX SCS 1000還可以通過地址邦定功能對黑客行為進行限制，即使黑客取得系統(tǒng)權(quán)限，也不能對系統(tǒng)做任何操作。

【編輯推薦】

1. Linux下查看用戶登陸后的操作記錄
2. 專家指導(dǎo)：Linux操作系統(tǒng)密碼恢復(fù)方法
3. Linux系統(tǒng)下手動分析病毒樣本技巧