【51CTO精選譯文】當今許多Linux服務器都不是剛剛部署完畢的新機器，有專業(yè)的Linux系統(tǒng)管理員進行定期維護，IT技術人員往往需要為自己所使用的服務器在安全性方面負全責。如果大家的服務器遭到侵入，不僅所有的敏感信息很可能暴露無遺，服務器本身也許還會在攻擊者手中造成更大規(guī)模的破壞。為了避免上述事態(tài)的發(fā)生，我們務必要確保自己的服務器配置正確并且定期更新。所以，利用下面要提到的各類工具及程序按時進行安全審計是非常必要的。

最有效的Linux安全審計方式是在服務器上運行專門為之量身打造的應用程序及服務項目。這意味著我們必須首先了解自己所要審計的運行環(huán)境，進而判斷安全風險可能會隱藏在哪些部位，最終決定安全掃描應該從何處著手。舉例來說，運行中的網(wǎng)頁服務器，其最薄弱的環(huán)節(jié)無疑是Web腳本風險，這也正是黑客們最常見的攻擊目標之一。更不用說網(wǎng)頁服務器本身或者是其中的任何模塊都可能存在著過期、脆弱或是不安全的配置。

要想部署一套成功的審計流程，我們還需要了解一些關于網(wǎng)絡、編程（如Perl、PHP或者是其它服務器上支持的語言）及Linux系統(tǒng)的知識。這可能要求我們花費時間來學習一些自己尚不能運用自如的技術。然而，在某些情況下我們似乎沒有更好的選擇。舉例來說，如果大家有關服務器的投訴中得知自己所在的數(shù)據(jù)中心存在如垃圾郵件或黑客攻擊之類的可疑活動，那么安全審計是必不可少的。專門在企業(yè)中設立相關職位、聘請了解此類技術的專業(yè)人士當然是不錯的選擇，然而如果大家無法承受常設人員所帶來的經(jīng)濟負擔，也可以考慮暫時雇用一家Linux服務器管理公司，或是將業(yè)務平臺整體遷移至某家負責的共享服務器供應商處。

一旦大家準備好著手實施安全審計，請按照下列步驟進行操作：

◆執(zhí)行滲透測試

◆檢查日志文件

◆比較及掃描文件

◆檢查可疑活動及rootkits

◆從外部掛載調用服務器驅動器

下面一一說明。

滲透測試

滲透測試能夠幫助大家找出存在于自己服務器上的漏洞并對設備的整體安全性進行評估。這種評估是任何形式的安全審計工作的基礎。它能夠就如何提高服務器安全性給出實用的結論，并為即將開展的進一步安全審計提供有關掃描側重點的重要信息。

要執(zhí)行滲透測試，我們可以使用諸如Nessus之類的漏洞掃描程序，這款工具具備能夠接入幾乎任何在線服務項目的端口。不過雖然Nessus是公認最流行、最先進的漏洞掃描工具，大家仍然可以嘗試其它選擇，例如Nmap，雖然它總體來說只是個端口掃描器，還不能完全稱之為漏洞掃描器；Metasploit，功能強大但使用復雜、售價昂貴；或者是Backtrack Linux，已發(fā)布的Linux滲透測試工具大合集。無論大家最終選擇哪款工具或者說如何部署自己的滲透測試工作，總會有一些漏洞被揪出來，盡管它們可能并不是情況最嚴重、影響最惡劣的。這種情況其實證明了當下流行的一套理論：任何暴露在公眾視野內(nèi)的資源或服務項目都應被視為具有潛在安全隱患，并且應對其加以密切監(jiān)測。這也正是安全審計接下來要做的工作：檢查日志并掃描文件。

檢查日志

檢查服務器日志文件能夠為安全事件提供詳盡的參考信息。如果大家對日志記錄進行了正確配置，那么黑客的攻擊及行跡其實完全可以被追蹤到。而如果手頭要審計的幾臺服務器很少使用，那么整個檢查過程就相對簡單，只需使用簡單的Linux命令，例如Splunk。Splunk為快速搜索多套系統(tǒng)中的大量日志文件提供了一套直觀的網(wǎng)頁接口。它也可以在發(fā)現(xiàn)特定預設事件時及時通知大家，并協(xié)助阻止安全危害的發(fā)生。不過，要準確判斷哪些日志文件有必要被監(jiān)測實際上要求我們具備相當高的技術水平，尤其是必須了解每個服務項目本身的情況。由于應用程序與日志文件間有著極大的差異，因此我們所能給出的建議只能是盡量關注那些異常動向。

比較及掃描文件

安全審計的下一步是比較并掃描服務器上的文件。查獲惡意內(nèi)容絕不輕松，因為攻擊代碼可以很容易地被混淆、編碼及加密，進而變得難以識別，連最選擇的掃描工具及安全產(chǎn)品也使它們沒轍。另外，不管大家在編程方面的經(jīng)驗多么豐富，藏身于成千上萬其它代碼中的惡意代碼片段仍然極有可能成為漏網(wǎng)之魚。這時大家可以求助于AIDE（高級入侵檢測環(huán)境），它會跟蹤那些兩次安全審計之間內(nèi)容發(fā)生了變化的文件。但是，我們要在之前的安全審計中至少將其運行一次，以使其創(chuàng)建針對當時情況的數(shù)據(jù)庫鏡像。另外，大家必須能夠跟蹤到所有發(fā)生了變化的文件。如果服務器上的文件變動程度較大，這一點恐怕很難甚至不可能實現(xiàn)。在這種情況下，大家可以選擇直接搜索那些包含惡意內(nèi)容的文件。為此，使用諸如卡巴斯基在內(nèi)的通用防病毒應用程序或者有針對性地為類似Web腳本惡意代碼創(chuàng)建內(nèi)部工具都是可行的。在執(zhí)行此類文件掃描工作之前，請大家務必牢記：該流程屬于系統(tǒng)資源密集型，盡量把此類工作安排在服務器負載較輕的時段。如果必要的話，大家也可以將掃描范圍設定為那些允許公開訪問的文件。

檢查可疑活動及rootkits

接下來的階段是安全掃描流程中最復雜的部分：尋找服務器上的可疑活動及rootkits。這一步非常必要，因為無論大家對日志及文件進行怎樣嚴謹?shù)膶彶?，服務器安全都無法僅通過這種措施得到萬全的保障。對于攻擊者來說，只要獲得一定資源及權限，隱藏蹤跡可謂相當輕松。首先，我們要使用netstat-ntuap命令對自己服務器上的TCP及UDP端口或活動連接加以偵測。不要忘記程序名稱是可以反復更改的，因此攻擊者們常常會使用諸如“apache 2”這樣的名稱讓我們誤以為這是服務器工作中的正常進程。如果對正在運行的程序抱有任何疑問，立即運行l(wèi)sof –p XXXX指令，這里的XXXX是可疑程序的進程號。此命令將列出所有接入此進程號的運行文件，包括已被刪除的對象。

在Linux環(huán)境下，前1000個端口是為那些具有超級用戶權限的應用程序所預留的。由于攻擊者往往并不具備此類超級權限，這就意味著他們所制作的腳本大部分必須運行于編號為1000以上的端口。例如看到6667端口上運行著某個名為apache 2、由用戶johnb發(fā)起的程序，而且與其相關聯(lián)的文件（包括已被刪除的）包含在/tmp目錄中，則可以初步斷定該程序有問題。

檢查可疑的網(wǎng)絡活動也很重要，因為幾乎所有的攻擊者都希望留下一道后門，這樣他就可以輕松地再次連入受害者的計算機。由此，我們可以使用ps auxwf命令搜索包括網(wǎng)絡在內(nèi)的任何可疑進程。此命令將顯示所有正在運行的進程以及其啟動的方式，包括雇用這些進程的原始文件。

如果攻擊者已然獲得了超級用戶權限，那么我們恐怕無法查出任何可疑活動，因為他們往往會在第一時間安裝rootkit。Rootkit能夠完全篡改我們的環(huán)境，變更那些重要的可執(zhí)行項目如ps、netstat以及who，并加載惡意Linux內(nèi)核模塊。這也正是安全審計中總是不能落下諸如Rootkit Hunter這類rootkit掃描工具的原因。這種工具易用且高效，能夠通過MD5校驗手段可靠地確保系統(tǒng)中二進制文件的完整性。它還會對服務器進行掃描，以尋獲那些已被加載的、內(nèi)核級別的rootkit。

從外部掛載調用服務器驅動器

上面提到的各個步驟對于應付大多數(shù)Linux服務器部署中的風險都綽綽有余，包括網(wǎng)頁、電子郵件、DNS及數(shù)據(jù)庫任務。但是，如果我們的Linux服務器中存儲的是有關財務或重要機密文件等敏感信息，那安保手段恐怕還要再進一步。在完整的安全審計流程中，我們可以將自己的Linux服務器硬盤接入另一臺計算機，并通過手動或使用主流Linux殺毒軟件的方式檢查其上的全部文件。有些時候服務器發(fā)生了嚴重故障，那么通過外部硬盤啟動計算機可能是我們找出蛛絲馬跡的惟一機會。在某些情況下，攻擊者在服務器上的最后操作是將其癱瘓化并加以摧毀。當前最受技術人員青睞的應對方法是利用諸如System Rescue CD之類的綠色Linux系統(tǒng)盤以硬盤接入的形式激活癱瘓設備。然而，這套方案具體實施起來并不簡單——它會導致宕機，而我們也很可能沒有額外的物理設備能夠應付這一時段內(nèi)的訪問——但相對來說它還是較為可行的，尤其是當我們使用虛擬服務器時，存儲文件在此方案下能夠被直接訪問。

專家總結：Linux服務器安全審計不應被視為一次性工作加以處理。相反，此類審計必須定期進行。一旦大家真正著手執(zhí)行，絕對能從流程中找到一些可以通過自動化處理以簡化任務操作的方法。而一旦大家的Linux服務器在安全審計中獲得了令人滿意的結果，我們就可以將更多的精力投入到數(shù)據(jù)存儲以及提高服務正常運行時間的工作中去，進而對自己的商業(yè)運作狀態(tài)充滿信心。

備注：PCI標準

PCI數(shù)據(jù)安全標準及評估是由銀行卡行業(yè)人士組建的代表委員會。其頻繁發(fā)布的各類強制性標準及程序在保障敏感信息，例如信用卡在交易過程中的詳細信息存儲方面貢獻良多。這些標準大多可延伸至其它行業(yè)，在合理分配網(wǎng)絡、正確配置日志記錄、有效進行滲透測試以及軟件更新規(guī)劃方面提供權威性參考。PCI標準及其評估流程中對滲透測試部分尤為重視。

原文：How to Conduct a Linux Server Security Audit

【編輯推薦】

1. Linux服務器操作系統(tǒng)日志管理六大秘訣
2. 20個你不得不知的Linux服務器性能調優(yōu)技巧
3. 防止惡意掃描 用PortSentry保護Linux服務器