unix主机安全漏洞分析及漏洞器的设计与实现.doc

Unix主机安全漏洞分析及漏洞扫描器的设计与实现 薛静锋 北京理工大学计算机科学工程系 薛静锋，北京理工大学计算机科学工程系博士研究生，主要研究方向为网络安全技术。曾参与过的研究课题有：“分布式协同专家系统开发工具、计算机网络隐患扫描技术，目前在研的课题为“异常入侵检测技术研究”。近三年来出版计算机书籍6本，译著2本；在各种学术刊物上发表论文7篇。可以通过 E_mail： xuebook@与他联系！ 简介：?自从1993年Internet上首次采用第一种图形用户界面NCSA MOSAIC以来，这一全球最大网络的用户数量与服务内容都有了迅猛增加。商业集团和个人用户都很快意识到，由Internet带来的革命化通信时代，为通信应用领域开辟了无限的前景。如今，计算机互联网技术在信息交互、信息处理、信息查找、信息管理等方面起着越来越重要的作用。互连网络为人们获取信息、交换信息、管理信息和进行各种社会活动提供了一个快速而方便的平台，为社会的发展带来了巨大效益。 引言 然而，在人们得益于信息革命所带来的巨大机遇的同时，也不得不面对信息安全问题的严峻挑战。西方发达国家将由计算机武装起来的社会称为脆弱的社会，就是基于以下事实：计算机主机和网络系统不断被非法入侵、计算机病毒不断在产生和传播，导致重要的经济、政治和军事情报资料被窃取，重要的网络服务时时有被攻破和崩溃的危险。这些给各行各业带来了巨大的经济损失，甚至危及国家安全。在中国，形势同样不容乐观。随着网络经济的发展，在我们这个拥有2250万网民（据CNNIC 2000年的有关统计）的国度里，各网站也时常受到国内黑客和境外黑客及垮客（Cracker）的攻击和威胁。 综上所述，信息革命在改变人类传统的生产、生活方式并极大促进生产力发展的同时，也带来了不容忽视的负面影响。网络和主机安全正成为每一个计算机用户都面临的紧迫问题。就是在这样的背景下，为了解决这些问题，一系列的网络安全技术应运而生。主机漏洞扫描技术可以说是网络安全技术中除了防火墙技术、入侵检测技术、加密和认证之外的另一项重要的安全技术。不管攻击者是从外部还是从内部攻击某一网络系统，攻击机会是由于他利用该系统的已经知道的漏洞而得到的。对于系统管理员来说，漏洞扫描器是最好的助手，能够主动发现Web服务器主机系统的漏洞，在主机系统安全保卫战中做到有的放矢，及时修补漏洞，构筑坚固的安全长城。 目前，连接于互联网中的服务器大都采用Unix操作系统，因此，我们设计并实现了一个Unix主机漏洞扫描器，设计该漏洞扫描器的出发点是：以系统管理员的视野，发掘Unix主机系统漏洞，目的是增强主机系统的安全性。如今，在计算机安全领域，漏洞扫描器的作用与PC机病毒检测软件相似，对于系统管理员来说已经是不可或缺的重要工具软件。 Unix主机系统安全漏洞存在的必然性分析 这里，我们将从以下四个方面分析Unix主机系统安全漏洞存在的必然性。 2.1 操作系统安全的脆弱性 2.1.1 操作系统体系结构的安全隐患 这是计算机系统脆弱性的根本原因。如Unix系统的许多版本升级开发都是采用打补丁(Patch)的方式进行的，这种方式黑客同样也可以使用。另外，操作系统的程序可以动态链接，包括I/O驱动程序与系统服务，但这同样为黑客提供了可乘之机。如黑客可将磁带设备的软链接点/dev/rmt/0进行修改，添加某种后门程序，那么当用户执行tar cvf /dev/rmt/0 *这类命令的时候，可能激活该后门程序从而导致漏洞的产生。可是操作系统支持程序动态链接和数据动态交换又是现代操作系统集成和扩展必备的功能，因而出现了自相矛盾之处。 2.1.2 进程创建和远程过程调用（RPC）的安全隐患 一方面，Unix操作系统支持远程加载程序，另一方面，它又可以创建进程，支持在网络节点上创建和激活远程进程，并且被创建的进程能够继承父进程的权限。这两点结合在一起就为黑客在远程服务器上安装间谍软件提供了可能。 2.1.3 系统守护进程的安全隐患 守护进程实际上是一组系统进程，它们总是等待相应条件的出现，一旦条件满足，进程便继续进行下去。这些进程特性是黑客能够利用的。值得注意的是，关键不是守护程序本身，而是这种守护进程是否具有与操作系统核心层软件同等的权利。 实际上，在Unix刚刚开发出来的时候，安全性还并不是它主要关注的因素。它的安全模型是为局域网环境下的小型或中等规模的工作组所设计的。1988年的Internet蠕虫事件就是一个明显的证据：在系统级别上的安全措施是非常不够的。尽管蠕虫事件导致Carnegie Mellon大学计算机紧急情况反应小组（Computer Emergence Response Team，CERT）的成立，并加强了系统供应商和系统管理员的安全意识，但现在人们对于