Linux 雲端的安全性簡介
R98944013 黃子維 r97921062 楊閔富
簡介:
最近雲端運算在電腦應用當中漸漸成為主流,使用者們漸漸倚靠網路上的雲 端服務來做儲存媒介以及運算資源,這使的使用者可以方便達到同步化以及低硬 體成本的好處,但也因為個人許多資料大部分放在公共網路上,當包含有敏感資 訊的資料放在上面時,資料安全性成為使用者難以放心的隱憂,因此運行雲端的 伺服器的安全性就格外重要,而雲端伺服器大部分是由一大堆電腦組成叢集電腦 來運行,因此若要使用付費的作業系統運作會消耗大量成本,因此為了降低成本,
雲端服務商通常會使用開放原始碼的 linux 為基礎來當作雲端作業系統,因此瞭 解 linux 的安全機制格外重要,以下會說到有關雲端作業系統所相關的安全議題,
以及在 linux 上面應該要如何來去彌補漏洞以及防範攻擊。
雲端作業系統安全性議題:
1. 攻擊者竊取使用者的帳號密碼:因為使用者通常是使用一組帳號密碼登 入雲端服務,要是被攻擊者植入木馬,則帳號密碼會被竊取,使用者的 檔案直接會被攻擊者存取。
2. 攻擊者監聽連線之間的資料串流而取得資料:攻擊者能在區域網路中監 聽已經建立連線之間的資料流甚至能得當密碼或帳號資訊。
3. 攻擊者侵入雲端作業系統取得使用者權限:
4. 攻擊者侵入雲端作業系統取得 root 權限:
5. 雲端服務商內部人員因為擁有正當權限,無法保證所有人員皆遵守保密 手則。
以下就分為本機安全跟網路安全兩部分探討:
本機安全:
因為 local user 可能透過各種方式取得 root 權限,所以嚴謹的 local security 也是相當重要,甚至連提供普通的 user account 給使用者都必須非常小心謹慎!
在管理使用者帳號時,有一些基本的原則必須遵守,才能確保安全
提供給使用者的權限盡可能少一點,只提供必要的權限,任何多餘的權
限都可能造成危險。
必須留意使用者從什麼地方登入,以及什麼時候登入。
在不同的電腦或網路中,相同的帳號最好對應到相同的 userid,這樣在 分析 log 檔時比較方便。
透過 last 指令來觀察使用者的登入資訊。
沒有使用的帳號最好刪掉,因為有些帳號可能有較多的權限,可能讓攻 擊者有機可趁。
由於 root 擁有所有的權限,所以在使用 root 帳號的時候要非常小心。使用 root 帳號做事情時最好是越快越好,一旦需要使用 root 帳號的工作做完後,
馬上換回使用者帳號比較安全。因為使用 root 帳號時任何小錯誤都可能造成 很大的災難。
使用 root 帳號時有幾點必須小心
在進行比較複雜的指令時,最好先用非破壞性的方式測試一次。例如:
當要進行 rm a*.bak 之前,可以先用 ls a*.bak 來確認,以免刪錯檔 案。如果指令中有使用到變數,最好先用 echo 確認一次。
不要使用 root 帳號嘗試任何不確定的事情。最好先用普通帳號嘗試過 一遍,完全弄清楚之後再改用 root 帳號。
root 的 PATH 環境變數非常重要。PATH 裡最好不要包含.(現在的目錄),
也不要包含可以寫入的目錄。因為攻擊者可能用其他的執行檔替換原本 的,root 下次就會執行到被替換過的惡意程式。
使用 sudo 來做需要 root 權限的事情是一種相對安全的作法,因為 sudo 只能使用 root 權限來執行特定的指令。雖然使用 sudo 比較安全一點,但是 還是有必須注意的地方。sudo 只適合做特定的工作,有些事情並不適合 sudo,
例如可以開啟 shell 的程式,如果可以用 sudo 開啟任何 shell 的話,那就可 以用 root 權限為所欲為了。此外可以修改檔案內容的程式例如 cat 也不應該 讓 sudo 執行。
網路安全:
因為雲端運算是基於網路上的服務,所以網路是攻擊者最容易利用的管道,
因此瞭解網路安全是非常重要的。
Packet Sniffers
因為區域網路當中封包是被廣播的,因此攻擊者要是在伺服器或客戶端的區 域網路當中,就可以監聽到網路當中的封包,尤其現在無線網路發達,攻擊者只 要一台筆電破解進入無線網路就進行監聽,因此資料使用明碼傳送是很危險的,
因此需要使用加密連線,比如 HTTPS,或者 APOP。
System Services and tcp wrappers
系統當中許多服務都會開啟伺服器通訊埠,因此伺服器當中沒有必要的服務 要關閉,並且解除沒有必要的軟體,減少軟體漏洞,尤其 rsh/rlogin/rcp 服務,
沒有必要不要開啟,因為這些服務很不安全,且過去有很多的攻擊漏洞是因此產 生的 。
有很多 Linux 版本有 tcp wrappers 的功能,tcp wrappers 可以管理由 inetd 所 啟動的服務連線,可以設定限制特定的客戶端的連線,因此可以拿來加強安全。
Identd
他是一個軟體可以知道要求此服務的使用者 ID。當雙方都安裝
了 identd 且 雙方的 server 程式 (telnetd, sendmail, bbs...)都啟動 ident 查詢功 能. 如果您在主機 A 上要去連主機 B, 主機 B 在接受您的連接 request 時, 會向主 機 A 上的 Identd 做身份查詢, 而主機 A 就會把你的身份 (username/id) 報給主 機 B. 這麼一來, 主機 B 就有了你的身份紀錄。因此發生問題就可以追溯攻擊者是 誰。
Port Scan
可以使用一些軟體偵測伺服器上面所開啟的服務跟通訊埠,因此可以瞭解伺 服器上有哪些弱點,來加強安全性。
並且有些攻擊者也會使用這些軟體來偵測目標的服務來發覺可攻擊的弱點,
因此也要察看系統的 log 檔並分析有那些主機有異常的連線,來阻擋特定主機的 存取
Denial of Service Attacks
Denial of Service 簡稱 DoS,意指攻擊者用某些方法導致資源過於忙碌,因此 無發回應正常合法的請求,或者正常使用者因此無法使用機器。
以下是一些比較常見的 DoS 攻擊方式
SYN Flooding:在 three-way handshake 時,第三次 handshake 故意不回 給伺服器端 ACK,由於伺服器端會花一段時間等待,因此造成資源浪費,
而無法服務正常使用者。在 2.0.30 以上的 linux kernel 中,可以透過設 定 SYN cookie,給每個請求連結的 IP 一個 cookie,如果短時間之內持續 收到某 IP 的 SYN,則認定為攻擊,此後來自這個 IP 的封包都會被丟棄。
Ping Flooding:攻擊者不斷發送 ICMP 封包至被攻擊者,如果攻擊者得 頻寬大於被攻擊者,被攻擊者將無法再發送任何封包到網路上。遭受此 類攻擊時,可以使用 tcpdump 之類的工具分析封包來源,從 router 或 防火牆把來源檔掉即可。
Ping of Death:傳送超過 65535 位元組的 ICMP 封包,可能會導致系統 當機,不過這個問題已經修正了很久,現在不太需要擔心。
Teardrop / New Tear:資料透過網路傳輸時,IP 封包會被切成很多小片 段,出了記載位移的資訊,每個小片段和原本封包的結構大致相同,
Teardrop 創造出一些包含重疊位移值的 IP 片段,某些系統再收到並重 組這些片段時可能造成系統當機。2.0.33 以上的 linux kernel 已經修正了 這個問題。
NFS (Network File System) Security
NFS 是一個相當常見的檔案共享協定,伺服器可以 export 整個檔案系統給其 他使用 NFS 的電腦。例如將家目錄透過 NFS 分享到其它電腦,這樣不論在哪個主 機登入,都能有相同的家目錄。
但是 NFS 也是有一些潛在的安全性問題。在 NFS 中,不管使用者是不是在本 地端的機器上,只要 uid 一樣,就有權限存取檔案。因此在遠端電腦上的 root 可以自己製造一個同樣 uid 的使用者,就可以存取不屬於自己的檔案。
因此在 NFS 中,只 export 必要的資料夾給必要的機器是相當重要的。
Firewalls
防火牆可以控制網際網路與區域網路之間的資料傳輸。防火牆主機連結了區 域網路與網際網路,資料要進出區域網路都要經過防火牆的檢查才能通過。
防火牆大致上可分為兩種,stateless 與 stateful,stateless 防火牆只能逐一檢 視每個封包,但不能進一步分析封包之間的關聯性。而 stateful 防火牆可以紀錄 封包內的資料(例如 SYN 與 ACK 序號),以便分析不同封包之間的關聯性,因此 能夠分辨出不同的 session,做出更精確的防範。
IP Chain:Linux Kernel 2.2.x 所使用的防火牆,屬於 stateless 防火牆。IP 把封包過濾規則分成四個類別,每個類別是很多過濾規則的集合,稱為 規則鏈(chain),過濾封包的時候,每個封包會進入所屬的 chain 中,
進行比對的動作,若符合某一項規則,就執行所指定的目標動作。如果 所有規則都不符合,則使用 default policy 來決定。
NetFilter:Linux Kernel 2.4.x 開始使用的內建防火牆,屬於 stateful 防火 牆。Netfilter 是透過 iptables 這個介面來實作的。iptables 的語法與 ipchains 類似,但是使用了 netfilter 子系統來強化網路的連線、檢驗與 處理。iptables 擁有進階紀錄、事先與事後路徑選擇的動作、網路位址 轉譯以及 port forwarding 等等。
結論:
安全性的議題到未來是愈來愈重要,因為服務愈多,可攻擊的漏洞就愈多,
且雲端運算的特點是資料在伺服器裡面是分散的且很容易在各個實體電腦當中 移動,因此未來雲端安全所需要的是換一種角度來思考。與其防止資料遭到移 動 (這一點對今日動態的世界來說完全不切實際),倒不如建立起一道防護將資料 包覆起來,並且隨著資料一起移動。有以下兩種解決方法
1. 讓主機保護自己的主機式安全。
2. 讓企業更能掌控私人與公共雲端內資料的加密式安全。即使資料所 在的環境無法令人信賴也無妨,因為資料還是能夠安全無虞。如果 客戶希望將資料移到另一家雲端服務供應商,由於資料已有安全機 制包覆,因此可自由移動而不需仰賴雲端服務供應商。加密式安全 還可進一步運用在公共雲端。
因此未來這方面還有很大的空間需要一起努力。
