Linux LiveCD 評估系統(tǒng)的安全性

作者：佚名 2011-01-13 16:59:12

　　您希望不用經(jīng)過冗長的安裝和配置過程就可以實(shí)現(xiàn)對 Linux 系統(tǒng)安全性的評估嗎?在本文中我們會介紹 4 個(gè)包： Auditor、Whoppix、Knoppix-STD 和 PHLAK，采用這些包之后，您就可以利用 LiveCD 了。

　　除了要讓系統(tǒng)更加安全之外，還有一些工具可以用來判斷系統(tǒng)抵擋各種攻擊的能力，例如：使用諸如 blockall 之類的防火墻工具，您可以限制所有到達(dá)的 TCP 通信;使用諸如 floppyfw 之類的工具，您可以在一張軟盤中實(shí)現(xiàn)防火墻。Labrea 是一個(gè)“粘蜜罐”，可以限定蠕蟲和端口掃描攻擊，從而消除它們的影響。還有很多入侵檢測系統(tǒng)(IDS)，例如非常流行的 Snort 和 logsnorter。報(bào)文嗅探器，例如 ethereal、dsniff、driftnet、urlsnarf 和 msgsnarf，可以幫助過濾未用的通信，例如會浪費(fèi)帶寬的 IM 消息。無線工具，例如 airsnarf、airsnort 和 kismet，可以幫助評估無線網(wǎng)絡(luò)的情況。有些成功的工具，例如 chntpw(可以重置 Windows 系統(tǒng)上的密碼)和 pwl9x(可以攻擊 Windows 9x 密碼文件)，以及 allwords2(一個(gè) 27 MB 英文字典)可以促使大家采用更長的包含數(shù)字的非標(biāo)準(zhǔn)密碼。如果您認(rèn)為這已經(jīng)涉及了所有的方面，那么就請?jiān)囈幌氯毕菰u估工具，例如 hydra、nessus 和 nmap。嘿!大部分工具都只能在 Linux 上運(yùn)行!

　　現(xiàn)在 Linux 不是什么問題，畢竟它是免費(fèi)的，我可以在自己家的系統(tǒng)上運(yùn)行。但是誰愿意花上一個(gè)周末的時(shí)間來安裝和配置系統(tǒng)呢?起碼我不愿意。如果我希望測試工作時(shí)所使用的機(jī)器又該如何呢?我需要獲得授權(quán)才能在上面安裝 Linux 嗎?這里有一個(gè)非常簡單的解決方案。就是這里。歡迎進(jìn)入 LiveCD 上的安全評估工具世界。

關(guān)于 LiveCD

　　LiveCD 是一個(gè)保存在可啟動(dòng)的 CD-ROM 上的操作系統(tǒng)(以及其他軟件)，從這上面可以啟動(dòng) OS，而不用再進(jìn)行漫長的安裝過程。大部分都是基于 Linux 內(nèi)核的(但是也有一些 LiveCD 是為其他操作系統(tǒng)準(zhǔn)備的)。它在工作時(shí)將這些文件放到一個(gè) RAM 磁盤上(這樣就減少了應(yīng)用程序可以使用的 RAM 數(shù)量，從而會降低系統(tǒng)的性能，但是不要忘了，我們的目標(biāo)是評估系統(tǒng)的安全性)。一旦取出 LinveCD 并重新啟動(dòng)系統(tǒng)之后，原始的系統(tǒng)就恢復(fù)了。有些 LiveCD 上還提供了一個(gè)安裝工具，使用它可以將系統(tǒng)安裝到硬盤或 USB 磁盤中;大部分這種 LiveCD 都可以訪問內(nèi)部/外部硬盤、磁盤和閃存上的信息。

　　syslinux 用來啟動(dòng)基于 Linux 的 LiveCD，以及 Linux 軟盤。對于 PC 來說，可啟動(dòng) CD 通常遵守 El Torito 規(guī)范，這會將磁盤上的某個(gè)文件(可能是隱藏的)當(dāng)作一個(gè)軟盤映像來使用。很多 LiveCD 都使用了一個(gè)壓縮的文件系統(tǒng)映像，其中通常提供了 cloop 壓縮 loopback 驅(qū)動(dòng)器來有效地雙倍利用存儲能力。

　　市場上有一些模擬器，可以用來試驗(yàn) LiveCD，而不用將其刻錄到 CD 上并在計(jì)算機(jī)上啟動(dòng)。支持最廣泛的 i386 模擬器是 VMWare;其他模擬器還有 Qemu、PearPC 和 Bochs，它們都可以用來模擬 x86 和/或 PowerPC® 平臺;但是根據(jù)它們所采用的模擬方法不同，它們的速度要比一些商業(yè)化的版本慢。另外一個(gè)商業(yè)版本的模擬器是 VirtualPC。

　　現(xiàn)在讓我們來看一看部分 LiveCD 的安全工具。

　　Auditor

　　Auditor 安全工具是基于 Knoppix 的。由于不用安裝，我們只需要將 CD 放到 CD-ROM 中幾分鐘就可以開始使用分析平臺了。

　　Auditor 的主要開發(fā)者 Max Moser 指出 LiveCD 環(huán)境的菜單結(jié)構(gòu)是它的最大優(yōu)點(diǎn)。即使用戶不清楚工具的名字，也可以使用正確的工具。除了大約 300 個(gè)工具之外，Auditor 安全包還包含了一些有關(guān)標(biāo)準(zhǔn)配置和密碼的培訓(xùn)信息，以及各種不同地區(qū)和語言的單詞列表，大約有 6400 萬條。CD 中還包含了一些輔助工具，例如 Web 瀏覽器、文本編輯器以及一些可以用來創(chuàng)建分析報(bào)告的圖形工具。

　　您可以使用 auditor-hdinstall 腳本將 Auditor 安裝到硬盤上。您應(yīng)該有 2 GB 的硬盤空間。安裝程序不會為您創(chuàng)建分區(qū)，因此要確保提前進(jìn)行分區(qū)和格式化。

　　LiveCD 的自動(dòng)配置腳本可以簡化對各種硬件的使用。Moser 指出無線工具(例如 Wellenreiter 和 Kismet)都可以使用自動(dòng)硬件識別工具進(jìn)行配置，這樣就避免了在使用無線網(wǎng)卡時(shí)所需要的那些煩人的配置任務(wù)。

　　圖 1. Auditor 工具

　　Whoppix

　　與 Auditor 類似，WhiteHat Knoppix 也是一個(gè)穿透測試(pengtest)工具。Whoppix 的誕生是由于其開發(fā)者 Muts 被要求對一個(gè)大型組織進(jìn)行一次內(nèi)部穿透測試。他解釋說，“Pentest 的指導(dǎo)原則是不允許我將其安裝在自己的筆記本上，也不能修改組織內(nèi)部的任何客戶機(jī)的配置，就像在本地計(jì)算機(jī)上安裝軟件一樣。”

　　Whoppix 是一個(gè)穿透測試的天堂。其中包含了很多有用的工具，以及大量知識庫(黑客用來獲得對您的系統(tǒng)的訪問權(quán)限的方法)。盡管 Muts 并不非常喜歡 CD 中的很多文檔，但是他打包時(shí)所采用的方法卻是惟一的。Muts 并沒有對這些工具進(jìn)行簡單的解釋，而是與其他幾個(gè)非常活躍的成員一起為這些工具提供了幾個(gè)很小的 flash 演示視頻圖像，這樣即使一個(gè)新手也可以明白如何攻擊一個(gè)未經(jīng)仔細(xì)配置的 msql 數(shù)據(jù)庫。

　　到版本 2.6 SP1 為止，Whoppix 都是使用缺省的 knoppix 內(nèi)核。新的版本(目前尚未發(fā)布)采用了一個(gè)定制的 2.6.11.5 版本的內(nèi)核，其中提供了對 WiFi 更好的支持(Orinoco 補(bǔ)丁)。

　　盡管您可以將 Whoppix 安裝到硬盤上，但是 Muts 并沒有對此提供強(qiáng)有力的支持。他的想法是提供一個(gè)可移植的 pentest 平臺，您可以直接利用這個(gè)平臺，而不用再經(jīng)歷懶惰的黑客計(jì)算機(jī)的設(shè)置過程。“我的長期目標(biāo)之一是為這些工具編寫文檔，并可能會出版一本叫做 'Whoppix hack ' 的書籍(非常類似于 'knoppix hacks')，” Muts 說。 “我正在尋找 Whoppix 的一些通用幫助，這既包括技術(shù)層面的，也包括其他的。如果有人愿意在這些文檔上為我提供一些幫助，那真是太好了。”

　　圖 2. Whoppix 工具

　　Knoppix-STD

#p#

　　這個(gè)發(fā)行版本也是一個(gè)定制過的 Knoppix 版本，它重點(diǎn)關(guān)注信息安全工具，因此就得名 STD(Security Tools Distribution)。 Knoppix-STD 目前由 Mark Cumming 進(jìn)行維護(hù)，從最初他就是一名非常活躍的貢獻(xiàn)者。 Cumming 這樣解釋 Knoppix-STD 的目標(biāo)以及它與其他類似項(xiàng)目的區(qū)別：“隨著所有的工具都開源之后，有很多工具所做的都是同樣的事情;安全 CD 也不例外。從頭開始，STD 的設(shè)計(jì)就不是用戶友好的;這就是說，我們并不會迎合大眾化的口味。實(shí)際的情況是我們使用 Linux 作為實(shí)現(xiàn)最終目的的一種手段;STD 是關(guān)于安全性工具的一套方案，而不是一個(gè) Linux，盡管我們有很多 Linux 的愛好者。STD 試圖盡量遠(yuǎn)離喧囂聲。我們并非沒有 xwindows，但是如果有一種簡單的終端方法可以實(shí)現(xiàn)所需要的功能，那么我們就使用這種方法;我們不會僅僅是出于興趣就開發(fā)一個(gè) GUI。我們并不關(guān)心要確保這是實(shí)現(xiàn)某種功能所特有的唯一工具;實(shí)際上，我們計(jì)劃包含目前可以使用的所有工具。”

　　STD 已經(jīng)為那些對安全性感興趣的人們建立了一個(gè)教學(xué)工具，這意味著其中包括很多的文檔。每個(gè)工具集都有自己的文檔目錄。您可以在 /usr/bin 中每個(gè)相關(guān)的工具集目錄中訪問這些工具。您會發(fā)現(xiàn)“粘蜜罐”、防火墻、IDS 以及一些網(wǎng)絡(luò)工具可幫助您更好地映射異構(gòu)網(wǎng)絡(luò)。

　　“現(xiàn)在我們正在建立一個(gè)開發(fā)團(tuán)隊(duì)機(jī)構(gòu)來繼續(xù)發(fā)展 STD 項(xiàng)目。我們試圖從 ‘一個(gè)人做所有的事情’ 這種模式轉(zhuǎn)換到一種更加開放的開發(fā)環(huán)境中，它可以組織成幾個(gè)單獨(dú)的小組，每個(gè)小組都具有自己的組長。這樣開發(fā)一個(gè) LiveCD 就可以利用開發(fā)和編譯 LiveCD 發(fā)行版的自然特性了。我們也不需要有實(shí)際硬件和帶寬基礎(chǔ)設(shè)施來支持 CVS 等。” Cumming 解釋說。他承諾說將來的版本會與現(xiàn)有的版本有顯著的區(qū)別，并對 WiFi 提供更好的支持。“將來，我們將開發(fā)對少量無線網(wǎng)卡的支持。我們需要對那些只購買了 9.99 美元最便宜網(wǎng)卡的用戶提供支持，這種支持的份量占據(jù)了我們開發(fā)的大部分時(shí)間。” Cumming 說。

　　您也可以將 STD 安裝到硬盤上，這可以使用普通的 Knoppix hd-install 腳本實(shí)現(xiàn)，默認(rèn)是包含這個(gè)腳本的。STD 進(jìn)行了很大的嘗試來幫助用戶修正問題，但是當(dāng)很多新用戶選擇 RedHat 桌面系統(tǒng)來直接替換 Knoppix 之后，他們就失去了官方支持。

　　STD 論壇非常活躍，如果您希望深入了解 Knoppix-STD，這是個(gè)好地方。

　　圖 3. Whoppix 中的缺陷測試

　　PHLAK

　　PHLAK(Professional Hacker Linux Assault Kit)是 Morphix 的一個(gè)派生版本。根據(jù) Morphix 的模塊化特性，用戶可以使用很小的模塊來添加自己的工具/設(shè)置，而不用換出整張 CD。Morphix 的所有開發(fā)特性在 PHLAK 中都可以使用。

　　“我們也可以在 PHLAK 中添加一些教育內(nèi)容。用戶可以瀏覽文檔來學(xué)習(xí)有關(guān)安全性的內(nèi)容，以及如何使用這些工具，”Shawn Hawkins 解釋說，他是 PHLAK 的開發(fā)人員之一，同時(shí)也是 Web 管理員。/usr/share/doc 下面的文檔大概有 118 MB。這里存放著有關(guān)各種安全工具的信息，分為 13 類，包括分析、認(rèn)證、審計(jì)、掃描和隧道。還有有關(guān)緩沖區(qū)溢出、防火墻、入侵檢測等更多內(nèi)容。“我們在 0.2-1 中所添加的另一個(gè)東西是 XPde，我們稱之為 'sneaky'，原因非常顯然(使用了一個(gè)偽 Linux 發(fā)行版)。當(dāng)然，我們還添加了一些自己的東西，整個(gè)主題，其他工具，等等，” Hawkins 說。

　　目前正在開發(fā)的 0.3 版本采用了新的 Morphix 基礎(chǔ)和 2.6 版本的內(nèi)核。Hawkins 還許諾說要提供更好的無線支持，Morphix 的新硬盤安裝程序、更多文檔以及一些新的安全工具。

　　您可以使用 Morphix 0.5Pre4 中提供的新安裝程序腳本將 PHLAK 安裝到硬盤中。它已經(jīng)為滿足 PHLAK 的要求進(jìn)行了一些修改，大約會拷貝 1.5 到 2.0 GB 的數(shù)據(jù)。

　　在長期運(yùn)行過程中，您可能期望使用一個(gè)精簡版本的 PHLAK，它可以安裝在一個(gè) 128 MB 或 256 MB 的 USB 閃存上。Hawkins 還討論了有關(guān)在將來的 PHLAK 發(fā)行版本中包含一個(gè)新文件系統(tǒng) unionfs 的問題，這個(gè)文件系統(tǒng)讓那些從 CD 引導(dǎo)的用戶可以對文件系統(tǒng)進(jìn)行寫操作。雖然這不會將用戶的信息保存到 CD 上，但是可以使用 apt-get 進(jìn)行升級，更新 nessus 插件，以及需要對這個(gè)文件系統(tǒng)具有寫權(quán)限的任何事情。

　　圖 4. PHLAK 中的文檔

　　結(jié)束語

　　盡管所有人都同意對系統(tǒng)或網(wǎng)絡(luò)進(jìn)行安全評估是一個(gè)關(guān)鍵問題，但進(jìn)行徹底的評估是一件非常耗時(shí)的任務(wù)，可能應(yīng)該與其他測試(例如性能測試)一起進(jìn)行;迅速檢查系統(tǒng)缺陷的能力也是一個(gè)非常有用的工具，這 4 種 LiveCD 形式的安全評估包可以解決這一問題。

【編輯推薦】