Linux/UNIX最新十大安全漏洞

SANS（SysAdmin audit Network Security，系统管理和网络安全审计委员会，这是一个由政府，企业和学术专家组成的安全研究和教育机构）和FBI（Federal Bureau of Investigation，美国联邦调查局）又一次合作发布IT安全漏洞列表的更新版本，这些安全漏洞在他们看来最容易被人利用。和往常一样，这次他们仍然将这个列表分成Windows的安全漏洞与Linux/Unix的安全漏洞。

Linux/UNIX的十大安全漏洞

下面列出的是Linux/UNIX的十大安全漏洞，在这里是按照其危险程度依次列出的。

1、BIND域名系统
第一个要提到的问题仍然是众所周知的BIND（伯克利因特网名字域）系统。BIND之所以非常关键，是因为它现在是世界上最受欢迎的DNS，因此它也是最容易成为黑客触发拒绝服务攻击（DoS）的目标。

需要注意的是，人们开发和支持BIND系统并非真的要责备那些成功的攻击。最初的漏洞可能是他们自身的失误造成的，但是没有一个软件是完美的，并且一旦出现了问题，ISC BIND很快就提供了补丁和/或者更新版本。问题是管理员往往喜欢运行老版本的BIND，并且他们不是有规律的更新他们的软件，因为老版本的BIND现在运行的也不错。

为了消除可能存在的安全漏洞，BIND网页站点上到处都是更新版本的警告，这也是为什么有这么多成功攻击BIND系统的主要原因——大量的老版本并且配置很差的BIND仍然在使用。

实际上，可能是大多数Linux/UNIX版本装载了BIND系统，使得BIND能够得到广泛应用，而每个Linux/UNIX管理员应该知道在老的或者没有打补丁的BIND的版本中已经发现了很多个安全漏洞。

在SANS/FBI 的网页上提供了一些常用的“配置建议（configuration recommendations）”，通过应用这些建议，即使不能即时更新最新的补丁程序，也将可能大大减少潜在的安全漏洞。

2、远程过程调用（RPC）
RPC是一个远程工具，它允许在一台计算机上的程序运行在另一个远程计算机上，而这也正可能是网络非常有用的原因。RPC可以用于远程管理计算机，这使得它现在成为管理复杂网络的一个重要工具。

RPC所引起的最大的威胁是它的执行权限，通常情况下它不需要执行严格授权就可以运行，这使得黑客可以很容易的访问根（管理员）用户帐户。在系统上RPC常常处于激活状态，因此，RPC对于大多数情况下的Linux/UNIX安装来说是一个威胁，因为不必要的RPC服务常常处于激活状态。减少RPC威胁的第一步是将这些不必要的服务取消。

SANS提供了一些如何锁定不必要的RPC服务的建议。因为大多数安装不可能将所有的RPC服务都关闭，这是管理员需要经常维护的关键特征之一。RPC一直出现在这些安全漏洞列表中的事实说明，对于正确的处理RPC这个问题，很多系统目前都没有进行正确的配置或者维护。

3、Apache网页服务器
Apache非常流行，而且其应用也非常广泛。与微软的IIS经常受到黑客攻击相比而言，它的安全漏洞要少的多，但是这并不意味着没有必要更新Apache或者定期检查其新发现的安全漏洞。有些已经遭到黑客攻击的Apache管理员或许并没有意识到自己的系统受到了攻击，其原因可能是他们只是部分的缺省安装了系统。

这些人看起来好像没有大脑，如果你不需要Apache 服务器，就不要在系统上运行它。当然，根据事情的紧急程度，在所有的遗留系统都需要管理员来管理大量的补丁并处理其他安全漏洞时，你还会对有大量不应该运行的或者没有修补的、老版本的Apache服务器继续存在而感到奇怪吗？

如果你确实需要运行Apache服务器，即使你不能按时对新发现的安全漏洞进行修补，你可以通过以下方式来降低风险：

1）不要以根（root）用户来运行Apache服务器；
2）如果某个脚本语言不是真的需要，就让其失效；
3）不论在什么时候都尽可能以chroot 环境（chroot environment）来运行Apache服务器 。

4、UNIX中常见的没有口令或者弱口令的认证帐户
现在还出现这种问题的人真是没有大脑，许多管理员都将自动消除这种问题，但是，事实上这仍然是一个最容易被人利用的安全漏洞。我相信我的读者大概都很精明，在配置新的系统时不会忽略弱口令这种威胁，但是要考虑的是，你所管理的系统是否是其他人所配置遗留下来的系统。我想有这么多的系统容易受到弱口令的攻击的一个原因就是这些系统是别人安装而遗留下来的系统。

出现这种安全漏洞的另外一个原因是某些简单而且看起来相当合理的过程，但是你并没有认识到它的危险性。我在这里需要谈及的是对所有的新帐户使用相同口令的习惯。即使你强制使用在第一次登录就必须重新设置口令的策略，对于当前的或者以前的员工来说，这个口令大家都知道，使得这个口令对于他们来说仍然有一定有效周期。

5、明文服务
Sniffer攻击是最常见的攻击，而事实上许多Linux/UNIX 服务，如FTP对于会话的任何部分，即使是登录信息也不加密，这使得这种常见攻击实施起来更容易。Tcpdump程序将显示所有的明文传输过程，管理员可以使用这个工具来查看安全漏洞，不幸的是，黑客也可以这样做。为了降低这种风险，考虑使用HTTPS，POP2S，或者其他可以加密的方法来替换这种常见的明文服务。

6、Sendmail
Sendmail作为邮件传输代理，它的广泛使用意味着老版本或者未打补丁的版本中已知的安全漏洞将成为黑客们的共同目标。除了响应补丁策略，降低这种风险的主要方法是在不需要的时候让Sendmail失效或者在需要的时候用邮件收发的后台程序模式来运行Sendmail 。

7、简单网络管理协议（SNMP）
因为缺省情况下，SNMP都是处于激活状态，如果你不能使其失效，那它就是你必须进行维护的服务之一。SANS学院提供了一个免费的SNMP扫描工具。只需要向snmptool@sans.org 发送一个电子邮件就可以得到更多的信息。

8、SSH（Secure Shell）
SSH 是一个重要的安全工具，但是许多安装了这个工具的系统都没有进行正确维护或者配置。

9、错误的配置企业服务NIS/NFS
这里的主要威胁可能来自于缺省情况下这个服务总是处于激活状态这个事实，但是不论是否需要，都很少对其进行有效的维护。

10、公开的安全套接层（SSL）
在老版本的OpenSSL库中有许多漏洞，而且因为它常常被其他服务，如Apache服务器，甚至是Sendmail所用，因此也可能无法对其进行正确的维护。

最后寄语
最新的20个最大的安全漏洞列表与早期的SANS/FBI的安全漏洞列表从真正意义上来说并没有太多的不同，而更重要的是这将使得每个管理员都会非常仔细的查看这些安全漏洞。但是这也是黑客们都知道他们可以利用的漏洞，即便是这样，在这些警告发出数年之后，仍然有许多系统仍于容易被攻击的状态。

如果你准备投身于解决安全漏洞，那么你首先需要解决这些漏洞。大多数管理员往往都陷入新声明的安全威胁和新的补丁程序中，但是花一些时间来解决这些常见的容易被人利用的安全漏洞还是值得的。当然，并不是所有这些安全漏洞都可以通过一个简单的补丁就能够解决的，但是，管理员可以采取行动来减少由于操作系统和应用程序中根本的软件缺陷造成的影响，而这些缺陷又是由于最初的软件结构造成的。

再一次声明，从这个列表中可能得到的最大的教训是：你必须知道在系统上运行着什么服务，并且让其他实际上不需要的服务失效。

还可以参看
安全公司@Stake 宣布，在Opera 浏览器中有一个HREF 标签缓冲区溢出的安全漏洞。这个错误确定为CVE CAN-2003-0870，并且这个错误允许远程攻击者在容易受到攻击的系统上运行任何代码。对于那些想要跟踪这些事情的人来说，这个问题是在9月9日报告给Opera 的，并且很快得到了承认，在10月15日他们给出补丁程序，而@Stake 在五天后也给出了警告。（责任编辑：刘燕之）

查看本文的国际来源