关于Linux的安全问题
一、关闭不必要的服务
Linux的服务分为两种,一种是由inetd超级服务器来启动的,如:ftp、telnet等;对于这些服务来说,系统并不总是运行telnetd、 ftpd等服务进程,而是由inetd进程监听这些服务的服务端口,一旦有服务请求到达就启动对应的服务进程(如:telnetd等)来提供服务。另外一种是独立的服务器,系统一直运行有对应的服务进程。
关闭这两种服务的方法是不同的,对于inetd启动的进程:
inetd超级服务器的配置文件为/etc/inetd.conf,该文件指示了inetd应该监听哪些服务请求,并在请求时启动对应的服务。因此只要通过编辑/etc/inetd.conf文件就可以实现关闭不需要的服务,例如希望关闭pop3服务,则在编辑/etc/inetd.conf文件以前文件中有如下的内容:
pop-3 stream tcp nowait root /usr/sbin/tcpd ipop3d
要关闭pop3服务则在该行前添加注释符即可:
#pop-3 stream tcp nowait root /usr/sbin/tcpd ipop3d
通过编辑该文件,实现关闭不需要的服务(例如我的系统我仅仅开放了telnet和ftp服务)以后,则需要重新启动inetd超级服务器。首先找到inetd的进程号:
[root@aid /etc]# ps ax|grep inetd
358 ? S 0:00 inetd
然后重新启动inetd服务器:
[root@aid /etc]# kill -HUP 358
最后因为inetd.conf应该不允许普通用户读写,因此设置其访问权限为600:
chmod 600 /etc/inetd.conf
而且该文件应该不被任何用户修改,包括root用户。因此为了防止用户错误的修改该文件,为该文件添加不可修改位:
chattr i /etc/inetd.conf
对于独立服务器,则需要通过/usr/sbin/ntsysv命令来修改:
只需要服务前面通过空格键来选择是否在系统启动时启动该服务就可以实现关闭某个服务器,如:希望系统关闭dhcpd服务,则通过上下键选中该服务器,然后通过空格键去掉该服务前[ ]内的星号即表示系统启动时不开放该服务。若希望了解某个服务的具体含义,可以选择该服务以后按F1键来查看该服务的含义。
设置完毕以后,只有希望打开的服务前的[ ]内才会有星号。然后通过Tab键选择OK,按空格键。重新启动机器。
重新启动机器以后,可以通过下面的命令来察看系统打开了哪些服务,来决定是否已经关闭了不需要的服务,例如我仅仅希望提供telnet服务则:
[ideal@aid ideal]$ netstat -ln
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:23 0.0.0.0:* LISTEN
raw 0 0 0.0.0.0:1 0.0.0.0:* 7
raw 0 0 0.0.0.0:6 0.0.0.0:* 7
Active UNIX domain sockets (only servers)
Proto RefCnt Flags Type State I-Node Path
从上面的命令输出可以看到系统仅仅开放了23号端口,也就是telnet服务。
二、控制使用开放的服务的用户
在上面提到的/etc/inetd.conf的配置文件中,我们看到pop3服务配置一行的最后两个字段为:
/usr/sbin/tcpd ipop3d
很显然,pop3的服务器程序为ipop3d,那么/usr/sbin/tcpd又是什么含义呢?这是一个称为Tcp wrapper的安全程序。该程序用来在启动某个服务以前查看两个配置文件来决定该用户是否允许使用该服务。在/etc目录下,有两个文件: hosts.deny hosts.allow。
通过配置这两个文件,你可以指定哪些客户机允许使用这些服务。配置这两个文件是通过一种简单的访问控制语言来实现的,访问控制语句的基本格式为: 程序名列表,主机名/IP地址列表。
程序名列表指定一个或者多个提供相应服务的程序的名字,名字之间用逗号或者空格分隔,可以在inetd.conf文件里查看提供相应服务的程序名:如上面的文件示例中,pop所在行的最后一项就是所需的程序名:ipop3d。
主机名/IP地址列表指定允许或者禁止使用该服务的一个或者多个主机的标识,主机名之间用逗号或空格分隔。程序名和主机地址都可以使用通配符,实现方便的指定多项服务和多个主机。 当服务请求到达服务器时,访问控制软件就按照下列顺序查询这两个文件,直到遇到一个匹配为止:
1. 当在/etc/hosts.allow里面有一项与请求服务的主机地址项匹配,那么就允许该主机获取该服务
2. 否则,如果在/etc/hosts.deny里面有一项与请求服务的主机地址项匹配,就禁止该主机使用该项服务
3. 若均没有匹配,则允许使用该服务。若相应的配置文件不存在,访问控制软件就认为是一个空文件,所以可以通过删除或者移走配置文件实现对所有主机关闭所有服务。
在文件中,空白行或者以#开头的行被忽略,你可以通过在行前加 # 实 现注释功能。Linux提供了下面灵活的方式指定进程或者主机列表:
1. 一个以"."起始的域名串,如 .amms.ac.cn 那么就和这一项匹配成功
2. 以.结尾的IP串如 202.37.152. 那么IP地址包括202.37.152.的主机都与这一项匹配
3. 格式为n.n.n.n/m.m.m.m表示网络/掩码,如果请求服务的主机的IP地址与掩码的位与的结果等于n.n.n.n 那么该主机与该项匹配。
4. ALL表示匹配所有可能性
5. EXPECT表示除去后面所定义的主机。如:list_1 EXCEPT list_2 表示list_1主机列表中除去List_2所列 出的主机
6. LOCAL表示匹配所有主机名中不包含.的主机
上面的几种方式只是Linux提供的方式中的几种,但是对于我们的一般应用来说是足够了。我们通过举几个例子来说明这个问题:
例一:我们只希望允许同一个局域网的机器使用服务器的ftp功能,而禁止上面的ftp服务请求,本地局域网由 202.39.154. 、202.39.153. 和202.39.152. 三个网段组成。在hosts.deny文件中,我们定义禁止所有机器请求所有服务: ALL:ALL 在hosts.allow文件中,我们定义只允许局域网访问ftp功能:
in.ftpd: 202.39.154 202.39.153. 202.39.152.
这样,当非局域网的机器请求ftp服务时,就会被拒绝。而局域网的机器可以使用ftp服务。
然后重新启动你的 inetd进程:
/etc/rc.d/init.d/inet restart
但是hosts.deny|allow文件只控制/etc/inetd.conf文件中包含的服务的访问这些服务有/usr/bin/tcpd管理,监听接入的网络请求,然后与在hosts.allow和hosts.deny的中的服务比较,然后做出允许或拒绝的决定。
最后因为hosts.allow|hosts.deny应该不允许普通用户读写,因此设置其访问权限为600:
chmod 600 /etc/hosts.*
并且该文件应该不被任何用户修改,包括root用户。因此为了防止用户错误的修改该文件,为该文件添加不可修改位:
chattr i /etc/hosts.*
三、"/etc/exports"文件设置
如果通过NFS把文件共享出来,那么一定要配置"/etc/exports"文件,使得访问限制尽可能的严。这就是说,不要用通配符,不允许对根目录有写权限,而且尽可能只给只读权限。编辑exports文件(vi /etc/exports)加入:
例如:
/dir/to/export host1.mydomain.com(ro,root_squash)
/dir/to/export host2.mydomain.com(ro,root_squash)
"/dir/to/export"是你想共享出来的目录,host.mydomain.com是允许访问这个目录的计算机。
代表只读,代表不允许对根目录进行写操作。使这些改变生效,你还要运行 "/usr/sbin/exportfs -a"命令。
注意:在服务器上装NFS服务是会有安全隐患的,就我个人而言,不建议你使用NFS。
四、禁止使用控制台程序
一个最简单而且最常用的保证系统安全的方法就是禁止使用所有的控制台程序,如:shutdown和halt。可以运行下面的命令来实现:
[root@aid /]# rm -f /etc/security/console.apps/servicename
这里servicename是你要禁止的控制台程序名。除非你使用xdm,否则不要把xserver文件删掉,如果这样除了root之外,没有人可以启动 X服务器了。(如果使用xdm启动X服务器,这时root是唯一需要启动X服务器的用户,这才有必要把xserver文件删掉)。例如:
[root@deep]# rm -f /etc/security/console.apps/halt
[root@deep]# rm -f /etc/security/console.apps/poweroff
[root@deep]# rm -f /etc/security/console.apps/reboot
[root@deep]# rm -f /etc/security/console.apps/shutdown
[root@deep]# rm -f /etc/security/console.apps/xserver (如果删除,只有root可以启动X).
这些命令就可以禁止所有的控制台程序:halt、poweroff、reboot和shutdown。记住,只有装了Xwindow,删除xerver文件才会有效果。
五、"/etc/aliases"文件
aliases文件可能会造成安全隐患。例如:很多的软件产商都把 "decode"这个别名放在aliases文件里。这样做的目的是为了方便通过email传送二进制文件。在发送邮件的时候,用户把二进制文件用 "uuencode"转成ASCII文件,然后把结果发给接收端的"decode"。由这个别名让邮件信息通过"/usr/bin/uuencode"程序把二进制文件重新转换成ASCII文件。如果允许"decode"出现在aliases文件中,可以想象将会有什么样的安全隐患。
把定义"decode"这个别名的行从aliases文件中删除。同样地,每一个会运行程序的别名都要好好查看一下,很有可能要把它们删除掉。要使改动生效,还必须运行:
[root@deep]# /usr/bin/newaliases
编辑aliases文件(vi /etc/aliases),删除或注释掉下面这些行:
# Basic system aliases -- these MUST be present.
MAILER-DAEMON: postmaster
postmaster: root
# General redirections for pseudo accounts.
bin: root
daemon: root
#games: root
#ingres: root
nobody: root
#system: root
#toor: root
#uucp: root
# Well-known aliases.
#manager: root
#dumper: root
#operator: root
# trap decode to catch security attacks
#decode: root
# Person who should get roots mail
#root: marc
最后记得运行"/usr/bin/newaliases"使改变生效。
六、使系统对ping没有反应
防止你的系统对ping请求做出反应,对于网络安全很有好处,因为没人能够ping你的服务器并得到任何反应。TCP/IP协议本身有很多的弱点,黑客可以利用一些技术,把传输正常数据包的通道用来偷偷地传送数据。使你的系统对ping请求没有反应可以把这个危险减到最小。用下面的命令:
echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all
运行完这个命令后,系统对ping就没有反应了。可以把这一行加到"/etc/rc.d/rc.local"文件中去,这样当系统重新启动的时候,该命令就会自动运行。对ping命令没有反应,至少可以把绝大多数的黑客排除到系统之外,因为黑客不可能知道你的服务器在哪里。重新恢复对ping的响应,可以用下面的命令:
echo 0 /proc/sys/net/ipv4/icmp_echo_ignore_all"
七、不要显示系统提示信息
如果你不想让远程登录的用户看到系统的提示信息,你可以改变"/etc/inetd.conf"文件中的telnet设置:
telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -h
在末尾加上"-h"参数可以让daemon不显示任何系统信息,只显示登录提示。当然,只有在服务器上装了telnet服务器才有这样做的必要。
八、"/etc/host.conf"文件
Linux用解析器(resolver)库把主机名翻译成IP地址。"/etc/host.conf"文件定义主机名是怎样解析的。"/etc/host.conf"文件中的项告诉解析器库用什么服务,以什么顺序解析主机名。
编辑"host.conf"文件(vi /etc/host.conf)加入下面这些行:
# Lookup names via DNS first then fall back to /etc/hosts.
order bind,hosts
# We have machines with multiple IP addresses.
multi on
# Check for IP address spoofing.
nospoof on
order选项指明的是选择服务的顺序。上面"order bind, hosts"说的是解析器库解析文件名的时候先查询域名服务器,然后再查看"/etc/hosts"文件。因为性能和安全上的原因,最好将解析器库的查找顺序设成先查域名服务器(bind)。当然也要先安装了DNS/BIND软件,否则这样配置根本没有任何作用。
multi选项决定在"/etc/hosts"文件中出现的主机能不能有多个IP地址(多个网络界面)。具有多个IP网络界面的主机被称为具有多个网络界面(multiomed),因为同时有多个IP地址也就意味着这台主机有多个网络界面。例如:网关服务器就有多个IP地址,必须把这个选项设成ON。
nospoof选项指明不允许IP伪装。IP伪装是把自己伪装成别的计算机去欺骗其它的计算机,获得它的信任。这种攻击方法把自己伪装成别的服务器,并且与其它客户机、服务器和大型数据存储系统建立网络连接或其它类型的网络活动。不管对任何类型的服务器,这个选项都要设成ON。
九、防止源路由
路由和路由协议会导致一些问题。IP源路径路由(IP source routing),也就是IP包包含到达底目的地址的详细路径信息,是非常危险的,因为根据RFC 1122规定目的主机必须按原路径返回这样的IP包。如果黑客能够伪造原路径路由的信息包,那么它就能截取返回的信息包,并且欺骗你的计算机,让它觉得正在和它交换信息的是可以信任的主机。我强烈建议你禁止IP原路径路由以避免这个安全漏洞。
用下面的命令在你的服务器上禁止IP原路径路由:
for f in /proc/sys/net/ipv4/conf/*/accept_source_route; do
echo 0 $f
done
把上面的命令加到"/etc/rc.d/rc.local"文件中去,你就不用在系统重新启动之后再把这些命令敲一遍。注意,上面的命令将禁止所有的网络界面(lo、ethN、pppN,等等)的源路径路由包。
十、使TCP SYN Cookie保护生效
"SYN Attack"是一种拒绝服务(DoS)的攻击方式,会消耗掉系统中的所有资源,迫使服务器重新启动。拒绝服务(这种攻击方式用巨大的信息流来消耗系统的资源,以至于服务器不能够响应正常的连接请求)是很容易被黑客利用的。在2.1系列的内核中,"syn cookie"只是一个可选项,并没有使其生效。想要使其生效必须用下面的命令:
[root@aid /]# echo 1 /proc/sys/net/ipv4/tcp_syncookies
把这个命令加入"/etc/rc.d/rc.local"文件中,等下次系统重新启动的时候就不必重新敲一遍了。如果打算安装IPCHAINS防火墙,你就没有必要用这个命令,因为它已经包含在防火墙的脚本文件里了。
十一、特殊的帐号
禁止中不必要的预置帐号(每次升级或安装完都要检查一下)。Linux系统中就提供这样一些你可能不需要的预置帐号。如果确实不需要这些帐号,就把它们删掉。系统中有越多的帐号,就越容易受到攻击。
我们假定你已经在系统中使用shadow口令。如果不是这样,最好在系统中加上shadow口令的支持,因为这样系统会更安全。如果你是按照上一章介绍的方法安装服务器,那么在"安全验证配置"这一步就已经选上"Enable Shaow Passwords"这个选项了。
在系统中删除一个用户可以用这个命令:
[root@deep]# userdel username
在系统中删除一个组可以用这个命令:
[root@deep]# groupdel username
第一步 用下面的命令删除一些不必要的用户:
[root@deep]# userdel adm
[root@deep]# userdel lp
[root@deep]# userdel sync
[root@deep]# userdel shutdown
[root@deep]# userdel halt
[root@deep]# userdel news
[root@deep]# userdel uucp
[root@deep]# userdel operator
[root@deep]# userdel games (如果不用X Window服务器,可以删除这个用户)
[root@deep]# userdel gopher
[root@deep]# userdel ftp (如果没安装匿名ftp服务器,可以删除这个用户)
第二步 输入下面的命令删除一些不必要的组:
[root@deep]# groupdel adm
[root@deep]# groupdel lp
[root@deep]# groupdel news
[root@deep]# groupdel uucp
[root@deep]# groupdel games (delete this group if you don use X Window Server).
[root@deep]# groupdel dip
[root@deep]# groupdel pppusers
[root@deep]# groupdel popusers (delete this group if you don use pop server for email).
[root@deep]# groupdel slipusers
第三步
"不允许改变"位可以用来保护文件使其不被意外地删除或重写,也可以防止有些人创建这个文件的符号连接。删除"/etc/passwd"、 "/etc/shadow"、"/etc/group"或"/etc/gshadow"都是黑客的攻击方法。给口令文件和组文件设置不可改变位,可以用下面的命令:
[root@deep]# chattr i /etc/passwd
[root@deep]# chattr i /etc/shadow
[root@deep]# chattr i /etc/group
[root@deep]# chattr i /etc/gshadow
注意:如果将来要在口令或组文件中增加或删除用户,就必须先清除这些文件的不可改变位,否则就不能做任何改变。如果没有清除这些文件的不可改变位,安装那些会自动在口令文件和组文件中加入新用户的rpm软件包的时候,在安装过程中就会出现出错的提示。
十二、防止任何人都可以用su命令成为root
如果不想任何人都可以用"su"命令成为root或只让某些用户有权使用"su"命令,那么在"/etc/pam.d/su"文件中加入下面两行。建议尽量限制用户通过"su"命令成为root。
第一步
编辑su文件(vi /etc/pam.d/su)在文件的头部加入下面两行:
auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=wheel
加入这两行之后,"/etc/pam.d/su"文件变为:
#%PAM-1.0
auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=wheel
auth required /lib/security/pam_pwdb.so shadow nullok
account required /lib/security/pam_pwdb.so
password required /lib/security/pam_cracklib.so
password required /lib/security/pam_pwdb.so shadow use_authtok nullok
session required /lib/security/pam_pwdb.so
session optional /lib/security/pam_xauth.so
这两行的意思是只有"wheel"组的成员才能用su命令成为root。注意,"wheel"组是系统中用于这个目的的特殊帐号。不能用别的组名。
第二步
在"/etc/pam.d/su"配置文件中定义有"wheel"组,现在介绍一下怎样让一些用户可以用"su"命令成为"root"。下面是一个例子,让admin用户成为"wheel"组的成员,这样就可以用"su"命令成为"root":
[root@deep]# usermod -G10 admin
"G"是表示用户所在的其它组。"10"是"wheel"组的ID值,"admin"是我们加到"wheel"组的用户。用同样的命令可以让其他的用户可以用su命令成为root。
十三、 把rpm程序转移到一个安全的地方,并改变默认的访问许可
一旦在上用rpm命令安装完所有需要的软件,最好把rpm程序转移到一个安全的地方,如:软盘或其它你认为安全的地方。因为如果有人入侵了你的服务器,他就不能用rpm命令安装那些有害的软件。当然,如果将来要用rpm安装新的软件,你就要把rpm程序拷回原来的目录。把rpm程序移到软盘上,用下面的命令:
[root@deep]# mount /dev/fd0 /mnt/floppy/
[root@deep]# mv /bin/rpm /mnt/floppy/
[root@deep]# umount /mnt/floppy
注意:千万不要把rpm程序从系统中卸载掉,否则以后就不能重新安装它,因为安装rpm程序或其它软件包本身就要用rpm命令。
还有一点要注意的是,把rpm命令的访问许可从默认的755改成700。这样非root用户就不能使用rpm命令了。特别是考虑到万一在安装完新软件之后忘了把rpm程序移到一个安全的地方,这样做就更有必要了。
改变"/bin/rpm"默认的访问权限,用下面这个命令:
[root@deep]# chmod 700 /bin/rpm
十四、登录shell
为了方便重复输入很长的命令,bash shell可以在"~/.bash_history"文件("~/"是家目录,每个用户都是不一样的)中存500个曾经输入过的命令。每一个有自己帐号的用户,在自己的家目录中,都会有".bash_history"文件。可能会有这种情况,用户在不该输入口令的地方输入了口令,而输入的口令会在 ".bash_history"文件中保存下来。而且".bash_history"文件越大这种可能性也越大。
在"/etc/profile"文件中HISTFILESIZE和HISTSIZE这两行决定了系统中所有用户的 ".bash_history"文件可以保存多少命令。我建议把"/etc/profile"文件中的HISTFILESIZE和HISTSIZE都设成一个比较小的值,如:20。
编辑profile文件(vi /etc/profile),把这些行改成:
HISTFILESIZE=20
HISTSIZE=20
这样每个用户家目录下的".bash_history"就最多只能存20个命令。如果黑客试图在用户的"~/.bash_history"文件中发现一些口令,他就没有什么机会了。
十五、改变"/etc/rc.d/init.d/"目录下的脚本文件的访问许可
改变启动和停止daemon的脚本文件的权限。
[root@deep]# chmod -R 700 /etc/rc.d/init.d/*
这样只有root可以读、写和执行这个目录下的脚本。我想一般用户没有什么必要知道脚本文件的内容。
注意:如果你安装或升级了一个程序,要用到"/etc/rc.d/init.d/"中system V脚本,不要忘记再检查一下改变和检查这个脚本文件的许可。
为什么网络黑客能随便进入别人的电脑呢?
提起黑客,总是那么神秘莫测。在人们眼中,黑客是一群聪明绝顶,精力旺盛的年轻人,一门心思地破译各种密码,以便偷偷地、未经允许地打入政府、企业或他人的计算机系统,窥视他人的隐私。那么,什么是黑客呢? \x0d\x0a\x0d\x0a黑客(hacker),源于英语动词hack,意为“劈,砍”,引申为“干了一件非常漂亮的工作”。在早期麻省理工学院的校园俚语中,“黑客”则有“恶作剧”之意,尤指手法巧妙、技术高明的恶作剧。在日本《新黑客词典》中,对黑客的定义是“喜欢探索软件程序奥秘,并从中增长了其个人才干的人。他们不象绝大多数电脑使用者那样,只规规矩矩地了解别人指定了解的狭小部分知识。”由这些定义中,我们还看不出太贬义的意味。他们通常具有硬件和软件的高级知识,并有能力通过创新的方法剖析系统。“黑客”能使更多的网络趋于完善和安全,他们以保护网络为目的,而以不正当侵入为手段找出网络漏洞。 \x0d\x0a\x0d\x0a另一种入侵者是那些利用网络漏洞破坏网络的人。他们往往做一些重复的工作(如用暴力法破解口令),他们也具备广泛的电脑知识,但与黑客不同的是他们以破坏为目的。这些群体成为“骇客”。当然还有一种人兼于黑客与入侵者之间。 \x0d\x0a\x0d\x0a一般认为,黑客起源于50年代麻省理工学院的实验室中,他们精力充沛,热衷于解决难题。60、70年代,“黑客”一词极富褒义,用于指代那些独立思考、奉公守法的计算机迷,他们智力超群,对电脑全身心投入,从事黑客活动意味着对计算机的最大潜力进行智力上的自由探索,为电脑技术的发展做出了巨大贡献。正是这些黑客,倡导了一场个人计算机革命,倡导了现行的计算机开放式体系结构,打破了以往计算机技术只掌握在少数人手里的局面,开了个人计算机的先河,提出了“计算机为人民所用”的观点,他们是电脑发展史上的英雄。现在黑客使用的侵入计算机系统的基本技巧,例如破解口令(password cracking),开天窗(trapdoor),走后门(backdoor),安放特洛伊木马(Trojan horse)等,都是在这一时期发明的。从事黑客活动的经历,成为后来许多计算机业巨子简历上不可或缺的一部分。例如,苹果公司创始人之一乔布斯就是一个典型的例子。 \x0d\x0a\x0d\x0a在60年代,计算机的使用还远未普及,还没有多少存储重要信息的数据库,也谈不上黑客对数据的非法拷贝等问题。到了80、90年代,计算机越来越重要,大型数据库也越来越多,同时,信息越来越集中在少数人的手里。这样一场新时期的“圈地运动”引起了黑客们的极大反感。黑客认为,信息应共享而不应被少数人所垄断,于是将注意力转移到涉及各种机密的信息数据库上。而这时,电脑化空间已私有化,成为个人拥有的财产,社会不能再对黑客行为放任不管,而必须采取行动,利用法律等手段来进行控制。黑客活动受到了空前的打击。 \x0d\x0a\x0d\x0a但是,政府和公司的管理者现在越来越多地要求黑客传授给他们有关电脑安全的知识。许多公司和政府机构已经邀请黑客为他们检验系统的安全性,甚至还请他们设计新的保安规程。在两名黑客连续发现网景公司设计的信用卡购物程序的缺陷并向商界发出公告之后,网景修正了缺陷并宣布举办名为“网景缺陷大奖赛”的竞赛,那些发现和找到该公司产品中安全漏洞的黑客可获1000美元奖金。无疑黑客正在对电脑防护技术的发展作出贡献。 \x0d\x0a\x0d\x0a2,黑客攻击 \x0d\x0a\x0d\x0a一些黑客往往回采取一些几种方法,但是我很想说的是,一个优秀的黑客绝不会随便攻击别人的。 \x0d\x0a\x0d\x0a1)、获取口令 \x0d\x0a\x0d\x0a这又有三种方法:一是通过网络监听非法得到用户口令,这类方法有一定的局限性,但危害性极大,监听者往往能够获得其所在网段的所有用户账号和口令,对局域网安全威胁巨大;二是在知道用户的账号后(如电子邮件@前面的部分)利用一些专门软件强行破解用户口令,这种方法不受网段限制,但黑客要有足够的耐心和时间;三是在获得一个服务器上的用户口令文件(此文件成为Shadow文件)后,用暴力破解程序破解用户口令,该方法的使用前提是黑客获得口令的Shadow文件。此方法在所有方法中危害最大,因为它不需要像第二种方法那样一遍又一遍地尝试登录服务器,而是在本地将加密后的口令与Shadow文件中的口令相比较就能非常容易地破获用户密码,尤其对那些弱智用户(指口令安全系数极低的用户,如某用户账号为zys,其口令就是zys666、666666、或干脆就是zys等)更是在短短的一两分钟内,甚至几十秒内就可以将其干掉。 \x0d\x0a\x0d\x0a2)、放置特洛伊木马程序 \x0d\x0a\x0d\x0a特洛伊木马程序可以直接侵入用户的电脑并进行破坏,它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载,一旦用户打开了这些邮件的附件或者执行了这些程序之后,它们就会象古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中,并在自己的计算机系统中隐藏一个可以在windows启动时悄悄执行的程序。当您连接到因特网上时,这个程序就会通知黑客,来报告您的IP地址以及预先设定的端口。黑客在收到这些信息后,再利用这个潜伏在其中的程序,就可以任意地修改您的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等,从而达到控制你的计算机的目的。 \x0d\x0a\x0d\x0a3)、WWW的欺骗技术 \x0d\x0a\x0d\x0a在网上用户可以利用IE等浏览器进行各种各样的WEB站点的访问,如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会想到有这些问题存在:正在访问的网页已经被黑客篡改过,网页上的信息是虚假的!例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器,当用户浏览目标网页的时候,实际上是向黑客服务器发出请求,那么黑客就可以达到欺骗的目的了。 \x0d\x0a\x0d\x0a4)、电子邮件攻击 \x0d\x0a\x0d\x0a电子邮件攻击主要表现为两种方式:一是电子邮件轰炸和电子邮件“滚雪球”,也就是通常所说的邮件炸弹,指的是用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件,致使受害人邮箱被“炸”,严重者可能会给电子邮件服务器操作系统带来危险,甚至瘫痪;二是电子邮件欺骗,攻击者佯称自己为系统管理员(邮件地址和系统管理员完全相同),给用户发送邮件要求用户修改口令(口令可能为指定字符串)或在貌似正常的附件中加载病毒或其他木马程序(据笔者所知,某些单位的网络管理员有定期给用户免费发送防火墙升级程序的义务,这为黑客成功地利用该方法提供了可乘之机),这类欺骗只要用户提高警惕,一般危害性不是太大。 \x0d\x0a\x0d\x0a5)、通过一个节点来攻击其他节点 \x0d\x0a\x0d\x0a黑客在突破一台主机后,往往以此主机作为根据地,攻击其他主机(以隐蔽其入侵路径,避免留下蛛丝马迹)。他们可以使用网络监听方法,尝试攻破同一网络内的其他主机;也可以通过IP欺骗和主机信任关系,攻击其他主机。这类攻击很狡猾,但由于某些技术很难掌握,如IP欺骗,因此较少被黑客使用。 \x0d\x0a\x0d\x0a6)、网络监听 \x0d\x0a\x0d\x0a网络监听是主机的一种工作模式,在这种模式下,主机可以接受到本网段在同一条物理通道上传输的所有信息,而不管这些信息的发送方和接受方是谁。此时,如果两台主机进行通信的信息没有加密,只要使用某些网络监听工具,例如NetXray for windows 95/98/nt,sniffit for linux 、solaries等就可以轻而易举地截取包括口令和帐号在内的信息资料。虽然网络监听获得的用户帐号和口令具有一定的局限性,但监听者往往能够获得其所在网段的所有用户帐号及口令。 \x0d\x0a\x0d\x0a7)、寻找系统漏洞 \x0d\x0a\x0d\x0a许多系统都有这样那样的安全漏洞(Bugs),其中某些是操作系统或应用软件本身具有的,如Sendmail漏洞,win98中的共享目录密码验证漏洞和IE5漏洞等,这些漏洞在补丁未被开发出来之前一般很难防御黑客的破坏,除非你将网线拔掉;还有一些漏洞是由于系统管理员配置错误引起的,如在网络文件系统中,将目录和文件以可写的方式调出,将未加Shadow的用户密码文件以明码方式存放在某一目录下,这都会给黑客带来可乘之机,应及时加以修正。 \x0d\x0a\x0d\x0a8)、利用帐号进行攻击 \x0d\x0a\x0d\x0a有的黑客会利用操作系统提供的缺省账户和密码进行攻击,例如许多UNIX主机都有FTP和Guest等缺省账户(其密码和账户名同名),有的甚至没有口令。黑客用Unix操作系统提供的命令如Finger和Ruser等收集信息,不断提高自己的攻击能力。这类攻击只要系统管理员提高警惕,将系统提供的缺省账户关掉或提醒无口令用户增加口令一般都能克服。 \x0d\x0a\x0d\x0a9)、偷取特权 \x0d\x0a\x0d\x0a利用各种特洛伊木马程序、后门程序和黑客自己编写的导致缓冲区溢出的程序进行攻击,前者可使黑客非法获得对用户机器的完全控制权,后者可使黑客获得超级用户的权限,从而拥有对整个网络的绝对控制权。这种攻击手段,一旦奏效,危害性极大
黑客网络Naix支线怎么开启
1、你首先要删除正确的X-server。被蓝屏后,虽然有很多方法能找回X-server,但不管你用什么方法,先记住去log里找是谁黑你的。找到那个陌生的ip地址,记住它。
2、然后恢复图形界面后,直接connect到这个ip,再scan,找到Naix的主服务器(可能还要scan一次?我记不太清了)。这个服务器的x-server才是我们要删除的对象,其他的都是错误的,删了Naix是不会理你的。
3、重点:不要去提交“入侵行为必须惩罚”的任务!一旦Entropy回复你:“任务完成” ,你就错过了。
4、很多人表示知道要去删除Naix的X-server,也删除的正确的X-sys,但是最骚的是删了以后Naix并不理你,因为你错过了开启支线的点。一旦你提交了任务,你就错过点了。
5、所以,在你做“入侵行为必须惩罚”时,删了Naix的文件后,静静的等着他来艹(误)你就行了。
6、然后正常恢复图形界面,再去删他主服务器的x-server,他就会理你了。
7、有一个方法可以确定你是否错过了开支线的点。回复Naix “♥♥♥♥ you”,如果他回你了,说明你还没错过支线。如果显示:任务未完成,很遗憾,你需要重开档。
8、成功开启了支线就好好享受吧,后面很有意思的。
你的电脑极有可能正在被黑客通过网络入侵攻击,很可能是黑客利用安装的微软SQL ser
不用理就行了。有这个提示说明已经被拦截了。发起攻击的电脑一般是安装了sql并且没有打补丁的电脑感染了蠕虫病毒。是蠕虫病毒自动发起的攻击。这种蠕虫病毒的攻击在2004年的时候非常常见。那个时候人们的安全意识非常淡薄。安装了sql之后也不知道打补丁。蠕虫病毒经常利用这个漏洞(攻击1433端口)传播。也有人为的利用这个漏洞的。那个时候我就经常利用一款名为sqlhello2的软件反攻击感染了这种蠕虫病毒的电脑。
当然也不排除有人利用扫描软件扫描你的电脑1433端口,进行sa口令试探。现在这种攻击几乎不见了。你不理它也行,或者去网上找到我说的那款软件攻击一下这种电脑也行。就算你电脑安装了sql,如果打了补丁而且也没什么弱口令的话,也不用担心这种攻击。
求hacknet黑客网络攻略,被naix黑了怎么破?这关过不去啊
黑客网络教程百度网盘免费资源在线学习
链接:
提取码: 827u
黑客网络教程 最新最全计算机网络原理精讲视频教程
中科院网络工程师网络安全视频教程
算机网络原理视频教程
计算机网络 CCNA+网络安全 CCNA 网络工程师 CCNA - 网络基础 CCNA - 路由基础 CCNA - 交换基础 CCNA - 广域网 CCNA - 动态路由协议 CCNA - 策略及服务 NAT 网络地址转换 DHCP 服务
黑客网络新手指南翻译大全 黑客网络Hacknet新手怎么玩
黑客网络Hacknet你会玩了吗?小伙伴们是不是正在为看不懂英文而烦恼呢,不要烦恼,今日小编为大家带来最全的新手指南,全中文翻译哦,感兴趣的玩家赶紧来看看吧!
Basic Tips 基础窍门
***IMPORTANT*** Some computers/servers may have different names on them, but what you need to do should be the same. Just follow the steps, you will be fine.
***非常重要*** 有些电脑/服务器可能有不同的名字,但你所要做的应该相同。遵循如下步骤,您就不会有问题。
DON'T abandon any missions atm!! It will most likey cause serious problems and make you unable to finish the game!
眼下,***请勿***放弃任何任务!!这很可能导致严重问题并最终无法完成游戏,毁掉您的存档!
1, Type commands as soon as possible.
2, Delete logs when you disconnect.
3, You need to reply almost every time you finish a mission.
4, Always use "Scan Network" option when you successfully hack a computer.
5, Don't delete/rename files unnecessarily. -This is important!!
6, Use auto-complete for commands and file names. (Tab key)
7, Always use "admin" "alpine" to log in to any eos devices.
1.尽速输入指令。(译者:更要善用Tab)
2.断线前别忘了删log。(译者:虽然我不删也没有什么麻烦……)
3.不要忘了完成任务时回复邮件。(极少数情况不需要)
4.成功骇入电脑时总扫描一遍主机。(译者:★★★★★推荐)
5.无必要时不要删除/重命名任何文件!—十分重要。
6.使用“自动拼写”(Tab键)输入指令及文件名。
7.不要忘了“admin”“alpine”这神奇的eos设备账户。
译者:即使你希望独立完成游戏,我也非常推荐您阅读这些提示,它们非常有用。另外我在此补充几条。
(但愿我没记错……)
1.SQL的入侵工具和KBT,即104端口入侵工具可以忽视Proxy和Firewall。
2.Firewall和Proxy的破解是独立的,你可以一边破解proxy一边analysis。更有甚者,用Tracekill可以允许您慢悠悠地破解完Firewall,再攻破proxy。
3.在shell里按overload破解proxy,对吧?然而如果内存不足,这些窗口会折叠,并在内存足够时展开。(如果我说的不清楚,可以试着在您的电脑上运行一堆shell并点按trap,然后关掉其中一个窗口。)除了略有点壮观以外,这是个“储存”足够多shell的小技巧。
4.不过,5~7个shell一般够了。
5.在几次analyze后弹出的几行文字里应该会各有一个字符,如果某一行里全是”0”怎么办?有时这意味着所对应的代码就是0。例如:(只是示范)
0 0 0 0 0 0 0 0 0 0 2 0 0 0
0 0 0 0 0 5 0 0 0 0 0 0 0 0
0 0 0 0 0 0 0 0 0 0 0 0 0 0
结果就是250。(我才不是250呢!)
Troubleshooting Common Problems
Q, I don't get an email to start a new mission!! What do I do now!?
A, Make sure to check following things:
1, Your previous mission has finished. (Click "Reply" in the email for it and see if "Mission Incomplete" message shows up.)
2, You don't have any available missions in your current faction's contracts server. (Or the message board if you're working on /el missions.)
3, Restart your game and your problem is still there.
常见问题解决方案。(疑难杂症)
Q:我得不到开始新任务的邮件!!我该怎么办!
A:出门检查您的邮筒(划掉)。请确认您已检查过以下条件。
1.你上一个的任务已完成。[尝试点按邮件中的“Reply”(回复)看会不会出现“Mission incomplete”(任务未完成)。]
2.在您现在所处的派系(Entropy,CSEC,…)没有可用的任务,或者
在/el任务里信息板上没有任务。
3.重启游戏问题仍存在。
For "gg wp" from Naix, you need to revenge Naix BEFORE you start any new Entropy mission. Details in "Naix Missions" section below.
对于Naix的“友善问好”,你要在完成Entropy任务***之前***对Naix报仇。下面的“Naix任务”一栏会给您帮助。
If none of these helps you, you might have had a critical bug... The devs are working on an update to fix many bugs, so wait for it... Meanwhile, you still can try 2 options:
1, Editing your save data (Here's the link: http:// Be super careful with your savedata.)
2, Start a new session (This is much easier... You also can work on achievements that you missed.)
若以上几条都不起作用,您已无药可救了(划掉)。您可能遇到了一个严重的bug(您不会连bug也不知道吧?)。开发者们(们?)在致力于更新游戏以修正bug。所以只能等了。
在此时,您可以尝试以下方法。
1.编辑您的存档。(敬参阅{链接已删除}请特别小心对待您的存档)
2.再开个存档。(不仅简单多了,还可以去做您以前忽略的成就。)
Q, I don't have the necessary exe file to do this mission!! UGGHHHH
A, Here is the list of exe files, and in which mission you can find them. Use "CTRL+F" on this guide and search for them.
Q.我怎么没有做任务所需的工具!!啊啊啊!!
A.这是exe文件列表及其来源,用"CTRL+F"在这指南里搜索一下。
SecurityTracer.exe - "First Contact", or on "Credit Server" after you finish the game.
SSHcrack.exe (for port 22) - "Getting Some tools together"
FTPBounce.exe (for port 21) - "Welcome"
eosDeviceScan.exe (for finding eos device) - "eOS Device Scanning"
SMTPoverflow.exe (for port 25) - "Aggression must be punished"
WebServerWorm.exe (for port 80) - "***Revenging Naix***", or "CSEC Invitation"
SQLBufferOverflow.exe (for port 1433) - "-Shrine of Polar Star-"
SQL_MemCorrupt.exe (for port 1433) - "CSEC Invitation - Congratulations"
Decypher.exe (for decrypting files) - "Ghosting the Vault"
DECHead.exe (for analyzing .dec files) - "Through the Spyglass"
KBT_PortTest.exe (for port 104) - "Project Junebug"
TraceKill.exe (for freezing traces) - "Bit -- Foundation"
Sequencer.exe (for the final hacking) - "Bit -- Termination"
Clock.exe (Um...just a clock app) - Read "-Finding Clock.exe-"
SecurityTracer.exe(安全追踪程序) -来自 "First Contact"(第一次沟通), 或在完成游戏时的"Credit Server" (荣誉服务器)上。
SSHcrack.exe (ssh协议破解器)(适用端口 22) - "Getting Some tools together"(收集些工具)
FTPBounce.exe (ftp“跳转攻击”破解器)(适用端口21) - "Welcome"(欢迎)
eosDeviceScan.exe(eos设备搜寻器) (适用寻找eos设备) - "eOS Device Scanning"(搜寻eos设备)
SMTPoverflow.exe(邮件过载破解器) (适用端口25) - "Aggression must be punished"(侵略者必将受惩处)
WebServerWorm.exe (网络蠕虫破解器)(适用端口80) - "***Revenging Naix***"(向Naix复仇 译者:这不是一个官方给出的任务名,我没记错的话。), or "CSEC Invitation"(CSEC诚邀您到来)
SQLBufferOverflow.exe (SQL内存缓冲区过载破解器)(适用端口1433) - "-Shrine of Polar Star-"(北极星圣地)
SQL_MemCorrupt.exe(SQL_内存错误破解器) (for port 1433) - "CSEC Invitation - Congratulations"(CSEC邀请-祝贺!)
(译者:根据另一个指南,这两个SQL破解器完全一样。)
Decypher.exe (解密器)(适用解密文件) - "Ghosting the Vault"[拱顶鬼神(?)]
DECHead.exe (十六进制文件头查看器/加密文件查看器?)(适用分析加密文件) - "Through the Spyglass"(通过望远镜)
KBT_PortTest.exe[KBT端口测试器(其实也是破解器。)] (适用端口104) - "Project Junebug"(Junebug项目)
TraceKill.exe(阻止追踪) (适用冻结追踪) - "Bit -- Foundation"(Bit-支柱)
Sequencer.exe(排序器) (适用最后骇入) - "Bit -- Termination"(Bit-终局)
Clock.exe (钟)(Hmm…只是个钟的软件) - Read "-Finding Clock.exe-"(敬参阅“寻找‘Clock.exe’”)
For KBT_PortTest.exe, you can try this method if you don't get "Project Junebug" unlocked, or mistakenly abandoned it. Thank you, Elsarild!
对于KBT_PortTest.exe,若您没有解锁“Junebug项目”,或失误取消了这个任务,可以试试这个方法。谢谢您,Elsarild!
http://
Q, I can't use this command somehow!! Fuuuuuuuuuuuuuuu
A, Make sure to check if you already have the necessary exe for the command, then try typing commands like below:
Q,由于某种原因我没法用这命令!(根据相关法律法规和政策,该信息不予公布)
A,确认您已具备所需的软件,然后根据以下范例输入命令。
译者:Hacknet的命令似乎更接近Linux。
Command Template - Example
命令 样板 - 范例
scp [the file's name] - scp index.html
connect [the IP address] - connect 103.33.8.643
cd [the folder path] - cd /log
replace [the file's name] "[target words]" "[your words]" - replace template.txt "[FIRST_NAME]" "John"
(If you use "cat" and open the file, you can use 'replace "[FIRST_NAME]" "John" ' instead. Use the full command above if you get "Assuming active flag file" error.)
Decypher [the file's name] [its password] - Decypher naix_secrets.dec D1CKS
DECHead [the file's name] - DECHead naix_private_photos.dec
mv [target's name] [new name] - mv template.txt Boorman_John[111]
scp (文件传输)[the file's name(文件名)] - scp index.html
connect(连接) [the IP address(IP地址)] - connect 103.33.8.643
cd (改变目录)[the folder path(文件地址)] - cd /log
replace(替换) [the file's name(文件名)] "[target words(文件中目标文字)]" "[your words(你想要替代它的文字)]" - replace template.txt "[FIRST_NAME]" "John"
[若您使用cat打开文件,你可以使用以下命令:“replace "[FIRST_NAME]" "John"”,若得到"Assuming active flag file"(译者:我对这句实在没辙……抱歉……)错误则打全整条命令。]
Decypher [the file's name(文件名)] [its password(其密码,有时没有)] - Decypher naix_secrets.dec D1CKS
mv(移动) [target's name(目标文件名)] [new name(新名)] - mv template.txt Boorman_John[111]
;wfr=spiderfor=pc
0条大神的评论