企業(yè)級Linux系統(tǒng)下的進程安全管理方法
在企業(yè)級的Linux應(yīng)用中,進程是整個計算機系統(tǒng)的一個主體,它需要通過一定的安全等級來對客體(包括系統(tǒng)中的文件、數(shù)據(jù)、設(shè)備等)發(fā)生作用。進程在一定條件下可以對諸如文件、數(shù)據(jù)庫等客體進行操作。如果進程用作其他不法用途,將給系統(tǒng)帶來重大危害。在當(dāng)前形形色色的面向Linux系統(tǒng)的攻擊中,許多網(wǎng)絡(luò)黑客都是通過種植“木馬”的辦法來達(dá)到破壞計算機系統(tǒng)和入侵的目的,而這些“木馬”程序無一例外的是需要通過進程這一方式在系統(tǒng)中運行才能發(fā)揮作用的。
作為服務(wù)器中占絕大多數(shù)市場份額的Linux系統(tǒng),要切實保證計算機系統(tǒng)的安全,我們必須對其進程進行安全管理。
Linux進程管理的方法主要包括:(1)確定并綜合分析系統(tǒng)中當(dāng)前運行進程的狀態(tài)及信息,包括內(nèi)存、CPU、執(zhí)行用戶身份、進程ID等,以確定其是否合法以及狀態(tài)是否正常;(2)事先限制進程所占用的系統(tǒng)資源,如文件系統(tǒng)資源和派生進程數(shù)目等,以合理控制進程的運行狀況。下面將對這些手段進行詳細(xì)介紹。
一、管理手段一:使用基本命令進行進程查看
傳統(tǒng)的方法可以通過Linux系統(tǒng)的一些基本命令進行Linux系統(tǒng)的進程查看和分析。Linux系統(tǒng)提供了who、w、ps和top等察看進程信息的系統(tǒng)調(diào)用,安全工作者可以通過結(jié)合使用這些系統(tǒng)調(diào)用,清晰地了解進程的運行狀態(tài)以及存活情況,從而采取相應(yīng)的措施,來確保Linux系統(tǒng)的安全。
其中,who命令主要用于查看當(dāng)前在線上的用戶情況。系統(tǒng)管理員可以使用who命令監(jiān)視每個登錄的用戶此時此刻的所作所為;w命令也用于顯示登錄到系統(tǒng)的用戶情況,但是與who不同的是,w命令功能更加強大,它不但可以顯示有誰登錄到系統(tǒng),還可以顯示出這些用戶當(dāng)前正在進行的工作,w命令是who命令的一個增強版;ps和top命令則是最基本同時也是非常強大的進程查看命令。使用這些命令可以動態(tài)和靜態(tài)地確定有哪些進程正在運行和運行的狀態(tài)、進程是否結(jié)束、進程有沒有僵死、哪些進程占用了過多的資源等等。
舉個例子,黑客在入侵系統(tǒng)后通過植入一些系統(tǒng)本沒有的非法進程來留作“后門”,以達(dá)到下次使用該系統(tǒng)資源或者利用該系統(tǒng)作為“肉雞”發(fā)動拒絕服務(wù)等來攻擊其他目標(biāo)主機的目的,而我們就可以結(jié)合上述命令來找出異常進程。
二、管理手段二:使用進程文件系統(tǒng)進行管理
管理手段一中所使用的命令行方式對Linux系統(tǒng)中的進程管理比較粗略和不全面,如果要進行全面地管理,可以借助進程文件系統(tǒng)(即PROC文件系統(tǒng))來獲取系統(tǒng)中運行進程所占用的內(nèi)存、CPU、中斷、命令行等情況,以輔助安全管理員進行惡意進程的發(fā)現(xiàn)和排查。
PROC文件系統(tǒng)是一個虛擬的文件系統(tǒng),通過文件系統(tǒng)的接口實現(xiàn),用于輸出系統(tǒng)的運行狀態(tài)。它以文件系統(tǒng)的形式,為操作系統(tǒng)本身和應(yīng)用進程之間的通信提供了一個界面,使應(yīng)用程序能夠安全、方便地獲得系統(tǒng)當(dāng)前的運行狀況和內(nèi)核的內(nèi)部數(shù)據(jù)信息,并可以修改某些系統(tǒng)的配置信息。另外,由于PROC以文件系統(tǒng)的接口實現(xiàn),因此用戶可以像訪問普通文件一樣對其進行訪問,但它只存在于內(nèi)存之中,并不存在于真正的物理磁盤當(dāng)中。所以,當(dāng)系統(tǒng)重啟和電源關(guān)閉的時候,該系統(tǒng)中的數(shù)據(jù)和信息將全部消失。
表1說明了該文件系統(tǒng)中一些重要的文件和目錄。
表1重要的PROC文件系統(tǒng)文件和目錄
下面舉個簡單的例子,說明安全管理員如何來全面查看系統(tǒng)中一個運行進程的相關(guān)信息。
(1)進程的基本信息都會存放在/proc文件系統(tǒng)中,具體位置是在/proc目錄下。通過使用如下命令可以查看系統(tǒng)中運行進程的相關(guān)信息,如圖1所示,其中顯示為系統(tǒng)中運行進程的信息所存放的目錄,每個進程對應(yīng)一個目錄,3193為例子使用的進程的詳細(xì)信息所在目錄:
圖1/ls/proc命令顯示結(jié)果
(2)切換到3193目錄,以方便詳細(xì)的查看進程信息,并列出進程詳細(xì)的狀態(tài)信息文件,如圖2所示:
圖2進程3193信息所在目錄
(3)在這些文件當(dāng)中,status這個狀態(tài)文件是比較重要的,包含了很多關(guān)于進程的有用的信息,用戶可以從這個文件獲得信息,如下所示:
其中,比較重要的字段詳細(xì)含義如下:
Name:scientific_comp//進程名
State:R(running)//進程運行狀態(tài)
Tgid:3193//進程組ID
Pid:3193//進程ID
PPid:3123//父進程ID
TracerPid:0//跟蹤調(diào)試進程ID
Uid:6004600460046004//進程所對應(yīng)程序的UID
Gid:6004600460046004//進程所對應(yīng)程序的GID
FDSize:256//進程使用文件句柄大小
Groups:6004//組信息
這樣,安全管理員就可以通過進程名、進程ID、父進程ID、UID、GID等信息來綜合判定系統(tǒng)中進程的合法狀態(tài),以捕捉非法進程,并進行后續(xù)處理。
三、管理手段三:限制進程使用的資源
在系統(tǒng)使用過程中,一些用戶編寫的進程可能無意識地創(chuàng)建一些大型的文件或者派生(fork)過多地進程,從而過度消耗系統(tǒng)資源,引起系統(tǒng)的不穩(wěn)定。同時,一些病毒也可能有派生多個進程的行為出現(xiàn),如臭名昭著的“震蕩波”病毒。這些都使得我們有必要來限制進程使用的資源,保證系統(tǒng)安全。
為了防止進程或者其子進程創(chuàng)建大型文件,可以使用ulimit命令來進行限制,具體的命令使用ulimit–f后接以K字節(jié)為單位指定的最大文件尺寸。圖3舉出了一個具體的例子加以說明。在該例子中,首先采用ulimit命令限制當(dāng)前shell進程可以創(chuàng)建的文件大小;然后,采用yes命令不斷寫入大量的字符串到test.txt文件中,該文件大小超過了ulimit命令許可的范圍,結(jié)果系統(tǒng)提示文件超過了大小,并終止了yes命令的不斷寫入過程。從后面使用ls命令來查看test.txt文件的大小來看,ulimit命令很好地將該文件大小限制在20KB的范圍之內(nèi)。
圖3ulimit命令使用示意
在實際的使用過程中,用戶可以降低自身的限制值,但是不能增加限制值。并且,只有root用戶才能在/etc/profile文件中增加ulimit選項的設(shè)置。因此,圖4中所示的增加自身限制值大小的操作是被禁止的;反之,圖5種所示的root用戶的操作就是允許的(請讀者注意圖4和圖5中使用不同的用戶進行操作)。
圖4不允許非root用戶增加ulimit值
圖5允許root用戶增加ulimit值
另外,值得注意的是:雖然能夠采用ulimit值來限制進程創(chuàng)建文件的大小,但是該機制并不能保證用戶創(chuàng)建多個相同大小的文件。比如,ulimit的限制值是20KB,那么該機制只能限制進程創(chuàng)建的單個文件大小不能超過20KB,而不能限制進程創(chuàng)建10個甚至100個20KB大小的文件。
Ulimit命令還可以用來限制單個用戶(父進程)所能調(diào)用的最大子進程個數(shù),以避免某個父進程由于無所限制的創(chuàng)建子進程而造成整個系統(tǒng)崩潰。
圖6給出了一個使用ulimit命令限制子進程無限調(diào)用的例子。首先,使用腳本編輯來自動生成進程;然后,使用ulimit命令來限制父進程調(diào)用的最大子進程個數(shù)為8。最后,可以看到當(dāng)創(chuàng)建到第9個時,系統(tǒng)報錯并阻斷子進程的再度調(diào)用。
圖6使用ulimit限制單個用戶調(diào)用的最大進程個數(shù)
【編輯推薦】
