对于那些需要在因特网上提供服务或托管主机的人来说，保证您的系统在面对攻击时的安全是一个重要的事情。

mod\_security（一个开源的用于Web应用入侵检测及防护的引擎，可以无缝地集成到Web服务器）和mod\_evasive是两个在服务器端对抗暴力破解和(D)DoS攻击的非常重要的工具。

mod\_evasive，如它的名字一样，在受攻击时提供避实就虚的功能，它像一个雨伞一样保护Web服务器免受那些威胁。

安装mod\_security和mod\_evasive来保护Apache

在这篇文章中我们将讨论如何安装、配置以及在RHEL/CentOS6、7和Fedora 21-15上将它们整合到Apache。另外，我们会模拟攻击以便验证服务器做出了正确的反应。

以上以您的系统中安装有LAMP服务器为基础，所以，如果您没有安装，请先阅读下面链接的文章再开始阅读本文。

• 在RHEL/CentOS 7中安装LAMP

（LCTT 译注：本文有修改。原文为了在RHEL/CentOS 7或Fedora 21中使用同样的工具，而删除了它们自带的 firewalld，使用了旧式的iptables。译者以为这样并不恰当，因此，译文中做了相应删节，并增加了firewalld的相应脚本。）

步骤 1: 安装mod\_security和mod\_evasive

另外，在安装LAMP后，您还需要在RHEL/CentOS 7/6中开启EPEL仓库来安装这两个包。Fedora用户不需要开启这个仓库，因为epel已经是Fedora项目的一部分了。

# yum update && yum install mod_security mod_evasive

当安装结束后，您会在/etc/httpd/conf.d下找到这两个工具的配置文件。

# ls -l /etc/httpd/conf.d

mod\_security + mod\_evasive 配置文件

现在，为了整合这两个模块到Apache，并在启动时加载它们。请确保下面几行出现在mod\_evasive.conf和mod\_security.conf的顶层部分，它们分别为：

LoadModule evasive20_module modules/mod_evasive24.so
LoadModule security2_module modules/mod_security2.so

请注意modules/mod\_security2.so和modules/mod\_evasive24.so都是从/etc/httpd到模块源文件的相对路径。您可以通过列出/etc/httpd/modules的内容来验证（如果需要的话，修改它）：

# cd /etc/httpd/modules
# pwd
# ls -l | grep -Ei '(evasive|security)'

验证mod\_security + mod\_evasive模块

接下来重启Apache并且核实它已加载了mod\_evasive和mod\_security：

# service httpd restart         [在RHEL/CentOS 6和Fedora 20-18上]
# systemctl restart httpd       [在RHEL/CentOS 7和Fedora 21上]

# httpd -M | grep -Ei '(evasive|security)'     [输出已加载的静态模块和动态模块列表]

检查mod\_security + mod\_evasive模块已加载

步骤 2: 安装一个核心规则集并且配置mod\_security

简单来说，一个核心规则集（即CRS）为web服务器提供特定状况下如何反应的指令。mod\_security的开发者们提供了一个免费的CRS，叫做OWASP（[开放Web应用安全项目]）ModSecurity CRS，可以从下面的地址下载和安装。

下载OWASP CRS到为之创建的目录

# mkdir /etc/httpd/crs-tecmint
# cd /etc/httpd/crs-tecmint
# wget https://github.com/SpiderLabs/owasp-modsecurity-crs/tarball/master

下载mod\_security核心规则

解压CRS文件并修改文件夹名称

# tar xzf master
# mv SpiderLabs-owasp-modsecurity-crs-ebe8790 owasp-modsecurity-crs

解压mod\_security核心规则

现在，是时候配置mod\_security了

将示例的规则文件（owasp-modsecurity-crs/modsecuritycrs10\_setup.conf.example）拷贝为同名的配置文件。

# cp modsecurity_crs_10_setup.conf.example modsecurity_crs_10_setup.conf

并通过将下面的几行插入到web服务器的主配置文件/etc/httpd/conf/httpd.conf来告诉Apache将这个文件和该模块放在一起使用。如果您选择解压打包文件到另一个文件夹，那么您需要修改Include的路径：

<IfModule security2_module>
    Include crs-tecmint/owasp-modsecurity-crs/modsecurity_crs_10_setup.conf
    Include crs-tecmint/owasp-modsecurity-crs/base_rules/*.conf
</IfModule>

最后，建议您在/etc/httpd/modsecurity.d目录下创建自己的配置文件，在那里我们可以用我们自定义的文件夹（接下来的示例中，我们会将其命名为tecmint.conf）而无需修改CRS文件的目录。这样做能够在CRS发布新版本时更加容易的升级。

<IfModule mod_security2.c>
    SecRuleEngine On
    SecRequestBodyAccess On
    SecResponseBodyAccess On 
    SecResponseBodyMimeType text/plain text/html text/xml application/octet-stream 
    SecDataDir /tmp
</IfModule>

您可以在SpiderLabs的ModSecurity GitHub仓库中参考关于mod\_security目录的更完整的解释。

步骤 3: 配置mod\_evasive

mod\_evasive被配置为使用/etc/httpd/conf.d/mod\_evasive.conf中的指令。与mod\_security不同，由于在包升级时没有规则来更新，因此我们不需要独立的文件来添加自定义指令。

默认的mod\_evasive.conf开启了下列的目录（注意这个文件被详细的注释了，因此我们剔掉了注释以重点显示配置指令）：

<IfModule mod_evasive24.c>
    DOSHashTableSize    3097
    DOSPageCount        2
    DOSSiteCount        50
    DOSPageInterval     1
    DOSSiteInterval     1
    DOSBlockingPeriod   10
</IfModule>

这些指令的解释：

• DOSHashTableSize: 这个指令指明了哈希表的大小，它用来追踪基于IP地址的活动。增加这个数字将使得站点访问历史的查询变得更快，但如果被设置的太大则会影响整体性能。
• DOSPageCount: 在DOSPageInterval间隔内可由一个用户发起的针对特定的URI（例如，一个Apache 提供服务的文件）的同一个请求的数量。
• DOSSiteCount: 类似DOSPageCount，但涉及到整个站点总共有多少的请求可以在DOSSiteInterval间隔内被发起。
• DOSBlockingPeriod: 如果一个用户超过了DOSSPageCount的限制或者DOSSiteCount，他的源IP地址将会在DOSBlockingPeriod期间内被加入黑名单。在DOSBlockingPeriod期间，任何从这个IP地址发起的请求将会遭遇一个403禁止错误。

尽可能的试验这些值，以使您的web服务器有能力处理特定大小的负载。

一个小警告: 如果这些值设置的不合适，则您会蒙受阻挡合法用户的风险。

您也许还会用到以下其它有用的指令：

DOSEmailNotify

如果您运行有一个邮件服务器，您可以通过Apache发送警告消息。注意，如果SELinux已开启，您需要授权apache用户SELinux的权限来发送email。您可以通过下面的命令来授予权限：

# setsebool -P httpd_can_sendmail 1

接下来，将这个指令和其他指令一起加入到mod\_evasive.conf文件。

DOSEmailNotify [email protected]

如果这个指令设置了合适的值，并且您的邮件服务器在正常的运行，则当一个IP地址被加入黑名单时，会有一封邮件被发送到相应的地址。

DOSSystemCommand

它需要一个有效的系统命令作为参数，

DOSSystemCommand </command>

这个指令指定当一个IP地址被加入黑名单时执行的命令。它通常结合shell脚本来使用，比如在脚本中添加一条防火墙规则来阻挡某个IP进一步的连接。

写一个shell脚本在防火墙阶段处理IP黑名单

当一个IP地址被加入黑名单，我们需要阻挡它进一步的连接。我们需要下面的shell脚本来执行这个任务。在/usr/local/bin下创建一个叫做scripts-tecmint的文件夹（或其他的名字），以及一个叫做ban\_ip.sh的文件。

用于iptables防火墙

#!/bin/sh
# 由mod_evasive检测出，将被阻挡的IP地址
IP=$1
# iptables的完整路径
IPTABLES="/sbin/iptables"
# mod_evasive锁文件夹
mod_evasive_LOGDIR=/var/log/mod_evasive
# 添加下面的防火墙规则 (阻止所有从$IP流入的流量)
$IPTABLES -I INPUT -s $IP -j DROP
# 为了未来的检测，移除锁文件
rm -f "$mod_evasive_LOGDIR"/dos-"$IP"

用于firewalld防火墙

#!/bin/sh
# 由mod_evasive检测出，将被阻挡的IP地址
IP=$1
# firewalld-cmd的完整路径
FIREWALL_CMD="/usr/bin/firewall-cmd"
# mod_evasive锁文件夹
mod_evasive_LOGDIR=/var/log/mod_evasive
# 添加下面的防火墙规则 (阻止所有从$IP流入的流量)
$FIREWALL_CMD --zone=drop --add-source $IP
# 为了未来的检测，移除锁文件
rm -f "$mod_evasive_LOGDIR"/dos-"$IP"

我们的DOSSystemCommand指令应该是这样的：

DOSSystemCommand "sudo /usr/local/bin/scripts-tecmint/ban_ip.sh %s"

上面一行的%s代表了由mod\_evasive检测到的攻击IP地址。

将apache用户添加到sudoers文件

请注意，如果您不给予apache用户以无需终端和密码的方式运行我们脚本（关键就是这个脚本）的权限，则这一切都不起作用。通常，您只需要以root权限键入visudo来存取/etc/sudoers文件，接下来添加下面的两行即可：

apache ALL=NOPASSWD: /usr/local/bin/scripts-tecmint/ban_ip.sh
Defaults:apache !requiretty

添加Apache用户到Sudoers

重要: 在默认的安全策略下您只能在终端中运行sudo。由于这个时候我们需要在没有tty的时候运行sudo，我们必须像下图中那样注释掉下面这一行：

#Defaults requiretty

为Sudo禁用tty

最后，重启web服务器：

# service httpd restart         [在RHEL/CentOS 6和Fedora 20-18上]
# systemctl restart httpd       [在RHEL/CentOS 7和Fedora 21上]

步骤4: 在Apache上模拟DDoS攻击

有许多工具可以在您的服务器上模拟外部的攻击。您可以google下“tools for simulating DDoS attacks”来找一找相关的工具。

注意，您（也只有您）将负责您模拟所造成的结果。请不要考虑向不在您自己网络中的服务器发起模拟攻击。

假如您想对一个由别人托管的VPS做这些事情，您需要向您的托管商发送适当的警告或就那样的流量通过他们的网络获得允许。Tecmint.com不会为您的行为负责！

另外，仅从一个主机发起一个DoS攻击的模拟无法代表真实的攻击。为了模拟真实的攻击，您需要使用许多客户端在同一时间将您的服务器作为目标。

我们的测试环境由一个CentOS 7服务器[IP 192.168.0.17]和一个Windows组成，在Windows[IP 192.168.0.103]上我们发起攻击：

确认主机IP地址

请播放下面的视频（YT 视频，请自备梯子： https://www.youtube.com/-U_mdet06Jk ），并跟从列出的步骤来模拟一个DoS攻击：

然后攻击者的IP将被防火墙阻挡:

阻挡攻击者的IP地址

结论

在开启mod\_security和mod\_evasive的情况下，模拟攻击会导致CPU和RAM用量在源IP地址被加入黑名单之前出现短暂几秒的使用峰值。如果没有这些模块，模拟攻击绝对会很快将服务器击溃，并使服务器在攻击期间无法提供服务。

我们很高兴听见您打算使用（或已经使用过）这些工具。我们期望得到您的反馈，所以，请在留言处留下您的评价和问题，谢谢！

参考链接

• https://www.modsecurity.org/
• http://www.zdziarski.com/blog/?page_id=442

via: http://www.tecmint.com/protect-apache-using-mod_security-and-mod_evasive-on-rhel-centos-fedora/

作者：Gabriel Cánepa 译者：wwy-hust 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

虚拟私有服务器 （VPS）上启用 SSH 服务使得该服务器暴露到互联网中，为黑客攻击提供了机会，尤其是当 VPS 还允许root 直接访问时。VPS 应该为每次 SSH 登录成功尝试配置一个自动的 email 警告。 VPS 服务器的所有者会得到各种 SSH 服务器访问日志的通知，例如登录者、登录时间以及来源 IP 地址等信息。这是一个对于服务器拥有者来说，保护服务器避免未知登录尝试的重要安全关注点。这是因为如果黑客使用暴力破解方式通过 SSH 来登录到你的 VPS 的话，后果很严重。在本文中，我会解释如何在 CentOS 6、 CentOS 7、 RHEL 6 和 RHEL 7上为所有的 SSH 用户登录设置一个 email 警告。

1. 使用root用户登录到你的服务器；
2. 在全局源定义处配置警告（/etc/bashrc），这样就会对 root 用户以及普通用户都生效：

[root@vps ~]# vi /etc/bashrc

将下面的内容加入到上述文件的尾部。

echo 'ALERT - Root Shell Access (vps.ehowstuff.com) on:' `date` `who` | mail -s "Alert: Root Access from `who | cut -d'(' -f2 | cut -d')' -f1`" [email protected]

3. 你也可以选择性地让警告只对 root 用户生效：

[root@vps ~]# vi .bashrc

将下面的内容添加到/root/.bashrc的尾部：

echo 'ALERT - Root Shell Access (vps.ehowstuff.com) on:' `date` `who` | mail -s "Alert: Root Access from `who | cut -d'(' -f2 | cut -d')' -f1`" [email protected]

整个配置文件样例：

# .bashrc

# User specific aliases and functions

alias rm='rm -i'
alias cp='cp -i'
alias mv='mv -i'

# Source global definitions
if [ -f /etc/bashrc ]; then
        . /etc/bashrc
fi
echo 'ALERT - Root Shell Access (vps.ehowstuff.com) on:' `date` `who` | mail -s "Alert: Root Access from `who | cut -d'(' -f2 | cut -d')' -f1`" [email protected]

4. 你也可以选择性地让警告只对特定的普通用户生效（例如 skytech）：

[root@vps ~]# vi /home/skytech/.bashrc

将下面的内容加入到/home/skytech/.bashrc文件尾部：

echo 'ALERT - Root Shell Access (vps.ehowstuff.com) on:' `date` `who` | mail -s "Alert: Root Access from `who | cut -d'(' -f2 | cut -d')' -f1`" [email protected]

via: http://www.ehowstuff.com/how-to-get-email-alerts-for-ssh-login-on-linux-server/

作者：skytech 译者：theo-l 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

本期为大家准备了一些安全方面的书籍，无论你的安全设备有多么坚不可摧，防御流程有多么高效严密，都应当拥有一本安全方面的“武林秘籍”，知己知彼，才能百战不殆。

即日起，新浪微博关注@Linux中国 @图灵教育 并@ 一位你的好友，即有机会获赠以下图书。

微博地址：http://weibo.com/1772191555/Ca3NYyp9L

活动时间：2015年3月24日-3月31日

特此注意：

微博用户参与活动，注意查看@Linux中国\_笑语彦然 微博公布的中奖名单或留意您的微博私信。我们会通过微博私信的方式获取您的邮寄信息。

1、《Kali Linux & BackTrack渗透测试实战》

图书简介：

《Kali Linux & BackTrack渗透测试实战》基于编写团队的实际经验，围绕渗透测试进行了全面介绍，并选择“Kali Linux ( 包含BackTrack)”Live CD 作为讲解工具。下载BackTrack Live CD 和Kali Linux Live CD 后根据书中讲解逐步实践，可有效提高漏洞诊断效率，迎合市场对于计算机安全技术的要求。本书多次介绍BackTrack 在实际业务中对渗透测试的影响，通过BackTrack 工具实操让读者了解各流程中应用到的主要工具。书中不仅讲解了攻击者立场上的技术和方法，而且对实际管理业务中可以有效应用的部分以及攻击应对策略也做了说明。
无论是刚刚接触渗透测试、想要把握渗透测试业务流程的读者，还是需要全面掌握BackTrack 工具、希望了解后续版本Kali Linux 工具的变化和使用方法的读者，都能从中获益。
渗透测试业务整体流程理解
咨询业务经验、技巧及项目经理必备知识
Kali Linux Live CD与BackTrack工具分析简易方法
利用Kali Linux与BackTrack的诊断业务高效强化方案
攻击者角度的技术技巧与实际管理业务中的有效应对方案
利用BackTrack进行渗透测试的基础知识
Kali Linux与BackTrack的比较
利用Kali Linux进行渗透测试深化诊断的方法

试读样章：【第一章】

购买链接：http://product.china-pub.com/3770628

2、《Web渗透测试:使用Kali Linux》

图书简介：

《Web渗透测试：使用Kali Linux》是一本Web 渗透测试实践指南，全面讲解如何使用Kali Linux 对Web 应用进行渗透测试。两位安全领域的专家站在攻击者的角度，一步步介绍了渗透测试基本概念、Kali Linux 配置方式，带大家了解如何收集信息并发现攻击目标，然后利用各种漏洞发起攻击，并在此基础之上学会渗透测试，掌握补救易受攻击系统的具体技术。此外，书中还给出了撰写报告的最佳实践，其中一些范例可作为撰写可执行报告的模板。
《Web渗透测试：使用Kali Linux》适合所有渗透测试及对Web 应用安全感兴趣的读者，特别是想学习使用Kali Linux 的人阅读参考。有BackTrack 经验的读者也可以通过本书了解这两代工具包的差异，学习下一代渗透测试工具和技术。

试读样章：【第一章】

购买链接：http://product.china-pub.com/3804007

3、《黑客攻防技术宝典. iOS实战篇》

图书简介：

《黑客攻防技术宝典：iOS 实战篇》全面介绍iOS 的安全性及工作原理，揭示了可能威胁iOS 移动设备的所有安全风险和漏洞攻击程序，致力于打造一个更安全的平台。《黑客攻防技术宝典. iOS实战篇》内容包括：iOS 设备和iOS 安全架构、iOS 在企业中的应用（企业管理和服务提供）、加密敏感数据的处理、代码签名、沙盒的相关机制与处理、用模糊测试从默认iOS 应用中查找漏洞、编写漏洞攻击程序、面向返回的程序设计（ROP）、iOS 内核调试与漏洞审查、越狱工作原理与工具、基带处理器。
《黑客攻防技术宝典. iOS实战篇》适合所有希望了解iOS 设备工作原理的人学习参考，包括致力于以安全方式存储数据的应用开发人员、保障iOS 设备安全的企业管理人员、从iOS 中寻找瑕疵的安全研究人员，以及希望融入越狱社区者。

试读样章：【第一章】

购买链接：http://product.china-pub.com/3802076

4、《逆向工程核心原理》

图书简介：

《逆向工程核心原理》十分详尽地介绍了代码逆向分析的核心原理。作者在Ahnlab 研究所工作多年，书中不仅包括其以此经验为基础亲自编写的大量代码，还包含了逆向工程研究人员必须了解的各种技术和技巧。彻底理解并切实掌握逆向工程这门技术，就能在众多IT 相关领域进行拓展运用，这本书就是通向逆向工程大门的捷径。
想成为逆向工程研究员的读者或正在从事逆向开发工作的开发人员一定会通过本书获得很大帮助。同时，想成为安全领域专家的人也可从本书轻松起步。

试读样章：【第二章】 【第二十三章】 【第四十九章】

购买链接：http://product.china-pub.com/3769828

5、《社会工程 卷2：解读肢体语言》

图书简介：

《社会工程 卷2：解读肢体语言》介绍社会工程实践中的基本技能——如何了解别人真正想表达的内容，具体内容包括：非语言交流是如何运作的，手部、躯干、腿脚等肢体语言是如何揭示情绪的，关于人类面部和大脑的研究以及案例，社会工程的核心——诱导。作者将毕生的研究以及他本人在社会工程实践中如何使用这些知识都囊括在了本书中。
《社会工程 卷2：解读肢体语言》适合社会工程方面的专业技术人员以及一切希望能成为更棒的沟通者的读者。

试读样章：【第三章】

购买链接：http://product.china-pub.com/3770954

6、《社会工程：安全体系中的人性漏洞》

图书简介：

《社会工程：安全体系中的人性漏洞》首次从技术层面剖析和解密社会工程手法，从攻击者的视角详细介绍了社会工程的所有方面，包括诱导、伪装、心理影响和人际操纵等，并通过凯文·米特尼克等社会工程大师的真实故事和案例加以阐释，探讨了社会工程的奥秘。主要内容包括黑客、间谍和骗子所使用的欺骗手法，以及防止社会工程威胁的关键步骤。
《社会工程：安全体系中的人性漏洞》适用于社会工程师、对社会工程及信息安全感兴趣的人。

试读样章：【第一章】

购买链接：http://product.china-pub.com/3768859

建议用户尽快升级

Canonical发布新 OpenJDK 7 的安全公告，它已经提交到Ubuntu 14.04 LTS和Ubuntu 14.10 的仓库中。该更新修复了大量的问题和漏洞。

Ubuntu维护者已经升级了仓库中的OpenJDK包，并且含有大量的修复。这是一个重要的更新，其涵盖了少量的库。

安全公告中说“OpenJDK JRE中发现了一些信息泄露、数据完整性和可用性的漏洞。攻击者可以利用这些通过网络执行拒绝服务或者泄露信息。”

同样，“OpenJDK JRE中发现了关于信息泄露和完整性的漏洞。攻击者可以利用这点通过网络泄露敏感信息。”

这里有几个漏洞被开发者确认，并且由维护人员解决。关于该问题的详细描述，你可以参考Canonical的安全通告。建议用户尽快升级系统。

这个漏洞只要你升级到最新的openjdk 7相关的包就可以修复。要应用该补丁，用户需要运行升级管理程序。通常上，一个标准系统更新就会安装必要的更新。所有java相关的程序需要重新启动。

via: http://linux.softpedia.com/blog/OpenJDK-7-Vulnerabilities-Closed-in-Ubuntu-14-04-and-Ubuntu-14-10-471605.shtml

本文发布时间:29 Jan 2015, 16:53 GMT

作者：Silviu Stahie 译者：geekpi 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

最近使用Docker下载“官方”容器镜像的时候，我发现这样一句话：

ubuntu:14.04: The image you are pulling has been verified （您所拉取的镜像已经经过验证）

起初我以为这条信息引自Docker大力推广的镜像签名系统，因此也就没有继续跟进。后来，研究加密摘要系统的时候——Docker用这套系统来对镜像进行安全加固——我才有机会更深入的发现，逻辑上整个与镜像安全相关的部分具有一系列系统性问题。

Docker所报告的，一个已下载的镜像经过“验证”，它基于的仅仅是一个标记清单（signed manifest)，而Docker却从未据此清单对镜像的校验和进行验证。一名攻击者以此可以提供任意所谓具有标记清单的镜像。一系列严重漏洞的大门就此敞开。

镜像经由HTTPS服务器下载后，通过一个未加密的管道流进入Docker守护进程：

[decompress] -> [tarsum] -> [unpack]

这条管道的性能没有问题，但是却完全没有经过加密。不可信的输入在签名验证之前是不应当进入管道的。不幸的是，Docker在上面处理镜像的三个步骤中，都没有对校验和进行验证。

然而，不论Docker如何声明，实际上镜像的校验和（Checksum）从未经过校验。下面是Docker与镜像校验和的验证相关的代码片段，即使我提交了校验和不匹配的镜像，都无法触发警告信息。

if img.Checksum != "" && img.Checksum != checksum {
  log.Warnf("image layer checksum mismatch: computed %q,
             expected %q", checksum, img.Checksum)
}

不安全的处理管道

解压缩

Docker支持三种压缩算法：gzip、bzip2和xz。前两种使用Go的标准库实现，是内存安全（memory-safe)的，因此这里我预计的攻击类型应该是拒绝服务类的攻击，包括CPU和内存使用上的当机或过载等等。

第三种压缩算法，xz，比较有意思。因为没有现成的Go实现，Docker 通过执行(exec)xz二进制命令来实现解压缩。

xz二进制程序来自于XZ Utils项目，由大概2万行C代码生成而来。而C语言不是一门内存安全的语言。这意味着C程序的恶意输入，在这里也就是Docker镜像的XZ Utils解包程序，潜在地存在可能会执行任意代码的风险。

Docker以root权限运行 xz 命令，更加恶化了这一潜在威胁。这意味着如果在xz中出现了一个漏洞，对docker pull命令的调用就会导致用户整个系统的完全沦陷。

Tarsum

对tarsum的使用，其出发点是好的，但却是最大的败笔。为了得到任意一个加密tar文件的准确校验和，Docker先对tar文件进行解密，然后求出特定部分的哈希值，同时排除剩余的部分，而这些步骤的顺序都是固定的。

由于其生成校验和的步骤固定，它解码不可信数据的过程就有可能被设计成攻破tarsum的代码。这里潜在的攻击既包括拒绝服务攻击，还有逻辑上的漏洞攻击，可能导致文件被感染、忽略、进程被篡改、植入等等，这一切攻击的同时，校验和可能都是不变的。

解包

解包的过程包括tar解码和生成硬盘上的文件。这一过程尤其危险，因为在解包写入硬盘的过程中有另外三个已报告的漏洞。

任何情形下未经验证的数据都不应当解包后直接写入硬盘。

libtrust

Docker的工具包libtrust，号称“通过一个分布式的信任图表进行认证和访问控制”。很不幸，对此官方没有任何具体的说明，看起来它好像是实现了一些javascript对象标记和加密规格以及其他一些未说明的算法。

使用libtrust下载一个清单经过签名和认证的镜像，就可以触发下面这条不准确的信息（说不准确，是因为事实上它验证的只是清单，并非真正的镜像）：

ubuntu:14.04: The image you are pulling has been verified(您所拉取的镜像已经经过验证)

目前只有Docker公司“官方”发布的镜像清单使用了这套签名系统，但是上次我参加Docker管理咨询委员会的会议讨论时，我所理解的是，Docker公司正计划在未来扩大部署这套系统。他们的目标是以Docker公司为中心，控制一个认证授权机构，对镜像进行签名和（或）客户认证。

我试图从Docker的代码中找到签名秘钥，但是没找到。好像它并不像我们所期望的把密钥嵌在二进制代码中，而是在每次镜像下载前，由Docker守护进程通过HTTPS从CDN远程获取。这是一个多么糟糕的方案，有无数种攻击手段可能会将可信密钥替换成恶意密钥。这些攻击包括但不限于：CDN供应商出问题、CDN初始密钥出现问题、客户端下载时的中间人攻击等等。

补救

研究结束前，我报告了一些在tarsum系统中发现的问题，但是截至目前我报告的这些问题仍然没有修复。

要改进Docker镜像下载系统的安全问题，我认为应当有以下措施：

摒弃tarsum并且真正对镜像本身进行验证

出于安全原因tarsum应当被摒弃，同时，镜像在完整下载后、其他步骤开始前，就对镜像的加密签名进行验证。

添加权限隔离

镜像的处理过程中涉及到解压缩或解包的步骤必须在隔离的进程（容器？）中进行，即只给予其操作所需的最小权限。任何场景下都不应当使用root运行xz这样的解压缩工具。

替换 libtrust

应当用更新框架(The Update Framework)替换掉libtrust，这是专门设计用来解决软件二进制签名此类实际问题的。其威胁模型非常全方位，能够解决libtrust中未曾考虑到的诸多问题，目前已经有了完整的说明文档。除了已有的Python实现，我已经开始着手用Go语言实现的工作，也欢迎大家的贡献。

作为将更新框架加入Docker的一部分，还应当加入一个本地密钥存储池，将root密钥与registry的地址进行映射，这样用户就可以拥有他们自己的签名密钥，而不必使用Docker公司的了。

我注意到使用非Docker公司官方的第三方仓库往往会是一种非常糟糕的用户体验。Docker也会将第三方的仓库内容降为二等地位来看待，即使不因为技术上的原因。这个问题不仅仅是生态问题，还是一个终端用户的安全问题。针对第三方仓库的全方位、去中心化的安全模型既必须又迫切。我希望Docker公司在重新设计他们的安全模型和镜像认证系统时能采纳这一点。

结论

Docker用户应当意识到负责下载镜像的代码是非常不安全的。用户们应当只下载那些出处没有问题的镜像。目前，这里的“没有问题”并不包括Docker公司的“可信（trusted）”镜像，例如官方的Ubuntu和其他基础镜像。

最好的选择就是在本地屏蔽 index.docker.io，然后使用docker load命令在导入Docker之前手动下载镜像并对其进行验证。Red Hat的安全博客有一篇很好的文章，大家可以看看。

感谢Lewis Marshall指出tarsum从未真正验证。

参考

• 校验和的代码
• cloc介绍了18141行没有空格没有注释的C代码，以及5900行的header代码，版本号为v5.2.0。
• Android中也发现了类似的bug，能够感染已签名包中的任意文件。同样出现问题的还有Windows的Authenticode认证系统，二进制文件会被篡改。
• 特别的：CVE-2014-6407、 CVE-2014-9356以及 CVE-2014-9357。目前已有两个Docker安全发布有了回应。
• 参见2014-10-28 DGAB会议记录的第8页。

via: https://titanous.com/posts/docker-insecurity

作者：titanous 译者：Mr小眼儿 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

图片来源：Natalia Wilson，受Creative Commons许可

安全专家表示，Linux处理权限的方式仍有可能导致潜在的误操作。

但红帽对此不以为然，称 Alert Logic 于本周二（译者注：12月16日）公布的 grinch (“鬼精灵”) Linux漏洞根本算不上是安全漏洞。

红帽于周三发表简报 回应Alert Logic 说法，表示：“（Alert Logic的）这份报告错误地将正常预期动作归为安全问题。”

安全公司Alert Logic于本周二声称“鬼精灵”漏洞其严重性堪比 Heartbleed 臭虫，并称其是 Linux 系统处理用户权限时的重大设计缺陷，恶意攻击者可借此获取机器的root权限。

Alert Logic 称攻击者可以使用第三方Linux 软件框架Policy Kit (Polkit)达到利用“鬼精灵”漏洞的目的。Polkit旨在帮助用户安装与运行软件包，此开源程序由红帽维护。Alert Logic 声称，允许用户安装软件程序的过程中往往需要超级用户权限，如此一来，Polkit也在不经意间或通过其它形式为恶意程序的运行洞开方便之门。

红帽对此不以为意，表示系统就是这么设计的，换句话说，“鬼精灵”不是臭虫而是一项特性。

安全监控公司Threat Stack联合创造人 Jen Andre 就此在一篇博客中写道：“如果你任由用户通过使用那些利用了Policykit的软件，无需密码就可以在系统上安装任何软件，实际上也就绕过了Linux内在授权与访问控制。”

Alert Logic 高级安全研究员 James Staten 在发给国际数据集团新闻社(IDG News Service)的电子邮件中写道，虽然这种行为是设计使然，有意为之，但“鬼精灵”仍然可能被加以利用或修改来攻陷系统。

“现在的问题是表面存在一个薄弱环节，可以被用来攻击系统，如果安装软件包象其它操作一样，比如删除软件包或添加软件源，没有密码不行，那么就不会存在被恶意利用的可能性了。”

不过 Andre 在一次采访中也表示，对那些跃跃欲试的攻击者来说，想利用Polkit还是有一些苛刻限制的。

攻击者需要能够物理访问机器，并且还须通过外设键鼠与机器互动。如果攻击者能够物理访问机器，可以象重启机器进入恢复模式访问数据与程序一样地轻而易举的得手。

Andre表示，不是所有Linux机器都默认安装Polkit -- 事实上，其主要用于拥有桌面图形界面的工作站，在当今运行的Linux机器中占有很小的份额。

换句话说，“鬼精灵”并不具有象Shellshock那样广泛的攻击面， 后者存在于Bash shell中，几乎所有发行版无一幸免。

其他安全专家对“鬼精灵”漏洞也不以为然。

系统网络安全协会（SANS Institute）互联网风暴中心（Internet Storm Center）咨询网站的 Johanners Ullrich 在一篇博文中写道：“某种程度上，与很多Linux系统过分随意的设置相比，这个并算不上多大的漏洞。”

Ullrich 同时还指出，“鬼精灵”漏洞也并非完全“良性”，“可以很容易地加以利用，获得超出Polkit设置预期的权限。”

Andre指出，负责管理运行Polkit桌面Linux机器的管理员要做到心中有数，了解潜在的危险，检查那些程序是靠Polkit来管理的，确保系统无虞。

他还表示，应用开发者与Linux 发行者也应确保正确使用Polkit框架。

原始报告的另一位作者Even Tyler似乎也承认“鬼精灵”并非十分严重。

在开源安全邮件列表的一封邮件中，Bourland 提到攻击者需要借助其它漏洞，连同“鬼精灵”才能发起攻击时，他写道，“鬼精灵”就象个“开启界面的熟练工，但是本身并不能翻多高的浪。”

（Lucian Constantin 对本文也有贡献。）

via:http://www.computerworld.com/article/2861392/security0/the-grinch-isnt-a-linux-vulnerability-red-hat-says.html

作者：Joab Jackson 译者：yupmoon 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出