政府领域的 Linux 系列在 2005 年采用了新的形式。今年的文章将为政府技术专家提供关于 Linux 和开源软件的基础信息。虽然我们将继续向您介绍专门使用开源解决方案的机构和项目，但我们也将提供关于政府可用的开源资源的信息。

在政府信息技术的日常工作中，采购问题、供应商关系、支持服务台电话、系统故障和游说占据了大多数决策者的注意力。 保持关键基础设施安全的整体图景很少受到足够的重视。 正因如此，许多官员忘记了战争的存在，而技术基础设施提供了容易攻击的目标。 然而，如果政府官员认识到问题的严重性，他们就无法避免关注它。

在本文中，我们探讨了威胁我们关键基础设施的敌对环境的某些方面，以及政府首席信息官如何保护他们的组织。 本文仅对问题提供了一个初步的了解，并敦促公共管理者“对此采取行动”。

每一天，每一秒，都有成千上万的人使用精密的工具扫描我们的网络，寻找漏洞，希望他们能够入侵并窃取金钱、破坏我们的指挥和控制系统以及扰乱商业和执法。 活动的规模和使用的方法似乎难以置信。 然而，您在传统媒体、国会辩论或立法者的议程中看不到太多关于问题程度的信息。 为什么？ 因为大型电信公司不想花费必要的时间或金钱来阻止这种活动。

下面，我们将通过真实生活中的例子向您展示每天发生的攻击类型。 我们将首先查看发生在防火墙后服务器上的事件。 您可以看到作恶者是如何试图闯入系统并消失在他或她的服务提供商的安全范围内的。 在阅读第一个示例时，请记住，采取的安全措施阻止了这次企图利用的实际发生。

我们运行一台位于 ISP 的强化 Linux 服务器，该服务器已通过 DoD 供应商安全审计。 每天我们的服务器都会生成 一份报告，报告试图利用的情况，其中识别了所有登录的 IP 地址，无论成功与否。 在 2004 年 12 月 24 日星期五，IP 地址为 66.126.78.114 的用户运行了一个名为 crack 的程序，该程序试图猜测用户 ID 和密码。 该程序尝试了 260 次渗透系统。 您可以在下面的日志报告摘录中看到

Failed logins from these:
andrew/password from 66.126.78.114: 5 Time(s)
angel/password from 66.126.78.114: 5 Time(s)
barbara/password from 66.126.78.114: 5 Time(s)
ben/password from 66.126.78.114: 5 Time(s)
betty/password from 66.126.78.114: 5 Time(s)
billy/password from 66.126.78.114: 5 Time(s)
black/password from 66.126.78.114: 5 Time(s)
blue/password from 66.126.78.114: 5 Time(s)
brandon/password from 66.126.78.114: 5 Time(s) 

请注意，破解者的程序如何按系统顺序进行，使用不同的名称和密码组合来尝试进入系统。

不幸的是，我们每天都会收到包含此类尝试的日志报告。 通常，作恶者使用多个 IP 地址来绕过我们对失败登录的限制。 一旦他们达到限制，程序就会切换到另一个 IP 地址，并系统地继续尝试查找用户名和密码的组合，以便他们能够访问我们的网络。

在这个特定的案例中，我决定追踪试图闯入我们系统的人。 使用一个名为 whois 的程序，我找到了 IP 地址所有者的来源。 图 1 表明，作恶者使用了 PacBell 作为互联网提供商，并且 IP 地址所有者的地址范围为 66.126.78.112-119。

图 1. 使用 whois 查找 IP 所有者

在本例中，我找到了与此 IP 地址范围的所有者关联的名称。 我从屏幕截图中删除了此人的姓名。 这并没有提供证据表明所有者是否实际执行了攻击。 在大多数情况下，互联网服务提供商在每次有人上网时都会分配不同的 IP 地址，并且无法找到姓名。

我联系了 PacBell，就企图利用系统事件提交了报告。 在服务热线等待了一个多小时后，我收到一条预先录制的消息，告诉我联系我的互联网服务提供商，他们必须报告企图破坏系统的情况。

因此，我向我们的 ISP 提交了一份报告，他们提取了我们的日志并验证了确实有人试图闯入我们的系统。 从那里，问题转到了 ISP 的合规办公室，该办公室联系了 PacBell。 在图 2 中，您可以看到我收到的电子邮件的摘录。

图 2. 电子邮件摘录

收到我们服务提供商的电子邮件后，我们向 abuse@pacbell.net 报告了该事件。 几天后，PacBell 通知我们它不会展开调查。 图 3 提供了我们在按照 PacBell 的指示并表明该公司“请回复”后收到的电子邮件副本。

虽然我们了解了一些关于情况的事实，但我们也知道 SBC 和 PacBell 尚未表明他们将企图闯入行为视为违反其可接受使用服务协议的行为。 他们也没有表示，即使如此，我们也会期望他们执行这些协议。

图 3. 回复摘录

首先，您的基础设施可能被利用。 如图 3 所示，ISP 表示：“由于收到的数量庞大，无法对这些投诉进行单独回复。” 可以将此视为另一种说法，“我们无法阻止滥用行为，因为存在太多了”。 另请注意，电子邮件中写道：“请注意，未经法院命令的同意，SBC 不会泄露任何机密的客户信息。” 可以将此视为另一种说法，“我们不会告发我们的客户”。

最终，SBC/PacBell 传递了一个简单的信息，即在保护自己免受敌人侵害方面，我们只能靠自己。 因此，虽然您可能认为您已尽一切必要措施来保护您的基础设施，但您并没有。

下一个示例演示了个人如何获取足够的信息来访问您的网络。 图 4 展示了一种简单有效的方法来获取所需的信息。

图 4. 伪造的通知

在此图中，您可以看到看起来像是来自知名电子商务交易提供商 PayPal 的警报。 任何拥有 PayPal 帐户的人只需单击提供的网站地址即可找出其帐户可能存在的问题。

但是，如果您右键单击链接，复制链接位置并将其粘贴到文本编辑器中，您会发现该链接实际上指向另一个位置，如图 5 所示。 我们称之为实际 URL 链接。 该网站托管了一个脚本，该脚本会将一个微型程序下载到 Windows Internet Explorer 浏览器，并开始向服务器广播有关您网络的信息。

图 5. 实际 URL 链接

我们执行了whois在 URL 上，发现一个域名注册给某人，其名称和地址是一组乱码字母。 在向 PayPal 报告该计划后，该公司联系了发布者并控制了该 URL。 图 6 显示了报告后域名注册的信息。

图 6. 向 PayPal 报告后的域名信息

PayPal 在不到一天的时间内处理了此事，但我们不知道这个短命的网站交付了多少间谍软件程序。 我们也不知道接收从不知情的网络内部传输给它的信息的服务器的位置。

在过去的几年中，大多数政府基础设施都使用了 Microsoft 网络协议，并且没有 Linux 为它们提供的那种保护。 无需大量工作即可过渡到更安全环境的几种方法包括使用为 Linux 编写并移植到 Microsoft 桌面上的软件，以及使用 Linux 代替您的 Microsoft 服务器。 事实上，许多机构已经开始使用 Mozilla Firefox 作为其默认浏览器，Mozilla Thunderbird 作为其电子邮件客户端，以及 OpenOffice.org 作为其生产力套件。 这些产品增加了 Microsoft Internet Explorer、Outlook 或 Microsoft Office 中没有的保护措施。 OpenOffice.org 还提供与 Microsoft Word、Excel 和 PowerPoint 的文件兼容性。

Linux 还可以取代 Microsoft NT 和 Windows 2000 服务器。 通过使用 Samba 和各种 Linux BackOffice 解决方案，您可以提供比现有基础设施更高的安全级别。 您的 Windows 用户会发现这些服务器是透明的。

Linux 桌面也可以在 Intel 平台上良好运行，并且可以融入 Microsoft 网络，而无需更改整体基础设施。 许多 Linux 桌面已经可以利用 Active Directory、网络浏览、共享目录和 Microsoft Exchange 服务器。 在未来一年内，大多数 Linux 发行版都将像手套一样适合您现有的基础设施。

本文仅触及了威胁我们关键基础设施的各种漏洞利用的表面。 在未来的文章中，我们将更深入地解释此类漏洞利用，并向您展示 Linux 如何为希望获得更高安全性的政府提供低成本且安全的解决方案。