57、操作系统文件系统安全威胁与防护解析

操作系统文件系统安全威胁与防护解析

1. 系统初始攻击途径

1.1 UNIX 账户信息获取

在 UNIX 平台上， /etc/passwd 和 /etc/group 文件默认是全局可读的。若攻击者在 UNIX 系统拥有有效账户，就能获取部分 UNIX 账户数据库信息，可从这些文件中“筛选”账户和组的成员数据。不过，要盗用特定账户，还需破解 /etc/shadow 中的关联密码。

1.2 社会工程学与木马登录程序

• 社会工程学 ：可作为收集账户或权限侦察信息的手段，以实现权限提升。
• 木马登录程序 ：主要用于收集账户侦察信息，以获取系统权限或提升攻击者在系统中的权限。安装此类程序通常需要在操作系统平台上具备广泛的文件系统、进程和对象权限。

2. 文件系统与 I/O 资源攻击

2.1 攻击者可进行的活动

攻击者通过操纵系统文件系统，可进行多种权限提升和巩固活动，包括但不限于：
- 访问和修改操作系统或应用程序的配置文件（如启动文件、驱动程序、库等）。
- 访问和修改操作系统或应用程序的二进制文件（程序文件）。
- 访问和修改操作系统或应用程序的日志文件。
- 安装设备驱动程序并更新其配置。
- 安装外来可执行文件（如木马、后门程序、rootkit 等）。
- 在系统文件系统中隐藏文件或数据。
- 进行进程调试、