还剩2页未读,继续阅读
文本内容:
UNIX平安构架经历[转贴]Windows系统电脑资料下面是一些个人的经历的,相信对于是否受到入侵的UNIX或者UNIX-clonefreebsdopenbsd.bsdlinuxetc都是有用的首先大家可以通过下面的系统命令和配置文件来跟踪入侵者的途径
1.who------查看谁登陆到系统中
2.w--------查看谁登陆linuxetc都是有用的首先大家可以通过下面的系统命令和配置文件来跟踪入侵者的途径
1.who------查看谁登陆到系统中
2.w--------查看谁登陆到系统中,且在做什么
3.last-----显示系统曾经被登陆的用户和TTYS)
4.lastm-显示系统过去被运行的命令
6.查看router的信息
7./var/log/messages查看外部用户的登陆状况
8.用finger查看所有的登陆用户
9.查看用户目录下/home/username下的登陆历史文件.history.rchistetc.后注:whowlast和对于入侵者都会屏蔽这些日志信息/var/log/*/var/log/wtmpetc建议大家安装tcpwrapper非法登陆到你机器的所有连接接下来系统管理员要关闭所有可能的后门,一定要防止入侵者从外部访问内部网络的可能对FREEBSD感兴趣已经进入系统,他可能会通过rm-rf/*试着隐蔽自己的痕迹.第三,我们要保护下面的系统命令和系统配置文件以防止入侵者交换获得修改系统的权利
1./bin/login
2./usr/etc/in.*文件例如:in.teldfingerd79ftpd21rlogindkloginekloginetcrshdtalkdteld23tftpd.id还可以启动其它内部效劳,/etc/ id.conf中定义的效劳.
4.不允非常ROOT用户使用statpsifconfigsu第四,系统管理员要定期去观察系统的变化(如文件,系统时间,等)
1.#ls-lac去查看文件真正的修改时间,
2.#cmpfile1file2来比拟文件大小的变化第五,我们一定要防止非法用户使用suidset-user-id程序来得到ROOT的权限
1.首先我们要发现系统中所有的SUID程序#find/-typef-perm-4000-ls
2.然后我们要分析整个系统,以保证系统没有后门第六,系统管理员要定时的检查用户的.rhosts.forward文件,
1.#find/-name.rhosts-ls-o-name.forward-ls来检查.rhosts文件是否包含++有那么用户可以远程修改这个文件而不需要任何口令
2.#find/-ctime-2-ctime+1-ls来查看不到两天以内修改的一些文件,从而判断是否有非法用户闯入系统第七,要确认你的系统当中有最新的sendmail守护程序,因为老的sendmail守护程序允许其它UNIX机器远程运行一些非法的命令建议大家可以到linux.box.sk来获得最好的平安程序和平安资料第九,下面有一些检查方法来监测机器是否容易受到攻击
1.#rpcinfo-p来检查你的机器是否运行了一些不必要的进程
2.#vi/etc/hosts.equiv文件来检查你不值得信任的主机,去掉
3.假如没有屏蔽/etc/id.conf中的tftpd请在你的/etc/id.conf参加tftpdgramudpwaitnobody/usr/etc/in.tftpdin.tftpd-s/tftpboot
4.建议你备份/etc/rc.conf文件,写一个shellscript定期比拟cmprc.confbackup.rc.conf
5.检查你的id.conf和/etc/services文件,确保没有非法用户在里面添加一些效劳
6.把你的系统的/var/log/*下面的日志文件备份到一个平安的地方,以防止入侵者#rm/var/log/*
7.一定要确保匿名FTP效劳器的配置正确,我的机器用的是proftpd在proftpd.conf一定要配置正确
8.备份好/etc/passwd然后改变root口令一定要确保此文件不可以入侵者访问,以防止它猜想
9.假如你还不可以防止入侵者的非法闯入,你可以安装ident后台守护进程和TCPD后台守护进程来发现入侵者使用的帐号!
10.确保你的控制台终端是平安的,以防止非法用户可以远程登陆你的网络上来
11.检查hosts.equiv.rhostshostslpd都有注释标识#,假如一个入侵者用它的主机名代替了#,那么就意味着他不需要任何口令就可以访问你的机器.原文转自.ltesting.模板内容仅供参考 。