因为UNIX系统经常承当着关键任务,所以它经常是入侵者攻击的首选目标。于是检测入侵、保护系统安全是管理员的最为重要的任务之一。那么，在没有其它工具帮助的情况下，如何去判断系统当前的安全性？如何去发现入侵呢？下面给大家介绍一些常用到的检查方法：
　　
　　? 检查系统进程 #ps -aef or #ps aux
　　? 检查网络连接和监听端口 #netstat -an
　　? 检查系统日志，日志文件的属性和前后连续性
　　? 大量的端口扫描、帐号扫描，往往预示攻击的出现
　　？发现named或者syslogd等进程莫名其妙地掉了下来
　　? 检查系统中的core文件。#find / -name core -exec ls -l {} \； 根目录下有syslogd,
　　或者ftpd等产生的不明core文件往往也暗示了攻击或者入侵的出现
　　? 检查系统中的suid程序 #find / -perm -004000 -exec ls -l {} \;
　　? 检查系统中的sgid程序 #find / -perm -002000 -exec ls -l {} \;
　　? 检查所有的.rhosts文件 #find / -name .rhosts -exec ls -l {} \;
　　? 检查所有的.forward文件
　　？检查/etc/hosts.equiv文件的内容
　　? 检查系统中的帐号 #more /etc/passwd; #awk -F: '$3==0 {print $1}' /etc/passwd
　　? 检查系统帐号的口令设置
　　 2 空口令帐号 #awk -F: 'length($2)==0 {print $1}' /etc/shadow
　　 2 对比初始安装系统，确认系统缺省帐号的口令正确设置
　　 2 检查脆弱口令 #./john -single /etc/shadow
　　 2 检查是否有本来口令域为NP的系统帐号的口令域变为13个BASE64可显示字符
　　? 检查帐号口令shell设置的正确性。空表示sh。管理员应该对自己系统中
　　拥有正常shell的帐号非常清楚。
　　? 使用初始签名文件做比较，检查关键执行程序的完整性，如/bin/login, /bin/who,
　　/bin/netstat, etc
　　? 某主机的一个服务端口上出现拥塞现象，此时应该检查绑定在该端口上的服务类型。淹没式
　　和denial of service 式的攻击通常是欺骗攻击的先兆（或是一部分）。
　　? 日志中有人企图利用老的sendmail就是比较明显的攻击的信息，即有人在端口25上发出
　　了两三个命令，这些命令可能是企图欺骗服务器将/etc/passwd文件的拷贝以邮件的形式发
　　送给入侵者，另外show mount命令有可能是有人在收集计算机的信息。等等。
　　
　　

认证培训

热门专题　　　　　　　more

相关下载

论坛新帖

博 客