問:如何發現Unix系統已經被入侵?
答:Unix系統管理員應該重點關注文件系統、時間戳、日志文件、未知文件的內容和功能。通過審查這些內容獲得Unix是否已被入侵的信息。
問:機器運行telnet和rlogin是否增加站點的安全威脅?
答:是,嗅探器可以輕易的從telnet和rlogin所傳輸的數據中提取密碼。telnet可以連接任何正在監聽的端口,可以用來欺騙或者攻擊正常的協議。rlogin和某些文件在一起會組成系統漏洞。請確保打開你的telnet和rlogin的加密和驗證功能。
問:確保root帳號有歷史文件是一件很重要的事情麼?
答:多次經驗表明,歷史文件是系統遭受入侵以後獲取信息的最重要的來源之一。黑客可能會在入侵後刪除或修改歷史文件,所以要確保你有root賬號歷史文件的備份。
問:真的需要打系統補丁麼?
答:應該把所有的補丁都打上,無論這些補丁是不是安全相關的。不能及時的把最新的補丁應用於你的系統,會使你的安全架構受到威脅。安全架構的最高安全性,等於最弱一環的安全性。強調一點:安裝補丁的時候,最好保證以後改補丁可被卸載,並且一定要備份你的系統。
問:禁止使用端口111,能夠保證你的系統完全不受RPC攻擊麼?
答:禁止訪問111端口並不是總能避免惡意企圖者從遠程系統調用得到有用信息,在Solaris 2.x等操作系統下,rpcbind在TCP111端口和UDP111端口監聽,也在大於32770的端口監聽。攻擊者只須向rpcbind監聽的大於32770的udp端口發送簡單的請求即可,而不必向TCP/UDP111端口。
問:我發現了一個PAM錯誤消息,這是什麼意思呢?
答:這個消息是PAM和/或者ftpd配置錯誤的典型表現,其原因是ftpd被連接到了PAM庫(也就是說,通過-lpam連接)上,但是卻沒有安裝PAM或者在配置文件裡沒有使用。許多發行版的PAM配置文件錯誤。
