我們想很多朋友像我一樣,在使用Unix的時候,害怕電腦受到入侵的。我們今天就來學習一下如何來防范Unix入侵者的知識。下面是一些個人的經驗的總結,相信對於是否受到Unix入侵或者Unix-clonefreebsd,openbsd,netbsd,linux,etc)都是有用的:
系統管理員要定期去觀察系統的變化(如:文件,系統時間,等)
1. #ls -lac去查看文件真正的修改時間。
2. #cmp file1 file2來比較文件大小的變化。
我們一定要防止非法用戶使用suid(set-user-id)程序來得到ROOT 的權限。
1.首先我們要發現系統中所有的SUID程序。 #find / -type f -perm -4000 -ls
2.然後我們要分析整個系統,以保證系統沒有後門。
系統管理員要定時的檢查用戶的.rhosts,.forward文件
1.#find / -name .rhosts -ls -o -name .forward -ls
來檢查.rhosts文件是否包含'++',有則用戶可以遠程修改這個文件而不需要任何口令。
2.#find / -ctime -2 -ctime +1 -ls
來查看不到兩天以內修改的一些文件,從而判斷是否有非法用戶闖入系統。 要確認你的系統當中有最新的sendmail守護程序,因為老的sendmail守護程序允許其它Unix機器遠程運行一些非法的命令。
系統管理員應當要從你機器,操作系統生產商那裡獲得安全補丁程序,如果是自由軟件的話(如Linux平台,建議大家可以到linux.box.sk來獲得最好的安全程序和安全資料。)
下面有一些檢查方法來監測機器是否容易受到攻擊。
1.#rpcinfo -p來檢查你的機器是否運行了一些不必要的進程。
2.#vi /etc/hosts.equiv文件來檢查你不值得信任的主機,去掉。
3.如果沒有屏蔽/etc/inetd.conf中的tftpd,請在你的/etc/inetd.conf加入tftp dgram udp wait nobody /usr/etc/in.tftpd
in.tftpd -s /tftpboot
4.建議你備份/etc/rc.conf文件,寫一個shell script定期比較 cmp rc.conf backup.rc.conf
5.檢查你的 inetd.conf和/etc/services文件,確保沒有非法用戶在裡面添加一些服務。
6.把你的系統的/var/log/*下面的日志文件備份到一個安全的地方,以防止Unix入侵者#rm /var/log/*
7.一定要確保匿名FTP服務器的配置正確,我的機器用的是proftpd,在proftpd.conf一定要配置正確。
8.備份好/etc/passwd,然後改變root口令。一定要確保此文件不能夠Unix入侵者訪問,以防止它猜測。
9.如果你還不能夠防止Unix入侵者的非法闖入,你可以安裝ident後台守護進程和TCPD後台守護進程來發現Unix入侵者使用的帳號!
10.確保你的控制台終端是安全的,以防止非法用戶能夠遠程登陸你的網絡上來。
11.檢查hosts.equiv,.rhosts,hosts,lpd都有注釋標識#,如果一個Unix入侵者用它的主機名代替了#,那麼就意味著他不需要任何口令就能夠訪問你的機器。
經過這一系列的檢查。我想Unix入侵者應該無處可逃了,被我們發現了他的蹤跡,我們就應該學習如何來修復我們的電腦了。
