很多朋友在使用Unix的時候,我是很害怕電腦受到入侵的。我們今天就來學習一下如何來防范Unix入侵者的知識。下面是一些個人的經驗的總結,相信對於是否受到Unix入侵或者Unix-clonefreebsd,openbsd,netbsd,linux,etc)都是有用的:
首先大家可以通過下面的系統命令和配置文件來跟蹤Unix入侵者的來源路徑:
1.who------(查看誰登陸到系統中)
2.w--------(查看誰登陸到系統中,且在做什麼)
3.last-----(顯示系統曾經被登陸的用戶和TTYS)
4.lastcomm-(顯示系統過去被運行的命令)
5.netstat--(可以查看現在的網絡狀態,如telnet到你機器上來的用戶的IP地址,還有一些其它的網絡狀態。)
6.查看router的信息。
7./var/log/messages查看外部用戶的登陸狀況
8.用finger 查看所有的登陸用戶。
9.查看用戶目錄下/home/username下的登陸歷史文件(.history.rchist,etc).後注:'who','w','last',和'lastcomm'這些命令依靠的是/var/log/pacct,/var/log/wtmp,/etc/utmp來報告信息給你。許多精明的系統管理員對於Unix入侵者都會屏蔽這些日志信息(/var/log/*,/var/log/wtmp,etc)建議大家安裝tcp_wrapper非法登陸到你機器的所有連接)
接下來系統管理員要關閉所有可能的後門,一定要防止Unix入侵Unix者從外部訪問內部網絡的可能。如果Unix入侵者發現系統管理員發現他已經進入系統,他可能會通過rm -rf /*試著隱蔽自己的痕跡.
我們要保護下面的系統命令和系統配置文件以防止Unix入侵者替換獲得修改系統的權利。
1. /bin/login
2. /usr/etc/in.*文件(例如:in.telnetd)
3.inetd超級守護進程(監聽端口,等待請求,派生相應服務器進程)喚醒的服務.(下列的服務器進程通常由inetd啟動:
fingerd(79),ftpd(21),
rlogind(klogin,eklogin,etc),rshd,talkd,telnetd(23),tftpd. inetd還可以啟動其它內部服務,
/etc/ inetd.conf中定義的服務.
4.不允非常ROOT用戶使用netstat,ps,ifconfig,su
這樣,我們就應該從中能但到是由有Unix入侵者光臨過了。這寫是初步的判斷。我們有更多更好用的方法,會在以後的文章中介紹給大家的。
