在我們經常使用Unix操作系統的過程中,很多的入侵者攻擊的首選目標就選擇了Unix操作系統。那麼,管理員的最為重要的任務也就包括了檢測入侵、保護系統安全。下面,我們就來學習下這個問題。
檢查Unix操作系統守護進程
檢查/etc/inetd.conf文件,輸入:cat /etc/inetd.conf | grep –v “^#”,輸出的信息就是你這台機器所開啟的遠程服務。一般入侵者可以通過直接替換in.xxx程序來創建一個後門,比如用/bin/sh 替換掉in.telnetd,然後重新啟動inetd服務,那麼telnet到服務器上的所有用戶將不用輸入用戶名和密碼而直接獲得一個rootshell。
檢查網絡連接和監聽端口
輸入netstat -an,列出本機所有的連接和監聽的端口,查看有沒有非法連接。
輸入netstat –rn,查看本機的路由、網關設置是否正確。
輸入 ifconfig –a,查看網卡設置。
檢查Unix操作系統日志
命令last | more查看在正常情況下登錄到本機的所有用戶的歷史記錄。但last命令依賴於syslog進程,這已經成為入侵者攻擊的重要目標。入侵者通常會停止Unix操作系統的syslog,查看Unix操作系統syslog進程的情況,判斷syslog上次啟動的時間是否正常,因為syslog是以root身份執行的,如果發現syslog被非法動過,那說明有重大的入侵事件。
在linux下輸入ls –al /var/log
在solaris下輸入 ls –al /var/adm
檢查wtmp utmp,包括messgae等文件的完整性和修改時間是否正常,這也是手工擦除入侵痕跡的一種方法。
檢查Unix操作系統中的core文件
通過發送畸形請求來攻擊服務器的某一服務來入侵Unix操作系統是一種常規的入侵方法,典型的RPC攻擊就是通過這種方式。這種方式有一定的成功率,也就是說它並不能100%保證成功入侵Unix操作系統,而且通常會在服務器相應目錄下產生core文件,全局查找系統中的core文件。
輸入find / -name core –exec ls –l {} \; 依據core所在的目錄、查詢core文件來判斷是否有入侵行為。
如此,我們就對Unix操作系統入侵的問題解釋了很多。希望大家對有所幫助。
