在現在技術肆虐的時代,入侵已經很常見了。因為Unix操作系統經常承當著關鍵任務,所以它經常是入侵者攻擊的首選目標。於是檢測入侵、保護系統安全是管理員的最為重要的任務之一。那麼,在沒有其它工具幫助的情況下,如何去判斷系統當前的安全性?如何去發現入侵呢?下面,我們來從幾個方面來考慮。
檢查Unix操作系統內核級後門
如果你的Unix操作系統被人安裝了這種後門,通常都是比較麻煩的,首先,檢查Unix操作系統加載的模塊,在LINUX系統下使用lsmod命令,在solaris系統下使用modinfo命令來查看。
這裡需要說明的是,一般默認安裝的LINUX加載的模塊都比較少,通常就是網卡的驅動;而solaris下就很多,沒別的辦法,只有一條一條地去分析。對內核進行加固後,應禁止插入或刪除模塊,從而保護系統的安全,否則入侵者將有可能再次對系統調用進行替換。我們可以通過替換create_module()和delete_module()來達到上述目的。
另外,對這個Unix操作系統內核進行加固模塊時應盡早進行,以防Unix操作系統調用已經被入侵者替換。如果Unix操作系統被加載了後門模塊,但是在模塊列表/proc/module裡又看不到它們。出現這種情況,需要仔細查找/proc目錄,根據查找到的文件和經驗來判斷被隱藏和偽裝的進程,當然目錄也可能不是隱藏的。
手工的入侵檢測行為對於Unix操作系統安全來說只是治標而不治本,多半還是依靠管理員的技巧和經驗來增強系統的安全性,沒有,也不可能形成真正的安全體系,雖然好過沒有,可以檢測和追蹤到某些入侵行為,但如果碰上同樣精通系統的入侵者就很難抓住蹤跡了。
搭建真正的安全體系需要配合使用入侵檢測Unix操作系統,一個優秀的入侵檢測系統輔以系統管理員的技巧和經驗可以形成真正的安全體系,有效判斷和切斷入侵行為,真正保護主機、資料。關於Unix操作系統檢查內核級後門的一些知識就介紹到這裡,希望大家看完之後更加的熟練運用。
