UNIX安全構(gòu)架經(jīng)驗(yàn)


下面是一些個(gè)人的經(jīng)驗(yàn)的總結(jié)，我相信對(duì)于是否受到入侵的UNIX或者UNIX-clone(freebsd,openbsd,netbsd,　linux,etc)都是有用的：
　　首先大家可以通過(guò)下面的系統(tǒng)命令和配置文件來(lái)跟蹤入侵者的來(lái)源路徑：
　　1.who------(查看誰(shuí)登陸到系統(tǒng)中)
　　2.w--------(查看誰(shuí)登陸到系統(tǒng)中，且在做什么)
　　3.last-----(顯示系統(tǒng)曾經(jīng)被登陸的用戶(hù)和TTYS）
　　4.lastcomm-(顯示系統(tǒng)過(guò)去被運(yùn)行的命令)
　　5.netstat--(可以查看現(xiàn)在的網(wǎng)絡(luò)狀態(tài)，如telnet到你機(jī)器上來(lái)的用戶(hù)的IP地址,還有一些其它的網(wǎng)絡(luò)狀態(tài)。)
　　6.查看router的信息。
　　7./var/log/messages查看外部用戶(hù)的登陸狀況
　　8.用finger 查看所有的登陸用戶(hù)。
　　9.查看用戶(hù)目錄下/home/username下的登陸歷史文件(.history.rchist,etc).后注:'who','w','last',和'lastcomm'這些命令依靠的是/var/log/pacct, /var/log/wtmp,/etc/utmp來(lái)報(bào)告信息給你。許多精明的系統(tǒng)管理員對(duì)于入侵者都會(huì)屏蔽這些日志信息(/var/log/*,/var/log/wtmp,etc)建議大家安裝tcp_wrapper非法登陸到你機(jī)器的所有連接)

　　接下來(lái)系統(tǒng)管理員要關(guān)閉所有可能的后門(mén)，一定要防止入侵者從外部訪(fǎng)問(wèn)內(nèi)部網(wǎng)絡(luò)的可能。(對(duì)FREEBSD感興趣的文章，可以看一下我在綠色兵團(tuán)中安全文獻(xiàn)中的FreeBSD網(wǎng)站的安全構(gòu)架(1) ).如果入侵者發(fā)現(xiàn)系統(tǒng)管理員發(fā)現(xiàn)他已經(jīng)進(jìn)入系統(tǒng)，他可能會(huì)通過(guò)rm -rf /*試著隱蔽自己的痕跡.

　　第三，我們要保護(hù)下面的系統(tǒng)命令和系統(tǒng)配置文件以防止入侵者替換獲得修改系統(tǒng)的權(quán)利。
　　1. /bin/login
　　2. /usr/etc/in.*文件(例如:in.telnetd)
　　3.inetd超級(jí)守護(hù)進(jìn)程(監(jiān)聽(tīng)端口，等待請(qǐng)求，派生相應(yīng)服務(wù)器進(jìn)程)喚醒的服務(wù).(下列的服務(wù)器進(jìn)程通常由inetd啟動(dòng):
　　fingerd(79),ftpd(21),
　　rlogind(klogin,eklogin,etc),rshd,talkd,telnetd(23),tftpd. inetd還可以啟動(dòng)其它內(nèi)部服務(wù)，/etc/　inetd.conf中定義的服務(wù).
　　4.不允非常ROOT用戶(hù)使用netstat,ps,ifconfig,su

　　第四，系統(tǒng)管理員要定期去觀察系統(tǒng)的變化（如：文件，系統(tǒng)時(shí)間，等）
　　1. #ls -lac去查看文件真正的修改時(shí)間。
　　2. #cmp file1 file2來(lái)比較文件大小的變化。

　　第五，我們一定要防止非法用戶(hù)使用suid(set-user-id)程序來(lái)得到ROOT 的權(quán)限。
　　1.首先我們要發(fā)現(xiàn)系統(tǒng)中所有的SUID程序。
　　　#find / -type f -perm -4000 -ls
　　2.然后我們要分析整個(gè)系統(tǒng)，以保證系統(tǒng)沒(méi)有后門(mén)。

　　第六，系統(tǒng)管理員要定時(shí)的檢查用戶(hù)的.rhosts,.forward文件，
　　1.#find / -name .rhosts -ls -o -name .forward -ls
　　來(lái)檢查.rhosts文件是否包含'++',有則用戶(hù)可以遠(yuǎn)程修改這個(gè)文件而不需要任何口令。
　　2.#find / -ctime -2 -ctime +1 -ls
　　來(lái)查看不到兩天以?xún)?nèi)修改的一些文件，從而判斷是否有非法用戶(hù)闖入系統(tǒng)。

　　第七，要確認(rèn)你的系統(tǒng)當(dāng)中有最新的sendmail守護(hù)程序，因?yàn)槔系膕endmail守護(hù)程序允許其它UNIX機(jī)器遠(yuǎn)程運(yùn)行一些非法的命令。

　　第八，系統(tǒng)管理員應(yīng)當(dāng)要從你機(jī)器，操作系統(tǒng)生產(chǎn)商那里獲得安全鋪丁程序，如果是自由軟件的話(huà)(如Linux平臺(tái)，建議大家可以到linux.box.sk來(lái)獲得最好的安全程序和安全資料。)

　　第九，下面有一些檢查方法來(lái)監(jiān)測(cè)機(jī)器是否容易受到攻擊。
　　1.#rpcinfo -p來(lái)檢查你的機(jī)器是否運(yùn)行了一些不必要的進(jìn)程。
　　2.#vi /etc/hosts.equiv文件來(lái)檢查你不值得信任的主機(jī)，去掉。
　　3.如果沒(méi)有屏蔽/etc/inetd.conf中的tftpd,請(qǐng)?jiān)谀愕?etc/inetd.conf加入tftp dgram udp wait nobody /usr/etc/in.tftpd
　　in.tftpd -s /tftpboot
　　4.建議你備份/etc/rc.conf文件，寫(xiě)一個(gè)shell script定期比較 cmp rc.conf backup.rc.conf
　　5.檢查你的 inetd.conf和/etc/services文件，確保沒(méi)有非法用戶(hù)在里面添加一些服務(wù)。
　　6.把你的系統(tǒng)的/var/log/*下面的日志文件備份到一個(gè)安全的地方，以防止入侵者#rm /var/log/*
　　7.一定要確保匿名FTP服務(wù)器的配置正確，我的機(jī)器用的是proftpd,在proftpd.conf一定要配置正確。
　　8.備份好/etc/passwd,然后改變r(jià)oot口令。一定要確保此文件不能夠入侵者訪(fǎng)問(wèn)，以防止它猜測(cè)。
　　9.如果你還不能夠防止入侵者的非法闖入，你可以安裝ident后臺(tái)守護(hù)進(jìn)程和TCPD后臺(tái)守護(hù)進(jìn)程來(lái)發(fā)現(xiàn)入侵者使用的帳號(hào)！
　　10.確保你的控制臺(tái)終端是安全的，以防止非法用戶(hù)能夠遠(yuǎn)程登陸你的網(wǎng)絡(luò)上來(lái)。
　　11.檢查hosts.equiv,.rhosts,hosts,lpd都有注釋標(biāo)識(shí)#，如果一個(gè)入侵者用它的主機(jī)名代替了#，那么就意味著他不需要任何口令就能夠訪(fǎng)問(wèn)你的機(jī)器.