【正文】 統(tǒng)啟動 ,系統(tǒng)停止時間 ,以及由init(通常 init 只啟動 getty,login,登錄 shell),cron 啟動的進程和具有 root SUID 許可的命令外 ,不應(yīng)當(dāng)有任何 root 進程 .由記帳系統(tǒng)也可獲得有關(guān)每個用戶的 CPU 利用率 ,運行的進程數(shù)等統(tǒng)計數(shù)據(jù) .(2)其它檢查命令 *du：報告在層次目錄結(jié)構(gòu) (當(dāng)前工作目錄或指定目錄起 )中各目錄占用的磁盤塊數(shù) .可用于檢查用戶對文件系統(tǒng)的使用情況 .*df：報告整個文件系統(tǒng)當(dāng)前的空間使用情況 .可用于合理調(diào)整磁盤空間的使用和管理 .*ps：檢查當(dāng)前系統(tǒng)中正在運行的所有進程 .對于用了大量 CPU 時間的進程 ,同時運行了許多進程的用戶 ,運行了很長時間但用了很少 CPU 時間的用戶進程應(yīng)當(dāng)深入檢查 .還可以查出運行了一個無限制循環(huán)的后臺進程的用戶 ,未注銷戶頭就關(guān)終端的用戶 (一般發(fā)生在直接連線的終端 ).*who：可以告訴系統(tǒng)管理員系統(tǒng)中工作的進展情況等等許多信息 ,檢查用戶的登錄時間 ,登錄終 端 .*su：每當(dāng)用戶試圖使用 su 命令進入系統(tǒng)用戶時 ,命令將在 /usr/adm/sulog 文件中寫一條信息 ,若該文件記錄了大量試圖用 su 進入 root的無效操作信息 ,則表明了可能有人企圖破譯 root 口令 .*login：在一些系統(tǒng)中 ,login 程序記錄了無效的登錄企圖 (若本系統(tǒng)的 login 程序不做這項工作而系統(tǒng)中有 login 源程序 ,則應(yīng)修改 login).每天總有少量的無效登錄 ,若無效登錄的次數(shù)突然增加了兩倍 ,則表明可能有人企圖通過猜測登錄名和口令 ,非法進入系統(tǒng) .這里最重要的一點是：系統(tǒng)管理沒越熟悉自己的用戶和用戶 的工作習(xí)慣 ,就越能快速發(fā)現(xiàn)系統(tǒng)中任何不尋常的事件 ,而不尋常的事件意味著系統(tǒng)已被人竊密 . (3)安全檢查程序的問題關(guān)于以上的檢查方法的一個警告 ,若有誘騙 ,則這些方法中沒有幾個能防誘騙 .如 find 命令 ,如果碰到路徑名長于 256 個字符的文件或含有多于 200 個文件的目錄 ,將放棄處理該文件或目錄 ,用戶就有可能利用建立多層目錄結(jié)構(gòu)或大目錄隱藏 SUID 程序 ,使其逃避檢查 (但 find 命令會給出一個錯誤信息 ,系統(tǒng)管理員應(yīng)手工檢查這些目錄和文件 ).也可用 ncheck 命令搜索文件系統(tǒng) ,但它沒有 find 命令指定搜索哪種文件的功能 .如果定期存取 .profile文件 ,則檢查久未登錄用戶的方法就不奏效了 .而用戶用 su 命令時 ,除非用參數(shù) ,否則 su 不讀用戶的 .： .UNIX 記帳系統(tǒng)在文件 /usr/adm/acct/sum/login 中為每個用戶保留了最后一次登錄日期 .用這個文件的好處是 ,該文件由系統(tǒng)維護 ,所以可完全肯定登錄日期是準(zhǔn)確的 .缺點是必須在系統(tǒng)上運行記帳程序以更新 loginlog 文件 ,如果在清晨 (午夜后 )運行記帳程序 ,一天的登錄日期可能就被清除了 ../etc/passwd 文件中的口令時效域 將能告訴系統(tǒng)管理員 ,用戶的口令是否過期了 ,若過期 ,則意味著自過期以來 ,戶頭再未被用過 .這一方法的好處在于系統(tǒng)記錄了久未用的戶頭 ,檢查過程簡單 ,且不需要記帳系統(tǒng)所需要的磁盤資源 ,缺點是也許系統(tǒng)管理員不想在系統(tǒng)上設(shè)置口令時效 ,而且這一方法僅在口令的最大有效期 (只有幾周 )才是準(zhǔn)確的 ..系統(tǒng)管理員可以寫一個程序 ,每天 (和重新引導(dǎo)系統(tǒng)時 )掃描 /etc/wtmp,自己保留下用戶最后登錄時間記錄 ,這一方法的好處是不需要記帳程序 ,并且時間準(zhǔn)確 ,缺點是要自己寫程序 .以上任何方法都可和 /usr/adm/sulog 文件結(jié)合起來 ,查出由 login或 su 登錄戶頭的最后登錄時間 .如果有人存心破壞系統(tǒng)安全 ,第一件要做的事就是尋找檢查程序 .破壞者將修改檢查程序 ,使其不能報告任何異常事件 ,也可能停止系統(tǒng)記帳 ,刪除記帳文件 ,使系統(tǒng)管理員不能發(fā)現(xiàn)破壞者干了些什么 .(4)系統(tǒng)泄密后怎么辦 ?發(fā)現(xiàn)有人已經(jīng)破壞了系統(tǒng)安全的時候 ,這時系統(tǒng)管理員首先應(yīng)做的是面對肇事用戶 .如果該用戶所做的事不是蓄意的 ,而且公司沒有關(guān)于 破壞安全 的規(guī)章 ,也未造成損壞 ,則系統(tǒng)管理員只需清理系統(tǒng) ,并留心該用戶一段時間 .如果該用戶造成了某些損壞 ,則應(yīng)當(dāng)報告有關(guān)人士 ,并且應(yīng)盡可能地將 系統(tǒng)恢復(fù)到原來的狀態(tài) .如果肇事者是非授權(quán)用戶 ,那就得做最壞的假設(shè)了：肇事者已設(shè)法成為 root 且本系統(tǒng)的文件和程序已經(jīng)泄密了 .系統(tǒng)管理員應(yīng)當(dāng)想法查出誰是肇事者 ,他造成了什么損壞 ?還應(yīng)當(dāng)對整個文件做一次全面的檢查 ,并不只是檢查SUID 和 SGID,設(shè)備文件 .如果系統(tǒng)安全被一個敵對的用戶破壞了 ,應(yīng)當(dāng)采用下面的步驟： .關(guān)系統(tǒng) ,然后重新引導(dǎo) ,不要進入多用戶方式 ,進入單用戶方式 ..安裝含有本系統(tǒng)原始 UNIX 版本的帶和軟盤 ..將 /bin,/usr/bin,/etc,/usr/lib 中的文件拷貝到一個暫存目錄中 ..將暫存目錄 中所有文件的校驗和 (用原始版本的sum 程序拷貝做校驗和 ,不要用 /bin 中的 suM程序做 )與系統(tǒng)中所有對就的文件的校驗和進行比較 ,如果有任何差別 ,要查清差別產(chǎn)生的原因 .如果兩個校驗和不同 ,是由于安裝了新版本的程序 ,確認(rèn)一相是否的確是安裝了新版本程序 .如果不能找出校驗和不同的原因 ,用暫存目錄中的命令替換系統(tǒng)中的原有命令 ..在確認(rèn)系統(tǒng)中的命令還未被竄改之前 ,不要用系統(tǒng)中原命令 .用暫存目錄中的 shell,并將 PATH 設(shè)置為僅在暫存目錄中搜索命令 ..根據(jù)暫存目錄中所有系統(tǒng)命令的存取許可 ,檢查系統(tǒng)中所有命令的存取許可 ..檢查所有系統(tǒng)目錄的存取許可 ,如果用了 perms,檢查 permlist 文件是否被竄改過 ..如果系統(tǒng) UNIX(/unix)的校驗和不同于原版的校驗和 ,并且系統(tǒng)管理員從未修改過核心 ,則應(yīng)當(dāng)認(rèn)為 ,一個非法者 很能干 ,從暫存緩沖區(qū)重新裝入系統(tǒng) .系統(tǒng)管理員可以從逐步增加的文件系統(tǒng)備份中恢復(fù)用戶的文件 ,但是在檢查備份中的 有趣 文件之前 ,不能做文件恢復(fù) ..改變系統(tǒng)中的所有口令 ,通知用戶他們的口令已改變 ,應(yīng)找系統(tǒng)管理員得到新口令 ..當(dāng)用戶來要新口令時 ,告訴用戶發(fā)生了一次安全事故 ,他們應(yīng)查看自己的文件和目錄是否潛伏著危害 (如 SUID 文件 ,特洛依木馬 ,任何人可寫的目錄 ),并報告系統(tǒng)管理員任何異乎尋常的情況 ..設(shè)法查清安全破壞是如何發(fā)生的 ?如果沒有肇事者說明 ,這也許是不可能弄清的 .如果能發(fā)現(xiàn)肇事者如何進入系統(tǒng) ,設(shè)法堵住這個安全漏洞 .第一次安裝 UNIX 系統(tǒng)時 ,可以將 shell,sum 命令 ,所有文件的校驗和存放在安全的介質(zhì)上 (帶 ,軟盤 ,硬盤和任何可以卸下并鎖焉起來的介質(zhì) ).于是不必再從原版系統(tǒng)帶上重新裝入文件 ,可以安裝備份介質(zhì) ,裝入 shell 和 sum,將存在帶上的校驗和與系統(tǒng)中文件的校驗和進行比較 .系統(tǒng)管理員也許想自己寫一個計算校 驗和的程序 ,破壞者將不能知道該程序的算法 ,如果將該程序及校驗和保存在帶上 ,這一方法的保密問題就減小到一個物理的安全問題 ,即只需將帶鎖起來 . 特別聲明： 1：資料來源于互聯(lián)網(wǎng)，版權(quán)歸屬原作者 2：資料內(nèi)容屬于網(wǎng)絡(luò)意見，與本賬號立場無關(guān) 3：如有侵權(quán)，請告知，立即刪除。