下面是一些個人的經(jīng)驗筆記，我相信對于是否受到***的UNIX或者UNIX-clone(freebsd,openbsd,netbsd,Linux,etc)都是有用的：

首先大家可以通過下面的系統(tǒng)命令和配置文件來跟蹤***者的來源路徑：

1.who——(查看誰登陸到系統(tǒng)中)

2.w——–(查看誰登陸到系統(tǒng)中，且在做什么)

3.last—–(顯示系統(tǒng)曾經(jīng)被登陸的用戶和TTYS）

4.lastcomm-(顯示系統(tǒng)過去被運行的命令)

5.netstat–(可以查看現(xiàn)在的網(wǎng)絡(luò)狀態(tài)，如telnet到你機(jī)器上來的用戶的IP地址,還有一些其它的網(wǎng)絡(luò)狀態(tài)。)

6.查看router的信息。

7./var/log/messages查看外部用戶的登陸狀況

8.用finger 查看所有的登陸用戶。

9.查看用戶目錄下/home/username下的登陸歷史文件(.history.rchist,etc).后注:’who’,'w’,'last’,和’lastcomm’這些命令依靠的是/var/log/pacct, /var/log/wtmp,/etc/utmp來報告信息給你。許多精明的系統(tǒng)管理員對于***者都會屏蔽這些日志信息(/var/log/*,/var /log/wtmp,etc)建議大家安裝tcp_wrapper非法登陸到你機(jī)器的所有連接)接下來系統(tǒng)管理員要關(guān)閉所有可能的后門，一定要防止***者從外部訪問內(nèi)部網(wǎng)絡(luò)的可能。(對FREEBSD感興趣的文章，可以看一下我在綠色兵團(tuán)中安全文獻(xiàn)中的FreeBSD網(wǎng)站的安全構(gòu)架(1) ).如果***者發(fā)現(xiàn)系統(tǒng)管理員發(fā)現(xiàn)他已經(jīng)進(jìn)入系統(tǒng)，他可能會通過rm -rf /*試著隱蔽自己的痕跡.

第三，我們要保護(hù)下面的系統(tǒng)命令和系統(tǒng)配置文件以防止***者替換獲得修改系統(tǒng)的權(quán)利。

1. /bin/login

2. /usr/etc/in.*文件(例如:in.telnetd)

3.inetd超級守護(hù)進(jìn)程(監(jiān)聽端口，等待請求，派生相應(yīng)服務(wù)器進(jìn)程)喚醒的服務(wù).(下列的服務(wù)器進(jìn)程通常由inetd啟動:

fingerd(79),ftpd(21),rlogind(klogin,eklogin,etc),rshd,talkd,telnetd(23),tftpd. inetd還可以啟動其它內(nèi)部服務(wù)，

/etc/　inetd.conf中定義的服務(wù).

4.不允非常ROOT用戶使用netstat,ps,ifconfig,su

第四，系統(tǒng)管理員要定期去觀察系統(tǒng)的變化（如：文件，系統(tǒng)時間，等）

1. #ls -lac去查看文件真正的修改時間。

2. #cmp file1 file2來比較文件大小的變化。
第五，我們一定要防止非法用戶使用suid(set-user-id)程序來得到ROOT 的權(quán)限。

1.首先我們要發(fā)現(xiàn)系統(tǒng)中所有的SUID程序。

#find / -type f -perm -4000 -ls

2.然后我們要分析整個系統(tǒng)，以保證系統(tǒng)沒有后門。

第六，系統(tǒng)管理員要定時的檢查用戶的.rhosts,.forward文件，

1.#find / -name .rhosts -ls -o -name .forward -ls

來檢查.rhosts文件是否包含’++’,有則用戶可以遠(yuǎn)程修改這個文件而不需要任何口令。

2.#find / -ctime -2 -ctime +1 -ls

來查看不到兩天以內(nèi)修改的一些文件，從而判斷是否有非法用戶闖入系統(tǒng)。

第七，要確認(rèn)你的系統(tǒng)當(dāng)中有最新的sendmail守護(hù)程序，因為老的sendmail守護(hù)程序允許其它UNIX機(jī)器遠(yuǎn)程運行

一些非法的命令。

第八，系統(tǒng)管理員應(yīng)當(dāng)要從你機(jī)器，操作系統(tǒng)生產(chǎn)商那里獲得安全鋪丁程序，如果是自由軟件的話(如Linux平臺，

建議大家可以到Linux.box.sk來獲得最好的安全程序和安全資料。)

第九，下面有一些檢查方法來監(jiān)測機(jī)器是否容易受到***。

1.#rpcinfo -p來檢查你的機(jī)器是否運行了一些不必要的進(jìn)程。

2.#vi /etc/hosts.equiv文件來檢查你不值得信任的主機(jī)，去掉。

3.如果沒有屏蔽/etc/inetd.conf中的tftpd,請在你的/etc/inetd.conf加入tftp dgram udp wait nobody /usr/etc/in.tftpd

in.tftpd -s /tftpboot

4.建議你備份/etc/rc.conf文件，寫一個shell script定期比較 cmp rc.conf backup.rc.conf

5.檢查你的 inetd.conf和/etc/services文件，確保沒有非法用戶在里面添加一些服務(wù)。

6.把你的系統(tǒng)的/var/log/*下面的日志文件備份到一個安全的地方，以防止***者#rm /var/log/*

7.一定要確保匿名FTP服務(wù)器的配置正確，我的機(jī)器用的是proftpd,在proftpd.conf一定要配置正確。

8.備份好/etc/passwd,然后改變root口令。一定要確保此文件不能夠***者訪問，以防止它猜測。

9.如果你還不能夠防止***者的非法闖入，你可以安裝ident后臺守護(hù)進(jìn)程和TCPD后臺守護(hù)進(jìn)程來發(fā)現(xiàn)***者使用的帳號！

10.確保你的控制臺終端是安全的，以防止非法用戶能夠遠(yuǎn)程登陸你的網(wǎng)絡(luò)上來。

11.檢查hosts.equiv,.rhosts,hosts,lpd都有注釋標(biāo)識#，如果一個***者用它的主機(jī)名代替了#，那么就意味著他不

需要任何口令就能夠訪問你的機(jī)器.

創(chuàng)新互聯(lián)致力于互聯(lián)網(wǎng)網(wǎng)站建設(shè)與網(wǎng)站營銷，提供網(wǎng)站設(shè)計、做網(wǎng)站、網(wǎng)站開發(fā)、seo優(yōu)化、網(wǎng)站排名、互聯(lián)網(wǎng)營銷、微信平臺小程序開發(fā)、公眾號商城、等建站開發(fā)，創(chuàng)新互聯(lián)網(wǎng)站建設(shè)策劃專家，為不同類型的客戶提供良好的互聯(lián)網(wǎng)應(yīng)用定制解決方案，幫助客戶在新的全球化互聯(lián)網(wǎng)環(huán)境中保持優(yōu)勢。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

網(wǎng)站欄目：UNIX與類UNIX系統(tǒng)安全檢查筆記-創(chuàng)新互聯(lián)
瀏覽地址：http://jinyejixie.com/article42/isihc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供企業(yè)網(wǎng)站制作、營銷型網(wǎng)站建設(shè)、微信公眾號、網(wǎng)站收錄、網(wǎng)站維護(hù)、品牌網(wǎng)站設(shè)計

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)