UNIX与类UNIX系统安全检查捷径

在这里PC捍卫者网络安全栏目为你整理了一些有关于UNIX与类UNIX系统安全的经验笔记，借前人经验丰富自己的技术，是一条不错的捷径，我相信对于是否受到入侵的UNIX或者UNIX-clone(freebsd,openbsd,netbsd,Linux,etc)都是有用的：

    首先大家可以通过下面的系统命令和配置文件来跟踪入侵者的来源路径：
  
    1.lastcomm-(显示系统过去被运行的命令)

    2.netstat--(可以查看现在的网络状态，如telnet到你机器上来的用户的IP地址,还有一些其它的网络状态。)

    3.查看router的信息。

    4./var/log/messages查看外部用户的登陆状况

    5.用finger 查看所有的登陆用户。

    6.who------(查看谁登陆到系统中)

    7.w--------(查看谁登陆到系统中，且在做什么)

    8.last-----(显示系统曾经被登陆的用户和TTYS） 

    9.查看用户目录下/home/username下的登陆历史文件(.history.rchist,etc).后注:'who','w','last',和'lastcomm'这些命令依靠的是/var/log/pacct, /var/log/wtmp,/etc/utmp来报告信息给你。许多精明的系统管理员对于入侵者都会屏蔽这些日志信息(/var/log/*,/var/log/wtmp,etc)建议大家安装tcp_wrapper非法登陆到你机器的所有连接)接下来系统管理员要关闭所有可能的后门，一定要防止入侵者从外部访问内部网络的可能。(对FREEBSD感兴趣的文章，可以看一下我在绿色兵团中安全文献中的FreeBSD网站的安全构架(1) ).如果入侵者发现系统管理员发现他已经进入系统，他可能会通过rm -rf /*试着隐蔽自己的痕迹.

    第三，我们要保护下面的系统命令和系统配置文件以防止入侵者替换获得修改系统的权利。

    1. /bin/login

    2. /usr/etc/in.*文件(例如:in.telnetd)

    3.inetd超级守护进程(监听端口，等待请求，派生相应服务器进程)唤醒的服务.(下列的服务器进程通常由inetd启动:

    fingerd(79),ftpd(21),rlogind(klogin,eklogin,etc),rshd,talkd,telnetd(23),tftpd. inetd还可以启动其它内部服务，

    /etc/　inetd.conf中定义的服务.

    4.不允非常ROOT用户使用netstat,ps,ifconfig,su 

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点