下面是一些个人的经验笔记,我相信对于是否受到入侵的UNIX或者UNIX-clone(freebsd,openbsd,netbsd,Linux,etc)都是有用的:首先大家可以通过下面的系统命令和配置文件来跟踪入侵者的来源路径:1.who------(查看谁登陆到系统中)2.w--------(查看谁登陆到系统中,且在做什么)3.last-----(显示系统曾经被登陆的用户和TTYS)4.lastcomm-(显示系统过去被运行的命令)5.netstat--(可以查看现在的网络状态,如telnet到你机器上来的用户的IP地址,还有一些其它的网络状态。)6.查看router的信息。7./var/log/messages查看外部用户的登陆状况8.用finger 查看所有的登陆用户。9.查看用户目录下/home/username下的登陆历史文件(.history.rchist,etc).后注:"who","w","last",和"lastcomm"这些命令依靠的是/var/log/pacct, /var/log/wtmp,/etc/utmp来报告信息给你。许多精明的系统管理员对于入侵者都会屏蔽这些日志信息(/var/log/*,/var/log/wtmp,etc)建议大家安装tcp_wrapper非法登陆到你机器的所有连接)接下来系统管理员要关闭所有可能的后门,一定要防止入侵者从外部访问内部网络的可能。(对FREEBSD感兴趣的文章,可以看一下我在绿色兵团中安全文献中的FreeBSD网站的安全构架(1) ).如果入侵者发现系统管理员发现他已经进入系统,他可能会通过rm -rf /*试着隐蔽自己的痕迹.第三,我们要保护下面的系统命令和系统配置文件以防止入侵者替换获得修改系统的权利。1. /bin/login2. /usr/etc/in.*文件(例如:in.telnetd)3.inetd超级守护进程(监听端口,等待请求,派生相应服务器进程)唤醒的服务.(下列的服务器进程通常由inetd启动:fingerd(79),ftpd(21),rlogind(klogin,eklogin,etc),rshd,talkd,telnetd(23),tftpd. inetd还可以启动其它内部服务,/etc/ inetd.conf中定义的服务.4.不允非常ROOT用户使用netstat,ps,ifconfig,su第四,系统管理员要定期去观察系统的变化(如:文件,系统时间,等)1. #ls -lac去查看文件真正的修改时间。2. #cmp file1 file2来比较文件大小的变化。
VMware guest虚拟硬件导致内存破坏漏洞简单的安全措施 加固Linux内核相关资讯 UNIX Linux安全
- 一个涵盖 Unix 44 年进化史的版本 (12/23/2015 19:08:29)
- 2002年,程序员和Unix大神们的桌面 (11/10/2015 08:18:44)
- 牢记这七点 让你的Linux服务器变得 (08/12/2015 15:39:07)
| - UNIX 家族小史 (12/01/2015 12:03:06)
- 发现针对 Linux 服务器和代码库的 (11/08/2015 09:11:50)
- 从Unix 和 PC机:重释Linux的起源 (05/17/2015 21:13:04)
|
本文评论 查看全部评论 (0)
评论声明- 尊重网上道德,遵守中华人民共和国的各项有关法律法规
- 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
- 本站管理人员有权保留或删除其管辖留言中的任意内容
- 本站有权在网站内转载或引用您的评论
- 参与本评论即表明您已经阅读并接受上述条款
|
|
易网时代-编程资源站