另外,把系统日志文档配置为只能添加属性(Append-only),将使入侵者无法擦除自己的踪迹,以便于执法人员取证、分析。
文档系统的完整性检查
完整性是安全系统的核心属性。管理员需要知道是否有文档被恶意改变过。攻击者能够用很多方法破坏文档系统,例如,能够利用错误配置获得权限,也能够修改文档植入特洛伊木马和病毒。Linux中常用如下工具进行校验检查。
1.md5sum
md5sum 命令能够用来创建长度为128位的文档指纹信息。通过md5sum -c命令能够反向检查文档是否被修改过。黑客进入到系统后,会用修改后的文档来取代系统上某些特定的文档,如netstat命令等。于是当使用 netstat -a命令查看系统状态时,不会显示系统攻击者存在的信息。攻击者还可能会替代任何可能泄露其存在的文档,一般来说包括:
/bin/ps、/bin/netstat、/bin/login、/bin/ls、
/usr/bin/top、/usr/bin/passwd、/usr/bin/top、
/sbin/portmap、/etc/xinetd.conf、/etc/services。
这些文档都是替代的对象。由于这些文档已被取代,那么简单地利用ls命令是查看不出这些文档有什么破绽的。因此您需要用md5sum工具在系统安装前期为这些文档做好指纹认证并保存,以备日后检测所用。
2.RPM安装包
假如使用的是基于RPM的安装包(Red Hat公司研发并包含在其Linux产品之中的多功能软件安装管理器,现有多种版本的Linux使用此管理器,如Red Hat、 TurboLinux),他能够用来建立、安装、查询、检验、升级和卸载单独的软件包。一个完整的RPM包包括压缩文档和包信息。当使用RPM安装软件时,RPM为每个被安装的文档向数据库中添加信息,包括MD5校验和、文档大小、文档类型、拥有者、组和权限模式。当RPM以-verify标志运行时,将把初始文档的值和当前安装的文档进行比较并报告差异。例如,下面是对一个被黑站点的运行结果:
# rpm -qf /bin/ps(或# rpm -qf /usr/bin/top 查看命令隶属哪个RPM包)
procps.2.0.2-2
# rpm -V procps(-V MD5检验)
SM5..UGT /bin/ps
SM5..UGT /usr/bin/top(有消息表示此文档已被修改)
由上能够看出,攻击者已入侵到系统中,并且用自己的ps及top命令替代了原来系统中的命令,从而使管理员看不到其运行的进程。RPM的使用方法很多,具体操作方法参见man rpm文档。
3.Tripwire
Tripwire是个用来检测整个系统是否存在恶意代码和检验文档完整性的有用工具。他采用MD5算法生成128位的“指纹”,通过命令自动保存系统快照,再产生相应的MD5数值以供日后比较判断。
使用Tripwire能够定义哪些文档/目录需要被检验。一般默认配置能满足大多数的需要。该工具运行在四种模式下:数据库生成模式、数据库更新模式、文档完整性检查模式、互动式数据库更新模式。当初始化数据库生成的时候,他生成对现有文档各种信息的数据库文档。为预防以后系统文档或配置文档被意外地改变、替换或删除,他将每天基于原始数据库对现有文档进行比较,以发现哪些文档被更改、是否有系统入侵等意外事件发生。当然,假如系统中的配置文档或程式被更改,则需要再次生成数据库文档,保持最新的系统快照。此软件功能强大,使用方便。具体的安装和使用,能够通过Google搜索获得。
有效控制服务器运行的后台进程
服务进程(Daemon)是Linux操作系统的核心程式,是外界和主机互相交互的主要途径,同时也是连接因特网的大门。正因为运行了不同的服务进程,Linux系统才能够提供不同的服务,网络才变得丰富多彩。一个称职的管理员必须掌控以下几个要领:
1. 要对自己的服务器有足够的了解,清楚每台服务器的任何后台进程,了解哪台主机运行了哪些服务,开放了哪些端口。我们能够用以下方法得到服务器的配置:
# ntsysv (或 setup) (列出任何的服务清单,能够选择安装/卸载)
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
