Linux 版 (精华区)

发信人: netiscpu (说不如做), 信区: Unix
标  题: Linux Security minimini-Howto 0.02
发信站: 紫 丁 香 (Fri May 22 09:38:09 1998), 转信


发信人: lenx (冷·枫), 信区: Hacker
标  题: Security minimini-Howto 0.02   by lenx (转载)
发信站: BBS 水木清华站 (Sat Jun 21 12:15:01 1997)

(for linux specially)

1. 远程

  这完全是daemon的安全性决定的

  a. patch patch 再 patch

  b. 自己做迷汤和陷井

  c. 降低daemon的权力

     i) 采取比如qmail之类

     ii)起kahn, Go 之类不要直接由rc.local启动，最好用su启动,

        把他们的shell写成一个start的script

  d. 用ssh, APop等进行远程活动，所有telnet,ftp,pop3等等都尽量不要泄漏

    重要密码明文, 70%的攻击都是监听得手而成功

  e. 不要相信任何基于ip的权限设置能有安全性保证

  f. 不要相信任何与95有关的设置能有很好的安全性保证

  g. 关掉所有不必要的服务 (inetd.conf里)

  h. ftpaccess内关掉guest组，并将bbs等列入guestgroup内

  i. samba内也要做类似设置

2. 内部

  a. suid, sgid 程序的大清洗, 没必要的一律chmod go-x

  b. kernel patch to prevent stack-overflow attack
     90% 的hole是由stack-overflow造成
 
  c. /var/tmp和/tmp最好单独分区，在一定程度上防止hardlink attack
     剩下的hole里面90%是link造成

  d. 自己改造bash, syslogd, klogd, 嘿嘿

  e. 用cracker检查弱密匙

3. 对攻击的察觉

  a. portscan-detector

  b. 登录信息的检查
     grep login messages|more
     grep login syslog|more
     last|more
 
  c. wtmp, syslog, messages 等的完整性检查
     有一些工具，但不确定到底好不好用

  d. .bash_history的检查, 这个很有意思， 是在你 logout以后把你的动作全

     写进来, 如果我们在logout以后再把活动信息写入岂不是...哈哈了么？

     回头我去看看能不能这样改

  e. 系统关键部分的完整性检查

     很简单， 自己用cksum做个script,就可以了

4. 反击

  呵呵， 那还是算了吧，这么防范都被攻进来了， 不是内贼就是大黑

  内贼需要教育， 大黑还是不去招惹为妙 :->

附注：

1. 别笑我, 接着写吧
2. 看不懂，那就问吧
3. 有时间，自己动手吧！


--
6m※ 修改:·lenx 於 Jun 21 12:16:21 修改本文·[FROM:  162.105.159.89]m
m1m※ 来源:·BBS 水木清华站 bbs.net.tsinghua.edu.cn·[FROM: 162.105.159.89]m


--

                              Enjoy Linux!
                          -----It's FREE!-----

※ 来源:．紫 丁 香 bbs.hit.edu.cn．[FROM: mtlab.hit.edu.cn]