Linux 版 (精华区)

发信人: tcpip (干打雷,不下雨), 信区: Linux
标  题: 如何检查系统入侵
发信站: 哈工大紫丁香 (Sat Jul 17 19:01:25 1999), 转信

像find和secure这样的程序称为检查程序,它们搜索文件系统,寻

找出SUID/

SGID文件,设备文件,任何人可写的系统文件,设有口

令的登录用户,具有相同UID /GID的用户等等.

(1)记帐

UNIX记帐软件包可用作安全检查工具,除最后登录时间的记录外,

记帐系

统还能保存全天运行的所有进程的完整记录,对于一个进

程所存贮的信息包括

UID,命令名,进程开始执行与结束的时

间,CPU时间和实际消耗的时间,该进程

是否是root进程,这将有

助于系统管理员了解系统中的用户在干什么.acctcom

命令可以

列出一天的帐目表.有明,系统中有多个记帐数据文件,记帐信息保

存

在文件/usr/adm/pacct*中,/usr/adm/pacct是当前记录文

件,/usr/adm/pacctn

是以前的记帐文件(n为整型数).若有若干个

记帐文件要查看,可在acctcom命

令中指定文件名:  acctcom /usr/adm/pacct?

/usr/adm/pacct

要检查的问题的其中之一是:在acctcom的输出中查找一个用户

过多的登

录过程,若有,则说明可能有人一遍遍地尝试登录,猜测口

令,企图非法进入系

统.此外,还应查看root进程,除了系统管理员

用su命令从终端进入root,系统

启动,系统停止时间,以及由init(通

常init只启动getty,login,登录shell),

cron启动的进程和具有 root

SUID许可的命令外,不应当有任何root进程.

由记帐系统也可获得有关每个用户的CPU利用率,运行的进程数

等统计数据.

(2)其它检查命令

*du:报告在层次目录结构(当前工作目录或指定目录起)中各目录

占用的

磁盘块数.可用于检查用户对文件系统的使用情况.

*df:报告整个文件系统当前的空间使用情况.可用于合理调整磁盘

空间的 使用和管理.

*ps:检查当前系统中正在运行的所有进程.对

于用了大量CPU时间的进程,

同时运行了许多进程的用户,运行了

很长时间但用了很少CPU时间的

用户进程应当深入检查.还可以

查出运行了一个无限制循环的后台进

程的用户,未注销户头就关

终端的用户(一般发生在直接连线的终端).

*who:可以告诉系统管理员系统中工作的进展情况等等许多信息,

检查用 户的登录时间,登录终端.

*su:每当用户试图使用su命令进入系统用户时,命令将在

/usr/adm/sulog

文件中写一条信息,若该文件记录了大量试图用

su进入root的无效操

作信息,则表明了可能有人企图破译root口

令.

*login:在一些系统中,login程序记录了无效的登录企图(若本系统

的

login程序不做这项工作而系统中有login源程序,则应修改

login).

每天总有少量的无效登录,若无效登录的次数突然增加了

两倍,则表

明可能有人企图通过猜测登录名和口令,非法进入系统.

这里最重要的一点是:系统管理没越熟悉自己的用户和用户的工作

习惯,

就越能快速发现系统中任何不寻常的事件,而不寻常的事件

意味着系统已被人 窃密.

(3)安全检查程序的问题

关于以上的检查方法的一个警告,若有诱骗,则这些方法中没有几

个能防

诱骗.如find命令,如果碰到路径名长于256个字符的文件

或含有多于200个文

件的目录,将放弃处理该文件或目录,用户就

有可能利用建立多层目录结构或

大目录隐藏SUID程序,使其逃避

检查(但find命令会给出一个错误信息,系统管

理员应手工检查这

些目录和文件).也可用ncheck命令搜索文件系统,但它没有

find 命令指定搜索哪种文件的功能.

如果定期存取.profile文件,则检查久未登录用户的方法就不奏效

了.而

用户用su命令时,除非用参数-,否则su不读用户的.profile.

有三种方法可寻找久未登录的帐户:


--
☆ 来源:．哈工大紫丁香 bbs.hit.edu.cn．[FROM: bin@mtlab.hit.edu.cn]