发信人: netman.bbs@cs3.xmu.edu.cn (邂逅), 信区: cnhacker
标  题: 管理员安全(13)
发信站: cs3 BBS (Mon Jun 16 13:14:46 1997)
转信站: Lilac!ustcnews!ustcnews!sjtunews!cs3
出  处: cs3.xmu.edu.cn

8.安全检查
    像find和secure这样的程序称为检查程序,它们搜索文件系统,寻找出SUID/
SGID文件,设备文件,任何人可写的系统文件,设有口令的登录用户,具有相同UID
/GID的用户等等.

  (1)记帐
      UNIX记帐软件包可用作安全检查工具,除最后登录时间的记录外,记帐系
  统还能保存全天运行的所有进程的完整记录,对于一个进程所存贮的信息包括
  UID,命令名,进程开始执行与结束的时间,CPU时间和实际消耗的时间,该进程
  是否是root进程,这将有助于系统管理员了解系统中的用户在干什么.acctcom
  命令可以列出一天的帐目表.有明,系统中有多个记帐数据文件,记帐信息保存
  在文件/usr/adm/pacct*中,/usr/adm/pacct是当前记录文件,/usr/adm/pacctn
  是以前的记帐文件(n为整型数).若有若干个记帐文件要查看,可在acctcom命
  令中指定文件名: acctcom /usr/adm/pacct? /usr/adm/pacct
      要检查的问题的其中之一是:在acctcom的输出中查找一个用户过多的登
  录过程,若有,则说明可能有人一遍遍地尝试登录,猜测口令,企图非法进入系
  统.此外,还应查看root进程,除了系统管理员用su命令从终端进入root,系统
  启动,系统停止时间,以及由init(通常init只启动getty,login,登录shell),
  cron启动的进程和具有root SUID许可的命令外,不应当有任何root进程.
      由记帐系统也可获得有关每个用户的CPU利用率,运行的进程数等统计数
  据.

  (2)其它检查命令
      *du:报告在层次目录结构(当前工作目录或指定目录起)中各目录占用的
          磁盘块数.可用于检查用户对文件系统的使用情况.
      *df:报告整个文件系统当前的空间使用情况.可用于合理调整磁盘空间的
          使用和管理.
      *ps:检查当前系统中正在运行的所有进程.对于用了大量CPU时间的进程,
          同时运行了许多进程的用户,运行了很长时间但用了很少CPU时间的
          用户进程应当深入检查.还可以查出运行了一个无限制循环的后台进
          程的用户,未注销户头就关终端的用户(一般发生在直接连线的终端).
      *who:可以告诉系统管理员系统中工作的进展情况等等许多信息,检查用
          户的登录时间,登录终端.
      *su:每当用户试图使用su命令进入系统用户时,命令将在/usr/adm/sulog
          文件中写一条信息,若该文件记录了大量试图用su进入root的无效操
          作信息,则表明了可能有人企图破译root口令.
      *login:在一些系统中,login程序记录了无效的登录企图(若本系统的
          login程序不做这项工作而系统中有login源程序,则应修改login).
          每天总有少量的无效登录,若无效登录的次数突然增加了两倍,则表
          明可能有人企图通过猜测登录名和口令,非法进入系统.
      这里最重要的一点是:系统管理没越熟悉自己的用户和用户的工作习惯,
  就越能快速发现系统中任何不寻常的事件,而不寻常的事件意味着系统已被人
  窃密.

--
※ 来源:·古庙钟声 cs3.xmu.edu.cn·[FROM: freedom@cs3.xmu.edu.]