发信人: netman.bbs@cs3.xmu.edu.cn (邂逅), 信区: cnhacker
标  题: 管理员安全(13)
发信站: cs3 BBS (Mon Jun 16 13:14:48 1997)
转信站: Lilac!ustcnews!ustcnews!sjtunews!cs3
出  处: cs3.xmu.edu.cn

  (3)安全检查程序的问题
      关于以上的检查方法的一个警告,若有诱骗,则这些方法中没有几个能防
  诱骗.如find命令,如果碰到路径名长于256个字符的文件或含有多于200个文
  件的目录,将放弃处理该文件或目录,用户就有可能利用建立多层目录结构或
  大目录隐藏SUID程序,使其逃避检查(但find命令会给出一个错误信息,系统管
  理员应手工检查这些目录和文件).也可用ncheck命令搜索文件系统,但它没有
  find命令指定搜索哪种文件的功能.
      如果定期存取.profile文件,则检查久未登录用户的方法就不奏效了.而
  用户用su命令时,除非用参数-,否则su不读用户的.profile.
      有三种方法可寻找久未登录的帐户:
      . UNIX记帐系统在文件/usr/adm/acct/sum/login中为每个用户保留了最
        后一次登录日期.用这个文件的好处是,该文件由系统维护,所以可完全
        肯定登录日期是准确的.缺点是必须在系统上运行记帐程序以更新
        loginlog文件,如果在清晨(午夜后)运行记帐程序,一天的登录日期可
        能就被清除了.
      . /etc/passwd文件中的口令时效域将能告诉系统管理员,用户的口令是
        否过期了,若过期,则意味着自过期以来,户头再未被用过.这一方法的
        好处在于系统记录了久未用的户头,检查过程简单,且不需要记帐系统
        所需要的磁盘资源,缺点是也许系统管理员不想在系统上设置口令时效,
        而且这一方法仅在口令的最大有效期(只有几周)才是准确的.
      . 系统管理员可以写一个程序,每天(和重新引导系统时)扫描/etc/wtmp,
        自己保留下用户最后登录时间记录,这一方法的好处是不需要记帐程序,
        并且时间准确,缺点是要自己写程序.
      以上任何方法都可和/usr/adm/sulog文件结合起来,查出由login或su登
  录户头的最后登录时间.
      如果有人存心破坏系统安全,第一件要做的事就是寻找检查程序.破坏者
  将修改检查程序,使其不能报告任何异常事件,也可能停止系统记帐,删除记帐
  文件,使系统管理员不能发现破坏者干了些什么.

--
※ 来源:·古庙钟声 cs3.xmu.edu.cn·[FROM: freedom@cs3.xmu.edu.]