发信人: netman.bbs@cs3.xmu.edu.cn (邂逅), 信区: cnhacker
标  题: 管理员安全(14)
发信站: cs3 BBS (Mon Jun 16 13:14:52 1997)
转信站: Lilac!ustcnews!ustcnews!sjtunews!cs3
出  处: cs3.xmu.edu.cn

  (4)系统泄密后怎么办?
      发现有人已经破坏了系统安全的时候,这时系统管理员首先应做的是面对
  肇事用户.如果该用户所做的事不是蓄意的,而且公司没有关于"破坏安全"的
  规章,也未造成损坏,则系统管理员只需清理系统,并留心该用户一段时间.如
  果该用户造成了某些损坏,则应当报告有关人士,并且应尽可能地将系统恢复
  到原来的状态.
      如果肇事者是非授权用户,那就得做最坏的假设了:肇事者已设法成为root
  且本系统的文件和程序已经泄密了.系统管理员应当想法查出谁是肇事者,他
  造成了什么损坏?还应当对整个文件做一次全面的检查,并不只是检查SUID和
  SGID,设备文件.如果系统安全被一个敌对的用户破坏了,应当采用下面的步骤:
      . 关系统,然后重新引导,不要进入多用户方式,进入单用户方式.
      . 安装含有本系统原始UNIX版本的带和软盘.
      . 将/bin,/usr/bin,/etc,/usr/lib中的文件拷贝到一个暂存目录中.
      . 将暂存目录中所有文件的校验和(用原始版本的suM程序拷贝做校验和,
        不要用/bin中的suM程序做)与系统中所有对就的文件的校验和进行比
        较,如果有任何差别,要查清差别产生的原因.如果两个校验和不同,是
        由于安装了新版本的程序,确认一相是否的确是安装了新版本程序.如
        果不能找出校验和不同的原因,用暂存目录中的命令替换系统中的原有
        命令.
      . 在确认系统中的命令还未被窜改之前,不要用系统中原命令.用暂存目
        录中的shell,并将PATH设置为仅在暂存目录中搜索命令.
      . 根据暂存目录中所有系统命令的存取许可,检查系统中所有命令的存取
        许可.
      . 检查所有系统目录的存取许可,如果用了perms,检查permlist文件是否
        被窜改过.
      . 如果系统UNIX(/unix)的校验和不同于原版的校验和,并且系统管理员
        从未修改过核心,则应当认为,一个非法者"很能干",从暂存缓冲区重新
        装入系统.系统管理员可以从逐步增加的文件系统备份中恢复用户的文
        件,但是在检查备份中的"有趣"文件之前,不能做文件恢复.
      . 改变系统中的所有口令,通知用户他们的口令已改变,应找系统管理员
        得到新口令.
      . 当用户来要新口令时,告诉用户发生了一次安全事故,他们应查看自己
        的文件和目录是否潜伏着危害(如SUID文件,特洛依木马,任何人可写的
        目录),并报告系统管理员任何异乎寻常的情况.
      . 设法查清安全破坏是如何发生的?如果没有肇事者说明,这也许是不可
        能弄清的.如果能发现肇事者如何进入系统,设法堵住这个安全漏洞.
      第一次安装UNIX系统时,可以将shell,sum命令,所有文件的校验和存放在
  安全的介质上(带,软盘,硬盘和任何可以卸下并锁焉起来的介质).于是不必再
  从原版系统带上重新装入文件,可以安装备份介质,装入shell和sum,将存在带
  上的校验和与系统中文件的校验和进行比较.系统管理员也许想自己写一个计
  算校验和的程序,破坏者将不能知道该程序的算法,如果将该程序及校验和保
  存在带上,这一方法的保密问题就减小到一个物理的安全问题,即只需将带锁
  起来.

--
※ 来源:·古庙钟声 cs3.xmu.edu.cn·[FROM: freedom@cs3.xmu.edu.]