*du:報(bào)告在層次目錄結(jié)構(gòu)(當(dāng)前工作目錄或指定目錄起)中各目錄占用的磁盤塊數(shù).可用于檢查用戶對(duì)文件系統(tǒng)的使用情況.
*df:報(bào)告整個(gè)文件系統(tǒng)當(dāng)前的空間使用情況.可用于合理調(diào)整磁盤空間的使用和管理.
*ps:檢查當(dāng)前系統(tǒng)中正在運(yùn)行的所有進(jìn)程.對(duì)于用了大量CPU時(shí)間的進(jìn)程, 同時(shí)運(yùn)行了許多進(jìn)程的用戶,運(yùn)行了很長時(shí)間但用了很少CPU時(shí)間的用戶進(jìn)程應(yīng)當(dāng)深入檢查.還可以查出運(yùn)行了一個(gè)無限制循環(huán)的后臺(tái)進(jìn)程的用戶,未注銷戶頭就關(guān)終端的用戶(一般發(fā)生在直接連線的終端).
*who:可以告訴系統(tǒng)管理員系統(tǒng)中工作的進(jìn)展情況等等許多信息,檢查用戶的登錄時(shí)間,登錄終端.
*su:每當(dāng)用戶試圖使用su命令進(jìn)入系統(tǒng)用戶時(shí),命令將在/usr/adm/sulog文件中寫一條信息,若該文件記錄了大量試圖用su進(jìn)入root的無效操作信息,則表明了可能有人企圖破譯root口令.
*login:在一些系統(tǒng)中,login程序記錄了無效的登錄企圖(若本系統(tǒng)的login程序不做這項(xiàng)工作而系統(tǒng)中有l(wèi)ogin源程序,則應(yīng)修改login).每天總有少量的無效登錄,若無效登錄的次數(shù)突然增加了兩倍,則表明可能有人企圖通過猜測(cè)登錄名和口令,非法進(jìn)入系統(tǒng).(3)安全檢查程序的問題
關(guān)于以上的檢查方法的一個(gè)警告,若有誘騙,則這些方法中沒有幾個(gè)能防誘騙.如find命令,如果碰到路徑名長于256個(gè)字符的文件或含有多于200個(gè)文件的目錄,將放棄處理該文件或目錄,用戶就有可能利用建立多層目錄結(jié)構(gòu)或大目錄隱藏SUID程序,使其逃避檢查(但find命令會(huì)給出一個(gè)錯(cuò)誤信息,系統(tǒng)管理員應(yīng)手工檢查這些目錄和文件).也可用ncheck命令搜索文件系統(tǒng),但它沒有find命令指定搜索哪種文件的功能.如果定期存取.profile文件,則檢查久未登錄用戶的方法就不奏效了.而 用戶用su命令時(shí),除非用參數(shù)-,否則su不讀用戶的.profile.
有三種方法可尋找久未登錄的帳戶:
. UNIX記帳系統(tǒng)在文件/usr/adm/acct/sum/login中為每個(gè)用戶保留了最后一次登錄日期.用這個(gè)文件的好處是,該文件由系統(tǒng)維護(hù),所以可完全肯定登錄日期是準(zhǔn)確的.缺點(diǎn)是必須在系統(tǒng)上運(yùn)行記帳程序以更新loginlog文件,如果在清晨(午夜后)運(yùn)行記帳程序,一天的登錄日期可能就被清除了.
. /etc/passwd文件中的口令時(shí)效域?qū)⒛芨嬖V系統(tǒng)管理員,用戶的口令是否過期了,若過期,則意味著自過期以來,戶頭再未被用過.這一方法的好處在于系統(tǒng)記錄了久未用的戶頭,檢查過程簡(jiǎn)單,且不需要記帳系統(tǒng)所需要的磁盤資源,缺點(diǎn)是也許系統(tǒng)管理員不想在系統(tǒng)上設(shè)置口令時(shí)效,而且這一方法僅在口令的最大有效期(只有幾周)才是準(zhǔn)確的.
. 系統(tǒng)管理員可以寫一個(gè)程序,每天(和重新引導(dǎo)系統(tǒng)時(shí))掃描/etc/wtmp,自己保留下用戶最后登錄時(shí)間記錄,這一方法的好處是不需要記帳程序,并且時(shí)間準(zhǔn)確,缺點(diǎn)是要自己寫程序.以上任何方法都可和/usr/adm/sulog文件結(jié)合起來,查出由login或su登錄戶頭的最后登錄時(shí)間.如果有人存心破壞系統(tǒng)安全,第一件要做的事就是尋找檢查程序.破壞者將修改檢查程序,使其不能報(bào)告任何異常事件,也可能停止系統(tǒng)記帳,刪除記帳文件,使系統(tǒng)管理員不能發(fā)現(xiàn)破壞者干了些什么.這里最重要的一點(diǎn)是:系統(tǒng)管理沒越熟悉自己的用戶和用戶的工作習(xí)慣,就越能快速發(fā)現(xiàn)系統(tǒng)中任何不尋常的事件,而不尋常的事件意味著系統(tǒng)已被人竊密.(4)系統(tǒng)泄密后怎么辦?
發(fā)現(xiàn)有人已經(jīng)破壞了系統(tǒng)安全的時(shí)候,這時(shí)系統(tǒng)管理員首先應(yīng)做的是面對(duì)肇事用戶.如果該用戶所做的事不是蓄意的,而且公司沒有關(guān)于"破壞安全"的規(guī)章,也未造成損壞,則系統(tǒng)管理員只需清理系統(tǒng),并留心該用戶一段時(shí)間.如果該用戶造成了某些損壞,則應(yīng)當(dāng)報(bào)告有關(guān)人士,并且應(yīng)盡可能地將系統(tǒng)恢復(fù)到原來的狀態(tài).如果肇事者是非授權(quán)用戶,那就得做最壞的假設(shè)了:肇事者已設(shè)法成為root且本系統(tǒng)的文件和程序已經(jīng)泄密了.系統(tǒng)管理員應(yīng)當(dāng)想法查出誰是肇事者,他造成了什么損壞?還應(yīng)當(dāng)對(duì)整個(gè)文件做一次全面的檢查,并不只是檢查SUID和SGID,設(shè)備文件.如果系統(tǒng)安全被一個(gè)敵對(duì)的用戶破壞了,應(yīng)當(dāng)采用下面的步驟:
推薦閱讀
- win7系統(tǒng)中桌面圖標(biāo)不見了具體處理方法
- 在Unix系統(tǒng)中利用程序?qū)崿F(xiàn)Kill命令
- 飛利浦推出首個(gè)3G手機(jī)Nexperia蜂窩系統(tǒng)解決方案
- 首個(gè)基于飛利浦Nexperia蜂窩系統(tǒng)解決方案的GSM/GPRS/EDGE手機(jī)問世
- 提高unixware文件系統(tǒng)性能
- win10系統(tǒng)中禁用輸入法具體操作方法
- win7系統(tǒng)中出現(xiàn)開機(jī)失敗提示ntoskrnl.exe文件丟失具體處理步驟
- unix下的動(dòng)態(tài)鏈接庫
- UNIX下發(fā)送屏幕信息
- UnixWare 7 與 OpenServer