日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

系統(tǒng)管理員安全( 九 )

云知道


將修改檢查程序,使其不能報告任何異常事件,也可能停止系統(tǒng)記帳,刪除記帳
文件,使系統(tǒng)管理員不能發(fā)現(xiàn)破壞者干了些什么.

(4)系統(tǒng)泄密后怎么辦?
發(fā)現(xiàn)有人已經(jīng)破壞了系統(tǒng)安全的時候,這時系統(tǒng)管理員首先應做的是面對
肇事用戶.如果該用戶所做的事不是蓄意的,而且公司沒有關于"破壞安全"的
規(guī)章,也未造成損壞,則系統(tǒng)管理員只需清理系統(tǒng),并留心該用戶一段時間.如
果該用戶造成了某些損壞,則應當報告有關人士,并且應盡可能地將系統(tǒng)恢復
到原來的狀態(tài).
如果肇事者是非授權用戶,那就得做最壞的假設了:肇事者已設法成為root
且本系統(tǒng)的文件和程序已經(jīng)泄密了.系統(tǒng)管理員應當想法查出誰是肇事者,他
造成了什么損壞?還應當對整個文件做一次全面的檢查,并不只是檢查SUID和
SGID,設備文件.如果系統(tǒng)安全被一個敵對的用戶破壞了,應當采用下面的步驟:
. 關系統(tǒng),然后重新引導,不要進入多用戶方式,進入單用戶方式.
. 安裝含有本系統(tǒng)原始UNIX版本的帶和軟盤.
. 將/bin,/usr/bin,/etc,/usr/lib中的文件拷貝到一個暫存目錄中.
. 將暫存目錄中所有文件的校驗和(用原始版本的sum程序拷貝做校驗和,
不要用/bin中的suM程序做)與系統(tǒng)中所有對就的文件的校驗和進行比
較,如果有任何差別,要查清差別產(chǎn)生的原因.如果兩個校驗和不同,是
由于安裝了新版本的程序,確認一相是否的確是安裝了新版本程序.如
果不能找出校驗和不同的原因,用暫存目錄中的命令替換系統(tǒng)中的原有
命令.
. 在確認系統(tǒng)中的命令還未被竄改之前,不要用系統(tǒng)中原命令.用暫存目
錄中的shell,并將PATH設置為僅在暫存目錄中搜索命令.
. 根據(jù)暫存目錄中所有系統(tǒng)命令的存取許可,檢查系統(tǒng)中所有命令的存取
許可.
. 檢查所有系統(tǒng)目錄的存取許可,如果用了perms,檢查permlist文件是否
被竄改過.
. 如果系統(tǒng)UNIX(/unix)的校驗和不同于原版的校驗和,并且系統(tǒng)管理員
從未修改過核心,則應當認為,一個非法者"很能干",從暫存緩沖區(qū)重新
裝入系統(tǒng).系統(tǒng)管理員可以從逐步增加的文件系統(tǒng)備份中恢復用戶的文
件,但是在檢查備份中的"有趣"文件之前,不能做文件恢復.
. 改變系統(tǒng)中的所有口令,通知用戶他們的口令已改變,應找系統(tǒng)管理員
得到新口令.
. 當用戶來要新口令時,告訴用戶發(fā)生了一次安全事故,他們應查看自己
的文件和目錄是否潛伏著危害(如SUID文件,特洛依木馬,任何人可寫的
目錄),并報告系統(tǒng)管理員任何異乎尋常的情況.
. 設法查清安全破壞是如何發(fā)生的?如果沒有肇事者說明,這也許是不可
能弄清的.如果能發(fā)現(xiàn)肇事者如何進入系統(tǒng),設法堵住這個安全漏洞.
第一次安裝UNIX系統(tǒng)時,可以將shell,sum命令,所有文件的校驗和存放在
安全的介質(zhì)上(帶,軟盤,硬盤和任何可以卸下并鎖焉起來的介質(zhì)).于是不必再
從原版系統(tǒng)帶上重新裝入文件,可以安裝備份介質(zhì),裝入shell和sum,將存在帶
上的校驗和與系統(tǒng)中文件的校驗和進行比較.系統(tǒng)管理員也許想自己寫一個計
算校驗和的程序,破壞者將不能知道該程序的算法,如果將該程序及校驗和保
存在帶上,這一方法的保密問題就減小到一個物理的安全問題,即只需將帶鎖
起來.

9.加限制的環(huán)境

(1)加限制的shell(rsh)
該shell幾乎與普通的shell相同,但是該shell的設計能限制一個用戶的
能力,不允許用戶有某些標準shell所允許的行為:
. 不能改變工作目錄(cd).
. 不能改變PATH或SHELL shell變量.
. 不能使用含有"/"的命令名.
. 不能重定向輸出(>和>>).
. 不能用exec執(zhí)行程序.
用戶在登錄時,招待.profile文件后系統(tǒng)就強加上了這些限制,如果用戶

推薦閱讀