(3)安全檢查程序的問題
關(guān)于以上的檢查方法的一個警告,若有誘騙,則這些方法中沒有幾個能防誘騙.如find命令,如果碰到路徑名長于256個字符的文件或含有多于200個文件的目錄,將放棄處理該文件或目錄,用戶就有可能利用建立多層目錄結(jié)構(gòu)或大目錄隱藏SUID程序,使其逃避檢查(但find命令會給出一個錯誤信息,系統(tǒng)管理員應(yīng)手工檢查這些目錄和文件).也可用ncheck命令搜索文件系統(tǒng),但它沒有find命令指定搜索哪種文件的功能.如果定期存取.profile文件,則檢查久未登錄用戶的方法就不奏效了.而用戶用su命令時,除非用參數(shù)-,否則su不讀用戶的.profile.有三種方法可尋找久未登錄的帳戶: UNIX記帳系統(tǒng)在文件/usr/adm/acct/sum/login中為每個用戶保留了最后一次登錄日期.用這個文件的好處是,該文件由系統(tǒng)維護(hù),所以可完全肯定登錄日期是準(zhǔn)確的.缺點(diǎn)是必須在系統(tǒng)上運(yùn)行記帳程序以更新loginlog文件,如果在清晨(午夜后)運(yùn)行記帳程序,一天的登錄日期可能就被清除了.. /etc/passwd文件中的口令時效域?qū)⒛芨嬖V系統(tǒng)管理員,用戶的口令是否過期了,若過期,則意味著自過期以來,戶頭再未被用過.這一方法的好處在于系統(tǒng)記錄了久未用的戶頭,檢查過程簡單,且不需要記帳系統(tǒng)所需要的磁盤資源,缺點(diǎn)是也許系統(tǒng)管理員不想在系統(tǒng)上設(shè)置口令時效,而且這一方法僅在口令的最大有效期(只有幾周)才是準(zhǔn)確的.. 系統(tǒng)管理員可以寫一個程序,每天(和重新引導(dǎo)系統(tǒng)時)掃描/etc/wtmp,自己保留下用戶最后登錄時間記錄,這一方法的好處是不需要記帳程序,并且時間準(zhǔn)確,缺點(diǎn)是要自己寫程序.以上任何方法都可和/usr/adm/sulog文件結(jié)合起來,查出由login或su登錄戶頭的最后登錄時間.如果有人存心破壞系統(tǒng)安全,第一件要做的事就是尋找檢查程序.破壞者將修改檢查程序,使其不能報告任何異常事件,也可能停止系統(tǒng)記帳,刪除記帳文件,使系統(tǒng)管理員不能發(fā)現(xiàn)破壞者干了些什么.
(4)系統(tǒng)泄密后怎么辦?
發(fā)現(xiàn)有人已經(jīng)破壞了系統(tǒng)安全的時候,這時系統(tǒng)管理員首先應(yīng)做的是面對肇事用戶.如果該用戶所做的事不是蓄意的,而且公司沒有關(guān)于"破壞安全"的規(guī)章,也未造成損壞,則系統(tǒng)管理員只需清理系統(tǒng),并留心該用戶一段時間.如果該用戶造成了某些損壞,則應(yīng)當(dāng)報告有關(guān)人士,并且應(yīng)盡可能地將系統(tǒng)恢復(fù)到原來的狀態(tài).如果肇事者是非授權(quán)用戶,那就得做最壞的假設(shè)了:肇事者已設(shè)法成為root且本系統(tǒng)的文件和程序已經(jīng)泄密了.系統(tǒng)管理員應(yīng)當(dāng)想法查出誰是肇事者,他造成了什么損壞?還應(yīng)當(dāng)對整個文件做一次全面的檢查,并不只是檢查SUID和SGID,設(shè)備文件.如果系統(tǒng)安全被一個敵對的用戶破壞了,應(yīng)當(dāng)采用下面的步驟:. 關(guān)系統(tǒng),然后重新引導(dǎo),不要進(jìn)入多用戶方式,進(jìn)入單用戶方式.. 安裝含有本系統(tǒng)原始UNIX版本的帶和軟盤.. 將/bin,/usr/bin,/etc,/usr/lib中的文件拷貝到一個暫存目錄中.. 將暫存目錄中所有文件的校驗(yàn)和(用原始版本的suM程序拷貝做校驗(yàn)和,不要用/bin中的suM程序做)與系統(tǒng)中所有對就的文件的校驗(yàn)和進(jìn)行比較,如果有任何差別,要查清差別產(chǎn)生的原因.如果兩個校驗(yàn)和不同,是由于安裝了新版本的程序,確認(rèn)一相是否的確是安裝了新版本程序.如果不能找出校驗(yàn)和不同的原因,用暫存目錄中的命令替換系統(tǒng)中的原有命令.
. 在確認(rèn)系統(tǒng)中的命令還未被竄改之前,不要用系統(tǒng)中原命令.用暫存目錄中的shell,并將PATH設(shè)置為僅在暫存目錄中搜索命令.. 根據(jù)暫存目錄中所有系統(tǒng)命令的存取許可,檢查系統(tǒng)中所有命令的存取許可.. 檢查所有系統(tǒng)目錄的存取許可,如果用了perms,檢查permlist文件是否被竄改過.
. 如果系統(tǒng)UNIX(/unix)的校驗(yàn)和不同于原版的校驗(yàn)和,并且系統(tǒng)管理員從未修改過核心,則應(yīng)當(dāng)認(rèn)為,一個非法者"很能干",從暫存緩沖區(qū)重新裝入系統(tǒng).系統(tǒng)管理員可以從逐步增加的文件系統(tǒng)備份中恢復(fù)用戶的文件,但是在檢查備份中的"有趣"文件之前,不能做文件恢復(fù).. 改變系統(tǒng)中的所有口令,通知用戶他們的口令已改變,應(yīng)找系統(tǒng)管理員得到新口令.. 當(dāng)用戶來要新口令時,告訴用戶發(fā)生了一次安全事故,他們應(yīng)查看自己的文件和目錄是否潛伏著危害(如SUID文件,特洛依木馬,任何人可寫的目錄),并報告系統(tǒng)管理員任何異乎尋常的情況.. 設(shè)法查清安全破壞是如何發(fā)生的?如果沒有肇事者說明,這也許是不可能弄清的.如果能發(fā)現(xiàn)肇事者如何進(jìn)入系統(tǒng),設(shè)法堵住這個安全漏洞.

推薦閱讀

• 

  總打嗝怎么回事 總打嗝的原因
• 

  樓上樓下養(yǎng)狗太吵怎么辦
• 

  水果不甜就說明它的糖分少嗎
• 

  正宗酥皮火燒的做法
• 

  國家免費(fèi)發(fā)放的節(jié)育環(huán)是什么材質(zhì) 節(jié)育環(huán)是什么材質(zhì)
• 

  消防安全宣傳內(nèi)容
• 

  聲名鵲起是什么意思 聲名鵲起的釋義
• 

  贛州西站計(jì)劃開通時間是什么時候
• 

  武漢電腦培訓(xùn)-武漢電腦培訓(xùn)
• 

  如何通過臉書推廣手機(jī)配件？ 如何做手機(jī)配件的外貿(mào)？
• 

  小編教你word設(shè)計(jì)大氣夢幻封面圖的操作方法 小編教你華為筆記本電腦進(jìn)入bios設(shè)置的方法教學(xué)
• 

  孫悟空第一次用什么計(jì)借芭蕉扇
• 

  已婚男人沾上婚外情 已婚男人動了情很可怕
• 

  白日草怎么種 白日草怎么插花盆里
• 

  空調(diào)制熱25度熱還是30度熱
• 

  長安cx70空調(diào)離合不結(jié)合

• 4 sco unixware 7.1.1 全面學(xué)習(xí)資料
• 定制刻錄SCO UNIX安裝光盤的步驟
• Win10系統(tǒng)中關(guān)掉smartscreen篩選器具體操作方法
• SCO OPENSERVER 下custom發(fā)布軟件的制作方法
• 什么叫系統(tǒng)
• Unix中限制root遠(yuǎn)程登錄的方法
• sco的管理工具
• sco撥號詳解
• 什么叫逆系統(tǒng)
• Android 8.1系統(tǒng)怎么樣維護(hù)用戶隱私？Android 8.1系統(tǒng)亮點(diǎn)分析