📄 system-safety.html
字号:
<br> 明可能有人企图通过猜测登录名和口令,非法进入系统.
<br> 这里最重要的一点是:系统管理没越熟悉自己的用户和用户的工作习惯,
<br> 就越能快速发现系统中任何不寻常的事件,而不寻常的事件意味着系统已被人
<br> 窃密.
<br>
<p> (3)安全检查程序的问题
<br> 关于以上的检查方法的一个警告,若有诱骗,则这些方法中没有几个能防
<br> 诱骗.如find命令,如果碰到路径名长于256个字符的文件或含有多于200个文
<br> 件的目录,将放弃处理该文件或目录,用户就有可能利用建立多层目录结构或
<br> 大目录隐藏SUID程序,使其逃避检查(但find命令会给出一个错误信息,系统管
<br> 理员应手工检查这些目录和文件).也可用ncheck命令搜索文件系统,但它没有
<br> find命令指定搜索哪种文件的功能.
<br> 如果定期存取.profile文件,则检查久未登录用户的方法就不奏效了.而
<br> 用户用su命令时,除非用参数-,否则su不读用户的.profile.
<br> 有三种方法可寻找久未登录的帐户:
<br> . UNIX记帐系统在文件/usr/adm/acct/sum/login中为每个用户保留了最
<br> 后一次登录日期.用这个文件的好处是,该文件由系统维护,所以可完全
<br> 肯定登录日期是准确的.缺点是必须在系统上运行记帐程序以更新
<br> loginlog文件,如果在清晨(午夜后)运行记帐程序,一天的登录日期可
<br> 能就被清除了.
<br> . /etc/passwd文件中的口令时效域将能告诉系统管理员,用户的口令是
<br> 否过期了,若过期,则意味着自过期以来,户头再未被用过.这一方法的
<br> 好处在于系统记录了久未用的户头,检查过程简单,且不需要记帐系统
<br> 所需要的磁盘资源,缺点是也许系统管理员不想在系统上设置口令时效,
<br> 而且这一方法仅在口令的最大有效期(只有几周)才是准确的.
<br> . 系统管理员可以写一个程序,每天(和重新引导系统时)扫描/etc/wtmp,
<br> 自己保留下用户最后登录时间记录,这一方法的好处是不需要记帐程序,
<br> 并且时间准确,缺点是要自己写程序.
<br> 以上任何方法都可和/usr/adm/sulog文件结合起来,查出由login或su登
<br> 录户头的最后登录时间.
<br> 如果有人存心破坏系统安全,第一件要做的事就是寻找检查程序.破坏者
<br> 将修改检查程序,使其不能报告任何异常事件,也可能停止系统记帐,删除记帐
<br> 文件,使系统管理员不能发现破坏者干了些什么.
<p> (4)系统泄密后怎么办?
<br> 发现有人已经破坏了系统安全的时候,这时系统管理员首先应做的是面对
<br> 肇事用户.如果该用户所做的事不是蓄意的,而且公司没有关于"破坏安全"的
<br> 规章,也未造成损坏,则系统管理员只需清理系统,并留心该用户一段时间.如
<br> 果该用户造成了某些损坏,则应当报告有关人士,并且应尽可能地将系统恢复
<br> 到原来的状态.
<br> 如果肇事者是非授权用户,那就得做最坏的假设了:肇事者已设法成为root
<br> 且本系统的文件和程序已经泄密了.系统管理员应当想法查出谁是肇事者,他
<br> 造成了什么损坏?还应当对整个文件做一次全面的检查,并不只是检查SUID和
<br> SGID,设备文件.如果系统安全被一个敌对的用户破坏了,应当采用下面的步骤:
<br> . 关系统,然后重新引导,不要进入多用户方式,进入单用户方式.
<br> . 安装含有本系统原始UNIX版本的带和软盘.
<br> . 将/bin,/usr/bin,/etc,/usr/lib中的文件拷贝到一个暂存目录中.
<br> . 将暂存目录中所有文件的校验和(用原始版本的sum程序拷贝做校验和,
<br> 不要用/bin中的suM程序做)与系统中所有对就的文件的校验和进行比
<br> 较,如果有任何差别,要查清差别产生的原因.如果两个校验和不同,是
<br> 由于安装了新版本的程序,确认一相是否的确是安装了新版本程序.如
<br> 果不能找出校验和不同的原因,用暂存目录中的命令替换系统中的原有
<br> 命令.
<br> . 在确认系统中的命令还未被窜改之前,不要用系统中原命令.用暂存目
<br> 录中的shell,并将PATH设置为仅在暂存目录中搜索命令.
<br> . 根据暂存目录中所有系统命令的存取许可,检查系统中所有命令的存取
<br> 许可.
<br> . 检查所有系统目录的存取许可,如果用了perms,检查permlist文件是否
<br> 被窜改过.
<br> . 如果系统UNIX(/unix)的校验和不同于原版的校验和,并且系统管理员
<br> 从未修改过核心,则应当认为,一个非法者"很能干",从暂存缓冲区重新
<br> 装入系统.系统管理员可以从逐步增加的文件系统备份中恢复用户的文
<br> 件,但是在检查备份中的"有趣"文件之前,不能做文件恢复.
<br> . 改变系统中的所有口令,通知用户他们的口令已改变,应找系统管理员
<br> 得到新口令.
<br> . 当用户来要新口令时,告诉用户发生了一次安全事故,他们应查看自己
<br> 的文件和目录是否潜伏着危害(如SUID文件,特洛依木马,任何人可写的
<br> 目录),并报告系统管理员任何异乎寻常的情况.
<br> . 设法查清安全破坏是如何发生的?如果没有肇事者说明,这也许是不可
<br> 能弄清的.如果能发现肇事者如何进入系统,设法堵住这个安全漏洞.
<br> 第一次安装UNIX系统时,可以将shell,sum命令,所有文件的校验和存放在
<br> 安全的介质上(带,软盘,硬盘和任何可以卸下并锁焉起来的介质).于是不必再
<br> 从原版系统带上重新装入文件,可以安装备份介质,装入shell和sum,将存在带
<br> 上的校验和与系统中文件的校验和进行比较.系统管理员也许想自己写一个计
<br> 算校验和的程序,破坏者将不能知道该程序的算法,如果将该程序及校验和保
<br> 存在带上,这一方法的保密问题就减小到一个物理的安全问题,即只需将带锁
<br> 起来.
<p>9.加限制的环境
<p> (1)加限制的shell(rsh)
<br> 该shell几乎与普通的shell相同,但是该shell的设计能限制一个用户的
<br> 能力,不允许用户有某些标准shell所允许的行为:
<br> . 不能改变工作目录(cd).
<br> . 不能改变PATH或SHELL shell变量.
<br> . 不能使用含有"/"的命令名.
<br> . 不能重定向输出(>和>>).
<br> . 不能用exec执行程序.
<br> 用户在登录时,招待.profile文件后系统就强加上了这些限制,如果用户
<br> 在.profile文件正被解释时按了BREAK键或DELETE键,该用户将被注销.
<br> 这些简单的限制,使用写受限制用户的.profile文件的系统管理员可以对
<br> 用户能使用什么命令,进行完全的控制.
<br> 应当注意:系统V加限制的shell实际上不是很安全,在敌对的用户时不要
<br> 用.系统V版本2以后的版本中加限制的shell更安全些.但若允许受限制的用户
<br> 使用某些命令(如env,cp,ln),用户将能逃避加限制的shell,进入非限制的
<br> shell.
<p> (2)用chroot()限制用户
<br> 如果的确想限制一个用户,可用chroot()子程序为用户建立一个完全隔离
<br> 的环境,改变了进程对根目录的概念,因此可用于将一个用户封在整个文件系
<br> 统的某一层目录结构中,使用户无法用cd命令转出该层目录结构,不能存取文
<br> 件系统中其余部分的任何文件.这种限制方式比加限制的shell好得多.用户使
<br> 用的命令应由系统管理员在新的root目录中建立一个bin目录,并建立用户可
<br> 用命令的链到系统的/bin目录中相应命令文件上(若在不同的文件系统则应拷
<br> 贝命令文件).
<br> 还应建立新的passwd文件,保留系统登录户头(为了使ls
-l正确地报告与
<br> 受限制的子文件系统中的文件相关的正确登录名)和用户帐户,但系统帐户的
<br> 口令改为NOLOGIN以使受限制的用户不能取得系统登录的真实口令,使"破密"
<br> 程序的任何企图成为泡影.
<br> utmp文件是who所需要的,该文件含有系统中已登录用户的列表.
<br> 新的/etc/profile文件也不是建链文件,以便受限制的用户可以执行不同
<br> 的启动命令.
<br> /dev目录中的终端设备文件被链接到新的/dev目录下,因为命令who产生
<br> 输出时要查看这些文件.
<br> 在系统V及以后的UNIX版本中,login命令有chroot()的功能.如果口令文
<br> 件中用户入口项的登录shell域(最后一个域)是*,login将调用chroot()把用
<br> 户的根目录设置成为口令文件中用户入口项登录目录域指定的目录.然后再调
<br> 用exec()执行login,新的login将在新子系统文件中执行该用户的登录.
<br> chroot()并不是把root封锁在一个子文件系统中,所以给受限制用户用的
<br> 命令时应加以考虑,具有root的SUID许可的程序可能会给予用户root的能力.
<br> 应当将这种可能减低到最小程度,交给用户使用的命令应当取自清除了SUID陷
<br> 井的系统命令.链接文件可减少磁盘占用区,但要记住,当与敌对用户打交道时
<br> 链接到chroot目录结构(尤其是命令)的系统文件是很危险的.
<br> 如果建立一个像这样的限制环境,应确保对安装到新的/bin的每条命令都
<br> 做过测试,有些程序可能有系统管理员未曾想到的出乎意料的执行结果.为了
<br> 使这些命令能运行,还得在加限制的子文件系统中加服务目录或文件如:/tmp,
<br> /etc/termcap,/usr/lib/terminfo,/dev/mem,/dev/kmem,/dev/swap,用户所
<br> 登录的/dev中的tty文件以及/unix.
<br> 有些程序在子文件系统中运行时不会很好,如果将假脱机程序和网络命令
<br> 拷贝到加限制的子文件系统中,并放在为两条命令专建的目录层结构下,它们
<br> 可能也运行不了.
<p>10.小系统安全
<br> 任何足够小,运行于办公室的UNIX系统就是小系统.这类小系统也包括所有
<br>台式UNIX机器.根据安全观点,使小系统很特别而值得特别的有以下几点:
<br> . 小系统的用户比大系统的用户少,通常是很小一组用户,使系统管理员能
<br> 熟悉每个人,安全问题可以直接地面对面处理.
<br> . 由于小UNIX系统管理更简单,可能只需要一个系统管理员,因而维护系统
<br> 安全的责任只有一个人担负.
<br> . 如果既是用户又是系统管理员,将不能花大量时间考虑系统安全.
<br> . 如果自己拥有系统并且是系统管理员,就可能有权直接将违反规的用户从
<br> 系统中删除,而没有几个大系统的管理员能有这种权利.
<br> . 如果自己是系统的唯一用户,则将既是用户又是管理员,维护系统安全的
<br> 任务就很简单了,只须确保系统中所有登录户头的口令是好的.
⌨️ 快捷键说明
复制代码
Ctrl + C
搜索代码
Ctrl + F
全屏模式
F11
切换主题
Ctrl + Shift + D
显示快捷键
?
增大字号
Ctrl + =
减小字号
Ctrl + -