Unix系統安全六問(轉)

Unix系統安全六問(轉)[@more@]問：如何發現Unix系統已經被入侵？

　　答：Unix系統管理員應該重點關注檔案系統、時間戳、日誌檔案、未知檔案的內容和功能。透過審查這些內容獲得Unix是否已被入侵的資訊。

　　問：機器執行telnet和rlogin是否增加站點的安全威脅？

　　答：是，嗅探器可以輕易的從telnet和rlogin所傳輸的資料中提取密碼。telnet可以連線任何正在監聽的埠，可以用來欺騙或者攻擊正常的協議。rlogin和某些檔案在一起會組成系統漏洞。請確保開啟你的telnet和rlogin的加密和驗證功能。

　　問：確保root帳號有歷史檔案是一件很重要的事情麼？

　　答：多次經驗表明，歷史檔案是系統遭受入侵以後獲取資訊的最重要的來源之一。駭客可能會在入侵後刪除或修改歷史檔案，所以要確保你有root賬號歷史檔案的備份。

　　問：真的需要打系統補丁麼？

　　答：應該把所有的補丁都打上，無論這些補丁是不是安全相關的。不能及時的把最新的補丁應用於你的系統，會使你的安全架構受到威脅。安全架構的最高安全性，等於最弱一環的安全性。強調一點：安裝補丁的時候，最好保證以後改補丁可被解除安裝，並且一定要備份你的系統。

　　問：禁止使用埠111，能夠保證你的系統完全不受RPC攻擊麼？

　　答：禁止訪問111埠並不是總能避免惡意企圖者從遠端系統呼叫得到有用資訊，在Solaris 2.x等作業系統下，rpcbind在TCP111埠和UDP111埠監聽，也在大於32770的埠監聽。攻擊者只須向rpcbind監聽的大於32770的udp埠傳送簡單的請求即可，而不必向TCP/UDP111埠。

　　問：我發現了一個PAM錯誤訊息，這是什麼意思呢？

　　答：這個訊息是PAM和/或者ftpd配置錯誤的典型表現，其原因是ftpd被連線到了PAM庫（也就是說，透過-lpam連線）上，但是卻沒有安裝PAM或者在配置檔案裡沒有使用。許多發行版的PAM配置檔案錯誤。