Unix系統安全六問(轉)

ba發表於2007-08-09
Unix系統安全六問(轉)[@more@]問:如何發現Unix系統已經被入侵?

  答:Unix系統管理員應該重點關注檔案系統、時間戳、日誌檔案、未知檔案的內容和功能。透過審查這些內容獲得Unix是否已被入侵的資訊。

  問:機器執行telnet和rlogin是否增加站點的安全威脅?

  答:是,嗅探器可以輕易的從telnet和rlogin所傳輸的資料中提取密碼。telnet可以連線任何正在監聽的埠,可以用來欺騙或者攻擊正常的協議。rlogin和某些檔案在一起會組成系統漏洞。請確保開啟你的telnet和rlogin的加密和驗證功能。

  問:確保root帳號有歷史檔案是一件很重要的事情麼?

  答:多次經驗表明,歷史檔案是系統遭受入侵以後獲取資訊的最重要的來源之一。駭客可能會在入侵後刪除或修改歷史檔案,所以要確保你有root賬號歷史檔案的備份。

  問:真的需要打系統補丁麼?

  答:應該把所有的補丁都打上,無論這些補丁是不是安全相關的。不能及時的把最新的補丁應用於你的系統,會使你的安全架構受到威脅。安全架構的最高安全性,等於最弱一環的安全性。強調一點:安裝補丁的時候,最好保證以後改補丁可被解除安裝,並且一定要備份你的系統。

  問:禁止使用埠111,能夠保證你的系統完全不受RPC攻擊麼?

  答:禁止訪問111埠並不是總能避免惡意企圖者從遠端系統呼叫得到有用資訊,在Solaris 2.x等作業系統下,rpcbind在TCP111埠和UDP111埠監聽,也在大於32770的埠監聽。攻擊者只須向rpcbind監聽的大於32770的udp埠傳送簡單的請求即可,而不必向TCP/UDP111埠。

  問:我發現了一個PAM錯誤訊息,這是什麼意思呢?

  答:這個訊息是PAM和/或者ftpd配置錯誤的典型表現,其原因是ftpd被連線到了PAM庫(也就是說,透過-lpam連線)上,但是卻沒有安裝PAM或者在配置檔案裡沒有使用。許多發行版的PAM配置檔案錯誤。

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10617731/viewspace-939325/,如需轉載,請註明出處,否則將追究法律責任。

相關文章