四、Solaris服务器的基本安全检查
这里我们分如下几个步骤:
1.查看登陆系统的用户:
我们用w命令显示当前所有登陆系统的用户,如图1所示,输出标题行显示了当前系统时间,该系统已运行的时间,当前登陆用户数,最近1分钟,5分钟和15分钟内的平均系统负载。 USER字段显示当前登陆的用户名。TTY字段显示了会话的控制终端,tty表示从控制台登陆,pts/typ则可以表示通过一个网络连接,
2.查看系统开放的端口:
我们用netstat –an命令来显示当前系统开放的端口,有时系统开放的端口比较多,一页显示不了,我们可以用|more这个管道命令使结果分页显示,便于我们查看输出行通常有5个结果,其中比较重要的是proto显示了使用协议,local address显示了使用的本地ip,这对于NAT地址转换的情况比较有用,还有foreign address显示了外部ip,state显示了当前这个连接的状态。
3.使用lsof,
使用 lsof 您可以检查打开的文件,并根据需要在卸载之前中止相应的进程。同样地,如果您发现了一个未知的文件,那么可以找出到底是哪个应用程序打开了这个文件。在 UNIX 环境中,文件无处不在,这便产生了一句格言:“任何事物都是文件”。通过文件不仅仅可以访问常规数据,通常还可以访问网络连接和硬件。在有些情况下,当您使用 ls 请求目录清单时,将出现相应的条目。在其它情况下,如传输控制协议 (TCP) 和用户数据报协议 (UDP) 套接字,不存在相应的目录清单。但是在后台为该应用程序分配了一个文件描述符,无论这个文件的本质如何,该文件描述符为应用程序与基础操作系统之间的交互提供了通用接口。因为应用程序打开文件的描述符列表提供了大量关于这个应用程序本身的信息,所以能够查看这个列表将是很有帮助的。完成这项任务的实用程序称为 lsof,它对应于“list open files”(列出打开的文件)。几乎在每个 UNIX 版本中都有这个实用程序。
lsof下载安装
#wget ftp://ftp.sunfreeware.com/pub/freeware/intel/10/lsof-4.77-sol10-x86-local.gz
#gunzip lsof-4.77-sol10-x86-local.gz
#pkgadd -d lsof-4.77-sol10-x86-local
lsof的使用
只需输入 lsof 就可以生成大量的信息,如图1所示。因为 lsof 需要访问核心内存和各种文件,所以必须以 root 用户的身份运行它才能够充分地发挥其功能。
图1 lsof命令输出
每行显示一个打开的文件,除非另外指定,否则将显示所有进程打开的所有文件。Command、PID 和 User 列分别表示进程的名称、进程标识符 (PID) 和所有者名称。Device、SIZE/OFF、Node 和 Name 列涉及到文件本身的信息,分别表示指定磁盘的名称、文件的大小、索引节点(文件在磁盘上的标识)和该文件的确切名称。根据 UNIX 版本的不同,可能将文件的大小报告为应用程序在文件中进行读取的当前位置(偏移量)。图5来自一台可以报告该信息的 Sun Solaris 10 计算机,而 Linux 没有这个功能。
查找网络连接
网络连接也是文件,这意味着可以使用 lsof 获得关于它们的信息。假设您已经知道 PID,但是有时候并非如此。如果您只知道相应的端口,那么可以使用 -i 参数利用套接字信息进行搜索。下面显示了对 TCP 端口 22 的搜索。
五、使用chkrootkit工具软件
chkrootkit简介
仅仅做了以上工作是不够的,Linux和几乎所有的UNIX都支持LKM(Loadable Kernel Modules),用普通的方法无法检测其存在,这给应急响应带来了极大的挑战性。对于我们来说,解决的办法是找到那些rootkit.所谓 rootkit, 就是有心人士, 整理一些些常用的木马程序,做成一组程序套件, 以方便 黑客攻入主机时, 在受害的主机上,顺利地编译和安装木马程序。有时lkm rootkit虽然被成功装载,但在系统的某些细节上会出现“异常”,甚至可能使系统在运行一段时间后彻底崩溃。还有,lkm虽然活动在ring0核心态,但是攻击者往往会在系统的某处留下痕迹,比如攻击者为了让系统每次关闭或重启后能自动装入他安置的内核后门,可能会改写 /etc/modules.conf或/etc/rc.local等。我们可以通过chkrootkit来检测。 在此 介绍 http://www.chkrootkit.org/ 推出的 chkrootkit.
顾名思义, chkrootkit 就是, 检查 rootkit 是否存在的一种便利工具.chkrootkit 可以在以下平台使用:
Linux 、FreeBSD 、OpenBSD 、Solaris HP-UX , Tru64, Mac OS X截至目前(05/08/2001)为止, 最新版本是: chkrootkit v0.48 。它可以侦测以下63种 rootkit 及 worm,如表-1 。
1.配置pkg-get
solairs有一种工具,这就是pkg_get,由blastwave.org推出的。用作者的话说是:“一个用来自动抓取www.sunfreeware.com上的包的工具. 模拟了Debian linux上的"apt-get".”传统的Solaris命令功能并不够强大--这个软件可以补充很多包管理的功能。这个工具简单到仅使用如下命令就可以获取sunfreeware.com上一个包的最新版本。
# pkg-get installsoftwore
这条命令会自动下载适合你的体系结构和为你的OS修订的版本software(如果存在的话),并安装它。如果你已安装了一个较老的版本,就可以使用'upgrade'代替 'install',这样就会用新的版本覆盖老的版本(即升级)。
下载pkg-get: http://www.blastwave.org/pkg_get.pkg
安装pkg-get: #pkgadd -d pkg_get.pkg all
如果在solaris8下安装有问题,请打下面几个补丁patch:
110380-04 (x86 110403)
110934-11 (x86 110935)
pkg-get将会安装在/opt/csw/bin/目录下。从blastwave安装的软件均安装到该目录中,请把/opt/csw/bin/设置到你的PATH环境变量中。编辑/etc/profile文件:
PATH=/opt/csw/bin:/usr/sfw/bin:/usr/sbin:/usr/bin:/usr/openwin/bin:/usr/dt/bin:/usr/ccs/bin
| 共3页: 上一页 [1] 2 [3] 下一页 |