下面介紹一些可以用於 linux 的安全工具,這些工具對於固化您的伺服器將起到一定的作用,可以解決各方面的問題。我們的重點只是想讓您了解這些工具,對安裝配置以及使用不會給出很詳細的介紹。一些安全問題例如 suid 是什麼,緩衝溢位是什麼等概念性的東西也不屬於本文討論的範圍。
介紹這些工具的目的只是給您乙個提示的方向,並不是讓您拘泥於這些工具。畢竟安全是乙個過程,不是乙個產品。
一、sxid
sxid 是乙個系統監控程式。它可以監視系統中 suid,sgid 檔案以及沒有屬主的變化。並且以可選的形式報告這些改變,你可以在配置檔案中設定用 email 的形式通知這些改變,也可以不使用 email 而直接在標準輸出上顯示這些變化。suid,sgid 檔案以及沒有屬主的檔案很有可能是別人放置的後門程式,這些都是您所要特別注意的。
你可以從下面的**獲得 sxid:
ftp://marcus.seva.net/pub/sxid/
如果您安裝過其他工具,那麼您一定也會安裝這個工具,它在安裝上沒有什麼特別的地方。
預設安裝的時候,配置檔案為 /usr/local/etc/sxid.conf,這個檔案中有很明顯的注釋很容易看懂。在這個檔案中定義了 sxid 的工作方式。日誌檔案預設為 /var/log/sxid.log,日誌檔案的迴圈次數在 sxid.conf 檔案中定義。您可以在配置固定後把 sxid.conf 設定為不可改變,把 sxid.log 設定為只可新增(使用 chattr 命令)。
您可以用 sxid -k 加上 -k 選項來進行檢查,這時檢查很靈活,既不記入日誌,也不會發出 email。這樣您就可以隨時做檢查。但是我還是建議您把檢查放入 crontab 中,使用 crontab -e 編輯加入下面的條目:
0 4 * * * /usr/bin/sxid
表示每天上午 4 點執行這個程式。
man sxid
man 5 sxid.conf
二、skey
您認為您的密碼安全嗎?即使您的密碼很長,有很多特殊字元,解密工具很難破解,但您的密碼在網路中傳送時是以明文形式的,在乙太網中隨便乙個嗅探器就可以擷取您的密碼。現在在交換環境中也能實現這種技術。在這種情況下,skey 對您來說是乙個選擇。
skey 是一次性口令的乙個工具。它是乙個基於客戶/伺服器的應用程式。首先在伺服器端可以用 keyinit 命令為每個使用者建立乙個 skey 客戶,這個命令需要指定乙個秘密口令,然後就可以為客戶端的使用者產生一次性口令列表。當使用者通過 telnet,ftp 等與伺服器進行連線時就可以按照一次性口令列表中的口令順序輸入自己的密碼,下次再連線時候密碼就換成了列表中的下乙個。
可以從下面的**獲得 skey:
ftp://ftp.cc.gatech.edu/ac121/li ... k/sunacm/other/skey
skey 的伺服器端使用有下面的步驟:
1.使用下面的命令初始化使用者 mary:
keyinit mary
keyinit 每次為使用者生成 99 個一次性口令,這時就會在 /etc/skeykeys 檔案建立這個使用者,該檔案中儲存了伺服器端計算下乙個一次性口令的一些資訊。用上面的 keyinit 命令時就會在 /etc/skeykeys 中有下面的記錄:
mary 0099 to25065 be9406d891ac86fb mar 11, 2001 04:23:12
上面的記錄中從左到右依次是使用者名稱,要使用的一次性口令序號,口令的種類,16 進製表示的口令,日期和時間。
2.將一次性口令列表提供給 mary
您可以列印出口令列表然後送給 mary。這樣比較安全,密碼不會在網路中傳遞。
3.為 mary 修改預設的登陸 shell 為 /usr/local/bin/keysh
由於 pam 的作用,mary 登陸時要輸入密碼,她輸入這個一次性口令後伺服器端要對這個口令進行校驗,校驗通過連線就被許可了。
如果您的預設的 99 個口令用完了,您可以使用 keyinit -s 重新整理口令列表。
在 /usr/src/skey/misc 目錄中有許多其他的替換 keysh 的提供其他服務的程式,例如:su,login,ftp 等等。這樣您可以應付不同的服務的連線請求了。
為了安全,您最好設定一下/etc/skeykeys 檔案的屬性和許可權。下面介紹一些可以用於 linux 的安全工具,這些工具對於固化您的伺服器將起到一定的作用,可以解決各方面的問題。我們的重點只是想讓您了解這些工具,對安裝配置以及使用不會給出很詳細的介紹。一些安全問題例如 suid 是什麼,緩衝溢位是什麼等概念性的東西也不屬於本文討論的範圍。
Linux系統安全工具tcpdump用法
1.安裝 yum install tcpdump y 2.監視資料報 tcpdump i eth0 監控本機的eth0網絡卡 tcpdump host 192.168.1.120 and 192.168.1.121 or 192.168.1.122 截獲多個ip資料報 tcpdump i eth0 ...
Linux系統安全審計工具Lynis
lynis是一款開源的系統安全審計功能工具,該工具由一系列的shell指令碼構成 系統進行全面安全檢查的工具,可以發現系統 賬戶 程序等多個層面所存在的安全風險,並以直觀的方式逐一列出,支援目前主流的linux平台。一 lynis檢查專案大致如下 系統程式是否被置換或篡改,避免管理者或使用者執行惡意...
linux系統安全詳解
與系統安全相關的幾個檔案 鎖定使用者密碼 passwd l username 解鎖使用者密碼 usermod u username passwd u username 使用者檔案管理 檔案鎖定 使用者密碼管理 命令歷史管理 su命令管理 sudo命令詳解 sudo 當前使用者,能夠以另外乙個指定使用...