歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Unix知識 >> 關於Unix

Linux系統下查找漏洞的N種兵器

1、基於主機的實用掃描軟件 (1)sXid sXid是一個系統監控程序,軟件下載後,使用“make install”命令即可安裝。它可以掃描系統中suid和sgid文件和目錄,因為這些目錄很可能是後門程序,並可以設置通過電子郵件來報告結果。缺省安裝的配置文件為/etc/sxid.c  1、基於主機的實用掃描軟件

  (1)sXid

  sXid是一個系統監控程序,軟件下載後,使用“make install”命令即可安裝。它可以掃描系統中suid和sgid文件和目錄,因為這些目錄很可能是後門程序,並可以設置通過電子郵件來報告結果。缺省安裝的配置文件為/etc/sxid.conf,這個文件的注釋很容易看懂,它定義了sxid 的工作方式、日志文件的循環次數等;日志文件缺省為/var/log/sxid.log。出於安全方面的考慮,我們可以在配置參數後把sxid.conf 設置為不可改變,使用 chattr 命令把sxid.log文件設置為只可添加。此外,我們還可以隨時用sxid -k加上 -k 選項來進行檢查,這種檢查方式很靈活,既不記入日志,也不發出 email。如圖1所示。

輪番上陣<STRONGLinux系統下查找漏洞的N種兵器 src="http://www.ltesting.net/uploads/2007/07/1_200707132114173.jpg" border=1>

圖1 sXid

  (2)LSAT

  Linux Security Auditing Tool (LSAT) 是一款本地安全掃描程序,發現默認配置不安全時,它可以生成報告。LSAT由Triode開發,主要針對基於RPM的Linux發布設計的。軟件下載後,進行如下編譯:

clearcase/" target="_blank" >cccccc border=1> cndes$ tar xzvf last-VERSION.tgz
cndes$ cd lsat-VERSION
cndes$ ./configure
cndes$ make

  然後以root身份運行:root# ./lsat。默認情況下,它會生成一份名字叫lsat.out的報告。也可以指定一些選項:

-o filename 指定生成報告的文件名
-v 詳細輸出模式
-s 不在屏幕上打印任何信息,只生成報告。
-r 執行RPM校驗和檢查,找出默認內容和權限被改動的文件

  LSAT可以檢查的內容很多,主要有:檢查無用的RPM安裝;檢查inetd和Xinetd和一些系統配置文件;檢查SUID和SGID文件;檢查777的文件;檢查進程和服務;開放端口等。LSAT的常用方法是用cron定期調用,然後用diff比較當前報告和以前報告的區別,就可以發現系統配置發生的變化。下面是一個測試中的報告片斷:

****************************************
This is a list of SUID files on the system:
/bin/ping
/bin/mount
/bin/umount
/bin/su
/sbin/pam_timestamp_check
/sbin/pwdb_chkpwd
/sbin/unix_chkpwd
****************************************
This is a list of SGID files/directories on the system:
/root/sendmail.bak
/root/mta.bak
/sbin/netreport
****************************************
List of normal files in /dev. MAKEDEV is ok, but there
should be no other files:
/dev/MAKEDEV
/dev/MAKEDEV.afa
****************************************
This is a list of world writable files
/etc/cron.daily/backup.sh
/etc/cron.daily/update_CDV.sh
/etc/megamonitor/monitor
/root/e
/root/pl/outfile

 

[1] [2] [3] [4] 下一頁  

Copyright © Linux教程網 All Rights Reserved