UNIX 计算安全/实用工具
建议主题: COPS,TIGER,sudo,md5,nfsbug,tripwire,OpenSSH,Linux 虚拟化,SNORT,IDS/IPS,IPTables。
许多商业和免费软件工具可用于帮助系统管理员增强其系统的安全性。根据安全要求,可以定期使用其中一些实用程序来检查系统安全,查找攻击或系统被破坏的迹象,并实施更安全的程序。
这个久负盛名的软件包包含一系列脚本和二进制文件,可用于检查 UNIX 系统上的一些基本安全配置。该软件包的最后一次更新是 1.04 版,于 1991 年发布。因此,此工具开始显露出其年龄,可能需要一些微调才能在现代版本的 UNIX 上运行。输出将根据 UNIX 供应商和操作系统版本而有所不同。(该软件包中还包含一个 perl 版本,但它基于一个非常旧版本的 perl,并且已知存在一些错误。)
以下几组检查由 COPS 实用程序执行
- 检查选定的系统目录是否有世界写入权限。
- 检查特定系统文件是否有世界写入权限。
- 检查系统上的所有文件是否有 setuid 状态,并记录更改。
- 检查
/etc/passwd文件中是否有不安全的条目。 - 检查
/etc/group文件的格式。 - 检查 root 帐户的
PATH、umask,以及/etc/ftpuser中是否有 root 条目。 - 检查
/etc/rc*中是否有可被世界写入的文件。 - 检查
/usr/lib/crontab中是否有可被世界写入的文件。 - 检查用户主目录中的特定启动和配置文件。
- 使用 U-Kuang 基于规则的专家系统来检查潜在的安全漏洞。
有一些 UNIX 实用程序,如 cksum 和 md5,可用于读取文件内容并生成单向散列值或校验和作为输出。每当文件内容发生更改时,结果字符串的值也会发生更改,因此此实用程序可用于检查下载的文件是否被不适当地篡改。该字符串还可用于检查文件在下载过程中是否已损坏。
例如,
$ mdf important_data.pdf MD5 (important_data.pdf) = 46df33cb1473394c32a8910d162eb913
每当系统管理员下载将在 UNIX 系统上执行的程序或补丁时,重要的是将文件的校验和与其在安全源处的数值进行比较。这将有助于保护系统免受非法篡改。许多供应商会为他们提供的可下载文件提供校验和值。如果可能,应使用 md5 等更强大的实用程序代替 cksum,因为这将使攻击者生成具有相同校验和的篡改文件的难度大大提高。
校验和还可用于验证系统上的二进制命令。一些完整性检查实用程序(如 tripwire)使用多个校验和程序来搜索文件修改。