2008-4-28 12:30
走完
Solaris安全操作指南
第一章 Solaris系统安全安装
1.1 安装步骤
下面将以安装Solaris 8 为例,描述系统安装的过程及相关的安全注意事项。请系统管理员在安装系统前,认真阅读Sun公司提供的系统安装指南和参考手册,了解系统安装的基本操作步骤。
断开网络连接
请确定网络是断开,即网线没有接入网络中。如果用户希望自动配置NIS服务,则需要网络处于连通状态,但是这样做会带来一些安全隐患,因为在安装期间,RPC服务处于启动状态,存在潜在的安全威胁。建议在系统处于安全保护状态下,才将系统联入网络。
Openboot口令和安全
请首先插入CD。为了防止无关人员执行EEPROM上的命令,请在OK提示符下,使用命令"setenv"设置EEPROM的安全模式为”command”,并设置相应的口令,要求口令至少为8位,必须有字母、数字和标点,不能使用名字、完整的英文单词或生日作为口令。下面是一个示例:
ok setenv security-mode command
security-mode = command
请再次确定已经设置了EEPROM的安全模式和口令,并且口令满足一定的复杂读要求。
· OK boot cdrom
在OK状态下,设置系统启动设备为CD-ROM。
开始Solaris 安装程序
进入系统安装初期,请系统管理员按照SUN公司提供安装手册所描述的步骤进行。在系统安装min-root,并进入StartWeb安装环境后,系统管理员注意下列安全事项:
1. 设置root口令
设置一个强壮的root的口令,使其符合复杂性要求,即口令长度必须为8位,包含数字、字母和标点,不能为完整的英文单词或句子。
2. 选择系统安装的类型
选择系统安装的类型是系统安装中关键一步,系统管理员需要根据系统安装的策略和最小化原则选择相应的系统软件包。
强烈建议:系统安装选择自定义核心组(core group)软件包,并且不安装附带软件和附加产品。
下一步是选择群集和包,在自定义核心组的默认选择的软件包基础上,可以增加如下软件包:
软件包编号
软件包描述
备注
SUNWast
通过监视或限制对系统文件和目录的访问来提高系统安全性的管理公用程序
此为SUN提供的安全工具,具体使用可以参阅有关手册
关于Solaris 8 系统安装的软件包信息,请系统管理员参阅附录3,以便根据具体应用选取相应的软件包。
3. 网络配置
如果系统需要DHCP或NIS,则需要将系统接入网络,注意接入网络的时间要尽可能短,如果配置DHCP或NIS完毕,请暂时将网络再次断开。下一步是选择IP或DHCP,这里会询问是否安装IPv6,除非必要,否则禁用。同时,SUN的建议是安装所需要的所有服务,因为服务安全的,但是不要采用这个选项。后期在配置服务和网络的时候会证明前者的做法是会带来安全问题的,因为在默认安装后,系统将开放RPC、aotumount、NFS等可能不必要且有潜在危险的服务。
4. 名字服务配置
下一步是配置NIS,建议最好不要使用NIS,除非必要。不要在安装中配置DNS,因为在安装时,系统要求联网以便校验DNS服务。系统就暴露在不安全的网络环境下了。建议在系统完成安装,并且根据本手册提供的方法完成系统加固之后,才对DNS进行配置。同样的,如果DNS服务的配置是必要的,那么系统接入网络的时间要尽可能的短,配置完毕立即断开网络连接。
5. 磁盘分区
首先将/var分区与root分区分开,以防止日志文件耗尽root分区的空间。确保root分区足够大,建立一个/var分区用于存放系统记录文件和Email文件等。Swap分区为RAM的2倍。通常使用SUN的默认配置,需要进行一些调整。建议分为三个区,即/、/opt和/var。可以在/opt区创建/usr/local,以方便备份管理。
6. 注意
其它版本的Solaris系统安装的顺序可能略有不同,系统管理员可根据具体情况,在上述相应的安装步骤中做好安全配置工作。
安装服务越少的软件,潜在的安全漏洞就越少,尽量选择最小安装,提高效率。了解更多关于建立最小安装的信息,请察看Solaris Minimization for Security。
1.2 安装后的工作
关闭不必要的服务
系统在安装core group后,默认开放如下不必要的服务:
1、 NFS
2、 RPC
3、 automount
4、 echo、time、chargen等TCP/IP简单服务
备份系统基本信息
系统安装完成后,系统管理员应该查看和备份系统关键信息,包括系统进程、网络服务信息、suid/sgid文件或目录、系统用户等。
安装和启用辅助安全工具
为了提高系统的安全性以及可维护性,建议安装建议的安全辅助工具。
安装补丁程序
在安装完其他系统软件和第三方软件后,马上更新系统补丁程序。并更新Tripwire数据库(如果使用了该软件的话)。 第二章 Solaris系统安全配置
2.1 系统安全配置的原则
Solaris的安全配置可以从以下几个方面来考虑:
2.1.1 本地安全增强
包括限制某些命令的访问、设置正确的文件权限、应用组和用户的概念、suid/sgid的文件最少、rw-rw-rw的文件最少等。
2.1.2 网络安全增强
包括使用安全的协议来管理、禁止所有不需要的服务、禁止系统间的信任关系、禁止不需要的帐号、增强认证需要的密码、保护存在危险的网络服务、限制访问等。
2.1.3 应用安全增强
包括限制用户的权限、限制进程所有者的权限、检查应用相关文件权限、限制访问其他系统资源、应用所依赖的suid/sgid文件最少、使用应用本身的安全特性、删除samples和其他无用的组件等。
2.1.4 监控与警报
包括日志、完整性、入侵检测等一些使用工具等。
2.2 主机的基本安全配置
主机的基本安全配置包括以下主要内容:
1、 系统补丁更新
2、 控制台安全
3、 文件系统安全
4、 用户管理
5、 系统启动与关闭
6、 内核调整
7、 日志与审核
8、 其它
2.2.1 系统补丁更新
及时更新系统补丁是系统管理员做好日常维护的一项重要工作。更新系统补丁的目的,除了满足某些兼容性的要求外,它的主要目的是修补系统的安全漏洞,避免系统漏洞被入侵者所利用。系统补丁包括操作系统的补丁,以及其它应用服务软件的补丁,诸如WEB服务、DNS服务、邮件服务、数据库等等。
1、 强烈建议定期从操作系统提供商或应用软件提供商的官方网站下载最新的系统补丁集,SUN的操作系统补丁列表可以以下网站获取:
[url=ftp://sunsolve1.sun.com/pub/patches/][color=#0000ff]ftp://sunsolve1.sun.com/pub/patches/[/color][/url]
[url=http://sunsolve1.sun.com/][color=#0000ff]http://sunsolve1.sun.com/[/color][/url]
2、 完整性检查,使用校验工具检查下载的补丁软件是否被篡改,以防止补丁软件感染病毒或植入木马程序。建议使用MD5检验工具(一般的SUN提供的补丁包内会有一个MD5校验数据文件,可以使用MD5校验工具计算文件的MD5值与之对照)。
3、 如果条件允许的情况下,建议最好先做补丁修补实验,因为某些补丁可能会影响部分服务的正常运行;
4、 在安装系统补丁软件后,建议按照本手册提供的方法和步骤对系统配置进行安全检查,因为某些系统补丁安装后可能会启动系统的默认配置,使系统状态发生变化,可能会导致系统服务异常或者使系统开放了某些不必要的服务而违背系统最小化原则。
另外,系统管理员可以使用showrev -p命令查看系统补丁修补情况,示例如下:
操作命令示例如下:
find / -type f -nouser > files-nouser-before-change
11. 查找无组的文件
操作命令示例如下:
find / -type f -nogroup > files-nogroup-before-change
12. 改变/var/cron权限
chmod 700 /var/cron && chown root /var/cron && chgrp sys /var/cron
13. 改变utmp\wtmp的权限
utmp文件记录当前登录到系统中的所有用户,wtmp文件记录用户登录和退出事件,如果这些文件是所有用户可写,那就可以轻松地修改或删除访问系统的记录。所以/var/adm/utmp、/var/adm/utmpx、/var/adm/wtmp、/var/adm/wtmpx的文件权限都应该设为644。
chmod 644 /var/adm/utmp && /var/adm/utmpx && /var/adm/wtmp && /var/adm/wtmpx
二.审核启动和关闭机制
由于在系统启动和关闭阶段,系统的保护措施暂时没有运行或访问,因此,提请系统管理员需要特别关注系统启动和关闭脚本的完整性。可以借助工具审核系统的启动和关闭脚本,如Tripwire。需要审核的文件和目录包括:/etc/rc*.X、/etc/inetd.conf等。
2.2.6 内核调整
修正堆栈错误,防止溢出(2.6以后版本已修正)
把堆栈设置为不可执行。步骤方法为:把下面两行加入/etc/system中
set noexec_user_stack=1 set noexec_user_stack_log=1
然后改变文件权限:#chmod 644 /etc/system
不可执行堆栈可以在一定程度上抵御基于栈(Stack)的缓冲区溢出攻击,但是,缓冲区溢出的攻击手段可以有多种方式实现,基于栈的溢出攻击只是其中的一种攻击手段,因此,设置不可执行堆栈不能抵御其它类型的缓冲区溢出攻击,如基于堆(Heap)的溢出攻击、基于函数指针的溢出攻击等。系统管理员应该时常关注系统安全漏洞信息,及时采取补救措施。
建议禁止系统进行核心转储(coredump),因为它会占用大量磁盘空间,并且可能会泄露某些敏感信息。设置方法为:在/etc/system中加入
set sys:coredumpsize=0
注意:以上三项配置都要重启系统后才能生效。
2.2.7 日志和审核
1、设置合适cron logfiles
编辑配置文件/etc/cron.d/logchecker中 LIMIT项。
系统管理员可以根据实际经验设置,一般要考虑的因素是日志查看的周期与通常情况下日志产生的信息量大小,建议对cron日志的审核以7天为一个周期。
2、记录所有inetd服务
编辑/etc/init.d/inetsvc,查找inetd的启动选项,示例如下:
/usr/sbin/inetd -s -t &
3、修改syslog.conf
编辑syslog.conf,增加
*.debug /var/adm/compass.messages #记录debug信息
auth.info /var/log/authlog
4、创建/var/adm/loginlog来记录登录失败信息
touch /var/adm/loginlog
chmod 600 /var/adm/loginlog
chown root /var/adm/loginlog
chgrp sys /var/adm/loginlog
5、辅助工具
建议使用Tripwire对系统文件进行完整性检查,这样能有效防止木马。具体Tripwire的安装与使用,请参见附录。
建议安装日志检测工具,比如swatch,以提高日志分析的效率。具体swatch的安装和使用,请参见附录。
2.2.8其它
1、cron和at是定时执行命令。因此要严格限制可以执行cron(at)命令的用户,以防止被入侵者所利用。
设置方法为:创建一个空的/etc/cron.d/cron.deny(/etc/cron.d/at.deny)文件,然后把可以执行cron(at)命令的用户加到/etc/cron.d/cron.allow(/etc/cron.d/at.allow)文件中。
2、不要使用crontab -e命令来配置cron,因为它会把用户的crontab文件的一份所有用户都可读的副本放在/tmp目录下,入侵者就可以根据这个副本探索出与cron项有关的可能的安全缺陷。
建议的设置方法为:首先输入命令crontab -l >mycronfile;编辑mycronfile文件,完成所有需要的修改;最后输入命令crontab <mycrontab。
2.3 系统网络服务安全配置
2.3.1网络接口的安全配置
利用ndd命令,可以检测或者更改网络设备驱动程序的特性。在/etc/init.d/inetinit启动脚本中增加以下各条命令,然后重启系统,可以提高网络的安全性。
1. 忽略并且不发送ICMP重定向报文
如果系统使用了动态路由机制,则攻击者可能会利用ICMP重定向报文更改路由信息,导致IP数据包流向转变,形成拒绝服务攻击或者被监听。
忽略ICMP重定向报文 /usr/sbin/ndd -set /dev/ip ip_ignore_redirect 1(默认值为 0)
禁止发送ICMP重定向报文 /usr/sbin/ndd -set /dev/ip ip_send_redirects 0 (默认值为 1)
2. 关闭数据包转发
除非系统需要路由转发功能,否则应该关闭数据包转发。
/usr/sbin/ndd -set /dev/ip ip_forwarding 0
3. 不转发源路由数据包
源路由数据包是指由发送方指定传送路径的数据包。如果系统转发源路由数据包,则会带来潜在的安全隐患,入侵者可以将大量数据流引向攻击目标形成拒绝服务攻击。
/usr/sbin/ndd -set /dev/ip ip_forward_src_routed 0
4. 设置更安全的TCP初始序列号产生方式
TCP_STRONG_ISS的值决定TCP初始序列号的产生方式,它的可能取值有三个:
· 0 :旧式的序列号产生方式
· 1 :经过改进的序列号产生方式,每次建立新TCP连接的初始序列号不再连续取值,而是在此基础上增加一个随机的分量,这样就增大了TCP初始序列号猜测攻击的难度。
· 2 : 使用新型的序列号产生方法,杜绝根据一个初始序列号猜测下一次连接初始序列号的可能性。
/usr/sbin/ndd -set /dev/tcp tcp_strong_iss 2(默认值为1)
5. 缩短ARP缓存有效期
ARP缓存有效期如果太长,遭受ARP欺骗攻击后需要更长时间恢复。虽然缩短ARP缓存有效期不能真正阻止ARP欺骗攻击,但是加大了攻击难度。
/usr/sbin/ndd -set /dev/arp arp_cleanup_interval 60000
以毫秒为单位,缺省值为300000,60000只是建议值,也可以根据自己需要取其它值。
2.3.2网络访问控制
网络系统的安全建立在这个基本原理之上:去掉不必要的网络访问,在所需要的网络访问周围建立访问控制。
一.停止运行不必要的网络服务
2.3.3常见网络服务的安全配置
一 Telnet
因为telnet的口令和内容在网络上都是明文传输的,很容易被窃听,所以建议尽量使用ssh来替代telnet,参见附录1中的OpenSSH。
对于需要开放telnet端口的系统,建议在/etc/services文件中修改telnet 的端口号,最好将该端口号改为五位数以上,以避免攻击者的扫描检测。示例如下:
telnet 23232/tcp
然后让inetd重新读配置文件,具体方法同上。
创建/etc/default/telnetd文件,写入BANNER="",这样telnet上来以后就不会显示系统信息,而只是显示login:,这就可以防止入侵者通过telnet来搜集系统信息。甚至可以在BANNER中写入其它的操作系统版本信息,以误导入侵者,增加入侵的难度。
二 FTP
与telnet类似,通过创建/etc/default/ftpd文件,写入BANNER="",这样ftp上来以后就不会显示系统信息,可以防止入侵者通过ftp来搜集系统信息。甚至可以在BANNER中写入其它的操作系统版本信息,以误导入侵者,增加入侵的难度。
ftp和telnet类似,所有的传输内容都是没有经过加密的,所以绝对不能以超级用户身份使用FTP,因为口令在网络上传输的时候是不加密的。要强制做到这一点,可在文件/etc/ftpusers中增加超级用户。
不要使用匿名ftp,只需在文件/etc/passwd中把ftp用户注释掉即可。
将ftpd的记录和调试功能打开,这时在文件/etc/inet/inetd.conf中的ftpd一项应该是:
ftp stream tcp nowait root /usr/sbin/in.ftpd in.ftpd -dl
然后让inetd重新读配置文件。
三 电子邮件
sendmail历史上安全问题严重,而且它的配置比较复杂,容易由于配置不当带来系统的安全隐患,所以如果系统不是作为邮件服务器的话,就不要把sendmail作为守护进程来运行,而是定时启动sendmail来发送邮件,设置步骤如下:
把sendmail服务关掉,可以参见4.3.2.1的相关步骤处理。
调整文件/etc/mail/aliases中的别名项,如帐号smith使用的是工作站gram,邮件服务器系统的名称是house,就应该做如下修改:
旧的别名: smith [email=smith@gram]smith@gram[/email]
新的别名: smith [email=smith@house]smith@house[/email]
按照标准的NFS步骤,将服务器的/var/mail目录下相应的文件导出并装入到客户系统。
用crontab命令加入如下一项
0 * * * * /usr/lib/sendmail -q
这样就可以每隔一个小时把客户机上所有加入队列的待发送邮件送到邮件服务器上。
如果机器要作为邮件服务器的话,要确保使用的是最新版本的sendmail,或者打上了最新的补丁。
四 DNS
DNS安全问题主要来源是当名字服务器高速缓存了无效数据,且该无效数据将在高速缓存中保留一段时间,从而可能误导查询结果。但多数系统都要使用DNS服务,不能把DNS完全禁止,只能尽量减少DNS缓存的数据和数据缓存时间。DNS的域名服务缓存进程是nscd,它把主机、口令和组等信息进行缓存。Nscd的配置文件是/etc/nscd.conf,应当通过调整其中的参数,把nscd缓存的条目数和缓存时间调到尽可能小。配置文件中Cachename可以是hosts、passwd或groups。
相关参数说明如下:
positive-time-to-live cachename value:是成功的查询在指定的cache中的缓存时间,这个值是以秒为单位。这个值应该调到尽量调小。
negative-time-to-live cachename value:是不成功的查询在指定的cache中的缓存时间,这个值是以秒为单位。这个值也应该调到尽量的小。
keep-hot-count cachename value:是在指定cache中当前的缓存的条目数。一般地,缓存内的条目数应接近24小时内经常访问到的条目数量。
六 X window
缺省配置下,系统对X server缺乏有效的访问控制。此时,任何主机上的任何用户都可以打开X窗口并运行任何程序,因此可以连接到X server的客户端应该被严格控制。
尽量不要允许任何主机访问X server。要确保”xhost +”命令没有被包含在系统的任何文件中,包括.xsession文件和域X server有关系的任何脚本中,因为执行”xhost +”命令,会使任何主机都可以访问X server。
确保目录/tmp的访问权限被设置为1777(即drwxrwxrxt),也就是说该目录的sticky位要被设置。该目录的所有者必须设为root。这样只有root才有权限删除文件/tmp/.X11-unix/X0,该文件是X server的一个socket,一旦该文件被删除,用户就不能访问系统的X server。这可以防止恶意用户进行破坏。
七 WEB
以常见的web服务器软件Apache为例,默认安装下,系统将在rc3.d下产生一个启动脚本S50apache,应首先将该脚本更名,并停用相应的守护进程httpd,然后选择如下提供的安全措施以加固系统:
· 在chroot的环境下运行httpd服务,这样服务器就可以控制http客户对系统磁盘的访问。
· 几乎所有的httpd漏洞都是因为CGI配置的错误或者不合理造成的,因此若非必要,建议禁用CGI脚本。Cgi-bin目录的属性应设置为755或751。
· 在应用允许的前提下(如httpd端口可以绑定于1024以上,且不采用chroot安全模式),不要以root的身份来运行httpd守护进程,这样即使黑客发现了httpd服务上的安全漏洞,他们也只能以非root用户的身份来访问系统,从而降低系统受损害的可能性。
2.4系统管理员的日常安全工作
2.4.1 安全补丁
系统管理员日常最重要的安全工作,就是给系统打上最新的补丁。
Solaris的安全补丁可以以下官方网站获取:
[url=ftp://sunsolve.sun.com/pub/patches/][color=#0000ff]ftp://sunsolve.sun.com/pub/patches/[/color][/url] <[url=ftp://sunsolve1.sun.com/pub/patches/][color=#0000ff]ftp://sunsolve1.sun.com/pub/patches/[/color][/url]>
<[url=http://sunsolve.sun.com/][color=#0000ff]http://sunsolve.sun.com/[/color][/url]>
2.4.2 监测
操作系统一般由文件系统和进程系统构成,文件系统的特点是静态的,而进程则是动态的。
系统的配置一般是以文件的形式存放的,unix系统的配置文件一般是放置在/etc目录下,如/etc/services为系统可以提供的服务列表、/etc/default/login为系统登录时的默认配置等等。因此,优秀的系统管理员会对系统配置情况有清楚的了解和掌握。例如,系统管理员可以通过查看对于系统当前开放的网络服务情况,检查系统是否有可疑的端口开放,判断是否被入侵者安装了木马程序。可通过如下命令进行查看:
netstat -an | more
Solaris下常见的网络端口服务列表如下:
UDP
111 sunrpc
4045 lockd
517 talk
512 biff
42 name
TCP
111 sunrpc
514 shell
540 exec
512 login
进程是系统运行的单元,是一个系统运行的动态表现。系统管理员必须对系统的运行情况进行适当监控,及时发现系统的异常。例如,我们可以查看通过如下命令查看当前系统运行的所有进程情况:ps -ef。
下面的几个命令可以帮助系统管理员来查看系统的其他信息:
1、 查看CPU的性能
[root]$uptime 8:50pm up 6:46, 1 user, load average: 0.98, 1.01, 2.09
上面是一个示例,其中load average表示平均负载,数据0.98、 1.01、2.09表示前1分钟、5分钟、15分钟的系统平均负载情况。系统管理员可以定期运行该命令,以观察系统的平均负载及变化趋势。一般的,UNIX系统负载数在2~3之间为轻载,5~6为中等负载,而10以上为过载。系统负载增大时,说明有多条命令阻塞在内存或I/O系统,可能有入侵者正在窃取系统的重要数据或者企图消耗系统资源使系统无法正常提供服务,即所谓的拒绝服务攻击(DoS)。
另外,solaris系统还为用户提供一个图形化的工具可以直观的观察系统的变化趋势,即perform,它可以显示系统的CPU利用率、交换作业个数、网络数据包个数、运行队列平均个数等信息。
2、 查看内存的使用情况
[root]$vmstat procs memory page disk faults cpu r b w swap free re mf pi po fr de sr f0 s0 s1 s2 in sy cs us sy id 0 0 0 467024 583904 0 0 1 0 0 0 0 0 0 0 0 403 37 29 0 0 100
命令vmstat不仅可以显示虚存的使用情况,而且还可以查看到系统进程、CPU等活动情况。在”procs”列下表示进程情况,”r”为进程运行队列,”b”表示进程阻塞个数,”w”表示可运行的但是在交换区(swap)内的进程个数。”memory”表示虚存使用情况,”swap”表示交换区的可供使用的空间大小,”free”表示虚存内未使用的空间。”page”表示内存页的使用情况,”re”表示页回收,”mf”表示镜像错误,”pi”表示进入页的数据量,”po”表示数据换出页的大小。
3、 查看磁盘系统的性能
[root]$iostat tty fd0 sd0 sd1 sd21 cpu tin tout kps tps serv kps tps serv kps tps serv kps tps serv us sy wt id 0 0 0 0 0 1 0 30 0 0 0 0 0 0 0 0 0 100
命令iostat可以查看磁盘的输入输出,报告吞吐量、利用率、队列长度、传输率等信息。对磁盘而言,”kps”表示每秒传送的比特率,”tps”表示每秒传送的次数,”serv”表示平均服务时间。系统管理员还可以使用参数”-xtc”得到每个磁盘的使用的详细信息,即”iostat -xtc”,具体可以参考系统提供的手册。
4、 查看网络性能
[root]$netstat -i Name Mtu Net/Dest Address Ipkts Ierrs Opkts Oerrs Collis Queue lo0 8232 loopback localhost 65 0 65 0 0 0 hme0 1500 sun450 sun450 37515 0 209 0 0 0
总的来说,系统管理员需要掌握系统配置的信息和系统运行状态,做到心中有数。
2.4.3 配置
了解了系统安全配置的所在,下一步就是学会配置。系统安全配置的原则是系统最小化原则,对系统资源访问做出限制,启用一些安全功能,限制对外的服务,以增加入侵者的攻击代价(包括时间与金钱)。
对于操作系统而言,通常需要系统管理员进行配置的工作包括:
1、 有效严格的系统访问控制,对系统文件和用户访问权限进行严格的限制;
2、 完善的口令策略,对口令的长度、复杂度以及时效做出合理的限制;
3、 安全的网络服务,根据系统最小化原则关闭不必要的网络服务。
我们还可以启用系统的安全功能以增强系统的安全性,如可执行堆栈的保护(见4.2.6)、配置Tcp Wrapper建立防火墙(见附录)等等。
总的来说,系统管理员需要学会使用系统提供安全工具,按照系统最小化的原则对系统资源访问做好限制,以增加入侵者的代价。
2.4.4 审计
跟踪目前系统常见的严重漏洞,收集解决方案。因为系统安全是一个动态的过程,每天都可能会有新的漏洞被发现,可能被利用来攻击系统。因此,系统管理员需要养成一个好习惯,就是每天上网浏览一下有没有出现新的系统漏洞,它的危害有多大,它是否可以通过远程的手段进行系统攻击,目前是否有可行的解决方案。
2.4.5 借助工具
可以适当采用一些辅助工具以减轻系统管理员的负担,提高效率。例如,使用个人防火墙、系统文件校验工具、日志审核工具、漏洞扫描工具、口令破解工具。
1、 个人防火墙:目前在Unix平台上有一些防火墙软件包,这些工具都可以在一定程度上保护系统安全,并能够及时提供报警和日志功能。
2、 系统文件校验工具:重要的系统文件,尤其是启动时运行的文件是需要定期进行校验看是否被篡改。一个简单可行的方法是对重要文件进行备份,以备在出现可疑情况的时候查看文件大小是否有变化。
3、 日志审核工具:借助日志的审核工具可以大大提高系统管理员审核日志的效率。
4、 漏洞扫描工具:使用漏洞扫描工具可以对系统进行模拟攻击以发现安全隐患,有针对性对系统配置做调整。
5、 口令破解工具:使用口令破解工具有助于及时发现弱口令的问题,尽可能避免弱口令问题的出现。
注意:扫描工具和口令破解工具的使用必须在授权下才能进行
转自;迪林客之家