 |
 激励名言
八小时睡觉,八小时工作,这个人人一样。人与人之间的不同,是在于业余时间怎么渡过。时间是最有情,也最无情的东西,每人拥有的都一样,非常公平。但拥有资源的人不一定成功,善用资源的人才会成功。白天图生存,晚上求发展,这是二十一世纪对人才的要求。 |
|
 |
|
 |
|
| |
CIW认证教材7 [mlhk1983 发表于 2006-4-27 9:07:00] | |
第九章
检测和迷惑黑客
引 言
早在1997年的11月,黑客就攻进了Yahoo!一著名的搜索引擎站点;尽管这个流行的站点有着非常好的安全性,但仍然被一个叫做Kevinmitnick著名的黑客攻破并在上面留言。当问及到为什么这些黑客可以渗透到这样久经世故的系统中时,Yahoo的安全分析专家这样说:没有任何站点是可以完全阻止黑客的”。
本章要点:
● 实施前期的检测
● 迷惑黑客包括他们的活动
● 设置陷井
● 配置Linux下的Tripwire
前期的检测
要考虑到大多数计算机的侵入都是发生在深夜的,前期检测技术经常是唯一的方法来抵制这个时间内潜在的黑客。一个有效的检测策略总是包括审计,但对你的系统来说你必须尽可能的使其简单化来发现问题并自动的解决。
自动安全扫描
你的系统由其在业余时间会成为受攻击的日标。要考虑使用像NTschedule这样的程序(如果你没有删除它)执行一个批处理脚本登陆到当前的连接和使用中的资源,以及完成其它一些安全任务。你可以在业余时间运行这样一个程序,当流量负载较小时,你可以检查黑客的行为避免给你的用户造成不便。
批处理脚本是非常有用的:你可以使用它们来管理和观察很多事情,并完成自动开始初始化响应的任务。相关的介质包括一个简单的NT安全批处理文件,详细记录当前的系统活动并存储到一个文本文件里供以后使用。如果你怀疑某些系统活动,像这样的事件日志是非常有用的。与注视很多而详细日志相比,它们可以产生更多的相关信息。
使用登陆脚本
登陆脚本可以用于几个目的。通常,登陆脚本用于定义用户登陆的环境。登陆脚本是在成功登陆后的基础上才执行的。它们还能用来增强网络的安全性。很多黑客最终都要试图攻
破UNIX的root帐号或NT的administrotr帐号以得到超级用户访问的权限。安全管理员可以修改这些登陆脚本让这些帐号来执行不同的审计内容。举个例子,你可以创建一个登陆脚本当root帐号登陆的时候就执行;这样一个脚本将记录企图登陆系统的主机名和IP地址。这些信息可以和以前记录的信息相比较,来识别任何企图用root帐号登陆的活动。使用登陆脚本的方法不局限于超级帐号。黑客有时为了避免触发警报而不是直接试图对超级用户访问。还要考虑对管理服务和进程的特殊帐号使用登陆脚本,通常这些帐号不是作为普通用户帐号登陆的,而是验证操作系统服务和进程的。你要时时刻关注这些特殊帐号像普通帐号一样的登陆。对于这些帐号相关的登陆脚本可以运行内存分页的应用程序,一发现这些帐号企图登陆便警告安全管理员。登陆脚本几乎可以多种不受限制方法使用。一个可以从登陆脚本中的命令行发布或执行任何东西。使用登陆脚本还是一个不昂贵的解决方法因为它的特点接近于各种服务
的操作系统。
自动审计分析
日志文件提供一些非常有用的信息来帮助阻止安全侵入。有关日志最难的部分就是决定对什么来进行记录。一般来说,要记录两件事,成功和非成功活动。你还可以监视不同位置的一些信息,如路由器或特殊的应用程序服务。当决定好需要记录什么时,你可能犯的错误是宁可多记录一些事情而不少记录。日志文件需要定期扫描,而且里面的信息内容经常是巨大的。你可以写个脚本来扫描你的网络并自动分析活动。这种自动执行节省了管理员的时间,减少了管理的费用,并增强了安全性。
Checksum分析
黑客经常攻进计算机后种植特洛伊木马程序或病毒。黑客希望这些文件最终能够被自动执行或重新启动后执行。一个非常普通的技术就是创建一个与操作系统经常使用的文件相同名字的特洛伊木马。你可能需要分析一些重要的运行程序的大小来确保黑客没有篡改它们。一些程序会自动扫描重要文件的数据,时间戳和相关信息。然后跟以前扫描过的值相比较。如果某个文件被修改过或者时间戳与大小都不匹配,那么些文件大概就被木马所替换了。如果发现了木马或病毒,要立即用好的文件替换回来并查出黑客是从哪里侵入系统并种植这个木马的。举个例子,如果黑客利用木马替换了一个不太重要的,但是基本的文件,如vbrun300.dll,并有着和其相同的名字。通过利用checksum分析,你可以看到这些文件不是适当的大小,并能逐步纠正这些问题。
迷惑黑客
除了简单地捕捉到这些活动之外,有很多种方法来迷惑黑客。这样做的一个原因是为了保持你在网络上有足够的时间来发现和跟踪他们。例如,你可以配置一条防火墙规则对于一些黑客的源1P地址直接指向一个假的系统中。许多大型的网络都在他们的网络内创建一个完整的系统实际上全部都是一些假信息目的是为了迷住黑客并使他们一直在线直到抓住他们。从虚假帐号到假文件,拌索到监狱,如果你的公司有一些资源并且是有诱惑力的,你一定要小心的考虑到这些技术。使用这些技术也不是没有风险的,一些公司选择简单的终端连接
假帐号
到现在,你已经知道系统的一些默认选项是黑客最初的目标之一。但是你也同样可以利用这些默认信息直接防范黑客。例如,在NT中系统管理员帐号叫“administrator”。在前面的课里,你己学过有关对帐号改名为潜在的黑客入侵增加了很大的难度。现在你可以进一步地创建一个新的叫做administrator的帐号,并赋予给它对系统中的任何对象没有访问权限,同时设置详细的审计和警报,如使用登陆脚本通知你当企图使用这些帐号登陆发生时。
假文件
使用假文件常见的方法是建立一个错误的密码文件。一个错误的密码文件对于迷惑黑客是非常重要的。在这个文件:里,你可以添加错误的名字利密码,使它们看上去似乎合理的,但并不可用。在UNIX系统中,黑客经常使用像CRACK这样的程序来进行暴力攻击。像CRACK这样的程序主要是采取很长的一列密码并逐个地进行加密,这和UNIX加密密码文件的方法是一样的,然后CRACK用这些加密后的结果与密码文件里加密后的密码相比较,如果匹配,那么这个程序已经破解了密码。这种过程可能花几天,甚至几星期,但仍可能会得到很多帐号
的密码。然而,如果你提供了一个假的密码文件,黑客忙于破解这个无价值的文件会花掉大量的时间,重要的是,这使你的系统安全会持续更长的时间。
Ttipwire和automatedchecksums
网络安全中的tripwire主要是基于军事应用程序使用的。Tripwire的想法是当一个潜在的黑客开始渗透你的网络时,他(她)要么陷入你所设置的陷井中,要么会在篡改后留下明确的数据。Tripwire可以做很多事情,如听从安全管理员结束黑客的网络连接,或建立—个对于已发生改变的数据库。Tripwire类似于假文件可用不同的方法来使用。
Tripwire的概念
当用tripwire安排一个陷井时也可能会产生危险,像那种自动地退出网络连接,—定要备加小心地安排。有害的tripwire一定不要被一个内部用户或其它的网络管理员偶然地使用。还有,要考虑防止一个黑客所进行报复产生的副作用。当使用TripwireforUNIX和NT这样的程序时,你要想到入侵者可能会操纵这些文件以至这些改变不会被注意到。因此,要考虑使用只读的磁盘和介质来存储敏感数据。
WindowsNT的性能监视器可以用来跟踪系统。可是你只能用其系统级的特性来设置系统警报。
Jails
Jails是一个你可单独创建的系统且来延迟黑客行动。Jails通常考故意地提供一些错误的信息,为了让管理员有时间检测和抓住这些黑客。Jails还能成为危险的出路包括黑客活动,主要因为一个黑客可能攻破你的jaiI并进入你真正的系统中去。你的安全策略可能允许你创建一个Jails。系统管理员有时建立一个Jail仅仅是为了学习,担心公司以后禁用这种行为。是否建立一个Jail或其它类似装置需要由对这种技术的优点和缺点有完全的理解的管理人员决定的。使用Jails也可能是合理的,由其是在一个特殊的大型网络中。一个执着的黑客准备在渗透你的系统前通过某些站点来作为中继。想知道这些黑客的源位置,你经常需要得到数据包(packet)和物理线路踪迹。要完成这种跟踪,你必须保持黑客始终是在线的。
有才能的黑客在一段时间内使用系统仅几分钟,即使他们正在渗透或正得到控制权时。事实上,大多的黑客经常同时工作在不同的系统之上,并在它们之间切换。这种做法使黑客的活动看起来是断断续续的,而构不成威胁。结果是检测非常困难直到发现怀有恶意的活动为时已晚。
一个好的黑客,像一个好的管理员一样,足偏执狂。有时,抓住黑客唯一的方法是作好前期的准备。这种前期的方法可能包括使黑客绊倒在Tripwire之下如实验10-2;或创建一个Jail,如NetworkAssociate’sCyberCopSting程序。简单地说,你需要尽可能地利用多种安全方法和手段。
惩罚黑客
通常,简单地断开黑客的连接是不够的,因为他们会重新开始。惩罚黑客和迷惑黑客的不同是惩罚黑客扩充了抓住他们之后所为:摆脱了一成不变性。在下一章里关于检测到一个黑客时将采取哪些特殊的步骤是我们的重点。
方法
想办法检测和阻止黑客的活动受限于你的创造力,对黑客手段的知识,以及对你网络的了解。一种方法可能是使用一种WINNUKE版本的脚本程序来阻止一些用你的假帐号登陆的源IP。另一种方法可能是使用Chagen服务。Chsgen服务是一种几乎废弃的用于排错的服务。它不停地发送含有字符的流量直到连接中断。
在一个你想要阻止黑客的机器上,你可以把Chargen配置运行到21端口上(默认是FTP的端口)。当黑客检测到21端口激活时,Chagen将发送不停十亡的字符流量。因为一个Chargen客户端不是设计于可接受如此多的字符,应用程序经常会崩溃。事实上,利用这种反向的Chargen攻击黑客的整个系统是很普通的。
工具
可以利用很多安全工具来检测黑客。有些工具利应用程序我们在前面已讨论过。安全工具可以往黑客攻击时向你发送警报,或试图这么做。安全工具的范围可从简单的包捕获到入侵监测应用程序。有大量可用的工具能根据你预先确定的攻击模式,来帮你检查网络活动,并对这些模式做出反应。响应的范围可以是通过管理员增强防火墙的安全,并关闭连接。这些工具在你的“软件库”中是不可缺少的。在附录中有一些额外的练习可以帮助你学习更多的有关如何并跟踪黑客的知识。
本章小结:
对于保护你的网络最佳的办法就是要提前知道你的网络中存在什么样的问题,或在攻击还未对你造成后果时及时的发现,本章描述了关于提前检测的方法和迷惑黑客的一些技术手段,并要学会使用Tripwire来定期发现是否受到破坏。
第十章
事 件 响 应
引 言
前面你已经学过如何牵制和惩罚黑客行为。当一个安全攻击发生时你需要一个计划来和黑客进行周旋,你还要有一个好的策略来说明怎样及何时报告一个问题,并且还要能通知相关组织和人们详细内容,这节课描述了当检测到一个黑客所采取的一些特殊步骤。
本章要点:
● 对—个安全突破作出相应的反应
● 当你的系统遭到攻击确定能帮助你的安全组织
● 向一些安全组织订阅安全方面的信息
提前决定
你不会想在紧急时刻才做订制策略的决定,经调查已再三的证明人们在紧急的情况下才做一些简单的决定,除非事先已存在定义好的、明确的策略。举个例子,AT&T在1995年发
现黑客侵入了它的网络,系统管理员们试图解决这个问题,决定建立一个“电子监狱”。尽管这种作为看上去很谨慎的帮助公司查出这些渗透者,管理员们还是被严厉的训斥,因为高级管理人员认为他们的解决方案使公司的网络变的危险。
在AT&T中的矛盾是管理人员和系统管理员之间不能很好的通信,这种矛盾警告了每一个人要有一个相同情况的好的计划,如果你有一个很好的组织,事先做好了策略,那么避免这种情况是很容易的。当考虑如果一个黑客攻击你的网络需要如何做的时候先要决定采取什么步骤,然后记下那些决定。对执行的详细列表进行分类,并把它写入你的策略当中,并确保所有相关的员工都有一份复印件,你的安全计划中要能保证什么时候中断一个黑客的会话,什么时候维持黑客的行为。
不要惊慌
在紧急情况发生或安全攻击中告诉某些人不要惊慌是很容易的,但真正的在那时能做到这一点却是困难的。然而,在事先定义好的策略中你计划中的行动将会告诉你如何去做,允许你清醒的思考和更有效的响应。
记录下所有的事情
系统和服务日志当然是要记录的基本内容,审计日志经常是黑客侵入到系统中所做的假象,然而,如果一个安全攻击发生,你还需要记录下你所采取响应的事件,审计日志仅仅是你需要的一半内容,一个帐号详细内容的例子应该包含什么时间以什么身份进入你的网络或企图进入你的网络等一系列详细内容以判断说明系统可能已经被影响,黑客可能已经侵入,以及黑客采取的特殊的或感兴趣的行为。如果你小心的记录你自己的活动。如果你既小心记录你自己的活动,又学习有关黑客的知识,就会增加避免进一步问题的机会。详细日志允许修正你安全系统中的问题是极为重要的。
分析当前形势
要确定是否一个真正的安全攻击发生。经常一些不适合的用户所做的行为被怀疑成黑客行为,这种行为有可能是工作需要所做的管理。如果一些人做出草率的决定并开始处理事件响应,那么即使是再好的策略也会失败。一旦你发现问题一定要警醒和耐心。
确定攻击的范围
一旦你怀疑一个黑客已经进入你的系统,要分析当前形势你首先采取的过程是黑客是处在第一阶段(侦察),第二阶段(渗透),还是第二阶段(控制)。其它—些步骤包括:
判断帐号是否被影响
识别哪些文件被读取,改变,替换
跟踪黑客在你系统中的活动
参考审计日志
判断是否某些权限被重新设置
一个安全组或部门需要判断你系统中危险的范围。再此活动中,系统管理员要停用其它所有活动。举个例子,如果黑客删除了文件,系统管理员仅需要在被改变的硬盘上恢复它们。
停止和牵制黑客活动
和黑客渗透到一个系统后企图控制一样,下一步你需要击破黑客,包括控制他们的活动。你要直接以你的安全策略来阻止黑客的连接包括他们的活动。不过记住这种牵制策略也经常是危险的。不管多健全的策略,都要根据具体的形势而决定。前面的步骤普遍的适用于大多
数公司。除停止和牵制活动外,还要执行一个响应计划,要对你的公司的策略和安全突破的
性质作单独的测定。你要小心考虑你所学过有关安全规则的特性。
实施响应计划
多数情况响应就是根据你的策略来做什么事情。这些步骤包括
● 通知管理人员
● 中断连接或建立一个“监狱”(jail)
● 打电话叫警察
● 联系黑客
● 追踪路由和其它活动来进一步映射黑客的行为
通知受影响的个体
如果黑客已经危及到一个合法用户的帐号。你可可能需要直接让那个用户改变他(她)的密码并耐心的检查那台计算机上的文件是否有被替换。
通知服务提供商
通知你的ISP有以—下两个原因:
. 你可以让ISP暂时中断连接使攻击中止
. ISP可以帮你跟踪攻击
通知Internet代理商
在1998年,CERT收到了41871封电子邮件:信息和1001和热线电话报告有关互联网上的安全事件:。CERT全体人员调查了影响18900个站点的3734台计算机。如果你怀疑一个黑客侵入你的系统,你可能需要通知CERT(http://www.cert.org).。
分析和学习
最重要的是你要能从事件响应的过程中学到些东西。为了能最好地分析你的响应,要求提出下面的每个问题:
. 黑客是如何绕过安全策略的?是贿赂内部员工?社交工程?暴力攻击?修改路由表? 还是穿过了不严格的防火墙7
. 真正响应的效果是怎样的强度?能够提高什么?以后你要有些什么不同的做法?
最后,记下你所学过的特殊课程,并更新或修改你的安全策略及实施,要重视你在实际经验中所学到的知识。
本章小结:
尽管你采用了多种保护措施,有时侵入事件仍会发生,对于事件响应所处理的态度和方法也是非常重要的,本章在这方面给出很好的建议。
操作系统安全篇
第一章
网络安全基础
引 言
随着各种操作系统不断地开发,服务器和桌面式计算机已起到了决策的功能性,且经常是发布式的设备通过广域网或局域网相连。连接这些网络可通过多种介质和拓扑,比如以太网、光纤等。尽管这些互联系统最主要的动机是信息和资源共享,但这种连接还是会导致系统及数据被攻击。因为UNIX和NT操作系统已被广泛应用,所以它们更容易成为被攻击的目标。公司的Intranet和互联网易遭受到黑客的攻击,访问数据和应用程序,还有可能导致更严重的损害。因此,一个可靠协调的想法就是需要在任一个工作的组织里都开发一个坚固的安全策略。
本章要点:
● 阐述在UNIX和NT环境下实现安全的需要
● 描述安全方面的工业评估标准,包括ITSEC、TCSEC,and Common Criteria(CC)
● 能够识别确定三种安全级别的准则
● 讨论用于实施安全系统的安全机制,包括特殊和广泛机制
● 描述NT所谓"out-of-the-box"的安全问题
● 识别和描述用于架设NT安全结构的组件
● 讨论一般对于UNIX产生威胁的因素
安全的定义
由国际标准化组织(1SO)早期对安全做的定义,IS07498-2文献定义安全就是最大程度地减少数据和资源被攻击的可能性。ISO进一步地定义厂另一术语”资产”,就是存在于任一计算机系统的数据、应用程序和资源。ISO所描述的漏洞是指能够被一些人对那些资产取得访问权限的任何事情。通常,漏洞是指系统的各种弱点,系统安装和操作时所未注意的方面。威胁即是任何能对系统安全造成危害的活动。IS07498-2文献定义对于所有等级的本地和远程系统及应用程序访问的主要安全服务。具体内容见下表
服务
描述
认证
如何确定自己的身份。如利用一个带有密码的用户帐号进行登陆
访问控制
赋予用户对文件和目录的权限
数据保密性
保护系统或主机上的数据不被非认证的用产访问
数据完整性
提供对于类似位于网络中”劫持”这种手段的攻击的保护措施
不可否定性
当两个系统交互时,如果一方拒绝承认发生过这种交易,另一方就需要拿出证据来证明交易确实发生过。不可否定性也是提供防止欺骗的安全服务
评估标准
多数政府和组织都不和那些没有经过第三方安全标准证明的公司时行商业交易。安全经常所关心的是地域性,就是不同的工业、组织和国家政府都有不同的手续和标准来提供有效的安全模式。近来更多的努力正企图建立一个全球的ISO安全文献。下面的标准文档不是特殊针对UNIX或NT的,它们是对不同的网络类型提供一个大体上的框架。
欧洲信息技术安全评估标准(丌SEC)文献BS 7799
在欧洲,欧洲信息技术安全评估标准BS 7799对网络威胁提出一个大纲。它定义了计算机管理员需要对之响应的漏洞。BS 7799写于1999年,详细内容如下
● 审计过程
● 对文件系统审计
● 评估风险
● 防护病毒控制
● 适当地管理关于商业新闻及安全发布的信息
想了解更多有关丁ITSEC的信息,请访问http://www.Itsec.gov.uk
可信任计算机系统评估标准(TCSEC)
在美国,国家计算机安全中心(NCSC)负声对信仟的计算机产品建立安全标准做出响应。NCSE创建了信任的计算机系统评估标准(TCSEC),保护局(DOD)标准5200.28,来建立信任等级。这种标准想要打算指出系统潜在的安全特性和安全功能性及有效性的组成。
TCSEC设计了几种安全等级的级别,从A到D。筹级D是指最不安全的计算机。而A级是最高的等级,通常是在用在军用的计算机上。等级C通常是实施在商业环境中,它要求数据的属主必须有能力确定谁能够访问数据,叫做灵活访问控制(DAC):
TCSEC和ITSEC有些相似。不过ITSEC在讦估时把功能性(F)和效率性(E)分开。TCSEC的C2级绰同于ITSEC的F-C2,E2级。
TCSEC安全等级
安全级别
描述
D
最低的级别。如MS-DOS计算机,没有安全性可言
C1
灵活的安全保护。系统不需要区分用户。可提供根本的访问控制。
C2
灵活的访问安全性。系统不仅要识别用户还要考虑唯一性。系统级的保护主要存在于资源、数据、文件和操作上。NT属于C2级的系统
B1
标记安全保护。系统提供更多的保护措施包括各式的安全级别。如AT&T的SYSTEMV和UNIXwithMLS以及IBMMVS/ESA
B2
结构化保护。支持硬件保护。内容区被虚拟分割并严格保护。如TrustedXENIX and Honeywell MULTICS
B3
安全域。提出数据隐藏和分层,阻止层之间的交互。如Honeywell XTS-200
A
校验级设计。需要严格的准确的证明系统不会被危害,而且提供所有低级别的因素。如HoneywellSCOMP
C2级和F-C2,E2级要求
对于C2和F-C2,E2级分类的关键是一个系统需要具备以下几个主要方面
灵活的访问控制:资源的属主对其访问性有完全的控制
对象再利用:
对象再利用必须由系统来控制。因此,任何时间当一个应用程序或进程在利用—个对象,比如内存,在被另一程序或进程使用的时候,那么内存中以前的内容是不会被新用户所发现的。这种标准要求控制在磁盘、监视器、键楹、鼠标、以及所有附加到系统.上的设备。
标识和认证:
这种标准要求每个用户对于操作系统都有一个唯一的标识符, 并且操作系统能够根据个人标识符跟踪用户所有的活动
审计:
最后一个主要的要求就是计算机管理员械能够审计所有与安全相关事件及个人用户的活动。还有,审计的数据只有计算机管理员才有权限访问。
公共标准(CC)
公共标准是统一不同地区和国家安全标准的标准,如ISO把ITSEC和TCSEC合并到—个标准文献里。这种标准也就是目前的IS015408,ISO公共标准2.1的版本。 公共标准说详细说明和评估了计算机产品和系统的安全方面特征。它是第一个国际公认的IT安全标准,是建立在ITSEC和TCSEC基础上并意于代替它们而成为全球的标准。
公共标准提供两个基本功能:
1. 标准化描述安全必要条件,比如安全需要什么,能满足那些需求的产品和系统,以及对
那些产品和系统进行测试和评估。
2. 以可靠的技术基础来对那些产品和系统进行评估
其它重要概念
理解公共标准有三个基础概念。在特定的情形下为了确定合适的安全产品和系统,这些概念被广泛地用于通信和执行过程。
保护文件:由IT管理员、用户、产品开发者及其它产商定义的一套特定安全需要制定的文档安全目标:由厂商提出一个IT产品和系统能提供怎样的安全而做的声明。包括特殊产品信息
,以解释流行产品或系统如何满足保护文件的。
评估目标:要被评估的IT产品或系统。产品必须要通过保护文件和安全目标所例出的特殊安全需求的评估。根据公共标准要求,产品必须要经可信任的第三方机构分析和测试后才能通过。
安全等级
UNIX和NT操作系统提供了很大范围的安全选项。它们允许你在每个系统上定做符合你所需要的安全尺度。通过本书的课程你将会利用多种方法来使的你UNIX或NT系统更加安全。尽管安全的实现是由很细微的工作组成的,不过为了讨论目的,本课把安全等级大致地分成了三类,低、中、高三个级别
安全等级
适用于
实施
低
计算机在一个安全的区域里
计算机不包含和访问敏感信息
操作系统安全未应用
使用防病毒软件
防止计算机遭遇偷窃行为
中
计算机含有或访问公司数据
计算机可被超过一人以上的访问
能够审计
使用文件级权限保护
实施帐号策略
操作系统提供反措施和保护对策
高
计算机含有高度敏感或极有价值的数据
计算机处在一个高风险的位置
操作系统为满足选择性功能被分成最小部分
在操作系统上使用额外的更严格的策略和保护措施
安全机制
安全机制用于来实施安全系统。主要存在两种形式的安全机制,特殊和广泛。
特殊安全机制
某些技术可以实施在不同的级别来提供安全。这些技术是:
● 加密机制,对流动在系统或网络之间的数据加行加密(或在本机的两个进程之间)
● 数字签名机制,与加密极为相似,但另一个好处是检验发送者和内容是可信的,这种交易是由第三方来做的。
● 访问控制机制,简单的检查来确保在完成一个任务或程序时发送方和接收方是通过认证的。比如,网络允许一个有资格的用户在远程登陆的时候访问资源。
● 数据完整性机制,一种确保每片数据的顺序、编号和时间戳的技术。
● 认证机制,就像用户级的这种简单密码验证方法。认证也可以应用到程序中,要求每次访问都要通过验证。
● 数据添充机制,额外的针对网络上进出的数据流,为了防止那些熟悉数据包的大小并以取得访问权限为目的的人对网络进行监视。举例说明,当一个新的登陆会话建立后,在会话开始的时候主要有几个较小的数据包传输和接收。对这些包头进行分析可以提防那些网络监视者捕获下面一些数据包(因为较小的数据包和主字段都存在于包头中)。数据添充可以使所有的数据包看起来都是相同大小的,所以可避免某一个数据包被单独地摘出分析。
广泛安全机制
其它不受限于特殊级别的安全机制,有
● 信任的功能性建立,某些服务或主机在各方面都是安全的而且可以信任。
● 安全标签的应用,指出数据敏感性的级别。举例说明,一个文件可以有附加的标签在读/写特权旁,只允许那些完全符合标签登陆的帐号才能访问。
● 审计跟踪经常在不同级别上使用,监视易受到入侵的活动和安全侵害。比如,UNIX的系统文件日志能够记录企图访问重要帐号的事件。
安全管理
为了协助管理者开发一种方案和策略,可以指定不同范围的安全管理,这些范围有:
● 系统安全管理,从事整个计算机环境和安全的管理。在此范围,策略已事先定义,服务提供商为顾问,选择特殊安全机制。这个部门还要负责审计和恢复的工作以及所有更深入的安全工作。
● 安全服务管理,包括那些实际的安全服务提供商
● 安全机制管理,包括那些负责以下活动的人们
》 数据流量添充
》 产生或分配数字签名
》 加密的密钥
》 数据完粘
》 访问控制
WindOWSNT安全
微软的WindowsNT操作系统是专为符合工业或政府安全需要所没计的。但是NT的安全问题一直在发生。流行的站点http://www.rootshell,com就列出了能对NT产生危害的攻击手段和过程。几乎每周都会有新的问题出现。在这节课里,您将利用特殊的手段来实践,理解在NT上这些攻击是如何发生的:这些知识将使你防止类似的攻击以最大限度地保证你的计算机安全。
在你能够理解如何修补一些NT漏洞前,你首先要对这些问题有一定的了解。当你重新安装一个NT操作系统后,它是处在一个非常不安全的状态,大多数其它操作系统也是这样。这种不安全的状态最小化了新用户把他(她)们自己的系统锁定的机会;还允许每个组织配置NT的安全性以达到他们的目的。我们将讨论有关NT的安全性,用一些流行的攻击方法和工具来对一个全新安装的NT操作系统(未做任何修补漏洞:工作)进行测试。
任何操作系统的主要漏洞都是由于用户和组、文件系统、策略、系统默认值、Bug,以及审计都处于一种待定的状态。NT还有一个其它操作系统所未具备的且易受攻击的漏洞,即是注册表。NT的注册表必须要安全保护。在下面的练习你将测试这些方面并能注意到它们的漏洞。
WindOWSNT的安全结构
现在你已经基本理解如何着手使你的NT平台更安全,接F来我们再看看NT自己的体系结构。如下图,专业的安全主要有六个要素来达到实施安全的目的以满足特定的系统或公司。WindowsNT操作系统内置就有支持用户验证、访问控制、管理和审计的功能。WindowsNT明确地想通过五种特殊的方法来避免绕过这些安全参数。一个基本的安全定义就是:仅允许合法的用户来做他们想做的事!”
WindowsNT安全组件
下面列出了WindowsNT符合于C2级标准的安全组什
● 灵活的访问控制—一—WindowsNT支持C2级标准要求的灵活访问控制,要求包括允许对象的属主能够完全控制谁可以访问这个对象及什么样的访问权限。
● 对象再利用-一一Windows NT很明确地阻下所有的向用程序不可访问被另—应用程序使用所占用资源内的信息(比如内存或磁盆)。这种安全面貌是NT没有能力恢复已往磁盘上删除的文件的主要原因。
● 强制登陆-一-与Windows for Workgroups、Windoxs 95利98不同,WindowsNT用户在
能访问任何资源前必须通过登陆来验证他们的身份,这也是另一个原因缺乏这种强制登陆的NT要想达到以前的C2级的标准就必须禁止网络功能。
● 审计-一-因为Windows NT采用单独地机制来控制对任何资源的访问,所以这种机制可以集中地记录下所有的访问活动。
● 控制对象的访问-一-WindowsNT不允许直接访问系统里的资源,这种不许直接访问是允许访问控制的关键。在允许访问之前,用户或应用程序的权限首先被验证。
WindowsNT对象
为了实现其安全特色,WindowsNT设计把系统所有类型的资源处理成特殊的对象。这些对象包括资源本身、机制和需要访问的程序。依照把所有都封装成对象并建立一个单独的机制来使用它们,微软创建单独的方法来对那些对象时行访问控制。基于这种方法学,WindowsNT通常被叫做基于对象的操作系统。
微软安全主要是基于下列对象的规则
. 所有的资源都以对象表示
. 只有WindowsNT能够直接访问那些对象
. 对象包括数据和功能
, 所有的对象在被访问之前都要经过NT的安全子系统验证
. 存在着几种不同类型的对象。每种对象确定了这些对象能够做些什么
在WindowsNT里有—下列主要的对象类别:
. 文件:
, 目录
. 打印机
. 输入输出设备
。 Windows
。 线程
. 进程
. 内存
这种结构的主要目的就是坚固性。这种设计要求所有的访问都要被相同的方法来减少这种安全机制被绕过的机会。
安全的组成部分
WindowsNT安全子系统由五个关键部分组成:安全标准符、访问令牌、安全描述符、
访问控制列表、和访问控制条目。利用这些组件的交互作用来控制用户的活动。
安全标识符
安全标识符(SID)是统计上地唯一的数组分配给所有的用户、组、和计算机。统计上
的唯一指的是两个数组发生重复的可能性是极为罕见的。每次当一个新用户或组被建立的时候,它们都会接收到一个唯一的SID。每当WindowsNT安装完毕并启动的时候,也会有一个新的SID分配给这台计算机。SID标识了用户、组和计算机的唯一性,不仅仅是在某台特定的电脑上还包括和其它计算机交互的时候。
为了确保SID的唯一性,它们是综合计算机名字,当前时间、以及处理当前用户模式线程所花费CUP的时间所建立起来的。一个SID看上去就像这样:
S—1—5-163499331-18283675290-12989372637-500
SID是WindowsNT安全结构的基础,因些我们将通过本课在不同方面来使用和讨论它们
访问令牌
登陆的过程主要目的—部分是在用户被验证之后分配给他们访问令牌。访问令牌是由用户的SID、用户所属于组的SID、用户名、用户所在组的组名构成的。访问令牌就好比用户能够访问计算机资源的入场券”。无论何时用户企图进行访问,都要向WindowsN出示访问令牌。Windows NT检查访问令片相倚的对于对象请求访问控制列表。如果用户使用此对象的认错通过,将赋予相关的权限访问。
访问令牌只有在登陆的过程中才会发布,所以一旦对用户的访问权限作了改动的话就要重新登陆后才能收到一个更新后的访问令牌。
安全描述符
WindowsNT内的每个对象都有一个安全描述符作为它们属性的一部分。安全描述符持有对象的安全设置。安全描述符是由对象属主的SID、组SID,灵活访问控制列表以及计算机访问控制列表。如下图
访问控制列表
两种类型的访问控制列表是灵活的和系统的。灵活访问控制列表里记录用户和组以及它们的相关权限,要么允许要么拒绝。灵活访问控制列表列出每个用户和组的特定的权限。系统访问控制列表包含为对象审计的事件。当没有特殊指定访问控制列表的类型时,通常是灵活访问控制列表。如下图。
访问控制条目
每个访问控制条目(ACE)包含用户或组的SID及对对象所持有的权限。对象分配的每个权限都有一个ACE。访问控制条目有二种类型:允许访问或拒绝访问。在访问控制列表里拒绝访问ACE优先于允许访问。当用户认证检查之后,同时搜索相关的拒绝访问ACE或访问控制列表的最后项,不管哪个在前面。因此,不可访问优先于所有其它的权限。
当管理工具列出一个对象的访问权限时,是按照字母顺序由用户开始,然后是组。
安全子系统
现在你已理解用于WindowsNT安全子系统的组件了,接下来我们将讨论在NT下的实际软
件来实现安全措施。安全子系统由下列部分组成:
, Winlogon
. 图形化鉴定和认证DLL
. 本地安全授权(LSA)
, 安全支持提供接口(SSPi)
. 认证信息包
. 安全支持提供商
. Netlogon服务
. 安全帐号管理(SAM)
Winlogon,本地安全授权,和Netlogon服务可以在任务管理器里的进程看到。
WinlOgon and GINA
Winlogon主要负责加载GINA DLL并监视安全认证的顺序。GINA DLL为登陆和登陆请求提供接口。GINA DLL被设计成独立的模块并可被更强壮的认证机制所代替。目前有很多强有力的认证设备可以使用,比如利用指纹认证来代替默认的GINA DLL。
Winlogon访问注册表里的\HKLM\software\Microsoft\windows\NT\currentversion\winlogon 键来查看Gina DLL值是否存在。如果此DLL存在,Winlogon加载并使用那个DLL。否则的话WindowsNT就使用默认的DLL,叫MSG!NA.DLL,是NT自带的。
由Winlogon来监视安全认证的顺序并当一个登陆请求发生时通知给GINA。
本地安全授权(LSA)
本地安全授权是一个保护子系统,主要负责下列任务:
. 加载所有的认证包,包括检查存在于注册表中
\HKLM\System\CurrentControlSet\ControL\LSA中的Authentication Packages值
. 为用户找回本地组的SID以及用户的权限
. 创建用户的访问令牌
. 管理本地安全服务的服务帐号
. 存储和映射用户权限
. 管理审计策略和设置
. 管理信任关系
安全支持供应商接口(SSPl)
微软的安全支持供应商接口利RFC2743及RFC2744所定义的一般安全服务API极为相似
安全服务提供商API为应用程序和服务要求安全认证连接提供了解决方法。
认证包
认证包的内容提供真正的用户验。认证包检查通过GINA DLL所得到的证书,当用户的证书被检验后,认证包向LSA返回SID,包括用产的访问令牌。
安全支持供应
安全支持供应是安装驱动程序来支持额外的安全机制。WindowsNT默认安装包括以下:
. Msnsspc.dll:微软网络(MSN)挑战/响应认证方法
. Msapsspc.dll:分布式密码认证(DPA)挑战/响应方法,也用于MSN
. Schannel.Dll 利用证书授权机购(如VeriSign)所发布的证书来时行验证。这种认证
方法通常是在安全套接字层(SSL)或私有通信技术(PCT)协议连接时所使用。
Netiogon
Netlogon服务必须为认证的传输建立一个安全的通道。为了达到这种效果,要定位—个
域控制器来建立安全通道。最后,通过这条安全通道来传递用户的证以再以用户SID及用户权限的形式接收到域控制器的响应。
安全帐号管理(SAM)
安全帐号管理实际上是一个掌管用户和用户证书的数据库。它存储在WindowsNT注册
表的一部分。每个域都有不同的SAM,作为两台域服务器复制的一部分。
Unix安全
在UNIX里,等同于WindowsNT注册表的是一个捆绑的文本文件和应用程序运行在内
存中。没有像NT—下的Regedt32这样的集中控制程序,因此这方面不是我们讨论有关UNIX
结构的重点,通过本门我们将学习UNIX的登陆利密码机制以及文件系统的权限。
一般UNIX的安全漏洞
从很多的媒体报导中都能了解到有关UNIX被扫描及攻击的事件:。在1988年11用2 日
由毕业于美国Cornell大学计算机系的RobertT.Morris编写的—个程序偶然地发布到互联网上。按照Morris程序的设计,可以看出在那时互联网上就存在了漏洞及一些安全隐患。此病毒可自复制以损耗CPU及物理内存的资源使它们运行极为缓慢甚至导致系统崩溃。
在今天的UNIX领域里,病毒相对少了许多,可能是因为硬件结构已大不相同,因此想
制造病毒是一个艰巨的任务。病毒需要有root的超级权限所以导致UNIX系统更多的危险。为了有效地防止UNIX系统被病毒侵害主要有以下几步:
● 系统级的目录写保护
● 有规律地检验更改时间和对系统执行做校验和
● 在特殊的地方只安装可信任的应用程序
● 确保用户只能执行公用的应用程序,不能包括其它可写的目录
● 不要安装没有经过检验的应用程序
缓冲区溢出
因为不像WindowsNT的注册表那样,UNIX没有集中的目录被HACK,黑客们较关注单独
应用程序的缓冲区溢出。你可能知道,所有的应用程序都是在操作系统中的内存里来运行。
每一小片内存称做缓冲区。缓冲区是内存中存放数据的地方。在程序试图将数据放到计算机
内存中的某一位置,但没有足够空间时会发生缓冲区溢出。
下面对这种技术做一个详细的介绍。
缓冲区是程序运行时计算机内存中的一个连续的块,它保存了给定类型的数据。问题随着
动态分配变量而出现。为了不用太多的内存,一个有动态分配变量的程序在程序运行时才决
定给他们分配多少内存。如果程序在动态分配缓冲区放入太多的数据会有什么现象?它溢出
了,漏到了别的地方。一个缓冲区溢出应用程序使用这个溢出的数据将汇编语言代码放到计
算机的内存中,通常是产生root权限的地方。
单单的缓冲区溢出,并不会产生安全问题。只有将溢出送到能够以root权限运行命令
的区域才行。这样,一个缓冲区利用程序将能运行的指令放在了有root权限的内存中,从
而一旦运行这些指令,就是以root权限控制了计算机。当一个应用程序收到这些意外的信
息时,这些信息可能会导致程序自身向外扩展,也就是覆盖或叫溢出,导致缓冲区里是一些
错误的信息。一旦溢出发生,很可能使应用程序或系统崩溃并留下一个shell,这个shell通常也是以root权限来访问的。缓冲区溢出的最典刑例子有本地时间进程表的程序Crond。
还有作为FTP服务器的旧版本的Wu-ftpd。Sendmail关于缓冲区溢出也有很少的历史了。
本章小结:
通过本章学习对Windows NT以及UNIX系统的安全面貌有了大体的了解,对于达到某些安全标准如ITSEC,TCSEC,CC的需要。对于NT所谓的"out-of-the-box"有了深刻的认识及相应解决方法。
第二章
帐 号 安 全
引 言
用户帐号不适当的安全问题是攻击侵入系统的主要手段之一。其实小心的帐号管理员可以避免很多潜在的问题,如选择强同的密码、有效的策略加强通知用户的习惯,分配适当的权限等。所有这些要求一定要符合安全结构的尺度。介于整个过程实施的复杂性,需要多个用户共同来完成,而当维护小的入侵时就不需要麻烦这些所有的用户。
整体的安全策略中本地帐号的安全是非常重要的。这节课,我们将探讨用不同的方法来保护本地帐号的安全。
本章要点:
● 描述帐号安全和密码之间的关系
● 在WindowsNT和UNIX系统的实现安全帐号的技术
● 在NT下实施密码策略的步骤
● 描述UNIX密码安全及密码文件的格式
● 分析UNIX—卜的安全威胁,拒绝帐号访问和监视帐号
密码的重要性
密码是UNIX和WindowsNT安全基础的核心。如果危及到密码,那个基本的安全机制和模式将遭到严重影响。为了选择强固的密码,你需要在帐号策略里设置更多相关的选项。
你还要帮助用户选择强壮的密码。 ,
一个强固的密码至于要有下列四方面内容的三种:
. 大写字母
. 小写字母 .
. 数字
. 非字母数字的字符,如标点符号
强闹的密码还要符合卜列的规则
. 不使用普通的名字或呢称
. 不使用普通的个人信息,如生日日期
. 密码里不含有重复的字母或数字
. 至少使用八个字符
从黑客的思想考虑,避免密码容易被猜出或发现(比如不要写到纸条上放到抽屉里)。
NT下的密码安全
在NT下为了强制使用强壮的密码,你可以更改注册表里的LSA值来实现,叫passfilt.dll,
这个文件可以在WindowsNT的ServicePack2及以后的版本里找到。在LSA键值下需要添加NotifcationPackages字串并把值为passfilt.dll加进去。这串值必须在公司所有的域控制器里都加入。同时你还需要使用passprop.exe这个程序来使passfilt.dll生效。
UNIX下的密码安全
在UNIX中加密后的密码信息是存在一个文件里,通常是/etc/passwd。维护好这个文件:的安全性是非常重要的。在UNIX系统里它的属主是具有最高权限的帐号,即root的。UNIX基本上有两类用户:普通用户和系统特权用户。有时特权用户也被不确切地叫做超级用户。实际上,一个超级用户帐号的标识号是为零。当一个帐号建立的时候,会被分配一个唯一的标识数字(UID)。这个数字分配从0开始,最低的数字(也就是最高的权限)是分配给登陆帐号root的。Root可以执行任何程序,打开任何目录,检查任何文件:,改变系统内任何对象的属性及其它任意的功能。任何对于攻击UNIX系统的黑客最终目的都是取得Root帐号。
Root掌管/etc/passwd文件。此文件可以被所有登陆的用户读取,它包含每一个用户的认证信息。因此,在简单的UNIX系统上任何人都可以复制这个文件的内容并分析哪个字段是包含加密后的密码。然后利用不同的密码一系列的尝试和/etc/passwd加密后的字串进行比较。因此,密码的选择是UNIX系统安全级别中最重要的。
.
WindOWsNT帐号安全
首先,也是最困难的任务就是确保只有必需的帐户被使用而且每个帐号仅有能满足他们完成工作的最小权限。在一个大型的公司里,通常是用一个或多个用户域集中管理所有的用户帐号。域是一个中央集权的帐号数据库可以在分布于公司中间。因此有经验的管理员尽量把用户放到较少的域里面以便于管理。这种限制通常促进公司策略的粘附性。本地组创建本地资源并管理权限。本地资源的机器要被配置成信任集中帐号域。但有时这种设置也是不可行的,因为和远程站点间没有足够的带宽。
有几种技术可以解帐号安全的问题。其中一个主要关心的是确保不再有新的帐号建立或 已存在的帐户权限不作改动。另一个简单的方法就是利用netuser和netgroup命令把信息定向到一个文本文件里后进行比照。有规律地运行这些命令并对输出的文本文件中的帐号列表进行比较就能轻易地发现问题。一些内置的工具,比如系统任务进度表程序,可以自动的执行。也可以使用其它一些外部工具比如Peri或diff可以自动地对标准列表和当前的设置进行比照。
帐号重命名
另一个可靠的办法就是对默认的帐号重命名。包括administrator、guest以及其它一些由安装软件时(如IIs)所自动建立的帐号。这些帐号必须好好保护因为它们易受攻击。然而简单地重命名帐号并不能很好地隐藏它们。因为Windows NT必须知道哪一个是管理员帐号,管理员帐号当前的名字是保存在注册表里的。
帐号策略
为了保持用户数据库不被侵犯,你必须强制用户养成良好的习惯在帐号的设置上要能有效地防止黑客使用暴力破解的方法来攻击。这些任务主要是通过WindowsNT上的帐号策略上设置的。帐号策略的设置是通过域用户管理器来实施的,从策略的菜单中选择用户权限,第一项是有关密码的时效,第二项是有关密码长度的限制,以及帐号锁定等机制。
实现强壮的密码
大多数情况下,仅养成使用好密码的习惯是不够的:你还需要使用更强壮的密码来有效阻止类似于字典攻击的暴力破解攻击。我们前面已经讨论,一个强壮的密码至少需要六个字符,不能包括用户名的任何一部分,并且至少要有大小写字母,数字,和通配符等。为了实施强壮的密码你需要在注册表里LSA项加入本课已提过的其它的密码过滤器。在主域控制器或在任一可能会升级为主域控制器的备份域控制器上, 你都需要在注册表
HKLM\System\CurrentControlSet\Control\LSA中加入PASSFILT的字串。
UNIX帐号安全
在讨论UNIX帐号安全,你首先要理解UNIX密码的安全。这种理解需要检查密码文件的格式。你可以利用—下面的命令来得到几种特殊密码的格式
$man 5 paSSWord
密码文件包括几个字段,在表2-1作了详细解释
字段
用处
登陆名字
用户登陆时所真正使用的名字
加密后的密码
在UNIX中,密码是用高强度的DES算法来进行加密并保存结果
UID
用户唯一的标识号
GID
用户组的标识号
用户名
用户真正的名字
HOME
默认的主目录
SHELL
默认的程序SHELL接口
密码文件在显示的时候是加密的:这种显示叫做Shadow密码,通常创建在/etc/shadow属于root且只有root有权访问。
密码时效
按目前的形势,已有更强大的硬件大大地缩短了利用自动运行的程序来猜测密码的时间。因此在UNIX系统中防止密码被攻击的别一方法就是要经常地改变密码。很多时候,用户却不改变密码。因此一种机制用来强制规律性的更改密码是合乎要求的。这种技术称做密码时效并在很多UNIX系统上有效。
密码时效:LINUX
在LINUX系统上,密码时效是通过chage命令来管理的。
参数
意思
—m
密码可更改的最小天数。如果是零代表任何时候都可以更改密码
-M
密码更改的最大天数
-W
用户密码到期前,提前收到警告信息的天数
-e
帐号到期的日期。过了这天,此帐号将不可用。
-d
上一次更改的日期
-I
停滞时期。如果一个密码已过期这些天,那么此帐号将不可用
-L
例出当前的设置。由非特权用户来确定他们的密码或帐号何时过期
举个例子
%chage-m 2-M 30-W 5 steven
此命令要求用户steven两天内不能更改密码,并且密码最长的存活期为30大,并在密码过
期前5大通知他。
记录不成功的登陆企图
所有的UNIX系统都能够记录非成功的登陆企图。在L1NUX中,登陆的失败是由syslog守
护进程记录在/var/log/messages文件里。可以用下列命令来查找相关信息
$grep login/var/log/messages
搜索路径(PATH)的重要性
在UNIX里,常使用的命令用来在不同的环境卜查找一组特殊的目录称做PATH。想要
运行当前目录包含的命令时是不需要加上一长串路径名的。在UNIX中用户经常使用”.”来
表示当前的目录。如果”.”作为shell环境变量的一部分时,一个全局目录下的shell脚本或公
用命令就有可能被相同目录的伪程序所解释,而这个命令可能包含一段代码,一旦被执行后果可能是较严重的,比如是一个木马程序。在Bourne orKom Shell里搜索路径通常这样来设置:
$PATH=pathnamel:pathname2:pathname3
$export PATH
在C或类似的shell里,以下列命令设置
%setpath:(pathnamel pathname2 pathname3)
在UNIX中像这样的路径可以保存在.profile文件里,可以看到像下面的语句
PATH=/bin:/usr/bin:/sbin:$HOME
Export PATH
因此,如果你经常参考用户主目录下的某个文件时,就创建一个叫"bin"的并把所以的个人的可执行文件放到里面;并要严格注意它们的安全性。假设”.”路径名存在于用户的shell
初始化文件里,并用户不精通有关安全的知识而且不太注意环境变量中路径,那么可以想像
他经常使用到的who命令。假设用户已创建了下面的文件:
$touch/tmp/testfile 。
然后,编辑下面的程序并保存为who.c文件
#i nclude<stdio.h>
main()
{
system(“/usr/bin/who");
system(“/bin/rm/tmp/testfile2>/dev/null”);
}
然后对些程序进行编译
$gcc –O who who.c
并且此用户可能含有这样的profile:
PATH=.:/bin:/usr/bin:/sbin:$HOME
ExpoRT PATH
现在,如果户键入
$who
再去找找你刚刚建立的testfile这个文件,看看发生了什么
限制root登陆
另一增强root帐号安全的方法是限制其在系统上直接登陆。不同版本的UNⅨ处理此项任务的方法是不同的。
在SUN的Solaris系统上要修改/etc/default/login文件,你需要加入下面一行
CONSOLE=/dev/console
限制对于系统管理员来说另一个可行的方法是通过限制shell来给外部用户他配权限。一个例子
shell
如rkshshell就是KornShell的一个受限制的版本,它允许提供原shell大部分功能除了下面几条
。重定向I/O(如>和>>)受限
。改变目录受限
。环境变量不允许改变
。检查Path名字
这种:方法对于那些用户不注意运行了一个可能导致打开安全访问的程序是非常有用的。
用户空闲时间
为了进一步增加安全性,—些公司鼓励在—些草根级基础上做安全练习。那些并没有时
刻注意白己屏幕或者停止使用很长时间的用户很有可能导致其它人访问他们工作站上的保密数据和文件:。在这种环境下应该实施一种策略能够自动注销或中断。屏幕保护是一种可行的方法。或者,公用的应用程序像自动锁动能够监视列:强制中断一个会话。
监视帐号
系统管理员还要经常地监视一些可疑的用户帐号的使用,比如一个正在休假的用户帐号
正被使用中,或者用户帐号正运行着不成比例的计算清单资源,比如内存和磁盘的使用率。
对于这种任务有一些有用的文件是用户和帐号文件:。Utmp文件就是一个会话信息文件:并被记录。wtmp文件是有关帐号信息的文件:并被记录。它们包括
● 用户名和UID
● 终端线的数量
● 设备号
● 执行ID
● 存在的状态
● 其它的相关的信息
通常可以使用last,who,write,login等这样的命令来得到相关的信息。有时你还能知道会话是
来自何处(比如Internet主机地址或网关)‘
系统事件记录工具
大多数UNIX系统中,syslogd是一个守护进程用来配置监听和记录其它系统利进程的
活动。然后把这些记录集中到一个文件里以便日后用类似awk,grep,sed这样的命令来进行分
析。Syslog工具有一个配置文件是/etc/syslog.conf。此文件:包含不同重要程度的内容,如信息、警告、紧急、重要。还包括将要发送一个文件的目标接收站如或远端主机。
附加的日志文件位置
本课主要讨论使用/var/admin/Ioginlog。·下面是一些你需要有规律的进行审计,存在于不同UNIX系统中日志文件:的常见位置:
● /etc/wtmp:可在Berkerley系统中找到(Solaris利HPboxes),包含登陆和文件改变的记
录
● var/adm/acct或var/adm/pacct:如果允许,用来审计执行过程
● /usr/etc/accton或/usr/lib/acct:在FREEBSD中刚于跟踪系统执行过程
● /usr/adm/sulog:在某些系统中用于记录使用su命令的活动
● /etc/remote:包含UUCP使用的信息。你也可以从/var/spool/uucp/.Admin查到这些信息有关更多内容我们会在安全审计、攻击和威胁分析篇中详细介绍。
本章小结:
在本课中介绍了帐号安全和密码安全之间的关系,并给出了在NT利UNIX下实现帐号
安全的解决方案及具体实施步骤,最后关于UNIX下的安全威胁,可以采取拒绝帐号,监视
帐号等方法来解决。 | |
|
| 发表评论:
|
|
Powered by 数据载入中...
| |
博客登陆
北京时间 如FLASH无法显示 请点击
站点日历
博客公告
我的分类(专题)
最新日志
最新评论
留 言 板
友情链接
日志信息
