安全管理应该做的事

xinxing

安全管理是站点安全中最重要的一环，离开了管理，安全将变得不切实际。以下也许是Windows系统安全管理员每天应做的事：
1． 检查系统有无新增帐户，并了解其来源及用途；查看管理员组里有无新增帐户，该组的帐户除系统最初设置外，以后不应该增加帐户；
2． 在命令行状态下，运行netstat –an命令查看当前连接及打开的端口，查找可疑连接及可疑的端口；
3． 查看“任务管理器”，查找有无可疑的应用程序或后台进程在运行，并观察CPU及内存的使用状态；
4． 运行注册表编辑器，查找有无可疑的程序被加到windows的启动项里，并查看有无新增的可疑服务；
5． 使用 Windows事件查看器查看“系统日志”“安全日志”和“应用程序日志”，以发现有无可疑的事件或影响系统性能的事件；
6． 检查共享目录，不应有对所有用户可写的目录存在；
7． 如果运行Microsoft IIS，查看C:WINNTsystem32LogFiles下的WEB 服务器日志，以发现是否有试图攻击WEB的行为；
8． 不定期运行杀毒软件查杀病毒；
9． 经常浏览微软的网站，保持服务器的补丁同步更新，留意微软发布的安全公告。
以下是Unix系统安全管理员应经常做的事：
1． 以root运行last，查看用户在过去一段时间内所发生的事件；
2． 查看/etc/passwd和/etc/shadow文件，以发现是否有新增用户，并追查用户来源及用途；保证这两个文件中的系统用户（如Daemon bin sys adm lp uucp nuucp listen noaccess、mysql、sshd、nobody等）没有自己的shell；检查有无帐户被提升到root权限（UID 0）；
3． 运行netstat –an |grep LISTEN查看有无可疑的打开的端口；
4． 使用ps命令查看系统进程，保证只有必要的进程在运行；
5． 检查被cron运行的程序，Solaris一般在/var/spool/cron目录里，Freebsd一般在/var/cron里，初始化的crontable除root外，其他用户不应拥有；仔细查看root的crontable；
6． 使用vmstat和top查看系统资源占用状况，对高资源占用的系统进程要做谨慎处理；
7． 查看系统日志，包括Solaris下的/var/adm/messages和Freebsd下的/var/log/messages，以发现有无可疑的事件发生；
8． 查看系统安全日志，包括用户登陆尝试、验证失败、可疑的IP地址登陆等，在solaris下是/var/log/authlog，freebsd下是/var/log/auth.log；
9． 运行chkrootkit，以检查系统是否被植入木马程序；
10． 安装了Apache的主机，不定期查看Apache的访问日志和错误日志， 以发现是否有试图攻击WEB的行为。


本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u/1925/showart_5129.html