管理员安全（下）2

fly30

发现有人已经破坏了系统安全的时候,这时系统管理员首先应做的是面对肇事用户.如果该用户所做的事不是蓄意的,而且公司没有关于\"破坏安全\"的规章,也未造成损坏,则系统管理员只需清理系统,并留心该用户一段时间.如果该用户造成了某些损坏,则应当报告有关人士,并且应尽可能地将系统恢复到原来的状态. \n\n　　如果肇事者 \n\n\n\n\n\n\n是非授权用户,那就得做最坏的假设了:肇事者已设法成为root且本系统的文件和程序已经泄密了.系统管理员应当想法查出谁是肇事者,他造成了什么损坏?还应当对整个文件做一次全面的检查,并不只是检查SUID和SGID,设备文件.如果系统安全被一个敌对的用户破坏了,应当采用下面的步骤: \n\n　　. 关系统,然后重新引导,不要进入多用户方式,进入单用户方式. \n　　. 安装含有本系统原始UNIX版本的带和软盘. \n　　. 将/bin,/usr/bin,/etc,/usr/lib中的文件拷贝到一个暂存目录中. \n　　. 将暂存目录中所有文件的校验和(用原始版本的suM程序拷贝做校验和, 不要用/bin中的suM程序做)与系统中所有对就的文件的校验和进行比较,如果有任何差别,要查清差别产生的原因.如果两个校验和不同,是由于安装了新版本的程序,确认一相是否的确是安装了新版本程序.如果不能找出校验和不同的原因,用暂存目录中的命令替换系统中的原有命令. \n　　. 在确认系统中的命令还未被窜改之前,不要用系统中原命令.用暂存目录中的shell,并将PATH设置为仅在暂存目录中搜索命令. \n　　. 根据暂存目录中所有系统命令的存取许可,检查系统中所有命令的存取许可. \n　　. 检查所有系统目录的存取许可,如果用了perms,检查permlist文件是否被窜改过. \n　　. 如果系统UNIX(/unix)的校验和不同于原版的校验和,并且系统管理员从未修改过核心,则应当认为,一个非法者\"很能干\",从暂存缓冲区重新装入系统.系统管理员可以从逐步增加的文件系统备份中恢复用户的文件,但是在检查备份中的\"有趣\"文件之前,不能做文件恢复. \n　　. 改变系统中的所有口令,通知用户他们的口令已改变,应找系统管理员得到新口令. \n　　. 当用户来要新口令时,告诉用户发生了一次安全事故,他们应查看自己的文件和目录是否潜伏着危害(如SUID文件,特洛依木马,任何人可写的目录),并报告系统管理员任何异乎寻常的情况. \n　　. 设法查清安全破坏是如何发生的?如果没有肇事者说明,这也许是不可能弄清的.如果能发现肇事者如何进入系统,设法堵住这个安全漏洞. \n\n　　第一次安装UNIX系统时,可以将shell,sum命令,所有文件的校验和存放在安全的介质上(带,软盘,硬盘和任何可以卸下并锁焉起来的介质).于是不必再从原版系统带上重新装入文件,可以安装备份介质,装入shell和sum,将存在带上的校验和与系统中文件的校验和进行比较.系统管理员也许想自己写一个计算校验和的程序,破坏者将不能知道该程序的算法,如果将该程序及校验和保存在带上,这一方法的保密问题就减小到一个物理的安全问题,即只需将带锁起来. \n\n　　9.加限制的环境 \n\n　　(1)加限制的shell(rsh) \n\n　　该shell几乎与普通的shell相同,但是该shell的设计能限制一个用户的能力,不允许用户有某些标准shell所允许的行为: \n\n　　. 不能改变工作目录(cd). \n　　. 不能改变PATH或SHELL shell变量. \n　　. 不能使用含有\"/\"的命令名. \n　　. 不能重定向输出(>和>>. \n　　. 不能用exec执行程序. \n\n　　用户在登录时,招待.profile文件后系统就强加上了这些限制,如果用户在.profile文件正被解释时按了BREAK键或DELETE键,该用户将被注销. \n\n　　这些简单的限制,使用写受限制用户的.profile文件的系统管理员可以对用户能使用什么命令,进行完全的控制. \n\n　　应当注意:系统V加限制的shell实际上不是很安全,在敌对的用户时不要用.系统V版本2以后的版本中加限制的shell更安全些.但若允许受限制的用户使用某些命令(如env,cp,ln),用户将能逃避加限制的shell,进入非限制的shell. \n\n　　(2)用chroot()限制用户 \n\n　　如果的确想限制一个用户,可用chroot()子程序为用户建立一个完全隔离的环境,改变了进程对根目录的概念,因此可用于将一个用户封在整个文件系统的某一层目录结构中,使用户无法用cd命令转出该层目录结构,不能存取文件系统中其余部分的任何文件.这种限制方式比加限制的shell好得多.用户使用的命令应由系统管理员在新的root目录中建立一个bin目录,并建立用户可用命令的链到系统的/bin目录中相应命令文件上(若在不同的文件系统则应拷贝命令文件). \n\n　　还应建立新的passwd文件,保留系统登录户头(为了使ls -l正确地报告与受限制的子文件系统中的文件相关的正确登录名)和用户帐户,但系统帐户的口令改为NOLOGIN以使受限制的用户不能取得系统登录的真实口令,使\"破密\"程序的任何企图成为泡影. \n\n　　utmp文件是who所需要的,该文件含有系统中已登录用户的列表. \n\n　　新的/etc/profile文件也不是建链文件,以便受限制的用户可以执行不同的启动命令. \n\n　　/dev目录中的终端设备文件被链接到新的/dev目录下,因为命令who产生输出时要查看这些文件. \n\n　　在系统V及以后的UNIX版本中,login命令有chroot()的功能.如果口令文件中用户入口项的登录shell域(最后一个域)是*,login将调用chroot()把用户的根目录设置成为口令文件中用户入口项登录目录域指定的目录.然后再调用exec()执行login,新的login将在新子系统文件中执行该用户的登录. \n\n　　chroot()并不是把root封锁在一个子文件系统中,所以给受限制用户用的命令时应加以考虑,具有root的SUID许可的程序可能会给予用户root的能力.应当将这种可能减低到最小程度,交给用户使用的命令应当取自清除了SUID陷井的系统命令.链接文件可减少磁盘占用区,但要记住,当与敌对用户打交道时链接到chroot目录结构(尤其是命令)的系统文件是很危险的. \n\n　　如果建立一个像这样的限制环境,应确保对安装到新的/bin的每条命令都做过测试,有些程序可能有系统管理员未曾想到的出乎意料的执行结果.为了使这些命令能运行,还得在加限制的子文件系统中加服务目录或文件如:/tmp,/etc/termcap,/usr/lib/terminfo,/dev/mem,/dev/kmem,/dev/swap,用户所登录的/dev中的tty文件以及/unix. \n\n　　有些程序在子文件系统中运行时不会很好,如果将假脱机程序和网络命令拷贝到加限制的子文件系统中,并放在为两条命令专建的目录层结构下,它们可能也运行不了. \n\n