對于很多人來說Unix操作系統(tǒng)經(jīng)常承當(dāng)著關(guān)鍵任務(wù),所以它經(jīng)常是入侵者攻擊的首選目標(biāo)。于是檢測入侵、保護系統(tǒng)安全是管理員的最為重要的任務(wù)之一。那么，在沒有其它工具幫助的情況下，如何去判斷系統(tǒng)當(dāng)前的安全性？如何去發(fā)現(xiàn)入侵呢？下面給大家介紹一些常用到的檢查方法

以LINUX和solaris為例：

1、檢查系統(tǒng)密碼文件

首先從明顯的入手，查看一下passwd文件，ls –l /etc/passwd查看文件修改的日期。
輸入命令 awk –F:’$3==0 {print $1}’ /etc/passwd

來檢查一下passwd文件中有哪些特權(quán)用戶，系統(tǒng)中uid為0的用戶都會被顯示出來。順便再檢查一下系統(tǒng)里有沒有空口令帳戶： 
awk –F: ‘length($2)==0 {print $1}’ /etc/shadow

2、查看一下進程，看看有沒有奇怪的進程

重點查看進程：ps –aef | grep inetd。Inetd是Unix操作系統(tǒng)的守護進程，正常的inetd的pid都比較靠前，如果你看到輸出了一個類似inetd –s /tmp/.xxx之類的進程，著重看inetd –s后面的內(nèi)容。在正常情況下，LINUX系統(tǒng)中的inetd服務(wù)后面是沒有-s參數(shù)的，當(dāng)然也沒有用inetd去啟動某個文件；而solaris系統(tǒng)中也僅僅是inetd –s，同樣沒有用inetd去啟動某個特定的文件；如果你使用ps命令看到inetd啟動了某個文件，而你自己又沒有用inetd啟動這個文件，那就說明已經(jīng)有人入侵了你的系統(tǒng)，并且以root權(quán)限起了一個簡單的后門。

輸入ps –aef 查看輸出信息，尤其注意有沒有以./xxx開頭的進程。一旦發(fā)現(xiàn)異樣的進程，經(jīng)檢查為入侵者留下的后門程序，立即運行kill –9 pid 開殺死該進程，然后再運行ps –aef查看該進程是否被殺死；一旦此類進程出現(xiàn)殺死以后又重新啟動的現(xiàn)象，則證明系統(tǒng)被人放置了自動啟動程序的腳本。這個時候要進行仔細(xì)查找：find / -name 程序名 –print，假設(shè)系統(tǒng)真的被入侵者放置了后門，根據(jù)找到的程序所在的目錄，Unix操作系統(tǒng)下隱藏進程有的時候通過替換ps文件來做，檢測這種方法涉及到檢查文件完整性，一會我們再討論這種方法。接下來根據(jù)找到入侵者在服務(wù)器上的文件目錄，一步一步進行追蹤。
 
3、檢查系統(tǒng)守護進程

檢查/etc/inetd.conf文件，輸入： cat /etc/inetd.conf | grep –v “^#”

輸出的信息就是你這臺機器所開啟的遠(yuǎn)程服務(wù)。一般入侵者可以通過直接替換in.xxx程序來創(chuàng)建一個后門，比如用/bin/sh 替換掉in.telnetd，然后重新啟動inetd服務(wù)，那么telnet到服務(wù)器上的所有用戶將不用輸入用戶名和密碼而直接獲得一個rootshell。

 4、檢查網(wǎng)絡(luò)連接和監(jiān)聽端口

輸入netstat -an，列出本機所有的連接和監(jiān)聽的端口，查看有沒有非法連接。
輸入netstat –rn，查看本機的路由、網(wǎng)關(guān)設(shè)置是否正確。
輸入 ifconfig –a，查看網(wǎng)卡設(shè)置。

5、檢查系統(tǒng)日志
 
命令last | more查看在正常情況下登錄到本機的所有用戶的歷史記錄。但last命令依賴于syslog進程，這已經(jīng)成為入侵者攻擊的重要目標(biāo)。入侵者通常會停止系統(tǒng)的syslog，查看系統(tǒng)syslog進程的情況，判斷syslog上次啟動的時間是否正常，因為syslog是以root身份執(zhí)行的，如果發(fā)現(xiàn)syslog被非法動過，那說明有重大的入侵事件。
 
在linux下輸入ls –al /var/log
在solaris下輸入 ls –al /var/adm

檢查wtmp utmp，包括messgae等文件的完整性和修改時間是否正常，這也是手工擦除入侵痕跡的一種方法。
 
6、檢查系統(tǒng)中的core文件

通過發(fā)送畸形請求來攻擊服務(wù)器的某一服務(wù)來入侵系統(tǒng)是一種常規(guī)的入侵方法，典型的RPC攻擊就是通過這種方式。這種方式有一定的成功率，也就是說它并不能100%保證成功入侵系統(tǒng)，而且通常會在服務(wù)器相應(yīng)目錄下產(chǎn)生core文件，全局查找系統(tǒng)中的core文件，輸入find / -name core –exec ls –l {} \; 依據(jù)core所在的目錄、查詢core文件來判斷是否有入侵行為。

7、檢查系統(tǒng)文件完整性

檢查文件的完整性有多種方法，通常我們通過輸入ls –l 文件名來查詢和比較文件，這種方法雖然簡單，但還是有一定的實用性。但是如果ls文件都已經(jīng)被替換了就比較麻煩。在LINUX下可以用rpm –V `rpm –qf 文件名` 來查詢，查詢的結(jié)果是否正常來判斷文件是否完整。在LINUX下使用rpm來檢查文件的完整性的方法也很多，這里不一一贅述，可以man rpm來獲得更多的格式。
Unix操作系統(tǒng)中，/bin/login是被入侵者經(jīng)常替換作為后門的文件，接下來談一下login后門 ：

Unix操作系統(tǒng)里，Login程序通常用來對telnet來的用戶進行口令驗證。入侵者獲取login的源代碼并修改，使它在比較輸入口令與存儲口令時先檢查后門口令。如果用戶敲入后門口令，它將忽視管理員設(shè)置的口令讓你長驅(qū)直入：這將允許入侵者進入任何賬號，甚至是root目錄。由于后門口令是在用戶真實登錄并被日志記錄到utmp和wtmP前產(chǎn)生的一個訪問，所以入侵者可以登錄獲取shell卻不會暴露該賬號。管理員注意到這種后門后，使用”strings”命令搜索login程序以尋找文本信息。

許多情況下后門口令會原形畢露。入侵者又會開始加密或者更改隱藏口令，使strings命令失效。所以許多管理員利用MD5校驗和檢測這種后門。Unix操作系統(tǒng)中有md5sum命令，輸入md5sum 文件名檢查該文件的md5簽名。它的使用格式如下：
md5sum –b 使用二進制方式閱讀文件；
md5sum –c 逆向檢查MD5簽名；
md5sum –t 使用文本方式閱讀文件。

在前面提到過守護進程，對于守護進程配置文件inetd.conf中沒有被注釋掉的行要進行仔細(xì)比較，舉個簡單的例子，如果你開放了telnet服務(wù)，守護進程配置文件中就會有一句： telnet stream tcp nowait root /usr/sbin/in.telnetd in.telnetd

可以看到它所使用的文件是 /usr/sbin/in.telnetd，檢查該文件的完整性，入侵者往往通過替換守護進程中允許的服務(wù)文件來為自己創(chuàng)建一個后門。

LINUX系統(tǒng)中的/etc/crontab也是經(jīng)常被入侵者利用的一個文件，檢查該文件的完整性，可以直接cat /etc/crontab，仔細(xì)閱讀該文件有沒有被入侵者利用來做其他的事情。

不替換login等文件而直接使用進程來啟動后門的方法有一個缺陷，即系統(tǒng)一旦重新啟動，這個進程就被殺死了，所以得讓這個后門在系統(tǒng)啟動的時候也啟動起來。通常通過檢查/etc/rc.d下的文件來查看系統(tǒng)啟動的時候是不是帶有后門程序。說到這里，另外提一下，如果在某一目錄下發(fā)現(xiàn)有屬性為這樣的文件：-rwsr-xr-x 1 root root xxx .sh，這個表明任何用戶進來以后運行這個文件都可以獲得一個rootshell，這就是setuid文件。運行 find –perm 4000 –print對此類文件進行全局查找，然后刪除這樣的文件。

8、Unix操作系統(tǒng)檢查內(nèi)核級后門

如果你的Unix操作系統(tǒng)被人安裝了這種后門，通常都是比較麻煩的，首先，檢查系統(tǒng)加載的模塊，在LINUX系統(tǒng)下使用lsmod命令，在solaris系統(tǒng)下使用modinfo命令來查看。這里需要說明的是，一般默認(rèn)安裝的LINUX加載的模塊都比較少，通常就是網(wǎng)卡的驅(qū)動；而solaris下就很多，沒別的辦法，只有一條一條地去分析。對內(nèi)核進行加固后，應(yīng)禁止插入或刪除模塊，從而保護系統(tǒng)的安全，否則入侵者將有可能再次對系統(tǒng)調(diào)用進行替換。

我們可以通過替換create_module()和delete_module()來達到上述目的。另外，對這個內(nèi)核進行加固模塊時應(yīng)盡早進行，以防系統(tǒng)調(diào)用已經(jīng)被入侵者替換。如果系統(tǒng)被加載了后門模塊，但是在模塊列表/proc/module里又看不到它們。出現(xiàn)這種情況，需要仔細(xì)查找/proc目錄，根據(jù)查找到的文件和經(jīng)驗來判斷被隱藏和偽裝的進程,當(dāng)然目錄也可能不是隱藏的。

對于現(xiàn)在的入侵Unix操作系統(tǒng)行為的肆虐，手工的入侵檢測行為對于系統(tǒng)安全來說只是治標(biāo)而不治本，多半還是依靠管理員的技巧和經(jīng)驗來增強系統(tǒng)的安全性，沒有，也不可能形成真正的安全體系，雖然好過沒有，可以檢測和追蹤到某些入侵行為，但如果碰上同樣精通系統(tǒng)的入侵者就很難抓住蹤跡了。搭建真正的安全體系需要配合使用入侵檢測系統(tǒng)，一個優(yōu)秀的入侵檢測系統(tǒng)輔以系統(tǒng)管理員的技巧和經(jīng)驗可以形成真正的安全體系，有效判斷和切斷入侵行為，真正保護主機、資料。

【編輯推薦】

1. 在UNIX操作系統(tǒng)下架設(shè)簡單路由器
2. 主流Unix操作系統(tǒng)的安全檢測和防范
3. UNIX操作系統(tǒng)教程 前言
4. UNIX操作系統(tǒng)教程
5. UNIX操作系統(tǒng)教程 目錄