在我們經(jīng)常使用Unix操作系統(tǒng)的過(guò)程中，很多的入侵者攻擊的首選目標(biāo)就選擇了Unix操作系統(tǒng)。那么，管理員的最為重要的任務(wù)也就包括了檢測(cè)入侵、保護(hù)系統(tǒng)安全。下面，我們就來(lái)學(xué)習(xí)下這個(gè)問(wèn)題。

檢查Unix操作系統(tǒng)守護(hù)進(jìn)程

檢查/etc/inetd.conf文件，輸入：cat /etc/inetd.conf | grep –v “^#”，輸出的信息就是你這臺(tái)機(jī)器所開(kāi)啟的遠(yuǎn)程服務(wù)。一般入侵者可以通過(guò)直接替換in.xxx程序來(lái)創(chuàng)建一個(gè)后門(mén)，比如用/bin/sh 替換掉in.telnetd，然后重新啟動(dòng)inetd服務(wù)，那么telnet到服務(wù)器上的所有用戶將不用輸入用戶名和密碼而直接獲得一個(gè)rootshell。

檢查網(wǎng)絡(luò)連接和監(jiān)聽(tīng)端口

輸入netstat -an，列出本機(jī)所有的連接和監(jiān)聽(tīng)的端口，查看有沒(méi)有非法連接。
輸入netstat –rn，查看本機(jī)的路由、網(wǎng)關(guān)設(shè)置是否正確。
輸入 ifconfig –a，查看網(wǎng)卡設(shè)置。

檢查Unix操作系統(tǒng)日志

命令last | more查看在正常情況下登錄到本機(jī)的所有用戶的歷史記錄。但last命令依賴于syslog進(jìn)程，這已經(jīng)成為入侵者攻擊的重要目標(biāo)。入侵者通常會(huì)停止Unix操作系統(tǒng)的syslog，查看Unix操作系統(tǒng)syslog進(jìn)程的情況，判斷syslog上次啟動(dòng)的時(shí)間是否正常，因?yàn)閟yslog是以root身份執(zhí)行的，如果發(fā)現(xiàn)syslog被非法動(dòng)過(guò)，那說(shuō)明有重大的入侵事件。

在linux下輸入ls –al /var/log
在solaris下輸入 ls –al /var/adm
檢查wtmp utmp，包括messgae等文件的完整性和修改時(shí)間是否正常，這也是手工擦除入侵痕跡的一種方法。

檢查Unix操作系統(tǒng)中的core文件

通過(guò)發(fā)送畸形請(qǐng)求來(lái)攻擊服務(wù)器的某一服務(wù)來(lái)入侵Unix操作系統(tǒng)是一種常規(guī)的入侵方法，典型的RPC攻擊就是通過(guò)這種方式。這種方式有一定的成功率，也就是說(shuō)它并不能100%保證成功入侵Unix操作系統(tǒng)，而且通常會(huì)在服務(wù)器相應(yīng)目錄下產(chǎn)生core文件，全局查找系統(tǒng)中的core文件。

輸入find / -name core –exec ls –l {} \; 依據(jù)core所在的目錄、查詢core文件來(lái)判斷是否有入侵行為。

如此，我們就對(duì)Unix操作系統(tǒng)入侵的問(wèn)題解釋了很多。希望大家對(duì)有所幫助。

【編輯推薦】

1. Unix操作系統(tǒng)中命令行介紹
2. Unix操作系統(tǒng)基礎(chǔ)知識(shí)
3. Unix操作系統(tǒng)服務(wù)器一般問(wèn)題提示及含義
4. Unix操作系統(tǒng)上機(jī)基本操作解說(shuō)
5. 舉例說(shuō)明Unix操作系統(tǒng)維護(hù)問(wèn)題