對(duì)Unix系統(tǒng)管理員來說,主機(jī)系統(tǒng)的安全一直是個(gè)課題,一方面管理員通過更新patch,安裝軟硬 件防火墻等手段努力使自己的系統(tǒng)可靠性增強(qiáng),而另一方面Unix系統(tǒng)的漏洞總是不斷被發(fā)現(xiàn)并被公布出來,如BUGTRAQ這樣的安全列表,從這個(gè)角度上可以很絕對(duì)的說,互聯(lián)網(wǎng)上沒有安全的主機(jī).

任何一臺(tái)放在Internet上的主機(jī)被入侵的潛在可能性是不可逃脫的,而且,對(duì)入 侵者而言,利用漏洞進(jìn)入系統(tǒng)往往只是第一步,如果想得到更多的。

如超級(jí)用戶的密碼,數(shù)據(jù)庫(kù) 的口令等,往往需要下點(diǎn)功夫,最便捷也是最有效的就是改動(dòng)或特洛伊化受侵害的主機(jī)上的文件,如放置自己的監(jiān)聽程序,替代某些關(guān)鍵文件,修改編輯可信文件,設(shè)置suid文件等.

 一些管理員通Unix系統(tǒng)自帶的命令來檢查文件的安全性,如檢查文件生成的時(shí)間戳,但這樣的可靠 性微乎其微,有經(jīng)驗(yàn)的入侵者可以很輕松的修改文件生成時(shí)間,有興趣的管理員可以試試以下操作:
 

secu.Unix.org# echo " " > /.rhosts   
這一步生成一個(gè).rhosts文件,看看它的時(shí)間.   
secu.Unix.org# ls -l /.rhosts   
-rw-r--r-- 1 root other 4 Jul 2 16:45 /.rhosts   
好,我們?nèi)缦虏僮骺纯磿?huì)怎么樣?   
secu.Unix.org# touch -r /bin/sh /.rhosts   
有什么效果? 我們?cè)俅蝜s –l看一下,   
secu.Unix.org# ls -l /.rhosts   
-rw-r--r-- 1 root other 4 Apr 5 16:32 /.rhosts  

我們看到時(shí)間戳已經(jīng)變了.變成了一個(gè)”老”文件,這樣很可能就會(huì)逃脫管理員的視線。 又比如,入侵者替換掉了su文件,在正當(dāng)用戶每次試圖su時(shí),這個(gè)特洛伊化的su文件都會(huì)讀取口令 并將口令記載下來,然后才把控制權(quán)交給真正的su程序,口令通過這種途徑泄密了,雖然這不是管 理員所期望的,但畢竟Unix系統(tǒng)太大太復(fù)雜,發(fā)現(xiàn)起來很困難.

Tripwire就是解決這一問題的文件系統(tǒng)完整性檢查的工具,它采用的技術(shù)核心就是對(duì)每個(gè)要監(jiān)控 的文件產(chǎn)生一個(gè)數(shù)字簽名，保留下來。當(dāng)文件現(xiàn)在的數(shù)字簽名與保留的數(shù)字簽名不一致時(shí),那么 現(xiàn)在這個(gè)文件必定被改動(dòng)過了.具體到監(jiān)控項(xiàng)目,在Tripwire的配置文件中有如下相應(yīng)說明：
 

access permissions and file mode settings, including effective execution settings   
inode number in the file system   
number of links   
user ID of the owner   
group ID of the group of users to which access may be granted   
size of the item   
date and time the item was last accessed, the last modification made to   
the item, and the creation date and time associated with the item's inode  

由上，我們可以看到Tripwire對(duì)Unix系統(tǒng)文件的管理面是很寬的。

【編輯推薦】

1. Unix系統(tǒng)中知識(shí)講解
2. Unix cpio命令詳細(xì)解析
3. AIX CDE的問題解決講解
4. Unix系統(tǒng)與小型機(jī)的討論
5. Unix Telnet知識(shí)講解