逍遥MIR 发表于 2024-7-12 00:36:19

传奇架设技术安全之管理员必备安全技巧攻略(二)

上一章传奇私服架设技术安全攻略中一为原创详细给大家分享了,在管理员后台操作过程gm必须注意系统启动,停止系统运行安装插件增加删除用户信息等等操作时一定要足够谨慎,并且进行的每一次操作都必须在工作日志中详细标明。对于即将删除或者已经操作删除的文件或数据必须进行备份。这些都还只是传奇私服游戏中最简单的安全方面知识,接下来要给大家分享的相对来说就比较复杂了,但是也更加重要。

4.作为root运行的程序

在UNIX系统中,有些程序由系统作为root进程运行.这些程序并不总是具有SUID许可,因为其不少程序仅由root运行,系统管理员需要清楚这些程序做什么, 以及这些程序还将运行其它什么程序.

(1)启动系统

当某些UNIX系统(如SCO UNIX/XENIX)启动时,是以被称为单用户的方式运行,在这种方式中普通用户不能登录,唯有的进程是init,swapper,以及一些由系统管理员从控制台运行的进程.UNIX系统的单用户方式启动,使系统管理员能在允许普通用户登录以前,先检查系统操作,确保系统一切正常,当系统处于单用户方式时,控制台作为超级用户,命令揭示是"#",有些UNIX系统不要确认超级用户口令就认可控制台是root,给出#提示符.这就可能成为一个问题.

(2)init进程

UNIX系统总是以某种方式或称为某种级运行,系统有若干种运行级,这些运行级由init进程控制.

UNIX系统启动时以单用户方式运行,也叫1级或S级.

对于其他用户登录进入系统,UNIX有一种多用户运行方式,也叫2级.

init进程控制系统运行级,它读入文件/etc/inittab,该文件详细地规定了哪些进程在哪一级运行.当root敲入init n(数字),系统就进入n级.init读该文件以确定终止哪些进程,启动哪些进程.

有效的运行级的数值是从0到6与s. 织梦好,好织梦

注意:由init建立的进程以UID为0运行(root)从/etc/inittab运行的程序也作为root运行,所以系统管理员要确保自己知道/etc/inittab中的程序做什么工作,确保这些程序以及这些程序所在的目录直到/和/etc/inittab除root外无人可写.

(3)进入多用户

当UNIX系统进入多用户方式时,将寝化一系列事件,接着开始执行gettys, 允许其他用户登录进入系统.如果再看看/etc/inittab文件,会看到gettys定义在运行级2,至少三个shell程序/etc/brc, /etc/bcheckrc, /etc/rc*也定义在运行级2.这些程序都在gettys启动前运行. 织梦好,好织梦

这些shell程序作为root运行,也不能仅对root可写还应当检查shell程序运行的命令,因为这些命令也将作为root运行.

(4)shutdown命令

用shutdown命令关系统,shutdown shell程序发送警告通知所有用户离开系统,在"给定的期限时间"到了后,就终止进程,拆卸文件系统,进入单用户方式或关机状态.一旦进入单用户方式,所有的gettys停止运行,用户再不能登录. 进入关机状态后可将系统关电. shutdown仅能由作为root登

6./etc/group文件 本

/etc/group文件含有关于小组的信息,/etc/passwd中的每个GID在本文件中应当有相应的入口项,入口项中列出了小组名和小组中的用户.这样可方便地了解每个小组的用户,否则必须根据GID在/etc/passwd文件中从头至尾地寻找同组用户.

/etc/group文件对小组的许可权限的控制并不是必要的,因为系统用UID,GID(取自/etc/passwd)决定文件存取权限,即使/etc/group文件不存在于系统中,具有相同的GID用户也可以小组的存取许可权限共享文件.

小组就像登录用户一样可以有口令.如果/etc/group文件入口项的第二个域为非空,则将被认为是加密口令,newgrp命令将要求用户给出口令,然后将口令加密,再与该域的加密口令比较. 给小组建立口令一般不是个好作法.第一,如果小组内共享文件,若有某人猜着小组口令,则该组的所有用户的文件就可能泄漏;其次,管理小组口令很费事, 因为对于小组没有类似的passwd命令.可用/usr/lib/makekey生成一个口令写入

/etc/group.

以下情况必须建立新组:

(1)可能要增加新用户,该用户不属于任何一个现有的小组.

(2)有的用户可能时常需要独自为一个小组.

(3)有的用户可能有一个SGID程序,需要独自为一个小组.

(4)有时可能要安装运行SGID的软件系统,该软件系统需要建立一个新组.

要增加一个新组,必须编辑该文件,为新组加一个入口项.

由于用户登录时,系统从/etc/passwd文件中取GID,而不是从/etc/group中取GID,所以group文件和口令文件应当具有一致性.对于一个用户的小组,UID和GID应当是相同的.多用户小组的GID应当不同于任何用户的UID,一般为5位数,这样在查看/etc/passwd文件时,就可根据5位数据的GID识别多用户小组,这将减少增加新组,新用户时可能产生的混淆.

7.增加,删除,移走用户

(1)增加用户

增加用户有三个过程:

. 在/etc/passwd文件中写入新用户的入口项.

. 为新登录用户建立一个HOME目录.

. 在/etc/group中为新用户增加一个入口项.

在/etc/passwd文件中写入新的入口项时,口令部分可先设置为NOLOGIN, 以免有人做为此新用户登录.在修改文件前,应mkdir /etc/ptmp,以免他人同时修改此文件.新用户一般独立为一个新组,GID号与UID号相同(除非他要加入目前已存在的一个新组),UID号必须和其他人不同,HOME目录一般设置在/usr或/home目录下建立一个以用户登录名为名称的目录做为其主目录. 织梦内容管理系统

(2)删除用户

删除用户与加用户的工作正好相反,首先在/etc/passwd和/etc/group文件中删除用户的入口项,然后删除用户的HOME目录和所有文件.

rm -r /usr/loginname 删除整个目录树.

如果用户在/usr/spool/cron/crontabs中有crontab文件,也应当删除.

(3)将用户移到另一个系统
这是一个复杂的问题,不只是拷贝用户的文件和用户在/etc/passwd文件中的入口项.首先一个问题是用户的UID和GID可能已经用于另一个系统,若是出现这种情况,必须给要移的用户分配另外的UID和GID,如果改变了用户的UID和GID,则必须搜索该用户的全部文件,将文件的原UID和GID改成新的UID和GID.

用find命令可以完成这一修改: dedecms.com

find . -user olduid -exec chown newuid {} ;

find . -group oldgid -exec chgrp newgid {} ;

也许还要为用户移走其它一些文件:

/usr/mail/user和/usr/spool/cron/crontabs/user.

如果用户从一个不是本系统管理员的系统移来,则应对该用户的目录结构运行程序来检查.一个不安全系统的用户,可能有与该用户其它文件存在一起的SUID/SGID程序,而这个SUID/SGID程序属于另一个用户.在这种情况下,如果用cpio或tar命令将用户的目录结构拷贝到本系统,SUID/SGID程序也将会拷贝到本系统而没有任何警告信息.应当在允许用户使用新系统以前先删除这种文件的SUID/SGID许可.总之,始终坚持检查所移用户的文件总是更些.也可以用su命令进入用户的户头,再拷贝用户文件,这样文件的所有者就是该用户, 而不是root.

8.检查

像find和secure这样的程序称为检查程序,它们搜索文件系统,寻找出SUID/SGID文件,设备文件,任何人可写的系统文件,设有口令的登录用户,具有相同UID/GID的用户等等.

(1)记帐

UNIX记帐软件包可用作检查工具,除最后登录时间的记录外,记 织梦内容管理系统

帐系统还能保存全天运行的所有进程的完整记录,对于一个进程所存贮的信息包括UID,命令名,进程开始执行与结束的时间,CPU时间和实际消耗的时间,该进程是否是root进程,这将有助于系统管理员了解系统中的用户在干什么.acctcom命令可以列出一天的帐目表.有明,系统中有多个记帐数据文件,记帐信息保存在文件/usr/adm/pacct*中,/usr/adm/pacct是当前记录文件,/usr/adm/pacctn是以前的记帐文件(n为整型数).若有若干个记帐文件要查看,可在acctcom命令中指定文件名: acctcom /usr/adm/pacct? /usr/adm/pacct

要检查的问题的其中之一是:在acctcom的输出中查找一个用户过多的登录过程,若有,则说明可能有人一遍遍地尝试登录,猜测口令,企图非法进入系统.此外,还应查看root进程,除了系统管理员用su命令从终端进入root,系统启动,系统停止时间,以及由init(通常init只启动getty,login,登录shell),cron启动的进程和具有root SUID许可的命令外,不应当有任何root进程. 由记帐系统也可获得有关每个用户的CPU利用率,运行的进程数等统计数据.

(2)其它检查命令

*du:报告在层次目录结构(当前工作目录或指定目录起)中各目录占用的磁盘块数.可用于检查用户对文件系统的使用情况.

*df:报告整个文件系统当前的空间使用情况.可用于合理调整磁盘空间的使用和管理. 本

*ps:检查当前系统中正在运行的所有进程.对于用了大量CPU时间的进程,同时运行了许多进程的用户,运行了很长时间但用了很少CPU时间的用户进程应当深入检查.还可以查出运行了一个无限制循环的后台进程的用户,未注销户头就关终端的用户(一般发生在直接连线的终端). copyright dedecms

*who:可以告诉系统管理员系统中工作的进展情况等等许多信息,检查用户的登录时间,登录终端.

*su:每当用户试图使用su命令进入系统用户时,命令将在/usr/adm/sulog文件中写一条信息,若该文件记录了大量试图用su进入root的无效操作信息,则表明了可能有人企图破译root口令.

*login:在一些系统中,login程序记录了无效的登录企图(若本系统的login程序不做这项工作而系统中有login源程序,则应修改login).每天总有少量的无效登录,若无效登录的次数突然增加了两倍,则表明可能有人企图通过猜测登录名和口令,非法进入系统.

这里最重要的一点是:系统管理没越熟悉自己的用户和用户的工作习惯,就越能快速发现系统中任何不寻常的事件,而不寻常的事件意味着系统已被人窃密.

(3)检查程序的问题

关于以上的检查方法的一个警告,若有诱骗,则这些方法中没有几个能防诱骗.如find命令,如果碰到路径名长于256个字符的文件或含有多于200个文件的目录,将放弃处理该文件或目录,用户就有可能利用建立多层目录结构或大目录隐藏SUID程序,使其逃避检查(但find命令会给出一个错误信息,系统管理员应手工检查这些目录和文件).也可用ncheck命令搜索文件系统,但它没有find命令指定搜索哪种文件的功能.

如果定期存取.profile文件,则检查久未登录用户的方法就不奏效了.而用户用su命令时,除非用参数-,否则su不读用户的.profile.

有三种方法可寻找久未登录的帐户:

. UNIX记帐系统在文件/usr/adm/acct/sum/login中为每个用户保留了最后一次登录日期.用这个文件的好处是,该文件由系统维护,所以可完全肯定登录日期是准确的.缺点是必须在系统上运行记帐程序以更新loginlog文件,如果在清晨(午夜后)运行记帐程序,一天的登录日期可能就被清除了.

. /etc/passwd文件中的口令时效域将能告诉系统管理员,用户的口令是否过期了,若过期,则意味着自过期以来,户头再未被用过.这一方法的好处在于系统记录了久未用的户头,检查过程简单,且不需要记帐系统所需要的磁盘资源,缺点是也许系统管理员不想在系统上设置口令时效, 而且这一方法仅在口令的最大有效期(只有几周)才是准确的. 织梦内容管理系统

. 系统管理员可以写一个程序,每天(和重新引导系统时)/etc/wtmp, 自己保留下用户最后登录时间记录,这一方法的好处是不需要记帐程序, 并且时间准确,缺点是要自己写程序.

以上任何方法都可和/usr/adm/sulog文件结合起来,查出由login或su登录户头的最后登录时间. 如果有人存心破坏系统,第一件要做的事就是寻找检查程序.破坏者将修改检查程序,使其不能报告任何异常事件,也可能停止系统记帐,删除记帐文件,使系统管理员不能发现破坏者干了些什么.

(4)系统泄密后怎么办?

发现有人已经破坏了系统安全的时候,这时系统管理员首先应做的是面对肇事用户.如果该用户所做的事不是蓄意的,而且公司没有关于"破坏"的规章,也未造成损坏,则系统管理员只需清理系统,并留心该用户一段时间.如果该用户造成了某些损坏,则应当报告有关人士,并且应尽可能地将系统恢复到原来的状态.
以上就是一为原创分享给大家的传奇私服架设技术安全之管理员必备安全技巧攻略(二)全部内容,如果您没有看过这一系列攻略的第一篇,小编建议您在我们网站上找一下相关的文章,一为这篇攻略是接着上一章的内容整理的。上一章中也有很多非常重要的知识点。
页: [1]
查看完整版本: 传奇架设技术安全之管理员必备安全技巧攻略(二)