站點(diǎn)主機(jī)安全檔案

第第頁(yè)站點(diǎn)主機(jī)安全檔案ccess、mysql、sshd、nobody等）沒(méi)有自己的shell；檢查有無(wú)帳戶被提升到root權(quán)限（UID0）；

3．運(yùn)行netstat–an|grepLISTEN查看有無(wú)可疑的打開(kāi)的端口；

4．使用ps命令查看系統(tǒng)進(jìn)程，保證只有必要的進(jìn)程在運(yùn)行；

5．檢查被cron運(yùn)行的程序，Solaris一般在/var/spool/cron目錄里，F(xiàn)reebsd一般在/var/cron里，初始化的crontable除root外，其他用戶不應(yīng)擁有；仔細(xì)查看root的crontable；

6．使用vmstat和top查看系統(tǒng)資源占用狀況，對(duì)高資源占用的系統(tǒng)進(jìn)程要做謹(jǐn)慎處理；

7．查看系統(tǒng)日志，包括Solaris下的/var/adm/messages和Freebsd下的/var/log/messages，以發(fā)現(xiàn)有無(wú)可疑的事件發(fā)生；

8．查看系統(tǒng)安全日志，包括用戶登陸嘗試、驗(yàn)證失敗、可疑的IP地址登陸等，在solaris下是/var/log/authlog，freebsd下是/var/log/auth.log；

9．運(yùn)行chkrootkit，以檢查系統(tǒng)是否被植入木馬程序；

10．安裝了Apache的主機(jī)，不定期查看Apache的訪問(wèn)日志和錯(cuò)誤日志，以發(fā)現(xiàn)是否有試圖攻擊WEB的行為。

4．2系統(tǒng)及服務(wù)的穩(wěn)定性

一些重要的服務(wù)器是片刻也不能停的，一旦發(fā)生服務(wù)器down機(jī)事故，而你又沒(méi)有及時(shí)發(fā)現(xiàn)和恢復(fù)，那么你面對(duì)的將是鋪天蓋地的指責(zé)。系統(tǒng)安全管理的任務(wù)也許不是很重，但責(zé)任卻并不輕。因此，你有必要時(shí)刻了解服務(wù)器的存活狀況，一旦發(fā)生down機(jī)事件，你應(yīng)在第一時(shí)間知道。

有些好的IDC機(jī)房有服務(wù)器監(jiān)控系統(tǒng)，一旦某臺(tái)機(jī)器down掉，它會(huì)發(fā)出警報(bào)。然后機(jī)房的值班人員會(huì)電話通知你，這樣你就能從容的處理事故。然而，并非所有的機(jī)房都有這樣的措施，很多時(shí)候還得依靠自己的小心。

在機(jī)房網(wǎng)絡(luò)中，應(yīng)該有一它網(wǎng)管機(jī)器，這臺(tái)機(jī)器最好是Unix系統(tǒng)，因?yàn)槟憧梢栽谏厦婢帉?xiě)腳本來(lái)監(jiān)控網(wǎng)絡(luò)，并通過(guò)sendmail發(fā)送郵件給自己。這臺(tái)機(jī)器可以是一臺(tái)服務(wù)器，象前面講過(guò)的登陸入口服務(wù)器，就完全可以充當(dāng)網(wǎng)管機(jī)；也可以是一臺(tái)配置很低的普通PC，能運(yùn)行Linux或Freebsd就可以了。有必要在上面運(yùn)行sendmail，因?yàn)樗獙?duì)外發(fā)送郵件。當(dāng)然，sendmail有一些安全問(wèn)題，因此在運(yùn)行它之前，你必須確認(rèn)服務(wù)器處于安全的網(wǎng)絡(luò)：在防火墻之后，且同一網(wǎng)段中沒(méi)有其他公司的服務(wù)器。否則，就不要運(yùn)行它。當(dāng)然，你也可以配置sendmail綁定在端口，不接受網(wǎng)絡(luò)請(qǐng)求（在Linux默認(rèn)安裝的sendmail不接受網(wǎng)絡(luò)請(qǐng)求，F(xiàn)reebsd中可以在rc.conf文件中設(shè)置使sendmail綁定在端口），這樣的sendmail會(huì)安全很多。

然后你可以寫(xiě)一個(gè)簡(jiǎn)單的腳本來(lái)監(jiān)控網(wǎng)絡(luò)主機(jī)生存狀況。在Unix主機(jī)上，使用shell或perl都很容易編寫(xiě)腳本，但是，shell腳本用于系統(tǒng)管理更簡(jiǎn)單明了，除非你要進(jìn)行復(fù)雜的數(shù)學(xué)計(jì)算或文本處理。如下這個(gè)shell腳本很簡(jiǎn)單，卻很實(shí)用：

#!/bin/sh

#scriptname:nping

#usethisscripttoconfirmthehostsarealiveornot

HOST01="xxx.xxx.xxx.xxx"

HOST02="xxx.xxx.xxx.xxx"

HOST03="xxx.xxx.xxx.xxx"

HOST04="xxx.xxx.xxx.xxx"

HOST05="xxx.xxx.xxx.xxx"

HOST06="xxx.xxx.xxx.xxx"

HOST07="xxx.xxx.xxx.xxx"

HOST08="xxx.xxx.xxx.xxx"

HOST09="xxx.xxx.xxx.xxx"

HOST10="xxx.xxx.xxx.xxx"

forLOOPin$HOST01$HOST02$HOST03$HOST04$HOST05$HOST06$HOST07$HOST08$HOST09$HOST10

do

if！/sbin/ping-c2$LOOP/dev/null21;then

echo"Warning:Thehost$LOOPseemsdown"error.log

fi

done

if[-ferror.log];then

caterror.log|mail-s"Warning:HostDown"下載最新版本）。它的使用很簡(jiǎn)單，安裝完成后直接在命令行下執(zhí)行：nmapIP，就可以得到目標(biāo)主機(jī)的開(kāi)放TCP端口狀況。當(dāng)然，Nmap的功能遠(yuǎn)不止如此，它還可以執(zhí)行UDP、SYN、FIN、RPC等掃描，它的半開(kāi)放掃描可繞過(guò)防火墻的過(guò)濾，并可根據(jù)操作系統(tǒng)指紋判斷目標(biāo)系統(tǒng)類型。在這里只要利用到Nmap的TCP掃描就夠了。然后，你可以編寫(xiě)一個(gè)腳本來(lái)定期檢測(cè)服務(wù)器的開(kāi)放端口狀況，并將結(jié)果Email給管理員。我編寫(xiě)的如下：

#!/bin/sh

#scriptname:nscan

#usethisscripttochecktheservicesstatusonlocalservers

HOST01="xxx.xxx.xxx.xxx"

HOST02="xxx.xxx.xxx.xxx"

HOST03="xxx.xxx.xxx.xxx"

HOST04="xxx.xxx.xxx.xxx"

HOST05="xxx.xxx.xxx.xxx"

HOST06="xxx.xxx.xxx.xxx"

HOST07="xxx.xxx.xxx.xxx"

SQL_PORT="2433/tcp"

MSRDP_PORT="3389/tcp"

PCANYWH_PORT="5631/tcp"

forLOOPin$HOST01$HOST02$HOST03$HOST04$HOST05$HOST06$HOST07

do

nmap-sT$LOOPnmap.tmp21

forPORTin$SQL_PORT$MSRDP_PORT$PCANYWH_PORT

do

if!grep$PORTnmap.tmp/dev/null21;then

echo“Warning:Theport$PORTisseemtodownon$LOOP”$LOOP.error

fi

done

if[!-f$LOOP.error];then

echo"Theservicesrunningon$LOOParenomal!"

else

cat$LOOP.errornscan.err21

rm-rf$LOOP.error

fi

rm-rfnmap.tmp

done

if[-fnscan.err];then

catnscan.err|mail–s“HostServicesDown”yourname@

rm–rfnscan.err

fi

該腳本只是判斷MSSQLServer、MS終端服務(wù)和Pcanywhere服務(wù)是否正常，如果不正常，就向管理員發(fā)送郵件報(bào)警。如果你需要檢查其他的服務(wù)端口，修改該腳本即可。

你也可以配置任務(wù)來(lái)定期執(zhí)行該腳本，不過(guò)請(qǐng)注意，Nmap掃描會(huì)影響網(wǎng)絡(luò)，因此檢測(cè)的時(shí)間間距不要太小。當(dāng)然，在Unix系統(tǒng)下，有好些方法可以判斷目標(biāo)系統(tǒng)的開(kāi)放端口狀況，但使用Nmap掃描看起來(lái)也不錯(cuò)。

4．3日志管理

不管是Windows系統(tǒng)還是Unix系統(tǒng)，都有自己的事件日志。在Windows下使用事件查看器可以清楚的了解系統(tǒng)運(yùn)行的各項(xiàng)狀態(tài)，它包括應(yīng)用程序日志、安全日志和系統(tǒng)日志。你應(yīng)經(jīng)常閱讀這些日志，尤其是一些紅色標(biāo)記的錯(cuò)誤信息。根據(jù)這些錯(cuò)誤提示發(fā)現(xiàn)問(wèn)題和解決問(wèn)題是Windows系統(tǒng)管理員應(yīng)做的事。

如果服務(wù)器不加入域，那么一般來(lái)說(shuō)系統(tǒng)錯(cuò)誤信息很少；如果在機(jī)房的服務(wù)器組成一個(gè)域，那么從日志里可能會(huì)經(jīng)?？吹礁鞣N錯(cuò)誤提示，尤其是在域控制器有問(wèn)題的時(shí)候。管理好一個(gè)域不是一件太容易的事，它憑空給系統(tǒng)管理員增加很多困難。如果你真碰到這樣的問(wèn)題，建議你到google上面去查找答案，一般來(lái)說(shuō)，你碰到的問(wèn)題別人肯定也遇見(jiàn)過(guò)了，因特網(wǎng)上有很多熱心的人愿意解答困難者的問(wèn)題（尤其是國(guó)外的技術(shù)站點(diǎn)）。

讀Windows的日志不浪費(fèi)你太多精神，因?yàn)樗挤珠T(mén)別類整理得很清楚，有什么錯(cuò)誤能一目了然的看出來(lái)。每天快速翻一下它的日志是可行的，如果你的服務(wù)器磁盤(pán)有壞道，也能從日志里體現(xiàn)出來(lái)，為你及早更換磁盤(pán)、避免數(shù)據(jù)災(zāi)難贏得了時(shí)間。

在Unix系統(tǒng)下，讀日志要費(fèi)勁一些，因?yàn)閁nix系統(tǒng)通常把一些通用的日志信息寫(xiě)到messages文件里，導(dǎo)致這個(gè)文件里雜七雜八什么都有，包括應(yīng)用程序信息、用戶驗(yàn)證信息、網(wǎng)絡(luò)連接信息、內(nèi)核信息等等，在瀏覽它們時(shí)比較費(fèi)勁。然而，這不意味著你可以不管它們。實(shí)際上，日志文件是系統(tǒng)偵錯(cuò)時(shí)的唯一依據(jù)。某天你的Unix系統(tǒng)崩潰了，在居喪之余，不要忘了去分析它的日志，或許可以為你找到原因。

在Unix系統(tǒng)下，有一個(gè)日志分析軟件叫Swatch，它能很好的幫你裁減和分析日志，減輕系統(tǒng)管理員的負(fù)擔(dān)。關(guān)于它的安裝和使用我不在這里詳敘，因?yàn)槲易约翰](méi)有使用它。我自己編寫(xiě)腳本用于查看日志，使用awk語(yǔ)句照樣能將日志文件裁減到合理的程度。這個(gè)腳本的樣式我不在這里描述，因?yàn)椴煌南到y(tǒng)和網(wǎng)絡(luò)環(huán)境所產(chǎn)生的條件并不一樣。

在UNIX系統(tǒng)下，另外一個(gè)日志文件也很值得關(guān)注，它記載了用戶的登陸和驗(yàn)證信息，該文件一般位于/var/log下，名為authlog或者auth.log，只有root才可以對(duì)它進(jìn)行讀寫(xiě)。

如果系統(tǒng)中安裝了Apache，那么經(jīng)常查看Apache的錯(cuò)誤日志和訪問(wèn)日志也值得推薦。從這兩個(gè)日志里，你可以發(fā)現(xiàn)很多有趣信息，因特網(wǎng)上對(duì)WEB站點(diǎn)的攻擊從來(lái)沒(méi)有終止過(guò)（從這里也可以找到大量試圖攻擊IIS的信息）。

4．4用戶管理

用戶管理通常是指系統(tǒng)的用戶帳戶管理，不管是UNIX系統(tǒng)還是Windows系統(tǒng)，帳戶安全是系統(tǒng)安全的關(guān)鍵。系統(tǒng)中應(yīng)保持固定數(shù)量的用戶帳戶，作為系統(tǒng)管理員，應(yīng)清楚每一個(gè)帳戶的使用者和用途。用戶新申請(qǐng)帳戶應(yīng)該有個(gè)流程，規(guī)范的管理總比不規(guī)范好。

在Unix系統(tǒng)上，大多數(shù)系統(tǒng)帳戶平時(shí)是沒(méi)什么用的，包括：bindaemonadmlpmailnewsuucpoperatorgamesgopherrpc等，如果你不把它們刪除，那么也不要讓它們擁有真正的shell，檢查/etc/passwd文件，看看這些帳戶的最后一個(gè)域（shell）是否被置/sbin/nologin或/bin/false。經(jīng)常檢查帳戶的權(quán)限，普通帳戶不應(yīng)該在root組（gid=0），更不應(yīng)擁有root權(quán)限（uid=0）?？梢詫?xiě)一個(gè)腳本來(lái)替你檢查，如下所示：

#!/bin/sh

#scriptname:checkuser

#checkifthereisanyuserwhohaverealshellorhaverootid/gid

FILE=/etc/passwd

NUM=0

whilereadLINE

do

NUM=`expr$NUM+1`

if[$NUM-lt3];then

continue

fi

USER=`echo$LINE|cut-d:-f1`

USER_SHELL=`echo$LINE|cut-d:-f7`

USER_UID=`echo$LINE|cut-d:-f3`

USER_GID=`echo$LINE|cut-d:-f4`

if["$USER_SHELL"!="/sbin/nologin"];then

echo-e"\n$USERhasonerealshell:$USER_SHELL"

fi

if[$USER_UID-eq0];then

echo"$USERhastherootuid(uid0)"

fi

if[$USER_GID-eq0];then

echo"$USERhastherootgid(gid0)"

fi

done$FILE

這個(gè)腳本運(yùn)行在Freebsd下，F(xiàn)reebsd的/etc/passwd文件前兩行是版本說(shuō)明，所以在程序里把它跳過(guò)，從第三行起挨個(gè)檢查用戶帳號(hào)，它將每一個(gè)擁有真正shell或者擁有root用戶ID或組ID的帳號(hào)在屏幕上打印出來(lái)。

同樣，在Windows服務(wù)器上，如果不運(yùn)行IIS服務(wù)，那么把IIS相關(guān)的帳號(hào)禁止掉，把終端服務(wù)帳號(hào)禁止掉，把guest帳號(hào)禁止掉。Windows系統(tǒng)的管理員組除了Administrator外不要有其他帳號(hào)，甚至應(yīng)該把Administrator帳號(hào)改名。每一個(gè)帳號(hào)在帳號(hào)描述里說(shuō)明它的用途。如果Windows服務(wù)器采用域的方式，那么應(yīng)確保域中有盡可能少的用戶。一般域中兩個(gè)用戶就夠了