(一) COPS — 系统安全检测
COPS 对 Unix 系统进行安全检查。它的主要检测目标有以下几点:
1. 文件 , 目录和设备文件的权限检查。 2. 重要系统文件的内容,格式,和权限检查。 3. 检查是否存在所有者为 root 的 SUID 文件。 4. 对重要系统二进制文件进行 CRC 校验和检查,看其是否被修改过。 5. 对匿名 FTP, Sendmail, tftp 等网络应用进行检查。
值得一提的是, COPS 只是监测工具,并不做实际的修复。
(二) Crack — 口令密码解破
Crack 是最著名的 Unix 系统上破解 UNIX 口令的工具。 Crack 的工作原理很简单。我们知道加密口令是不会被解开的,这是因为加密算法是不可逆的。所以,一般的口令入侵是通过生成口令进行加密去匹配原口令密码,或直接从网上截获明文口令。 Crack 程序中包含了几个很大的字典库,进行解破时它会按照一定的规则将字词进行组合,然后对之进行加密,再与要解破的加密口令匹配。所以 运行 Crack 通常要占用大量的 CPU, 并要运行相当长的时间才结束。 目前最新的版本是 Crack5.0 。
Crack5.0 的安装和使用比较简单,可执行下列几步:
1. 修改 Crack, 修改 CC 之类的参数。
2. 执行 Crack –makeonly 生成可执行代码。
3.执行 Crack –makedict 生成字典。
4.执行 scripts/shadmrg.sv > passwd 将 /etc/passwd 和 /etc/shadow 文件合并。
5.执行 Crack passwd 解破 passwd 中的口令。
6.执行 ./Reporter 查看解破结果。
( 三 ) Sniffer— 网路监听
Sniffer 这个词是指黑客或其他人通过一些软件来截获在网络上传送的包。常用的工具有 traceroute,snoop,Gobbler, tcp-dump, ethload, Netman, Sunsniff 等。
防止 sniffer 有两种办法,加密和分段。比如设置 SSH(Secure Shell) 替换 rlogin 和 telnet 等 , 这样可解决用户名和口令在网络上明文传输的问题。
所谓分段,是根据分段越多,网络信息可靠性越高的原则。因为 IP 报文只能在本子网段上广播。有些单位甚至直接将服务器和交换机联接来保证服务器的安全运行,但这样的做法开销太大,对较小的单位是不可行的。
(四)防火墙 — 对付远程攻击
防火墙的共性是它们都有基于源地址基础上的区分或拒绝某些访问的能力。这里我们介绍几种其实只是具有防火墙功能的软件。目前使用较多的软件有下面两类:
¨ 数据包过滤工具: TCP_Wrappers, NetGate
¨ 应用代理和应用网关: Netscape Proxy , Socks, TIS-FWTK
前面我们已提到, TCP_Wrappers 是通过 IP 地址来控制对服务器的访问,它的主要配置文件有两个: /etc/hosts.allow, /etc/hosts.deny 。而 Netscape Proxy 则可以根据用户帐号来进行访问控制和记帐。
(五)扫描器 Scanner
定义:自动检测远地或本地主机安全性的程序。
原理:扫描 TCP 端口,并记录反馈信息。
意义:发现网络的弱点,促使系统安全。
常见的工具有 : host, traceroute, rusers, finger, showmount , NSS( 网络安全扫描器), Strobe (超级优化 TCP 端口检测程序)及 SATAN 等。
|
