Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1833613
  • 博文数量: 116
  • 博客积分: 9934
  • 博客等级: 上将
  • 技术积分: 1881
  • 用 户 组: 普通用户
  • 注册时间: 2006-04-22 09:16
文章分类

全部博文(116)

文章存档

2007年(43)

2006年(73)

我的朋友

分类: 网络与安全

2006-04-30 10:24:13

 
 

 

一、       Solaris 安全初始化快照............................................................................... 1

二、       solaris系统应急处理工作包......................................................................... 8

1.    系统基本命令.............................................................................................. 8

2.    其它工具软件.............................................................................................. 9

3.    工具下载地址:........................................................................................... 10

三、       solaris系统初步检测技术规范.................................................................... 10

1.    系统检测技术规范..................................................................................... 10

2.    检测典型案例............................................................................................ 11

四、       solaris系统高级检测技术规范.................................................................... 13

1.    Solaris高级检测技术规范........................................................................... 13

2.    高级检测技术案例..................................................................................... 14

 

 

 

 

安全初始化快照

Solaris8为例:

1)所有setuidsetgid的文件列表

命令:  # find / -type f \( -perm -04000 -o -perm -02000 \) –print

查找系统中所有的带有suid位和sgid位的文件

2)所有的隐藏文件列表

命令:  # find / -name ".*" –print

查找所有以”.”开头的文件并打印出路径

3)初始化进程列表

命令:  # ps –ef

说明:

UID:   进程所有者的用户id

PID:   进程id

PPID:  父进程的进程id

C:     CPU占用率

STIME: 以小时、分和秒表示的进程启动时间

TIME:  进程自从启动以后占用CPU的全部时间

CMD:  生成进程的命令名

4)开放的端口列表

命令:  # netstat -an

5) 开放的服务列表

命令:  # cat /etc/inetd.conf

6) 初始化passwd文件

命令:  # cat /etc/passwd

说明:  如果发现一些系统帐号(bin, sys)加上了shell部分,就说明有问题, 下面是正常的passwd文件,binsysadm等系统帐号没有shell.

bin:x:2:2::/usr/bin:

sys:x:3:3::/:

adm:x:4:4:Admin:/var/adm:

7) 初始化shadow文件

命令:  # cat /etc/shadow

说明:  如果发现某些系统帐号的密码被更改, 或者不可登录的用户有密码, 就说明该帐号有问题。

sys: CVLoXsQvCgK62:6445::::::

adm: CVLoXsQvCgK62:6445::::::

8) 初始化的不能ftp登陆的用户

命令:  # cat ftpusers

说明:  在这个列表里边的用户名是不允许ftp登陆的。如果列表改变了,有可能是被入侵者改动过。

root

daemon

bin

sys

adm

lp

uucp

nuucp

listen

nobody

noaccess

nobody4

9) 初始化的用户组

命令:  # cat /etc/group

说明:  这是系统用户的分组情况

root::0:root

other::1:

bin::2:root,bin,daemon

sys::3:root,bin,sys,adm

adm::4:root,adm,daemon

uucp::5:root,uucp

mail::6:root

tty::7:root,tty,adm

lp::8:root,lp,adm

nuucp::9:root,nuucp

staff::10:

daemon::12:root,daemon

sysadmin::14:

nobody::60001:

noaccess::60002:

nogroup::65534:

10) 初始化的 %

阅读(3019) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~