分类: 网络与安全
2006-04-30 10:24:13
一、 Solaris 安全初始化快照............................................................................... 1
二、 solaris系统应急处理工作包......................................................................... 8
1. 系统基本命令.............................................................................................. 8
2. 其它工具软件.............................................................................................. 9
3. 工具下载地址:........................................................................................... 10
三、 solaris系统初步检测技术规范.................................................................... 10
1. 系统检测技术规范..................................................................................... 10
2. 检测典型案例............................................................................................ 11
四、 solaris系统高级检测技术规范.................................................................... 13
1. Solaris高级检测技术规范........................................................................... 13
2. 高级检测技术案例..................................................................................... 14
以Solaris8为例:
1)所有setuid和setgid的文件列表
命令: # find / -type f \( -perm -04000 -o -perm -02000 \) –print
查找系统中所有的带有suid位和sgid位的文件
2)所有的隐藏文件列表
命令: # find / -name ".*" –print
查找所有以”.”开头的文件并打印出路径
3)初始化进程列表
命令: # ps –ef
说明:
UID: 进程所有者的用户id
PID: 进程id
PPID: 父进程的进程id
C: CPU占用率
STIME: 以小时、分和秒表示的进程启动时间
TIME: 进程自从启动以后占用CPU的全部时间
CMD: 生成进程的命令名
4)开放的端口列表
命令: # netstat -an
5) 开放的服务列表
命令: # cat /etc/inetd.conf
6) 初始化passwd文件
命令: # cat /etc/passwd
说明: 如果发现一些系统帐号(如bin, sys)加上了shell部分,就说明有问题, 下面是正常的passwd文件,bin、sys、adm等系统帐号没有shell.
bin:x:2:2::/usr/bin:
sys:x:3:3::/:
adm:x:4:4:Admin:/var/adm:
7) 初始化shadow文件
命令: # cat /etc/shadow
说明: 如果发现某些系统帐号的密码被更改, 或者不可登录的用户有密码, 就说明该帐号有问题。
sys: CVLoXsQvCgK62:6445::::::
adm: CVLoXsQvCgK62:6445::::::
8) 初始化的不能ftp登陆的用户
命令: # cat ftpusers
说明: 在这个列表里边的用户名是不允许ftp登陆的。如果列表改变了,有可能是被入侵者改动过。
root
daemon
bin
sys
adm
lp
uucp
nuucp
listen
nobody
noaccess
nobody4
9) 初始化的用户组
命令: # cat /etc/group
说明: 这是系统用户的分组情况
root::0:root
other::1:
bin::2:root,bin,daemon
sys::3:root,bin,sys,adm
adm::4:root,adm,daemon
uucp::5:root,uucp
mail::6:root
tty::7:root,tty,adm
lp::8:root,lp,adm
nuucp::9:root,nuucp
staff::10:
daemon::12:root,daemon
sysadmin::14:
nobody::60001:
noaccess::60002:
nogroup::65534:
10) 初始化的 %
