作者 主題: [文件]Linux 系統安全  (閱讀 12592 次)

0 會員 與 1 訪客 正在閱讀本文。

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17465
    • 檢視個人資料
    • http://www.study-area.org
[文件]Linux 系統安全
« 於: 2002-07-08 13:28 »
這是臺中縣外埔國小舉辦的 Linux 系統安全研討之研習資料﹐主要從觀念和實作上為學員們提供一些正確的安全觀念和技巧。同時也希望本文讀者能從文中活動啟發﹐以加強自身的系統安全。更希望所有先進幫忙指正。

http://www.study-area.org/tips/security.txt

duncanlo

  • SA 苦力組
  • 俺是博士!
  • *****
  • 文章數: 7312
    • 檢視個人資料
[文件]Linux 系統安全
« 回覆 #1 於: 2002-07-08 13:53 »
為何我看起來全連在一起,
都沒有跳行...

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17465
    • 檢視個人資料
    • http://www.study-area.org
[文件]Linux 系統安全
« 回覆 #2 於: 2002-07-08 14:50 »
哦~~ 那我改一下好了~~

多謝回報﹗

duncanlo

  • SA 苦力組
  • 俺是博士!
  • *****
  • 文章數: 7312
    • 檢視個人資料
[文件]Linux 系統安全
« 回覆 #3 於: 2002-07-08 16:25 »
OK了...

protech

  • 活潑的大學生
  • ***
  • 文章數: 322
  • 性別: 男
    • 檢視個人資料
[文件]Linux 系統安全
« 回覆 #4 於: 2002-07-08 18:57 »
還好~~

不素偶的 ie 有問題 ....

早上一開都是亂碼 , 還以為素我的電腦又要重灌咧 ..... :oops:

不過我早上用 opera 開就沒問題 ...

felix

  • 可愛的小學生
  • *
  • 文章數: 1
    • 檢視個人資料
[文件]Linux 系統安全
« 回覆 #5 於: 2002-10-05 19:56 »
請問:
我看到 CHKROOTKIT 這一段,
是否 netman 少寫了一行 make 的指令?
因為我執行之後,最後會出現:
Checking `lkm'... not tested: can't exec ./chkproc
Checking `rexedcs'... not found
Checking `sniffer'... not tested: can't exec ./ifpromisc
Checking `wted'... not tested: can't exec ./chkwtmp
Checking `z2'... not tested: can't exec ./chklastlog

我看了其中的的 README 檔之後,
發現應該是要做 make sense ,不知是否正確?
謝謝

mimeory

  • 訪客
[文件]Linux 系統安全
« 回覆 #6 於: 2002-10-05 20:31 »
沒有錯,要做make sense

x24514746

  • 懷疑的國中生
  • **
  • 文章數: 52
    • 檢視個人資料
疑惑
« 回覆 #7 於: 2002-10-13 20:11 »
修改 crontab 進行檢查:
   # cat > /etc/cron.daily/chk_suid.sh   -------照打營目就停在那不動了
   
        #!/bin/bash ---------------這程式是要打到那個檔案/??
   ORIG_LIST=/root/suid.list
   NEW_LIST=/root/suid.new
   echo
   find / -perm +u+s -exec ls -l {} \; > $NEW_LIST
   if diff $ORIG_LIST $NEW_LIST

   then
           echo "Looks fine: no new suid files found."
   else
           echo "WARNING: new suid files found!"
   fi
   echo
   echo大大這為什要echo ??//
   ^D=========是結術來是要打crtl+d ??/

以上是小弟不會之地方
請大大解惑一下.......謝謝..

梁楓

  • 俺是博士!
  • *****
  • 文章數: 6220
    • 檢視個人資料
Re: 疑惑
« 回覆 #8 於: 2002-10-13 20:16 »
引述: "x24514746"
修改 crontab 進行檢查:
   # cat > /etc/cron.daily/chk_suid.sh         #!/bin/bash ---------------這程式是要打到那個檔案/??
   ORIG_LIST=/root/suid.list


以上是小弟不會之地方
請大大解惑一下.......謝謝..


您要不要重開一下 cat的語法?
cat > 那行後,就是接著打#!(含)下的東西
ctrl+D就是儲存

x24514746

  • 懷疑的國中生
  • **
  • 文章數: 52
    • 檢視個人資料
你好
« 回覆 #9 於: 2002-10-13 20:59 »
我把它打到 /etc/cron.daiily/chk_suid.sh 裡去
#!/bin/bash
   ORIG_LIST=/root/suid.list
   NEW_LIST=/root/suid.new
   echo
   find / -perm +u+s -exec ls -l {} \; > $NEW_LIST
   if diff $ORIG_LIST $NEW_LIST
   then
           echo "Looks fine: no new suid files found."
   else
           echo "WARNING: new suid files found!"
   fi
   echo
   echo ......這還是不明白為何echo 要兩個
chmod +x /etc/cron.daily/chk_suid.sh
   # /etc/cron.daily/chk_suid.sh
  * 提示: 該結果每天會 email 到 root 的信箱。
怎樣才市被入侵了呢
大大可以寫個例子嗎
我地一次跑有 find: /proc/6066/id/4 =====>沒有此檔案????不了解
第二次就沒有了
好奇怪喔....

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17465
    • 檢視個人資料
    • http://www.study-area.org
[文件]Linux 系統安全
« 回覆 #10 於: 2002-10-13 21:25 »
1) 你有每天看 root email 的習慣嗎?
2) 是否發現 cron 丟出來的 email ?
3) 是否發現沒 echo 的 cront email 都連在一塊?
4) 最後,要問:下面的網頁完成了多少?有哪部份不明白?
http://www.study-area.org/linux/system/linux_system.htm

x24514746

  • 懷疑的國中生
  • **
  • 文章數: 52
    • 檢視個人資料
snort
« 回覆 #11 於: 2002-10-19 00:41 »
1.下載所需檔案
安裝snort需要用到libpcap,故請自行下載最新的libpcap及snort,
此安裝說明使用的版本是:
snort-1.6.tar.gz(亦可使用rpm版,snort-1.6-0.i386.rpm)
libpcap.tar.Z(目前最新為0.4版)

2.進行安裝
首先,先將libpcap裝起來:
# tar zxvf libpcap.tar.Z (將libpcap.tar.Z解壓縮)
# cd libpcap-0.4 (到libpcap目錄下)
# cp Makefile.in Makefile
# ./configure
# make
# make install
# make install-incl (某些情況下,若發生error,你可能必須自己建目錄)
# make install-man
# make clean

再來安裝snort:
# tar zxvf snort-1.6.tar.gz
# cd snort-1.6
# ./configure
# make
# make install
# make clean

3.啟動snort

首先,snort安裝好後,你可以下 snort -v 指令來看看snort是否可正常運行.
其次,在snort目錄下有一個snort-lib檔,這是default的主要設定檔,
你可以看一下裡面內容並做適當的修改,這個檔案會去include其他的設定檔,
同樣的,你也可以適當的去修改這些檔案,不過你得先弄懂snort的規則!

我的啟動方法是:
 cd snort-1.6
 snort  -c snort-lib
.....start run
initalizing network interface
...........
.............keyword     |  perprocessor 偵測網路上的異常封包還是解碼????
         http_decode   :   0x1234567

-c (指定snort依snort-lib設定檔的設定運行)

我的snort-lib設定如下
-------------------------------------------------------------------------
preprocessor http_decode: 80 8080
preprocessor minfrag: 128
var HOME_NET xx.xx.xx.xx/xx (請填自己想偵測的網域)
preprocessor portscan: $HOME_NET 7 2 /var/log/snort/portscan.log
preprocessor portscan-ignorehosts: $HOME_NET
include web-lib
include overflow-lib
include misc-lib
include scan-lib
include backdoor-lib
alert icmp !$HOME_NET any -> $HOME_NET any (ipopts: lsrr; msg: "Source routed packet";)
alert icmp !$HOME_NET any -> $HOME_NET any (ipopts: ssrr; msg: "Source routed packet";)
alert tcp !$HOME_NET any -> $HOME_NET any (ipopts: lsrr; msg: "Source routed packet";)
alert tcp !$HOME_NET any -> $HOME_NET any (ipopts: ssrr; msg: "Source routed packet";)
alert udp !$HOME_NET any -> $HOME_NET any (ipopts: lsrr; msg: "Source routed packet";)
alert udp !$HOME_NET any -> $HOME_NET any (ipopts: ssrr; msg: "Source routed packet";)

alert tcp any any -> $HOME_NET 6667 (flags: PA; content: "USER "; nocase; offset:0; depth:5; content: " "; offset:11; depth:
1; content: " "; offset: 18; depth:1; content: " :"; offset: 26; depth: 2; msg: "PrettyPark activity!";)
----------------------------------------------------------------------------

如此一來,snort就會把偵測到的警告訊息存到/var/log/snort.alert及/var/log/snort/下,
接下來,就看你如何運用了!!   =================>可是沒有var/log/snort.alert及/var/log/snort/