站點主機安全檔案

第第頁站點主機安全檔案ccess、mysql、sshd、nobody等）沒有自己的shell；檢查有無帳戶被提升到root權限（UID0）；

3．運行netstat–an|grepLISTEN查看有無可疑的打開的端口；

4．使用ps命令查看系統(tǒng)進程，保證只有必要的進程在運行；

5．檢查被cron運行的程序，Solaris一般在/var/spool/cron目錄里，F(xiàn)reebsd一般在/var/cron里，初始化的crontable除root外，其他用戶不應擁有；仔細查看root的crontable；

6．使用vmstat和top查看系統(tǒng)資源占用狀況，對高資源占用的系統(tǒng)進程要做謹慎處理；

7．查看系統(tǒng)日志，包括Solaris下的/var/adm/messages和Freebsd下的/var/log/messages，以發(fā)現(xiàn)有無可疑的事件發(fā)生；

8．查看系統(tǒng)安全日志，包括用戶登陸嘗試、驗證失敗、可疑的IP地址登陸等，在solaris下是/var/log/authlog，freebsd下是/var/log/auth.log；

9．運行chkrootkit，以檢查系統(tǒng)是否被植入木馬程序；

10．安裝了Apache的主機，不定期查看Apache的訪問日志和錯誤日志，以發(fā)現(xiàn)是否有試圖攻擊WEB的行為。

4．2系統(tǒng)及服務的穩(wěn)定性

一些重要的服務器是片刻也不能停的，一旦發(fā)生服務器down機事故，而你又沒有及時發(fā)現(xiàn)和恢復，那么你面對的將是鋪天蓋地的指責。系統(tǒng)安全管理的任務也許不是很重，但責任卻并不輕。因此，你有必要時刻了解服務器的存活狀況，一旦發(fā)生down機事件，你應在第一時間知道。

有些好的IDC機房有服務器監(jiān)控系統(tǒng)，一旦某臺機器down掉，它會發(fā)出警報。然后機房的值班人員會電話通知你，這樣你就能從容的處理事故。然而，并非所有的機房都有這樣的措施，很多時候還得依靠自己的小心。

在機房網絡中，應該有一它網管機器，這臺機器最好是Unix系統(tǒng)，因為你可以在上面編寫腳本來監(jiān)控網絡，并通過sendmail發(fā)送郵件給自己。這臺機器可以是一臺服務器，象前面講過的登陸入口服務器，就完全可以充當網管機；也可以是一臺配置很低的普通PC，能運行Linux或Freebsd就可以了。有必要在上面運行sendmail，因為它要對外發(fā)送郵件。當然，sendmail有一些安全問題，因此在運行它之前，你必須確認服務器處于安全的網絡：在防火墻之后，且同一網段中沒有其他公司的服務器。否則，就不要運行它。當然，你也可以配置sendmail綁定在端口，不接受網絡請求（在Linux默認安裝的sendmail不接受網絡請求，F(xiàn)reebsd中可以在rc.conf文件中設置使sendmail綁定在端口），這樣的sendmail會安全很多。

然后你可以寫一個簡單的腳本來監(jiān)控網絡主機生存狀況。在Unix主機上，使用shell或perl都很容易編寫腳本，但是，shell腳本用于系統(tǒng)管理更簡單明了，除非你要進行復雜的數(shù)學計算或文本處理。如下這個shell腳本很簡單，卻很實用：

#!/bin/sh

#scriptname:nping

#usethisscripttoconfirmthehostsarealiveornot

HOST01="xxx.xxx.xxx.xxx"

HOST02="xxx.xxx.xxx.xxx"

HOST03="xxx.xxx.xxx.xxx"

HOST04="xxx.xxx.xxx.xxx"

HOST05="xxx.xxx.xxx.xxx"

HOST06="xxx.xxx.xxx.xxx"

HOST07="xxx.xxx.xxx.xxx"

HOST08="xxx.xxx.xxx.xxx"

HOST09="xxx.xxx.xxx.xxx"

HOST10="xxx.xxx.xxx.xxx"

forLOOPin$HOST01$HOST02$HOST03$HOST04$HOST05$HOST06$HOST07$HOST08$HOST09$HOST10

do

if！/sbin/ping-c2$LOOP/dev/null21;then

echo"Warning:Thehost$LOOPseemsdown"error.log

fi

done

if[-ferror.log];then

caterror.log|mail-s"Warning:HostDown"下載最新版本）。它的使用很簡單，安裝完成后直接在命令行下執(zhí)行：nmapIP，就可以得到目標主機的開放TCP端口狀況。當然，Nmap的功能遠不止如此，它還可以執(zhí)行UDP、SYN、FIN、RPC等掃描，它的半開放掃描可繞過防火墻的過濾，并可根據(jù)操作系統(tǒng)指紋判斷目標系統(tǒng)類型。在這里只要利用到Nmap的TCP掃描就夠了。然后，你可以編寫一個腳本來定期檢測服務器的開放端口狀況，并將結果Email給管理員。我編寫的如下：

#!/bin/sh

#scriptname:nscan

#usethisscripttochecktheservicesstatusonlocalservers

HOST01="xxx.xxx.xxx.xxx"

HOST02="xxx.xxx.xxx.xxx"

HOST03="xxx.xxx.xxx.xxx"

HOST04="xxx.xxx.xxx.xxx"

HOST05="xxx.xxx.xxx.xxx"

HOST06="xxx.xxx.xxx.xxx"

HOST07="xxx.xxx.xxx.xxx"

SQL_PORT="2433/tcp"

MSRDP_PORT="3389/tcp"

PCANYWH_PORT="5631/tcp"

forLOOPin$HOST01$HOST02$HOST03$HOST04$HOST05$HOST06$HOST07

do

nmap-sT$LOOPnmap.tmp21

forPORTin$SQL_PORT$MSRDP_PORT$PCANYWH_PORT

do

if!grep$PORTnmap.tmp/dev/null21;then

echo“Warning:Theport$PORTisseemtodownon$LOOP”$LOOP.error

fi

done

if[!-f$LOOP.error];then

echo"Theservicesrunningon$LOOParenomal!"

else

cat$LOOP.errornscan.err21

rm-rf$LOOP.error

fi

rm-rfnmap.tmp

done

if[-fnscan.err];then

catnscan.err|mail–s“HostServicesDown”yourname@

rm–rfnscan.err

fi

該腳本只是判斷MSSQLServer、MS終端服務和Pcanywhere服務是否正常，如果不正常，就向管理員發(fā)送郵件報警。如果你需要檢查其他的服務端口，修改該腳本即可。

你也可以配置任務來定期執(zhí)行該腳本，不過請注意，Nmap掃描會影響網絡，因此檢測的時間間距不要太小。當然，在Unix系統(tǒng)下，有好些方法可以判斷目標系統(tǒng)的開放端口狀況，但使用Nmap掃描看起來也不錯。

4．3日志管理

不管是Windows系統(tǒng)還是Unix系統(tǒng)，都有自己的事件日志。在Windows下使用事件查看器可以清楚的了解系統(tǒng)運行的各項狀態(tài)，它包括應用程序日志、安全日志和系統(tǒng)日志。你應經常閱讀這些日志，尤其是一些紅色標記的錯誤信息。根據(jù)這些錯誤提示發(fā)現(xiàn)問題和解決問題是Windows系統(tǒng)管理員應做的事。

如果服務器不加入域，那么一般來說系統(tǒng)錯誤信息很少；如果在機房的服務器組成一個域，那么從日志里可能會經?？吹礁鞣N錯誤提示，尤其是在域控制器有問題的時候。管理好一個域不是一件太容易的事，它憑空給系統(tǒng)管理員增加很多困難。如果你真碰到這樣的問題，建議你到google上面去查找答案，一般來說，你碰到的問題別人肯定也遇見過了，因特網上有很多熱心的人愿意解答困難者的問題（尤其是國外的技術站點）。

讀Windows的日志不浪費你太多精神，因為它都分門別類整理得很清楚，有什么錯誤能一目了然的看出來。每天快速翻一下它的日志是可行的，如果你的服務器磁盤有壞道，也能從日志里體現(xiàn)出來，為你及早更換磁盤、避免數(shù)據(jù)災難贏得了時間。

在Unix系統(tǒng)下，讀日志要費勁一些，因為Unix系統(tǒng)通常把一些通用的日志信息寫到messages文件里，導致這個文件里雜七雜八什么都有，包括應用程序信息、用戶驗證信息、網絡連接信息、內核信息等等，在瀏覽它們時比較費勁。然而，這不意味著你可以不管它們。實際上，日志文件是系統(tǒng)偵錯時的唯一依據(jù)。某天你的Unix系統(tǒng)崩潰了，在居喪之余，不要忘了去分析它的日志，或許可以為你找到原因。

在Unix系統(tǒng)下，有一個日志分析軟件叫Swatch，它能很好的幫你裁減和分析日志，減輕系統(tǒng)管理員的負擔。關于它的安裝和使用我不在這里詳敘，因為我自己并沒有使用它。我自己編寫腳本用于查看日志，使用awk語句照樣能將日志文件裁減到合理的程度。這個腳本的樣式我不在這里描述，因為不同的系統(tǒng)和網絡環(huán)境所產生的條件并不一樣。

在UNIX系統(tǒng)下，另外一個日志文件也很值得關注，它記載了用戶的登陸和驗證信息，該文件一般位于/var/log下，名為authlog或者auth.log，只有root才可以對它進行讀寫。

如果系統(tǒng)中安裝了Apache，那么經常查看Apache的錯誤日志和訪問日志也值得推薦。從這兩個日志里，你可以發(fā)現(xiàn)很多有趣信息，因特網上對WEB站點的攻擊從來沒有終止過（從這里也可以找到大量試圖攻擊IIS的信息）。

4．4用戶管理

用戶管理通常是指系統(tǒng)的用戶帳戶管理，不管是UNIX系統(tǒng)還是Windows系統(tǒng)，帳戶安全是系統(tǒng)安全的關鍵。系統(tǒng)中應保持固定數(shù)量的用戶帳戶，作為系統(tǒng)管理員，應清楚每一個帳戶的使用者和用途。用戶新申請帳戶應該有個流程，規(guī)范的管理總比不規(guī)范好。

在Unix系統(tǒng)上，大多數(shù)系統(tǒng)帳戶平時是沒什么用的，包括：bindaemonadmlpmailnewsuucpoperatorgamesgopherrpc等，如果你不把它們刪除，那么也不要讓它們擁有真正的shell，檢查/etc/passwd文件，看看這些帳戶的最后一個域（shell）是否被置/sbin/nologin或/bin/false。經常檢查帳戶的權限，普通帳戶不應該在root組（gid=0），更不應擁有root權限（uid=0）。可以寫一個腳本來替你檢查，如下所示：

#!/bin/sh

#scriptname:checkuser

#checkifthereisanyuserwhohaverealshellorhaverootid/gid

FILE=/etc/passwd

NUM=0

whilereadLINE

do

NUM=`expr$NUM+1`

if[$NUM-lt3];then

continue

fi

USER=`echo$LINE|cut-d:-f1`

USER_SHELL=`echo$LINE|cut-d:-f7`

USER_UID=`echo$LINE|cut-d:-f3`

USER_GID=`echo$LINE|cut-d:-f4`

if["$USER_SHELL"!="/sbin/nologin"];then

echo-e"\n$USERhasonerealshell:$USER_SHELL"

fi

if[$USER_UID-eq0];then

echo"$USERhastherootuid(uid0)"

fi

if[$USER_GID-eq0];then

echo"$USERhastherootgid(gid0)"

fi

done$FILE

這個腳本運行在Freebsd下，F(xiàn)reebsd的/etc/passwd文件前兩行是版本說明，所以在程序里把它跳過，從第三行起挨個檢查用戶帳號，它將每一個擁有真正shell或者擁有root用戶ID或組ID的帳號在屏幕上打印出來。

同樣，在Windows服務器上，如果不運行IIS服務，那么把IIS相關的帳號禁止掉，把終端服務帳號禁止掉，把guest帳號禁止掉。Windows系統(tǒng)的管理員組除了Administrator外不要有其他帳號，甚至應該把Administrator帳號改名。每一個帳號在帳號描述里說明它的用途。如果Windows服務器采用域的方式，那么應確保域中有盡可能少的用戶。一般域中兩個用戶就夠了