将检查的结果保存到文件中 , 可在以后的系统检查中作为参考 。
检查系统中没有属主的文件:
find/-nouser-o–nogroup没有属主的孤儿文件比较危险 , 往往成为黑客利用的工具 , 因此找到这些文件后 , 要么删除掉 , 要么修改文件的属主 , 使其处于安全状态 。
③/tmp、/var/tmp、/dev/shm 安全设定
在 Linux 系统中 , 主要有两个目录或分区用来存放临时文件 , 分别是 /tmp 和 /var/tmp 。
存储临时文件的目录或分区有个共同点就是所有用户可读写、可执行 , 这就为系统留下了安全隐患 。
攻击者可以将病毒或者木马脚本放到临时文件的目录下进行信息收集或伪装 , 严重影响服务器的安全 。
此时 , 如果修改临时目录的读写执行权限 , 还有可能影响系统上应用程序的正常运行 , 因此 , 如果要兼顾两者 , 就需要对这两个目录或分区进行特殊的设置 。
/dev/shm 是 Linux 下的一个共享内存设备 , 在 Linux 启动的时候系统默认会加载 /dev/shm , 被加载的 /dev/shm 使用的是 tmpfs 文件系统 , 而 tmpfs 是一个内存文件系统 , 存储到 tmpfs 文件系统的数据会完全驻留在 RAM 中 。
这样通过 /dev/shm 就可以直接操控系统内存 , 这将非常危险 , 因此如何保证 /dev/shm 安全也至关重要 。
对于 /tmp 的安全设置 , 需要看 /tmp 是一个独立磁盘分区 , 还是一个根分区下的文件夹 。
如果 /tmp 是一个独立的磁盘分区 , 那么设置非常简单 , 修改 /etc/fstab 文件中 /tmp 分区对应的挂载属性 , 加上 nosuid、noexec、nodev 三个选项即可 。
修改后的 /tmp 分区挂载属性类似如下:
LABEL=/tmp/tmpext3rw,nosuid,noexec,nodev00其中 , nosuid、noexec、nodev 选项 , 表示不允许任何 suid 程序 , 并且在这个分区不能执行任何脚本等程序 , 并且不存在设备文件 。
在挂载属性设置完成后 , 重新挂载 /tmp 分区 , 保证设置生效 。
对于 /var/tmp , 如果是独立分区 , 安装 /tmp 的设置方法是修改 /etc/fstab 文件即可 。
如果是 /var 分区下的一个目录 , 那么可以将 /var/tmp 目录下所有数据移动到 /tmp 分区下 , 然后在 /var 下做一个指向 /tmp 的软连接即可 。
也就是执行如下操作:
[root@server ~]# mv /var/tmp/* /tmp [root@server ~]# ln -s/tmp /var/tmp 如果 /tmp 是根目录下的一个目录 , 那么设置稍微复杂 , 可以通过创建一个 loopback 文件系统来利用 Linux 内核的 loopback 特性将文件系统挂载到 /tmp 下 , 然后在挂载时指定限制加载选项即可 。
一个简单的操作示例如下:
[root@server ~]# dd if=/dev/zero of=/dev/tmpfs bs=1M count=10000 [root@server ~]# mke2fs -j /dev/tmpfs [root@server ~]# cp -av /tmp /tmp.old [root@server ~]# mount -o loop,noexec,nosuid,rw /dev/tmpfs /tmp [root@server ~]# chmod 1777 /tmp [root@server ~]# mv -f /tmp.old/* /tmp/ [root@server ~]# rm -rf /tmp.old 最后 , 编辑 /etc/fstab , 添加如下内容 , 以便系统在启动时自动加载 loopback 文件系统:
/dev/tmpfs/tmpext3loop,nosuid,noexec,rw00Linux 后门入侵检测工具Rootkit 是 Linux 平台下最常见的一种木马后门工具 , 它主要通过替换系统文件来达到入侵和和隐蔽的目的 , 这种木马比普通木马后门更加危险和隐蔽 , 普通的检测工具和检查手段很难发现这种木马 。
Rootkit 攻击能力极强 , 对系统的危害很大 , 它通过一套工具来建立后门和隐藏行迹 , 从而让攻击者保住权限 , 以使它在任何时候都可以使用 Root 权限登录到系统 。
Rootkit 主要有两种类型:文件级别和内核级别 , 下面分别进行简单介绍 。
文件级别的 Rootkit 一般是通过程序漏洞或者系统漏洞进入系统后 , 通过修改系统的重要文件来达到隐藏自己的目的 。
在系统遭受 Rootkit 攻击后 , 合法的文件被木马程序替代 , 变成了外壳程序 , 而其内部是隐藏着的后门程序 。
通常容易被 Rootkit 替换的系统程序有 login、ls、ps、ifconfig、du、find、netstat 等 , 其中 login 程序是最经常被替换的 。
推荐阅读
![[肖战]肖战发布全新单曲《光点》:不要捧杀我,我只想做自己](http://img88.010lm.com/img.php?https://image.uc.cn/s/wemedia/s/2020/29c7b93c81a81ccf6f10a75e8435f881.jpg)
- 如何成为一名黑客
- 解读茶叶成分对人体健康之利
- 百年安化黑茶禁碑,茶碑解读
- 教风与学风 校训解读
- 聚焦农残,从专家的茶文化中解读食品安全问题
- 生普洱茶存放,好普洱茶都讲究要干仓存放
- 最经典的黑客技术入门知识大全
- 我的天,内网渗透,大黑客是这样进行操作的
- 有关汽车指示灯的正确解读
- 专家解读,合格的普洱茶 不含黄曲霉素