下面介绍一些可以用于 Linux 的安然东西,这些东西对固化您的办事器将起到必然的感化,可以解决各方面的标题问题。我们的重点只是想让您体味这些东西,对安装建设和利用不会给出很具体的介绍。一些安然标题问题例如 suid 是甚么,缓冲溢出是甚么等概念性的东西也不属于本文会商的范围。
介绍这些东西的目标只是给您一个提示的标的目标,其实不是让您拘泥于这些东西。事实安然是一个过程,不是一个产品。
1、Sxid
sxid 是一个系统监控法度。它可以监督系统中 suid,sgid 文件和没有属主的改变。并且以可选的情势陈述这些改变,你可以在建设文件中设置用 email 的情势通知这些改变,也能够不利用 email 而直接在尺度输出上显示这些改变。Suid,sgid 文件和没有属主的文件很有多是他人放置的后门法度,这些都是您所要出格寄望的。
你可以从下面的网址获得 sxid:ftp://marcus.seva.net/pub/sxid/
假定您安装过其他东西,那么您必然也会安装这个东西,它在安装上没有甚么出格的处所。
缺省安装的时辰,建设文件为 /usr/local/etc/sxid.conf,这个文件中有很较着的注释很等闲看懂。在这个文件中定义了 sxid 的工作编制。日记文件缺省为 /var/log/sxid.log,日记文件的轮回次数在 sxid.conf 文件中定义。您可以在建设固定后把 sxid.conf 设置为不成改变,把 sxid.log 设置为只可添加(利用 chattr 号令)。
您可以用 sxid -k 加上 -k 选项来进行查抄,这时候查抄很矫捷,既不记进日记,也不会发出 email。如许您便可以随时做查抄。可是我仍是建议您把查抄放进 crontab 中,利用 crontab -e 编纂加进下面的条目:
0 4 * * * /usr/bin/sxid
暗示每天上午 4 点履行这个法度。
假定您还想体味更具体的信息,可以参考:
man sxid
man 5 sxid.conf
2、Skey
您觉得您的暗码安然吗?即便您的暗码很长,有良多特别字符,解密东西很难破解,但您的暗码在收集中传送时是以明文情势的,在以太网中随便一个嗅探器便可以截取您的暗码。此刻在互换环境中也能实现这类手艺。在这类环境下,skey 对您来讲是一个选择。
Skey 是一次性口令的一个东西。它是一个基于客户办事器的利用法度。起首在办事器端可以用 keyinit 号令为每个用户成立一个 skey 客户,这个号令需要指定一个奥秘口令,然后便可觉得客户端的用户产生一次性口令列表。当用户经由过程 telnet,ftp 等与办事器进行连接时便可以遵循一次性口令列表中的口令挨次输进本身的暗码,下次再连接时辰暗码就换成了列表中的下一个。
可以从下面的网址获得 skey:ftp://ftp.cc.gatech.edu/ac121/Linux/system/network/sunacm/other/skey
skey 的办事器端利用有下面的步调:
1.利用下面的号令初始化用户 mary:
keyinit mary
keyinit 每次为用户生成 99 个一次性口令,这时候就会在 /etc/skeykeys 文件成立这个用户,该文件中保留了办事器端计较下一个一次性口令的一些信息。用上面的 keyinit 号令时就会在 /etc/skeykeys 中有下面的记实:
mary 0099 to25065 be9406d891ac86fb Mar 11, 2001 04:23:12
上面的记实中从左到右顺次是用户名,要利用的一次性口令序号,口令的种类,16 进制暗示的口令,日期和时候。
2.将一次性口令列表供给给 mary
您可以打印出口令列表然后送给 mary。如许比较安然,暗码不会在收集中传递。
3.为 mary 点窜缺省的登岸 shell 为 /usr/local/bin/keysh
因为 PAM 的感化,mary 登岸时要输进暗码,她输进这个一次性口令后办事器端要对这个口令进行校验,校验经由过程连接就被许可了。
可能有些用户不喜好书面的口令列表,用户可利用 key 号令在本身的客户端获得一次性口令。您可以经由过程开两个窗口,一个对办事器进行连接获得一次性口令的种类和序号,然后在另外一个窗口用 key 号令按照口令的种类和序号获得所要的暗码。可是必需提示您,您如许的方便是以必然的危险性为代价的。
假定您的缺省的 99 个口令用完了,您可利用 keyinit -s 刷新口令列表。
在 /usr/src/skey/misc 目次中有良多其他的替代 keysh 的供给其他办事的法度,例如:su,login,ftp 等等。如许您可以应付不合的办事的连接要求了。
为了安然,您最好设置一下/etc/skeykeys 文件的属性和权限。