請教各位前輩: 聽說...UNIX和Linux的指令差不多的.... 所以想請教一下... 我要在UNIX上追蹤某天的log記錄... 也就是我想知道某天..某個USER在主機上修改了什麼設定..... 有沒有這個指令或文件可以追蹤呢??? Thanks

參考看看 http://www.shellhung.org/Documentation/LIDS/ **********************************************************************        Linux Intrusion Detection System by Shell Hung  1) 保 護 您 的 Linux 系 統 - LIDS Linux 侵 入 偵 測 系 統 (Linux Intrusion Detection/Defense System) ，是 一 個 利 用 Kernel 支 援 的 系 統 ， 能 偵 察 出 遠 端 或 主 機的 系 統 ， 有 任 何 異 樣 就 能 即 時 透 過 多 種 不 同 自 訂 的 方法 通 知 您 ， 而 且 使 用 方 便 ， 並 有 強 大 的 加 密 技 術 支 援 。 在 沒 有 使 用 LIDS 的 Linux 系 統 環 境 上 ， 超 級 用 者 往 往 會 欠 缺一 些 特 別 的 權 限 ， 所 以 未 能 使 系 統 做 得 很 安 全 ， 儘 管有 另 一 些 的 解 決 方 法 ， 如 CryptFS 注 1 ， 但 是 未 必 能 滿 足 您 的要 求 。 檔 案 系 統 、 執 行 程 序 、 系 統 管 理 及 存 取 控 制 的不 全 整 和 沒 有 保 護 ， 都 可 能 會 導 致 主 機 被 'Crack' 的 機 會， 多 數 的 安 全 漏 洞 都 是 由 內 部 引 起 的 ， 使 用 LIDS 可 以 把這 個 機 會 降 至 最 少 。 (見 圖 一) 圖 一 注 一 ： CryptFS 是 使 用 加 密 技 術 ， 利 用 迴 路 設 備 (Loop Device) 建 立分 區 ， 把 資 料 加 密 。 使 用 LIDS 有 很 多 的 好 處 ， 除 了 有 對 外 來 控 制 有 強 大 支援 及 鑑 測 ， 對 本 機 的 檔 案 系 統 及 結 構 都 有 強 化 及 保 護， 這 種 強 化 由 小 檔 案 至 目 錄 ， 由 執 行 程 序 至 驅 動 程 式都 有 十 分 保 護 。 以 下 是 使 用 LIDS 的 優 點 ： 使 用 核 心 性 能 ， 提 高 效 率 ； 即 時 安 全 警 告 ； 兩 層 的 密 碼 加 密 ； 檔 案 讀 取 保 護； 提 供 多 四 種 保 護 檔 案 及 目 錄 的 方 法 ； 整 個 硬 碟 的 掛 入 保 護 ； 解 決 /dev/mem 注 2 儲 存 密 碼 / 密 鑰 的 問 題 ； 使 用 方 便 ， 可 即 時 啟 動 或 關 閉 系 統 ； 能 隱 藏 執 行 程 序 運 作 ； ...... 注 二 ： 所 有 系 統 的 記 憶 存 取 都 放 在 '/dev/mem' 內 ， 超 級 用者 (root) 能 檢 視 '/dev/mem' ， 包 括 用 者 登 入 的 密 碼 ， 甚 至 用者 使 用 如 PGP 等 的 明 文 、 密 碼 等 。 2) 安 裝 LIDS 安 裝 LIDS 很 簡 單 ， 首 先 下 載 LIDS ， 而 筆 者 選 用 了 Slackware 7.1 與 核 心 2.2.17 ， 目 前 (本 文 撰 寫 時) 最 新 版 本 為 lids-0.9.9-2.2.17 ， 是 配 合 核 心 2.2.17 的 ， 而 核 心 2.4.x 的 LIDS 還 在 測 試 當 中 ，您 可 以 到 http://www.lids.org/download.html 下 載 最 新 的 版 本 。 在 下 載 前 我 們 要 有 一 些 準 備 ， 您 必 須 要 有 gcc 、 make 以 及 核心 的 源 始 碼 ， 如 果 沒 有 ， 可 以 到 http://www.kernel.org 下 載 。同 時 ， 您 需 要 確 定 您 的 系 統 沒 有 受 如 Trojan 等 攻 擊 ， 您 可 以使 用 nmap 注 3等 程 式 偵 測由 於 目 前 LIDS 只 可 以 在 i386 上 運 作 ， 所 以 ， 筆 者 使 用 了 PIII 800 。假 定 我 們 使 用 核 心 2.2.17 並 下 載 了 lids-0.9.9-2.2.17.tar.gz 檔 案 ，我 們 可 以 執 行 以 下 指 令 以 安 裝 LIDS : cd /usr/src/linux (進 入 核 心 源 始 碼 目 錄) tar zxvf lids-0.9.9-2.2.17.tar.gz (解 壓 包 件) cat lids-0.9.9-2.2.17/lids-0.9.9-2.2.17.patch | patch -p1 (Patch 核 心) make menuconfig (發 現 增 多 了 數 條 問 題) 注 三 ： nmap 是 在 很 出 名 的 埠 素 描 器 (Port Scanner) ， 可 以 在 http://www.insecure.org 下 載 。 或 許 我 先 在 這 兒 停 一 停 ， 當 進 入 了 Linux Intrusion Detection System 選 項 時 ，在 "Intrusion Detection System support (EXPERIMENTAL)" 選 擇 "YES" ， 會 有 更 多的 問 題 ， 我 不 會 在 這 兒 對 每 個 問 題 作 解 釋 ， 您 可 以 參 考 lids-0.9.9-2.2.17.patch 內 對 每 個 問 題 的 解 釋 ， 或 LIDS 的 FAQ 。 您 可 以 選 擇 性 地 啟 動 某 些 功 能 / 全 部 功 能 。 當 選 擇 了 所 有 問 題 後 ， 您 可 以 作 最 後 一 次 檢 查 ， 但有 一 點 需 要 注 意 ， 有 兩 條 問 題 必 須 要 回 答 'YES' 的 ，否 則 LIDS 便 不 能 運 作 : Prompt for development and/or incomplete code/drivers Sysctl support 當 一 切 都 沒 有 問 題 ， 可 以 進 行 下 一 步 的 過 程 : make dep; make clean; make bzImage; make modules; make modules_install (養 好 有 耐 性 的 美 德) cp arch/i386/boot/vmlinuz /boot/vmlinuz-lids (製 作 新 的 BootImage) cd lids-0.9.9-2.2.17/lidsadm-0.9.8 make; make install (安 裝 lidsadm) 修 改 lilo.conf ， 並 增 加 以 下 數 行 後 重 並 重 新 執 行 : image=/boot/vmlinuz-lids root=/dev/hda1 (會 有 不 同) label=lids read-only 完 成 後 如 沒 有 問 題， 請 不 要 急 著 重 新 啟 動 ， 因 為有 一 些 功 夫 還 需 要 處 理 ； 我 們 需 要 為 LIDS 作 最 基 本的 系 統 偵 測 和 更 新 ， 請 執 行 以 下 指 令 ： lidsadm -U (更 新 inode/dev) lidsadm -P (為 LIDS 設 定 密 碼) 現 在 ， 請 檢 查 '/etc/lids' 內 的 'lids.pw' 是 不 是 有 資 料 ， 如 果有 一 堆 碼 ， 即 是 安 裝 已 經 完 成 ， 您 還 可 以 先 看 後 文 ， 在 重新 啟 動 前 設 定 lids.cap 檔 案 ， 設 定 哪 個 條 件 功 能 等 ， 如 沒 有問 題 ， 您 可 以 重 新 啟 動 電 腦 。 3) 使 用 lidsadm 在 啟 動 完 成 後 ， 我 們 需 要 啟 動 LIDS ， 預 設 是 每 當 進 入 Linux 時 已 經 啟 動 ， 或 您 可 以 使 用 以 下 指 令 來 轉 換 ， 您 需 要 注 意， 稍 後 我 會 介 紹 如 何 使 用 lidsadm ， 但 每 一 次 加 新 / 刪 除 了條 件 是 ， 都 需 要 載 入 設 定 ， 以 下 是 有 關 的 指 令 ： lidsadm -I (載 入 LIDS 進 核 心) lidsadm -S -- -LIDS (不 保 護 狀 態) lidsadm -S -- RELOAD_CONF (重 新 載 入 設 定) 設 定 LIDS 我 們 需 要 使 用 lidsadm ， 以 下 是 lidsadm 的 基 本 使用 方 法 ， 您 可 以 參 考 'man lidsadm' 得 到 更 多 使 用 方 法 ， 但筆 者 會 為 大 家 解 釋 lidsadm 的 使 用 方 法 ： lidsadm [COMMAND] [ACL | ADMIN ] [COMMAND] 部 份 是 設 定 lidsadm 的 執 行 ， 請 參 考 表 一 ： 表 一 設 定 解 釋 -A 增 加 控 制 條 件 -D 刪 除 控 制 條 件 -Z 刪 除 所 有 控 制 條 件 -U 更 新 dev/inodes 編 號 -L 列 出 現 時 的 控 制 條 件 -P 設 定 密 碼 -S 保 護 (需 要 密 碼) -I 保 護 (不 需 要 密 碼) -h 求 助 [ACL] 是 設 定 物 件 (如 檔 案 、 目 錄 等) 的 保 護 ， 請 參 考 表 二 ： 表 二 設 定 解 釋 -s 設 定 特 權 檔 案 -o 設 定 目 標 檔 案 / 目 錄 -t 與 -o 一 與 使 用 為 啟 動 在 全 部 功 能 上 -j READ 、 APPEND 、 DENY 3) 設 定 ACLs 存 取 控 制 條 件 (Access Control Lists) ， 為 了 有 高 度 的 彈 性 ， 可 變動 的 保 護 程 度 ， 我 們 可 要 設 定 ACLs ， 就 像 法 律 一 樣 ， LIDS 會查 看 ACLs 決 定 哪 些 可 以 做 ， 哪 些 不 可 以 ， 所 以 要 很 認 真 的 設定 ACLs 。 筆 者 抄 錄 了 預 設 的 ACLs ， 可 讓 大 家 參 考 。 (見 表 三) 表 三 Subject Object Permission 任 何 檔 案 /sbin READ 任 何 檔 案 /bin READ 任 何 檔 案 /boot READ 任 何 檔 案 /lib READ 任 何 檔 案 /usr READ 任 何 檔 案 /etc/shadow DENY /bin/login /etc/shadow READ /bin/su /etc/shadow READ 任 何 檔 案 /var/log APPEND 任 何 檔 案 /var/log/wtmp WRITE /sbin/fsck.ext2 /etc/mtab WRITE 任 何 檔 案 /etc/mtab WRITE 任 何 檔 案 /etc WRITE /usr/sbin/sendmail /var/log/sendmail.st WRITE /bin/login /var/log/lastlog WRITE /bin/cat /home/xhg READ Any File /home/httpd DENY /usr/sbin/httpd /home/httpd READ Any File /etc/httpd/conf DENY /usr/sbin/httpd /etc/httpd/conf READ /usr/sbin/sendmail /var/log/sendmail.st WRITE /usr/X11R6/bin/XF86_SVGA RAWIO NO_INHERIT /usr/sbin/in.ftpd /etc/shadow READ /usr/sbin/httpd HIDDEN NO_INHERIT READ 權 限 表 三 中 ， /sbin 、 /bin 、 /boot 、 lib 、 /usr 預 設 被 設 成 READ ， 即 是唯 讀 (Read-Only) ， 為 了 不 受 如 Trojan 等 攻 擊 ， 或 是 一 些 系 統 檔 案， 例 如 'rc.local' 或 'rc.firewall' 等 ， 需 要 有 高 度 的 保 護 ， 所 以 要設 成 唯 讀 。 可 以 使 用 以 下 指 令 語 法 設 定 唯 讀 檔 案 ： lidsadm -A -o /etc/rc.d/rc.firewall -j READ lidsadm -A -o /home/httpd/htdoc/ -j READ (整 個 目 錄) 就 是 這 樣 簡 單 ， 當 您 輸 入 了 這 個 指 令 ， 並 重 新 載 入 設 定 後 ，如 果 您 還 能 再 次 寫 入 字 句 進 檔 案 ， 請 重 新 載 入 設 定 ； 反 之 ，您 已 經 成 功 使 用 了 第 一 個 LIDS 的 功 能 。 您 也 可 以 輸 入 以 下 指令 ， 檢 查 您 剛 輸 入 的 條 件 有 沒 有 被 應 用 ： lidsadm -L DENY 當 檔 案 設 定 成 DENY ， 亦 就 是 沒 有 人 可 以 修 改 及 列 出 檔 案 ， 從 表三 中 ， '/etc/shadow' 是 設 成 為 DENY 的 ， 這 提 高 了 對 密 碼 保 護 的 安全 性 ， 當 檔 案 / 目 錄 設 定 成 DENY 的 時 候 ， 使 用 'ls' 要 求 列 出 時會 出 現 'No such files or directory' 的 錯 誤 訊 息 ， 使 用 方 法 如 下 ： lidsadm -A -o /etc/shadow -j DENY lidsadm -A -o /home/secret/ -j DENY (整 個 目 錄) 這 樣 ， 任 何 人 ， 包 括 root 及 任 何 程 式 都 不 可 以 找 到 '/etc/shadow' 檔 案 ， 更 何 況 寫 入 ？ 每 當 要 保 護 一 些 很 重 要 的 檔 案 / 目 錄 時 ，都 可 以 使 用 DENY 設 定 ， 這 是 Linux 系 統 沒 有 的 ！ WRITE 在 上 一 個 例 子 中 ， 我 們 把 '/etc/shadow' 設 定 為 DENY ， 那 麼 如 果 使用 者 登 入 時 ， 因 為 找 不 到 檔 案 ， 所 以 登 入 會 失 敗 ， 就 在 這 一點 ， LIDS 提 供 了 WRITE 權 限 ， 可 容 許 某 些 程 式 可 以 使 用 DENY 的 檔案 。 要 使 登 入 正 常 ， '/bin/login' 或 如 果 您 需 要 'su' ('/bin/su') 時， 都 須 要 找 到 '/etc/shadow' 檔 案 ， 我 們 可 使 用 WRITE ， 以 讓 這 兩 個程 式 能 使 用 '/etc/shadow' 檔 案 ， 用 法 如 下 ： lidsadm -A -s /bin/login -o /etc/shadow -j READ lidsadm -A -s /bin/su -o /etc/shadow -j READ 這 樣 ， 用 者 便 可 以 正 常 的 登 入 主 機 ， 但 同 時 亦 可 以 對 系 統 有 很高 的 安 全 性 ， 當 然 ， 要 選 擇 哪 個 程 式 可 以 讀 取 哪 個 檔 案 是 很 重要 的 ， 特 別 如 果 程 式 有 'Bug' 或 是 'Buffer Overflow' 注 4 等 漏 洞 時 ， 都 可能 會 影 響 LIDS 的 正 常 運 作 ， 建 議 都 是 要 定 時 更 新 程 式 。 APPEND APPEND ， 附 加 ， 紀 錄 檔 (log files) 便 會 需 要 這 種 權 限 ， 為 了 防 止 別人 改 動 或 刪 除 紀 錄 檔 ， 以 隱 瞞 任 何 訊 息 ， 而 又 可 以 讓 紀 錄 正 常運 作 ， 設 定 成 APPEND 模 式 便 很 適 合 ， 這 樣 確 保 了 紀 錄 檔 只 可 以 增加 ， 而 不 可 以 被 改 動 舊 有 的 紀 錄 ， 指 令 用 法 如 下 ： lidsadm -A -o /var/log/messages -j APPEND lidsadm -A -o /var/log/ -j APPEND (整 個 目 錄) 筆 者 建 議 把 整 個 的 紀 錄 目 錄 設 為 APPEND 模 式 ， 不 讓 別 人 刪 除 ， 因為 系 統 管 理 員 對 紀 錄 的 分 析 很 重 要 ， 很 多 的 重 要 資 料 都 由 紀 錄 檔案 而 來 ， 不 分 析 紀 錄 檔 案 ， 等 同 不 作 身 體 檢 查 ， 有 了 病 就 嚴 重 了 ！ 注 四 ： Buffer Overflow 是 利 用 程 式 設 計 員 設 計 程 式 時 的 忽 略 ， 用 者 輸入 之 資 料 比 程 式 能 控 制 的 多 ， 惡 性 用 者 能 從 中 取 到 權 限 ， 最 常 見的 是 由 C/C 語 言 撰 寫 之 程 式 。 4) 系 統 設 定 LIDS 最 強 大 的 功 能 除 了 保 護 檔 案 與 目 錄 外 ， 還 可 以 保 護 執 行 中的 程 序 。 LIDS 提 供 了 高 達 差 不 多 30 種 的 能 力 ， 以 保 護 如 過 程 (Process) 、 系 統 性 能 、 網 絡 安 全 及 遠 端 控 制 等 。 筆 者 會 為 大 家 講 述 數 種常 用 及 有 用 的 功 能 。 有 關 性 能 方 面 的 設 定 ，都 可 以 在 '/etc/lids/lids.cap' 檔 案 找 到 ， 檔 案的 格 式 是 ' 27:CAP_HIDDEN' ， [ /-] 是 設 定 'CAP_HIDDEN' 是 生 存 與 否 ； 除 此， 您 還 可 以 使 用 lidsadm 設 定 。 程 序 處 理 進 程 的 常 用 功 能 分 別 為 'CAP_HIDDEN' 與 'CAP_INIT_KILL' ， 前 者 設 定進 程 為 隱 形 ， 任 何 人 使 用 'ps' 或 從 '/proc' 都 不 可 以 見 到 進 程 的 進 行； 後 者 設 定 子 程 式 的 關 閉 。 用 法 如 下 ： lidsadm -A -s /usr/bin/httpd -t -o CAP_HIDDEN -j INHERIT 上 例 中 設 定 了 httpd 運 作 時 為 隱 形 ， 某 些 的 程 序 可 以 需 要 有 隱 形的 功 能 ， 例 如 crontab 及 at 等 ， 亦 可 以 把 之 設 定 為 隱 形 ， 這 對 於本 機 用 者 對 系 統 進 行 安 全 評 估 ， 進 而 攻 勢 起 了 防 止 之 效 。 系 統 由 於 Linux 系 統 本 身 對 系 統 的 權 限 及 功 能 不 足 ， LIDS 正 好 給 系 統 加強 ， 並 提 供 了 很 多 特 別 的 權 限 ， 除 了 保 護 系 統 啟 動 (CAP_SYS_BOOT) 外， 還 提 供 了 如 系 統 資 料 控 制 (CAP_SYS_RESOURCE) 、 系 統 時 間 控 制 (CAP_SYS_TIME) 、 tty 設 定 (CAP_SYS_TTY_CONFIG) 及 chroot 環 境 (CAP_SYS_CHROOT) 控 制 等 ， 針對 了 流 行 及 傳 統 的 系 統 攻 擊 方 法 ， 保 護 您 的 Linux 系 統 ， 使 用 方 法如 下 ： lidsadm -A -s /usr/bin/time -t -o CAP_SYS_TIME -j INHERIT 網 絡 網 絡 部 份 對 Linux 主 機 極 奇 重 要 ， 特 別 是 有 對 外 服 務 的 Linux 主 機 ，一 般 很 多 公 司 都 會 使 用 防 火 牆 ， 作 了 IP 過 濾 (IP Filtering) ； 而 LIDS 亦 對 網 路 、 接 套 口 (Socket) 及 防 火 牆 作 了 安 全 性 能 的 保 護 。以 下 是 幾 個 LIDS 對 網 絡 方 面 支 援 的 功 能 (表 四)： 表 四 功 能 解 釋 CAP_SETPCAP 傳 輸 控 制 CAP_NET_BIND_SERVICE 控 制 通 訊 埠 少 於 1024 CAP_NET_BROADCAST 對 多 點 播 放 的 廣 播 及 聽 控 制 CAP_NET_ADMIN 介 面 / 防 火 牆 / 路 由 改 變 控 制 安 全 警 告 LIDS 提 供 了 一 個 很 特 別 的 功 能 ， 每 當 LIDS 偵 測 到 一 些 不 法 或攻 擊 時 ， 都 可 以 第 一 時 間 寄 出 電 子 郵 件 給 您 ， 以 便 您 做 出應 變 及 處 理 ； 在 安 裝 了 LIDS 後 ， 在 '/etc/lids/' 內 有 一 個 檔 案 'lids.net' ， 可 讓 您 設 定 這 個 功 能 ， 表 五 是 有 關 這 個 檔 案 的設 定 。 表 五 設 定 數 值 解 釋 MAIL_SWITCH 0 / 1 0 為 關 閉 ； 1 為 啟 動 MAIL_RELAY IP:[port] 郵 件 伺 服 器 的 IP 地 址 MAIL_SOURCE mail.hostname 郵 件 伺 服 器 地 址 MAIL_FROM NAME 寄 件 者 名 稱 (LIDS) MAIL_TO emaill@your.box 收 件 者 電 郵 MAIL_SUBJECT Text 郵 件 主 題 5) 提 示 與 總 結 作 為 一 個 系 統 管 理 員 ， 負 責 網 絡 的 安 全 是 很 重 要 的 職 責， 很 多 是 駭 客 能 成 功 入 侵 系 統 ， 除 了 技 術 上 外 ， 主 要 是系 統 管 理 員 的 處 理 不 當 ， 綜 合 各 方 面 ， 筆 者 在 這 兒 給 大家 一 些 作 好 系 統 安 全 的 意 見 ， 做 好 安 全 工 作 ， 把 危 險 性降 至 最 低 。 選 擇 包 件 ， 切 密 安 裝 不 用 的 包 件 ； 定 期 更 新 ， 包 件 每 過 一 段 時 候 的 BugFix 等 ； 留 意 安 全 資 料 ， 如 SecurityFocus 、 CERT 等 ； 選 擇 好 的 密 碼 注 5 ， 並 最 少 8 個 字 元 ； 每 二 至 三 個 月 轉 換 密 碼 一 次 ， 並 不 會 重 覆 ； 使 用 SSH 代 替 Telnet ； 可 使 用 SFTP 代 替 一 般 上 載 及 下 載 ； 使 用 SSL ， 如 S/HTTP 、 S/IMAP 及 S/POP 等 ； 懂 得 設 定 root 權 限 ， 留 意 securetty 、 login.defs 等 ； 關 閉 不 用 的 通 訊 埠 ， 參 考 'inetd.conf' ； 使 用 TCP Wrapper 等 工 具 ； 使 用 防 火 牆 及 LIDS 等 工 具 ； 留 意 NFS 、 Samba 、 HTTPD 及 FTP 等 工 具 安 全 ； 使 用 su 及 sudo 等 工 具 代 替 root 登 入 ； 注 意 不 要 給 使 用 者 過 多 的 權 限 。 注 五 ： 儘 量 使 用 複 雜 的 密 碼 及 shadow ， 如 您 必 須 要 使 用英 文 名 作 密 碼 ， 有 一 個 例 子 如 : 'SheLL519' ； 包 含 有 大 小寫 之 英 文 及 數 字 ， 一 共 有 8 個 字 元 ， 字 碼 達 62 個 ， 組 合達 2.2 X 10 14 ， 單 以 Burce Force 也 要 差 不 多 7 年 時間 搜 索 (每 秒 一 百 萬 個 組 合)。 經 筆 者 使 用 過 LIDS 後 ， 感 覺 特 別 不 同 ， 特 別 是 LIDS 給 了筆 者 很 多 不 同 的 特 權 、 功 能 ， 但 是 LIDS 仍 有 一 點 不 足 ，由 於 少 人 幫 助 開 發 ， 加 上 LIDS 是 配 合 核 心 來 運 作 ， 要 更新 Kernel ， 必 須 再 次 更 新 LIDS ， 還 有 目 前 只 可 以 支 援 i386 ， 不 過 ， LIDS 的 的 確 確 是 一 個 很 有 用 的 工 具 ， 建 議 使 用 ！ 有 關 於 LIDS 的 更 新 及 問 題 ， 可 以 參 考 LIDS 的 使 用 文 件 ，網 址 如 下 : http://www.lids.org 。 返 回 主 頁 $shell: index.html,v 1.6 2002/07/14 16:14:25 shell Exp $

------
**********************************************************
哈哈&兵燹
最會的2大絕招 這個不會與那個也不會 哈哈哈 粉好

Delphi K.Top的K.Top分兩個字解釋Top代表尖端的意思,希望本討論區能提供Delphi的尖端新知
K.表Knowlege 知識,就是本站的標語:Open our mind

Linux安全交流網 http://safe.ip-market.com/article.php?sid=12 參考看看 自己架一個安全的伺服器環境(五) 張貼：matt 發表於 Monday, November 27 @ 17:42:07 CST 繼續之前的自己架一個安全的伺服器環境(四)--安裝完後的系統安全概要 15. 資源限制 ~ 21. 建立所有重要的日誌文件的硬拷貝 15. 資源限制 第一步 編輯"limits.conf"檔案（vi /etc/security/limits.conf），加入或改變下面這幾行： * hard core 0 * hard rss 5000 * hard nproc 20 這些行的的意思是："core 0"表示禁止建立core檔案；"nproc 20"把最多程式數限制到20；"rss 5000"表示除了root之外，其他用戶都最多只能用5M記憶體。上面這些都只對登入到系統中的用戶有效。通過上面這些限制，就能更好地控制系統中的用戶對程式、core檔案和記憶體的使用情況。星號"*"表示的是所有登入到系統中的用戶。 第二步 必須編輯"/etc/pam.d/login"檔案，在檔案末尾加入下面這一行： session required /lib/security/pam_limits.so 加入這一行後"/etc/pam.d/login"檔案是這樣的： #%PAM-1.0 auth required /lib/security/pam_securetty.so auth required /lib/security/pam_pwdb.so shadow nullok auth required /lib/security/pam_nologin.so account required /lib/security/pam_pwdb.so password required /lib/security/pam_cracklib.so password required /lib/security/pam_pwdb.so nullok use_authtok md5 shadow session required /lib/security/pam_pwdb.so session required /lib/security/pam_limits.so #session optional /lib/security/pam_console.so 16. 對 mount 的檔案系統做更好的控制 可以用一些選項，如：noexec、nodev和nosuid，對 mount 的檔案系統做更好的控制，如："/home"和"/tmp"。這些都在"/etc/fstab"檔案中設定。fstab檔案包含了各個檔案系統的描述資訊。如果想知道在這個檔案中可以設定哪些選項，請用man命令查看關於mount(8)的輔助敘述。 編輯 fstab檔案（vi /etc/fstab），並根據需要把這兩行： /dev/sda9 /tmp ext2 defaults 1 2 /dev/sda6 /home ext2 defaults 1 2 /dev/sda11 /chace ext2 defaults 1 2 改變成: /dev/sda9 /tmp ext2 defaults,rw,nosuid,nodev,noexec 1 2 /dev/sda6 /home ext2 defaults,rw,nosuid,nodev 1 2 /dev/sda11 /chace exe2 defaults,rw,nosuid,nodev,noexec 1 2 "nodev"表示不允許在這個檔案系統上有字元或特殊的塊設備。 "nosuid"表示不允許設定具有 suid（set-user-identifier）和 sgid（set-group-identifier）權限的檔案。 "noexec"表示不允許檔案系統上有任何可執行的二進位檔案。 注意：上面的例子中，"/dev/sda9"mount到"/tmp"目錄上，而"/dev/sd6"mount到"/home"目錄上。當然這和你的實際情況會有所不同，這些取決於你是怎麼劃分的以及用什麼樣的硬碟，例如：IDE硬碟是hda、hdb，等等，而SCSI硬碟是sda、sdb，等等。 17. 把rpm程式轉移到一個安全的地方，並改變預設的檔案執行權限 ◎把rpm程式移到軟碟上，用下面的命令： [root@deep]# mount /dev/fd0 /mnt/floppy/ [root@deep]# mv /bin/rpm /mnt/floppy/ [root@deep]# umount /mnt/floppy 注意：千萬不要把rpm程式從系統中移除掉，否則以後就不能重新安裝它，因為安裝rpm程式或其他套裝軟體本身就要用rpm命令。 還有一點要注意的是，把rpm命令的存取權限從預設的755改成700。這樣非root用戶就不能使用rpm命令了。特別是考慮到萬一在安裝完新軟體之後，忘了把rpm程式移到一個安全的地方，這樣做就更有必要了。 ◎改變"/bin/rpm"預設的存取權限，用下面這個命令： [root@deep]# chmod 700 /bin/rpm 18. Shell 下的命令記錄 第一步 編輯 profile 檔案（vi /etc/profile），把下面二行改成： HISTFILESIZE=20 HISTSIZE=20 這樣每個用戶家目錄下的".bash_history"就最多只能存20個命令。如果黑客試圖在用戶的"~/.bash_history"文件中發現一些口令，他就沒有什麼機會了。 第二步 編輯 .bash_logout 檔案 (vi /etc/skel/.bash_logout) ，並加入下面一行： rm -f $HOME/.bash_history 注意：若之前己經新增過使用者，記得要手動替他們加入上面那一行。 19. "/etc/lilo.conf" 檔案 第一步 編輯lilo.conf檔案（vi /etc/lilo.conf），加上或改變下面說明的三個設定： boot=/dev/sda map=/boot/map install=/boot/boot.b prompt timeout=00 <- 將此行改成 00 Default=linux restricted <-新增此行 password= <- 新增此行並輸入你的密碼 image=/boot/vmlinuz-2.2.16-22smp label=linux initrd=/boot/initrd-2.2.16-22smp.img root=/dev/sda10 read-only 第二步 因為"/etc/lilo.conf"組態檔案裏，存在沒有經過加密的密碼，所以只有root才能有讀的權限。用下面的命令改變檔案的權限： [root@deep]# chmod 600 /etc/lilo.conf 第三步 使改變後的"/etc/lilo.conf"組態檔案生效： [root@deep]# /sbin/lilo -v (to update the lilo.conf file). 第四步 為了更安全一點，可以用chattr命令給"lilo.conf"檔案加上不可改變的權限。 ◎讓檔案不可改變用下面的命令： [root@deep]# chattr i /etc/lilo.conf 這樣可以避免"lilo.conf"檔案因為意外或其他原因而被改變。如果想要改變"lilo.conf"檔案，必須先清除它的不可改變標誌。 ◎清除不可改變的標記用下面的命令： [root@deep]# chattr -i /etc/lilo.conf 20. 使Control-Alt-Delete關機鍵無效 編輯 inittab 檔案（vi /etc/inittab）把這一行： ca::ctrlaltdel:/sbin/shutdown -t3 -r now 加上 # 改為： #ca::ctrlaltdel:/sbin/shutdown -t3 -r now 用下面的命令使改變生效： [root@deep]# /sbin/init q 21. 建立所有重要的日誌文件的硬拷貝 保證在"/var/log"目錄下的不同日誌檔案的完整性是保證系統安全所要考慮的非常重要的一個方面。如果我們在伺服器上已經加上了很多安全措施，黑客還是能夠成功入侵，那麼日誌檔案就是我們最後的防範措施。因此，很有必要考慮一下用什麼方法才能保證日誌檔案的完整性。如果伺服器上或網路中的其他伺服器上已經裝設了印表機，就可以把重要的日誌檔案列印出來。這要求有一個可以連續列印的印表機，並用syslog把所有重要的日誌檔案傳到"/dev/lp0"（列印設備）。黑客可以改變伺服器上的檔案、程式，等等，但是，把重要的日誌檔案列印出來之後，他就無能為力了。 在 Securing and Optimizing Linux v1.3的第57頁講了很多，我只用下面的方式來做： 假定現有一台 Log Server、一台郵件伺服器、一台DNS伺服器、一台 Web 伺服器 。我採用的策略是服務分散在不同的機器上，logserver 是接收日誌檔案的電腦主機名。如果有人試圖黑你的電腦並且威脅把所有重要的系統日誌檔案都刪掉，你就不用怕了，因為你已經列印出來或者在別的地方還有一個拷貝。這樣就可以根據這些日誌檔案分析出黑客在什麼地方，然後理出這次入侵事件。 設定方式如下： ◎Log Server 的設定(host name為 logserver)： 這台機器只開啟 syslog daemon ，其它的 Services 全部關掉。 除了必需的帳號外，不建立其它帳號，讓這台Log Server 只有 root 可以登入，且root 的密碼，千萬不可以與其它主機相同，因為若其它台主機被入侵了，這台也會跟著遭殃。 編輯syslog腳本檔案（vi 24 /etc/rc.d/init.d/syslog），把這一行： daemon syslogd -m 0 改為： daemon syslogd -r -m 0 重新啟動syslog daemon使改變生效： [root@mail]# /etc/rc.d/init.d/syslog restart 讓這台主機接到印表機上， 編輯 "syslog.conf"檔案（vi /etc/syslog.conf），在檔案的末尾加入下面這一行 authpriv.*;mail.*;local7.*;auth.*;daemon.info /dev/lp0 如果這台接收日誌檔案的伺服器上還要加上防火牆，可以檢查一下防火牆的腳本檔案中有沒有下面幾行（沒有就加上）： ipchains -A input -i $EXTERNAL_INTERFACE -p udp -s $SYSLOG_CLIENT -d $IPADDR 514 -j ACCEPT 在這個例子中防火牆的腳本檔案中定義了 EXTERNAL_INTERFACE="eth0"。 IPADDR="208.164.186.2"; <-- Log Server 的 IP SYSLOG_CLIENT="208.164.168.0/24" <-- 要將 Log 資訊送到Log Server 的 IP範圍 重新啟動接收日誌檔案的伺服器上的防火牆，使改變生效： [root@mail]# /etc/rc.d/init.d/firewall restart 當然如果在這台 Log Server 再加上 LogCheck 類似的軟體，那就更好了。 ◎Mail Server 、DNS Server、Web Server 的設定都相同： 編輯syslog.conf檔案（vi /etc/syslog.conf），在檔案末尾加入下面這一行： authpriv.*;mail.*;local7.*;auth.*;daemon.info @logserver (logserver 為 hostname，需要DNS或 各主機的 /etc/hosts內有記錄) 重新啟動syslog daemon使改變生效： [root@deep]# /etc/rc.d/init.d/syslog restart 注意：千萬不要用閘道伺服器來收集和管理所有的系統日誌資訊。有關syslogd程式的其他一些參數和策略，可以用man命令查看輔助敘述：syslogd(8)、syslog(2)和syslog.conf(5)。 結語：這樣的作法可將 Log File 都送到 Log Server 上，但並沒有將不同主機的Log分開在不同的檔案，若要查也不太好查。在印象中好像有方法可以分開，但我不知道如何做，有人知道嗎? 與大家分享一下吧! mail to me : matt@mxtpa.biglobe.net.tw 安裝完後的系統安全概要，這部份還沒做完呢? 再接再厲了....p(^o^)q

------
**********************************************************
哈哈&兵燹
最會的2大絕招 這個不會與那個也不會 哈哈哈 粉好

Delphi K.Top的K.Top分兩個字解釋Top代表尖端的意思,希望本討論區能提供Delphi的尖端新知
K.表Knowlege 知識,就是本站的標語:Open our mind

如果你是需要基礎性的指令說明 介紹一個網站 http://www.europa.idv.tw/UNIX/AKFdoc/Lman1/ (一般使用者指令篇) 自由、共享，由無私、奉獻做起。 -------------------------------------------------------------------------------- 最後修改日期：2002/08/07 A access 偵測文件權限狀態 apropos whatis 的字串資料搜尋 at, atq, atrm 佇列工作的執行管理 autorun CDROMs 裝置的自動掛載 awk 實際上使用的是 GNU awk B bash 人機介面。GNU 發展的 shell，語法和 bourne shell 相容。 bzip2, bunzip2, bzcat, bzip2recover 壓縮，解壓縮(一般的副檔名為 *.bz2) 解壓縮文件至標準輸出 回復損壞的 bzip2 壓縮文件 C cal 西元的年、月歷顯示 cat 將文件顯示至標準輸出 cd 變換工作目錄 chattr Linux 第二拓展文件系統的文件屬性修改 chgrp 修改檔案所屬的群組(group ID) chmod 修改檔案的使用權限 chown 修改檔案的擁有者或群組 chsh 修改登錄 shell chvt 修改終端機的前台環境 clear 清除終端機螢幕 col 濾除輸入中的反向換行符號 comm 文件比對工具(以行為單位) compress 壓縮(一般的副檔名是 *.Z 請注意是大寫字母) cp 複製檔案、目錄 cpio 檔案包的製作與存取 D date 日期、時間的顯示與設定 dd 轉換、拷貝文件 deallocvt 釋放未使用的終端機 df 檔案系統的使用狀態顯示 diff 比對顯示兩個文件的差異 dig 發出網域名稱查詢到網域伺服器 dircolors 設定 ls 指令的顯示顏色 dirname 剝離檔案名的非目錄尾碼 du 顯示檔案或目錄的硬碟空間使用狀況 E echo 輸出訊息顯示 eject 周邊裝置的退出控制(光碟機彈出咖啡杯座、磁帶機跳出烤好的可口土司) F false 產生程序失敗的狀態碼 file 檔案的型態顯示 find 檔案搜尋工具 finger 查詢帳戶信息 fmt 簡易的本文格式優化 fold 將輸入的行文摺疊成指定的長度 free 顯示系統記憶體的使用狀態 ftp 檔案傳輸工具 G gawk GNU awk grep 特定字串搜尋 groff 前端的文件排版工具 gzip, gnuzip 壓縮，解壓縮 H head 指定輸出文件開頭部份的內容 host 查詢主機使用的網域名稱 hostid 顯示主機的識別數碼(16 進位碼) hostname 顯示與設定主機名稱 htpasswd 設置專屬於 Apache 的帳戶與密碼 I import X視窗影像擷取工具 intro 顯示指令的參考資訊 J K kill 終止指定的系統程序 killall 以名稱為基準，終止指定的系統程序 L last 顯示最近的用戶登錄資料 ln 建立文件的連結 login 簽入系統 ls 顯示目錄內容 M mail 古董級的 E-mail 收發工具 man 顯示線上指令說明(初學者手上一本字典 這個指令) md5sum 檢測 MD5 檢驗碼 mesg 設定終端機的訊息接收狀態 mkdir 建立目錄 mkfifo 建立 FIFO 特殊文件 mktemp 產生名稱俱"唯一"性的暫態檔案 more 分頁顯示文件檔案 mv 更改檔案目錄名稱或清除檔案 N newgrp 登錄到新的帳戶權組 nice 給予指令特定的執行優先等級 O P paste 文件合併 passwd 帳戶密碼更改 ps 執行程序顯示 ping 對特定對象送出偵測封包 Q qouta 設定與顯示帳戶可使用的系統資源限額 R rm 刪除檔案、目錄 rmdir 刪除空目錄 S sed 串流式文字編輯器 sort 排序 stty 設定與顯示終端機參數 su 轉換使用者帳戶(克拉克-電話亭-超人) sync 手動同步 superblock 資料 T tar 檔案、目錄的打包工具(喜宴的塑膠袋，插魚丸的筷子) tail 指定輸出文件結尾部份的內容 tcsh 人機介面，主要功能源自於 c shell，是一個相當強的的演進版本。 top 執行程序的資訊顯示 touch 更新檔案的時間紀錄 tree 以樹狀結構顯示目錄資料 true 產生程序成功的狀態碼 U uname 系統資訊顯示 V vi 文字編輯器(在 Linux 中，實際執行的是與之相容的 vim) vim 文字編輯器 W w 顯示系統正在執行的程序(就是問電腦--你正在幹什麼！) wall 訊息廣播工具(大聲公 :() 喔 ~ ~ ~ ... ) wc 計算檔案的字元、單字與行數的工具(不是廁所) whatis 用完整單字，搜尋線上手冊的資料 who 顯示系統目前遷入的使用者情況 whoami 我是誰(非廣告) X xargs xpdf pdf 文件的閱讀工具 Y yes 持續不斷地標準輸出指定的字串 Z -------------------------------------------------------------------------------- 相關延伸參考 中文手冊頁計劃 -- http://www.cmpp.net/ RedHat 7.3 線上手冊(/usr/share/man)

------
**********************************************************
哈哈&兵燹
最會的2大絕招 這個不會與那個也不會 哈哈哈 粉好

Delphi K.Top的K.Top分兩個字解釋Top代表尖端的意思,希望本討論區能提供Delphi的尖端新知
K.表Knowlege 知識,就是本站的標語:Open our mind

再介紹一個最簡易的方式 只要安裝 MRTG for Linux 你要的追蹤,記錄,流量分析就已經內建功能 相當容易使用 不過log檔你仍需自行手動設定(安全防護) MRTG網路流量統計分析 http://delphi.ktop.com.tw/topic.php?TOPIC_ID=19598 ******************************************************************* MRTG 也有FOR windows2000的版本ㄛ http://delphi.ktop.com.tw/topic.php?TOPIC_ID=19676 *********************************************************************

------
**********************************************************
哈哈&兵燹
最會的2大絕招 這個不會與那個也不會 哈哈哈 粉好

Delphi K.Top的K.Top分兩個字解釋Top代表尖端的意思,希望本討論區能提供Delphi的尖端新知
K.表Knowlege 知識,就是本站的標語:Open our mind

http://netlab.kh.edu.tw/document/張毓麟/記錄檔越來越大怎麼辦.htm 記錄檔越來越大怎麼辦? 作者 ylchang (天兵) 看板 calab 標題 紀錄檔越來越大怎麼辦? 時間 Sat Apr 15 00:20:51 2000 ─────────────────────────────────────── 系統裡面會有一些紀錄檔 (logfiles), 紀錄檔會隨這系統的使用時間而成長, 內定的紀錄檔, 例如 /var/log/messages 漲到一個程度就會 被系統處理壓縮起來, 可是我們新加入的一些非預設的 程式(例如www)所產生的紀錄檔怎麼辦? 在 FreeBSD 上面, 可以使用 newsyslog 這個方便的工具, 打開 /etc/newsyslog.conf 可以看到... 原來, 系統預設的 紀錄檔其實都是在這邊處理的. 下面我示範加入三筆設定, 用來處理 apache (WWW server) 產生的紀錄檔. /usr/local/apache/logs/access.log 664 3 * @T0000 Z /usr/local/apache/logs/error.log 664 3 * @T0000 Z /usr/local/apache/logs/suexec_log 664 3 * @T0000 Z 第一欄, 當然就是紀錄檔的位置, 第二欄是紀錄檔的權限 (mode) 3 表示在硬碟內保留過去三次處理的紀錄, 比三次還舊的紀錄就把他砍了. * 表示不管紀錄檔的大小. @T0000 表示每天零點零分的時候處理這個檔案 Z 表示把處理過的檔案壓縮起來, 節省空間. 這東西是非常有用的.... 記得許多年前有一次, www server 的紀錄檔 將近一個月沒有清理, 長大到 3G 多, 然後系統硬碟爆了... 就掛站了. 前不久另外一台 SERVER 掛點, 也是因為 HD 爆掉... 檢查 www log 也 是大的跟豬頭一樣... :p 有了 newsyslog 的幫忙, 就不會因為一時忘記清理 log 檔而發生悲劇. 只要在系統安裝好的時候, 順手把 newsyslog.conf 設定一下就可以了. 關於 newsyslog.conf 的詳細說明, man newsyslog 就可以看到. ps; newsyslog 在系統 default 的 contable (/etc/crontab) 裡被預先設定 為每一個小時啟動一次.

------
**********************************************************
哈哈&兵燹
最會的2大絕招 這個不會與那個也不會 哈哈哈 粉好

Delphi K.Top的K.Top分兩個字解釋Top代表尖端的意思,希望本討論區能提供Delphi的尖端新知
K.表Knowlege 知識,就是本站的標語:Open our mind