下面介紹一些可以用于 Linux 的安全工具��,這些工具對(duì)于固化您的服務(wù)器將起到一定的作用��,可以解決各方面的問(wèn)題�����。我們的重點(diǎn)只是想讓您了解這些工具���,對(duì)安裝配置以及使用不會(huì)給出很詳細(xì)的介紹�����。一些安全問(wèn)題例如 suid 是什么��,緩沖溢出是什么等概念性的東西也不屬于本文討論的范圍�����。
介紹這些工具的目的只是給您一個(gè)提示的方向���,并不是讓您拘泥于這些工具����。畢竟安全是一個(gè)過(guò)程�,不是一個(gè)產(chǎn)品。
一��、Sxid
sxid 是一個(gè)系統(tǒng)監(jiān)控程序��。它可以監(jiān)視系統(tǒng)中 suid��,sgid 文件以及沒(méi)有屬主的變化���。并且以可選的形式報(bào)告這些改變���,你可以在配置文件中設(shè)置用 email 的形式通知這些改變,也可以不使用 email 而直接在標(biāo)準(zhǔn)輸出上顯示這些變化����。Suid�,sgid 文件以及沒(méi)有屬主的文件很有可能是別人放置的后門(mén)程序��,這些都是您所要特別注意的�。
你可以從下面的網(wǎng)址獲得 sxid:ftp://marcus.seva.net/pub/sxid/
如果您安裝過(guò)其他工具,那么您一定也會(huì)安裝這個(gè)工具���,它在安裝上沒(méi)有什么特別的地方�����。
缺省安裝的時(shí)候,配置文件為 /usr/local/etc/sxid.conf�,這個(gè)文件中有很明顯的注釋很容易看懂。在這個(gè)文件中定義了 sxid 的工作方式����。日志文件缺省為 /var/log/sxid.log,日志文件的循環(huán)次數(shù)在 sxid.conf 文件中定義�����。您可以在配置固定后把 sxid.conf 設(shè)置為不可改變��,把 sxid.log 設(shè)置為只可添加(使用 chattr 命令)�。
您可以用 sxid -k 加上 -k 選項(xiàng)來(lái)進(jìn)行檢查���,這時(shí)檢查很靈活,既不記入日志�,也不會(huì)發(fā)出 email。這樣您就可以隨時(shí)做檢查����。但是我還是建議您把檢查放入 crontab 中,使用 crontab -e 編輯加入下面的條目:
0 4 * * * /usr/bin/sxid
表示每天上午 4 點(diǎn)執(zhí)行這個(gè)程序�����。
如果您還想了解更詳細(xì)的信息����,可以參考:
man sxid
man 5 sxid.conf
二、Skey
您認(rèn)為您的密碼安全嗎?即使您的密碼很長(zhǎng)����,有很多特殊字符,解密工具很難破解����,但您的密碼在網(wǎng)絡(luò)中傳送時(shí)是以明文形式的,在以太網(wǎng)中隨便一個(gè)嗅探器就可以截取您的密碼����,F(xiàn)在在交換環(huán)境中也能實(shí)現(xiàn)這種技術(shù)����。在這種情況下���,skey 對(duì)您來(lái)說(shuō)是一個(gè)選擇�。
Skey 是一次性口令的一個(gè)工具��。它是一個(gè)基于客戶\服務(wù)器的應(yīng)用程序��。首先在服務(wù)器端可以用 keyinit 命令為每個(gè)用戶建立一個(gè) skey 客戶���,這個(gè)命令需要指定一個(gè)秘密口令,然后就可以為客戶端的用戶產(chǎn)生一次性口令列表����。當(dāng)用戶通過(guò) telnet,ftp 等與服務(wù)器進(jìn)行連接時(shí)就可以按照一次性口令列表中的口令順序輸入自己的密碼��,下次再連接時(shí)候密碼就換成了列表中的下一個(gè)����。
可以從下面的網(wǎng)址獲得 skey:ftp://ftp.cc.gatech.edu/ac121/linux/system/sunacm/other/skey
skey 的服務(wù)器端使用有下面的步驟:
1.使用下面的命令初始化用戶mary:
keyinit mary
keyinit 每次為用戶生成 99 個(gè)一次性口令��,這時(shí)就會(huì)在 /etc/skeykeys 文件建立這個(gè)用戶�����,該文件中保存了服務(wù)器端計(jì)算下一個(gè)一次性口令的一些信息���。用上面的 keyinit 命令時(shí)就會(huì)在 /etc/skeykeys 中有下面的記錄:
mary 0099 to25065 be9406d891ac86fb Mar 11, 2001 04:23:12
上面的記錄中從左到右依次是用戶名,要使用的一次性口令序號(hào)���,口令的種類�����,16 進(jìn)制表示的口令�����,日期和時(shí)間��。
2.將一次性口令列表提供給 mary
您可以打印出口令列表然后送給 mary���。這樣比較安全,密碼不會(huì)在網(wǎng)絡(luò)中傳遞。
3.為 mary 修改缺省的登陸 shell 為 /usr/local/bin/keysh
由于 PAM 的作用�����,mary 登陸時(shí)要輸入密碼��,她輸入這個(gè)一次性口令后服務(wù)器端要對(duì)這個(gè)口令進(jìn)行校驗(yàn)����,校驗(yàn)通過(guò)連接就被許可了。
可能有些用戶不喜歡書(shū)面的口令列表���,用戶可以使用 key 命令在自己的客戶端得到一次性口令�����。您可以通過(guò)開(kāi)兩個(gè)窗口�,一個(gè)對(duì)服務(wù)器進(jìn)行連接獲得一次性口令的種類和序號(hào)�����,然后在另一個(gè)窗口用 key 命令根據(jù)口令的種類和序號(hào)獲得所要的密碼���。但是必須提醒您,您這樣的方便是以一定的危險(xiǎn)性為代價(jià)的。
如果您的缺省的 99 個(gè)口令用完了���,您可以使用 keyinit -s 刷新口令列表���。
在 /usr/src/skey/misc 目錄中有許多其他的替換 keysh 的提供其他服務(wù)的程序,例如:su,login,ftp 等等���。這樣您可以應(yīng)付不同的服務(wù)的連接請(qǐng)求了��。
為了安全����,您最好設(shè)置一下/etc/skeykeys 文件的屬性和權(quán)限��。
關(guān)鍵詞標(biāo)簽:Linux系統(tǒng),Sxid,Skey
安裝紅帽子RedHat Linux9.0操作系統(tǒng)教程
使用screen管理你的遠(yuǎn)程會(huì)話
GNU/Linux安裝vmware
如何登錄linux vps圖形界面 Linux遠(yuǎn)程桌面連