BBS水木清华站∶精华区

发信人: SoC.bbs@bbs.cs.nthu.edu.tw (牵线人), 看板: Plan 
标  题: Re: 谈谈系统安全 
发信站: 清华资讯系学会(枫桥驿站) (Fri Sep  6 23:33:57 1996) 
转信站: sob!news.cs.nthu!maple 
 
在巩固了 sendmail (port 25)之後, 接下来, 要继续攘 
外的大业, 安装 tcp-wrapper 及 logdaemon. 
 
一个开放的系统, 最令人担忧的, 就是敌暗我明, 和毫不 
设防. 而 tcp-wrapper 和 logdaemon 的安装, 就是要达 
成限制连线和记载连线的功能, 如此, 管理者只要每天流 
览记录档(可利用 loghost 的设定将, 记录档集中至某一 
台, 甚至还可以用 console printer 直接输出), 就可以 
对连线状况有清楚的了解, 也可对可疑的尝试连线, 防□ 
於未然. 
 
tcp-wrapper 和 logdaemon 记录的是连进的资料, 如果 
行有馀力, 还可更改 logdaemon 的 source, 把使用的 
tty 和离线的时间也记录下来, 如此可取代 utmp 的功能, 
万一遭到不测 HD 被清光时, 可从 log 中看出, 事发的 
可能时间, 当时还在线上的使用者, 如何连线, 来自何方. 
 
在进行安装 tcp-wrapper 时, 应同时检视 /etc/inetd.conf 
的内容, 将不必要, 多馀的 service 关闭. 对一个纯 BBS, 
不上 YP, 不做 NFS, 那就除了留下 telnet (bbs 和 管 
理用), 都可以全关了. 在一般情况下, 除了特定加入的 
service (如: snp, pop, samba, ident) 和 ftp, shell, 
login, talk(?), finger(?), rquota/1(NFS quota on)外, 
其他的也可以关了. 对 BBS 管理用的 port, 则应用 tcpd 
最小□围的开放连线. 方便往往是安全的最大敌人. 
 
其他 default 在 inetd.conf 的 service, 如 walld/1, 
用简单的方法, 就可以为 BBS/一般工作站 带来 "惊喜". 
 
当然, 如果您在 /etc/inetd.conf 看到不明的 entry, 如: 
ingres  stream  tcp nowait  root    /bin/sh       sh -i 
那麽恭喜您, 您已经和他人共享 root 权限了 !! 
 
改好, 重叫 inetd 之後, 顺便检查一下 /.rhosts, 
/etc/hosts.equiv 是否有可爱 "+" 出现在其中, 顺便再 
看看 /etc/rc* 中, 有没有不明的 daemon 在开机时, 就 
已经被启动了. 
 
如果有任何迹象显示, 已经和他人共用 root, 那一切就得 
重头来过了. 
 
Summary: 1. 安装 tcp-wrapers_7.4, logdeamon-5.3 
         2. 检查设定 /etc/inetd.conf (syslog.conf) 
         3. 检查 /.rhosts, /etc/hosts.equiv, /etc/rc* 
 
待续.... 
-- 
※ Origin: 枫桥驿站(bbs.cs.nthu.edu.tw) ◆ From: alpha4 

BBS水木清华站∶精华区