在现在技术肆虐的时代,入侵已经很常见了。因为Unix操作系统经常承当着关键任务,所以它经常是入侵者攻击的首选目标。于是检测入侵、保护系统安全是管理员的最为重要的任务之一。那么,在没有其它工具帮助的情况下,如何去判断系统当前的安全性?如何去发现入侵呢?下面,我们来从几个方面来考虑。
检查Unix操作系统内核级后门
如果你的Unix操作系统被人安装了这种后门,通常都是比较麻烦的,首先,检查Unix操作系统加载的模块,在LINUX系统下使用lsmod命令,在solaris系统下使用modinfo命令来查看。
这里需要说明的是,一般默认安装的LINUX加载的模块都比较少,通常就是网卡的驱动;而solaris下就很多,没别的办法,只有一条一条地去分析。对内核进行加固后,应禁止插入或删除模块,从而保护系统的安全,否则入侵者将有可能再次对系统调用进行替换。我们可以通过替换create_module()和delete_module()来达到上述目的。
另外,对这个Unix操作系统内核进行加固模块时应尽早进行,以防Unix操作系统调用已经被入侵者替换。如果Unix操作系统被加载了后门模块,但是在模块列表/proc/module里又看不到它们。出现这种情况,需要仔细查找/proc目录,根据查找到的文件和经验来判断被隐藏和伪装的进程,当然目录也可能不是隐藏的。
手工的入侵检测行为对于Unix操作系统安全来说只是治标而不治本,多半还是依靠管理员的技巧和经验来增强系统的安全性,没有,也不可能形成真正的安全体系,虽然好过没有,可以检测和追踪到某些入侵行为,但如果碰上同样精通系统的入侵者就很难抓住踪迹了。
搭建真正的安全体系需要配合使用入侵检测Unix操作系统,一个优秀的入侵检测系统辅以系统管理员的技巧和经验可以形成真正的安全体系,有效判断和切断入侵行为,真正保护主机、资料。关于Unix操作系统检查内核级后门的一些知识就介绍到这里,希望大家看完之后更加的熟练运用。
【编辑推荐】
