[转载]UNIX系统安全评估和监测工具
信息来源:[url]www.bbnl.org[/url]当UNIX机器从制造商发货时,它们通常没有配置好,根本就不符合一般的商业电子信息安全标准。这些标准需要计算机设备必须具有配置管理控制,网络访问控制,口令管理控制,以及屏幕加锁控制。本文将讨论关于UNIX机器的一些安全问题解决方案。
只有这些解决方案并不能保证安全。UNIX系统必须要小心谨慎地进行管理。例如,操作系统和正在使用的程序的补包一定要及时安装,帐户一定要定期检查,审计文件应该定期检查,等等。
配置管理
下列的工具帮助把安全参数设置为安全的非缺省的值。同时,它们也监视系统的变化,查看这些变化是否有损系统的安全。
1. Security Toolkit/UNIX - 商业软件包,分布式UNIX系统的安全评估工具。它可提供,从网络上一个单独的节点,来评估多个连网UNIX机器的安全情况。Security Toolkit/UNIX的特征包括,可编辑的基本原则,层次化报告,纠正已识别问题的工具,测试的Scheduler, 以及命令行和图形用户界面 - Raxco
2. COPS - Computer Oracle and Password System (COPS),共享软件包,针对单一UNIX系统的安全评估工具。COPS可以匿名ftp下载,从 ftp.cert.org ,位于 /pub/tools/cops/1.04. 它也可以从archive.cis.ohio-state.edu 匿名ftp下载, 目录是 /pub/cops/1.04+.
3. Tripwire - 公共域工具,帮助系统管理员和用户监视指定文件组上的任何变化。与系统文件共同定期使用,Tripwire能够提示系统管理员有已崩溃文件,或未经授权而改动的文件,并且能够定期执行破坏控制措施。Tripwire可以匿名ftp下载,从 ftp.cert.org, 位于 /pub/tools/tripwire.
4. SATAN - Security Analysis Tool for Auditing Networks. 自多年前最初构思以来,SATAN一直是众多大型和复杂版本的安全工具的原型。SATAN远程探测并报告网络服务和窗口系统上的各种各样的Bugs和弱点,同时也给出关于目标的尽可能多的尽可能详细的有用信息。它采用一个粗过滤器和一个所谓专家系统来处理数据,生成最终的安全分析。它并不是特别快,它是极其模块化和易于修改。
SATAN包含多个子程序,每个子程序都是一个可执行的文件(Perl, Shell, 已编译的C二进制代码, 等等),可针对一个给定的潜在弱点进行测试。添加新的测试程序只需把程序放在主目录,以".sat"为扩展名,驱动程序将自动执行。驱动程序生成目标集,然后对每个目标执行每个程序。数据过滤和翻译程序分析执行程序的输出,最后,报告程序产生可读报告。
整个软件包,包括源码和文档,可免费下载。
网络访问
这些工具提供附加控制和审计信息。
1. TCP wrapper - 公共域程序,可监视和过滤网络服务的进来的申请(如 SYSTAT, FINGER, FTP, TELNET, RLOGIN, RSH, EXEC, TFTP, TALK, 等)。该软件包提供Wrapper的daemon程序,对当前软件和当前配置文件无须修改,可以直接安装。它报告远程主机的名字和申请的服务,不与远程客户进程交换任何信息,对于客户和服务器应用之间的实际通讯不会增加负担。
可选的特征有,访问控制,限制哪些系统可以连接你的网络进程daemons,远程用户名查询,RFC931协议,附加保护,防范那些假装另一个主机的名字和IP地址的主机。
TCP Wrapper可以匿名ftp下载,从 ftp.cert.org 目录位于 /pub/tools/tcp_wrappers. 也可以从 ftp.win.tue.nl 匿名下载, 目录在 /pub/security.
2. Sendmail - Berkeley sendmail的最近版本,可匿名ftp下载 ftp.cs.berkeley.edu, 目录在/ucb/sendmail.
3. ftpd - ftpd源码,很多其它网络实用工具,ftp.uu.net,/packages/bsd-sources.
4. ISS - Internet Security Scanner, 实用工具,远程扫描各种网络弱点,匿名下载,ftp.uu.net,/usenet/comp.sources.misc/volume40/iss.
5. Securelib - 匿名下载,ftp.uu.net,/usenet/comp.sources.misc/volume36/securelib.
口令管理
这些工具可以加强口令的强度和质量。
1. anlpasswd - 公共域口令检查器,防止用户选择一个弱口令。Anlpasswd的兼容性很好,因为它直接利用系统口令更改子进程,而不是替换一个新的进程,在一个NIS环境,它一样工作。Anlpasswd需要用PERL,和一个大字典。它可运行在: Sun, IBM, NeXT, SGI, Intel iPSC860, Alliant, Encore, BBN TC200, Solbourne, 以及Sequent. Anlpasswd可以匿名ftp下载,从 info.mcs.anl.gov , 位于目录 /pub/systems. PERL 可下载于 ftp.uu.net, 目录 /languages/perl. 字典可下载于 coast.cs.purdue.edu , 目录/pub/dict.
2. npasswd - 公共域口令检查器,替代标准的"passwd"命令, 以防止用户选择容易猜的口令。Npasswd 需要一个字典。它可运行于: 4.3BSD, SunOS 4.0, 和 SVR3(untested),以及用于NIS的补包。建议使用DBM文件作为字典文件,不要使用平文文件,这是由于平文文件采用egrep命令行方式来搜索。Npasswd可匿名ftp下载,从 ftp.cc.utexas.edu, 位于目录/pub/npasswd.
3. passwd+ - 公共域口令检查器,可取代系统的/bin/passwd。它是基于规则的,易于配置。可防止用户选择一个弱口令,防止像"CRACK"的程序来猜它。可运行于: SunOS 4.X, Solaris 2.3, Ultrix 4.3A, 和 SGI IRIX 4.x. Passwd+ 可匿名ftp下载,从 tam.cs.ucdavis.edu , 位于目录/pub/security.
锁屏
当工作站空闲时,这些工具可锁定它们。
1. Xlockmore - 基于xlock,并增加了一些功能和兼容性。可匿名下载,从 ftp.x.org, 位于目录 /contrib/applications.
2. Xscreensaver - 适当地配置,xscreensaver可作为屏幕保护器,用于使用Motif的机器。Xscreensaver 监视键盘和鼠标的动作,当达到超时阈值时,它将自动锁定屏幕。它的一个很好的特征是任何一个在根窗口下的程序都可用作屏幕保护器,不用作任何修改。Xscreensaver可匿名下载,从 ftp.x.org, 位于目录 /contrib/applications.
页:
[1]