(1)sXid
sXid是一个系统监控程序,软件下载后,使用“make install”命令即可安装。它可以扫描系统中suid和sgid文件和目录,因为这些目录很可能是后门程序,并可以设置通过电子邮件来报告结果。缺省安装的配置文件为/etc/sxid.conf,这个文件的注释很容易看懂,它定义了sxid 的工作方式、日志文件的循环次数等;日志文件缺省为/var/log/sxid.log。出于安全方面的考虑,我们可以在配置参数后把sxid.conf 设置为不可改变,使用 chattr 命令把sxid.log文件设置为只可添加。此外,我们还可以随时用sxid -k加上 -k 选项来进行检查,这种检查方式很灵活,既不记入日志,也不发出 email。如图1所示。
Linux系统下查找漏洞的N种兵器 src="https://www.ltesting.net/attachments/2007/07/1_200707132114173.jpg" border=1>
图1 sXid
(2)LSAT
Linux Security Auditing Tool (LSAT) 是一款本地安全扫描程序,发现默认配置不安全时,它可以生成报告。LSAT由Triode开发,主要针对基于RPM的Linux发布设计的。软件下载后,进行如下编译:
| cndes$ tar xzvf last-VERSION.tgz cndes$ cd lsat-VERSION cndes$ ./configure cndes$ make |
然后以root身份运行:root# ./lsat。默认情况下,它会生成一份名字叫lsat.out的报告。也可以指定一些选项:
| -o filename 指定生成报告的文件名 -v 详细输出模式 -s 不在屏幕上打印任何信息,只生成报告。 -r 执行RPM校验和检查,找出默认内容和权限被改动的文件 |
LSAT可以检查的内容很多,主要有:检查无用的RPM安装;检查inetd和Xinetd和一些系统配置文件;检查SUID和SGID文件;检查777的文件;检查进程和服务;开放端口等。LSAT的常用方法是用cron定期调用,然后用diff比较当前报告和以前报告的区别,就可以发现系统配置发生的变化。下面是一个测试中的报告片断:
| **************************************** This is a list of SUID files on the system: /bin/ping /bin/mount /bin/umount /bin/su /sbin/pam_timestamp_check /sbin/pwdb_chkpwd /sbin/unix_chkpwd **************************************** This is a list of SGID files/directories on the system: /root/sendmail.bak /root/mta.bak /sbin/netreport **************************************** List of normal files in /dev. MAKEDEV is ok, but there should be no other files: /dev/MAKEDEV /dev/MAKEDEV.afa **************************************** This is a list of world writable files /etc/cron.daily/backup.sh /etc/cron.daily/update_CDV.sh /etc/megamonitor/monitor /root/e /root/pl/outfile |
文章来源于领测软件测试网 https://www.ltesting.net/
