一、系统约定
1、系统环境
Linux:CentOS-4.4.ServerCD
Apache:2.2.4
MySQL:4.0.26
PHP:4.3.11
ZendOptimizer:3.2.2
phpMyAdmin:2.10.0.2
2、源码包存放位置 :/usr/local/src
#为什么一定要在/usr/local/src/下进行Tarball呢?这仅是约定俗成的,因为如此一来,大家都安装在这个地方,以后主机的维护与移交都很简单,并且对于将来在主机上面进行“升级”与”版本识别“都有很好的帮助。
二、系统环境部署及调优
1、基本安全设置
对于一个在Internet上提供服务的主机,安全性很重要,这方面的工作包含主机的包漏洞修补、关闭并不是必须的守护进程(端口)、防火墙配置以及每日的日志分析等。在装完系统后,建议按照以下步骤来进行安全设置:
1)关闭并不是必须的守护进程(端口)
CentOS4.4系统安装完成后,一些可能并不是必须的守护进程会启用。禁用非必要的进程会减少系统的内存开销,同时也可以减少系统的安全隐患,可以释放更多的内存空间、减少系统的启动时间、减少CPU处理的进程数量。
默认情况下,很多守护进程可以安全的在系统下停止和禁用。下表列出了CentOS4.4安装(安装时软件包只选择开发工具一项)的一些守护进程,如果不是必须的你可以考虑禁用这些进程。 进程 描述
acpid 提供高级电源管理。建议保留
anacron 一个自动化运行任务守护进程。Red Hat Linux 随带四个自动化任务的工具cron、 anacron、at、和 batc。当你的Linux服务器并不是全天运行,这个anacron就可以帮你执行在"crontab"设定的时间内没有执行的工作。
apmd apmd(Advanced Power Management)是高级电源管理。传统的电源管理标准,对于笔记本电脑比较有用,可以了解系统的电池电量信息。并将相关信息通过syslogd 写入日志。也可以用来在电源不足时关机。
atd 计划任务(执行一次)守护进程。建议保留
autos 自动mount文件系统进程(例如自动mount光驱),在服务器系统上文件系统很少使用自动mount功能。关闭
cpuspeed 动态调整CPU频率的进程,在服务器系统中这个进程建议关闭。
crond 计划任务(循环执行)守护进程。建议保留
cups 通用UNIX打印系统,如果你计划在服务器上运行打印服务就不要关闭这个进程。
gmp 文本终端的鼠标服务,如果你想在本地文本终端支持鼠标就不要禁用这个进程。
haldaemon 和Windows的硬件管理类似,挂载U盘等必不可少。建议保留
iptables 这个是防火墙守护进程,无论如何,先启动它。
irqbalance 在多个处理器之间平衡中断,如果你使用一个单CPU系统或者你计划静态的平衡中断可以禁用这个进程。
isdn ISDN调制解调器支持,如果你准备在服务器上支持ISDN调制解调器就不要禁用这个进程。
kudzu 检测和配置新硬件,如果硬件配置改变了应该手动运行。
mdmonitor RAID相关设备的守护程序。
messagebus 挂载U盘时,要确保haldaemon和messagebus服务启动,所以这个也建议保留。
microcode_ctl 可编码以及发送新的微代码到内核以更新Intel IA32系列处理器守护进程。建议保留
netfs 用于支持NFS共享,如果你准备在服务器上支持NFS共享就不要禁用这个进程。
network 激活/关闭启动时的各个网络接口守护进程。
nfslock 对nfs启用文件锁,如果你准备在服务器上支持NFS共享就不要禁用这个进程。
pcmcia Pcmcia支持,在服务器上很少使用pcmcia适配器因此可以安全的禁用这个进程。
portmap 为RPC服务动态分配端口(例如NIS和NFS),如果系统没有支持RPC服务可以禁用这个进程。
rawdevices 提供对裸设备绑定的支持,如果你不准备在系统中使用裸设备可以禁用这个进程。
rpcgssd 主要用于NFS和Samba的多个远程调用进程,如果系统没有基于rpc服务的支持,可以禁用这个进程。
rpcidmapd 同上
sendmail 邮件传输代理,如果服务器需要支持邮件服务就不要禁用这个进程。
smartd 使用S.M.A.R.T兼容设备的进程,如果你不是使用IDE/SATA磁盘子系统,可以禁用这个进程。
sshd OpenSSH服务器守护进程,如果你不需要远程管理主机,可以关闭,不过应该没有几个人不需要这个服务吧。
syslog 把各类事件写入日志,是相当重要的服务,务必启动。
xfs X Window的字体服务,如果你的运行级别是5请不要禁用这个进程。
xinetd 支持多种网络服务的核心守护进程。务必启动。
[root@localhost ~]# ntsysv
#根据自己的需要,使用ntsysv工具来启用那些里程。
[root@localhost ~]# reboot
#重新启动使设置生效
[root@localhost ~]# netstat -an |more
#......信息略......
#检查一下当前开启的端口
#netstat是个很重要的命令,请大家务必掌握,这部份的知识自行在网上查阅。
2)基本防火墙配置
[root@localhost ~]# /etc/rc.d/init.d/iptables stop
#防火墙开启
[root@localhost ~]# /etc/rc.d/init.d/iptables start
#防火墙开启
[root@localhost ~]# vi /etc/sysconfig/iptables
#根据自己的情况增加防火墙规则。
[email=root@localhost]root@localhost[/email] ~]# iptables-save > filename
#上面的命令用于将当前主机上的防火墙规则保存到filename文件。
root@localhost ~]# iptables-restore < filename
#上面的命令用于将filename防火墙规则文件(注意:不是sehll scripts格式)的规则读入当前Linux主机环境中。
3)locate命令用数据库更新及自动更新设定
[root@localhost ~]# vi /etc/updatedb.conf
#将“DAILY_UPDATE=no”修改为“DAILY_UPDATE=yes”后保存、退出。
[root@localhost ~]# updatedb
#运行locate数据库更新命令,稍等片刻…更新成功后出现提示符
4)修改yum仓库的镜象地址,以提高下载速度
[root@localhost ~]# cd /etc/yum.repos.d/
[root@localhost yum.repos.d]# mv CentOS-Base.repo CentOS-Base.repo.bak
[root@localhost yum.repos.d]# wget http://mirror.be10.com/centos/4.4/CentOS-Base.repo
5)停止打印服务
[root@localhost ~]# /etc/rc.d/init.d/cups stop ← 停止打印服务
Stopping cups: [ OK ] ← 停止服务成功,出现“OK”
[root@localhost ~]# chkconfig cups off ← 禁止打印服务自动启动
[root@localhost ~]# chkconfig --list cups ← 确认打印服务自启动设置状态
cups 0:off 1:off 2:off 3:off 4:off 5:off 6:off ← 0-6都为off的状态就OK(当前打印服务自启动被禁止中)
6)在线升级Linux
[root@localhost ~]# yum update
#通过yum工具更新系统,更新后请重启系统
#yum的用法请见《如何使用yum管理RPM(CentOS)》
2、其它设置
1)语言环境缺省设置
[root@localhost ~]# vi /etc/sysconfig/i18n
加上如下一行
QUOTE:
LANG="zh_CN.GB18030"
[root@localhost ~]# reboot
#重新启动要设置生效
如果临时需要英文环境,执行以下命令即可。
[root@localhost ~]# export LANG='en_US'
2)对TCP/IP网络参数进行调整,加强抗syn_flood能力
[root@localhost ~]# echo 'net.ipv4.tcp_syncookies = 1' >> /etc/sysctl.conf
[root@localhost ~]# sysctl –p
3)网络校时
[root@localhost ~]# date
#确认系统时间是否正确
[root@localhost ~]# ntpdate 210.72.145.44
#与中国国家授时中心进行时间校正
[root@localhost ~]# yum install ntp
#安装ntpdate程序。系统虽然默认没有安装这个套件,但我们可以很方便的通过yum工具来在线安装。
[root@localhost ~]# crontab -e
[Copy to clipboard] [ - ]
CODE:
0 23 * * * root /usr/sbin/ntpdate 210.72.145.44 > /dev/null 2>&1
#以上命令设置好后存盘。您的机器将在每天的23:00根据中国国家授时中心的NTP服务器时间自动校准时间。
#关于linux下定时执行工具crontab的介绍请见http://hi.baidu.com/monobao/blog/item/01e9ecdcbc6a14a1cc11665b.html
3、安装有依赖关系RPM包
[root@localhost ~]# vi install.sh
[Copy to clipboard] [ - ]
CODE:
yum -y install gcc
yum install cpp
yum install gcc-c++
yum install ncurses
yum install ncurses-devel
yum install gd-devel php-gd
yum install zlib-devel
yum install freetype-devel freetype-demos freetype-utils
yum install libpng-devel libpng10 libpng10-devel
yum install libjpeg-devel
yum install ImageMagick
yum install flex
yum install ImageMagick-devel
[root@localhost ~]# sh install.sh
#为了方便,直接这些软件包在线安装的指令行编写到到脚本(Shell Script)中,下次用到时,你只需执行这个脚本就能自动安装了。因为Shell Script是利用您平日在使用的一些指令,将之组合起来,成为一个"程式"。如果您平日某些序列的指令下得特别频繁,便可以将这些指令组合起来,成为另一个新的指令。这样,不但可以简化并加速操作速度,甚至还可以乾脆自动定期执行,大大简化系统管理工作。
下面正式步入LAMP的的安装步骤,开始安装之前,先了解一下源码编译方面的知识,参考文献《Linux系统管理员(二)---套件管理RPM与Tarball》。
三、安装Mysql
1、建立msyql用户组
[root@localhost ~]# grep mysql /etc/group
#查询系统中是否有mysql这个用户组,没有则添加。
[root@localhost ~]# groupadd mysql
#增加一个名为mysql的用户组
2、建立mysql用户
[root@localhost ~]# grep mysql /etc/passwd
#查询系统中是否有mysql这个用户,没有则添加。
[root@localhost ~]# useradd mysql -g mysql -M -s /sbin/nologin
#增加一个名为mysql的用户。
-g:指定新用户所属的用户组(group)
-M:不建立根目录
-s:定义其使用的shell,/sbin/nologin代表用户不能登录系统。
3、下载:mysql-4.0.26
[root@localhost ~]# cd /usr/local/src/
[root@localhost src]# wget http://ftp.gamearena.cn/software/mysql-4.0.26.tar.gz
#......(信息略)......
[root@localhost src]# chmod +x mysql-4.0.26.tar.gz
#修改文件权限为755
[root@localhost src]# tar -zxvf mysql-4.0.26.tar.gz
#......(信息略)......
#解压缩
PS:当你在www.mysql.com下载MySQL的时候,会发现有binary/rpm/source三种包。binary distribution是由mysql官方优化编译好的,不需要make。
3、设置编译器的编译参数
[root@localhost src]# cd /usr/local/src/mysql-4.0.26
[root@localhost mysql-4.0.26]# ./configure --prefix=/usr/local/mysql --with-unix-socket-path=/tmp/mysql.sock --localstatedir=/usr/local/mysql/data --with-charset=gbk --without-debug --enable-assembler --without-isam --with-client-ldflags=-all-static --with-mysqld-ldflags=-all-static
#这些设置告诉编译器如何编译apache:
--prefix=/usr/local/mysql
指定msyql安装目录
--with-unix-socket-path=/tmp/mysql.sock
这个是指定mysql服务器启动后,联机套接字文件所处的位置和文件名。
--localstatedir=/usr/local/mysql/data
指定mysql的数据库目录
--with-charset=gbk
添加gbk中文字符支持
--without-debug
去除debug模式
--enable-assembler
使用一些字符函数的汇编版本
--without-isam
去掉isam表类型支持,现在很少用了,isam表是一种依赖平台的表
--with-client-ldflags=-all-static
--with-mysqld-ldflags=-all-static
4、编译和安装
[root@localhost mysql-4.0.26]# make
#“make”命令把源文件编译成可执行的二进制文件
[root@localhost mysql-4.0.26]# make install
#“make install”把二进制文件和配置文件安装在合适的目录下
6、初始化系统库
[root@localhost mysql-4.0.26]# ./scripts/mysql_install_db
当前位置: 操作系统/服务器>linux
本页文章导读:
▪比较详细的基于CentOS的WWW服务器架设指南第1/2页
一、系统约定 1、系统环境 Linux:CentOS-4.4.ServerCD Apache:2.2.4 MySQL:4.0.26 PHP:4.3.11 ZendOptimizer:3.2.2 phpMyAdmin:2.10.0.2 2、源码包存放位置 :/usr/local/src #为什么一定要在/usr/local/src/下进行Tarball呢?这.........
▪星外PHP4升级到PHP5的注意事项与方法
1.在控制面板添加删除中,删除php4,如果装了zend,也要删除. 2.删除c:\php及c:\windows\php.ini 3.安装星外下载中心的的php5.msi.如果需要,也装上zend 4.登陆平台管理区,站点管理,虚拟主机,修改php的.........
▪安全检测Unix和Linux服务器安全设置入门精讲
其实每一个黑客都有自己独到的方法。笔者对于入侵网站服务器的资料收集了很多,但是因为实际情况的不同,往往造成许多方法的失效;由此可见,每一个网站的情况都不同,需要入侵者.........
[1]比较详细的基于CentOS的WWW服务器架设指南第1/2页
来源: 互联网 发布时间: 2013-12-24
[2]星外PHP4升级到PHP5的注意事项与方法
来源: 互联网 发布时间: 2013-12-24
1.在控制面板添加删除中,删除php4,如果装了zend,也要删除.
2.删除c:\php及c:\windows\php.ini
3.安装星外下载中心的的php5.msi.如果需要,也装上zend
4.登陆平台管理区,站点管理,虚拟主机,修改php的影射.
将原来的php.exe或php4isapi.dll改成php5isapi.dll
5.如果服务器已经有开通的PHP虚拟主机,就需要在服务器上IIS中,一个个虚拟主机修改影射,将将原来的php.exe或php4isapi.dll改成php5isapi.dll
6.设置完后,重启IIS就可以正常使用.
2.删除c:\php及c:\windows\php.ini
3.安装星外下载中心的的php5.msi.如果需要,也装上zend
4.登陆平台管理区,站点管理,虚拟主机,修改php的影射.
将原来的php.exe或php4isapi.dll改成php5isapi.dll
5.如果服务器已经有开通的PHP虚拟主机,就需要在服务器上IIS中,一个个虚拟主机修改影射,将将原来的php.exe或php4isapi.dll改成php5isapi.dll
6.设置完后,重启IIS就可以正常使用.
[3]安全检测Unix和Linux服务器安全设置入门精讲
来源: 互联网 发布时间: 2013-12-24
其实每一个黑客都有自己独到的方法。笔者对于入侵网站服务器的资料收集了很多,但是因为实际情况的不同,往往造成许多方法的失效;由此可见,每一个网站的情况都不同,需要入侵者区分对待。假设深圳的线路比北京的线路要好的多,从而给了词典穷举很大的方便,深圳用户就可以依靠这个优势在线攻击口令,作为北京的用户就需要优先考虑其它办法了。针对这么多的入侵手段,笔者参考H ackalot先生这位黑客界名人的一篇文章给大家介绍一下入侵网站的基本步骤。
分析一部分的主页被黑的事例可以发现使用入侵者最热衷于入侵Web服务器和FTP服务器,因为相对来说这是最简单的两种途径。在假设读者对U NIX系统和WEB SERVER的知识不曾了解的情况下,笔者给出下面的步骤。
一、了解要入侵的系统
现在网络上用作服务器的操作系统以UNIX和Linux为主流,如果要入侵这些系统则必须对它们有一个了解。
大部份在 DOS 上使用的指令在 UNIX 及 Linux 上都有对应的指令(因为早期的dos开发借鉴了UNIX),以下列出在使用 SHELL帐号 (shell account)时最主要的一些指令对应的dos指令:
HELP=HELP
CP=COPY
MV= MOVE
LS= DIR
RM =DEL
CD=CD
要看谁同 r也在该系 y上用户可以键入 WHO 指令,要知道系 y上某一位使用者的资料, 可以 I入 FINGER。这些基本的 UNIX 指令可以让你得到你正使用系 y的信息。
二、破解密码
在UNIX操作系统中, 所有系统使用者的密码都存放在一个文件中,这个文件存放在 /etc这个目录下面, 它的文件名就叫做passwd。如果读者认为所要做的工作就是拿到这个文件按照上面的密码登陆系统的话那就大错特错了。UNIX和Linux下的p asswd文件是特殊的,在它里面所有帐号的密码都已经经过重新编译的(也就是前面说过的DES加密方法),而且这些密码所进行的都是单向编译( one-way encrypted),也就是说没有办法可以反编译它的(decrypt)。
但是还是有些程序可以得到这些原始的密码。笔者向大家推荐一个破解密码的程序"Cracker Jack",它也是一个使用字典来对字典文件进行穷举的软件。首先"Cracker Jack"会把字典文件里的每一个值进行编译,然后将编译过的值与密码文件中的内容进行比较,得到相同的结果就会报告对应的未经编译密码。这个软件巧妙的绕过密码无法反编译的限制,使用穷举比较获得密码。使用这种原理获得密码的工具有许多,读者可以到网络上去搜寻一下。
三、获得密码文件
这是最困难的一部分。很明显,如果管理员有那么一个密码文件的话他当然不会放在那里让其它人舒舒服服的拿到的。入侵者必须找到好方法以不进入系统的方式拿到密码文件。这里笔者向大家介绍两种方法,大家可以试试,有可能会成功。
1.tc目录在FTP服务上不会被锁住,入侵可以用FTP client程序使用anoymously匿名帐号登陆,然后检查一下/etc/passwd是否为匿名设置了被读取的权限,如果有马上备份下来使用软件解码。
2.些系统中,/cgi-bin目录下会有个叫PHF的文件,如果准备入侵的服务器上有的话那就要方便的多了。因为PHF允许使用者对网站系统里的文件作远端读取,以此为据,用户可以使用浏览器抓取p asswd文件,只要在浏览器地址栏中键入URL:http://xxx.xxx.xxx/cgi-bin/phf?Qalias=x%0a/bin/cat%20/etc/passwd,其中xxx.xxx.xxx 是要入侵的网站名。
如果这两种方法都行不通的话,那入侵者必须实施其它的办法了。
在有些情况下入侵者找到的密码文件的第二部分是X、!或者*,那么说明该密码文件已经被锁死,这是系统管理员使用的加强安全的手段之一。但是将密码文件完全隐藏起来的情况是不太有的。通常情况下都会有未经锁死的密码文件备份在系统中,这样入侵者就可以加以利用,比如:入侵者通常会寻找/ etc/shadow目录或类似的目录,看能否找到密码文件的备份。
四、建立自己的shell帐号
经过二、三两个关键的步骤入侵者终于拿到了关键的密码文件,并且破解出了密码。现在可以运行TELNET程序,登陆主机了。当连上服务器时服务器会向你显示自己的一些信息,通常是U NIX、linux、 aix、 irix、 ultrix、 bsd 甚至是 DOS 和VAX/Vms;然后是Login提示符出现在屏幕上,这时键入得来的帐号和密码即可登陆系统。此时入侵者就可以利用自己的UNIX知识做自己喜欢做的事了。
最后对一份密码文件做一个分析,该文件内容如下:
root:1234aaab:0:1:Operator:/:/bin/csh
nobody:*:12345:12345::/:
daemon:*:1:1::/:
sys:*:2:2::/:/bin/csh
sun:123456hhh:0:1:Operator:/:/bin/csh
bin:*:3:3::/bin:
uucp:*:4:8::/var/spool/uucppublic:
news:*:6:6::/var/spool/news:/bin/csh
audit:*:9:9::/etc/security/audIT:/bin/csh
sync::1:1::/:/bin/sync
sysdiag:*:0:1:Old System
Diagnostic:/usr/diag/sysdiag:/usr/diag/sysdiag/sysdiag
sundiag:*:0:1:System
Diagnostic:/usr/diag/sundiag:/usr/diag/sundiag/sundiag
tom:456lll45uu:100:20::/home/tom:/bin/csh
john:456fff76Sl:101:20:john:/home/john:/bin/csh
henry:AusTs45Yus:102:20:henry:/home/henry:/bin/csh
harry:SyduSrd5sY:103:20:harry:/home/harry:/bin/csh
steven:GEs45Yds5Ry:104:20:steven:/home/steven:/bin/csh
+::0:0:::
其中以":"分成几个栏位,比如: tom:456lll45uu:100:20:tomchang:/home/tom:/bin/csh的含义是:
User Name: tom
Password: 456lll45uu
User N 100
Group N 20
Real Name: tom chang
Home Dir: /home/tom
Shell: /bin/csh
读者可以发现以上诸如nobody、 daemon、 sys、 bin、 uucp、 news、 audIT、 sysdiag、sundiag 等的密码栏位都是*,也就是说这些帐号的密码都已锁死,无法直接利用。
值得注意的是,许多系统在首次安装后会有一些缺省帐号和密码,这给投机主义的黑客带来方便,以下就是一些UNIX下缺省的帐号和密码。
ACCOUNT PASSWORD
----------- ----------------
root root
sys sys / system / bin
bin sys / bin
mountfsys mountfsys
adm adm
uucp uucp
nuucp anon
anon anon
user user
games games
install install
reboot 供"command login"使用
demo demo
umountfsys umountfsys
sync sync
admin admin
guest guest
daemon daemon
其中 root mountfsys umountfsys install (有 r候 sync也是) 等都是root级别的帐号, 也就是拥有了sysop (系统管理员)的权限。
最后有必要介绍一下UNIX的日志文件。很多入侵者不希望侵入的电脑追踪他们,那到底如何做那。
系统管理员主要依靠系统的LOG,即我们时常所说的日志文件来获得入侵的痕迹及入侵者进来的IP和其他信息。当然也有些管理员使用第三方工具来记录侵入电脑的信息,这里主要讲的是一般U NIX系统里记录入侵踪迹的文件。
UNIX系统有多个版本,各个系统有不同的LOG文件,但大多数都应该有差不多的存放位置,最普通的位置就是下面的这几个:
/usr/adm,早期版本的UNIX;
/var/adm,新一点的版本使用这个位置;
/var/log,一些版本的Solaris,Linux BSD,Free BSD使用这个位置;
/etc,大多数UNIX版本把utmp放在此处,一些也把wtmp放在这里,这也是 syslog.conf的位置。
下面列举一些文件的功能,当然他们也根据入侵的系统不同而不同。
acct 或 pacct,记录每个用户使用的命令记录;
access_log,主要使用来服务器运行了NCSA HTTPD,这个记录文件会有什么站点连接过你的服务器;
aculog,保存着你拨出去的MODEMS记录;
lastlog,记录了用户最近的登陆记录和每个用户的最初目的地,有时是最后不成功登陆的记录;
loginlog,记录一些不正常的登陆记录;
messages,记录输出到系统控制台的记录,另外的信息由syslog来生成;
securITy,记录一些使用UUCP系统企图进入限制范围的事例;
sulog,记录使用su命令的记录;
utmp,记录当前登录到系统中的所有用户,这个文件伴随着用户进入和离开系统而不断变化;
utmpx,UTMP的扩展;
wtmp,记录用户登录和退出事件;
syslog,最重要的日志文件,使用syslogd守护程序来获得。
日志信息:
/dev/log,一个UNIX域套接字,接受在本地机器上运行的进程所产生的消息;
/dev/klog,一个从UNIX内核接受消息的设备;
514端口,一个INTERNET套接字,接受其他机器通过UDP产生的syslog消息;
Uucp,记录的UUCP的信息,可以被本地UUCP活动更新,也可有远程站点发起的动作修改,信息包括发出和接受的呼叫,发出的请求,发送者,发送时间和发送主机;
lpd-errs,处理打印机故障信息的日志;
ftp日志,执行带-l选项的ftpd能够获得记录功能;
httpd日志,HTTPD服务器在日志中记录每一个WEB访问记录;
history日志,这个文件保存了用户最近输入命令的记录;
vold.log,记录使用外接媒介时遇到的错误记录。
以上介绍了一下入侵服务器的主要步骤,读者现在应该对它有一些基础的认识了。需要再次强调的是如果读者对UNIX系统缺乏了解的话那是绝对不可能掌握它的。
分析一部分的主页被黑的事例可以发现使用入侵者最热衷于入侵Web服务器和FTP服务器,因为相对来说这是最简单的两种途径。在假设读者对U NIX系统和WEB SERVER的知识不曾了解的情况下,笔者给出下面的步骤。
一、了解要入侵的系统
现在网络上用作服务器的操作系统以UNIX和Linux为主流,如果要入侵这些系统则必须对它们有一个了解。
大部份在 DOS 上使用的指令在 UNIX 及 Linux 上都有对应的指令(因为早期的dos开发借鉴了UNIX),以下列出在使用 SHELL帐号 (shell account)时最主要的一些指令对应的dos指令:
HELP=HELP
CP=COPY
MV= MOVE
LS= DIR
RM =DEL
CD=CD
要看谁同 r也在该系 y上用户可以键入 WHO 指令,要知道系 y上某一位使用者的资料, 可以 I入 FINGER。这些基本的 UNIX 指令可以让你得到你正使用系 y的信息。
二、破解密码
在UNIX操作系统中, 所有系统使用者的密码都存放在一个文件中,这个文件存放在 /etc这个目录下面, 它的文件名就叫做passwd。如果读者认为所要做的工作就是拿到这个文件按照上面的密码登陆系统的话那就大错特错了。UNIX和Linux下的p asswd文件是特殊的,在它里面所有帐号的密码都已经经过重新编译的(也就是前面说过的DES加密方法),而且这些密码所进行的都是单向编译( one-way encrypted),也就是说没有办法可以反编译它的(decrypt)。
但是还是有些程序可以得到这些原始的密码。笔者向大家推荐一个破解密码的程序"Cracker Jack",它也是一个使用字典来对字典文件进行穷举的软件。首先"Cracker Jack"会把字典文件里的每一个值进行编译,然后将编译过的值与密码文件中的内容进行比较,得到相同的结果就会报告对应的未经编译密码。这个软件巧妙的绕过密码无法反编译的限制,使用穷举比较获得密码。使用这种原理获得密码的工具有许多,读者可以到网络上去搜寻一下。
三、获得密码文件
这是最困难的一部分。很明显,如果管理员有那么一个密码文件的话他当然不会放在那里让其它人舒舒服服的拿到的。入侵者必须找到好方法以不进入系统的方式拿到密码文件。这里笔者向大家介绍两种方法,大家可以试试,有可能会成功。
1.tc目录在FTP服务上不会被锁住,入侵可以用FTP client程序使用anoymously匿名帐号登陆,然后检查一下/etc/passwd是否为匿名设置了被读取的权限,如果有马上备份下来使用软件解码。
2.些系统中,/cgi-bin目录下会有个叫PHF的文件,如果准备入侵的服务器上有的话那就要方便的多了。因为PHF允许使用者对网站系统里的文件作远端读取,以此为据,用户可以使用浏览器抓取p asswd文件,只要在浏览器地址栏中键入URL:http://xxx.xxx.xxx/cgi-bin/phf?Qalias=x%0a/bin/cat%20/etc/passwd,其中xxx.xxx.xxx 是要入侵的网站名。
如果这两种方法都行不通的话,那入侵者必须实施其它的办法了。
在有些情况下入侵者找到的密码文件的第二部分是X、!或者*,那么说明该密码文件已经被锁死,这是系统管理员使用的加强安全的手段之一。但是将密码文件完全隐藏起来的情况是不太有的。通常情况下都会有未经锁死的密码文件备份在系统中,这样入侵者就可以加以利用,比如:入侵者通常会寻找/ etc/shadow目录或类似的目录,看能否找到密码文件的备份。
四、建立自己的shell帐号
经过二、三两个关键的步骤入侵者终于拿到了关键的密码文件,并且破解出了密码。现在可以运行TELNET程序,登陆主机了。当连上服务器时服务器会向你显示自己的一些信息,通常是U NIX、linux、 aix、 irix、 ultrix、 bsd 甚至是 DOS 和VAX/Vms;然后是Login提示符出现在屏幕上,这时键入得来的帐号和密码即可登陆系统。此时入侵者就可以利用自己的UNIX知识做自己喜欢做的事了。
最后对一份密码文件做一个分析,该文件内容如下:
root:1234aaab:0:1:Operator:/:/bin/csh
nobody:*:12345:12345::/:
daemon:*:1:1::/:
sys:*:2:2::/:/bin/csh
sun:123456hhh:0:1:Operator:/:/bin/csh
bin:*:3:3::/bin:
uucp:*:4:8::/var/spool/uucppublic:
news:*:6:6::/var/spool/news:/bin/csh
audit:*:9:9::/etc/security/audIT:/bin/csh
sync::1:1::/:/bin/sync
sysdiag:*:0:1:Old System
Diagnostic:/usr/diag/sysdiag:/usr/diag/sysdiag/sysdiag
sundiag:*:0:1:System
Diagnostic:/usr/diag/sundiag:/usr/diag/sundiag/sundiag
tom:456lll45uu:100:20::/home/tom:/bin/csh
john:456fff76Sl:101:20:john:/home/john:/bin/csh
henry:AusTs45Yus:102:20:henry:/home/henry:/bin/csh
harry:SyduSrd5sY:103:20:harry:/home/harry:/bin/csh
steven:GEs45Yds5Ry:104:20:steven:/home/steven:/bin/csh
+::0:0:::
其中以":"分成几个栏位,比如: tom:456lll45uu:100:20:tomchang:/home/tom:/bin/csh的含义是:
User Name: tom
Password: 456lll45uu
User N 100
Group N 20
Real Name: tom chang
Home Dir: /home/tom
Shell: /bin/csh
读者可以发现以上诸如nobody、 daemon、 sys、 bin、 uucp、 news、 audIT、 sysdiag、sundiag 等的密码栏位都是*,也就是说这些帐号的密码都已锁死,无法直接利用。
值得注意的是,许多系统在首次安装后会有一些缺省帐号和密码,这给投机主义的黑客带来方便,以下就是一些UNIX下缺省的帐号和密码。
ACCOUNT PASSWORD
----------- ----------------
root root
sys sys / system / bin
bin sys / bin
mountfsys mountfsys
adm adm
uucp uucp
nuucp anon
anon anon
user user
games games
install install
reboot 供"command login"使用
demo demo
umountfsys umountfsys
sync sync
admin admin
guest guest
daemon daemon
其中 root mountfsys umountfsys install (有 r候 sync也是) 等都是root级别的帐号, 也就是拥有了sysop (系统管理员)的权限。
最后有必要介绍一下UNIX的日志文件。很多入侵者不希望侵入的电脑追踪他们,那到底如何做那。
系统管理员主要依靠系统的LOG,即我们时常所说的日志文件来获得入侵的痕迹及入侵者进来的IP和其他信息。当然也有些管理员使用第三方工具来记录侵入电脑的信息,这里主要讲的是一般U NIX系统里记录入侵踪迹的文件。
UNIX系统有多个版本,各个系统有不同的LOG文件,但大多数都应该有差不多的存放位置,最普通的位置就是下面的这几个:
/usr/adm,早期版本的UNIX;
/var/adm,新一点的版本使用这个位置;
/var/log,一些版本的Solaris,Linux BSD,Free BSD使用这个位置;
/etc,大多数UNIX版本把utmp放在此处,一些也把wtmp放在这里,这也是 syslog.conf的位置。
下面列举一些文件的功能,当然他们也根据入侵的系统不同而不同。
acct 或 pacct,记录每个用户使用的命令记录;
access_log,主要使用来服务器运行了NCSA HTTPD,这个记录文件会有什么站点连接过你的服务器;
aculog,保存着你拨出去的MODEMS记录;
lastlog,记录了用户最近的登陆记录和每个用户的最初目的地,有时是最后不成功登陆的记录;
loginlog,记录一些不正常的登陆记录;
messages,记录输出到系统控制台的记录,另外的信息由syslog来生成;
securITy,记录一些使用UUCP系统企图进入限制范围的事例;
sulog,记录使用su命令的记录;
utmp,记录当前登录到系统中的所有用户,这个文件伴随着用户进入和离开系统而不断变化;
utmpx,UTMP的扩展;
wtmp,记录用户登录和退出事件;
syslog,最重要的日志文件,使用syslogd守护程序来获得。
日志信息:
/dev/log,一个UNIX域套接字,接受在本地机器上运行的进程所产生的消息;
/dev/klog,一个从UNIX内核接受消息的设备;
514端口,一个INTERNET套接字,接受其他机器通过UDP产生的syslog消息;
Uucp,记录的UUCP的信息,可以被本地UUCP活动更新,也可有远程站点发起的动作修改,信息包括发出和接受的呼叫,发出的请求,发送者,发送时间和发送主机;
lpd-errs,处理打印机故障信息的日志;
ftp日志,执行带-l选项的ftpd能够获得记录功能;
httpd日志,HTTPD服务器在日志中记录每一个WEB访问记录;
history日志,这个文件保存了用户最近输入命令的记录;
vold.log,记录使用外接媒介时遇到的错误记录。
以上介绍了一下入侵服务器的主要步骤,读者现在应该对它有一些基础的认识了。需要再次强调的是如果读者对UNIX系统缺乏了解的话那是绝对不可能掌握它的。
最新技术文章: