So prüfen Sie, Unix Logical Security und melden sie

Testen Logische Sicherheit von Unix-Servern.

Dieser Bereich umfasst die technische Sicherheit Einschätzung Unix, Linux-Servern (Befehle sind ähnlich, aber einige sind unterschiedlich. Bitte mit den jeweiligen man-Seiten zu überprüfen).

Stage 1 Scan mit Nessus und überprüfen Sie Schwachstellen und Nmap für Häfen. Markieren Sie die Ports und beziehen sich auf IANA für Details. Bericht drucken.
Scannen mit Nessus (sicherstellen neuesten Updates fertig sind).

Stufe 2 weitere etc / passwd und / etc / shadow> um password.txt und shadow.txt in Home-Verzeichnis. Überprüfen Sie die Sicherheit dieser Dateien, überprüfen IDs und / etc / group.

Ein. Das ist wie der Grundsicherung Maßnahme, dass jeder Server muss. d.h. IDs und Gruppen.

2. Was ist zu prüfen. Mehr / etc / passwd und / etc / shadow.

3. Halten Sie Ausschau nach normalen IDs - alle sind sie aktiv und gehört zu Benutzern, die zurückgetreten sind?

4. Lookout für System-IDs - aktiv, sind sie verpflichtet - sie können mächtig sein

5. Test ID, Developer IDs, Root entspricht IDs - aktiv? Warum?

6. Intruders häufig Finger oder ruser Kontonamen entdecken und dann versuchen, einfache Passwörter. Bitte lassen Sie Ihre Benutzer wissen, dass komplexe Passwörter ein Muss sind. Einfache Passwörter machen nur die Hacker die Arbeit erleichtern.

7. Wenn Eindringlinge eine Passwort-Datei bekommen können, sie in der Regel verschieben oder kopieren Sie sie auf einem anderen Rechner und führen Sie das Erraten von Passwörtern Programmen auf sie. Diese Programme beinhalten große Wörterbuch sucht und laufen schnell sogar auf langsamen Maschinen. Die meisten Systeme, die nicht gestellt noch keine Kontrollen an den Arten von Passwörtern verwendet wahrscheinlich mindestens ein Passwort, das leicht erraten werden können.

8. Es ist eine gute Übung, um alle Ihre Passwörter zu ändern. Für extrem kritischen Servern, Passwörter ändern sollte jedes root gleichwertig sein, sind Entwickler IDs verwendet. Wenn dies nicht praktikabel, vielleicht 3 oder 6 Monate Intervall.

9. Intruders nutzen Systems Default-Passwörter, die nicht seit der Installation, einschließlich Konten mit vom Hersteller bereitgestellte Standard-Passwörter wurden geändert. Achten Sie darauf, alle Standard-Passwörter zu ändern, wenn die Software installiert ist. Es gibt Software-Upgrades, die Account-Passwörter zu einem neuen Standard in den Hintergrund ändern kann. Überprüfen und Ändern von Passwörtern nach Updates fertig sind.

Mehr / etc / passwd> / home / Gabriel / password.csv

Mehr / etc / shadow> / home / Gabriel / shadow.csv

Stage 3 prüfen schreibbaren Dateien und Verzeichnisse. Dies ist auch ein Muss. Stellen Sie sich Ihre wichtigsten Geschäftsprozesse Dateien sind für jedermann zugänglich. Finden Sie sie und die notwendigen Schritte unternehmen, um ihre Rechte zu kontrollieren.

find /-type f-perm -22-exec ls-l> / home / Gabriel / worldfiles.csv;

find /-type d-perm -22-exec ls-l> / home / Gabriel / worlddirectory.csv;

Stage 4 Suche nach SUID und GUID-Dateien

* SUID und GUID kann damit auch normale Benutzer root gleichwertigen werden, wenn diese Programme von Root gehören.

* Um dieses Risiko zu mindern, ist es ratsam, dass diese Dateien nicht für die Welt lesbar als Power-User Möglichkeiten, um diese Programme ausführen kann. Oder entfernen Sie sie, wenn nicht notwendig

* SUID und GUID werden normalerweise gefunden in / bin, / etc, / usr / bin, / usr / ucb, / usr / etc, Aufmerksamkeit, wenn sie in anderen Verzeichnissen zu finden sind.

* Suchen Sie nach SUID Dateien (vor allem SUID Root-Dateien) überall auf Ihrem System. Intruders hinterlassen oft SUID Kopien von / bin / sh um, damit sie Root-Zugriff zu einem späteren Zeitpunkt. Die UNIX finden Programm verwendet werden, um setuid-Dateien gesucht werden.

Find /-user root-perm -4000-exec ls-l> / home / Gabriel_ng / rootsuid.csv;

Finden Sie SUID und GUID auf Root-Verzeichnis.

Find /-xdev-perm -004.000-exec ls-l {}> / home / Gabriel_ng / suid.csv;

Find /-xdev-perm -002.000-exec ls-l {}> / home / Gabriel_ng / guid.csv;

Stage 5 Check für Dateien im Netzwerk - / etc / hosts.equiv, rhosts, / etc / hosts.allow, hosts.deny.

* Wichtiger Faktor im Bereich der Netzsicherheit wird die Steuerung Netzzugang. Die Datei / etc / hosts.equiv. Rhosts und / etc / passwd Kontrolle ob der Zugriff auf rlogin, rcp und rsh gegeben. Die Datei / etc / hosts.equiv enthält eine Liste von Hosts, die vertrauenswürdig oder als gleichwertig mit dieser Maschine können. Einige Systeme verwendet / etc / hosts.allow und / etc / hosts.deny anstatt einer einzigen Datei / etc / hosts.equiv. Die. Rhosts Dateien enthält eine Liste von Hosts, die Zugriff auf einen bestimmten Benutzer erlaubt sind.

* Weil. Rhosts-Dateien ermöglichen Zugriff auf das System ohne Verwendung eines Passworts empfohlen, dass Benutzer nicht erstellen Sie sie in ihre Home-Verzeichnisse ist.

Überprüfen Sie / etc / hosts.equiv. Rhosts, / etc / hosts.deny und / etc / hosts.allow
Suche / home-name. Rhosts-print

Stage 6 prüfen Systemüberwachung - logs.

Überprüfen Sie / etc / sudoers - Möglichkeit für Benutzer, Befehle als "root" mit sudoers laufen.

Mehr / etc / sudoers> / home / Gabriel / sudoers.csv

Andere includes / var / adm / acct, / var / adm / wtmp, var / adm / btmp, var / adm / syslog / syslog.log

Überprüfen Sie / var / adm / sulog

Ein. SU 19.10 14.15 + tty q3 root-test1 - Liste das Datum und die Zeit, + zeigen erfolgreiche und - Versagen. Wenn es wiederholen Scheitern könnte Indiz dafür, dass jemand versucht, sich mit su zu brechen.

Stage 7 durch Leitungen alle Dateien im CSV-oder Text-Dateien, wird es leichter sein, um die Details zu analysieren und mit den betroffenen Parteien, um die Sicherheit zu erhöhen....