linux安全政策
概述
近幾年來 Internet 變得更加不安全了。 網絡的通信量日益加大, 越來越多的重要交易正在通
過網絡完成,與此同時資料被損壞、截取和修改的風險也在增加。
隻要有值得偷竊的東西就會有想辦法竊取它的人。 Internet 的今天比過去任何時候都更真實
地展現出這一點,基于 Linux 的系統也不能擺脫這個 “普遍規律 ”而獨善其身。是以,優秀的
系統應當擁有完善的安全措施, 應當足夠堅固、 能夠抵抗來自 Internet 的侵襲, 這正是 Linux
之是以流行并且成為 Internet 骨幹力量的主要原因。但是,如果你不适當地運用 Linux 的安
全工具, 它們反而會埋下隐患。 配置拙劣的安全系統會産生許多問題, 本文将為你解釋必須
掌握的 Linux 安全知識。 本文講述了如何通過基本的安全措施,使 Linux 系統變得可靠。
安裝
讓系統處理于單獨(或者隔離)的網絡中.以防止受保護的系統連接配接到其他網絡或網際網路中受到可能的攻擊
安裝完成後需要解除安裝下面的軟體
pump apmd lsapnptools redhat-logos
mt-st kernel-pcmcia-cs Setserial redhat-relese
eject linuxconf kudzu gd
bc getty_ps raidtools pciutils
mailcap setconsole gnupg
用下面的指令解除安裝這些軟體:
rpm -e softwarename
在解除安裝前最好先停掉三個程序:
/etc/rc.d/init.d/apmd stop
/etc/rc.d/init.d/sendmail stop
/etc/rc.d/init.d/kudzu stop
使用者賬号安全 Password and account security
密碼安全政策
密碼至少為 6 位,并且包括特殊字元
密碼不要太簡單, 不要以你或者有關人的相關資訊構成的密碼, 比如生日、 電
話、姓名的拼音或者縮寫、機關的拼音或者英文簡稱等等。
密碼必須有有效期
發現有人長時間猜測密碼,需要更換密碼
檢查密碼是否安全
可以使用以下幾種工具檢查自己的密碼是否安全:
JOHN,crack等暴力猜密碼工具
線上窮舉工具,包括Emailcrk,流光
Password Shadowing
使用shadow來隐藏密文(現在已經是預設配置)
定期檢查shadow檔案,如密碼長度是否為空
管理密碼
設定密碼的最長有效時限(編輯/etc/login.defs)
密碼最短字元(如linux預設為5,可以通過編輯/etc/login.defs修改)
隻允許特定使用者使用su指令稱為root
其他
清除不必要的系統賬戶
盡量不要在passwd檔案中包含個人資訊,防止被finger之類程式洩露.修改shadow,passwd,gshadow檔案不可改變位置.
使用ssh來代替telnet.ftpd.pop等通用服務.傳統的網絡服務程式,如ftp,pop和telnet在本質上都是不安全的,因為他們在網絡上用明文傳遞密碼和資料.
網絡服務安全(Network Service Security)
Linux系統對外提供強大,多樣的服務,由于服務的多樣性及其複雜性,在配置管理這些服務時特别容易犯錯誤,另外,提供這些服務的軟體本身也存在各種漏洞,是以,在決定系統對外開放服務時,要牢記兩個基本原則:
1. 隻對外開放需要的服務,關閉所有不需要的服務.對外提供的服務越少,所面臨額外部威脅越小.
2. 将所需的不同服務分布在不同的主機上,這樣不僅提高系統的性能,同時便于配置和管理,減小系統的安全風險.
在上述兩個基本原則下,還要進一步檢查系統服務的功能和安全漏洞.
服務過濾 Filtering
在SERVER上禁止這些服務
如果一定要開放這些服務,通過防火牆,路由指定信任的IP通路.
要確定隻有真正需要的服務才能被允許外部通路.并合法得通過使用者的路由器過濾檢查,尤其在下面的服務不是使用者真正需要的時候,要從路由器上将其過濾掉
NAME PORT PROTOCOL
echo 7 TCP/UDP
systat 11 TCP
netstat 15 TCP
bootp 67 UDP
tftp 69 UDP
link 87 TCP
supdup 95 TCP
sunrpc 111 TCP/UDP
news 144 TCP
snmp 161 UDP
xdmcp 177 UDP
exec 512 TCP
login 513 TCP
shell 514 TCP
printer 515 TCP
biff 512 UDP
who 513 UDP
syslog 514 UDP
uucp 540 TCP
route 520 UDP
openwin 2000 TCP
nfs 2049 UDP/TCP
x11 6000 to 6000+n TCP
注意:有些UDP服務可能導緻DOS攻擊和遠端溢出,如:
rpc.ypupdated
rpcbind
rpc.cmsd 100068
rpc.statd 100024
rpc.ttdbserver 100083
sadmind 100232/10
配置完成以後,利用網絡掃描器模拟入侵者從外部進行掃描測試.如利用nmap.
/etc/inetd.conf
確定檔案權限為 600
確定檔案屬性設定為 root
注釋掉所有不需要的服務,需要重新啟動inetd程序
使用netstat -an指令,檢視本機所提供的服務,確定已經停掉不需要的服務.
R服務
不必使用R服務
關閉R服務,Red hat 6.2在/etc/inted.conf檔案中注釋一下服務,并且重新啟動inetd服務.Rad hat7.0在/etc/xinetd.d目錄中删除
exec 512 TCP
Rlogin 513 TCP
Rshell 514 TCP
必須使用R服務
使用更安全版本的R服務;
在路由或防火牆上禁止外部網絡通路受保護的512,512and514(tcp)端口.
使用TCP WRAPPERS設定可通路受保護主機R服務的信任機器.
Tcp_wrapper
該軟體的作用是在Unix平台過濾TCP/UDP服務,它目前已被廣泛用于監視并過濾發生在主機上的ftp,telnet,rsh,rlogin,tftp,finger等标準TCP/UDP服務.
當系統安裝TCP_wrapper之後,in.conf檔案中/usr/sbin/in.telnetd會被TCP-wrapper附帶的tcpd程式取代,該程式截獲來自用戶端的服務請求、記錄請求發
生的時間和 IP 位址,并按通路控制進行檢查。當本次連接配接的使用者、請求源的 IP 等資訊
符合管理者的預設值時,才将該次請求傳遞給系統 in.telnetd ,由系統 in.telnetd 完成後
續工作;若連接配接不符合要求,該連接配接請求将被拒絕。同樣, ftp 、 rsh 等 TCP/UDP 服務
均可被 tcpd 取代,由 tcpd 充當二傳手。
TCP/IP提供的主要使用者應用程式
telnet程式
telent程式提供遠端登入功能(不安全的).
文本傳輸協定
文本傳輸協定(FTP)允許使用者将一個系統上的檔案複制到另一個系統上.
簡單的郵件傳輸協定
簡單郵件傳輸協定(SMTP)用于傳輸電子郵件.
Kerberos協定
kerberos一個廣泛支援的安全性協定.
域名伺服器協定
域名伺服器協定(DNS),能使一台裝置具有的普通名字轉換成為某個特定的網絡位址.
簡單網絡管理協定
簡單網絡管理協定(SNMP)把使用者資料報協定(UDP)作為傳輸機制,它使用和TCP/IP不同的術語,TCP/IP使用者端和伺服器,而SNMP用管理器(Manager)和代理(Agent),代理提供裝置資訊,而管理器管理網絡通信.
普通檔案傳輸協定
普通檔案傳輸協定(TFTP)是一種缺乏任何安全性的,非常簡單落後的文本傳輸協定.
傳輸控制諧音
傳輸控制協定(TCP/IP中的TCP部分)是一種資料可靠的通信協定.
網際協定
網際協定(ip)負責在網絡上傳輸由TCP/UDP裝配的資料包.
端口号配置設定
我們的TCP和UDP采用16bit的端口号來識别應用程式,那麼這些端口号如何選擇呢?
伺服器的端口識别
伺服器一般都是通過知名端口号來識别的。 例如, 對于 TCP/IP 實作來說, 每個 FTP 伺服器的 TCP
端口号都是 21,每個 Telnet 伺服器的 TCP 端口号都是 23,每個 TFTP(普通檔案傳輸協定)伺服器的
UDP 端口号都是 69。任何 TCP/IP 實作所提供的服務都用知名的 1~1 023 之間的端口号。這些知名端
口号由 Internet 号配置設定機構( Internet Assigned Numbers Authority, IANA )來管理。到 1992 年為止,知
名端口号介于 1~255 之間。 256~1 023 之間的端口号通常都是由 UNIX 系統占用,以提供一些特定的
UNIX 服務,也就是說,提供一些隻有 UNIX 系統才有的,而其他作業系統可能不提供的服務。現在
IANA 管理 1~1 023 之間所有的端口号。
Internet 擴充服務與 UNIX 特定服務之間的一個差别就是 telnet 和 rlogin ,它們二者都允許通過計
算機網絡登入到其他主機上。 telnet 是采用端口号為 23 的 TCP/IP 标準,且幾乎可以在所有作業系統上
進行實作。相反, rlogin 最開始時隻是為 UNIX 系統設計的(盡管許多非 UNIX 系統現在也提供該服
務),是以在 20 世紀 80 年代初,它的端口号為 513,用戶端通常對它所使用的端口号并不關心,隻
須保證該端口号在本機上是唯一的即可。用戶端口号又稱做臨時端口号(即存在時間很短暫),這是
因為它通常隻是在使用者運作該客戶程式時才存在,而伺服器則隻要主機開着,其服務就運作.
UDP 為運作于同一台或不同機器之上的兩個或多個程式之間傳輸資料包提供了簡單的、 不可靠的
連接配接。“不可靠” 意味着作業系統不保證每個發出的包都能到達, 也不保證包能夠按序到達。 不過 UDP
是盡力傳輸的,在 LAN 中 UDP 通常能達到 100%的可靠性。 UDP 的優點在于它比 TCP 的開銷少,較
少的開銷使得基于 UDP 的服務可以用 TCP 10 倍的吞吐量傳輸資料。
linux的 TCP/IP網絡配置檔案
除非另外指出,在Red hat linux系統的配置檔案大部分在/etc目錄中.
網絡配置工具
在安裝 Linux 發行版本時,需要配置網絡。你或許已經有一個來自初始配置的活動 eth0,這個配
置對于目前的使用也許足夠, 但是随着時間的推移你可能需要做出更改。 下面将介紹與 IP 網絡相關的
不同配置項,以及使用這些配置項的檔案和工具。
手動修改配置檔案
手動配置是最直接的,有以下優點:
1. 熟悉指令後,手動配置更加快捷,并不需要重新啟動.
2. 能夠使用配置指令的進階特性.
3. 更容易維護配置檔案,找出系統故障.
4. 能更深刻的了解系統配置是如何進行的.
無論圖形界面如何發展,原理是不會變的.linux網絡配置的指令包括ifconfig,ip,ping,netstat,route,arp,hostname和arpwatch.
配置網絡接口
- 網卡的選擇,我們需要知道核心的版本.
- 檢查網卡是否加載,驅動硬體是作業系統最基本的功能,作業系統通過各種驅動程式來駕馭硬體裝置.我們可以通過指令lsmod來檢視加載情況.
- 為新網卡設定IP位址,我們主要使用ifconfig指令,它主要設定修改ip位址
- 打開/etc/sysconfig/network-scripts/ifcfg-eth0 ,使用vi編輯器進行配置即可
- 最後我們需要重新開機network服務來然配置資訊激活生效.
分級解析對Linux伺服器的攻擊
随着人們對安全問題的日益重視,網絡安全已經不僅僅是技術問題,而是一個社會問題。企業應
當提高對網絡安全的重視,不應被各種商業宣傳所迷惑,認為安裝了防火牆、認證授權和入侵檢測系
統就可以保護網絡免受各種攻擊。實際上,并沒有絕對安全的網絡,也沒有“無堅不摧”的安全解決
方案。從辯證法的角度來說,安全是相對的。如果一味地隻依賴技術工具,那就會越來越被動;隻有
運用社會和法律手段打擊網絡犯罪, 才能更加有效。
典型的攻擊者有什麼特征
- 能用c,c++或perl編寫程式.大多數原始安全工具都是這些語言的一種或者幾種編寫的.攻擊者必須能夠解釋,編譯,執行這些代碼.
- 深入掌握TCP/IP知識.攻擊者必須知道internet是如何工作的.
- 每周使用internet多于72小時,攻擊者不是臨時使用者,他們不僅了解自己的機器.有着豐富的網絡使用經驗.
- 至少熟知三種作業系統,其中一種作業系統毫無疑問Unix或linux.
- 大多數攻擊者是(或曾經是)系統管理者或開發人員,具有客戶伺服器應用經驗.
攻擊者的典型目标是什麼
攻擊者因不同原因而攻擊不同類型的網絡。我們經常能從媒體上了解到一些大公司或政府的網
站遭到攻擊。不過,實際上攻擊者典型的目标大多是小型網絡。防火牆的使用和維護費用昂貴且
需要技術支援,小網絡不可能用或隻能用一些低級産品。攻擊大公司、政府的網站會造成比較大
的影響。
進行攻擊的原因是什麼
( 1)惡意— —他可能是某個公司的心懷不滿的雇員,或許你曾在某個 Usenet組激怒了他。
( 2)娛樂— —或許你曾經誇耀過你的系統的安全性,告訴别人它是如何堅不可摧,這些都是攻擊
者無法抗拒的挑戰。
( 3)獲利— —有人付給攻擊者報酬,讓他關掉某台機器或擷取某公司的商業機密。
( 4)好奇— —許多攻擊者純粹由于好奇心的驅使,想享受一下攻擊過程。
( 5)政治— —政治原因占攻擊原因的很小比例(但是很重要的一種),他們搜尋雜志、新聞刊物
中特别的論點,他們通過攻擊來表達自己的政治觀點和世界觀。
攻擊級别
系統攻擊有許多種類,本節從攻擊級别的角度進行說明。 顯示了攻擊的 6 個等級,每一層
代表一個進入目标網絡的深度,我們稱之為敏感級( Levels of sensitivity ),箭頭與層次相連的點标志
了對應于每一破譯技術的危險程度,我們将它稱為攻擊狀态( States of attack)。
1. 級别 1
—A 箭頭:表示郵件炸彈的攻擊。
—B 箭頭:表示簡單拒絕服務攻擊。
在級别 1 範圍内的攻擊基本上互不相關。包括拒絕服務攻擊和郵件炸彈,這些攻擊一般比較好制
止,這是因為這些攻擊是以垃圾資訊方式進行的。在大多數情況下,隻須應用排除模式設定就可以解
決這個問題。拒絕服務攻擊包括:簡單拒絕服務攻擊、分布拒絕服務攻擊、 DNS 分布拒絕服務攻擊和
FTP 攻擊。
對于這四種攻擊可以采用以下措施:
— 關閉不必要的服務。
— 限制同時打開的 SYN 半連接配接數目。
— 縮短 SYN 半連接配接的 time out 時間。
— 及時更新系統更新檔。
拒絕服務攻擊經常發生, 解決此問題的最佳方法就是在 inetd.sec 檔案 DENY 清單中加入入侵者源
主機 /網絡名阻止入侵行為,除屏蔽網絡連接配接外,還沒有一種主動性的方法可以避免這種攻擊。不過需
要注意的是,如果證明了一次拒絕服務攻擊,應該檢查系統是否可能遭受其他攻擊,拒絕服務攻擊常
常是電子欺騙的先行者(甚至是組成部分) 。如果觀察到某台機器特定端口上的一次全面的 Flooding
攻擊,請觀測這個端口,弄清這個端口是幹什麼用的,檢查它限制什麼服務。如果那種服務是内部系
統的組成部分,那麼要特别小心。那些貌似拒絕服務的攻擊,事實上就是突破網絡安全的開始。通常
情況下,拒絕服務攻擊會持續很長一段時間。
如果是同步 Flooding 攻擊, 這裡有一些識别攻擊者的方法。 攻擊者在每一次實施 ping 時, 向目标
報出了他的 IP 位址。雖然沒有給出攻擊者的 E-mail 位址,但我們可以追蹤其最終源(注意,追蹤程
序将揭示攻擊者出發的真實網絡位址,這通常是反向追蹤程式查找的最後一項内容)。
大多數拒絕服務攻擊導緻相對較低的危險,即便是那些可能導緻重新開機的攻擊也僅僅是暫時性的問
題。這類攻擊在很大程度上不同于那些想擷取網絡控制的攻擊。
郵件炸彈的攻擊也叫郵件水災攻擊, 發生在當許多郵件被發送至一個目标, 發送代理人被覆寫時,
郵件水災會破壞其他交流程式的穩定。用郵件來使一個系統蒙受災難是殘酷的,但卻是有效的,攻擊
者的目的就是要破壞郵件伺服器。誘發郵件水災攻擊的有趣方法之一是利用一些郵件申請的自動反應
功能。一旦黑客發現對兩個不同的系統能做出活躍的、自動的應答時,他就能指使一個郵件發送到另
一個。因為兩者都是對每個資訊做出自動應答,他們制造了一個資訊回饋孔,這會比其他系統收集到
更多的郵件。至于郵件水災,通常很容易追查到攻擊者。此外, bozo files(kill 檔案)和排除模式配置
基本上能阻止這些攻擊。
2. 級别 2 和級别 3
—C 箭頭:表示本地使用者獲得非授權通路。
—D 箭頭:表示本地使用者獲得他們不該擁有的檔案寫入權限。
—E 箭頭:表示遠端使用者獲得了非授權賬号。
級别 2 和級别 3 包括諸如本地使用者擷取到了他們本不可以通路的檔案的讀寫權限這類事件。當
然,任何本地使用者通路 /tmp 目錄都具有危險性,它能夠潛在地鋪設一條通向級别 3 的路。在級别 3,
使用者可以擷取寫通路權限(并由此過渡到級别 4 環境)。
級别 2 攻擊是危險的,并很容易發展為級别 3、級别 4、級别 5和級别 6。如果運作這種網絡,請
立即取得上述通路控制裝置,如果不照此進行,某些人想破壞網絡僅僅是時間問題。如果有可能,請
監控所有流經端口 137~139 的消息,其間将産生共享程序。
本地攻擊的難度不太大。所謂本地使用者( Local user),我們認為是相對而言的。在網絡世界中,
本地使用者是在本地網絡的任一台機器上有密碼,因而在某一驅動器上有一個目錄的使用者(無論那個目
錄的服務目的是什麼)。
由本地使用者啟動的攻擊幾乎都是從遠端登入開始的。對于 ISP,最好的辦法是将所有 shell 賬号放
置于一個單獨的機器上, 也就是說, 隻在一台或多台配置設定有 shell 通路的機器上接受注冊。 這可以使日
志管理、通路控制管理、釋放協定和其他潛在的安全問題管理更容易些。還應該将存放使用者 CGI 的系
統區分離出來。這些機器應該隔離在特定的網絡區段,也就是說,根據網絡的配置情況,它們應該被
路由器或網絡交換機包圍。其拓撲結構應該確定硬體位址不能超出這一特定區段。
針對這些利用通路控制營造所需環境的攻擊,有兩種涉及許可權的關鍵因素,每一種都能影響到
級别 2 是否會更新到級别 3、4 或 5。這些因素是:
① 端口的錯誤配置。
② 軟體中的漏洞。
第一種情況的發生是沒有正确了解許可模式,不是每一個 UNIX 或 NT 系統管理者都是專家,經
驗是非常重要的。
第二種情況更加普遍,任何作業系統都有漏洞。對此問題尚未有直接的解決辦法,因為大多數這
種漏洞在軟體加載時并不出現。唯一的辦法是訂閱每一種與故障、漏洞、系統密切相關的郵件清單。
級别 2 和級别 3 的主要攻擊方法是社會管理郵件(電子郵件攻擊的一種):黑客會誘騙合法使用者
告知其機密資訊或執行任務,有時黑客會假裝為網絡管理人員向使用者發送郵件,要求使用者提供系統升
級的密碼。
3. 級别 4
—F 箭頭:表示遠端使用者獲得了特定檔案的讀權限。
級别 4 通常與外界能夠通路内部檔案相關。這種通路能做到的不隻是核實特定檔案是否存在,而
且還能讀這些檔案。級别 4 還包含這樣一些弱點,即遠端使用者無需賬号就可以在伺服器上執行有限數
量的指令。由于伺服器配置失誤,有害 CGI 及溢出問題都可能引發這些漏洞大量出現。
密碼攻擊法是級别 4 中的主要攻擊法, 損壞密碼是最常見的攻擊方法。 使用者常常忽略他們的密碼,
密碼政策很難得到實施。黑客有多種工具可以擊破技術所保護的密碼。一旦黑客擁有了使用者的密碼,
他就擁有很多使用者的特權。“密碼猜想”是指手工敲入普通密碼或通過編好的程式取得密碼。一些用
戶選擇簡單的密碼— —如生日、紀念日或配偶名字,不遵循字母、數字混合的規則。對黑客來說要猜
一串 6 個字生日資料不用花多長時間。最好的防衛方法便是嚴格控制進入特權。
4. 級别 5、級别 6
—H 箭頭:表示遠端使用者獲得了特定檔案的寫權限。
—G 箭頭:表示遠端使用者獲得了根權限。
級别 5 和級别 6 産生于那些絕不應該發生的事被允許發生了的情況下。任何級别 5 和級别 6 的漏
洞都是緻命的。在這一階段,遠端使用者可以讀、寫并執行檔案(通常,他們綜合各種技術來達到這一
階段)。級别 6 表示攻擊者擁有這台機器的超級使用者或管理者許可權。換句話說,攻擊者具有對機器
的全部控制權,可以在任何時刻完全關閉甚至毀滅此網絡。
級别 5 和級别 6 的主要攻擊是 TCP/IP 連續偷竊、被動通道聽取和資訊包攔截。這些都是為進入網
絡收集重要資訊的方法, 不像拒絕服務攻擊, 這些方法有更多類似偷竊的性質, 比較隐蔽、 不易被發現。
TCP/IP 連續偷竊指抓住連續數字,這些數字用來讓黑客的資訊包看起來合法化, 當一個系統要求
與其他系統對話,系統會交換 TCP 同時産生的資料, 如果這些資料不是具有随意性的,黑客會收集這
些資料的算法,被偷的突發事件會被用來把黑客僞裝成一個或兩個原始系統,允許他連接配接防火牆資訊
包的過濾器,這在連接配接 IP 時更有效。
一次成功的 TCP/IP 攻擊能讓黑客阻攔兩個團體之間的交易, 提供中間人襲擊的良好機會, 然後黑
客會在不被受害者注意的情況下控制一方或雙方的交易。
通過被動竊聽,黑客會操縱和登記資訊,也會從目标系統上所有可通過的通道找到可通過的緻命
要害。黑客會尋找聯機和密碼的結合點,認出申請合法的通道。
資訊包攔截是指在目标系統中限制一個活躍的聽者程式,以攔截和更改所有的或特别的資訊的地
址。資訊可被改送到非法系統閱讀,然後不加改變地送回給黑客。
反擊措施
( 1)級别 1 攻擊的處理方法主要是:過濾進入位址并與攻擊者的 ISP 聯系。對防範拒絕服務攻擊
的方法感興趣的讀者請檢視徐一丁先生的文章“分布式拒絕服務攻擊( DDoS )原理及防範”,
http://www-900.ibm.com/developerWorks/cn/security/se-ddos/index.shtml ,此處不再贅述。
( 2)級别 2 攻擊可以在内部處理。根據 Gartner 調查表明,目前, 70%的攻擊仍然來自組織内部。
基本做法就是當機或清除攻擊者的賬号。級别 2 攻擊者一般常伴随使用内部嗅探器,防範方法可以參考
“防範網絡嗅探”, http://www-900.ibm.com/developerWorks/cn/security/se-profromsniff/index.shtml 。
( 3)對級别 3、級别 4 和級别 5、級别 6 攻擊的反應,如果經曆過高于級别 2 的攻擊,問題就嚴
重了。
— 首先備份重要的企業關鍵資料。
— 隔離該網絡網段,使攻擊行為僅出現在一個小範圍内。
— 允許行為繼續進行。如有可能,不要急于把攻擊者趕出系統,為下一步做準備。
— 記錄所有行為,收集證據。
收集的證據包括系統登入檔案、應用登入檔案、 AAA (Authentication, Authorization, Accounting
認證、授權、計費)登入檔案, RADIUS (Remote Authentication Dial-In User Service )登入、網絡單元
登入( Network Element Logs)、防火牆登入、 HIDS (Host-base IDS,基于主機的入侵檢測系統)事
件、 NIDS (網絡入侵檢測系統)事件、磁盤驅動器、隐含檔案等。
收集證據時要注意,在移動或拆卸任何裝置之前都要拍照;在調查中要遵循兩人法則,即在資訊
收集中要至少有兩個人,以防止篡改資訊;應記錄所采取的所有步驟,以及對配置設定的任何改變,
要把這些記錄儲存在安全的地方。
( 4)進行各種嘗試(使用網絡的不同部分)以識别出攻擊源。
( 5)為了使用法律武器打擊犯罪行為,必須保留證據。而形成證據需要時間,為了做到這一點,
必須忍受攻擊的沖擊(雖然可以制定一些安全措施來確定攻擊不損害網絡)。對此情形,我們不但要
采取一些法律手段,而且還要至少請一家權威的安全公司協助阻止這種犯罪。這類操作的最重要特點
就是取得犯罪的證據,并查找犯罪者的位址,提供所擁有的日志。對于所搜集到的證據,應進行有效
地儲存。在開始時制作兩份,一個用于評估證據,另一個用于法律驗證。
一句名言“你的伺服器永遠可能在第二天被黑客接管”。
![linux-svn解除安裝與安裝[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)