Como verificar a segurança lógica Unix e relatá-los

Teste de segurança lógica de servidores Unix.

Esta área abrange a avaliação técnico de segurança do Unix, servidores Linux (comandos são semelhantes, mas alguns são diferentes. Favor, verifique as páginas de manual respectivos).

Varredura Stage 1, usando o Nessus e verificar se há vulnerabilidades e Nmap para os portos. Destaque as portas e se referem a IANA para mais detalhes. Imprimir o relatório.
Digitalizar usando o Nessus (garantir últimas atualizações são feitas).

Fase 2 mais etc / passwd e / etc / shadow> para password.txt e shadow.txt no diretório home. Verifique a segurança desses arquivos, verificar IDs e / etc / group.

1. Isto é como a medida de segurança básica que qualquer servidor deve tomar. isto é, IDs e Grupos.

2. O que verificar. Mais / etc / passwd e / etc sombra /.

3. Olhe para IDs normais - são todos estes ativa e pertence a utilizadores que se demitiram?

4. Mirante para o sistema de IDs - ativo, eles são necessários - eles podem ser poderosos

5. Teste ID, desenvolvedor IDs, IDs equivalentes Raiz - ativo? Por quê?

6. Freqüentemente, os invasores usar o dedo ou Ruser para descobrir os nomes de conta e tente senhas simples. Por favor, deixe os usuários sabem que as senhas complexas são um must. Senhas simples apenas fazer o trabalho do hacker mais fácil.

7. Se os intrusos pode obter um arquivo de senhas, eles geralmente se mover ou copiá-lo para outra máquina e executar programas de adivinhação de senha nele. Esses programas envolvem pesquisas de dicionário grandes e executar rapidamente, mesmo em máquinas lentas. A maioria dos sistemas que não colocam quaisquer controles sobre os tipos de senhas usadas provavelmente tem pelo menos uma senha que pode ser facilmente adivinhada.

8. É uma boa prática para mudar todas as suas senhas. Para os servidores são extremamente críticos, as senhas devem ser mudança equivalente raiz everytime, IDs desenvolvedor são usados. Se isto não for possível, talvez 3 meses ou de intervalo de 6 meses.

9. Intrusos explorar senhas do sistema padrão que não foram alterados desde a instalação, incluindo as contas com senhas fornecidos pelo fornecedor padrão. Certifique-se de mudar todas as senhas padrão quando o software está instalado. Há atualizações de software que podem mudar senhas de contas de um novo padrão no fundo. Rever e alterar as senhas após as atualizações são feitas.

Mais / etc / passwd> / home / Gabriel / password.csv

Mais / etc / shadow> / home / Gabriel / shadow.csv

Stage 3 Verifique os arquivos e diretórios graváveis ​​mundo. Este é também um dever. Imagine seus arquivos de negócios mais críticos são acessíveis a todos. Encontrá-los e tomar as medidas necessárias para controlar os seus direitos.

find /-type f-perm -22-exec ls-l> / home / Gabriel / worldfiles.csv;

find /-type d-perm -22-exec ls-l> / home / Gabriel / worlddirectory.csv;

Pesquisa estágio 4 para arquivos SUID e GUID

* SUID e GUID pode permitir que usuários normais para se tornar equivalente raiz quando esses programas são de propriedade da Raiz.

* Para mitigar este risco, será prudente que esses arquivos não sejam lidos por todos os usuários de energia como pode encontrar maneiras de executar esses programas. Ou removê-los se não for necessário

* SUID e GUID são normalmente encontrados em / bin, / etc, / usr / bin, / usr / ucb, / usr / etc, preste atenção se eles são encontrados em outros diretórios.

* Procure arquivos SUID (arquivos raiz especialmente suid) em todos os lugares em seu sistema. Intrusos muitas vezes deixam de cópias SUID / bin / sh ao redor para permitir-lhes o acesso root em um momento posterior. O UNIX encontrar o programa pode ser usado para procurar ficheiros setuid.

Find /-user root-perm -4000-exec ls-l> / home / Gabriel_ng / rootsuid.csv;

Encontre SUID e GUID no diretório raiz.

Find /-perm-xdev -004.000-exec ls-l {}> / home / Gabriel_ng / suid.csv;

Find /-perm-xdev -002.000-exec ls-l {}> / home / Gabriel_ng / guid.csv;

Verifique fase 5 para arquivos de rede - / etc / hosts.equiv, rhosts, / etc / hosts.allow, hosts.deny.

* Um fator importante na segurança da rede é controlar o acesso à rede. O arquivo / etc / hosts.equiv,. Rhosts e / etc / passwd de controle se o acesso é dado a rlogin, rcp e rsh. O arquivo / etc / hosts.equiv conter uma lista de hosts que podem ser confiáveis ​​ou considerada equivalente à máquina. Alguns sistemas usa o / etc / hosts.allow e / etc / hosts.deny, em vez de um único arquivo / etc / hosts.equiv. Os arquivos. Rhosts tem uma lista de servidores que têm acesso a um usuário específico.

* Devido. Rhosts permitir o acesso ao sistema sem usar uma senha, recomenda-se que os usuários não criá-los em seus diretórios home.

Verifique se o arquivo / etc / hosts.equiv, rhosts., O / etc / hosts.deny e / etc / hosts.allow
Encontrar / home-name. Rhosts impressão

Fase 6 monitoramento do sistema Check - logs.

Verifique o arquivo / etc / sudoers - capacidade dos usuários para executar comandos como "root" com sudoers.

Mais / etc / sudoers> / home / Gabriel / sudoers.csv

Outros incluem / var / adm / acct, / var / adm / wtmp, var / adm / btmp, var / adm / syslog / syslog.log

Verifique / var / adm / sulog

1. SU 10/19 14:15 + tty q3 raiz test1 - lista a data e hora, + indicam sucesso e - falha. Se houver repetição falha poderia ser indicação de que alguém está tentando quebrar no uso de su.

Fase 7, canalizando todos os arquivos CSV ou arquivos de texto, será mais fácil analisar os detalhes e trabalhar com as partes relevantes para reforçar a segurança....