第49章

    第49章 (第1/3页)

定期地做好用户账户和组的审计，同时文件许 可也可以作为一种找到可能的侵入或是非授权人员活动的方法。许 多商业和公共相关的工具都可以自动完成以上部分过程。既然黑客 也知道这一点，那么定期检查安全相关工具和脚本以及任何源文件 相关数据来保证其完整性是很重要的。

    系统配置不当是导致大量入侵的直接原因，例如过多开放的接 口，脆弱的文件读写许可和Web服务器的不当配置。一旦一个黑 客在用户层侵占了系统，那么他的下一步就是通过搜寻没有公幵的 或尚未升级打补丁的漏洞，以及许可配置的不足来对系统进行攻 击，从而提高他的权限。不要忘了，许多黑客都是一步一步慢慢侵 蚀直到攻破整个系统的。

    支持Micsoft SQL服务器的数据库管理员必须考虑禁止某些存 储过程，（如 xp-cmdshell, xp makewebtask 和 xp regread），因为 它们通常会被用来得到远程系统访问权限。

    端口扫描当你在这本书的时候，你那台连上了 Internet的计算机可能正 在被一些讨厌的黑客扫描。他们想要找到“可轻而易举得到的果 实”.由于端口扫描在美国是合法的（以及大多数其他国家），因此 你能得到的反对黑客的帮助是很有限的。关键是要能够从成千上万 探测你的网络地址空间的脚本中，鉴别出其中最大的威胁。

    这里有几个软件，包括防火墙和侵入检测系统，可以鉴别出各 种端口扫描类型，并且能够提醒相关人员这些扫描活动。你町以配 置大多数防火墙来鉴别各类端口扫描，并断掉相关连接。一些商用 防火墙产品拥有一些配置选项，可以避免快速的端口扫描。同时还入侵的艺术有一些“幵源”工具可以检测出端口扫描，并能到丢掉某个时间段 的数据包。

    了解你的系统应该做好下列大量的系统管理工作： ?检查进程列表，找到所有异常或是未知的进程。 ?检查预定程序列表，找到所有非授权的添加或改动。 ?检查文件系统，找到最新或被改动的系统二进制文件、脚本或是应用程序。 ?搜查任何异常的空闲磁盘空间的减少。 ?核查所有当前活动的系统或用户账户，移除匿名或未知 账户。

    核查被默认配置的特别账户，以拒绝相互式或网络上的登录。

    检查任何陌生活动所产生的日志（例如从未知源的远程访问，或在晚上或者周末的非正常时间访问）。 ?审计Web服务器日志以鉴别任何访问非授权文件的要求。 如本章所提到的，黑客会把文件复制到Web服务器目录 下，同时通过Web（HTTP）把文件下载下来。 ?在配置了 FrontPage或WebDav的Web服务器环境下，要 确保设置恰当的许可，以避免来自访问文件的非授权用户。

    事故应变和警告了解安全事故在

    （本章未完，请点击下一页继续阅读）