Linux系統安全工具之:Sxid和Skey

Linux系統安全工具之:Sxid和Skey 下面介紹一些可以用于 Linux 的安全工具，這些工具對于固化您的伺服器将起到一定的作用，可以解決各方面的問題。我們的重點隻是想讓您了解這些工具，對安裝配置以及使用不會給出很詳細的介紹。一些安全問題例如 suid 是什麼，緩沖溢出是什麼等概念性的東西也不屬于本文讨論的範圍。 　　介紹這些工具的目的隻是給您一個提示的方向，并不是讓您拘泥于這些工具。畢竟安全是一個過程，不是一個産品。 　　一、Sxid 　　sxid 是一個系統監控程式。它可以監視系統中 suid，sgid 檔案以及沒有屬主的變化。并且以可選的形式報告這些改變，你可以在配置檔案中設定用 email 的形式通知這些改變，也可以不使用 email 而直接在标準輸出上顯示這些變化。Suid，sgid 檔案以及沒有屬主的檔案很有可能是别人放置的後門程式，這些都是您所要特别注意的。 　　你可以從下面的網址獲得 sxid:ftp://marcus.seva.net/pub/sxid/ 　　如果您安裝過其他工具，那麼您一定也會安裝這個工具，它在安裝上沒有什麼特别的地方。 　　預設安裝的時候，配置檔案為 /usr/local/etc/sxid.conf，這個檔案中有很明顯的注釋很容易看懂。在這個檔案中定義了 sxid 的工作方式。日志檔案預設為 /var/log/sxid.log，日志檔案的循環次數在 sxid.conf 檔案中定義。您可以在配置固定後把 sxid.conf 設定為不可改變，把 sxid.log 設定為隻可添加(使用 chattr 指令)。 　　您可以用 sxid -k 加上 -k 選項來進行檢查，這時檢查很靈活，既不記入日志，也不會發出 email。這樣您就可以随時做檢查。但是我還是建議您把檢查放入 crontab 中，使用 crontab -e 編輯加入下面的條目： 　　0 4 * * * /usr/bin/sxid 　　表示每天上午 4 點執行這個程式。 　　如果您還想了解更詳細的資訊，可以參考： 　　man sxid 　　man 5 sxid.conf 　　二、Skey 　　您認為您的密碼安全嗎?即使您的密碼很長，有很多特殊字元，解密工具很難破解，但您的密碼在網絡中傳送時是以明文形式的，在以太網中随便一個嗅探器就可以截取您的密碼。現在在交換環境中也能實作這種技術。在這種情況下，skey 對您來說是一個選擇。 　　Skey 是一次性密碼的一個工具。它是一個基于客戶伺服器的應用程式。首先在伺服器端可以用 keyinit 指令為每個使用者建立一個 skey 客戶，這個指令需要指定一個秘密密碼，然後就可以為用戶端的使用者産生一次性密碼清單。當使用者通過 telnet，ftp 等與伺服器進行連接配接時就可以按照一次性密碼清單中的密碼順序輸入自己的密碼，下次再連接配接時候密碼就換成了清單中的下一個。 　　可以從下面的網址獲得 skey:ftp://ftp.cc.gatech.edu/ac121/Linux/system/network/sunacm/other/skey 　　skey 的伺服器端使用有下面的步驟： 　　1.使用下面的指令初始化使用者 mary: 　　keyinit mary 　　keyinit 每次為使用者生成 99 個一次性密碼，這時就會在 /etc/skeykeys 檔案建立這個使用者，該檔案中儲存了伺服器端計算下一個一次性密碼的一些資訊。用上面的 keyinit 指令時就會在 /etc/skeykeys 中有下面的記錄： 　　mary 0099 to25065 be9406d891ac86fb Mar 11, 2001 04:23:12 　　上面的記錄中從左到右依次是使用者名，要使用的一次性密碼序号，密碼的種類，16 進制表示的密碼，日期和時間。 　　2.将一次性密碼清單提供給 mary 　　您可以列印出密碼清單然後送給 mary。這樣比較安全，密碼不會在網絡中傳遞。 　　3.為 mary 修改預設的登陸 shell 為 /usr/local/bin/keysh 　　由于 PAM 的作用，mary 登陸時要輸入密碼，她輸入這個一次性密碼後伺服器端要對這個密碼進行校驗，校驗通過連接配接就被許可了。