Solaris的pfexec等命令比较奇怪，没搞明白如何使用，看了看原来是一套新的权限管理系统，能够更细粒度的控制用户权限。 其发展的一个主要原因是使用这套系统，那么就可以取消os的自带命令置suid位。 比如想让test用户执行/usr/bin/sh时，权限是uid=0 euid=0，那么我们可以使用如下控制策略： 在/etc/user_attr中添加： test::::type=normal;auths=solaris.*,solaris.grant;profiles=ATestProfile 在/...

第5招：设定用户账号的安全等级 除密码之外，用户账号也有安全等级，这是因为在Linux上每个账号可以被赋予不同的权限，因此在建立一个新用户ID时，系统管理员应该根据需要赋予该账号不同的权限，并且归并到不同的用户组中。 在Linux系统上的tcpd中，可以设定允许上机和不允许上机人员的名单。其中，允许上机人员名单在/etc/hosts.allow中设置，不允许上机人员名单在/etc/hosts.deny中设置。设置完成之后，需要重新启动inetd程序才会生效。此外，Linux将自动把允许进入或不允许进入的...

第2招：限制系统的出入 在进入Linux系统之前，所有用户都需要登录，也就是说，用户需要输入用户账号和密码，只有它们通过系统验证之后，用户才能进入系统。 与其他Unix操作系统一样，Linux一般将密码加密之后，存放在/etc/passwd文件中。Linux系统上的所有用户都可以读到/etc/passwd文件，虽然文件中保存的密码已经经过加密，但仍然不太安全。因为一般的用户可以利用现成的密码破译工具，以穷举法猜测出密码。比较安全的方法是设定影子文件/etc/shadow，只允许有特殊权限的用户阅读该文件...

Linux是一种类Unix的操作系统。从理论上讲，Unix本身的设计并没有什么重大的安全缺陷。多年来，绝大多数在Unix操作系统上发现的安全问题主要存在于个别程序中，所以大部分Unix厂商都声称有能力解决这些问题，提供安全的Unix操作系统。但Linux有些不同，因为它不属于某一家厂商，没有厂商宣称对它提供安全保证，因此用户只有自己解决安全问题 Linux不论在功能上、价格上或性能上都有很多优点，然而，作为开放式操作系统，它不可避免地存在一些安全隐患。关于如何解决这些隐患，为应用提供一个安全的操作平台，...

由于Linux操作系统是一个开放源代码的免费操作系统， 因此受到越来越多用户的欢迎。随着Linux操作系统在我国的不断普及，Linux操作系统一直被认为是微软Windows软件系统的劲敌，因为它不仅安全、稳定、成本低，而且很少发现有病毒传播。但是，随着越来越多的服务器、工作站和个人电脑使用Linux软件，电脑病毒制造者也开始攻击这一系统。于1996年被发现的Ramen是Linux系统下的第一个病毒，如果说刚开始时Linux病毒向人们展示的仅仅是一个概念，那么，Ramen病毒的发现，则已经开始引起了人们的...

本文将详细介绍 EXT3文件系统的属性已经如何使用这个特征保护系统的安全。 1.什么是ext3的属性(attribute) 从Linux的1.1系列内核开始，ext2文件系统就开始支持一些针对文件和目录的额外标记或者叫作属性(attribute)。在2.2和2.4系列的内 核中，ext3文件系统支持以下属性的设置和查询： A Atime。告诉系统不要修改对这个文件的最后访问时间。 S Sync。一旦应用程序对这个文件执行了写操作，使系统立刻把修改的结果写到磁盘。 a Append Only。系统只允许在...

Sxid 检查系统中的 suid,sgid 以及没有主人的文件 skey 一次性口令工具 logrotate 日志循环工具 logcheck 日志管理工具 swatch 日志管理工具，比 logcheck 实时 Ssh(openssh) 提供安全的连接认证 openssl 提供加密的数据传送和认证 Portsentry 反扫描工具，监视自己的udp和tcp端口 tripwire 提供系统完整性检查 gnupg 对单个文件进行加密以及创建数字签名 hostsentry 基于主机的入侵检测，将连接记入日志...

写这篇文章是针对使用linux的管理员，爱好者，对linux安全性很关心的同僚们，希望对大家有所帮助，废话就不多说了，进入正题吧。 在说安全设置之前，我想先说说关于发行版和安装的问题。对于发行版，我相信大都知道，linux发行版实在是太多了我也不止一次在很多网站的文章，很多书籍上看到过议论那种发行版是最好的，其实我个人认为，在linux世界中，没有最好的这种说法，只要自己习惯，熟悉的一种版本，那么我就可以说他是最好的。写这篇文章，我也试找了很多资料，试图找到一个大家都觉得常用的，熟悉的，最后，我觉得re...

Linux系统凭借其稳定且源代码公开的特性，在Internet上被用来做Web服务器与数据库服务器已经越来越多了，随之，Linux系统的安全性也被愈发重视，加固Linux系统对于很多人来说，也是迫在眉睫的事情了。那么，要较好的加固Linux系统，足以应付各种突发事件与黑客的攻击，我们需要从哪些方面入手呢? 1.安装和升级 尽量选用最新的Linux发行版本，安装前拔掉网线，断开物理连接，安装时建议用custom自定义方式安装软件包，数量以少为好。一般来说服务器没有必要安装X-windows，在lilo/g...

1、防止跳出web目录 首先修改httpd.conf，如果你只允许你的php脚本程序在web目录里操作，还可以修改httpd.conf文件限制php的操作路径。比如你的web目录是/usr/local/apache/htdocs，那么在httpd.conf里加上这么几行： php_admin_value open_basedir /usr/local/apache /htdocs 这样，如果脚本要读取/usr/local/apache/htdocs以外的文件将不会被允许，如果错误显示打开的话会提示这样的...

在简单介绍Linux内核安全入侵侦察系统中介绍了Linux系统暴露的问题，和入侵侦察系统的特点，那么我们怎么来完成一个相对相对高级别的Linux内核安全。 下载LIDS补丁和相关正式的Linux内核 可以从LIDS Home，LIDS Ftp Home或最近的LIDS Mirror获得LIDS补丁和系统管理工具。 补丁名称是lids-x.xx-y.y.y.tar.gz, x.xx代表lids的版本， y.y.y代表Linux内核版本.例如， lids-0.9.9-2.2.17.tar.gz代表lids...

简介: 在这篇文章里, 我们将看到各种不同的后门技术，特别是 Linux的可装载内核模块(LKM)。 我们将会发现LKM后门比传统的后门程序更加复杂，更加强大，更不易于被发现。知道这些之后，我们可以制造我们 自己的基于LKM的Rootkit程序, 主要体现在TCP/IP层, 因为我们相信这是在系统管理员面前最好的隐藏后门的地方。 序言 在一些黑客组织中, Rootkit (或者backdoor) 是一个非常感兴趣的话题。 各种不同的Rootkit被开发并发布在internet 上。在这些Rootkit之...