UNIX上的安全问题及解决方案

本博客主要关注与UNIX/Linux相关的问题及解决方案
博文
那么用我们的加密软件就可以把平时存放在/etc/ssh目录下的hostkey加密保存,在sshd启动时自动解密,通过管道传送给sshd,这样如果sshd在运行时能够通过计算获得一个密钥对hostkey进行加密保存,需要时计算出密钥进行解密使用,那么这个hostkey就可以非常安全。对于Web服务器在Linux/AIX/Solaris平台上,我们的软件现在已经可以把https的hostkey以及ssl证书加密保存,在httpd启动时自动解[阅读全文]
阅读 ()评论 (0)
root@AMD-PC:/var/tmp#ls-l
total8
-rw-r--r--1rootroot5Jul1614:45A
-rw-r--r--1rootroot5Jul1421:08C
lrwxrwxrwx1rootroot12Jul1421:09cat->/usr/bin/cat
root@AMD-PC:/var/tmp#./catC;catA;catC;catA;/usr/bin/catA
abcd
1234
abcd
ABCD
ABCD
root@AMD-PC:/var/tmp#看看为何第一个"catA"看到的是"1234",而其它的"catA"看到的都是"ABCD"...[阅读全文]
阅读 ()评论 (0)
只要是能在操作系统上直接运行的程序,不带SetUID的,我们的软件就能把它转换成具有抗软件攻击能力的命令,原有的功能保留,增加抗攻击的能力。所以无论你的程序是java,python,perl,shell,编译的程序,都可以被转换。能够保护脚本的内容,这样如果你的程序需要用到密码,把它嵌入在你的脚本中,由我们的服务进行转换,那么使用者就看不到那个嵌入的密码,安全性就会高[阅读全文]
阅读 ()评论 (1)
在你们用的关键系统上安装ssh服务器软件,将其设置为只接受公开密钥授权,并把所有其它可能用来远程登录的服务关闭。然后在数据中心安装二台小型的台式电脑,运行RedHatLinux,我们称这二台机器为管理工作站。在管理工作站上安装我们的AutoSSH,CaclMgr,WZSysGuard。在这二台管理工作站上,为每个管理项目(如,系统管理,数据库管理,应用1管理,应用2管理,等等)建一个用[阅读全文]
阅读 ()评论 (0)
CaclMgr是一种类似SUDO的UNIX/LINUX授权软件,但它比SUDO要安全的多,也更易使用,可应用的范围也大的多.
与其它类似软件相比, 当您想授权某一用户能以DBA的权限运行某个命令时,别的软件会要求您使用root用户来进行这一授权,违反最小授权原则;而CaclMgr则不同,您只需使用DBA用户来进行这一授权. 别的软件只会记录命令执行的起始时间,而CaclMgr除了记录命令执行的起始时间,也会[阅读全文]
阅读 ()评论 (0)
在计算中心的UNIX/LINUX系统上进行文件传送会产生三大安全隐患:
1.口令或密码的安全性:在用sftp/scp进行文件传送时,操作人员须先用远程用户的口令或本地私用密钥的密码登录,这本身就给口令或密码的保密带来了挑战:如何保证这些操作人员不会将其泄密或滥用?另外,当敲入这些口令或密码时,其他公司内部的不良人员,如若某个系统管理员有不良企图,可用系统工具,象Solaris/AIX上[阅读全文]
阅读 ()评论 (0)
WZSysGuard是UNIX/Linux系统上最可靠的入侵检测及文件完整性检测软件,且在覆盖面够广的情况下有最低的虚假安全警报.它还能帮助检测不良网络服务的出现,额外文件系统的安装,额外核心模块的装载,Linux上防火墙规则的改变。 WZSysGuard远比TripWire更可靠:商业版的TripWire无法为您准确检测系统上的SetUID文件。而当黑客获得了系统的超级用户权限时,经由修改TripWire的代理软件[阅读全文]
阅读 ()评论 (0)
在UNIX/Linux系统上使用ssh或sftp在多数人看来是很安全的. 但若您在公司的数据中心负责数据的安全工作,持有与此相同的观点,则是相当危险的.
ssh及sftp所提供的安全措施仅存在于通讯通道, 就是说在ssh/sftp的客户端及服务器端之间的通讯会被加密,增强了安全性.
那么在UNIX/Linux上使用ssh/sftp会有哪些问题呢?
在UNIX/Linux系统上,有一些工具,在进行系统或程序排错时会有帮[阅读全文]
阅读 ()评论 (0)