Unix主机漏洞扫描器的设计与实现之检查服务器登录记录

扫描服务器登录记录并分类将其呈现给系统管理员，便于系统管理员察看和管理。这部分分为两步：

(1) 扫描当前登录用户，将他们的具体信息打印显示。

(2) 扫描登录历史记录并将历史记录分成三类：内部NAT网段合法用户登录；外部授权合法用户登录；外部非授权用户登录。

前两类视为正常情况，第三类设置为警告类显示并给出警告。在实现中我们设置了一个配置文件，用户可以设置该配置文件，根据不同的环境来设置当前NAT网段的网络地址和授权的外部合法地址。

Unix主机漏洞扫描器的设计与实现之检查用户信息

（1）检测服务器系统中是否存在多个超级用户，确定潜在的后门。如果系统存在多个超级用户，为系统安全计，建议手工删除多余或非法的超级用户设置。这部分功能主要通过检测/etc/passwd文件内的相关信息得以实现。

（2）将/etc/passwd 文件与其标准备份文件（如/etc/ncb）进行比较，确定二者的不同之处。该标准备份文件应不易被攻击者发现，最好放置在内含文件较多的系统缺省目录内，命名则与系统命令类似。该标准备份文件可视为用户配置标准规则之一，系统管理员的配置和更新均及时反映在这个文件中，并且是合理的。在标准备份文件与/etc/passwd进行逐行比较的情况下，黑客对/etc/passwd的任何改变均会被检测出来。

（3）在/etc/shadow 文件中检测是否有无口令用户的存在。如果存在无口令用户立即给出警告信息。

（4）检测服务器中用户主目录的权限设置，当用户目录权限超过组可读的限度时给出警告，特别是用户主目录全可写时给出严重警告，提醒管理员立即修改该用户主目录权限。

Unix主机漏洞扫描器的设计与实现之危险Suid文件的检查

扫描几个重要的系统可执行文件的目录，包括/usr/bin、/usr/sbin、/usr/dt/bin和/usr/openwin/bin。由于系统本身在这些目录下就具有很多必要的Suid的文件，所以在实现中对应于每个目录都有一个该目录下标准的合法Suid文件库，当在扫描中如果发现不是标准库中的Suid文件时，就显示出该文件，并给出警告，提醒管理员立即检查该文件的合法性。

Unix主机漏洞扫描器的设计与实现之检查文件安全性

（1）检查/etc目录下重要配置文件的权限，对于此类文件超过组可读的权限即给出警告并根据权限大小给出相应警告。

（2）通过扫描/etc/passwd文件，检测服务器中用户主目录的权限设置，当用户目录权限超过组可读的限度时给出警告，特别是用户主目录全可写时给出严重警告，提醒管理员立即修改该用户主目录权限。

Unix主机漏洞扫描器的设计与实现之基于信任机制的扫描

（1）检查/etc/hosts.equiv文件的安全性。首先检查该文件是否存在，如果该文件存在，再检查该文件是否为空，如果为空，则建议系统管理员删除该文件；如果不为空，则进一步检查该文件内是否存在"+"符号，如果存在，程序予以严重警告。

（2）检测 /.rhosts文件的安全性。如果该文件存在，程序予以警告；如果该文件内存在"+"符号，程序予以严重警告；如果该文件内存在"++"，则程序要求管理员立即删除此标记并用入侵检测工具检查整个系统。最后程序建议用户如无必要则删除该文件。

Unix主机漏洞扫描器的设计与实现之检查网络访问服务安全

扫描/etc/services和/etc/inetd.conf文件，如果一个网络服务在两个文件中都没有被注释掉，则表明系统启动了该网络服务。在这些启动的网络服务中，再看有没有一些存在隐患、易被黑客利用而又没有太大必要开放的服务，如果有则提出警告，由系统管理员作最后的权衡，是否关掉该服务。

Unix主机漏洞扫描器的设计与实现之检测NFS漏洞

检测目标主机是否存在NFS 共享的目录和文件，如果存在则给出警告。需要说明的是，主机扫描模块获知的漏洞信息，一般情况下，予以提示系统管理员。至于修改漏洞，为安全计，建议系统管理员手动修改完成。

Unix主机漏洞扫描器的设计与实现之其它隐患扫描

（1）检查 /etc/aliases 文件中 decode项是否被封闭，若没有则提示是否添加 "#"符号 于 /etc/aliases 中decode 相关行首。

（2）检测 /.cshrc 脚本文件path设置项内是否存在 "." 字符，是则建议删除。

Unix主机漏洞扫描器的设计与实现总结

我们设计并实现了这个Unix主机漏洞扫描器，该扫描器具备了较强的主机安全扫描能力，但由于受到技术和时间上的原因的限制，在设计和实现上也存在一些不足和有待改进之处，主要表现在主机系统配置规则库的有效性和完备性方面，由于系统漏洞的确认是以专家经验形成的系统配置规则库为基础的，如果库体设计不准确，预报的准确度就无从谈起，如果库体更新不及时，预报准确度也会逐渐降低。此外，系统也无法检测到新出现的安全漏洞，这些都有待于以后进一步的改进。

总之，主机漏洞扫描技术是一门较新兴的技术，它从另一个角度来解决网络安全上的问题。具体来讲，防火墙技术是被动防御、入侵检测技术是被动监测，而主机漏洞扫描技术则是自身主动进行有关安全方面的检测。因此，从网络安全立体纵深、多层次防御的角度出发，主动进行检测安全漏洞越来越受到人们的重视。

【编辑推荐】

1. Unix主机漏洞扫描器的设计与实现（1）
2. Unix主机漏洞扫描器的设计与实现（2）
3. Unix主机漏洞扫描器的设计与实现（3）
4. Unix主机漏洞扫描器的设计与实现之背景和必然性分析
5. Unix主机漏洞扫描器的设计与实现之系统安全性分析及技术概述

　　推荐阅读

　　Unix主机漏洞扫描器的设计与实现（3）

Unix主机漏洞扫描器的设计与实现之审核文件和目录权限规则（1）FTP的根目录FTP的根目录不同于主机系统的根目录，所以FTP下看到的/etc/passwd和系统的/etc/passwd不是一个文件，但有些不称职的系统管理员在创建FTP目录>>>详细阅读

本文标题：Unix主机漏洞扫描器的设计与实现（4）

地址：http://www.17bianji.com/anquan/buding/538.html

 1/2    1