作者：studyboy
email: studyboy@21cn.com
日期：2001-7-25 10:25:49
sudo 
    sudo是系統(tǒng)管理員用來允許某些用戶以root身份運行部分/全部系統(tǒng)命令的程序。一個明顯的用途是增強了站點的安全性，如果你需要每天以root身份做一些日常工作，經(jīng)常執(zhí)行一些固定的幾個只有root身份才能執(zhí)行的命令，那么用sudo對你是非常適合的。

sudo的主頁在：http://www.courtesan.com/courtesan/products/sudo/ 
以Redhat 為例，下面介紹一下安裝及設置過程： 
首先，你能從sudo主頁上下載for Redhat Linux的rpm package. 
它在ftp://ftp.freshmeat.net/pub/rpms/sudo/ 
當前最新的穩(wěn)定版本1.5.9p4。 
    執(zhí)行#rpm -ivh sudo* 進行安裝，然后用/usr/sbin/visudo編輯/etc/sudoers文件。如果系統(tǒng)提示你找不到/usr/bin/vi但實際上你在目錄/bin下有vi程序，你需要ln -sf /bin/vi /usr/bin/vi為 vi 在/usr/bin下創(chuàng)建符號鏈接。（注：我在Redhat 6.1上遇到，Redhat 5.x上沒有此問題）

另外，如果出現(xiàn)某些其它錯誤，你可能還需要#chmod 700 /var/run/sudo 
下面是我的/etc/sudoers文件例子： 
[root@sh-proxy /etc]# more sudoers 
Host_Alias SERVER=sh-proxy 
# User alias specification 
User_Alias ADMIN=jephe,tome 
# Cmnd alias specification 
Cmnd_Alias SHUTDOWN=/etc/halt,/etc/shutdown,/etc/reboot 
ADMIN SERVER=SHUTDOWN 
jephe SERVER=/usr/bin/tail -f /var/log/maillog 
jephe SERVER=/usr/bin/tail -f /var/log/messages 
# User privilege specification 
root ALL=(ALL) ALL 
----------- 
    既然我經(jīng)常需要遠程登錄到服務器觀察email log文件/var/log/maillog的變化，因此我加了這一行到 /etc/sudoers，這樣我不需要經(jīng)常登錄作為root來完成我的日常工作，改善了安全性。

  Sniffit 
    sniffit 是一個有名的網(wǎng)絡端口探測器，你可以配置它在后臺運行以檢測哪些Tcp/ip端口上用戶的輸入/輸出信息。 
    最常用的功能是攻擊者可以用它來檢測你的23(telnet)和110(pop3)端口上的數(shù)據(jù)傳送以輕松得到你的登錄口令和mail帳號密碼，sniffit基本上是被破壞者所利用的工具，但是既然想知道如何增強你的站點的安全性，首先你應該知曉闖入者們所使用的各種工具。

sniffit 的主頁在 http://reptile.rug.ac.be/~coder/sniffit/sniffit.html 
你能從那里下載最新的版本，安裝是非常容易的,就在根目錄運行#tar xvfz sniff* 
解開所有文件到對應目錄。 
    你能運行sniffit -i以交互式圖形界面查看所有在指定網(wǎng)絡接口上的輸入/輸出信息。如：為了得到所有用戶通過某接口a.b.c.d接收郵件時所輸入的pop3帳號和密碼，你能運行

#sniffit -p 110 -t a.b.c.d & 
#sniffit -p 110 -s a.b.c.d & 
記錄文件放在目錄/usr/doc/sniffit*下面： 
    log file根據(jù)訪問者的IP地址，隨機高端端口號和用來檢測的網(wǎng)絡接口IP地址和檢測端口來命名。它利用了tcp/ip協(xié)議天生的虛弱性，因為普通的telnet和pop3所傳的用戶名和密碼信息都是明文，不帶任何方式的加密。 因此對telnet/ftp.你可以用ssh/scp來替代. sniffit檢測到的ssh/scp信息基本上是一堆亂碼，因此你不需要擔心ssh所傳送的用戶名和口令信息會被第三方所竊取。

  ttysnoop(s) 
    ttysnoop是一個重定向?qū)σ粋€終端號的所有輸入/輸出到另一個終端的程序。目前我所知道的它的所在網(wǎng)站為http://uscan.cjb.net,但是始終連不上去，從其它途徑我得到了ttysnoop-0.12c-5 ,地址是http://rpmfind.net/linux/RPM/contrib/libc6/i386/ttysnoop-0.12c-5.i386.html這個版本好象還不能支持shadow password,安裝后你需要手動創(chuàng)建目錄/var/spool/ttysnoop測試這個程序是有趣的，下面是相關指令：首先改/etc/inetd.conf中的in.telnetd默認調(diào)用login登錄程序為/sbin/ttysnoops,象下面這樣：

[root@jephe /etc]# more inetd.conf | grep in.telnetd 
telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -L /sbin/ttysnoops 
更改后一定要運行killall -HUP inetd使之生效 
確保不要使用陰影口令，用#pwunconv禁止陰影口令。 
再編輯文件/etc/snooptab 
默認配置就可以了。 
[root@jephe /etc]# more snooptab 
ttyS1 /dev/tty7 login /bin/login 
ttyS2 /dev/tty8 login /bin/login 
* socket login /bin/login 
------ 
    最后，如果在某個終端上有人登錄進來（你可以用w命令查看它在哪個終端），如登錄終端設備為ttyp0,則你可以登錄進服務器打入#/bin/ttysnoop ttyp0（提示輸入root口令,再次,上面提到的這個版本不支持陰影口令）以監(jiān)視用戶的登錄窗口。

  nmap 
    nmap 是用來對一個比較大的網(wǎng)絡進行端口掃描的工具，它能檢測該服務器有哪些tcp/ip端口目前正處于打開狀態(tài)。你可以運行它來確保已經(jīng)禁止掉不該打開的不安全的端口號。nmap的主頁在http://www.insecure.org/nmap/index.html

下面給出一個簡單的例子： 
[root@sh-proxy /etc]# /usr/local/bin/nmap public.sta.net.cn 
Starting nmap V. 2.12 by Fyodor (fyodor@dhp.com, www.insecure.org/nmap/) 
Interesting ports on public.sta.net.cn (202.96.199.97): 
Port State Protocol Service 
21 open tcp ftp 
23 open tcp telnet 
25 open tcp smtp 
109 open tcp pop-2 
110 open tcp pop-3 
143 open tcp imap2 
513 open tcp login 
514 open tcp shell 
7000 open tcp afs3-fileserver 
Nmap run completed -- 1 IP address (1 host up) scanned in 15 seconds 
========== 



    在Linux中，密碼以hash格式被存儲，你不能反向從該hash數(shù)據(jù)表中分析出密碼，但可以以一組單詞hash后和它進行比較，如相同則就猜測出密碼。故起一個很難被猜測的密碼是非常關鍵的。一般地你決不能用字典存在的某個單詞作為密碼，那是相當容易被猜測出來的。另外也不能用一些常見的有規(guī)則性的字母數(shù)字排列來作為密碼，以123abc等。

    John the ripper是一個高效的易于使用的密碼猜測程序，其主頁在http://www.openwall.com/john/

    下載tar.gz格式的for UNIX的程序，然后用tar xvfz john*.tar.gz解開到任一目錄下。進入src目錄，打入make linux-x86-any-elf (我用redhat 6.1)后會在run目錄下生成幾個執(zhí)行文件，包括主程序john。現(xiàn)在要Crack密碼就運行./john /etc/passwd即可。

    John也可以Crack由htpasswd 生成的用于驗證apache用戶的密碼，如果你用htpasswd -c apachepasswd user 創(chuàng)建了一個用戶user,并生成了密碼，你也可以用john apachepasswd來進行猜測。

    John在猜測密碼時輸出在終端上，并把猜測出的密碼存于john.pot文件中。

    另一個password Cracker是大家知道的經(jīng)典的Cracker. 主頁在

    http://www.users.dircon.co.uk/~crypto/