摘要:新的2.6内核的原生ipsec实现极大的提高了linux系统的安全性--------------------------------------------------------------------------------------------------------------ipsec是ip协议的一个附加协议,它允许对ip数据报的认证和加密. ipsec详细定义在rfc 2401, r......
摘要:在win下,打开应用程序时出现错误 .在win下,打开应用程序时出现错误,出现要求选择相应程序打开!把下面的信息导入到注册表里(注意有空行):windows registry editor version 5.00[hkey_classes_root\exefile\shell\open\command]@="\"%1\" %*"方法二: 在命令窗口中执行—......
Chrooting 后台服务和系统程序指导上一页 ...所以要想chroot sendmail,首先应该精心策划所有细节问题.当然在我提到的这个例子实际上最好使用smrsh (sendmail restricted shell),而不需要chroot.无论如何,只要稍微努力一下我们就能安全的 chroot 很多系统 daemons. * 1.4 chrooting 会给用户带来什么后果? 如果一切设置正确,你的用户不应该感觉到任何系统变动.本身系统并没有变动,而是在现有系统上建立一个监狱式的环境.在这里我们并不是讨论什么安全的建立ftp或者ssh daemons.对于他们也有类似的方法,但是要复杂的多.这里将主要介绍如何给普通的服务带来更大的安全系数. * 1.5 chrooting 需要些什么? chroot各种 daemon 有一个步骤,基本如下: #建立”监狱式”目录 #拷贝本身服务软件与其他要求的文件 #拷贝所需要系统库文件 #变换启动脚本,使系统启动正确环境 第二步与第三步基本是同一时间.但是第二步骤中,更需要一些有周全的考虑,比如一个邮件服务,必须能访问所有mail目录,但是同时把所有邮件目录拷贝到jail目录下也不是个周全的办法.将在后面具体介绍如何解决以上问题. 第二部分 * 2.1 我们是否能 chroot 这个进程? 在建立目录或者生成文件前,让我们先考虑一下是否能建立chroot 环境.我将介绍三个系统进程的例子,有三个问题我们应当考虑. #这个 daemon 否访的数据是否在一个普通目录下? #是否可以拷贝文件其他地方或者周期性的使用cron替代? #是否能够谨慎在这些指定文件目录中生成一个监狱式环境? 如果你对以上问题回答是都是不可能的话,那么可能chroot不是一个好的解决方法.让我们看以下例子: eudora qpopper #这个 daemon 否访的数据是否在一个普通目录下? 首先对于一邮件服务系统应当能访问用户邮件目录,同时/etc中的一些文件,比如passwd文件确认用户.所以这个问题答案是可以.因为主要文件通常在 /var/mail 下面. #是否可以拷贝文件其他地方或者周期性的使用cron替代? 拷贝邮件箱不是什么好的想法,这样很容易给用户造成邮箱不稳定的感觉. #是否能够谨慎在这些指定文件目录中生成一个监狱式环境? 当然可以,在这里我们有两种选择,一种是移动这些牵连文件到监狱环境中,一种是重新生成.对于原有连接可以使用symbolic links,linux的ip伪装功能嗅探器检测工具与对策(感谢phoenix提供!!)ia64 地址模式与保护数据完整性检测工具:tripwiremysql安全性指南 linux后门手法pop3协议命令原始码及工作原理常见端口详解及部分攻击策略 网络配置文件快速解读帐号安全(感谢phoenix原创!)相关链接共 136 篇>,相关的链接)
}" href="http://www.safechina.net/article/showarticle.php?id=1005559659#">linux下常见的一种文件目录解决方式. sun的如何关闭你的netbios 端口,让黑客无法入侵你!windows 2000 command prompt nmap网络安全扫描器说明(2)nessus安全测试插件编写教程2常见端口详解及部分攻击策略 windows 2000 安全设置检查清单chrooting 后台服务与系统程序指导ip欺骗的原理帐号安全nmap网络安全扫描器说明(1)相关链接共 31 篇>,相关的链接)
}" href="http://www.safechina.net/article/showarticle.php?id=1005559659#">rpcbind #这个 daemon 否访的数据是否在一个普通目录下? 主要访问/etc下的一些小文件 #是否可以拷贝文件其他地方或者周期性的使用cron替代? 大部分文件很小而且很少更新,用cron一天拷贝一次足够. #是否能够谨慎在这些指定文件目录中生成一个监狱式环境? 在/etc下进行chroot不是一个好的想法,对于很多黑客高手etc里面的文件足够提有用的信息.应该生成一个单独的监狱环境,将文件拷贝到这个环境就可以了. sendmail #这个 daemon 否访的数据是否在一个普通目录下? 不是,sendmail访问数个不同的目录与文件.比如/var/spool/mqueue与/var/mail还有/etc/mail下的一些文件,除此以外还有用户目录下的一些文件. #是否可以拷贝文件其他地方或者周期性的使用cron替代? 理论上是可以的,但是似乎带来的工作量大于我们所想象的.其中比如用户目录下的.forward文件或者其他文件.似乎在实际中做到不太现实. #是否能够谨慎在这些指定文件目录中生成一个监狱式环境? 首先,我们应该在mail目录那里进行jail限制,那么我们失去在spool的写权限,那么我们应该jail整个/var,这样导致其他问题.所以无论如何是否建立mirror目录都不太理想.所以我不推荐对sendmail使用chroot. 虽然我确定sendmail是可以被chroot的,我见过chroot过的qmail,但是那些是专业做linux安全系统的公司为自己软件,要求考虑周详.初学者不推荐做这样的试验. * 2.2 对 trss, lsof 与 ldd 简介 truss 如果你 man truss,你能看到truss是一个跟踪系统calls与signals的工具.系统calls包括库文件与反问数据文件.truss一个很好工具测量哪些文件被使用.使用truss,很简单,敲如truss按照提示使用它. lsof lsof 是另外一个工具看到那些文件被daemon使用.通过lsof你能看到哪些daemons正在运行.还会提示哪些端口等等很多信息.可以从www.sunfreeware.com下载,或者通过ftp到ftp://vic.cc.purdue.edu/pub/tools/unix/lsof 获取. ldd ldd 是一个工具帮助你找出哪些库文件被程序使用.ldd的是list dynamic dependencies的缩写.使用ldd能够给你一个list哪些库文件应当拷贝到监狱环境中. * 2.3 查找所依赖的数据文件 在2.1中已经介绍过我们应当首先找出所有daemon使用的文件.有些是直接可以找到的,有些必须新建立一个监狱环境.以上的三个例子中两个是完全可行的.(eudora qpopper与sun rpcbind)并且在前段时间在安全上漏洞一直很多.在这里简介如何为它们做到chroot....
下一页 摘要: 业务持续性计划介绍 业务持续性计划介绍 何谓业务持续计划(bcp)? bcp可被定义为一种先知先觉的流程, 它可以帮助企业确认影响业务发展的关键性因素及其可能面临的威胁。由此而拟定的一系列计划与步骤可以确保企业无论处于何种状况下,这些关键因素的作用都能正常而持续地发挥。bcp的目标是建立一种合理有效的成本控制方案,以平衡由威胁带来的可能的业务或资产的损失及为保证业务连续性运作而进行的成本投入。何......
