Linux系统凭借其稳定且源代码公开的特性，在Internet上被用来做Web服务器与数据库服务器已经越来越多了，随之，Linux系统的安全性也被愈发重视，加固Linux系统对于很多人来说，也是迫在眉睫的事情了。那么，要较好的加固Linux系统，足以应付各种突发事件与黑客的攻击，我们需要从哪些方面入手呢? 1.安装和升级 尽量选用最新的Linux发行版本，安装前拔掉网线，断开物理连接，安装时建议用custom自定义方式安装软件包，数量以少为好。一般来说服务器没有必要安装X-windows，在lilo/g...

1、防止跳出web目录 首先修改httpd.conf，如果你只允许你的php脚本程序在web目录里操作，还可以修改httpd.conf文件限制php的操作路径。比如你的web目录是/usr/local/apache/htdocs，那么在httpd.conf里加上这么几行： php_admin_value open_basedir /usr/local/apache /htdocs 这样，如果脚本要读取/usr/local/apache/htdocs以外的文件将不会被允许，如果错误显示打开的话会提示这样的...

在简单介绍Linux内核安全入侵侦察系统中介绍了Linux系统暴露的问题，和入侵侦察系统的特点，那么我们怎么来完成一个相对相对高级别的Linux内核安全。 下载LIDS补丁和相关正式的Linux内核 可以从LIDS Home，LIDS Ftp Home或最近的LIDS Mirror获得LIDS补丁和系统管理工具。 补丁名称是lids-x.xx-y.y.y.tar.gz, x.xx代表lids的版本， y.y.y代表Linux内核版本.例如， lids-0.9.9-2.2.17.tar.gz代表lids...

简介: 在这篇文章里, 我们将看到各种不同的后门技术，特别是 Linux的可装载内核模块(LKM)。 我们将会发现LKM后门比传统的后门程序更加复杂，更加强大，更不易于被发现。知道这些之后，我们可以制造我们 自己的基于LKM的Rootkit程序, 主要体现在TCP/IP层, 因为我们相信这是在系统管理员面前最好的隐藏后门的地方。 序言 在一些黑客组织中, Rootkit (或者backdoor) 是一个非常感兴趣的话题。 各种不同的Rootkit被开发并发布在internet 上。在这些Rootkit之...

中小企业可以不必花费大量的金钱去购买专业级防火墙。近几年来，有些专业人士发现，有些自称固若金汤的硬件防火墙功能并非如此神奇，而其价格却高得惊人。由于一些中小企业没有足够的安全专业人士，再加上有些厂商的“忽悠”，使不少单位花了不少冤枉钱却未见安全状况的明显改观。因此，笔者认为有必要谈谈如何采用开源软件将普通的电脑改造成为一台不错的专业级路由器/防火墙设备。 IPCop 网址：http://www.ipcop.org/index.php 就其核心来说，此软件实质上是一个防火墙设备。应当说，它是一个可担当硬件...

不久前，我以极大的耐心下载了最新的内核版本，那可是通过拨入连接完成的。在整个下载的过程中，我渴望有一天在家里就能使用高速的Internet连接。xDSL和线缆猫的到来使其成为可能，但这并不包括价格因素。 在我写此文章的同时，在世界的某个地方，也许正有一个人在他家里的计算机上第一次安装发布的Linux。一个新的Linux的管理员通过为其家人和朋友设置帐户来使系统运转起来。也许在初次安装完成后的不长时间里，这个Linux系统就会以令人感激涕零的高速DSL接入Internet。 还是容易被攻击 今天几近所有可...

TUX设计的非常严格和安全的。这可能是因为辅助的用户区的后台来处理复杂的其他请求。 TUX只提供一个下面的文件服务： URL没有包括 ？。 URL没有用 /. 开始的 URL指向一个存在的文件。 文件是可读的。 文件不是一个目录。 文件不可以执行。 文件不包含粘粘位。 RUL没有包括禁止的或是一些子串。 注意： 要配置sysctl参数在/proc/sys/net/tux。...

作者：ideal Sendmail是在Unix环境下使用最广泛的实现邮件发送/接受的邮件传输代理程序。 由于Sendmail邮件服务器的特点是功能强大而复杂，因此为保证Sendmail的安全性，需要作以下一些工作。 1、设置Sendmail使用"smrsh" smrsh程序的目的是作为在mailer中为sendmail定义的"/bin/sh"的替代shell。smrsh是一种受限shell工具，它通过"/etc/smrsh"目录来明确指定可执行文件的列表。简而言之smrsh限制了攻击者可以执行的程序集。...

网络被攻击，很多情况是由于服务器提供了Telnet服务引起的。的确，对于UNIX系统，如果要远程管理它，必定要使用远程终端，而要使用远程终端，自然要在服务器上启动Telnet服务。但是Telnet服务有一个致命的弱点——它以明文的方式传输用户名及口令，所以，很容易被别有用心的人窃取口令。目前，一种有效代替Telnet服务的有用工具就是SSH服务。SSH客户端与服务器端通讯时，用户名及口令均进行了加密，有效防止了对口令的窃听。本文向大家介绍运行在常用操作系统上的SSH服务器软件包的使用。 首先，SSH软件...

Linux 系统安全讲座 --------------- 大纲 * 注: 授课内容主要以为主□ 再配以网页资料为副。 --------------- 网路安全层次 网路 服务 系统 系统安全 物理保安 地理防御 门禁制度 社交工程 P2-13 机房保护 机柜 主机 电源 键盘 荧幕 开机保护 钥匙 电源按钮 BIOS 启动设备: 硬碟 软碟 光碟 OS Loader LILO P8-2 GRUB info grub (参考范例一) 开机程式 (run level rwx P3-8 档案 vs 目录 x...

*环境 RedHat 7.3 在网上越来越多的 hacker 的出现, 越来越多的高手出现的情况下.如何才能确保自己可以保存一份完整的 log 呢？稍微有点概念的 hacker 都知道,进入系统后的第一见事情就是去清理 log, 而发现入侵的最简单最直接的方法就是去看系统纪录文件.现在我们来说说如何设定一个安全的 log 服务器. 想想看,如果入侵者无法连结您的 log 服务器,又如何能改您的 log 呢？现在我们来学习如何设定一个无 ip 的 log 服务器. 现在,来介绍一下如何用 Snort 来做...

//当时做这个实验是为了参加学院举行的学生学术论坛,文章有点长,请提出你的宝贵意见 LINUX下的IDS测试实验 2000级计算机一班：王维 IDS（Instrusion Detection System），也就是大家平时所说的入侵检测系统，广泛的被运用于各种操作系统的安全检测和安全防御，以及探测网络受攻击的程度和次数。为以后的网络安全管理提供详实的资料和证据。 由于条件的限制，我们只能够采取SNORT做为本次实验的IDS使用。 Snort的一些功能： 1.实时通讯分析和信息包记录 2.包装有效载荷检查...