unit 2
一:漏洞:如果拥有一个SSH账号可以登录系统,在RHEL5有这样的漏洞下载攻击代码:wunderbar_emporium
src -r wunderbar_emporium/ linuxidc@192.168.56.2:/home/linuxidc
ssh linuxidc@192.168.56.2
./wunderbar_emporium.sh
这时就可以获得root的权限 了。再进行更改密码。系统 就是你的了。
解决方法:
vim /etc/modprobe.conf
添加:
install pppox /bin/true
install bluetooth /bin/true
install appletalk /bin/true
install ipx /bin/true
install sctp /bin/true
二:tcp wrapper
语法是这样的:deamon list: client list :severity [].pri
想查看options有什么,可以:man hosts.deny
例子一:
sshd : 192.168.56.1:deny
在讲第二个例子之前 , 先学习一下日志的相关知识吧,因所用系统 是RHEL6,所以,相关文件跟RHEL5是有点不一样的
linux的日志 守护进程是rsyslog ,配置文件/etc/rsyslog.conf在linux中,日志分为9个级别,分别为:
emerg 该系统不可用
alert 需要立即被修改的条件
crit 阻止某些工具或子系统功能实现的错误条件
err 阻止工具或某些子系统部分功能实现的错误条件
warning 预警信息
notice 具有重要性的普通条件
info 提供信息的消息
debug 不包含函数条件或问题的其他信息
none 没有重要级,通常用于排错
* 所有级别,除了none
所以第二个例子讲的是,当系统 有ssh登录时,将信息记录到自己指定的文件里
例子二:
#vim /etc/rsyslog.conf
查找:
/authpriv.*
在authpriv* 上面添加一行:
authpriv:info
authpriv是指用户的验证,这是linux日志的类型之一。linux的日志优先级是由类别+级别组成 的。authpriv就是一种类型。
这就意味着,登录信息将被记录到/var/log/info里
接着重启服务:
service rsyslog restart
#vim /etc/hosts.allow
添加如下一行:
sshd : localhost: severity info
:wq
再用ssh登录进来时,就会将登录信息记录到/var/log/info里了
例子三:当用户ssh登录时,运行指定 的命令:
语法:
deamon : client list : spawn command
范例: sshd : localhost : spawn /bin/echo `date`%c %d >>/var/log/wrapper.log
例子四:给别人显示 一个信息:
deamon:client list : twist command
范例:
vim /etc/hosts.deny
vsftpd : 192.168.56.1 : twist /bin/echo “421 连接错误”
功能 是让192.1268.56.1 无法使用本机 vsftpd服务,并且回显一个421 连接错误信息。
不过没有成功,倒是在日志 里出现了这个信息
例子四:显示一段话,前面都是用echo显示一句话。跟这里还是有点不一样。
范例:
语法: deamon : client list : banners directory
#vim /etc/hosts.deny
添加:vsftpd : 192.168.56.1 : banners /var/banners
#cd /var/banners
#vim vsftpd --这里创建一个你的服务的名字的文件,在里面写上内容:
220-- 连接失败
221--稍候重新连接