超级会员免费看
僵尸网络检测:工具与技术全解析
1. 代码安全与信任问题
在代码世界里,存在着潜在的安全隐患。就像有人展示的示例代码添加新语法特性时,会出现将木马引入编译器的情况。正如汤普森所指出的,“你不能完全信任自己未亲自编写的代码”。他的两阶段木马攻击能避开源代码级别的检查,因为攻击依赖于被篡改的编译器。虽然操作系统供应商植入木马这种情况比较极端,但在任何新的安装或升级中,都可能存在替换和后门程序。
2. 文件监控与Tripwire工具
2.1 文件监控范围
要保护(更准确地说是监控)哪些内容,取决于你对要监控的文件和目录的配置。原则上,它可以设置为监控受监控系统上的每个或任何文件或目录,而不仅仅是系统文件和目录树。不过,一般来说,这样做可能会适得其反。即使在系统文件相对稳定且不包含用户数据的服务器上,也需要对动态更改的文件(如日志文件)设置例外。在包含动态数据的系统中,则需要设置更具区分性的系统。
2.2 Tripwire工具
Tripwire是一种完整性管理工具,它使用文件签名数据库(消息摘要或校验和,而非攻击签名)来检测文件的可疑更改。Tripwire配置和策略文件使用站点密钥签名,而数据库文件和可能的报告文件则使用本地密钥签名。数据库初始化并签名后,可以根据配置文件中的设置从cron运行Tripwire,该配置文件指定了要监控的文件和目录以及监控的详细程度。忽略标志指定被认为合法且应生成警报的更改。在检查模式下,将被监控的文件系统对象与数据库中的签名进行比较:明显的违规会被显示、记录,还可以通过邮件发送给管理员。如果发现明显的违规是有效的,可以通过选择性更新数据库来接受。
订阅专栏 解锁全文
扫一扫
3208
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
