如何来量身定制安全的Linux系统服务平台

　　/sbin/portmap、/etc/xinetd.conf、/etc/services。

　　这些文件都是替代的对象。由于这些文件已经被取代，那么简单地利用ls命令是查看不出这些文件有什么破绽的。因此你需要用md5sum工具在系统安装前期为这些文件做好指纹认证并保存，以备日后检测所用。

　　2．RPM安装包

　　如果使用的是基于RPM的安装包（Red Hat公司开发并包含在其Linux产品之中的多功能软件安装管理器，现有多种版本的Linux使用此管理器，如Red Hat、 TurboLinux），它可以用来建立、安装、查询、检验、升级和卸载独立的软件包。一个完整的RPM包包括压缩文件和包信息。当使用RPM安装软件时，RPM为每个被安装的文件向数据库中添加信息，包括MD5校验和、文件大小、文件类型、拥有者、组和权限模式。当RPM以-verify标志运行时，将把初始文件的值与当前安装的文件进行比较并报告差异。例如，下面是对一个被黑站点的运行结果：

　　# rpm -qf /bin/ps（或# rpm -qf /usr/bin/top 查看命令隶属哪个RPM包）

　　procps.2.0.2-2 　

　　# rpm -V procps（-V　MD5检验）

　　SM5..UGT /bin/ps

　　SM5..UGT /usr/bin/top（有消息表示此文件已被修改）

　　由上可以看出，攻击者已经入侵到系统中，并且用自己的ps及top命令替代了原来系统中的命令，从而使管理员看不到其运行的进程。RPM的使用方法很多，具体操作方法参见man rpm文档。

　　3．Tripwire

　　Tripwire是一个用来检测整个系统是否存在恶意代码和检验文件完整性的有用工具。它采用MD5算法生成128位的“指纹”，通过命令自动保存系统快照，再产生相应的MD5数值以供日后比较判断。

　　使用Tripwire可以定义哪些文件/目录需要被检验。一般默认设置能满足大多数的要求。该工具运行在四种模式下：数据库生成模式、数据库更新模式、文件完整性检查模式、互动式数据库更新模式。当初始化数据库生成的时候，它生成对现有文件各种信息的数据库文件。为预防以后系统文件或者配置文件被意外地改变、替换或删除，它将每天基于原始数据库对现有文件进行比较，以发现哪些文件被更改、是否有系统入侵等意外事件发生。当然，如果系统中的配置文件或程序被更改，则需要再次生成数据库文件，保持最新的系统快照。此软件功能强大，使用方便。具体的安装和使用，可以通过Google搜索获得。