以著名的Tripwire商业版为例,其适用于Solaris10及以后版本的代理,用的是Solaris上的dtrace。这本是一个不错的主意,但问题是代理软件本身,没有任何防非法修改的功能,攻击者可以在获得root权限后,修改Tripwire的代理软件,使得安全人员无法在控制台上看到真实的情况。
检测入侵,单靠文件完整性检测是远远不够的,例如,攻击者可在侵入系统后启动一个网络服务开启一个后门;可加载一个核心模块,用以监控系统活动,包括窃取其他用户的口令;可修改防火墙设置,等。这些典型的黑客活动可能都无法通过检测文件完整性来发现的。
WZSysGuard有着下列特性以保证其检测的可靠性:
1. 在安装后,软件本身会变成只读,而且其所用的系统命令及库都会存放在软件本身的目录下。这样一来, 即使系统库被黑客替换,WZSysGuard还是能可靠地进行检测。
2. 有着独有的口令及密码保护,能检测大多数软件为手段的口令窃取攻击。
WZSysGuard不仅能可靠地检测关键文件的非法修改,还能可靠地检测:
1. 额外文件系统的安装。
2. 额外核心模块的加载。
3. 额外网络服务的启动。
4. 防火墙规则的修改(Linux上)。
5. 路由规则的修改(Linux上)。
如果觉得我的文章对您有用,请点赞。您的支持将鼓励我继续创作!
赞0
添加新评论0 条评论