SSExplorer系统概要
操作系统安全性分析系统(SSE)是操作系统安全评估分析工具。它从操作系统的角度,以管理员的身份对独立的UNIX主机的安全性进行评估分析。
SSExplorer是网络安全性分析系统ISExplorer的一个补充。SSExplorer是从系统的角度,以管理员的身份对操作系统进行全面系统的分析。
操作系统安全性分析系统SSExplorer评估文件许可、文件宿主、网络服务配置、帐户设置、程序的真实性和一般的与用户相关的安全弱点,以及寻找“黑客”入侵系统的迹象。
SSExplorer功能特点
SSExplorer从两个方面来检测分析操作系统的安全性。一方面它分析寻找当前系统中存在的配置问题;另一方面它寻找你的系统已经被侵入的迹象。
★当前配置检测
分析当前系统配置,并试图找出可能使用户或闯入者获得未认证访问的配置。
☆ 配置文件检测
检查各类系统配置文件并发现系统可能被侵入的问题。所检测配置文件包括:系统口令文件、系统启动文件、设置允许文件和Printcab,另
外,它还检测网络服务后台程序Daemon的配置情况。
☆ 软件版本检测
寻找那些不可靠的软件版本,并将扫描已知的版本签名,同时和系统中的MD5程序签名比较。
☆ 文件宿主和允许检测
查看重要的系统文件是否对于未被认证的修改是脆弱的。或是能让未认证的用户读取可以侵入系统的信息。
☆ SUID/SGID文件检测
扫描用户标识设置和工作组标识设置程序,以确保放到系统中是没有危险的SUID/SGID程序。
☆ 不规则文件检测
在用户的系统中寻找每一类非寻常文件,包括:临时路径中的设备文件、特殊命名的文件和放错位置的配置文件等等。
☆ 用户帐户检测
扫描与帐户安全有关的问题:由于帐户设置的问题使得系统用户可以有意或无意地插入帐户。用户帐号检测可以在系统的口令文件中寻找这类问题,同时寻找非活动帐号,它们往往是被攻击的对象。用户插入安全问题的检测将搜寻未被认证的服务器、可信用户文件(它们可以使得其它系统中的用户获得访问权限)危险的Netscape 设置和危险的用户自定义的FTP配置等。
☆ 工作组设置检测
寻找有关帐户工作组定义方面的问题。这些问题可能引起不同的帐户获得其不该拥有的访问权限。
☆ 口令检测
寻找和帐户口令有关的问题,包括:口令丢失和可猜测的口令。
☆ 系统受损检测
检查被记录下来的来自用户或闯入者未被认证的访问。此项检测包括:系统更改检测和“黑客”签名检测。前者寻找可疑的系统配置的改动;后者发现
已有的“黑客”行为。
☆ 系统更改检测
将当前配置和过去的配置相比较,以保证系统是安全的。可疑的系统配置改动显示可能有闯入者或是未被认证的用户入侵了系统。
☆ 文件基线受损检测
把当前系统配置文件的属性和早先存储在基线数据库中的属性相比较。比较包括:文件大小、访问权限……当然也包括文件的内容(通过MD5 签名来检
测)。
☆ 帐户设置修改检测
将当前系统帐户设置同上一次系统安全扫描评价时的设置相比较,将发现新增的未认证帐户和用户修改过的标识。
★“黑客”访问迹象检测
发现“黑客”已经获得了系统访问权限的迹象。