WZSysGuard

WZSysGuard是目前世界上最好也是最可信的UNIX入侵检测及文件变化侦测软件:

  1. 较少的虚假警报.
  2. 对安全敏感文件的覆盖更全面.
  3. 能可靠地检测到对重要文件的永久改变, 无论这样的改变是通过什么方式产生的.
  4. 其检测报告更可信.
  5. 它不仅能检测文件的变化, 还能:

a)       发现新装的文件系统.

b)      发现新起动的网络服务.

c)       发现新建的setuid程序或设备文件.

d)      防火墙规则的修改.

e)      路由规则的修改.

f)        新装载的核心模块.

与用核心文件系统接口来检测文件变化的软件(Tripwire enterpriseCimtrak)不同,虽然那种类型的软件能即时检测文件的变化,但却可能无法检测到某些以其它途径造成的文件内容变化。WZSysGuardSHA三百八十四位标准算法来鉴别一个文件的内容是否已被修改,所以只要该算法还安全,我们的软件的检测就会是准确的。

而用于文件完整性检测的开放式软件,AIDE, 的致命问题是开放: 不良人员可将经其修改后的软件安装到系统上,替换原有的软件,以至其后的检测结果根本无法信任。此外, 使用AIDE也很难有效覆盖所有对安全性重要的文件(例如,不良人员在/var/tmp下建立的与/dev/kmem有同样设备号的设备文件,并将许可设置成660)。

为何说WZSysGuard是最可信的呢? 试想,如果一个有超级用户权限的人想在系统上干一些坏事而不想被发现,您现有的安全软件能检测到这样的行为吗?或您现有的安全软件能防止系统的超级用户修改此安全软件吗?若该安全软件无法阻止有超级用户权限的人修改其本身,那它的检测报告只有在假定能够得到超级用户权限的人都不会做坏事,或不知有该软件在机器上。

那么,究竟是什么使我们敢声称WZSysGuard是最可信的呢?

·         WZSysGuard的每个注册文件中的每个文件记录都有单向加密的验证码。

·         WZSysGuard的每个注册文件都有一个有密码验证的检查和。

·         WZSysGuard软件一经安装及调试完成, 便可生成一文件系统影像文件,烧制到CDDVD, 然后安装在一Linux主机上, 再以NFS输出至目标UNIX服务器。

·         WZSysGuard所用到的软件库及命令都是自带的, 所以即使攻击者修改系统的软件库, 也无法改 WZSysGuard软件的行为。

·         WZSysGuard的注册文件的生成是需要特别的口令的, 而该口令是应该只有安全管理人员才知道,所以即使有超级用户的权限,也无法改变注册文件。

     WZSysGuard提供现代最完全的口令及密码防盗保护。

WZSysGuard的安全陷阱检测有Web界面,所以只要您公司规定所有的系统/应用/数据库管理员在登录系统之前都须经由Web界面检测是否有可能的软件陷阱,则您公司可避免多数由触发软件陷阱而造成的重大损失。

WZSysGuard是以类来对文件进行管理的, 其内建的类有:

    etc, 此类管理/etc目录下的所有文件。此处乃系统及多数软件配置文件所在。

    dev, 此类负责管理系统上所有文件系统中所含的设备文件,除了带有nodev安装选项的文件系统。

    acl, 此类负责管理系统上所有本地文件系统中带有附加的ACL访问权限的文件。

    fs, 此类负责管理系统上所安装的文件系统: 会记录下每个文件系统所用的设备及安装点。

    hidden,此类负责Solaris上的UFS/ZFS以及UNIX/Linux上用的VxFS文件系统下的隐藏文件。

    link, 此类负责管理系统上所有缺省系统目录下的符号链接文件。

    mod,此类用以监测系统所装载的核心模块。

    net, 此是一特殊的类,与具体的文件无关,用于帮助安全人员检测是否系统已被网络入侵,有异常网络活动。其工作原理是,在系统处于正常工作状态时记录下当时的网络端口使用状况,之后,在定期或随机扫描系统时,将现时的网络端口使用状况与之前记录的状况 相比较,看是否有别的端口被打开。

    prof, 该类是特别设置用于检测安全陷阱,主要包含了一些在用户登录系统时会被执行的一些文件以及一些最常用的命令

    suid, 管理系统中所有的,setuidsetgid位的文件,除了那些位于以nosuid选项安装的文件系统中。

    sysf, 此类负责系统中所有除了/etc/usr之外的缺省系统目录下的文件。

    usre, 此类包含了/usr目录下除了/usr/local/lib/wzsg/下的文件之外的所有可执行文件及库文件。

    wzsg, 此类包含/usr/local/lib/wzsg/下的所有文件。缺省时此类并未被激活,需要时,可用 "wzsgreg wzsg"加以记录,再以"wzsgchk wzsg"进行扫描。

    usr, 此类缺省时并未被激活,用于管理/usr下除了/usr/share/man, /usr/local/etc/wzsg, /usr/local/lib/wzsg以下文件之外的所有正常文件。若您想将此类激活,则需先将usre类变为非激活状态,再将usr类激活。做法是,wzsgfindusre/usr/local/lib/wzsg/下移至/usr/local/lib/wzsg/bin/,然后再将wzsgfindusr/usr/local/lib/wzsg/bin/下移至/usr/local/lib/wzsg/下。

若您有一些特殊的文件需要WZSysGuard加以保护,您只需做二件事:

1.       为这些文件取一类名。

2.       写一个名为"wzsgfind所取类名"的程序,该程序的运行结果就是输出这些特殊文件的路径名,每个路径名各占一行,并将该程序放在/usr/local/lib/wzsg/目录下。当然也不能忘了将该程序文件设置成可执行。

试想: 若一不良人员在/var/tmp/下建一设备文件,其主:次设备号与/dev/kmem相同, 访问许可设置成660, 而其普通帐号则在该组中,  您所用的安全软件能检测到这样的威胁吗?  能在不造成大量虚假警报的情况下做到吗?