什么是系统配置文件？
　　内核本身也可以看成是一个“程序”。为什么内核需要配置文件？内核需要了解系统中用户和组的列表，进而管理文件权限（即根据权限判定特定用户（UNIX_USERS）是否可以打开某个文件）。注意，这些文件不是明确地由程序读取的，而是由系统库所提供的一个函数读取，并被内核使用。例如，程序需要某个用户的（加密过的）密码时不应该打开 /etc/passwd 文件。相反，程序应该调用系统库的 getpw() 函数。这种函数也被称为系统调用。打开 /etc/passwd 文件和之后查找那个被请求的用户的密码都是由内核（通过系统库）决定的。
　　除非另行指定，Red Hat Linux 系统中大多数配置文件都在 /etc 目录中。配置文件可以大致分为下面几类：

访问文件
　　/etc/host.conf 告诉网络域名服务器如何查找主机名。（通常是 /etc/hosts，然后就是名称服务器；可通过 netconf 对其进行更改）
　　/etc/hosts 包含（本地网络中）已知主机的一个列表。如果系统的 IP 不是动态生成，就可以使用它。对于简单的主机名解析（点分表示法），在请求 DNS 或 NIS 网络名称服务器之前，/etc/hosts.conf 通常会告诉解析程序先查看这里。
　　/etc/hosts.allow 请参阅 hosts_access 的联机帮助页。至少由 tcpd 读取。
　　/etc/hosts.deny 请参阅 hosts_access 的联机帮助页。至少由 tcpd 读取。

引导和登录／注销
　　/etc/issue & /etc/issue.net …

Microsoft Riched20.dll 缓存溢出漏洞

发布日期：1999-11-17

更新日期：1999-11-18

受影响系统：

Microsoft Windows 98

Microsoft Windows NT 4.0

描述：写字板使用Riched20.dll来解析Rich Text Forrmat文件，近期被发现存在未进行缓存检查的问题，可以造成执行任意代码。代码可以写进一个.rtf文件并通过电子邮件发出。如果用写字板打开这个文件 ，代码可以以打开文件的用户的权限来执行。

测试方法：

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

以下的操作将使写字板出现问题。

创建一个.rth文件，然后用记事本打开。文件的第一行如下：

{\rtf1\ansi\deff0\deftab720{\fonttbl…etc….etc

在.rtf文件标识符后插入32个字符：

{\rtf1\AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAansi\deff0\deftab720{\fonttbl…etc…etc

当这个文件用写字板打开后，执行的程序将崩溃。

建议：暂无

在WindowsXP/2003操作系统中，当安装设备驱动程序时，对于不符合Windows徽标计划标准的驱动程序，系统会弹出一个对话框，询问你是否安装。对此多余之举，我们可以将其关闭，方法如下:

　　1.在WindowsXP中，单击“开始”/“控制面板”/“性能和维护”/“系统”;在Windows2003中，单击“开始”/“控制面板”/“系统”。

　　2.单击“硬件”选项卡，单击“驱动程序签名”按钮。

　　3.在“您希望Windows采取什么操作?”下，单击“忽略?安装软件，不用征求我的同意”，则允许在该计算机上安装所有设备驱动程序，而不论这些驱动程序是否具有数字签名。

　　4.在“系统管理员选项”下，选中“将这个操作作为系统默认值应用”复选框，则将所选设置作为登录该计算机的所有用户的默认值。

　　5.单击“确定”按钮。当然，以上操作需要你以管理员或者Administrators组的成员登录Windows，否则“忽略?安装软件，不用征求我的同意”和“将这个操作作为系统默认值应用”选项将不可用。
Tags: 驱动程序[/code]
[/code]

【简 介】
　　 在目前的Internet时代，主页已成为树立公司形象和展示自我天地的一个重要手段，配置一台强大且安全的Web Server就显得尤其重要。在众多的Web Server产品中，Apache是应用最为广泛的一个产品，同时也是一个设计上非常安全的程序。但是，同其它应用程序一样，Apache也存在安全缺陷。本文将详细介绍如何正确配置和维护Apache WEB Server的安全性问题等。

一，Apache服务器的介绍

Apache服务器它是Internet网上应用最为广泛的Web服务器软件之一。Apache服务器源自美国国家超级技术计算应用中心（NCSA）的Web服务器项目中。目前已在互联网中占据了领导地位。Apache服务器得经过精心配置之后，才能使它适应高负荷，大吞吐量的互联网工作。快速、可靠、通过简单的API扩展，Perl/Python解释器可被编译到服务器中，且完全免费，完全源代码开放。如果你需要创建一个每天有数百万人访问的Web服务器，Apache可能是最佳选择。

二，Apache服务器的主要安全缺陷

正如我们前言所说尽管Apache服务器应用最为广泛，设计上非常安全的程序。但是同其它应用程序一样，Apache也存在安全缺陷。毕竟它是完全源代码，Apache服务器的安全缺陷主要是使用HTTP协议进行的拒绝服务攻击(denial of service)、缓冲区溢出攻击以及被攻击者获得root权限三缺陷和最新的恶意的攻击者进行“拒绝服务”(DoS)攻击。合理的网络配置能够保护Apache服务器免遭多种攻击。我们来介绍一下主要的安全缺陷：

（1）使用HTTP协议进行的拒绝服务攻击(denial of service)的安全缺陷

这种方法攻击者会通过某些手段使服务器拒绝对HTTP应答。这样会使Apache对系统资源(CPU时间和内存)需求的剧增，最终造成Apache系统变慢甚至完全瘫痪。

（2）缓冲区溢出的安全缺陷

该方法攻击者利用程序编写的一些缺陷，使程序偏离正常的流程。程序使用静态分配的内存保存请求数据，攻击者就可以发送一个超长请求使缓冲区溢出。比如一些Perl编写的处理用户请求的网关脚本。一旦缓冲区溢出，攻击者可以执行其恶意指令或者使系统宕机。

（3）被攻击者获得root权限的安全缺陷

该安全缺陷主要是因为Apache服务器一般以root权限运行(父进程)，攻击者会通过它获得root权限，进而控制整个Apache系统。

（4）恶意的攻击者进行“拒绝服务”(DoS)攻击的安全缺陷

这个最新在6月17日发现的漏洞，它主要是存在于Apache的chunk encoding中，这是一个HTTP协议定义的用于接受web用户所提交数据的功能。 利用黑客程序可以对于运行在FreeBSD 4.5, OpenBSD 3.0 / 3.1, NetBSD 1.5.2平台上的Apache服务器均可进行有效的攻击.

所有说使用最高和最新安全版本对于加强Apache Web服务器的安全是至关重要的。请广大Apache服务器管理员去http://www.apache.org/dist/httpd/下载补丁程序以确保其WEB服务器安全！

三， 正确维护和配置Apache服务器

虽然Apache服务器的开发者非常注重安全性，由于Apache服务器其庞大的项目，难免会存在安全隐患。正确维护和配置Apache WEB服务器就很重要了。我们应注意的一些问题：

（1）Apache服务器配置文件

Apache …

目录
代理模式概念
代理的种类
远程代理的例子：Achilles
Windows的快捷方式：代理的例子
代理模式的结构
代理模式的时序
代理模式的长处和短处
模式的实现
代理模式与其它模式的关系
附录、C#代码
参考文献
代理模式概念
代理模式是对象的结构模式[GOF95]。代理模式给某一个对象提供一个代理对象，并由代理对象控制对原对象的引用。
代理模式的英文叫做Proxy或Surrogate，中文都可译成\”代理\”。所谓代理，就是一个人或者一个机构代表另一个人或者另一个机构采取行动。 在一些情况下，一个客户不想或者不能够直接引用一个对象，而代理对象可以在客户端和目标对象之间起到中介的作用。
代理的种类
如果按照使用目的来划分，代理有以下几种：
远程(Remote)代理、为一个位于不同的地址空间的对象提供一个局域代表对象。这个不同的地址空间可以是在本机器中，亦可是在另一台机器中。远程代理又叫做大使（Ambassador）。
虚拟(Virtual)代理、根据需要创建一个资源消耗较大的对象，使得此对象只在需要时才会被真正创建。本章下面给出一个加载图像的例子说明虚拟代理的使用。
Copy-on-Write代理、虚拟代理的一种。把复制（克隆）拖延到只有在客户端需要时，才真正采取行动。
保护(Protect or Access)代理、控制对一个对象的访问，如果需要可以给不同的用户提供不同级别的使用权限。
Cache代理、为某一个目标操作的结果提供临时的储存空间，以便多个客户端可以共享这些结果。
防火墙(Firewall)代理、保护目标，不让恶意用户接近。
同步化(Synchronization)代理、使几个用户能够同时使用一个对象而没有冲突。
智能引用(Smart Reference)代理、当一个对象被引用时，提供一些额外的操作，比如将对此对象调用的次数记录下来等。
在所有种类的代理模式中，虚拟(Virtual)代理、远程(Remote)代理、智能引用代理（Smart Reference Proxy）和保护(Protect or Access)代理是最为常见的代理模式种类。
在有些讲解设计模式的书籍中（如[GRAND98]），不同的代理模式被独立划分出来，以强调它们的不同；在另外的书籍中，所有的代理模式都放在一些讲解，以强调它们的共同点。本文采取[YAN02]中的讲解方式，首先将所有的代理模式放到一个地方进行理论上的讲解，然后针对不同的类型提供不同的例子，进行实现方式上的讲解。
远程代理的例子：Achilles
Achilles是一个用来测试网站的安全性能的工具软件。Achilles相当于位于客户端的一个桌面代理服务器，在一个HTTP过程里起到一个中间人的作用，但是Achilles与通常的代理服务器又有不同。
一个通常的HTTP代理软件会将一个客户端的HTTP数据包转发给网络服务器。Achilles则截获双向的通讯数据，使得Achilles软件的用户可以改变来自和发往网络服务器的数据。比如，在一个正常的SSL联系中，一个通常的代理服务器会转发通讯使得双方可以商议SSL连接；而Achilles则不同。当Achilles处于截取状态时，它会向客户端假装是服务器，同时向真正的服务器假装是浏览器，在两端商议SSL通讯。Achilles可以破解加密的数据，给Achilles的用户显示已经解密的内容，并且允许用户更改处于通讯过程中的数据。
下面显示的是Achilles软件在运行时的情况：
[img]http://www.microsoft.com/china/community/images/TechArticleImages/proxymod01.gif[/img]
图1、Achilles运行的情况。
读者可以免费从http://www.digizen-security.com/projects.html下载这个软件。
显然，对于浏览器而言，Achilles所代理的是远程的网络服务器。Achilles的工作方式便是远程代理模式的应用。
Windows的快捷方式：代理的例子
Windows系统提供快捷方式（Shortcut），可以使任何对象同时出现在多个地方而不必修改原对象。对快捷方式的调用完全与对原对象的调用一样，换言之，快捷方式对客户端是完全透明的。

图2、服务的快捷方式。
比如上面的图标便是Windows服务的代理。所有的快捷方式都有一个小的箭头在图标的左下方。这就是说，用户可以区分原对象和指向原对象的代理。如果原对象被删除，则快捷方式虽然仍可存在，但是在调用时会给出错误。
在下面的图中，一个名为link1的快捷方式是一个名为explorer.exe的文件的代理。当用户启动这个快捷方式时，link1会把用户的调用传递给它所代理的explorer.exe文件。
[img]http://www.microsoft.com/china/community/images/TechArticleImages/proxymod03.gif[/img]
图3、一个快捷方式的例子。
在Macintosh里面有Alias，在Unix里面有link，它们都和Windows的便捷方式一样，是代理模式的应用。
代理模式的结构
代理模式所涉及的角色有：
抽象主题角色、声明了真实主题和代理主题的共同接口，这样一来在任何可以使用真实主题的地方都可以使用代理主题。
代理主题（Proxy）角色、首先代理主题角色内部含有对真实主题的引用，从而可以在任何时候操作真实主题对象；
其次代理主题角色提供一个与真实主题角色相同的接口，以便可以在任何时候都可以替代真实主体；
第三，控制对真实主题的引用，负责在需要的时候创建真实主题对象（和删除真实主题对象）；
第四，代理角色通常在将客户端调用传递给真实的主题之前或者之后都要执行某个操作，而不是单纯地将调用传递给真实主题对象。
真实主题角色、定义了代理角色所代表的真实对象。
下面给出一个非常简单的示意性实现，请见实现的类图：
[img]http://www.microsoft.com/china/community/images/TechArticleImages/proxymod04.gif[/img]
图4、代理模式的结构图。
下面给出的是抽象主题角色的示意性源代码，可以看出，这个角色规定所有的主题对象必须实现request()方法：

Public MustInherit Class Subject

Public MustOverride Sub Request()

End Class

代码清单1、主题角色的源代码。
下面就是具体主题角色的示意性源代码。这里仅仅给出了request()方法的示意性实现：

Public Class RealSubject
Inherits Subject

Public Sub RealSubject()
System.Console.WriteLine(\”RealSubject object is created.\”)
End Sub

Public Overrides Sub Request()
System.Console.WriteLine(\”RealSubject.Request().\”)
End Sub

End Class

代码清单2、真实主题角色的源代码。
下面是代理主题角色的源代码。可以看出，代理主题除了将所有的请求原封不动地委派给真实主题角色之外，还在委派之前和之后分别执行一个preRequest()操作和一个postRequest()操作：

Public Class ProxySubject
Inherits Subject

Private rs As RealSubject

Public Sub New()
rs = New …

命令行方式下快速修改本地或远程端口（telnet termsrv w3svc smtp iis ftp ）

Reg add “\\ip\ HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp” /v portnumber

/t reg_dword /d 123 /f

reg add “\\ip\ HKLM\SOFTWARE\Microsoft\TelnetServer\Defaults” /v telnetport /t reg_dword /d 123

Reg add “\\ip\HKLM\SYSTEM\CurrentControlSet\Control\ServiceProvider\ServiceTypes\W3SVC” /v tcpport

/t reg_dword /d 123 /f

Reg …

1，Preparation
2，Initial OS installation
3，Stripping/configuring OS: 1st pass
4，Connect to test network
5，Installing tools & sysadmin software
6，Stripping/configuring OS: 2nd pass
7，Create Tripwire image, backup, test
8，Install, test, harden applications.
9，Install on live network, test

1. Preparation
最小限度保证安全的方法是只在主机上运行一个或两个服务。使用一个机器比只使用一个拥有所有权利的机器安全的多，因为这样可以隔离，方便查找问题所在。总之：在你的机器上运行你一些最必要的服务。考虑拆除键盘，屏幕，这样可以避免使用X11和知道命令行所示，在一个隔离的信任的网络段中进行测试。明确你的系统和硬件配置能产生什么样的结果，如在安装SUN的Disksuite时要考虑
你是否需要RPC服务，因为DISKSUITE必须使用RPC服务。明确各种应用程序是怎样工作的如：使用什么端口和文件.
2，初始化安装操作系统。
连接串口控制台，开机，当出现OK提示时发送Stop-A信息(~#,~%b,或者F5，主要取决于你使用tip,cu或者vt100终端)，然后开始安装过程-\”boot cdrom - install\”
使用最小安装 …

入侵检测系统(Intrusion Detect System)，目前基本上分为以下两种：主机入侵检测系统(HIDS);网络入侵检测系统(NIDS)。主机入侵检测系统分析对象为主机审计日志，所以需 要在主机上安装软件，针对不同的系统、不同的版本需安装不同的主机引擎，安装配置较为复杂，同时对系统的运行和稳定性造成影响，目前在国内应用较少。网络入侵监测分析对象为网络数据流，只需安装在网络的监听端口上，对网络的运行无任何影响，目前国内使用较为广泛。

一、IDS存在的问题

1、误/漏报率高

IDS常用的检测方法有特征检测、异常检测、状态检测、协议分析等。而这些检测方式都存在缺陷。比如异常检测通常采用统计方法来进行检测，而统计方法中的阈值难以有效确定，太小的值会产生大量的误报，太大的值又会产生大量的漏报。而在协议分析的检测方式中，一般的IDS只简单地处理了常用的如HTTP、FTP、SMTP等，其余大量的协议报文完全可能造成IDS漏报，如果考虑支持尽量多的协议类型分析，网络的成本将无法承受。

2、没有主动防御能力

IDS技术采用了一种预设置式、特征分析式工作原理，所以检测规则的更新总是落后于攻击手段的更新。

3、缺乏准确定位和处理机制

IDS仅能识别IP地址，无法定位IP地址，不能识别数据来源。IDS系统在发现攻击事件的时候，只能关闭网络出口和服务器等少数端口，但这样关闭同时会影响其他正常用户的使用。因而其缺乏更有效的响应处理机制。

4、性能普遍不足

现在市场上的IDS产品大多采用的是特征检测技术，这种IDS产品已不能适应交换技术和高带宽环境的发展，在大流量冲击、多IP分片情况下都可能造成IDS的瘫痪或丢包，形成DoS攻击。

二、入侵检测技术的发展趋势

(1).分析技术的改进

入侵检测误报和漏报的解决最终依靠分析技术的改进。目前入侵检测分析方法主要有：统计分析、模式匹配、数据重组、协议分析、行为分析等。

统计分析是统计网络中相关事件发生的次数，达到判别攻击的目的。模式匹配利用对攻击的特征字符进行匹配完成对攻击的检测。数据重组是对网络连接的数据流进行重组再加以分析，而不仅仅分析单个数据包。

协议分析技术是在对网络数据流进行重组的基础上，理解应用协议，再利用模式匹配和统计分析的技术来判明攻击。例如：某个基于HTTP协议的攻击含有ABC特征，如果此数据分散在若干个数据包中，如：一个数据包含A，另外一个包含B，另外一个包含C，则单纯的模式匹配就无法检测，只有基于数据流重组才能完整检测。而利用协议分析。则只在符合的协议(HTTP)检测到此事件才会报警。假设此特征出现在Mail里，因为不符合协议，就不会报警。利用此技术，有效的降低了误报和漏报。

行为分析技术不仅简单分析单次攻击事件，还根据前后发生的事件确认是否确有攻击发生，攻击行为是否生效，是入侵检测分析技术的最高境界。但目前由于算法处理和规则制定的难度很大，目前还不是非常成熟，但却是入侵检测技术发展的趋势。目前最好综合使用多种检测技术，而不只是依靠传统的统计分析和模式匹配技术。另外，规则库是否及时更新也和检测的准确程度相关。

2).内容恢复和网络审计功能的引入

前面已经提到，入侵检测的最高境界是行为分析。但行为分析前还不是很成熟，因此，个别优秀的入侵检测产品引入了内容恢复和网络审计功能。

内容恢复即在协议分析的基础上，对网络中发生的应为加以完整的重组和记录，网络中发生的任何行为都逃不过它的监视。网络审计即对网络中所有的连接事件进行记录。入侵检测的接入方式决定入侵检测系统中的网络审计不仅类似防火墙可以记录网络进出信息，还可以记录网络内部连接状况，此功能对内容恢复无法恢复的加密连接尤其有用。

内容恢复和网络审计让管理员看到网络的真正运行状况，其实就是调动管理员参与行为分析过程。此功能不仅能使管理员看到孤立的攻击事件的报警，还可以看到整个攻击过程，了解攻击确实发生与否，查看攻击着的操作过程，了解攻击造成的危害。不但发现已知攻击，同时发现未知攻击。不当发现外部攻击者的攻击，也发现内部用户的恶意行为。毕竟管理员是最了解其网络的，管理员通过此功能的使用，很好的达成了行为分析的目的。但使用此功能的同时需注意对用户隐私的保护。

(3).集成网络分析和管理功能

入侵检测不但对网络攻击是一个检测。同时，侵检测可以收到网络中的所有数据，对网络的故障分析和健康管理也可起到重大作用。当管理员发现某台主机有问题时，也希望能马上对其进行管理。入侵检测也不应只采用被动分析方法，最好能和主动分析结合。所以，入侵检测产品集成网管功能，扫描器(Scanner)，嗅探器(Sniffer)等功能是以后发展的方向。

(4).安全性和易用性的提高

入侵检测是个安全产品，自身安全极为重要。因此，目前的入侵检测产品大多采用硬件结构，黑洞式接入，免除自身安全问题。同时，对易用性的要求也日益增强，例如：全中文的图形界面，自动的数据库维护，多样的报表输出。这些都是优秀入侵产品的特性和以后继续发展细化的趋势。

(5).改进对大数据量网络的处理方法

随着对大数据量处理的要求，入侵检测的性能要求也逐步提高，出现了千兆入侵检测等产品。但如果入侵检测检测产品不仅具备攻击分析，同时具备内容恢复和网络审计功能，则其存储系统也很难完全工作在千兆环境下。这种情况下，网络数据分流也是一个很好的解决方案，性价比也较好。这也是国际上较通用的一种作法。

(6).防火墙联动功能

入侵检测发现攻击，自动发送给放火墙，防火墙加载动态规则拦截入侵，称为防火墙联动功能。目前此功能还没有到完全实用的阶段，主要是一种概念。随便使用会导致很多问题。目前主要的应用对象是自动传播的攻击，如Nimda等，联动只在这种场合有一定的作用。无限制的使用联动。如未经充分测试，对防火期的稳定性和网络应用会造成负面影响。但随着入侵检测产品检测准确度的提高，联动功能日益趋向实用化。

5月20日，江民奥运网络安全保卫小组接到有关部门指示，某信息网被黑客入侵，要求及时前往处理。接到任务后，江民奥运网络安全保卫小组成员立即行动，第一时间赶到事故现场。

经分析，该网站系WINDOWS系统服务器，采用了IIS ASP sqlserver2000架构，网站数据库中记录大多被恶意修改加入了JS脚本程序，并被利用IFRAME引用了某恶意页面，初步断定被利用了Sql注入漏洞对数据库进行了恶意修改所致。

江民奥运网络安全保卫小组成员通过使用Sql注入扫描工具，发现网站存在一处Sql注入漏洞，立即手工修改其网站源代码对漏洞进行了修补，阻止了黑客入侵的主要途径。通过检查，还发现了该网站存在多处安全隐患：

第一、网站服务器上存在多个.bak的源程序备份，通过浏览器访问此BAK文件可以直接查看程序的源代码。

第二、网站服务器上存在多个包含数据库用户名以及密码的TXT文件，通过浏览器访问这些TXT文件，可以直接得到SqlServer 数据库的登录帐号以及密码。

第三、Sqlserver帐号权限过大，通过Sql注入漏洞可以直接得到服务器的管理员权限。

第四、网站服务器未做任何安全设置，本地安全策略也未启用。

针对以上安全隐患，江民奥运网络安全保卫小组向该网站负责人提出以下几点安全建议：

…

RFC1558_LDAP研究过滤器的字符串表达

tbass/RFCs/RFC1571.txt”>RFC1571_Telnet环境选项互用性问题

RFC1590_媒体类型注册过程

RFC1591_域名系统的结构和授权

RFC1597_私有Internet的地址分配

RFC1605_SONET to Sonnet翻译

RFC1606_用IP版本9的历史观

RFC1611_DNS服务器MIB扩展

RFC1612_DNS解析器MIB扩展

RFC1618_ISDN上的PPP(点对点)协议

RFC1628 UPS 管理信息基础

RFC1633_Internet 体系结构中的综合服务概述

RFC1635_怎样使用匿名FTP

RFC1636 IAB工厂关于在Internet体系结构的安全报告 -2月8-10号, 1994

RFC1643 以太网-类似界面类型的管理对象的定义

RFC1658 字符流设备使用SMIv2管理对象的定义

RFC1661_点对点协议(PPP)

RFC1671 向IPng 过渡和其他考虑的白皮书

RFC1690 Internet工程与计划组（IEPG）介绍

RFC1691 康奈尔大学数字图书馆文档体系结构

RFC1696 用SMIv2定义的调制解调器MIB

RFC1713_DNS调试工具

RFC1715_地址分配效率比率H