對(duì)你的系統(tǒng)上所有的用戶設(shè)置資源限制可以防止DoS類型攻擊（denial of service attacks）如最大進(jìn)程數(shù)，內(nèi)存數(shù)量等。例如，對(duì)所有用戶的限制象下面這樣：

　　編輯/etc/security/limits.con加入：

　　* hard core 0
　　* hard rss 5000
　　* hard nproc 20

　　你也必須編輯/etc/pam.d/login文件加/檢查這一行的存在。

　　session required /lib/security/pam_limits.so

　　上面的命令禁止core files“core 0”，限制進(jìn)程數(shù)為“nproc 50“，且限制內(nèi)存使用為5M“rss 5000”。

　　Samba 遠(yuǎn)程創(chuàng)建文件漏洞

　　Samba是一個(gè)Unix/Linux下的免費(fèi)的文件和打印共享服務(wù)程序。允許在Unix和Microsoft平臺(tái)之間使用文件和打印共享。由于smb守護(hù)進(jìn)程沒有正確檢查NetBIOS名字，一個(gè)本地用戶可以從遠(yuǎn)程在Samba服務(wù)器上往任意文件中寫入數(shù)據(jù)。如果用戶可以在本地建立符號(hào)鏈接，用戶可以提升自己的權(quán)限。

　　遠(yuǎn)程用戶也可能發(fā)動(dòng)拒絕服務(wù)攻擊。

　　問題發(fā)生在smbd在創(chuàng)建SMB會(huì)話的日志文件(*.log)時(shí)。在受影響的平臺(tái)上，缺省情況下，每個(gè)SMB會(huì)話被記錄到/var/log/samba/.log文件中。如果攻擊者的NetBIOS名字是'FOOBAR',日志文件將會(huì)是/var/log/samba/fooboar.log.然而，smbd沒有檢查NetBIOS名字是否包含"../",因此，如果攻擊者將NetBIOS名字設(shè)置為"../../../nsfocus",那么將會(huì)創(chuàng)建/nsfocus.log文件。

　　如果smb.conf文件中存在下列設(shè)置：

　　log file = /var/log/samba/%m.log

　　那么，這個(gè)系統(tǒng)就是受影響的。

　　在某些平臺(tái)下(例如FreeBSD)下，配置如下：

　　log file = /usr/local/samba/var/log.%m

　　這種配置將不受此問題影響。

　　smbd在創(chuàng)建log文件時(shí)也忘記檢查該文件是不是鏈接文件，因此攻擊者可以利用符號(hào)鏈接將任意數(shù)據(jù)添加到任意文件中。如果將某些數(shù)據(jù)寫到某些敏感文件中(例如/etc/passwd,rc啟動(dòng)腳本等等)，本地用戶就可能獲取root權(quán)限。

　　測(cè)試程序：

--------------------------------------------------------------------------------

$ ln -s /etc/passwd /tmp/x.log

$ smbclient //NIMUE/"`perl -e '{print "\ntoor::0:0::/:/bin/sh\n"}'`" \

-n ../../../tmp/x -N

$ su toor

#

--------------------------------------------------------------------------------

　　建議:

　　臨時(shí)解決方法：

　　修改smb.conf,將log file行改變成如下配置：

　　log file = /usr/local/samba/var/log.%m

　　或者將%m刪除。

　　主機(jī)審計(jì)解決方案

　　在審計(jì)主機(jī)時(shí)，你會(huì)發(fā)現(xiàn)由于每臺(tái)主機(jī)都是針對(duì)不同的商業(yè)目的，所以你也需要提供不同的解決方案。你可以建議下列的審計(jì)方案。

　　·實(shí)施本機(jī)審計(jì)：雖然你希望能補(bǔ)充象last和時(shí)間查看器這樣的本機(jī)審計(jì)工具，但本機(jī)審計(jì)程序通常是審計(jì)過程好的出發(fā)點(diǎn)。
　　·安裝監(jiān)視軟件，例如Axent’s Enterprise Security Manager(ESM)：這種軟件通報(bào)中央控制系統(tǒng)那些系統(tǒng)低于規(guī)定策略的限度之下。例如，這種監(jiān)視程序可以設(shè)置成提醒你哪些系統(tǒng)的密碼有效期設(shè)置得過低。
　　·清除安裝工作中的臨時(shí)文件：自動(dòng)安裝程序通常在臨時(shí)文件中留下重要的數(shù)據(jù)包括密碼
　　·修復(fù)和清理被損壞的系統(tǒng)：你可以清除非法的服務(wù)像NetBus,Tribal Flood和BackOrifice。
　　·替代服務(wù)：例如，你可以用SSH服務(wù)來替代Telnet，SSH使用公鑰加密來保證登錄會(huì)話的安全。
　　·安裝操作系統(tǒng)附件，例如個(gè)人防火墻和加密服務(wù)。

　　清除“感染”

　　反病毒軟件可以掃描出眾所周知的非法服務(wù)，木馬，病毒和蠕蟲。然而，你應(yīng)當(dāng)能夠排除至今還未檢測(cè)到的問題。為了檢測(cè)和清除感染，你可以：

　　·使用TCP/IP排錯(cuò)的工具，例如netstat
　　·使用Telnet連接懷疑的端口
　　·升級(jí)和運(yùn)行反病毒程序