来源：安全中国

1、概述

目前，国内重要政府部门（如财税、公安、电信、移动、电力等）、大型公司和著名门户网站，都使用UNIX系列服务器来运行其关键业务如电子商务、数据库等。这些部门或者公司往往有数百台Linux/Unix系统服务器，由多名系统管理员负责管理，并通过规章制度，对系统管理员的行为进行规范。但是，由于缺乏相应的先进工具和手段，这些部门或者企业无法保证系统管理员严格按照规范来进行管理，无法保证系统管理员的真实管理行为和规章制度要求一致，和系统管理员的管理报告一致，以至于企业网络及服务器常处于不可信、不可控、不可视状态。另外，由于服务器众多，系统管理员压力太大等因素，人为误操作的可能性时有发生，这会对部门或者企业声誉造成重大影响，并严重影响其经济运行效能。黑客也有可能通过手段，获取系统权限，闯入部门或企业内部网络，这样造成的损失，更不可估量。因此，如何提高系统管理员的管理水平，如何防止黑客的入侵，如何跟踪服务器上用户行为，将系统宕机时间、故障时间等减到最小，已经成为这些部门或者企业至关重要的问题。

2、现存问题与服务器管理现状

2.1 UNIX服务器系统安全存在的问题

2.1.1 企业UNIX安全风险分析

1、严重的攻击来自系统内部(53%来自内部攻击)
2、 UNIX运行最为关键的业务系统攻击趋向于获取商业利益
3、 交换网络环境难于实施网络入侵检测
4、 基于主机的IDS/IPS 开始成熟，可以减轻网络传输攻击级别安全威胁，但不是全部
5、 用户操作难于审计
6、 操作/管理/维护不善，造成的安全威胁和损失日趋严重

2.1.2 UNIX/LINUX安全风险-口令安全风险分析

1、R-Services -- Trust Relationships
（很多R服务漏洞被利用，都是因为口令问题引起。入侵者使用脆弱的帐户口令，利 用系统文件和目录的访问控制漏洞，设置信任主机，获取关键信息、破坏应用系统！）
2、General Unix Authentication
（用户口令简单、无口令或口令被泄漏，入侵者使用普通用户或root权限对系统进行破坏，种植木马、获取信息并涂改日志，消灭犯罪证据。）
3、社会工程
（黑客、恶意破坏者可以通过社会工程渠道，获取口令）

2.1.3 UNIX/LINUX企业应用问题

1、网络管理人选需要监控第三方程序操作和命令（用户登录系统，执行mysql,oracle,ssh 等命令，容易产生数据破坏或者网络攻击，所有的这些操作需要被跟踪和限制）
2、大型集中应用环境不易统一监控、管理和快速响应（对于大型应用环境，网络管理员要管理和配置大量UNIX/LINUX服务器，大量事故响应，网络管理人员不堪重负）
3、无法提供对网络通信设备的操作，修改等行为审计（网络通信设备常常在UNIX/LINUX系统上通过ssh远程登录进行管理，对网络通信设备的操作无法审计，埋下安全隐患）
4、网络管理人员需要统一的手段，对服务器组进行安全保护（网络管理人员常用防火墙，IDS等设备，针对网段进行隔离和操作限制，因此，网络管理人员需要不同手段，对外网/内网用户应用不同安全保护策略，应用和实施麻烦，容易疏忽造成隐患）
5、服务器及其集群的运行状态监控已及性能调控（现有服务器监控软件基本上都是单机、单服务器方式运行，需要高素质管理人才进行管理。将服务器状态信息集中化，发现企业服务器运行状态及瓶颈，成为UNIX应用的比较急切和关心的问题）

2.2 集中式网络管理

集中式网络管理是目前比较流行的网络管理方式，系统管理员用普通用户账号（如：admin）登录管理作业服务器，然后转换身份（su）为ROOT，再对相关服务器进行维护。该管理方式网络逻辑图如下：
集中式网络管理简单高效，配合网络边界安全设备，能比较好的保证服务器的运行安全，保证业务正常进行。集中式管理属于多用户单账号管理方式，多个用户共享ROOT帐号和权限，存在如下明显缺点：

1、多个管理员共享ROOT用户权限，无法区别命令的操作者、执行者。
2、无法跟踪某个管理员的确切操作。如果用户执行误操作或攻击者在服务器上输入命令造成系统瘫痪，即便有日志可查询也只能看到是ROOT相关操作，并不能找到罪魁祸首，也不能很好的规范系统管理员的行为。
3、启用第三方远程日志服务器可以解决日志安全问题，但达不到审计管理员行为效果。
4、 由于程序开发人员、系统维护人员、数据库管理人员等多种角色都使用admin账户、ROOT账户，造成权限划分不明，所有人员都具有最高的ROOT权限，无形中增大误操作带来的危害。
5、 由于所有角色都具有ROOT密码，也不利于账号密码的安全管理。

2.3 严格分权管理

严格分权管理在软件生产企业比较多见，用户只能够拥有自己的账号和权限，只能在自己权限下进行服务器操作。
严格分权管理源自UNIX系统自身的权限管理方式，如：用useradd，passwd等进行用户账号和权限设置。账号和权限由管理员分配，由用户自己进行密码管理。严格分权管理比较安全，是公认比较安全的管理方式。但是，该方式可能影响生产正常进行，存在如下需要改进的地方：

1、严格分权管理属于多用户多账号管理方式，用户在自己权限下生产和工作，但是，由于生产的特殊性，常常需要用户具有ROOT账户权限。这就造成生产和管理的矛盾，临时ROOT权限分发可以解决ROOT权限生产问题，但是，这极大增大管理的复杂性和不安全性，稍有舒服，就可能造成管理的混乱。不分发ROOT权限，可能导致生产不能正常进行，至少影响生产效率。
2、 现有操作系统存在许多安全隐患，暴力破解、溢出攻击、社会工程等攻击方式，都可能使普通用户或者黑客获取ROOT账户权限，进而执行普通用户权限外的操作，产生破坏。
3、 严格分权管理管理负担比较重，管理员要对权限的分配和服务器上行为负责，同时，用户在服务器上行为对管理员来说不可视，不可审计，出现问题，没人负责。

2.4 网络管理员碰到的问题

网络管理员由于工作的特殊性和管理内容及对象的复杂性，对企业、部门重要服务器上的活动和正在发生的行为，需要保持可控、可视、可跟踪、可鉴定状态，才能保障系统的正常运行，提供稳定可靠的服务。管理员需要对如下问题保持足够警惕：
1、 谁在服务器上做过操作？
2、 怎样将服务器上的命令操作行为变为透明可视，进而简单明了的管理和控制服务器？
3、 系统管理员在服务器上做过什么操作？做过多少操作？
4、 怎么限制用户对命令的执行？
5、 怎么知道灾难/事故发生的时间？怎么调查取证？
6、 怎么规范管理员的行为？
7、 怎么控制和审计用户对交换机、路由器、防火墙等网络设备的操作？
8、 怎么控制和审计用户对数据库的操作？
9、 密码\权限如何管理？
10、 严格分权将导致许多命令和操作不能进行，需要权限切换，公开admin/root密码给相关用户？
11、 怎么进行责任鉴定？多台服务器上跳转执行的命令如何跟踪？
12、 没有admin/root权限的用户如何安全的开展需要admin/root权限的工作？分发root权限？
13、 谁该对危险操作造成的事故负责？谁该对其的恶意操作负责？怎么进行责任鉴定？

3 、拉迪服务器命令控制与审计系统特点

杭州帕拉迪网络科技有限公司致力于UNIX服务器安全防御产品的开发和网络安全服务的推广，此系统主要用于UNIX服务器系统安全防护，让UNIX服务器的操作、管理和运行更加可视、可控、可管理、可跟踪、可鉴定，解决UNIX服务器系统级别的安全问题、安全威胁，为国家重要部门和企业UNIX服务器的正常有序运行，提供可靠的安全保障。

3.1 可视

PLDSEC UNIX SCS 1000能够动态实时的捕获UNIX系统用户使用的操作命令，真正做到让UNIX服务器上的操作和行为可视。系统管理员可以直观的了解服务器上发生过的操作命令及其运行结果，结束UNIX服务器操作管理的黑匣子时代。PLDSEC UNIX SCS 1000可以实时监控系统管理员操作过程，提供实时监控中心和值班中心，可以集中实时的监控所有用户的操作行为和过程。

3.2 可控

PLDSEC UNIX SCS 1000动态实时的捕获系统管理员操作行为，并可以对其进行策略审计，违反安全策略的用户命令，将被禁止执行，使用危险命令的用户，将被剔出系统。这样，UNIX服务器将增加一层安全防护功能，即使用户（恶意用户、黑客）取得命令的操作权限，该命令也不能生效，进而保护UNIX服务器上关键资源和重要服务。

3.3 可管理

PLDSEC UNIX SCS 1000可以根据需要对指定用户或所有用户展开监控，可以限制和管理可疑用户行为，真正让UNIX服务器摆脱操作和使用的黑匣子状态，监控和管理UNIX服务器上用户操作行为。同时，PLDSEC UNIX SCS 1000还对CPU、MEM、DISK、PROCESS和网络I/O进行监控管理，并通过图形化方式直观的显示服务器运行状态，可以对UNIX服务器进行故障诊断。

3.4 可跟踪

PLDSEC UNIX SCS 1000通过远程日志服务器保存所有用户操作行为和运行结果，可以通过对用户操作行为及其结果进行回放，跟踪用户在服务器上的操作过程，查看用户在服务器上的所有操作行为，准确无误的了解用户的行为意图。PLDSEC UNIX SCS 1000日志服务器提供日志动态查询功能，支持特色化报表生成功能，可以根据用户环境进行报表定制，及时直观的报告用户所关心的资源使用情况。

3.5 可鉴定

PLDSEC UNIX SCS 1000使用二次日志记录系统，保存用户操作行为过程。同时，日志系统使用PDF文件格式保存，日志文件不可修改，不可杜撰，通过对用户操作行为日志的分析，可以鉴定用户行为，并进行责任认定。二次日志记录加强了原始日志材料的防伪防杜撰功能，通过对比保存于两台日志服务器上的日志材料，可以准确可靠的进行故障鉴定和责任认定。

3.6 功能列表

帕拉迪UNIX服务器命令控制与审计系统具有如下功能和特点：

1、实时捕获管理员操作命令，并对其进行策略审计，支持所有功能键的使用，能自动捕获功能键扩展后的操作命令（如TAB补齐，BACKSPACE回退删除等）；
2、监控和管理管理员在服务器上的操作，对管理员操作的跟踪不受管理员执行SU，SSH等命令的影响；
3、智能识别编辑状态、命令状态和执行状态，完整回放用户的所有操作（包括TAB等特殊击键操作）；
4、实时集中监控用户和管理员当前行为，能实时查看管理员工作过程；
5、提供WEB方式日志查询及监控平台，提供多种过滤检索条件，方便后期审计、取证；
6、策略可遗传继承，采用树形方式组织，利用正则表达式进行模式匹配，策略适合现代企事业组织架构；
7、不提高服务器负担；
8、支持数据库、防火墙、路由器、小型机等所有使用字符命令进行管理和操作的设备和系统；
9、方便第三方对所有系统管理员的行为进行监督；
10、日志记录双备份，确保证据的准确可靠，对事后取证，责任鉴定，行为跟踪等，提供准确可靠的原始依据；
11、详尽的报表功能，及时报告服务器上危险操作，报表可由用户灵活定制，可以根据用户业务定制自动报表；
12、提供服务器安全策略文件保护功能，实时可视化监控服务器CPU，MEM，DISK，PROCESS，I/O等状态信息和故障信息，提供故障诊断功能；
13、支持服务器方式部署和网关方式部署，提供自动部署功能，部署和配置简单，适合大规模自动部署；
14、实时查看用户使用命令和屏幕，提供实时监控中心和值班中心，最终达到通过对系统管理员或者黑客的所有操作行为进行管理及审计，把由于人为操作造成宕机、故障和隐患的可能性降到最低。；

3.7 应用领域

帕拉迪UNIX服务器安全管理系统非常适合于企事业加强对UNIX服务器的安全管理，减轻和防止企事业的UNIX系统安全级别威胁。PLDSEC UNIX SCS 1000应用领域非常广阔，提供服务器部署方式和网关部署方式，可以非常灵活的兼容于企事业现有安全架构。

3.7.1内部网络行为管理

严重的攻击来自系统内部(53%来自内部攻击)，帕拉迪UNIX服务器主要应用于内部用户行为管理，保证内部用户的操作和行为可控、可视、可管理、可跟踪、可鉴定，防止内部人员对机密材料的非法获取和使用，保护企事业核心机密。

3.7.2对网络边界网关设备的管理

网络边界安全设备是企事业网络安全防护系统的重要组成部分，网络边界安全设备的安全策略，对企事业内部网络安全，起着非常重要的作用。目前关键网络边界安全设备，主要来自于国外巨头和国内领先公司，这些公司一般都提供先进的CLI功能，管理员可以通过SSH和串口，对网络边界安全设备（如交换机、防护墙、VPN等）进行安全策略配置。但是，目前没有可靠办法保证系统管理员安全策略配置行为的有效性，合法性以及一致性，一般都通过行政手段，让系统管理员记录安全策略配置过程，这有严重的安全隐患。PLDSEC UNIX SCS 1000提供网关部署方式，可以记录系统管理员对网络边界安全设备的配置过程，保证安全策略的一致性，其生成的日志系统，可以比较方便的集成到企事业现有安全策略管理架构中。

3.7.3对数据库的管理

数据库是企事业核心机密的重中之重，PLDSEC UNIX SCS 1000可以记录用户对数据库（如：MYSQL，Oracle）的操作过程，防止用户人为修改数据库数据记录，防止用户删除数据记录。PLDSEC UNIX SCS 1000可以还原用户操作过程，对于重要数据库的防护，有非常重要的价值。

3.7.4对黑客行为的防范

黑客常常通过手段（如：社会工程、恶意程序、系统设置漏洞、缓冲区溢出程序等）获取用户权限，然后使用该权限登陆系统。PLDSEC UNIX SCS 1000可以记录该黑客的操作过程，对于事后查证和数据恢复，有非常好的适用价值。PLDSEC UNIX SCS 1000还可以通过地址邦定功能对黑客行为进行限制，即使黑客取得系统权限，也不能对系统做任何操作。