如何设置及使用WZSysGuard的安全陷阱检测及复核Web接口
WZSysGuard带有以Web为接口的UNIX/Linux安全陷阱检测及初步复核的功能。

在我们谈论如何设置及使用WZSysGuard的安全陷阱检测及复核Web接口之前,先让我们搞清楚什么是UNIX/Linux上的安全陷阱,以及它是如何可以非常容易的被不良人员所设置。

假设您公司有一台非常关键的UNIX/Linux系统,为了日常的系统/应用/数据库的维护及支持,公司会有一组而不是一个系统管理员,一组应用管理员,及一组数据库管理员。不难理解,这组系统管理员都需要用超级用户的登录名来进行工作,而数据库管理员则需用一个共用的数据库管理帐号来进行工作。

这就产生了一个危险: 若同组中的任何一人由于某种原因而不满,他或她可在从系统退出之前,将属于该组所用特权帐号的.profile修改,添加一些破坏性的命令,例如,若是数据库管理员,往数据库中加一些非法交易。可以想见,这种破坏并不会在该不良人员尚未退出系统前发生,而别的同组人员则可能成为受害者,因为当他们当中的任何一人登录系统时,破坏发生了,而他或她却无任何证据可证明自己的无辜。这就是我们所说的安全陷阱。它不但会给您公司造成巨大的经济损失,还会让一位无辜的人蒙受不白之冤。

我们在WZSysGuard中特别针对这一安全威胁增加了这一功能用以帮助您抗击这种威胁。

除了基本软件包,WZSysGuard现在还包括了一个以PHP为基础的WEB模块名为 wzsgWEBX.Ye.tar (关键的网页文件被加密, 需要用到我们的PHP扩展模块)。本Web接口还需要用到我们的CaclMgr软件, 一种非常安全的,可用于系统及应用自动化的授权软件。

当您选择更安全的网页模式, 您有两种选择:
1. 用一台开发机,装上与生产机所用同样版本的PHP, 同样版本或较旧版本的操作系统, 装上php-devel软件包, gcc C编译器. 在此机器上, 直接运行wzisphpmodSRC1.0-OS.platform-m64.pkg以生成适用于您的PHP版本的wzis.so PHP扩展模块。
2. 若您的生产机上有php-devel软件包,及 gcc C编译器, 则无需另有开发机来产生本机所用PHP版本所适用的wzis.so扩展模块。可在生产机上直接运行wzisphpmodSRC1.0-OS.platform-m64.pkg来生成适用于您的PHP版本的wzis.so PHP扩展模块。

以下是如何安装WZSysGuardWEB模块:

1.  确认您的主机上装有Apache Web服务器软件及PHP软件,若不是,则下载并加以安装。
2. 安装本公司的PHP扩展模块: 将在开发机上生成的wzis.so复制到PHPextension_dir目录下, 或运行wzisphpmodSRC1.0-OS-platform-m64.pkg文件以生成并安装wzis.so扩展模块。
3. 将"extension=wzis.so"加入PHPini文件中(通常是/etc/php.ini )。
4.  查看Apache软件的配置文件,以找出DocumentRoot所在目录的名字。
5.  cd /path/to/DocumentRoot
6. tar xvf /path/to/wzsgWEB*.tar
7. cd /tmp
8. ./CaclMgrVerPlatform*.wzpkg
9. CaclMgr的许可证装至/etc/CaclMgr.lic文件中。在许可证装好后,该文件的内容看上去会类似于:

# cat /etc/CaclMgr.lic
P520111201:Linux:HcTra91P2umNtiw$pe7PdN9AIdgObykszJA5r/:rl5.wziss.com:wziss
#

上述步骤完成后,在 /path/to/DocumentRoot目录下,会有二个新的子目录,sysadm 含有供系统/应用/数据库管理员用的网页; secadm则含有供安全管理员用的网页。

sysadmsecadm设置口令,您需要先确保Apache Web服务进程httpd已起动,含有php解释程序的目录也被包含在PATH环境变量的路径值中,然后运行:
# /usr/local/lib/wzsg/setwebpass sysadm
# /usr/local/lib/wzsg/setwebpass secadm

接着,需要找出Apache Web服务器程序是以什么非特权用户运行,记下该用户的名字。然后以超级用户运行以下命令:

# /usr/local/secbin/caclb -a web-account /usr/local/lib/wzsg/wzsgchk
# /usr/local/secbin/caclb -a web-account /usr/bin/ls
# /usr/local/secbin/caclb -a web-account /usr/bin/cat
# /usr/local/secbin/caclb -a web-account /usr/bin/file

然后,将口令文件改成web-account所有:
# chown web-account /usr/local/etc/sysadm.pass /usr/local/etc/secadm.pass
# chmod 600 /usr/local/etc/sysadm.pass /usr/local/etc/secadm.pass

若您的机器运行的是SELinux在激活状态的Linux,则请下载wzsgWEBSELinux.setup程序,并在此机器上运行该程序。

需要注意的是,为了保护口令,您应使用安全的HTTP服务,即HTTPS协议. 以下的链接是有关如何为Apache服务器设置HTTPS:

如何设置HTTPS

在这之后,您公司应制定一个政策,规定所有的系统/应用/数据库管理员在登录这台关键的主机之前,必须先用网页浏览器访问sysadm下的页面,对系统进行安全陷阱的检测,只有当没有发现任何可疑,才可登录系统。不然,应通知安全部门,进行初步复核,若还不能确认,则需进一步调查。