(6)secure程序 

　　系统管理员应当做一个程序以定期检查系统中的各个系统文件,包括检查设备文件和SUID,SGID程序,尤其要注意检查SUID,SGID程序,检查/etc/passwd和/etc/group文件,寻找久未登录的户头和校验各重要文件是否被修改. (源程序清单将在今后发表) 

　　(7)ncheck命令 

　　用于检查文件系统,只用一个磁盘分区名作为参数,将列出i节点号及相应的文件名.i节点相同的文件为建链文件. 
　　注意:所列出的清单文件名与mount命令的第一个域相同的文件名前部分将不会列出来.因为是做文件系统内部的检查,ncheck并不知道文件系统安装点以上部分的目录. 
　　也可用此命令来搜索文件系统中所有的SUID和SGID程序和设备文件,使用-s选项来完成此项功能. 

　　(8)安装和拆卸文件系统 

　　UNIX文件系统是可安装的,这意味着每个文件系统可以连接到整个目录树的任意节点上(根目录总是被安装上的).安装文件系统的目录称为安装点. 
　　/etc/mount命令用于安装文件系统,用这条命令可将文件系统安装在现有目录结构的任意处. 
　　安装文件系统时,安装点的文件和目录都是不可存取的,因此未安装文件系统时,不要将文件存入安装点目录.文件系统安装后,安装点的存取许可方式和所有者将改变为所安装的文件根目录的许可方式和所有者. 
安装文件系统时要小心:安装点的属性会改变!还要注意新建的文件,除非新文件系统是由标准文件建立的,系统标准文件会设置适当的存取许可方式, 否则新文件系统的存取许可将是777! 可用-r选项将文件系统安装成只读文件系统.需要写保护的带驱动器和磁盘应当以这种方式来安装. 
　　不带任何参数的/etc/mount可获得系统中所安装的文件系统的有关信息.包括:文件系统被安装的安装点目录,对应/dev中的哪个设备,只读或可读写, 安装时间和日期等. 
　　从安全的观点来讲,可安装系统的危险来自用户可能请求系统管理员为其安装用户自己的文件系统.如果安装了用户的文件系统,则应在允许用户存取文件系统前,先扫描用户的文件系统,搜索SUID/SGID程序和设备文件.在除了root外任何人不能执行的目录中安装文件系统,用find命令或secure列出可疑文件,删除不属用户所有的文件的SUID/SGID许可. 
　　用户的文件系统用完后,可用umount命令卸下文件系统.并将安装点目录的所有者改回root,存取许可改为755. 

　　(9)系统目录和文件 

　　UNIX系统中有许多文件不允许用户写,如:/bin,/usr/bin,/usr/lbin, /etc/passwd, /usr/lib/crontab, /unix, /etc/rc, /etc/inittab这样一些文件和目录(大多数的系统目录),可写的目录允许移动文件,会引起安全问题. 统管理员应经常检查系统文件和目录的许可权限和所有者.可做一个程 
序根据系统提供的规则文件(在/etc/permlist文件中)所描述的文件所有者和许可权规则检查各文件. 
(源程序清单将在今后发表) 
　　注意:如果系统的安全管理不好,或系统是新安装的,其安全程序不够高, 可以用make方式在安全强的系统上运行上述程序,将许可规则文件拷贝到新系统来,再以设置方式在新系统上运行上述程序,就可提高本系统的安全程序.但要记住,两个系统必须运行相同的UNIX系统版本. 

　　4.作为root运行的程序 

在UNIX系统中,有些程序由系统作为root进程运行.这些程序并不总是具有SUID许可,因为其不少程序仅由root运行,系统管理员需要清楚这些程序做什么, 以及这些程序还将运行其它什么程序. 

　　(1)启动系统 

　　当某些UNIX系统(如SCO UNIX/XENIX)启动时,是以被称为单用户的方式运行,在这种方式中普通用户不能登录,唯有的进程是init,swapper,以及一些由系统管理员从控制台运行的进程.UNIX系统的单用户方式启动,使系统管理员能在允许普通用户登录以前,先检查系统操作,确保系统一切正常,当系统处于单用户方式时,控制台作为超级用户,命令揭示是"#",有些UNIX系统不要确认超级用户口令就认可控制台是root,给出#提示符.这就可能成为一个安全问题. 

　　(2)init进程 

　　UNIX系统总是以某种方式或称为某种级运行,系统有若干种运行级,这些运行级由init进程控制. 
　　UNIX系统启动时以单用户方式运行,也叫1级或S级. 
　　对于其他用户登录进入系统,UNIX有一种多用户运行方式,也叫2级. 
　　init进程控制系统运行级,它读入文件/etc/inittab,该文件详细地规定了哪些进程在哪一级运行.当root敲入init n(数字),系统就进入n级.init读该文件以确定终止哪些进程,启动哪些进程. 
　　有效的运行级的数值是从0到6与s. 
　　注意:由init建立的进程以UID为0运行(root)从/etc/inittab运行的程序也作为root运行,所以系统管理员要确保自己知道/etc/inittab中的程序做什么工作,确保这些程序以及这些程序所在的目录直到/和/etc/inittab除root外无人可写. 

　　(3)进入多用户 

　　当UNIX系统进入多用户方式时,将寝化一系列事件,接着开始执行gettys, 允许其他用户登录进入系统.如果再看看/etc/inittab文件,会看到gettys定义在运行级2,至少三个shell程序/etc/brc, /etc/bcheckrc, /etc/rc*也定义在运行级2.这些程序都在gettys启动前运行. 
　　这些shell程序作为root运行,也不能仅对root可写还应当检查shell程序运行的命令,因为这些命令也将作为root运行.