cygwin搭建蜜罐实例(4) 2)帐号信息泄露问题:CYGWIN下SHELL的确有很多依赖HOST OS(这里指的是我的那台NT系统)的地方,如NIC接口、帐号模块等等(这点可能是它的缺点吧,也可能因为这样它占用HOST OS的资源才那么的小)。听到这里你可能会担心共享的帐号模块导致帐号信息泄露问题。我粗略地查看了一个,BASH里面是没有/etc/shadow文件的,且/etc/passwd也不会带来多大的泄露,不过还是可以通过它找到HOST OS的帐号名列表,建议把那些没必要的帐号信息都删掉。至于passwd命令,我配合su测试了N次都是不能正常工作的...(PS:可能是我水平有限吧:P),大伙可以放心了吧?! 3)服务日志查询问题:蜜罐的事后日志查询功能是非常重要的,通过它我们才可以了解到骇客究竟想干什么,曾经干过些什么。如果你没有修改/etc/apache/httpd.conf中关于日志输出的关键字的话,它默认是在/var/log/apache/下的,分别是Access_log和error_log,你只要用cat翻查一下(再或者加个管道符号与grep等等)就可以得到自己想知道的信息了... 4)其它注意事项:因为怎么说CYGWIN也只是一个虚拟的SHELL,所以它和正常的SHELL还是有点不同的,可能因此会给心细的骇客们一些不必要的提示吧。上面只是介绍了最常用的APACHE,其实你还可以使用其他的服务或者配合inetd与xinetd打造其他的“蜜罐服务”。还有一点是值得注意的,我已经说过任何在其SHELL下跑的daemon都是依赖父进程bash而存在的,因此一但你在HOST OS中关闭了bash进程的话,所有在cygwin下跑的服务都会被自动杀死的,所以如果你想保住你的“蜜罐”一直都ONLINE的话最好就不要关掉那个“可爱”的SHELL窗口。
