對你的系統上所有的用戶設置資源限制可以防止DoS類型攻擊（denial of service attacks）如最大進程數，內存數量等。例如，對所有用戶的限制象下面這樣：

　　編輯/etc/security/limits.con加入：

　　* hard core 0
　　* hard rss 5000
　　* hard nproc 20

　　你也必須編輯/etc/pam.d/login文件加/檢查這一行的存在。

　　session required /lib/security/pam_limits.so

　　上面的命令禁止core files“core 0”，限制進程數為“nproc 50“，且限制內存使用為5M“rss 5000”。

　　Samba 遠程創建文件漏洞

　　Samba是一個Unix/Linux下的免費的文件和打印共享服務程序。允許在Unix和Microsoft平臺之間使用文件和打印共享。由于smb守護進程沒有正確檢查NetBIOS名字，一個本地用戶可以從遠程在Samba服務器上往任意文件中寫入數據。如果用戶可以在本地建立符號鏈接，用戶可以提升自己的權限。

　　遠程用戶也可能發動拒絕服務攻擊。

　　問題發生在smbd在創建SMB會話的日志文件(*.log)時。在受影響的平臺上，缺省情況下，每個SMB會話被記錄到/var/log/samba/.log文件中。如果攻擊者的NetBIOS名字是'FOOBAR',日志文件將會是/var/log/samba/fooboar.log.然而，smbd沒有檢查NetBIOS名字是否包含"../",因此，如果攻擊者將NetBIOS名字設置為"../../../nsfocus",那么將會創建/nsfocus.log文件。

　　如果smb.conf文件中存在下列設置：

　　log file = /var/log/samba/%m.log

　　那么，這個系統就是受影響的。

　　在某些平臺下(例如FreeBSD)下，配置如下：

　　log file = /usr/local/samba/var/log.%m

　　這種配置將不受此問題影響。

　　smbd在創建log文件時也忘記檢查該文件是不是鏈接文件，因此攻擊者可以利用符號鏈接將任意數據添加到任意文件中。如果將某些數據寫到某些敏感文件中(例如/etc/passwd,rc啟動腳本等等)，本地用戶就可能獲取root權限。

　　測試程序：

--------------------------------------------------------------------------------

$ ln -s /etc/passwd /tmp/x.log

$ smbclient //NIMUE/"`perl -e '{print "\ntoor::0:0::/:/bin/sh\n"}'`" \

-n ../../../tmp/x -N

$ su toor

#

--------------------------------------------------------------------------------

　　建議:

　　臨時解決方法：

　　修改smb.conf,將log file行改變成如下配置：

　　log file = /usr/local/samba/var/log.%m

　　或者將%m刪除。

　　主機審計解決方案

　　在審計主機時，你會發現由于每臺主機都是針對不同的商業目的，所以你也需要提供不同的解決方案。你可以建議下列的審計方案。

　　·實施本機審計：雖然你希望能補充象last和時間查看器這樣的本機審計工具，但本機審計程序通常是審計過程好的出發點。
　　·安裝監視軟件，例如Axent’s Enterprise Security Manager(ESM)：這種軟件通報中央控制系統那些系統低于規定策略的限度之下。例如，這種監視程序可以設置成提醒你哪些系統的密碼有效期設置得過低。
　　·清除安裝工作中的臨時文件：自動安裝程序通常在臨時文件中留下重要的數據包括密碼
　　·修復和清理被損壞的系統：你可以清除非法的服務像NetBus,Tribal Flood和BackOrifice。
　　·替代服務：例如，你可以用SSH服務來替代Telnet，SSH使用公鑰加密來保證登錄會話的安全。
　　·安裝操作系統附件，例如個人防火墻和加密服務。

　　清除“感染”

　　反病毒軟件可以掃描出眾所周知的非法服務，木馬，病毒和蠕蟲。然而，你應當能夠排除至今還未檢測到的問題。為了檢測和清除感染，你可以：

　　·使用TCP/IP排錯的工具，例如netstat
　　·使用Telnet連接懷疑的端口
　　·升級和運行反病毒程序