安全協(xié)議與標(biāo)準(zhǔn)PPT通用課件

1、安全協(xié)議與標(biāo)準(zhǔn)強(qiáng)化Linux安全 第1節(jié) Linux系統(tǒng)綜述第2節(jié) Linux發(fā)行版的通用命令第3節(jié) Linux文件系統(tǒng)安全性A B第4節(jié) Linux帳號安全性第5節(jié) Linux的安全配置文件第6節(jié) NFS和NIS安全第7節(jié) 典型應(yīng)用層服務(wù)第8節(jié) Linux安全性的評估第1節(jié) Linux系統(tǒng)綜述 Linux縱覽 Linux內(nèi)核 Linux的特性 Linux與其他操作系統(tǒng)的區(qū)別 典型應(yīng)用層服務(wù) LinuxLinux的出現(xiàn)，最早開始于一位名叫Linus Torvalds的計算機(jī)業(yè)余愛好者，當(dāng)時他是芬蘭赫爾辛基大學(xué)的學(xué)生。Linux以它的高效性和靈活性著稱。它能夠在PC計算機(jī)上實現(xiàn)全部的Unix特性

2、，具有多任務(wù)、多用戶的能力。Linux是一套Free免費使用和自由傳播的類Unix操作系統(tǒng)。the penguin, the Linux mascotUnix/Linux發(fā)展脈絡(luò)Redhat 9Redhat AS 4Redhat AS 5Debian 6Fedora 10 PreviewUbuntu 8.04Solaris 9LinuxLinux之所以受到重視，主要原因它具有Unix的全部功能，任何使用Unix操作系統(tǒng)或想要學(xué)習(xí)Unix操作系統(tǒng)的人都可以從Linux中獲益。 它屬于自由軟件，用戶不用支付任何費用就可以獲得它和它的源代碼，并且可以根據(jù)自己的需要對它進(jìn)行必要的修改，無償對它使用，無

3、約束地繼續(xù)傳播。UNIX, GNU, Linux 關(guān)鍵人物及貢獻(xiàn)Ken Thompson, Dennis RitchieUNIX；60 年代末Brian Kernighan, Dennis RitchieThe C Programming Language 70 年代末Richard StallmanFSF，GNU，GPL，emacs，gcc 80 年代中Andrew S. TanenbaumMINIX : Design and Implementation 80/90Linus TorvaldsLinux；90 年代Eric Raymond黑客文化簡史，如何成為一名黑客，大教堂和市集，開拓智

4、域，魔法大鍋爐自由軟件領(lǐng)袖 Richard StallmanEric Raymond“the most famous hackers”the author of The Cathedral and the Bazaar and the present maintainer of the Jargon File (also known as The New Hackers Dictionary). LinuxLinux操作系統(tǒng)軟件包不僅包括完整的Linux操作系統(tǒng)，而且還包括了文本編輯器、高級語言編譯器等應(yīng)用軟件還包括帶有多個窗口管理器的X-Windows圖形用戶界面，如同我們使用Windows

5、 NT一樣，允許我們使用窗口、圖標(biāo)和菜單對系統(tǒng)進(jìn)行操作豐富的應(yīng)用軟件Linux 縱覽Linux可以分為四個主要部分Linux 內(nèi)核函數(shù)庫Shell和工具應(yīng)用程序0 Kernel1 文件結(jié)構(gòu)庫，庫函數(shù)2 Shell3 ApplicationsLinux 縱覽Linux內(nèi)核 Linux系統(tǒng)的內(nèi)核（Kernel）,它提供了對硬件的統(tǒng)一接口 內(nèi)核是在引導(dǎo)時裝入的程序內(nèi)核識別硬件；初始化啟動腳本，并且運行網(wǎng)絡(luò)和終端守護(hù)程序當(dāng)啟動完畢之后，內(nèi)核又成為訪問硬件的通路，用來提供用戶層程序和硬件之間的接口Linux 內(nèi)核的功能進(jìn)程調(diào)度進(jìn)程間通信管理內(nèi)存I/O驅(qū)動initinit/etc/inittab#ps -

6、A | grep init Linux Shell Shell是系統(tǒng)的用戶界面，提供了用戶與內(nèi)核進(jìn)行交互操作的一種接口它接收用戶輸入的命令并把它送入內(nèi)核去執(zhí)行 # cat /etc/passwd | grep rootshell內(nèi)核執(zhí)行Shell的多種版本Shell也有多種不同的版本。目前主要有下列版本的Shell Bourne Shell：是貝爾實驗室開發(fā)的 BASH：是GNU的Bourne Again Shell，是GNU操作系統(tǒng)上默認(rèn)的shell Korn Shell：是對Bourne SHell的發(fā)展，在大部分內(nèi)容上與Bourne Shell兼容C Shell：是SUN公司Shell的

7、BSD版本 Linux文件結(jié)構(gòu) 文件結(jié)構(gòu)是文件存放在磁盤等存儲設(shè)備上的組織方法。主要體現(xiàn)在對文件和目錄的組織上。目錄提供了管理文件的一個方便而有效的途徑Linux目錄采用多級樹形結(jié)構(gòu)。Linux Hierarchical File System使用Linux，用戶可以設(shè)置目錄和文件的權(quán)限，以便允許或拒絕其他人對其進(jìn)行訪問 用戶可以瀏覽整個系統(tǒng)，可以進(jìn)入任何一個已授權(quán)進(jìn)入的目錄，訪問那里的文件。#cd /#tree #ls -lLinux實用工具 標(biāo)準(zhǔn)的Linux系統(tǒng)都有一套叫做實用工具的程序，它們是專門的程序 ，實用工具可分三類： 用于編輯文件 用于接收數(shù)據(jù)并過濾數(shù)據(jù) 允許用戶發(fā)送信息或接收來

8、自其他用戶的信息 編輯器過濾器交互程序內(nèi)核的版本號 內(nèi)核的版本號分為三部分（以為例）主版本號：此內(nèi)核是2。它表明對內(nèi)核的重大改進(jìn)，很少改變次版本號：此內(nèi)核是6。它表明內(nèi)核的穩(wěn)定性。偶數(shù)號（如0、2、4等）的內(nèi)核是穩(wěn)定的產(chǎn)品版本。而奇數(shù)號(如1、3、5等)的內(nèi)核是處于開發(fā)過程中的內(nèi)核，一般包含著最近開發(fā)的試驗性代碼，它不太穩(wěn)定，有時可能包含著致命的錯誤。修訂號：此內(nèi)核是27。它表明這一發(fā)布版本的增補級 Linux版本經(jīng)歷主要版本0.0191.8 7.5k0.0291.100.99/Slackware93.111.094.3 158kAlpha版95.62.096.7 649k2.

9、299.11536k2.401.12888k2.603.12 4200k+2.6.2708.10 10000k311.7圖示代碼規(guī)模：指數(shù)增長版本更新時間區(qū)間內(nèi)核介紹內(nèi)核源文件 linux-.tar.bz2編譯內(nèi)核 # make menuconfig # make # make modules_install # make install # rebootWhere to get/ http:/lxr.linux.no/ Linux特性 Linux主要特性可靠的系統(tǒng)安全 開放性 多任務(wù) 豐富的網(wǎng)絡(luò)功能 多用戶 Linux主要特性良好的可移植性 良好的用戶界面 設(shè)備獨立性 Linux與其他操作系

10、統(tǒng)的區(qū)別 Linux與MSDOS之間的區(qū)別 Linux與OS/2之間的區(qū)別 Linux與Windows之間的區(qū)別 Linux與Windows NT之間的區(qū)別 Linux優(yōu)勢Linux從Unix社團(tuán)獲益Linux是Free/Open的Linux的成本優(yōu)勢Linux主要發(fā)行版Linux Distribution = Linux Kernel+ GNU Package+ Free/Open SoftwareRedhat / FedoracoreDebian (LinuxHurd)Ubuntu GentooMandrakeTurboLinuxRedflag4第2節(jié) Linux發(fā)行版的通用命令 Linu

11、x系統(tǒng)管理命令 Linux與用戶有關(guān)的命令 Linux常用命令 Linux系統(tǒng)管理命令wall命令 這個命令的功能是對全部已登錄的用戶發(fā)送信息用戶可以先把要發(fā)送的信息寫好存入一個文件中，然后輸入 # wall 文件名 “”表示輸入重定向 Linux系統(tǒng)管理命令write命令 write命令的功能是向系統(tǒng)中某一個用戶發(fā)送信息。該命令的一般格式為：#write 用戶帳號 終端名稱希望退出發(fā)送狀態(tài)時，按組合鍵即可。 另一個：talkLinux系統(tǒng)管理命令mesg指令 mesg命令設(shè)定是否允許其他用戶用write命令給自己發(fā)送信息。如果允許別人給自己發(fā)送信息，輸入命令： # mesg y 否則，輸入：

12、# mesg nLinux系統(tǒng)管理命令sync命令, 關(guān)閉Linux系統(tǒng)時使用的。因為Linux系統(tǒng)，在內(nèi)存中緩存了許多數(shù)據(jù)，在關(guān)閉系統(tǒng)時需要進(jìn)行內(nèi)存數(shù)據(jù)與硬盤數(shù)據(jù)的同步校驗，保證硬盤數(shù)據(jù)在關(guān)閉系統(tǒng)時是最新的，只有這樣才能確保數(shù)據(jù)不會丟失。一般正常的關(guān)閉系統(tǒng)的過程是自動進(jìn)行這些工作的，在系統(tǒng)運行過程中也會定時做這些工作，不需要用戶干預(yù)。sync命令是強(qiáng)制把內(nèi)存中的數(shù)據(jù)寫回硬盤，以免數(shù)據(jù)的丟失。 Linux系統(tǒng)管理命令shutdown命令，關(guān)閉或重啟Linux系統(tǒng)。shutdown 選項 時間 警告信息命令中各選項的含義為- k 并不真正關(guān)機(jī)。而只是發(fā)出警告信息給所有用戶 - r 關(guān)機(jī)后立即重新

13、啟動 - h 關(guān)機(jī)后不重新啟動 - f 快速關(guān)機(jī)。重啟動時跳過fsck - n 快速關(guān)機(jī)。不經(jīng)過init程序 - c 取消一個已經(jīng)運行的shutdown該命令只能由超級用戶使用poweroff, rebootpoweroffrebootCTL+ALT+DELLinux系統(tǒng)管理命令free命令的功能是查看當(dāng)前系統(tǒng)內(nèi)存的使用情況，它顯示系統(tǒng)中剩余及已用的物理內(nèi)存和交換內(nèi)存，以及共享內(nèi)存和被核心使用的緩沖區(qū) 該命令的一般格式為：free -b | -k | -m命令中各選項的含義如下-b 以字節(jié)為單位顯示-k 以K字節(jié)為單位顯示-m 以兆字節(jié)為單位顯示 Linux系統(tǒng)管理命令uptime命令upti

14、me命令顯示系統(tǒng)已經(jīng)運行了多長時間它依次顯示下列信息現(xiàn)在時間系統(tǒng)已經(jīng)運行了多長時間目前有多少登錄用戶系統(tǒng)在過去的1分鐘、5分鐘和15分鐘內(nèi)的平均負(fù)載 Linux與用戶有關(guān)的命令#who#who am I#wLinux與用戶有關(guān)的命令passwd命令 Linux系統(tǒng)中的每一個用戶除了有其用戶名外，還有其對應(yīng)的用戶口令。因此需使用passwd命令為每一位新增加的用戶設(shè)置口令用戶以后還可以隨時用passwd命令改變自己的口令 只有超級用戶可以使用“passwd 用戶名”修改其他用戶的口令，普通用戶只能用不帶參數(shù)的passwd命令修改自己的口令 mkpasswddebian5:# makepasswd

15、 -count 10wx5d7aNL459PTXxu1DS2tAvgP802aPb9gMjxQUXa7AvUtH6yigxb3Kp9rpUav4fGKJm69Linux與用戶有關(guān)的命令su命令（switch user） 它可以讓一個普通用戶擁有超級用戶或其他用戶的權(quán)限，也可以讓超級用戶以普通用戶的身份做一些事情普通用戶使用這個命令時必須有超級用戶或其他用戶的口令輸入exit離開當(dāng)前用戶的身份 Linux與用戶有關(guān)的命令su命令 該命令的一般形式為： su 選項 ? 使用者帳號C 執(zhí)行一個命令后就結(jié)束- 加了這個減號的目的是使環(huán)境變量和欲轉(zhuǎn)換的用戶相同m 保留環(huán)境變量不變#su root -c

16、cat /etc/shadowsudo命令Linux常用命令 ifconfig網(wǎng)絡(luò)配置命令 Linux無論是自動安裝還是手工安裝，Linux都會向用戶詢問有關(guān)網(wǎng)絡(luò)的問題并配置相關(guān)的軟件用于配置網(wǎng)卡的基本命令為ifconfigifconfig#ifconfig#ifconfig eth0 up#ifconfig eth0 down#ifconfig eth0 192.168.?.?#ifconfig eth0:1 192.168.?.?#ifconfig eth0 ether ?:?:?:?:?:?#ifconfig eth0 promisc#tcpdumpetc#ifup eth0#ifdow

17、n eth0arp, ping, traceroute, netstat, 管理后臺服務(wù)不安裝/卸載/關(guān)閉服務(wù)（in redhat）setupservice start/stop ?ntsysv進(jìn)程管理相關(guān)命令（一） ps命令查看系統(tǒng)運行的進(jìn)程 # ps auxw a表示顯示系統(tǒng)中所有用戶的進(jìn)程u表示輸出進(jìn)程用戶所屬信息x表示也顯示沒有控制臺的進(jìn)程若顯示行太長而被截斷則可以使用f參數(shù)pstree進(jìn)程管理相關(guān)命令（二）netstat命令用來查看系統(tǒng)監(jiān)聽的服務(wù) # netstat -ln l 表示顯示當(dāng)前系統(tǒng)監(jiān)聽的端口信息n表示端口按照端口號來顯示，而不轉(zhuǎn)換為service文件中定義的端口名若希望

18、了解各個端口都是由哪些進(jìn)程監(jiān)聽則可以使用p參數(shù)進(jìn)程管理相關(guān)命令（三）top命令用來查看當(dāng)前系統(tǒng)使用情況 killkillkill -9killall renicelsoflsof is a command meaning list open files, which is used in many Unix-like systems to report a list of all open files and the processes that opened them. This open source utility was developed and supported by Vic A

19、bell, the retired Associate Director of the Purdue University Computing Center. It works in and supports several UNIX flavors.Open files in the system include disk files, pipes, network sockets and devices opened by all processes. One use for this command is when a disk cannot be unmounted because (

20、unspecified) files are in use. The listing of open files can be consulted (suitably filtered if necessary) to identify the process that is using the files.第3節(jié)A Linux文件系統(tǒng)安全性Linux文件系統(tǒng)基礎(chǔ)Linux文件系統(tǒng)安全性Linux文件系統(tǒng)基礎(chǔ)Linux的樹型結(jié)構(gòu)Linux下一些主要目錄的功用（一）/bin 二進(jìn)制可執(zhí)行命令/dev 設(shè)備特殊文件/etc 系統(tǒng)管理和配置文件/etc/rc.d 啟動的配置文件和腳本/home 用戶

21、主目錄的基點，比如用戶user的主目錄就是/home/user，可以用user表示/lib 標(biāo)準(zhǔn)程序設(shè)計庫，又叫動態(tài)鏈接共享庫，作用類似windows里的.dll文件/sbin 系統(tǒng)管理命令，這里存放的是系統(tǒng)管理員使用的管理程序Linux下一些主要目錄的功用（二）/tmp 公用的臨時文件存儲點/root 系統(tǒng)管理員的主目錄/mnt 系統(tǒng)提供這個目錄是讓用戶臨時掛載其他的文件系統(tǒng)。/lost+found 系統(tǒng)非正常關(guān)機(jī)而留下的文件/proc 虛擬的目錄，是系統(tǒng)內(nèi)存的映射?？芍苯釉L問這個目錄來獲取系統(tǒng)信息。/var 某些大文件的溢出區(qū)，比方說各種服務(wù)的日志文件Linux下一些主要目錄的功用（三）/

22、usr 最龐大的目錄，要用到的應(yīng)用程序和文件幾乎都在這個目錄。其中包含：/usr/X11R6 存放X window的目錄/usr/bin 眾多的應(yīng)用程序/usr/sbin 超級用戶的一些管理程序/usr/doc linux文檔/usr/include linux下開發(fā)和編譯應(yīng)用程序所需要的頭文件/usr/lib 常用的動態(tài)鏈接庫和軟件包的配置文件Linux下一些主要目錄的功用（四）/usr/man 幫助文檔/usr/src 源代碼，linux內(nèi)核的源代碼就放在/usr/src/linux里/usr/local/bin 本地增加的命令/usr/local/lib 本地增加的庫 Linux文件系統(tǒng)

23、 文件系統(tǒng)指文件存在的物理空間及其邏輯結(jié)構(gòu)。Linux系統(tǒng)中每個分區(qū)都是一個文件系統(tǒng)，都有自己的目錄層次結(jié)構(gòu)。linux會將這些分屬不同分區(qū)的、單獨的文件系統(tǒng)按一定的方式形成一個系統(tǒng)的總的目錄層次結(jié)構(gòu)。File links lnln -sLinux系統(tǒng)分區(qū)硬盤的分區(qū)主要分為基本分區(qū)（Primary Partion）擴(kuò)充分區(qū)(Extension Partion)基本分區(qū)和擴(kuò)充分區(qū)的數(shù)目之和不能大于四個 基本分區(qū)擴(kuò)充分區(qū)基本分區(qū)基本分區(qū)安裝時的分區(qū)可以將Linux安裝在一個或多個類型為Linux native 的硬盤分區(qū). 還需要一個交換(swap)分區(qū), 這個分區(qū)的類型是Linux swap.

24、就是說安裝Linux至少需要兩個硬盤分區(qū)。一個或多個Linux native類型的分區(qū) 一個Linux swap類型的分區(qū) 分區(qū)命名規(guī)則Linux通過字母和數(shù)字的組合來標(biāo)識硬盤分區(qū), 歸納如下前兩個字母 - 分區(qū)名的前兩個字母表明分區(qū)所在設(shè)備的類型. 您將通?？吹絟d(指IDE硬盤), 或sd(指SCSI硬盤) 下一個字母 - 這個字母表明分區(qū)在哪個設(shè)備. 例如,/dev/hda(第一個IDE硬盤) 或 /dev/sdb(第二個SCSI硬盤) 數(shù)字 - 代表分區(qū). 前四個分區(qū)(主分區(qū)或擴(kuò)展分區(qū))用數(shù)字1 到4表示. 邏輯分區(qū)從5開始. 例如, /dev/hda3第一個 IDE硬盤上的第三個主分

25、區(qū)或擴(kuò)展分區(qū);/dev/sdb6是第二個SCSI硬盤上的第二個邏輯分區(qū)常用的分區(qū)配置一個根分區(qū) - 根分區(qū)是/(root)所在地，保存內(nèi)核和有關(guān)文件。這個分區(qū)不需要很大。需要注意的是要選擇Linux本身作為這個根分區(qū)的分區(qū)類型。一個boot分區(qū) -存放內(nèi)核等啟動文件一個 /usr 分區(qū) - /usr 是Red Hat Linux系統(tǒng)的許多軟件的所在的地方，根據(jù)交換安裝的包的數(shù)量確定一個 /home 分區(qū) - 這是用戶的home目錄所在地；它的大小取決于系統(tǒng)有多少用戶, 以及這些用戶將存放多少數(shù)據(jù)一個交換分區(qū) - 交換分區(qū)用來支持虛擬內(nèi)存，交換分區(qū)的尺寸通常是內(nèi)存的大小的兩倍File Syste

26、msExt2Ext3 兼容ext2添加了日志功能Ext4（BTRFS）Reiser4 推薦使用XFS(非boot分區(qū))掛載文件系統(tǒng)（一） linux系統(tǒng)中每個分區(qū)都是一個文件系統(tǒng)，都有自己的目錄層次結(jié)構(gòu)。linux會將這些分屬不同分區(qū)的、單獨的文件系統(tǒng)按一定的方式形成一個系統(tǒng)的總的目錄層次結(jié)構(gòu)。這里所說的“按一定方式”就是指的掛載掛載點必須是一個目錄一個分區(qū)掛載在一個已存在的目錄上，這個目錄可以不為空，但掛載后這個目錄下以前的內(nèi)容將不可用掛載文件系統(tǒng)（二）掛載時使用mount命令格式：mount -參數(shù) 設(shè)備名稱 掛載點 -t auto/vfat/iso9660-o ro/rw/mnt/flo

27、ppy/mnt/cdrom/etc/fstabless /etc/fstab關(guān)于nouser選項FS toolsfdiskmkfsmount / umountfsckdfdumkswapswapon/swapoff第3節(jié)B Linux文件系統(tǒng)安全性Linux文件系統(tǒng)安全性(一) 控制臺和網(wǎng)絡(luò)(二) 引導(dǎo)與資源(三) 異常文件Linux文件系統(tǒng)安全性（一）禁止使用控制臺程序 禁止控制臺的訪問 防止sendmail被沒有授權(quán)的用戶濫用 使系統(tǒng)對ping沒有反應(yīng) 不要顯示系統(tǒng)提示信息 路由協(xié)議 使TCP SYN Cookie保護(hù)生效 防火墻console.appscd /etc/security/c

28、onsole.appslsRemove any item you want禁止控制臺程序pam.conf or pam.d#cd /etc/pam.d/#cat poweroff#auth required pam_console.so禁止控制臺訪問PAMPluggable Authentication Modulessendmail/etc/sendmail.cf :PrivacyOptions=authwarnings PrivacyOptions=authwarnings,novrfy,noexpn 杜絕濫發(fā)郵件/etc/postfix/* :ICMPPing/ICMP：ECHO-REQ

29、, ECHO-REPLY#echo 1 /proc/sys/net/ipv4/icmp_echo_ignaore_all禁止對ECHO-REQ反應(yīng)”Append to /etc/rc.d/rc.localissue修改 /etc/issue ，勿泄漏線索信息/etc/inetd.conf :telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -h-h則阻止顯示登陸信息xinetd:IP source routingIP source routing options: / 禁止源路由選項#echo 0 /proc/sys/net/ipv

30、4/conf/eth0/accept_source_routefor f in /proc/sys/net/ipv4/conf/*/accept_source_route; doecho 0 $fdoneappend to /etc/rc.d/rc.localTCP SYNTCP SYN Attack#echo 1 /proc/sys/net/ipv4/tcp_syncookies#sysctl -w net.ipv4.tcp_syncookies=1可抵抗SYN攻擊Netfilter/iptableFirewallICF in winxpnetfilter/iptable$ iptables

31、 -A INPUT -s -j REJECT$ iptables -D INPUT -dport 80 -j DROP Linux文件系統(tǒng)安全性（二）資源限制 更好地控制mount上的文件系統(tǒng) 把rpm程序轉(zhuǎn)移到一個安全的地方，并改變默認(rèn)的訪問許可 登錄shell 創(chuàng)建所有重要的日志文件的硬拷貝 改變“/etc/rc.d/init.d/”目錄下的腳本文件的訪問許可 limits.conf#less /etc/security/limits.conf* hard core 0/ 禁止core dump* hard nproc 20/ 進(jìn)程數(shù)限制20* hard rss 5000 / 內(nèi)存限制5M

32、in /etc/pam.d/login :session required /lib/security/pam_limits.somount/fstab#cat /etc/fstab選項：nosuid禁止suid，sgidnoexec不執(zhí)行二進(jìn)制文件nodev不使用設(shè)備符號rpm保護(hù)rpmchmod 700 /bin/rpm把文件 /bin/rpm 轉(zhuǎn)移到安全地方mount /mnt/floppymv /bin/rpm /mnt/floppy/.umount /mnt/floppyshell/.bash_historyin /etc/profile:HISTFILESIZE=20HISTSIZ

33、E=20log/var/log/防止日志被破壞在線打印: append /etc/syslog.conf authpriv.*;mail.* /dev/lp0#/etc/rc.d/init.d/syslog restart#service syslog / in redhat轉(zhuǎn)移到另外的服務(wù)器集中處理authpriv.*;mail.* mailserver/etc/rc.d/init.d/*chmod R 700 /etc/rc.d/init.d/*只有root有權(quán)限操作Linux文件系統(tǒng)安全性（三）異常和隱含文件 查找所有SUID/SGID位有效的文件查找任何人都有寫權(quán)限的文件和目錄 查找沒

34、有主人的文件 查找“.rhosts”文件 使Control-Alt-Delete關(guān)機(jī)鍵無效 .?ls -a#find / -name “.*” -printSUID/SGIDSUID#find /usr/bin -type f -perm -2000 -printSGID#find /usr/bin -type f -perm -4000 -printSUID/SGID文件可能是被植入的*可寫文件#find . -perm -2 -print#find . -perm -20任何人都可寫的文件，可能是入侵的遺留無主文件# find /dev -nouser -print# find /dev

35、-nogroup -print無屬主文件的存在是有疑問的.rhosts#find /home -name .rhosts.rhosts等價主機(jī)，允許無需口令的rlogin等CTLALTDELin /etc/inittab# Trap CTRL-ALT-DELETEca:ctrlaltdel:/sbin/shutdown -t3 -r now#init q加密文件系統(tǒng)例子：文件里的虛擬盤（loopback）dd if=/dev/zero of=myd bs=1k count=1024losetup -e des | -e xor /dev/loop0 mydmke2fs /dev/loop0mo

36、unt /dev/loop0 /mnt/mydumount /mnt/mydlosetup -d /dev/loop0 (detach)第4節(jié) Linux帳號安全性系統(tǒng)安全記錄文件 啟動和登錄安全性 BIOS用戶口令帳號口令文件C-A-Dsuissue系統(tǒng)安全記錄文件操作系統(tǒng)內(nèi)部的記錄文件是檢測是否有網(wǎng)絡(luò)入侵的重要線索 可以運行來檢查系統(tǒng)所受到的攻擊#more /var/log/secure | grep refusedcat /var/log/secure#last,lastlogless /var/log/secure | grep Failed基本日志W(wǎng)indows事件查看器IIS Lo

37、g本地安全策略本地策略審核策略等Linuxaccess-log 記錄HTTP/web的傳輸 acct/pacct 記錄用戶命令 aculog 記錄MODEM的活動 btmp 記錄失敗的記錄 lastlog 記錄最近幾次成功登錄的事件和最后一次不成功的登錄 messages 從syslog中記錄信息（有的鏈接到syslog文件） sudolog 記錄使用sudo發(fā)出的命令 sulog 記錄使用su命令的使用 syslog 從syslog中記錄信息（通常鏈接到messages文件） utmp 記錄當(dāng)前登錄的每個用戶 wtmp 一個用戶每次登錄進(jìn)入和退出時間的永久記錄 xferlog 記錄FTP會話

38、 啟動和登錄安全性BIOS安全 設(shè)置BIOS密碼且修改引導(dǎo)次序禁止從軟盤啟動系統(tǒng)BIOS setup/user passwd 用戶口令 口令 $ mkpasswd口令至少要有6個字符，最好包含一個以上的數(shù)字或特殊字符 口令不能太簡單，所謂的簡單就是很容易猜出來，也就是用自己的名字，電話號碼、生日、職業(yè)或者其它個人信息作為口令 口令必須是有有效期的，在一段時間之后就要更換口令 口令在這種情況下必須作廢或者重新設(shè)定：如果發(fā)現(xiàn)有人試圖猜測你的口令，而且已經(jīng)試過很多次了 不要使用單一口令Zip crackersampleAdvanced ZIP Password Recovery statistics

39、:Encrypted ZIP-file: sdjfks.zipTotal passwords: 2,091,362,752Total time: 6m 58s 725ms Average speed (passwords/s): 4,994,597Password for this file: 7uee23Password in HEX: 37 75 65 65 32 33 login.defs/etc/login.defsPASS_MIN_LEN 58PASS_MAX_DAYS 9999999帳號（一）特殊的帳號禁止操作系統(tǒng)中不必要的預(yù)置帳號 刪除一些不必要的組 在系統(tǒng)中加入必要的用戶 “不

40、許改變”位可以用來保護(hù)文件使其不被意外地刪除或重寫，也可以防止有些人創(chuàng)建這個文件的符號連接userdel#useradd ?#userdel ?#groupadd ? #groupdel ?#passwd ?#chattr +i ?/ 文件只讀如passwd, shadow, group, gshadow帳號（二） root帳號“root”帳號是Unix系統(tǒng)中享有特權(quán)的帳號“root”帳號是不受任何限制和制約的 不要隨便用root帳號登錄 #su/ 臨時啟用root身份帳號（三）加密 加密時要用到密匙，密匙是一個特殊的數(shù)字，把密匙和需要加密的信息經(jīng)過加密算法加密之后，只有知道密匙的人才能把信息

41、讀出來 通信加密OpenSSLApacheOpenSSLOpenSSHsshd，putty口令文件 chattr命令給下面的文件加上不可更改屬性，從而防止非授權(quán)用戶獲得權(quán)限。 # chattr +i /etc/passwd # chattr +i /etc/shadow # chattr +i /etc/group # chattr +i /etc/gshadow 禁止Ctrl+Alt+Del重新啟動機(jī)器命令修改/etc/inittab文件將該行注釋掉ca:ctrlaltdel:/sbin/shutdown -t3 -r now重新設(shè)置/etc/rc.d/init.d/目錄下所有文件的許可權(quán)限

42、，運行如下命令 # chmod -R 700 /etc/rc.d/init.d/* 限制su命令 防止任何人都可以用su命令成為root 在“/etc/pam.d/su”文件中加入 auth sufficient /lib/security/pam_rootok.so debug auth required /lib/security/pam_wheel.so group=wheel只有“wheel”組的成員才能用su命令成為root。舉例：讓admin用戶成為“wheel”組的成員rootdeep# usermod -G10 admin “10”是“wheel”組的ID值刪減登錄信息 默認(rèn)情

43、況下，登錄提示信息包括Linux發(fā)行版、內(nèi)核版本名和服務(wù)器主機(jī)名等 編輯/etc/rc.d/rc.local將輸出系統(tǒng)信息的注釋掉清空 /etc/issue, /etc/第5節(jié) Linux的安全配置文件（一）“/etc/exports”文件“/etc/inetd.conf”文件“/etc/aliases”文件“/etc/host.conf”文件“/etc/services”文件“/etc/securetty”文件 “/etc/lilo.conf”文件GRUB多重啟動管理器Linux的安全配置文件（二）“/etc/rc.d/rc.local”文件 “/etc/sysctl.conf”文件sysl

44、og 系統(tǒng)日志工具 /etc/sysconfig/network-scripts/ 目錄/etc/sysconfig/network NFS/exports/etc/exports : /dir/to/export (ro,root_squash) 只讀, 抵制root特權(quán)inetd/etc/inetd.conf禁止（注釋掉）暫不需要的服務(wù)ftp,telnet,talk,finger,shell,login,#killall HUP inetd/ 重讀配置#chmod 600 #chattr +i #stat tcp_wrappers/etc/hosts.allowsshd: , /etc/h

45、osts.denyALL:ALL#tcpdchk/ tcpd+inetdsendmail/aliases/etc/aliases注釋掉不必要的項# vi /etc/aliases# /usr/bin/newaliaseshost.conf查找域名的順序/etc/host.conforder hosts,bindmulti on/ 有多IP主機(jī)nospoof on/ 禁止IP偽裝#man host.confservices/etc/services#less /etc/services#chattr +i securetty/etc/securetty / login使用“tty”注釋掉不必要和

46、不被信任的tty#cat /etc/inittab / ttylilo.conf/etc/lilo.conftimeout = 0restrictedpassword=?#chmod 600 /etc/lilo.conf#chattr +i /etc/lilo.conf #lilogrub.conf/boot/grub/*/etc/grub.conf:password ?password -md5 ?grubmd5cryptissue清空/etc/issue/etc/查看/ect/rc.d/rc.local注意勿泄漏OS敏感信息sysctl.conf/proc/sys/#sysctl -a/

47、顯示所有可控項#sysctl -w net.ipv4.ip_forward=1修改 /etc/sysctl.confnet.ipv4.ip_forward = 1可以拼加到rc.sysinit中#less /etc/rc.d/rc.sysinitsyslogd/etc/syslog.conffacilityauth,cron,daemon,kern,lpr,mail,levelemerg,alert,crit,err,warning,notice,info,debug,noneactionfile,term,host,username,npipesyslogsyslogd -r -h-r 接受

48、遠(yuǎn)程進(jìn)入信息-h /hop 轉(zhuǎn)發(fā)klogd記錄內(nèi)核信息klogd通常會傳遞信息給syslogd，也可以寫入指定文件(-f fname)其他日志/var/log/*#cd /var/log/sambacroncyclognetwork-scripts#cd /etc/sysconfig/network-scripts/ifupifdown#ifup eth0#cat ifcfg-eth0#cat ifcfg-lonetwork/etc/sysconfig/network#cat /etc/sysconfig/networkNETWORKING=YES/NOGATEWAY=?.?.?.?GATEW

49、AYDEV=eth0 /?HOSTNAME=myname第6節(jié) NFS和NIS安全什么是NFS什么是NISNFS和NIS的安全問題？什么是NFS基于RPC（remote procedure call）協(xié)議的網(wǎng)絡(luò)文件系統(tǒng)，是由Sun Microsystems公司最早于1980年實現(xiàn)的，用于在異種UNIX操作系統(tǒng)共享文件NFS的客戶端/服務(wù)器實現(xiàn)結(jié)構(gòu)使得遠(yuǎn)程磁盤對于本地客戶端是透明可見的。它通過幾個守護(hù)進(jìn)程和配置文件來實現(xiàn)文件共享NFS 如何工作由于NFS運行于面向無連接（不需要對傳輸數(shù)據(jù)包進(jìn)行任何確認(rèn)）的UDP協(xié)議上，NFS則試圖強(qiáng)迫對它發(fā)送的每一個命令進(jìn)行確認(rèn)如果收到確認(rèn)，則繼續(xù)發(fā)送數(shù)據(jù)。如果

50、在特定時間內(nèi)未收到確認(rèn)，數(shù)據(jù)將被重傳 74563212745632126451 ack2 ack確認(rèn)NFS的配置文件NFS的配置文件/etc/exports，它定義了哪些共享和對誰是可用的/etc/fstab，它包含了在客戶端上被安裝的文件系統(tǒng)列表 /nfs-howto/exports,fstab/etc/exports :/usr/local/pub (ro,root_squash) 只讀/etc/fstab#cat /etc/fstab / 掛到/pub位置server:/usr/local/pub /pub nfs rsize=8192,wsize=8192,timeo=14,intr什

51、么是NISNetwork Information Service（網(wǎng)絡(luò)信息服務(wù)），通常還稱為Yellow Pages（黃頁），是一種集中管理系統(tǒng)通用訪問文件的分布式數(shù)據(jù)庫系統(tǒng)。master服務(wù)器存放這些文件，而客戶端則通過網(wǎng)絡(luò)訪問其中的信息Master/Slave + Client/etc/nsswitch.confNIS的實現(xiàn)NIS的實現(xiàn)是通過幾個守護(hù)進(jìn)程ypserv是服務(wù)器守護(hù)進(jìn)程ypbind是客戶端進(jìn)程以構(gòu)造NIS請求maps可以在更新后手工（使用yppush）傳送到slave服務(wù)器，或者通過ypxfrd進(jìn)程自動（slave服務(wù)器檢查服務(wù)器上的時間戳以進(jìn)行正確的更新）傳送。 NFS和NI

52、S的安全問題NFS的安全問題NIS服務(wù)的安全問題保護(hù)NFS 保護(hù)NIS NFS的安全問題 NFS使用AUTH_UNIX的認(rèn)證方法即非顯式信任NFS客戶端在服務(wù)器的UID（用戶ID）和GID（組ID）對于文件系統(tǒng)共享輸出（export）時被明確地指定了允許root用戶訪問的權(quán)限，任何在NFS客戶端獲取了root權(quán)限的攻擊者都可能會輕易控制NFS服務(wù)器。攻擊者通過編寫設(shè)置UID和GID值的程序，使其有權(quán)訪問NFS服務(wù)器端任何用戶的文件NFS守護(hù)進(jìn)程服務(wù)器還不時被發(fā)現(xiàn)存在緩沖區(qū)溢出漏洞#man exports / 末尾有例子NIS服務(wù)的安全問題DoS攻擊（在多臺客戶端上使用finger服務(wù)）緩沖區(qū)溢

53、出攻擊（libnasl）NIS maps查詢?nèi)跽J(rèn)證和其各個守護(hù)進(jìn)程也存在各自的安全問題NFS，NIS運行在非特權(quán)端口cat /etc/services | grep nfs保護(hù) NFS 安裝最新的NFS補丁 檢查/etc/exports文件 確保所有被共享的文件名不超過256字符 確保/etc/exports和/etc/netgroups的訪問權(quán)限為644，屬主為root，組用戶為root或sys 在被輸出文件系統(tǒng)機(jī)器上運行fsirand抵抗對文件句柄的猜測激活NFS的端口監(jiān)視 in solaris保護(hù) NIS確保安裝了最新的NIS補丁 確保NIS maps是否與本地口令文件是相互獨立的 檢查

54、用戶口令強(qiáng)度 檢查空口令 確保口令域中*的正確使用 /nis-howto/安全替代品Secure NFSNIS+/LDAPCFS第7節(jié) 典型應(yīng)用層服務(wù)FTP (Wu-Ftpd)TelnetSMTP (Sendmail)WWW (Apache)FTPDanonftpwu-ftpd/ vsftpd in FC#rpm ivh wu-ftpd.x.x.x.i386.rpmFTP (Wu-Ftpd)FTP服務(wù)器的配置文件/etc/ftpusers/etc/ftpconversions/處理壓縮/etc/ftpgroups/etc/ftphosts/etc/ftpaccessftpd/etc/ftpho

55、stsallow ftpadmin deny ftpadmin /etc/ftpaccess# /etc/ftpaccess wu-ftpd conf fileclass user real * / or guest/anonymouspasswd-check rfc822 warn loginfails 3limit remote 20 any /msg.fileTelnetTelnet面臨的主要安全問題使用者認(rèn)證 數(shù)據(jù)傳送保密 防范針對telnet的攻擊Telnet本身的缺陷沒有口令保護(hù)，遠(yuǎn)程用戶的登陸傳送的帳號和密碼都是明文，使用普通的sniffer都可以被截獲沒有強(qiáng)力認(rèn)證過程。只是驗證

56、連接者的帳戶和密沒有完整性檢查。傳送的數(shù)據(jù)沒有辦法知道是否完整的，而不是被篡改過的數(shù)據(jù)。傳送的數(shù)據(jù)都沒有加密snifferNetXRay / Sniffer Pro 演示數(shù)據(jù)傳送保密使數(shù)據(jù)在Telnet會話中安全傳送的方法使用Diffie-Hellman進(jìn)行密鑰交換使用DES、3DES、IDEA加密會話使用公鑰私鑰加密簽名telnettelnet xxx 80telnet xxx 20sshOpenSSHSSH基于舊的paswd機(jī)制基于公鑰的機(jī)制SMTP（Sendmail）Sendmail是在Unix環(huán)境下使用最廣泛的實現(xiàn)郵件發(fā)送/接受的郵件傳輸代理程序設(shè)置Sendmail使用smrsh決定smrsh可以允許sendmail運行的命令列表 #cd /etc/smrsh在“/etc/smrsh”目錄中創(chuàng)建允許sendmail運行的程序的符號連接 配置/etc/sendmail.cf使之使用受限shellpo