Linux系統(tǒng)管理與安全課件

1、Linux系統(tǒng)管理與安全吳賢明國立中興大學計算機及資訊網(wǎng)路中心中華民國九十年八月三日課程大綱關於電腦系統(tǒng)安全電腦安全自我檢測與防護Linux系統(tǒng)檔案完整性與安全Linux 系統(tǒng)紀錄與安全Linux系統(tǒng)安全工具Q & A關於電腦安全Computer Security“A computer is secure if you can depend on it and its software to behave as you expect.”-Practical UNIX and Internet Security“電腦安全的終極目標在-處理敏感資料時可以被信任的系統(tǒng)”-UNIX 系統(tǒng)保全工具關於電

2、腦安全資料完整性(Integrity)確保儲存於該系統(tǒng)的任何資料不被竄改或破壞。私秘性(Privacy)確保儲存於其中的任何資料及透過該系統(tǒng)傳輸?shù)馁Y料不被竊取。系統(tǒng)可用性(Availability)保證維持系統(tǒng)隨時可正常提供服務 脆弱的校園網(wǎng)路環(huán)境數(shù)量眾多的電腦系統(tǒng)不成比例的專職管理人員風氣開放自由的電腦使用環(huán)境駭客最愛的攻擊前哨站校園網(wǎng)路安全的隱憂入侵手法的專業(yè)及複雜程度程度提昇入侵者所需專業(yè)知識卻大幅下降入侵工具與日俱增，垂手可得主機數(shù)與使用人口逐年激增網(wǎng)際互連所使用的應用程式種類與數(shù)量快速上揚，具有安全缺失的軟體亦隨之增加網(wǎng)路安全工具的發(fā)展通常落後於多樣化的入侵網(wǎng)路新殺手-電腦病毒，正藉

3、由網(wǎng)路快速擴張其影響層面，來無影，去無蹤道高一尺 魔高一丈“Defending Yourself: The Role of Intrusion Detection Systems”, IEEE SOFTWARE Sep/Oct 2000Vulnerability-系統(tǒng)弱點 系統(tǒng)弱點是系統(tǒng)、程式或標準制定過程考慮欠週，所遺留可資侵入之漏洞。系統(tǒng)弱點是絕大多數(shù)入侵事件的憑藉。系統(tǒng)弱點即時的修補是確保系統(tǒng)安全及重要的工作。系統(tǒng)弱點增加趨勢/frames/?content=/forums/bugtraq/faq.html系統(tǒng)弱點的生命週期“Windows of Vulnerability: A Cas

4、e Study Analysis”, IEEE SOFTWARE Sep/Oct 2000系統(tǒng)弱點分佈與作業(yè)系統(tǒng)/frames/?content=/forums/bugtraq/faq.html校園主機安全防護The Network is Computer-主機安全是校園網(wǎng)路安全的第一步安全政策的擬定與實施主機安全三部曲系統(tǒng)安全防護系統(tǒng)安全自我檢測快速安全的入侵系統(tǒng)復原善用系統(tǒng)及網(wǎng)路安全工具系統(tǒng)安全措施系統(tǒng)安全：系統(tǒng)防護的三個重要觀念分散：可減少損失備援：確保某些系統(tǒng)被破壞時，整體系統(tǒng)仍可運作如常防禦縱深：讓攻擊者能夠造成實際損害之前，必須先突破重重防線。增加攻擊者的困難度。系統(tǒng)安全工具的使用

5、，在於加強系統(tǒng)的防禦縱深。系統(tǒng)安全防護：實體安全：主機外殼設置防範措施或機房門禁管制。帳號安全：一般帳號與root帳號的管理。檔案系統(tǒng)安全：乃是防護的核心，如權限設定、加密、系統(tǒng)指紋、備份等。帳號安全帳號安全帳號安全的淪陷通常是系統(tǒng)入侵成功的第一步帳號安全應包括一般帳號與root帳號的管理重要做法教育使用者正確使用及選擇密碼。分配密碼：為使用者提供密碼，使他們沒選用脆弱密碼的機會。密碼逾時機制：強迫使用者定期更換密碼。使用shadow密碼。將密碼由/etc/passwd中分離出來。預防性密碼稽查：在密碼生效之前就評估其安全性預防性密碼檢查工具包括passwd+、npasswd等，RedHat

6、Linux則內建CrackLib檢查使用者的密碼。反應性密碼稽查：用密碼檢查程式找出不安全的密碼。工具- Crack 、Crack for NT 限制root帳號進入系統(tǒng)的方式檔案安全檔案系統(tǒng)安全：檔案系統(tǒng)控制誰能存取資訊，以及對資訊能作何種處理。當一切防護均失效時，加密機制仍能維護檔案的機密性。重要做法審慎授與使用者適當?shù)臋n案權限建立系統(tǒng)重要檔案指紋資料庫指紋資料庫的完整性是系統(tǒng)安全的一個極重要指標建立最佳時機為系統(tǒng)初建立及更新時應建立指紋的檔案包括系統(tǒng)執(zhí)行檔、應用程式組態(tài)檔及其他重要資料檔定時檢查及更新指紋資料庫相關的工具sum/cksum：可檢查某檔案的CRC值。MD5：可用來製作訊息和

7、檔案指紋。RPM(RedHat Package Manager)：軟體安裝程式的驗證與簽章檢查。Tripwire 、AIDE: 檔案系統(tǒng)完整性檢查工具系統(tǒng)安全自我檢測定期安全自我檢測組態(tài)錯誤、程式瑕疵、系統(tǒng)漏洞，以及其他潛在的安全問題。檢測應藉助安全工具，有系統(tǒng)且定期進行系統(tǒng)弱點掃描工具-COPS (Computer Oracle and Password System) 、 Tiger (美國德州A&M大學研發(fā))網(wǎng)路弱點掃描工具-SATAN 、SAINT、ISS 、 Nessus 、Nmap 、CGI scanner安全缺失修補組態(tài)修正修補程式(Security Patch)版本更新系統(tǒng)安全

8、稽核及其他其他具體做法建議嚇阻力量是最好的防禦-善用系統(tǒng)稽核(auditing)與記錄(log)留意來自網(wǎng)路上及軟體廠商的系統(tǒng)安全漏洞報告，並確實修補之訂閱系統(tǒng)安全相關討論群組文章(Mailing List)UNIX Security Checklist -/tech_tips/intruder_detection_checklist.htmlLook for Signs That Your System May Have Been Compromised Examine log files Look for setuid and setgid Files Check system binar

9、ies Check for packet sniffers Examine files run by cron and at. Check for unauthorized services Examine /etc/passwd file Check system and network configuration Look everywhere for unusual or hidden files Examine all machines on the local network Linux系統(tǒng)檔案完整性與安全常見系統(tǒng)入侵程序進入系統(tǒng)利用各種管道取得系統(tǒng)Super User權限留下後門(

10、BacckDoor)便利日後進入系統(tǒng)。留意系統(tǒng)檔案不正常異動是早期發(fā)現(xiàn)入侵徵候及檢查惡意程式碼的最佳方法正常檔案 v.s 異常檔案Files Finger Print常見工具Tripwire 、TAMU 、ATP 、AIDELinux系統(tǒng)檔案完整性檢查正常檔案特徵紀錄保存-檔案指紋建立檔案檢查原理是比對，因此你必須在確定系統(tǒng)是乾淨的時候，建立比對依據(jù)的指紋資料(Fingerprint)，而建立這個檔案的最佳時機是當你完成系統(tǒng)安裝，尚未對外開放的時候，或系統(tǒng)完成更新時.File Time 、 Size 、 Access Mode 、 Check Sum檔案特徵比對檔案特徵紀錄更新系統(tǒng)檔案正常變動

11、後系統(tǒng)檔案檢查工具-AIDEAIDE (Advanced intrusion detection environment) 是一個可以藉由檔案完整性檢查(File Integrity Check)，協(xié)助管理者早期發(fā)現(xiàn)系統(tǒng)入侵跡象的安全工具。AIDE可以根據(jù)管理者訂下的檔案範圍及檢查項目(Permission, Access Time, Modify Time, Check Sum .)，藉由比對方式，產(chǎn)生檔案變動的報告。 AIDE可以檢查檔案特性項目包括：存取權限設定(permissions), inode編號(inode number), 檔案擁有者(user), 檔案擁有群組(group)

12、, 檔案大小(file size),檔案最近被修改時間(mtime and ctime), 檔案最近被修改時間(atime), 檔案大小的改變(growing size)及檔案鏈結數(shù)(number of links) AIDE用來檢查檔案完整性的演算法(Algorithm)包括：sha1, md5, rmd160, tiger (crc32, haval and gost can be compiled in if mhash support is available).AIDEAIDE適用平臺：Solaris 2.5.1,2.6,7 、 Linux 2.2.x,2.0.x 、 FreeBSD

13、 2.2.8,3.4 、 Unixware 7.0.1 、 BSDi 4.1 OpenBSD 2.6Get AIDE:檔名：aide-xx.tar.gz (xx is the version name, the current version is 0.7) Where ： /data/tools/aide-0.7.tar.gz Use archie to find this fileAIDEAIDE安裝(參考 .tw/linux/aide.htm)Compile the sourceModify the configuration file保留哪些檔案的特徵保留檔案的哪些特徵Create i

14、nitial AIDE Database (For the files finger print)aide -initAIDE An Example#把/etc/passwd的permission由644改為664，測試aide可以檢查出來woodynmc aide-0.7# ls -l /etc/passwd -rw-r-r- 1 root root 5596 Jun 15 09:45 /etc/passwdwoodynmc aide-0.7# chmod g+w /etc/passwd woodynmc aide-0.7# ls -l /etc/passwd -rw-rw-r- 1 roo

15、t root 5596 Jun 15 09:45 /etc/passwdwoodynmc aide-0.7# aide - -checkAIDE found differences between database and filesystem!Start timestamp: 2000-06-16 15:40:30Summary:Total number of files=1211,added files=0,removed files=0, changed files=1 Changed files:changed:/etc/passwd#aide發(fā)現(xiàn)/etc/passwd的permiss

16、ion遭修改，並提出警告Detailed information about changes:File: /etc/passwdPermissions: old = -rw-r-r- , new = -rw-rw-r-Ctime: old = 2000-06-15 09:45:43, new = 2000-06-16 15:39:32End timestamp: 2000-06-16 15:40:48AIDE選擇適當時機建立aide.db，更新時謹慎行事 妥善保存aide.db(Tape or Floopy) 精確修改aide.conf，去除無意義的檢查(例如經(jīng)常更動的檔案)，使你的檢查結果更

17、有意義Linux 系統(tǒng)紀錄請參考：.tw/linux/system_log.htm嚇阻力量是最好的防禦-系統(tǒng)稽核(auditing)與記錄(log)Linux上的系統(tǒng)記錄機制syslogd無關系統(tǒng)記錄:如wtmp、utmp、lastlog、pacct等。syslogd相關系統(tǒng)記錄檔: messages、syslog及管理者所設定之檔案。應用程式運作記錄檔: 如Apache Server的access.log及error.log等。 Linux 系統(tǒng)紀錄-Syslogdsyslogdsyslogd是UNIX中負責記錄大部分系統(tǒng)事件(event)的一個背景程式(daemon) 。syslogd可以

18、經(jīng)由設定與設計，記錄包括核心、系統(tǒng)程式及使用者自行開發(fā)程式的運作情形及所發(fā)生的事件。syslogd的記錄以純文字的方式記錄於檔案中，管理者可以用任何文字編輯緝查閱，藉以掌握系統(tǒng)各項活動。/etc/syslog.conf是syslogd運作的關鍵，經(jīng)由適當?shù)脑O定，syslogd可以把相關應用程式的指定事件，寫入特定檔案之中，供管理與系統(tǒng)追蹤之用。 Linux 系統(tǒng)紀錄-Syslogd/etc/syslog.conf/etc/syslog.conf內容控制syslogd如何紀錄系統(tǒng)相關事件(What、Where) 。/etc/syslog.conf內容更動必須重新啟動syslogd更動部份方始生效

19、。/etc/syslog.conf格式Selector1 Action1Selector2 Action2.當符合 Selectorx描述的事件發(fā)生時，採取Actionx所指定之方式記錄此一事件。SelectorSELECTOR = facility.priority Priority是事件的優(yōu)先等級。一般而言，syslogd將系統(tǒng)事件分成八個不同的等級debuginfonoticewarning(=warn)error(=err)critalertemerg(=panic)。(優(yōu)先順序由低至高排列)Facility是產(chǎn)生事件的子系統(tǒng)(subsystem)，syslog.conf中用來描素事件

20、產(chǎn)生子系統(tǒng)的關鍵字。系統(tǒng)內定facility包括auth、auth-priv、cron、daemon、kern、lpr、mail、mark、news、security(=auth)、syslog、user、uucp，使用者自行開發(fā)之程式則可使用local1 local7。ActionACTION這個欄位描述syslogd會將符合該行中SELECTOR條件的訊息，記錄於何處。 一般檔案(Regular File):檔案以絕對路徑方式描述，檔案不存在，syslogd啟動，重新讀取/etc/syslog.conf時會自動產(chǎn)生。 終端機或是主控站(e.g. /dev/tty0 or /dev/cons

21、ole in Linux)使用者名稱(List of Users)所有線上使用者(with symbol “*”) 遠端主機Eaxmple 1將除了facilitykern外的所有facility，priority等級為crit (and crit only)的message記錄到檔案/var/adm/critical中。#etc/syslog.conf內容# Store critical stuff in critical#*.=crit;kern.none /var/adm/criticalEaxmple 2將所有kernfacility相關messages記錄至/var/adm/kernel。將kern.crit、kern.alert及kern.emerg相關訊息，利用port 143送至遠端主機finlandia記錄。(priority比crit高的訊息有alert及emerg)。將kern.crit、kern.alert及kern.emer