Unix系統(tǒng)安全管理

Unix系統(tǒng)平安管理祝曉光提綱帳號(hào)管理 文件管理 Unix攻擊介紹 平安根本配置 提綱一帳號(hào)管理帳戶管理用戶類型Root〔超級(jí)用戶，不受任何限制〕普通用戶(未設(shè)置密碼和宿主目錄者除外)系統(tǒng)用戶〔用于和進(jìn)程間交互，從不登陸〕UID與GIDUnix口令文件存儲(chǔ)路徑Linux/etc/shadowSystemVRelease4.2/etc/securitySystemVRelease4.0/etc/shadowSunOS5.0/etc/shadowSCOUnix/tcb/auth/files/OSF/1/etc/passwdHP-UX/.secure/etc/passwdBSD4.x/etc/master.passwdAIX3/etc/security/passwdIRIX5/etc/shadow

帳號(hào)密碼文件zhuxg:x:501:501:Jacky:/home/zhuxg:/bin/bash用戶名密碼位置UIDGID用戶全名用戶主目錄用戶shell

/etc/passwd和/etc/shadow(master.passwd)文件解讀/etc/shadow文件root:$1$fgvCnqo0$C6xldBN0rs.w1SCtD/RST0:10598:0:99999:7:-1:-1:-1073743272用戶名加密口令上一次修改的時(shí)間〔從1970年1月1日起的天數(shù)〕口令在兩次修改間的最小天數(shù)離用戶必須修改口令還剩下的天數(shù)離系統(tǒng)提醒用戶必須修改口令還剩下的天數(shù)

用戶仍可修改口令還剩余的天數(shù)，否那么到期之后該賬號(hào)將被禁止從1970年1月1日起賬號(hào)被禁用的天數(shù)保存字段添加帳戶添加用戶useradd/adduser[root@www/root]#useradd--helpuseradd:invalidoption---usage:useradd[-uuid[-o]][-ggroup][-Ggroup,...][-dhome][-sshell][-ccomment][-m[-ktemplate]][-finactive][-eexpire][-ppasswd][-n][-r]nameuseradd-D[-ggroup][-bbase][-sshell][-finactive][-eexpire][root@www/root]#useradd–u1000–d/home/test–s/bin/shtest刪除帳戶userdel/deluserUserdel[-r]name [root@www/root]#userdel–rtest [root@www/root]#ls–l/home管理帳號(hào)查看當(dāng)前用戶名[root@www/root]#users更改用戶屬性u(píng)sermod[root@www/root]#usermod--helpusage:usermod[-uuid[-o]][-ggroup][-Ggroup,...][-dhome[-m]][-sshell][-ccomment][-lnew_name][-finactive][-eexpire][-ppasswd][-L|-U]nameSUID/SGID和粘滯位SUID一般用于可執(zhí)行程序，當(dāng)普通用戶需要間接使用(讀或?qū)?某個(gè)文件時(shí)，可以對(duì)該程序設(shè)置SUID/bin/passwd/etc/passwd和/etc/shadowSGID一般應(yīng)用于普通目錄粘滯位用于對(duì)某些目錄提供額外的保護(hù)/tmp

文件管理

Linux/Unix文件系統(tǒng)類型Ext2/ext3、UFS文件類型正規(guī)文件：ASCII文本文件，二進(jìn)制數(shù)據(jù)文件，二進(jìn)制可執(zhí)行文件目錄：包含一組文件的二進(jìn)制可執(zhí)行文件特殊文件：/dev,/proc鏈接文件Sockets:進(jìn)程間通訊使用的特殊文件文件類型由文件長(zhǎng)模式顯示的第一個(gè)字符決定“-”：普通文件“d”：目錄“l(fā)”：符號(hào)鏈接“s”：套接字Linux文件權(quán)限-rw-r--r--文件類型(文件、目錄、特殊文件)擁有者訪問權(quán)分組訪問權(quán)其它用戶訪問權(quán)l(xiāng)s–l文件名Mask和umask值Mask和umask相對(duì)應(yīng)對(duì)于文件umask值||文件權(quán)限=666對(duì)于目錄umask值||目錄權(quán)限=777文件管理添加/刪除/移動(dòng)文件和目錄touch、echo、vi、rm、mv更改文件權(quán)限chmod、chattr更改文件屬主chown、chgrp設(shè)置SUID/SGID和Sticky-bit設(shè)置SUID/SGID程序利用chmod典型文件如/bin/passwdSGID通常設(shè)置在某個(gè)目錄上設(shè)置粘置位典型目錄如/tmp粘置位可防止誤刪、誤修改或破壞用戶文件提綱三Unix攻擊介紹黑客攻擊手法(一)收集信息掃描社會(huì)工程公開信息利用系統(tǒng)漏洞DNS的配置失誤Finger....黑客攻擊手法(二)嘗試獲得主機(jī)入口密碼猜測(cè)遠(yuǎn)程溢出Sniffer社會(huì)工程程序漏洞……黑客攻擊手法(三〕嘗試獲得最高權(quán)限本地溢出木馬社會(huì)工程竊取，欺騙程序漏洞黑客攻擊手法(四)擴(kuò)大攻擊范圍去除系統(tǒng)記錄系統(tǒng)日志去除操作日志去除應(yīng)用日志去除留下系統(tǒng)后門Bindshell帳戶LKM..跳躍攻擊其他主機(jī)RootKits用于獲得具有root權(quán)限的一組程序通過設(shè)置uid程序,系統(tǒng)木馬,cron后門等方法來實(shí)現(xiàn)入侵者以后從非特權(quán)用戶使用root權(quán)限的程序提綱四系統(tǒng)平安配置與優(yōu)化Solaris根本平安配置設(shè)置一個(gè)盡可能復(fù)雜的root口令設(shè)置默認(rèn)路由/etc/defaultrouter設(shè)置dns/etc/resolv.conf設(shè)置/etc/nsswitch.confHost:filesdns系統(tǒng)啟動(dòng)效勞清理清理/etc/rc2.d值得注意的nfs.*S71RPC清理/etc/rc3.dSNMP使用的選擇SNMP配置清理/etc/init.d/inetsvc禁止dInetd–s–t啟動(dòng)禁止multicast系統(tǒng)啟動(dòng)效勞清理清理/etc/inetd.conf效勞所有的TCP/UDP小效勞所有的調(diào)試效勞所以的R效勞幾乎所有的RPC效勞使用必要的工具替換telnet,ftp必要的時(shí)候可以完全禁止inetd或用xinetd替換ndd使用幫助ndd/dev/arp\?(icmp,tcp,udp,ip)查詢ndd/dev/arparp_cleanup_interval設(shè)置ndd-set/dev/arparp_cleanup_interval60000啟動(dòng)網(wǎng)絡(luò)參數(shù)設(shè)定設(shè)置/etc/init.d/inetinit

ndd-set/dev/tcptcp_conn_req_max_q010240ndd-set/dev/ipip_ignore_redirect1ndd-set/dev/ipip_send_redirects0ndd-set/dev/ipip_ire_flush_interval60000ndd-set/dev/arparp_cleanup_interval60ndd-set/dev/ipip_forward_directed_broadcasts0ndd-set/dev/ipip_forward_src_routed0ndd-set/dev/ipip_forwarding0(或/etc/notrouter)ndd-set/dev/ipip_strict_dst_multihoming1ARP攻擊防止減少過期時(shí)間#ndd–set/dev/arparp_cleanup_interval60000#ndd-set/dev/ipip_ire_flush_interval60000靜態(tài)ARParp–ffilename禁止ARPifconfiginterface–arpIP關(guān)閉ip轉(zhuǎn)發(fā)。＃ndd–set/dev/ipip_forwarding0轉(zhuǎn)發(fā)包播送由于在轉(zhuǎn)發(fā)狀態(tài)下默認(rèn)是允許的，為了防止被用來實(shí)施smurf攻擊，關(guān)閉這一特性。(參見cert-98.01)#ndd–set/dev/ipip-forward_directed_broadcasts0源路由轉(zhuǎn)發(fā)，所以我們必須手動(dòng)關(guān)閉它＃ndd–set/dev/ipip_forward_src_routed0ICMP關(guān)閉對(duì)echo播送的響應(yīng)＃ndd–set/dev/ipip_respond_to_echo_boadcast0響應(yīng)時(shí)間戳播送#ndd–set/dev/ipip_respond_to_timestamp_broadcast0地址掩碼播送#ndd–set/dev/ipip_respind_to_address_mask_broadcast0ICMP接受重定向錯(cuò)誤#ndd–set/dev/ipip_ignore_redirect1響應(yīng)時(shí)間戳播送發(fā)送重定向錯(cuò)誤報(bào)文ndd–set/dev/ipip_send_redirects0時(shí)間戳響應(yīng)#ndd–set/dev/ipip_respond_to_timestamp0注意：Rdata〔同步時(shí)鐘〕可能無法正常TCPSynfloodndd–set/dev/tcptcp_conn_req_max_q04096 默認(rèn)值是1024連接耗盡攻擊ndd–set/dev/tcptcp_conn_req_max_q1024 默認(rèn)值是128增加私有端口ndd/dev/tcptcp_extra_priv_ports20494045要注意的是，不要隨便定義私有端口，因?yàn)橛行┓歉鶛?quán)限的進(jìn)程會(huì)使用這些端口。特別是改變最小非私有端口這個(gè)參數(shù)，經(jīng)常會(huì)引起問題。文件系統(tǒng)配置刪除NFS的相關(guān)配置/etc/auto_*/etc/dfs/dfstabMount文件系統(tǒng)的設(shè)置/etc/vfstab/usrmountro/dev/dsk/c0t3d0s4/dev/rdsk/c0t3d0s4/usrufs1noroOthermountnosuid/dev/dsk/c0t3d0s5/dev/rdsk/c0t3d0s5/varufs1nonosuid/dev/dsk/c0t3d0s6/dev/rdsk/c0t3d0s6/localufs2yesnosuid可能的話mount/nosuid文件系統(tǒng)配置尋找無用的suid程序Find/-typef\(-perm-4000\)|xargsls–a調(diào)整文件系統(tǒng)的權(quán)限/usr/sbin/var/log/etc…日志系統(tǒng)配置/etc/syslog.conf增加的日志記錄/var/log/authlog輸出到loghost輸出到打印機(jī)增加對(duì)su和crontab的日志記錄/etc/default/cron/etc/default/su日志系統(tǒng)配置syslog.conf的格式如下,設(shè)備.行為級(jí)別[；設(shè)備.行為級(jí)別]記錄行為注意各欄之間用[Tab]來分隔，用空格是無效的。如*.err;daemon.notice;mail.crit/var/adm/messages日志系統(tǒng)配置-設(shè)備auth認(rèn)證系統(tǒng)，即詢問用戶名和口令cron系統(tǒng)定時(shí)系統(tǒng)執(zhí)行定時(shí)任務(wù)時(shí)發(fā)出的信息daemon守護(hù)程序的syslog,如由in.ftpd產(chǎn)生的logkern內(nèi)核的syslog信息lpr打印機(jī)的syslog信息mail郵件系統(tǒng)的syslog信息mark定時(shí)發(fā)送消息的時(shí)標(biāo)程序news新聞系統(tǒng)的syslog信息user本地用戶應(yīng)用程序的syslog信息uucpuucp子系統(tǒng)的syslog信息*:代表以上各種設(shè)備日志系統(tǒng)配置-行為級(jí)別行為級(jí)別描述〔危險(xiǎn)程度遞遞〕debug程序的調(diào)試信息info信息消息notice要注意的消息warning警告err一般性錯(cuò)誤crit嚴(yán)重情況alert應(yīng)該立即被糾正的情況emerg緊急情況none指定的效勞程序未給所選擇的日志系統(tǒng)配置-特殊配置loghost@loghost日志輸出到打印機(jī)把打印機(jī)連接到終端端口/dev/ttya上，在/etc/syslog.conf中參加配置語句.auth.notice /dev/ttya帳戶清理與設(shè)置userdel/passmgmt(uucp,listen,lp,smtp,adm)/etc/default/login的設(shè)置禁止非consoleroot登陸登陸超時(shí)登陸掩碼設(shè)置/etc/defualt/passwd密碼長(zhǎng)度，過期等Linux系統(tǒng)平安根本配置分區(qū)時(shí)將根目錄〔/〕、〔/home〕、〔/tmp〕和/var目錄