CISP-2-UNIX安全管理_2007

1、信息安全技术信息安全技术UNIX安全管理安全管理坚韧不拔、追求卓越坚韧不拔、追求卓越银长城银长城 CISP培训系列培训系列议议 程程vUNIX基本安全知识vUNIX常见应用服务及其安全vUnix系统安全安装和设置v入侵防护与恢复银长城银长城 CISP培训系列培训系列unix系统安全基本知识银长城银长城 CISP培训系列培训系列 UNIX综述综述银长城银长城 CISP培训系列培训系列UNIX系统的安全特征按照可信计算机评价标准按照可信计算机评价标准(TCSEC)(TCSEC)达到达到C2C2级级有控制的存取保护有控制的存取保护访问控制访问控制个人身份标识与认证个人身份标识与认证 审计记录审计记录

2、操作的可靠性操作的可靠性银长城银长城 CISP培训系列培训系列UNIX系统的安全模型银长城银长城 CISP培训系列培训系列Unix 系统结构银长城银长城 CISP培训系列培训系列文件系统基础文件系统安全是文件系统安全是UNIXUNIX系统安全的核心。系统安全的核心。在在UNIXUNIX中，所有的事物都是文件。用户数据的集中，所有的事物都是文件。用户数据的集合是文件，目录是文件，进程是文件，命令是文合是文件，目录是文件，进程是文件，命令是文件，设备是文件、甚至网络连接也是文件。件，设备是文件、甚至网络连接也是文件。银长城银长城 CISP培训系列培训系列文件系统结构银长城银长城 CISP培训系列培

3、训系列文件系统结构银长城银长城 CISP培训系列培训系列文件系统类型正规文件：（正规文件：（A S C I IA S C I I文本文件，二进制数据文件，二进制可文本文件，二进制数据文件，二进制可执行文件等）执行文件等）目录目录 特殊文件特殊文件链接链接 （硬链接、软链接硬链接、软链接）SocketsSockets（进程间通信时使用的特殊文件）进程间通信时使用的特殊文件）银长城银长城 CISP培训系列培训系列Unix文件系统的权限文件系统的权限 Jack$ ls l a.txtv - rwxr-xr-x 3 jack root 1024 Sep 13 11:58 a.txtv 12345678

4、910v 1:目录或文件（文件类型）， 普通文件,b块文件,c字符设备，d目录，l符号链接v 234:用户rwx（所有者许可）v 567:组rwx （组许可）v 8910:其他rwx （其他人许可）v 3:链接数v jack：用户v Root：组v 1024：字节数v Sep 13 11:58：最后修改时间v a.txt：名字银长城银长城 CISP培训系列培训系列Unix文件系统的权限文件系统的权限v Chmod/chown/chgrpv Suid：set-user-id，4000,使程序以所有者身份运行，而忽略实际执行该程序的用户身份。v Sgid:2000,使程序以所有者的组身份运行，而忽

5、略实际执行该程序的用户的组。银长城银长城 CISP培训系列培训系列Unix的密码系统的密码系统v/etc/passwd ;v/etc/shadow;v/etc/master.passwdv用户密码的强度问题vShell的控制v密码过期的优缺点vPAM认证系统银长城银长城 CISP培训系列培训系列Unix的系统服务的系统服务 /etc/inetd.conf /etc/service /etc/Rc*.d银长城银长城 CISP培训系列培训系列Unix常见应用服务及其安全防护银长城银长城 CISP培训系列培训系列常见常见UNIX应用服务及其安全要点应用服务及其安全要点vDNSvFTPvTELNETv

6、SSHvMAILvWebvSamba银长城银长城 CISP培训系列培训系列DNSv DNS （域名系统）适用于域名和IP地址之间的相互转换协议，BIND（Berkeley Internet Name Domain）则是Internet上应用最广泛的DNS服务器。银长城银长城 CISP培训系列培训系列银长城银长城 CISP培训系列培训系列基本措施基本措施v安装或者升级到最新的bindv划分DNSv禁止或限制DNS zone传输v关闭递归查询v设计备用DNSv限制动态更新vChroot的DNS环境银长城银长城 CISP培训系列培训系列FTPv FTP（文件传输协议）适用于主机之间传输文件的协议，而

7、Wuftp是Unix和Linux中应用最广泛的FTP后台程序;v 了解那些FTP有安全问题proftp pre3 remote shellv Proftp pre10 DoSv Wuftp 2.4.18v Wuftp 2.5v Wuftp 2.6v Sun ftp corev Old : cd rootv 所以说：从本质上讲FTP是不安全的！即使在加固之后！银长城银长城 CISP培训系列培训系列FTP安全要点安全要点v 使用最新版本/ http:/ 用ftpuser限制ftp用户ftpaccess控制用户行为，流量等，不允许root、bin和httpd

8、用户进入FTP服务器。v ftp的chroot使用ssh或sftp代替ftpv 改变服务器标识v 如果允许匿名上传，则上传得文件必须是隐藏的，同时应该禁止下载上传得文件，否则，FTP服务器很有可能被入侵者利用。银长城银长城 CISP培训系列培训系列TELNETvtelnet：用来登陆远程机器的明文协议；不安全的telnettelnet历史上的安全问题使用ssh代替telnetvSSH：用于数据交换的安全协议，由于其通信是保密的，因此成为telnet、rlogin、FTP的替代品。 Ssh的安全问题 Ssh的其他作用银长城银长城 CISP培训系列培训系列SSHvSSH：用于数据交换的安全协议，由

9、于其通信是保密的，因此成为telnet、rlogin、FTP的替代品。 确保禁用版本号为1的SSH协议，sshd_config文件必须含有以下命令行： Protocol2 不允许根用户通过SSH登陆服务器，确保sshd_config文件必须含有以下命令行： PermitRootLogin no SSH私钥文件只允许根用户读取。银长城银长城 CISP培训系列培训系列MAILv Sendmail是Internet上最流行的MTA（邮件传输代理） 通过修改sendmail.cf文件改变SMTP的欢迎信息 ； 通过修改sendmail.cf文件编辑expn和vrfy命令，将其关闭； 检查/etc/ma

10、il/access内容，该文件包含可以通过sendmail进行中继的主机名，切勿添加不信任的主机名； 关闭relay的功能； 其他:邮件大小控制,黑名单 由于sendmail易受远程攻击，可以考虑使用qmail作为替代，可以从http:/cr.yp.to/qmail.html上获取。银长城银长城 CISP培训系列培训系列Webv Apache：是现在应用最广泛的Web服务器。 改变HTTP标语； 关闭自动索引功能； 将Apache配置为不提供敏感信息文件，如：*.inc、 *.jsp 、 *.java 、 *.php文件； 删除默认的手动文件； 删除默认和示范的CGI脚本及应用； 确保Apac

11、he在非根权限下运行：在httpd.conf文件里察看用户（User）和组（Group）的设置，确保设为非根账户，如httpd或apache。 使用相关log文件，并确保已经在httpd.conf文件里设置妥当； 禁用非必需的模块，在httpd.conf文件里注释掉相应的AddModule和LoadModule指令。银长城银长城 CISP培训系列培训系列Sambav Samba:使用SMB（Server Message Block）协议通过网络共享文件及打印机: 修改服务器字符串： 编辑smb.conf将 server string =samba server 修改为：server strin

12、g =no information 编辑smb.conf设置hostsallow选项来限制可以连接到服务器的主机数； 使用密码加密。 在smb.conf文件中将encypt passwords设置为yes。银长城银长城 CISP培训系列培训系列Unix系统安全安装和设置银长城银长城 CISP培训系列培训系列系统安全配置工作系统安全配置工作v安全的安装和规划unix系统v本地策略v系统服务的清理v系统服务的升级和配置v最新安全补丁的获得和使用银长城银长城 CISP培训系列培训系列unixunix安全配置安全配置step by stepstep by stepv简单的说：就是如何在不使用任何第三方

13、工具的情况下，如何从头开始配置一台相对安全的unix系统。银长城银长城 CISP培训系列培训系列系统安全配置工作系统安全配置工作v分区，分区的好处v1. 部分防止DOS攻击v2. 部分防止suid程序的滥用v3. 快速的启动时间v4. 容易备份和升级v5. 更好的控制mount文件系统v6. 限制每一种文件系统的特性银长城银长城 CISP培训系列培训系列系统安全配置工作系统安全配置工作v 以一个30G的SCSI硬盘为例分区,用的系统是redhat Linuxv /boot 500Mv /usr/ 5Gv /home 5G 10X50 (50 用户)v /chroot 5G 如果想运行chroo

14、t的环境,如DNS /httpv /cache 3G 如果想装squid之类的proxyv /var 2G 如果log量巨大,可以分得更大一些v swap 1024M swap分区一般和内存一样大或2倍v /tmp 1Gv / 1G根分区v 可以分更多的chroot或cache分区,如dns和http分别一个chroot的环境(分区)银长城银长城 CISP培训系列培训系列SolarisSolaris基本安全配置基本安全配置step by stepstep by stepv系统启动与系统分区v系统安装与基本网络配置v系统启动服务清理v文件系统配置v日志系统配置v帐户安全策略v其他配置与清理银长城

15、银长城 CISP培训系列培训系列系统启动与系统分区系统启动与系统分区v以最新的cdrom发布启动系统v选择安装网络服务器v选择“none” for name serverv选择standalone安装方式v选择core system supportv增加一个“terminal information”银长城银长城 CISP培训系列培训系列系统启动与系统分区系统启动与系统分区v注意:安装方式选择v从严格的安全考虑，使用core system，但是一般情况下，使用end user的方式比较合适。银长城银长城 CISP培训系列培训系列基本网络设置与系统安装基本网络设置与系统安装v设置一个尽可能复杂的

16、root口令v设置默认路由 /etc/defaultrouterv设置dns /etc/resolv.confv设置 /etc/nsswitch.conf Host:files dns银长城银长城 CISP培训系列培训系列系统启动服务清理系统启动服务清理v 清理/etc/rc2.d 值得注意的 nfs.* S71RPCv 清理/etc/rc3.d SNMP使用的选择 SNMP配置v 清理/etc/init.d/inetsvc 禁止d inetd s t启动 禁止multicast银长城银长城 CISP培训系列培训系列系统启动服务清理系统启动服务清理v清理/etc/inetd.co

17、nf 服务 所有的TCP/UDP小服务 所有的调试服务 所以的R服务 几乎所有的RPC服务 使用必要的工具替换telnet,ftp 必要的时候可以完全禁止inetd或用xinetd替换银长城银长城 CISP培训系列培训系列启动网络参数设定启动网络参数设定v 设置/etc/init.d/inetinit v ndd -set /dev/tcp tcp_conn_req_max_q0 10240v ndd -set /dev/ip ip_ignore_redirect 1v ndd -set /dev/ip ip_send_redirects 0v ndd -set /dev/ip ip_ire_

18、flush_interval 60000v ndd -set /dev/arp arp_cleanup_interval 60v ndd -set /dev/ip ip_forward_directed_broadcasts 0v ndd -set /dev/ip ip_forward_src_routed 0v ndd -set /dev/ip ip_forwarding 0 (或/etc/notrouter)v ndd -set /dev/ip ip_strict_dst_multihoming 1银长城银长城 CISP培训系列培训系列Ndd 使用使用v帮助 Ndd /dev/arp ?

19、(icmp,tcp,udp,ip)v查询 ndd /dev/arp arp_cleanup_interval v设置 ndd set /dev/arp arp_cleanup_interval 60000银长城银长城 CISP培训系列培训系列TCPvSynflood ndd set /dev/tcp tcp_conn_req_max_q0 4096v连接耗尽攻击 ndd set /dev/tcp tcp_conn_req_max_q 1024银长城银长城 CISP培训系列培训系列文件系统配置文件系统配置v寻找无用的suid程序 find / -type f ( -perm -4000 ) |

20、xargs ls av调整文件系统的权限 /usr /sbin /var/log /etc 银长城银长城 CISP培训系列培训系列日志系统配置日志系统配置v /etc/syslog.conf 增加的日志记录 /var/log/authlog 输出到loghost 输出到打印机v 增加对su和crontab的日志记录 /etc/default/cron /etc/default/su银长城银长城 CISP培训系列培训系列日志系统配置日志系统配置vsyslog.conf的格式如下, 设备.行为级别 ；设备.行为级别 记录行为 注意各栏之间用Tab来分隔，用空格是无效的。银长城银

21、长城 CISP培训系列培训系列日志系统配置日志系统配置- -设备设备v auth认证系统，即询问用户名和口令v cron 系统定时系统执行定时任务时发出的信息v daemon某些系统的守护程序的syslog,如由in.ftpd产生的logv kern 内核的syslog信息v lpr 打印机的syslog信息v mail 邮件系统的syslog信息v mark 定时发送消息的时标程序v news 新闻系统的syslog信息v user本地用户应用程序的syslog信息v uucp uucp子系统的syslog信息v local0.7 种本地类型的syslog信息,这些信息可以又用户来定义v *

22、:代表以上各种设备银长城银长城 CISP培训系列培训系列日志系统配置日志系统配置- -行为级别行为级别v 第二栏：行为级别 描述（危险程度递加）v debug 程序的调试信息v info 信息消息v notice 要注意的消息v warning 警告v err 一般性错误v crit 严重情况v alert 应该立即被纠正的情况v emerg紧急情况v none 指定的服务程序未给所选择的银长城银长城 CISP培训系列培训系列日志系统配置日志系统配置- -特殊特殊v配置loghostv日志输出到打印机 把打印机连接到终端端口/dev/ttya上，在/etc/syslog.conf中加入配置语句

23、. Auth.notice /dev/ttyav防火墙配置 UDP 514银长城银长城 CISP培训系列培训系列Syslog系统举例系统举例v这里举一个比较通用的例子,某一台主机的log记录要求,所有的认证信息存到auth.log ,各个deamon的log,包括telnet,ftp的连接和状态记录到deamon.log,mail log单独记录到maillog.log文件,其他信息记录与messages里面.另外所有的这些log同样要传到一台特定的loghost主机。 银长城银长城 CISP培训系列培训系列Syslog系统举例系统举例v 在/etc/hosts中定义一台主机的别名为logho

24、st(当然你可以也可以直接在syslog.conf里指定loghost) 如:v 8 XXX.XXX.com v l o g h o s t 下 面 是 符 合 条 件 的 s y s l o g . c o n f 的 内 容 :*.info;mail.none;auth.none;deamon.none /var/adm/messages*.info;mail.none;auth.none;deamon.none loghosta u t h . n o t i c e / v a r / l o g / a u t h . l o gauth.notice logh

25、ostd e a m o n . i n f o / v a r / l o g / d e a m o n . l o loghostm a i l . d e b u g / v a r / l o g / m a i l . l o gmail.debug loghost 银长城银长城 CISP培训系列培训系列帐户清理与设置帐户清理与设置vUserrm/passmgmt uucp,listen, lp,smtp,admv/etc/default/login的设置 禁止非consle root登陆 登陆超时 登陆掩码设置v/etc/defualt/passwd 密

26、码长度，过期等银长城银长城 CISP培训系列培训系列系统启动的安全性系统启动的安全性v 设置设置BIOS密码密码 以防通过在Bios中改变启动顺序，而可以从软盘启动。v 设置设置/etc/lilo.conf启动密码，设置启动密码，设置lilo.conf为为root只读只读 在“/etc/lilo.conf”文件中加入下面三个参数：time-out,restricted,password。这三个参数可以使你的系统在启动lilo时就要求密码验证。v 清理清理/etc/xinetd.d /etc/xinetd.d 服务：服务： 所有的TCP/UDP小服务 所有的调试服务 所以的R服务 几乎所有的RP

27、C服务 使用必要的工具替换telnet,ftp 必要的时候可以完全禁止inetd或用xinetd替换银长城银长城 CISP培训系列培训系列增强配置增强配置v/etc/login.defs 设置密码策略vtelnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -hv在最后加“-h”可以使当有人登陆时只显示一个login:提示，而不显示系统欢迎信息。银长城银长城 CISP培训系列培训系列SuSu限制限制v 禁止任何人通过su命令改变为root用户。如果你不希望任何人通过su命令改变为root用户或对某些用户限制使用su命令，你可以在su配置文

28、件（在/etc/pam.d/目录下）的开头添加下面两行：v 编辑su文件(vi /etc/pam.d/su)，在开头添加下面两行：v auth sufficient /lib/security/pam_rootok.so debug v auth required /lib/security/Pam_wheel.so group=wheel v 这表明只有wheel组的成员可以使用su命令成为root用户。你可以把用户添加到“wheel”组，以使它可以使用su命令成为root用户。银长城银长城 CISP培训系列培训系列隐藏系统信息隐藏系统信息v 编辑“/etc/rc.d/rc.local” 文

29、件，注释下面的行。v # This will overwrite /etc/issue at every boot. So, make any changes you v # want to make to /etc/issue here or you will lose them when you reboot. v #echo /etc/issue v #echo $R /etc/issue v #echo Kernel $(uname -r) on $a $(uname -m) /etc/issue v # v #cp -f /etc/issue /etc/ v #echo /etc/i

30、ssuev 删除/etc目录下的“”和issue文件：v rootkapil /# rm -f /etc/issue v rootkapil /# rm -f /etc/ 银长城银长城 CISP培训系列培训系列限制文件系统权限限制文件系统权限v 去除无用的suid程序v 为重要配置文件增加不可更改属性v Mount 分区为noduid银长城银长城 CISP培训系列培训系列chrootchroot chroot 是是 ” ”change root” change root” 的缩写，的缩写，chrootchroot重定义了一个程序的运行环境。重定义了一重定义了一个程序的运行环境。重定义了一个程序

31、的个程序的“ROOT”ROOT”目录或目录或“/”/”。也就是说，对。也就是说，对于于chrootchroot了的程序或了的程序或shellshell来说，来说，chrootchroot环境之环境之外的目录是不存在的。外的目录是不存在的。 银长城银长城 CISP培训系列培训系列Chroot方法步骤建立建立”监狱式监狱式”目录目录 拷贝本身服务软件和其他要求的文件拷贝本身服务软件和其他要求的文件 拷贝所需要系统库文件拷贝所需要系统库文件 变换启动脚本，使系统启动正确环境变换启动脚本，使系统启动正确环境 银长城银长城 CISP培训系列培训系列unixunix的安全模块的安全模块-PAM-PAM概念

32、概念v PAM（Pluggable Authentication Modules ）是由Sun提出的一种认证机制。它通过提供一些动态链接库和一套统一的API，将系统提供的服务和该服务的认证方式分开，使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序。v PAM最初是集成在Solaris中，目前已移植到其它系统中，如Linux、SunOS、HP-UX 9.0等。以下主要是针对Linux的。银长城银长城 CISP培训系列培训系列unixunix的安全模块的安全模块v PAM相关文件 /lib/libpam.so.* PAM共享库 /etc/pam.conf或者/etc

33、/pam.d/ PAM配置文件 /lib/security/pam_*.so 可动态加载的PAM模块 其它系统的文件可能在/usr/lib/目录下。v PAM的配置： 第一种是通过单个配置文件/etc/pam.conf 另外一种是通过配置目录/etc/pam.d/ 第二种的优先级要高于第一种。银长城银长城 CISP培训系列培训系列unixunix的安全模块的安全模块v使用配置文件/etc/pam.confv 该文件是由如下的行所组成的：vservice-name module-type control-flag module-path arguments银长城银长城 CISP培训系列培训系列u

34、nixunix的安全模块的安全模块uservice-name 服务的名字，比如telnet、login、ftp等，服务名字“OTHER”代表所有没有在该文件中明确配置的其它服务。v module-type 模块类型有四种：auth、account、session、password。同一个服务可以调用多个PAM模块进行认证，这些模块构成一个stack。v control-flag 用来告诉PAM库该如何处理与该服务相关的PAM模块的成功或失败情况。它有四种可能的值：required，requisite，sufficient，optional。银长城银长城 CISP培训系列培训系列unixunix

35、的安全模块的安全模块v arguments是用来传递给该模块的参数。一般来说每个模块的参数都不相同，可以由该模块的开发者自己定义，但是也有以下几个共同的参数： debug 该模块应当用syslog( )将调试信息写入到系统日志文件中。 no_warn 表明该模块不应把警告信息发送给应用程序。 use_first_pass 表明该模块不能提示用户输入密码，而应使用前一个模块从用户那里得到的密码。 try_first_pass 表明该模块首先应当使用前一个模块从用户那里得到的密码，如果该密码验证不通过，再提示用户输入新的密码。 use_mapped_pass 该模块不能提示用户输入密码，而是使用映

36、射过的密码。 expose_account 允许该模块显示用户的帐号名等信息，一般只能在安全的环境下使用，因为泄漏用户名会对安全造成一定程度的威胁。银长城银长城 CISP培训系列培训系列UNIX系统入侵防范物理安全物理安全网络安全网络安全帐号安全帐号安全文件系统安全文件系统安全安全防范组件及工具安全防范组件及工具银长城银长城 CISP培训系列培训系列UNIX系统入侵防范 物理安全物理安全网络安全网络安全帐号安全帐号安全文件系统安全文件系统安全安全防范组件及工具安全防范组件及工具银长城银长城 CISP培训系列培训系列UNIX系统物理安全控制台安全控制台安全数据安全数据安全用户意识用户意识银长城银

37、长城 CISP培训系列培训系列UNIX系统物理安全 控制台安全控制台安全数据安全数据安全用户意识用户意识银长城银长城 CISP培训系列培训系列控制台安全（一）用有效的钥匙锁住房间用有效的钥匙锁住房间不要有其他的途径进入房间不要有其他的途径进入房间具有报警系统和警卫具有报警系统和警卫银长城银长城 CISP培训系列培训系列控制台安全（二）BIOSBIOS安全，设定引导口令安全，设定引导口令禁止从软盘或光盘启动禁止从软盘或光盘启动 防止未授权用户使用单用户模式防止未授权用户使用单用户模式Control-Alt-DeleteControl-Alt-Delete关机键无效关机键无效禁止使用控制台程序禁止

38、使用控制台程序银长城银长城 CISP培训系列培训系列Control-Alt-Delete关机键无效v编辑inittab文件#ca:ctrlaltdel:/sbin/shutdown -t3 -r nowv用下面的命令使改变生效：#rootcnns# /sbin/init q银长城银长城 CISP培训系列培训系列禁止使用控制台程序rootcnns# rm -f /etc/security/console.apps/haltrootcnns# rm -f /etc/security/console.apps/poweroffrootcnns# rm -f /etc/security/console

39、.apps/rebootrootcnns# rm -f /etc/security/console.apps/shutdownrootcnns# rm -f /etc/security/console.apps/xserver 银长城银长城 CISP培训系列培训系列UNIX系统物理安全控制台安全控制台安全 数据安全数据安全用户意识用户意识银长城银长城 CISP培训系列培训系列数据安全数据备份在安全的数据备份在安全的, ,专用的恢复数据的地方专用的恢复数据的地方 计算机在计算机在UPS UPS 保护下保证稳定的电源保护下保证稳定的电源 保护网络电缆不要暴露保护网络电缆不要暴露 把敏感的信息锁在抽

40、屉里把敏感的信息锁在抽屉里 毁坏敏感的打印输出和磁带毁坏敏感的打印输出和磁带银长城银长城 CISP培训系列培训系列UNIX系统物理安全控制台安全控制台安全数据安全数据安全 用户意识用户意识银长城银长城 CISP培训系列培训系列用户意识离开时请锁住屏幕或注销登陆机器离开时请锁住屏幕或注销登陆机器 不要把密码或者密码提示写在桌子上不要把密码或者密码提示写在桌子上管理意识，信息是有价值的资产管理意识，信息是有价值的资产经常改变经常改变rootroot的口令的口令银长城银长城 CISP培训系列培训系列UNIX系统帐号安全Passwd文件剖析 name:coded-passwd:UID:GID:user

41、-info:home-directory:shellname:coded-passwd:UID:GID:user-info:home-directory:shell 7 7个域中的每一个由冒号隔开。个域中的每一个由冒号隔开。 namename给用户分配的用户名。给用户分配的用户名。 Coded-passwdCoded-passwd经过加密的用户口令。如果一个系统管理经过加密的用户口令。如果一个系统管理员需要阻止一个用户登录，则经常用一个星号（员需要阻止一个用户登录，则经常用一个星号（ : : * * : :）代替。该域通常不手工编辑。代替。该域通常不手工编辑。 UIDUID用户的唯一标识号。习

42、惯上，小于用户的唯一标识号。习惯上，小于100100的的UIDUID是为系统是为系统帐号保留的。帐号保留的。银长城银长城 CISP培训系列培训系列UNIX系统帐号安全 GIDGID用户所属的基本分组。通常它将决定用户创建文件的分组拥用户所属的基本分组。通常它将决定用户创建文件的分组拥有权。有权。 User_infoUser_info习惯上它包括用户的全名。邮件系统和习惯上它包括用户的全名。邮件系统和fingerfinger这样的这样的工具习惯使用该域中的信息。工具习惯使用该域中的信息。 home-directoryhome-directory该域指明用户的起始目录，它是用户登录进入该域指明用户

43、的起始目录，它是用户登录进入后的初始工作目录。后的初始工作目录。 shellshell该域指明用户登录进入后执行的命令解释器所在的路径。该域指明用户登录进入后执行的命令解释器所在的路径。注意可以为用户在该域中赋一个注意可以为用户在该域中赋一个/bin/false/bin/false值，这将阻止用户登值，这将阻止用户登录。录。银长城银长城 CISP培训系列培训系列UNIX帐号安全（shadow文件）银长城银长城 CISP培训系列培训系列UNIX系统帐号安全 上一次修改口令的日期，以从上一次修改口令的日期，以从19701970年年1 1月月1 1日开始的天数表日开始的天数表示。示。 口令在两次修改

44、间的最小天数。口令在建立后必须更改的口令在两次修改间的最小天数。口令在建立后必须更改的天数。天数。 口令更改之前向用户发出警告的天数。口令更改之前向用户发出警告的天数。 口令终止后帐号被禁用的天数。口令终止后帐号被禁用的天数。 自从自从19701970年年1 1月月1 1日起帐号被禁用的天数。日起帐号被禁用的天数。 保留域。保留域。银长城银长城 CISP培训系列培训系列UNIX系统帐号安全口令安全基础口令安全基础 口令安全管理口令安全管理银长城银长城 CISP培训系列培训系列UNIX系统帐号安全禁用的口令：禁用的口令：v 不要选择简单字母序列组成的口令（例如不要选择简单字母序列组成的口令（例如

45、“qwerty”qwerty”或或“abcdef”abcdef”）。）。v 不要选择任何指明个人信息的口令（例如生日、姓名、配偶姓名、不要选择任何指明个人信息的口令（例如生日、姓名、配偶姓名、孩子姓名、电话号码、社会保障号码、汽车牌号、汽车执照号、孩子姓名、电话号码、社会保障号码、汽车牌号、汽车执照号、居住的街道名称等）。居住的街道名称等）。v 不要选择一个与要替换的口令相似的新口令。不要选择一个与要替换的口令相似的新口令。v 不要选择一个包含用户名或相似内容的口令。不要选择一个包含用户名或相似内容的口令。v 不要选择一个短于不要选择一个短于6 6个字符或仅包含字母或数字的口令。个字符或仅包含

46、字母或数字的口令。v 不要选择一个所有字母都是小写或大写字母的口令。不要选择一个所有字母都是小写或大写字母的口令。v 不要选择一个被作为口令范例公布的口令。不要选择一个被作为口令范例公布的口令。银长城银长城 CISP培训系列培训系列UNIX系统帐号安全好的口令：好的口令： 选择一个至少有选择一个至少有1010个字符长度的口令。个字符长度的口令。 选择一个包含非字母字符的口令，包括数字和特殊字符，如选择一个包含非字母字符的口令，包括数字和特殊字符，如 ! ! $ % & $ % & * * ( ) _ - + = | : ; , . ? / ( ) _ - + = | : ; ,

47、 . ? / 。 选择一个容易记住而不必写下来的口令。选择一个容易记住而不必写下来的口令。 选择一个不用看键盘而能迅速键入的口令，使偷看的人不能识选择一个不用看键盘而能迅速键入的口令，使偷看的人不能识别出键入的字符。别出键入的字符。 禁止写下口令禁止写下口令银长城银长城 CISP培训系列培训系列UNIX系统帐号安全口令安全口令安全 帐号安全帐号安全系统帐号安全巩固系统帐号安全巩固银长城银长城 CISP培训系列培训系列UNIX系统帐号安全缺省帐号缺省帐号银长城银长城 CISP培训系列培训系列UNIX系统帐号安全禁用和删除帐号：禁用和删除帐号：禁用帐号最快的方式是在禁用帐号最快的方式是在/etc/

48、passwd/etc/passwd或影子口或影子口令文件中用户加密口令的开始加一个星号（令文件中用户加密口令的开始加一个星号（* *）。）。该用户将不能再次登录。该用户将不能再次登录。# userdel jrandom# userdel jrandom银长城银长城 CISP培训系列培训系列UNIX系统帐号安全RootRoot帐号安全性：帐号安全性：确保确保rootroot只允许从控制台登陆只允许从控制台登陆 限制知道限制知道rootroot口令的人数口令的人数 使用强壮的密码使用强壮的密码 三个月或者当有人离开公司是就更改一三个月或者当有人离开公司是就更改一次密码次密码 使用普通用户登陆使用普

49、通用户登陆, ,用用susu取得取得rootroot权限权限, , 而不是以而不是以rootroot身份登录身份登录银长城银长城 CISP培训系列培训系列UNIX系统帐号安全RootRoot帐号安全性：帐号安全性：设置设置 umask umask 为为077 ,077 ,在需要时再改回在需要时再改回022 022 不要允许有非不要允许有非rootroot用户可写的目录存在用户可写的目录存在rootroot的的路径里路径里 修改修改/etc/securetty/etc/securetty，去除终端，去除终端ttyp0-ttyp9ttyp0-ttyp9，使使rootroot只能从只能从consol

50、econsole或者使用或者使用sshssh登陆。登陆。银长城银长城 CISP培训系列培训系列UNIX系统帐号安全口令安全口令安全帐号安全帐号安全 系统帐号安全巩固系统帐号安全巩固银长城银长城 CISP培训系列培训系列UNIX系统帐号安全v口令安全 口令禁忌 好的口令 写下口令v口令机制 Passwd文件剖析 口令的弱点管理帐号管理帐号用户名缺省帐号共享帐号禁用或删除帐号保护root附加的帐号控制银长城银长城 CISP培训系列培训系列UNIX系统入侵防范UNIXUNIX系统系统物理安全物理安全UNIXUNIX系统系统网络安全网络安全UNIXUNIX系统系统帐号安全帐号安全UNIXUNIX文件系

51、统安全文件系统安全安全防范组件及工具安全防范组件及工具银长城银长城 CISP培训系列培训系列UNIX文件系统安全v文件权限文件权限v文件完整性文件完整性v文件加密文件加密v文件备份文件备份银长城银长城 CISP培训系列培训系列UNIX文件系统安全v文件权限文件权限v文件完整性文件完整性v文件加密文件加密v文件备份文件备份银长城银长城 CISP培训系列培训系列文件权限分类读：允许读文件和目录内容。写：允许修改、删除文件。执行：允许执行二进制程序和脚本SUID: 程序以所有者而不是执行者的身份执行。SGID（文件）: 类似SUID，程序以所在组的权限运行。银长城银长城 CISP培训系列培训系列文件

52、和目录的访问对象文件所有者；文件所有者；文件所有组；文件所有组；其它人。其它人。 银长城银长城 CISP培训系列培训系列文件权限银长城银长城 CISP培训系列培训系列文件权限的文件权限的8 8进制表示进制表示属主,组,其它分别以一个8进制位表示,其中: r - 4 w - 2 x - 1例子: “-rwxr-x-” 8进制表示为0750 040002000100004000000010 0000 -0750银长城银长城 CISP培训系列培训系列文件权限v八进制数表示文件权限银长城银长城 CISP培训系列培训系列文件权限文件权限Chmod/chown/chgrpChmod/chown/chgrp

53、chmod (chmod (改变权限）改变权限）#chmod o+r file (用户（用户（u）、分组（）、分组（g）、其他（）、其他（0）)chownchown（改变拥有权）（改变拥有权）#chown user1 filechgrpchgrp（改变分组）（改变分组）#chgrp group1 file银长城银长城 CISP培训系列培训系列文件权限umaskumask值值当创建了一个新文件或目录时，它基于用户的权限屏蔽当创建了一个新文件或目录时，它基于用户的权限屏蔽“umask”umask”来确定缺省的权限设置。来确定缺省的权限设置。chmodchmod命令用来声明命令用来声明要打开的权限，

54、而要打开的权限，而umaskumask命令用来指明要禁止的权限。命令用来指明要禁止的权限。它用一个简单的三位数变元来声明在一个文件或目录被创它用一个简单的三位数变元来声明在一个文件或目录被创建时应该被禁止的访问权限建时应该被禁止的访问权限或被屏蔽的。或被屏蔽的。umaskumask主要在系统范围及个人的登录文件主要在系统范围及个人的登录文件.login.login或或.file中建立。中建立。银长城银长城 CISP培训系列培训系列SUID和SGID文件v SUIDSUID表示表示“设置用户设置用户ID”ID”，SGIDSGID表示表示“设置组设置组ID”ID”。当用户执行

55、一个。当用户执行一个SUIDSUID文件时，用户文件时，用户IDID在程序运行过程中被置为文件拥有者的用户在程序运行过程中被置为文件拥有者的用户IDID。如果文件属于如果文件属于rootroot，那用户就成为超级用户。同样，当一个用户执行，那用户就成为超级用户。同样，当一个用户执行SGIDSGID文件时，用户的组被置为文件的组。文件时，用户的组被置为文件的组。v UnixUnix实际上有两种类型的用户实际上有两种类型的用户IDID。 “ “real user ID”real user ID”是在登录过程中建立的用户是在登录过程中建立的用户IDID。 effective user IDeffec

56、tive user ID是是在登录后的会话过程中通过在登录后的会话过程中通过SUIDSUID和和SGIDSGID位来修改。位来修改。 银长城银长城 CISP培训系列培训系列文件权限#find /-type f (-perm -4000 -o -perm -2000) ls#find /-type f (-perm -4000 -o -perm -2000) ls这告诉这告诉findfind列出所有设置了列出所有设置了SUIDSUID（“4000”4000”）或）或SGIDSGID（“2000”2000”）位的普通文件（）位的普通文件（“f”f”）。应该在每个本地系统中运行）。应该在每个本地系统

57、中运行它。它。 银长城银长城 CISP培训系列培训系列UNIXUNIX文件系统文件系统安全安全v文件权限文件权限v文件完整性文件完整性v文件加密文件加密v文件备份文件备份银长城银长城 CISP培训系列培训系列文件完整性文件完整性确保操作系统文件确保操作系统文件, ,尤其可执行程序尤其可执行程序/bin,/sbin,/usr/bin/usr/sbin)/bin,/sbin,/usr/bin/usr/sbin)不被修改。不被修改。许多许多rootkitrootkit都要替换系统程序都要替换系统程序( (如如login,netstat,ps,lslogin,netstat,ps,ls等等) )来隐藏

58、自己及安装后门来隐藏自己及安装后门 银长城银长城 CISP培训系列培训系列文件完整性 一般通过计算文件校验码（如一般通过计算文件校验码（如MD5MD5码）的方式来检验文件码）的方式来检验文件完整性完整性 #md5sum -check bin.sum #md5sum -check bin.sum RPMRPM检验和签名检查（检验和签名检查（linuxlinux） # rpm -verify timed -0.10-2# rpm -verify timed -0.10-2银长城银长城 CISP培训系列培训系列UNIX文件系统安全v文件权限文件权限v文件完整性文件完整性v文件加密文件加密v文件备份文

59、件备份银长城银长城 CISP培训系列培训系列文件加密UnixUnix常用的加密算法有常用的加密算法有crypt(crypt(最早的加密工具最早的加密工具) )、DES(DES(目前目前最常用的最常用的) )、IDEA(IDEA(国际数据加密算法国际数据加密算法) )、RC4RC4、Blowfish(Blowfish(简单高效的简单高效的DES)DES)、RSARSA。 PGPPGP还可以用来加密本地文件。现在常用的还可以用来加密本地文件。现在常用的LinuxLinux下的下的PGPPGP工工具为：具为：pgpe(pgpe(加密加密) )、pgps(pgps(签名签名) )、pgpv(pgpv(

60、确认确认/ /解密解密) )、pgpk(pgpk(管理密钥管理密钥) ) 银长城银长城 CISP培训系列培训系列UNIX文件系统安全v文件权限文件权限v文件完整性文件完整性v文件加密文件加密v文件备份文件备份银长城银长城 CISP培训系列培训系列备份策略第第0 0天备份天备份完全备份完全备份增量式备份增量式备份特别备份特别备份银长城银长城 CISP培训系列培训系列备份命令cpcpTarTar（用于磁带机）用于磁带机）DumpDump（把整个文件系统拷贝到备份介质上）把整个文件系统拷贝到备份介质上） -#dump 0f0 /dev/rst0 1500 /dev/sd0a -把一个把一个SCSI硬盘硬盘(/dev