CISP-UNIX操作系统安全

1、CNITSEC22:02:311UNIX操作系统平安中国信息平安测评中心2021年11月3日 星期三12课程目的了解UNIX系统的平安性增强平安意识提高UNIX系统平安性23主要内容操作系统平安UNIX系统原理UNIX系统平安机制UNIX系统平安问题如何加强UNIX系统平安性总结34一、操作系统平安平安性平安威胁平安特征45一、操作系统平安平安性平安威胁平安度量56平安性保密性完整性可用性67一、操作系统平安平安性平安威胁平安度量7平安威胁威胁：对平安的潜在破坏泄露：对信息的非授权访问欺骗：虚假数据被接收破坏：中断或者阻碍正常操作篡夺：对系统某些局部的非授权控制攻击：导致破坏发生的行为88SO

2、S平安威胁平安威胁的来源计算机结构上的平安缺陷操作系统的不平安性网络协议的不平安性人的问题99平安威胁操作系统面临的平安威胁保密性威胁完整性威胁可用性威胁1010保密性威胁信息的保密性：信息的隐藏目的是让信息对非授权的用户不可见主要来源于计算机在敏感领域的使用军事应用企业应用保密性也指保护数据的存在性存在性有时候比数据本身更能暴露信息保密性威胁主要是信息泄露1111保密性威胁方式嗅探（窃听）： 对信息的非法拦截,是某种形式的信息泄露木马和后门间谍软件隐通道1212完整性威胁信息的完整性指的是信息的可信程度。具有完整性的信息应该是没有经过非法的或者是未经授权的数据改变。包括信息内容的完整性信息来

3、源的完整性：如何获取信息和从何处获取信息完整性被破坏的信息是不可信的信息被非法改变了信息的来源改变了1313完整性威胁方式破坏和欺骗。破坏。数据遭到破坏后,其内容就可能会发生非正常改变,破坏了信息内容的完整性。数据被破坏后,会中断或阻碍正常操作。病毒。绝大局部病毒都会对信息内容的完整性产生危害。平安操作系统设计过程中,要考虑如何有效地减少病毒对OS的平安威胁1414完整性威胁方式欺骗：接收到虚假的数据或信息。用户或程序可能会根据虚假的数据做错误的反响。有的用户可能会接收或发布不正确的信息。例如,假冒的网站。特点：网址和页面均与真网站相似。常见假冒各种银行的网站。1515可用性威胁可用性是指对信

4、息或资源的期望使用能力。是系统可靠性与系统设计中的一个重要方面。一个不可用的系统还不如没有系统拒绝效劳攻击DoS（Denial of service）企图破坏系统的可用性的攻击DoS目的：使计算机或网络无法提供正常的效劳可能发生在效劳器的源端可能发生在效劳器的目的端可能发生在中间路径1616可用性威胁方式最常见的拒绝效劳攻击计算机网络带宽攻击以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求无法通过连通性攻击用大量的链接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求1717可用性威胁方式计算机软件设计实现中的疏漏操作系统

5、功能越来越复杂,规模越来越庞大每千行代码的bug,550个之间Linux从发布到2.4.17的源码行数变化181819一、操作系统平安平安性平安威胁平安度量19平安度量度量标准：TCSECTrusted Computer System Evaluation Criteria(1985)历史上第一个计算机平安评价标准在基于平安核技术的平安操作系统研究的根底上制定出来系统平安程度的七个等级 ：(D1、C1、C2、B1、B2、B3、A1)2020平安度量安全级别描述D最低的级别。如MS-DOS计算机，没有安全性可言C1自主安全保护。系统不需要区分用户。可提供根本的访问控制。大部分UNIX达到此标准。

6、C2可控访问保护。系统可通过注册过程、与安全相关事件的审计以及资源隔离等措施，使用户对他们的活动分别负责。NT属于C2级的系统B1标记安全保护。系统提供更多的保护措施包括各式的安全级别。如ATT的SYSTEM V和UNIX with MLS 以及IBM MVS/ESAB2结构化保护。支持硬件保护。内容区被虚拟分割并严格保护。如Trusted XENIX and Honeywell MULTICSB3安全域。提出数据隐藏和分层，阻止层之间的交互。如Honeywell XTS-200A校验级设计。需要严格的准确的证明系统不会被危害。如Honeywell SCOMP21平安度量D级：用来标识那些不能

7、到达其他6个等级中任意等级需求的产品自主保护C1：只有身份识别、身份认证需求和自主访问控制需求；平安保障需求也只有测试需求和文档需求,1986年后,不再加以评估受控访问保护C2：C1；客体重用；审计；严格的平安测试需求。是商业产品最常用的等级。2222平安度量标签平安保护B1：增加强制访问控制,可以限定在特定的一组客体中。标签支持MAC的实现,平安测试需求更严格；需要一个非形式化的平安策略模型,该模型与相关公理的一致性必须得到说明。大多数操作系统软件商都提供B1级的产品,但在技术上往往落后于主流产品2323平安度量结构化保护B2：某些政府应用程序可接受的等级。要求对所有客体进行MAC。扩展标签

8、；引入登录可信路径；最小授权；平安保障中要包含隐通道分析、配置管理需求、更加严格的文档需求以及形式化的平安策略模型及其与相关公理的一致性证明2424平安度量平安域B3,实现了完整的参考验证机制。增强了可信路径需求,限制了代码的开发过程。更严格的测试需求、更多关于DTLS（描述性的高层标准）的需求、管理者指南以及设计文档验证保护A：功能需求同B3,但平安保障需求不同。要求在隐通道分析、设计会犯以及验证过程中,有效的使用形式化方法,还要包括可信发布,更严格的测试和设计文档需求,还要求代码与FTLS（形式化的高层标准）保持一致。2525UNIX系统的平安特征按照可信计算机评价标准(TCSEC)到达C

9、2级访问控制对象的可用性个人身份标识与认证 审计记录操作的可靠性2626系统为什么不平安网络建设非常迅猛, 较少考虑平安问题缺乏平安知识和意识,对平安不够重视局部平安产品及工具不能完全自动处理平安漏洞和威胁缺乏专门的平安管理人员各种网络协议及应用方面的缺陷其它原因2727绝对平安的OS是不存在的,只能尽可能地减少OS本身的漏洞需要在设计时就以平安理论作指导,始终贯穿正确的平安原则在使用时要正确使用平安配置,提高系统平安性282829二、UNIX系统原理UNIX系统开展历史UNIX系统启动过程UNIX系统结构2930二、UNIX系统原理UNIX系统开展历史UNIX系统启动过程UNIX系统结构30

10、31UNIX后门197019833132UNIX系统开展历史Ken Thompson 3233UNIX系统开展历史MulticsMULTiplexed Information and Computing System：多路信息计算系统 UNICSUNiplexedInformationandComputing SystemUNIX后来做了一下改动,称为UNIX。1969年到19703334UNIX系统开展历史Dennis M. Ritchie3435UNIX系统开展历史35UNIX系统开展历史363637Linux 的官方定义：“Linux 是一种 UNIX 操作系统的克隆,它（的内核）由 L

11、inus Torvalds 以及网络上组织松散的黑客队伍一起从零开始编写而成。 Linux的目标是保持和 POSIX 的兼容。 LINUX是一个可独立运作的POSIX兼容操作系统,它也包含了SYS V和BSD的功能。它完全是独立开展的,其中没有包含任何有版权问题的代码。LINUX可以在符合GNU Public License的情况下自由传播。Linux3737Kernel + cmds/libs + apps + installer = a DISTROLinux383839UNIXMinixLinuxRichard.StallmanDennis.RitchieKen.ThompsonAndr

12、ews.TanenbaumLinux393940Minix操作系统GNU方案POSIX标准Linux内核的诞生 LinuxLinux开展背景404041内核版本内核版本开展史：1.02.0发行版本如Ubuntu 、 Fedora 、Redhat、TurboLinux、中科红旗等。Linux版本414142二、UNIX系统原理UNIX系统开展历史UNIX系统启动过程UNIX系统结构42UNIX系统启动过程Solaris的启动过程 系统自检、显示系统信息、读取启动设备的0扇区、在启动设备寻找启动程序、加载启动程序、启动内核、当系统内核运行完毕,加载好所有的驱动之后,就会把控制权移

13、交给/sbin/init进程,也就是所有进程的父进程,然后由init读取/etc/inittab,依次执行/etc/rc1(2,3)启动脚本,最终到达inittab中指定的默认运行级别。 4343UNIX系统启动过程solaris系统在多用户模式下的启动过程Init 0 Init 1 Init 2 Init 3init 0/openboot模式：引导内核,加载硬件驱动,此时可以选择从cdrom引导进入维护模式。init 1/单用户模式：（加载/分区) 登陆进入维护模式,或按Ctrl+D进入多用户模式init 2/网络工作站模式：(连接网络,运行网络工作站效劳) 运行/etc/rc2脚本连接网络

14、,启动S69inet效劳,运行局部inetd网络效劳init 3/网络效劳器模式：(运行各种网络效劳) 运行/etc/rc3脚本启动网络效劳器4444Linux启动过程4545init的进程号是1,从这一点就能看出,init进程是系统所有进程的起点,Linux在完成核内引导以后,就开始运行init程序。init程序需要读取配置文件/etc/inittabinittab是一个不可执行的文本文件,它有假设干行指令所组成。 Linux启动过程4646/etc/inittab文件内容：# The runlevels used by RHS are:# 0 - halt (Do NOT set init

15、default to this)# 1 - Single user mode# 2 - Multiuser, without NFS (The same as 3, if you do not havenetworking)# 3 - Full multiuser mode# 4 - unused# 5 - X11# 6 - reboot (Do NOT set initdefault to this)#表示当前缺省运行级别为5(initdefault)；id:5:initdefault: Linux启动过程4747#启动时自动执行/etc/rc.d/rc.sysinit脚本# System

16、initialization.si:sysinit:/etc/rc.d/rc.sysinit rc.sysinit是一个bash shell的脚本,它主要是完成一些系统初始化的工作,rc.sysinit是每一个运行级别都要首先运行的重要脚本。它主要完成的工作有：激活交换分区,检查磁盘,加载硬件模块以及其它一些需要优先执行任务。rc.sysinit约有850多行,但是每个单一的功能还是比较简单,而且带有注释,建议大家阅读自己机器上的该文件,以了解系统初始化所详细情况。Linux启动过程4848 l0:0:wait:/etc/rc.d/rc 0l1:1:wait:/etc/rc.d/rc 1l2:

17、2:wait:/etc/rc.d/rc 2l3:3:wait:/etc/rc.d/rc 3l4:4:wait:/etc/rc.d/rc 4 l5:5:wait:/etc/rc.d/rc 5l6:6:wait:/etc/rc.d/rc 6#当运行级别为5时,以5为参数运行/etc/rc.d/rc脚本,init将等待其返回(wait)Linux启动过程4949/etc/rc.d/rc是一个Shell脚本,它接受5作为参数,去执行/etc/rc.d/rc5.d/目录下的所有的rc启动脚本/etc/rc.d/rc5.d/目录中的这些启动脚本实际上都是一些链接文件,而不是真正的rc启动脚本,真正的rc启

18、动脚本实际上都是放在/etc/rc.d/init.d/目录下。 Linux启动过程5050rc执行完毕后,返回init。这时根本系统环境已经设置好了,各种守护进程也已经启动了。init接下来会翻开6个终端,以便用户登录系统。通过按Alt+Fn(n对应1-6)可以在这6个终端中切换。在inittab中的以下6行就是定义了6个终端： 1:2345:respawn:/sbin/mingetty tty12:2345:respawn:/sbin/mingetty tty23:2345:respawn:/sbin/mingetty tty34:2345:respawn:/sbin/mingetty tt

19、y45:2345:respawn:/sbin/mingetty tty56:2345:respawn:/sbin/mingetty tty6Linux启动过程5151启动过程启动过程类似于UNIX,但在Linux中,系统运行级别是并行式的,也就是系统加载完内核和mount /文件系统之后,就会直接跳转到相应的默认运行级别。在Solaris中,采取了一种串行化的引导方式。525253二、UNIX系统原理UNIX系统开展历史UNIX系统启动过程UNIX系统结构系统框架文件系统网络效劳53UNIX系统框架5454UNIX系统框架5555UNIX系统框架5656UNIX内核结构5757UNIX文件系统

20、5858UNIX文件系统类型正规文件：（ASCII文本文件,二进制数据文件,二进制可执行文件等）目录 特殊文件(如块设备文件等）链接 （软链接、硬链接）Sockets（进程间通信时使用的特殊文件,以.sock结尾）5959UNIX文件系统的权限#ls al testdrwxr-xr-x 3 root root 1024 Sep 13 11:58 test在unix中用模式位表示文件的类型及权限通常由一列10个字符来表示,每个字符表示一个模式设置第1位:表示文件类型。d表示目录,-表示普通文件,l表示链接文件等等 每个文件和目录有三组权限,一组是文件的拥有者、一组是文件所属组的成员、一组是其他所

21、有用户。 第2-10位：表示文件权限r表示可读,w表示可写,x表示可执行。一共9位(每组3位),合起来称为模式位(mode bits) 6060UNIX系统网络效劳一些重要的文件说明/etc/inetd.conf/etc/inetd.conf决定inetd启动网络效劳时,启动哪些效劳,用什么命令启动这些效劳,以及这些效劳的相关信息 /etc/service/etc/services文件记录一些常用的接口及其所提供的效劳的对应关系。/etc/protocols/etc/protocols文件记录协议名及其端口的关系。6161UNIX系统网络效劳/etc/Rc*.d/etc/inittab定义了系

22、统缺省运行级别,系统进入新运行级别需要做什么 /etc/init.d/etc/init.d目录包含了系统的一些启动脚本6262Inetd效劳#more /etc/inetd.conf#systat stream tcp nowait root /usr/bin/ps ps -ef#系统进程监控效劳,允许远程观察进程#netstat stream tcp nowait root /usr/bin/netstat netstat -f inet#网络状态监控效劳,允许远程观察网络状态#time stream tcp6 nowait root internal#time dgram udp6 wai

23、t root internal#网络时间效劳,允许远程观察系统时间#echo stream tcp6 nowait root internal#echo dgram udp6 wait root internal#网络测试效劳,回显字符串6363Inetd效劳#name dgram udp wait root /usr/sbin/in.tnamed in.tnamed#named,DNS效劳器#telnet stream tcp6 nowait root /usr/sbin/in.telnetd in.telnetd#telnet效劳器#ftp stream tcp6 nowait root

24、/usr/sbin/in.ftpd in.ftpd -a#ftp效劳器6464/etc/servicesmore /etc/services# Network services, Internet style#tcpmux 1/tcpecho 7/tcpecho 7/udpdiscard 9/tcp sink nulldiscard 9/udp sink nullsystat 11/tcp usersdaytime 13/tcpdaytime 13/udpnetstat 15/tcp6565/etc/serviceschargen 19/tcp ttytst sourcechargen 19/

25、udp ttytst source 20/tcpftp 21/tcpssh 22/tcp # Secure Shelltelnet 23/tcpsmtp 25/tcp mailtime 37/tcp timservertime 37/udp timservername 42/udp nameserverdomain 53/udpdomain 53/tcp666667三、UNIX系统平安机制身份验证访问控制网络效劳平安备份/恢复日志系统内核平安技术6768三、UNIX系统平安机制身份验证访问控制网络效劳平安备份/恢复日志系统内核平安技术68身份验证Linux系统登录过程Linux帐号管理PAM平

26、安验证机制6969Linux系统登录过程基于用户名和口令通过终端登录Linux的过程：Init进程确保为每个终端连接（或虚拟终端）运行一个getty进程,getty进程监听对应的终端并等待用户登录Getty输出一条欢送信息（此欢送信息保存在/etc/issue文件中）,并提示用户输入用户名,接着getty激活loginlogin要求用户输入口令,并根据系统中的etc/passwd文件来检查用户名和口令的一致性假设一致,启动一个shell；否则login进程推出,进程终止Init进程注意到login进程终止,则会再次为该终端启动getty进程7070身份验证Linux系统登录过程Linux帐号管

27、理PAM平安验证机制7171Linux帐号管理口令文件/etc/passwd/etc/passwd文件用于存放用户的根本信息每个账户在该文件中有拥有一个相应的条目7272/etc/passwd举例7373/etc/passwd中条目定义登录帐号:密码域:UID:GID:用户信息:主目录:用户shell登录帐号：即用户的登录名密码域：口令被加密后的密文UID,用户ID,为0MAXINT-1之间的一个整数GID,组ID,来自/etc/group,为0MAXINT-1之间的一个整数用户信息,用于标识诸如用户的全名、位置和 号码等信息,可以不设置主目录,为用户的起始登录目录,如/home/chenxl

28、用户shell,用户登录后所用的shell路径名,如/bin/sh7474用户可以修改口令条目中的局部信息：命令passwd：更改口令命令chfn：更改第五个字段中的用户信息命令chsh：更改第七个字段,shell路径名其余的字段由系统管理员设置7575身份验证Linux系统登录过程Linux帐号管理文件PAM平安验证机制7676PAM平安验证机制Pluggable Authentication Modules目的：提供一个框架和一套编程接口,将认证工作由程序员交给管理员允许管理员在多种认证方法之间做出选择,能够改变本地认证方法而不需要重新编译与认证相关的应用程序以共享库的形式提供7777PA

29、M平安验证机制功能包括：加密口令（包括DES和其他加密算法）对用户进行资源限制,防止DOS攻击允许随意Shadow口令限制特定用户在指定时间从指定地点登录引入概念“client plug-in agents,使PAM支持C/S应用中的机器787879三、UNIX系统平安机制身份验证访问控制网络效劳平安备份/恢复日志系统内核平安技术79特权管理Linux继承了传统Unix的特权管理机制,即基于超级用户的特权管理机制。根本思想：1）普通用户没有任何特权,超级用户拥有系统内所有的特权2）当进程要进行某特权操作时,系统检查进程所代表的用户是否为超级用户,即检查进程的UID是否为03）当普通用户的某些操

30、作涉及特权操作时,通过setuid/setgid来实现缺点：容易被hacker利用从2.1版开始,Linux内核中实现了基于权能的特权管理机制8080Linux基于权限字的文件系统访问控制在Linux中,所有的活动都可以看成是主体对客体的一系列操作客体：一种信息实体,或是从其他主体/客体接受信息的实体如文件、内存、进程消息、网络包或者I/O设备主体：一个用户或者代表用户的进程,它引起信息在客体之间的流动8181Linux中自主访问控制机制的根本思想系统中每个主体都有唯一的UID,并且总是属于某一个用户组,而每个用户组有唯一的GID对客体的访问权限：r/w/x 三种。针对某客体,用户：u/g/o

31、 三种。上述信息构成一个访问控制矩阵8282setuid/setgid为维护系统的平安性,对于某些客体,普通用户不应具有某种访问权限,但是出于某些特殊需要,用户由必须能超越对这些客体的受限访问例如,对/etc/passwd文件,用户不具有写访问权限,但又必须允许用户能够修改该文件,以修改自己的密码。setuid/setgid使得代表普通用户的进程不继承用户的uid和gid,而是继承该进程所对应的应用程序文件的所有者的uid和gid,即普通用户暂时获得其他用户身份,并通过该身份访问客体838384三、UNIX系统平安机制身份验证访问控制网络效劳平安备份/恢复日志系统内核平安技术84Linux网络

32、效劳Linux的网络层次结构图8585早期的网络效劳管理程序inetd/etc/rc.d/rc.local激活inetd根据/etc/inetd.conf监听处理客户连接应当禁止不需要的效劳,降低风险8686扩展后的xinetd配置文件：/etc/xinetd.conf与前者完全不同,而且不兼容组合了以下文件/etc/inetd.conf/etc/hosts.allow/etc/hosts.deny8787系统默认使用xinetd的效劳标准internet效劳,如http,telnet,ftp等信息效劳,如finger,netstat,systat等邮件效劳,如imap,pop3,smtp等R

33、PC效劳,如rquotad,rstatd,rusersd,sprayd,walld等BSD效劳,如comsat,exec,login,ntalk,shell talk等内部效劳,如chargen,daytime,echo等平安效劳,如irc等其他,如name,tftp,uucp,wu-ftp等888889三、UNIX系统平安机制身份验证访问控制网络效劳平安备份/恢复日志系统内核平安技术89Linux备份/恢复备份技术脚本一些商业化软件备份的存储设备远程网络设备、磁带驱动器、其他可移动媒体备份单位文件（目录）驱动器映像9090Linux备份/恢复一般情况下,以下目录需要备份/etc/var/ho

34、me/root/opt一般不需备份的/proc/dev等等919192三、UNIX系统平安机制身份验证访问控制网络效劳平安备份/恢复日志系统内核平安技术92Linux日志系统记录和捕捉各种活动,包括黑客的活动系统记账连接记账：跟踪当前用户的会话、登录和退出的活动/var/log/utmp/var/log/wtmp进程记账：对进程活动的记录/var/log/pacct9393平安审计Linux系统的审计机制,根本思想：审计事件分为系统事件和内核事件系统事件由审计效劳进程syslogd来维护与管理配置文件：/etc/syslog.conf内核事件由内核审计线程klogd来维护与管理获得并记录Lin

35、ux内核信息949495三、UNIX系统平安机制身份验证访问控制网络效劳平安备份/恢复日志系统内核平安技术95Linux内核平安技术可加载的内核模块LKMLinux的内核防火墙9696可加载的内核模块LKM早期,Monolithic的缺陷混杂,各组成局部之间的界限不明显可扩展性、可剪裁性差；需要重新编译Linux 0.99,引入LKMLoadable Kernel Module内核功能动态扩充技术双刃剑威胁：内核级入侵9797Linux内核防火墙内核防火墙早期的ipfwadmIpchainsNetfilter/iptables组合9898其他平安机制口令脆弱性警告口令有效期一次性口令口令加密算

36、法影子文件帐户加锁限制性shell文件系统加载限制加密文件系统与透明加密文件系统根用户的限制平安shell防火墙入侵检测9999100四、UNIX系统平安性问题启动威胁口令破解权限提升信息窍取系统崩溃拒绝效劳其它100101五、如何加强UNIX系统平安性平安设置启动项平安设置 设置帐号平安系统效劳平安设置网络平安设置其它平安配置应用效劳平安要点系统升级平安工具101102五、如何加强UNIX系统平安性平安设置启动项平安设置 设置帐号平安系统效劳平安设置网络平安设置其它平安配置应用效劳平安要点系统升级102启动项平安设置 BIOS的平安设置 加密码LILO的平安配置设置权限# chmod 600

37、 /etc/lilo.conf/etc/lilo.conf设置为不可变#chattr+i/etc/lilo.conf 103103LILO的平安配置/etc/lilo.conf的例子 boot=/dev/hda map=/boot/map install=/boot/boot.b prompt timeout=00default=linux image=/boot/vmlinuz-2.2.12-20 label=linux root=/dev/hda1 read-only restricted password=kpAsSb0rv_f/etc/lilo.conf的例子 boot=/dev/hd

38、a map=/boot/map install=/boot/boot.b prompt timeout=00default=linux image=/boot/vmlinuz-2.2.12-20 label=linux root=/dev/hda1 read-only restricted password=kpAsSb0rv_f104104105五、如何加强UNIX系统平安性平安设置启动项平安设置 设置帐号平安系统效劳平安设置网络平安设置其它平安配置应用效劳平安要点系统升级105linux账号平安设置一个适宜的密码Root帐号平安性使root只能从console或者使用ssh登陆修改/etc

39、/securetty,去除终端ttyp0-ttyp9请使用全路径执行命令 不要允许有非root用户可写的目录存在root的路径里 禁止root用户远程登录编辑文件/etc/pam.d/login,添加/etc/pam.d/login auth required pam_securetty.so106106禁止root用户远程登录禁止root用户远程登录编辑文件/etc/pam.d/login,添加/etc/pam.d/login auth required pam_securetty.so107107linux账号平安密码长度的强制定义修改 /etc/login.defs将PASS_MIN_L

40、EN 5改为PASS_MIN_LEN 8 自动注销帐号的登录Vi /etc/profile在HIST后面参加下面这行：TMOUT=3005分钟内都没有动作,那么系统会自动注销这个账户108108linux账号平安使用PAM（可插拔认证模块）禁止任何人通过su命令改变为root#vi /etc/pam.d/su,在开头添加下面两行： auth sufficient /lib/security/pam_rootok.so auth required /lib/security/Pam_wheel.so group=wheel#usermod G10 username这说明只有“wheel组的成员可

41、以使用su命令成为root用户109109linux账号平安删除不需要的特殊的帐号 # userdel adm# userdel lp# userdel sync# userdel shutdown# userdel halt# userdel news# userdel uucp# userdel operator# userdel gopher110110linux账号平安删除不需要的特殊的组 rootkcn# groupdel admrootkcn# groupdel lprootkcn# groupdel newsrootkcn# groupdel uucprootkcn# group

42、del diprootkcn# groupdel pppusersrootkcn# groupdel popusers (delete this group if you dont use pop server for email).rootkcn# groupdel slipusers111111linux账号平安chattr命令给口令和组文件加上不可更改属性 # chattr +i /etc/passwd # chattr +i /etc/shadow # chattr +i /etc/group # chattr +i /etc/gshadow 112112113五、如何加强UNIX系统

43、平安性平安设置启动项平安设置 设置帐号平安系统效劳平安设置网络平安设置其它平安配置应用效劳平安要点系统升级113Linux系统效劳平安设置防止IP欺骗修改“/etc/host.conf文件,参加下面这行： # Lookup names via DNS first then fall back to /etc/hosts. order bind,hosts # We have machines with multiple IP addresses. multi on # Check for IP address spoofing. nospoof on 114114Linux系统效劳平安设置检查

44、 /etc/inetd.conf效劳#chmod 600 /etc/inetd.conf#chattr +i /etc/inetd.conf关闭无用的效劳取消以下效劳中不需要的： ftp, telnet, shell, login, exec, talk, ntalk, imap, pop-2, pop-3, finger, auth等115115116五、如何加强UNIX系统平安性平安设置启动项平安设置 设置帐号平安系统效劳平安设置网络平安设置其它平安配置应用效劳平安要点系统升级116IP关闭ip转发（或创立/etc/notrouter)ndd set /dev/ip ip_forwardi

45、ng 0关闭转发包播送 由于转发包播送在默认状态下是允许的,为了防止被用来实施smurf攻击,关闭这一特性。#ndd set /dev/ip ip-forward_directed_broadcasts 0关闭源路由转发ndd set /dev/ip ip_forward_src_routed 0网络平安设置117117IP关闭响应echo播送ndd set /dev/ip ip_respond_to_echo_broadcast 0关闭响应时间戳播送#ndd set /dev/ip ip_respond_to_timestamp_broadcast 0关闭地址掩码播送#ndd set /de

46、v/ip ip_respind_to_address_mask_broadcast 0#ndd set /dev/ip ip-forward_directed_broadcasts 0关闭源路由转发ndd set /dev/ip ip_forward_src_routed 0网络平安设置118118网络平安设置ICMP防止ping 在/etc/rc.d/rc.local文件中增加如下一行：echo 1/proc/sys/net/ipv4/icmp_echo_ignore_all 119119网络平安设置ARP攻击加固减少过期时间#ndd set /dev/arp arp_cleanup_int

47、erval 60000#ndd -set /dev/ip ip_ire_flush_interval 60000默认是300000毫秒（5分钟）加快过期时间,并不能防止攻击,但是使得攻击更加困难,带来的影响是在网络中会大量的出现ARP请求和回复请不要在繁忙的网络上使用。120120网络平安设置ARP攻击加固建立静态ARP编辑文件,内容如下： 08:00:20:ba:a1:f2user. 08:00:20:ee:de:1f这是一种很有效的方法,而且对系统影响不大。缺点是破坏了动态ARP协议使用arp f 加载上述文件禁止ARPifconfig interface arp 网卡不会发送ARP和接受

48、ARP包。但是使用前提是使用静态的ARP表,如果不在apr表中的计算机 ,将不能通信。121121122五、如何加强UNIX系统平安性平安设置启动项平安设置 设置帐号平安系统效劳平安设置网络平安设置其它平安配置应用效劳平安要点系统升级122Linux其它平安配置使“/etc/services文件免疫 防止未经许可的删除或添加效劳： # chattr +i /etc/services 限制root从不同的控制台进行登陆#Vi /etc/securetty在不需要登陆的TTY设备前添加“#标志123123Linux其它平安配置限制用户对系统资源的使用,防止DOS攻击编辑limits.conf文件（

49、vi /etc/security/limits.conf）参加或改变下面这些行： * hard core 0/*表示禁止创立core文件 * hard nproc 20 /*进程数限制到20 * hard rss 5000/*除root之外,其他用户都最多只能用5M内存124124Linux其它平安配置禁止Control-Alt-Delete键盘关闭命令在/etc/inittab 文件中注释掉下面这行#ca:ctrlaltdel:/sbin/shutdown -t3 -r now #/sbin/init q 使这项改动生效。给/etc/rc.d/init.d 下文件设置权限 # chmod -

50、R 700 /etc/rc.d/init.d/* 表示只有root才允许读、写、执行该目录下的script文件125125Linux其它平安配置隐藏系统信息#Vi /etc/rc.d/rc.local 在下面显示的这些行前加一个“#,把输出信息的命令注释掉。 # This will overwrite /etc/issue at every boot. So, make any changes you # want to make to /etc/issue here or you will lose them when you reboot. #echo /etc/issue #echo $

51、R /etc/issue #echo Kernel $(uname -r) on $a $(uname -m) /etc/issue # #cp -f /etc/issue /etc/ #echo /etc/issue 126126Linux其它平安配置远程Telnet防止显示系统和版本信息 #Vi /etc/inetd.conftelnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -h在最后加“-h可以使当有人登陆时只显示一个login:提示,而不显示系统欢送信息。127127Linux其它平安配置禁止ping响应在/etc/rc.d

52、/rc.local文件中增加如下一行 ：echo 1 /proc/sys/net/ipv4/icmp_echo_ignor_all 去除历史命令设置系统不记录每个人执行过的命令,就在/etc/profile里设置： HIST HISTSIZE=0 128128Linux其它平安配置禁止不使用的SUID/SGID程序查找root-owned程序中使用s位的程序： # find / -type f ( -perm -04000 -o -perm -02000 ) -exec ls -lg ; 用下面命令禁止选中的带有s位的程序： # chmod a-s program 129129Linux其它平

53、安配置设置sendmail的根本平安禁止relay禁止vrfy、expn 命令限制邮件大小 修改sendmail的欢送提示 升级版本设置DNS的根本平安配置TCP_WRAPPERS 访问列表130130131五、如何加强UNIX系统平安性平安设置启动项平安设置 设置帐号平安系统效劳平安设置网络平安设置其它平安配置应用效劳平安要点系统升级131应用效劳平安要点DNSFTPTELNETMAILWebTcp_wrapper132132Bind效劳器平安配置根本平安配置Bind效劳器的访问控制133133Bind效劳器平安配置根本平安配置隐藏版本信息在options节中增加自定义的BIND版本信息,可

54、隐藏BIND效劳器的真正版本号。例如：versionWhoknows?; /version9.9.9; 此时如果通过DNS效劳查询BIND版本号时,返回的信息就是Whoknows?。 134134Bind效劳器平安配置根本平安配置named进程启动选项-r：关闭域名效劳器的递归查询功能（缺省为翻开）。该选项可在配置文件的options中使用recursion选项覆盖。-u 和-g ：定义域名效劳器运行时所使用的UID和GID,这用于丢弃启动时所需要的root特权。 135135Bind效劳器平安配置Bind效劳器的访问控制:限制查询限制区域传输关闭递归查询136136Bind效劳器平安配置/e

55、tc/named.confoptions directory “/var/named; allow-query /24; /限制查询 allow-transfer ; /24; /限制区域传输 recursion no; /关闭递归查询 ; ;137137Ftp平安要点用限制ftp用户文件包含了所有在password文件中存在,但不允许登陆系统ftp的用户名称。建议关闭匿名FTP模式FTP效劳暴露系统敏感信息 编辑/etc/default/ftpd文件,在文件中的加进以下一项BANNER=XXXX(XXXX可以任意改变为任何一个版本信息)将该系统版本信息屏蔽. 用SCP代替ftp138138T

56、ELNET改变TELNET登录的提示编辑/etc/motd文件防止显示系统和版本信息编辑/etc/inetd.conf文件：telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -h 加-h表示telnet不显示系统信息。推荐使用ssh代替不平安的telnet139139Sendmail平安配置关掉expn和vrfy命令修改文件/etc/sendmail.cf,将OPrivacyOptions=authwarnings改为OPrivacyOptions=authwarnings,novrfy,noexpn /etc/aliases的权限

57、设为644 #Chmod 644 /etc/aliases从/etc/aliases里删除decode别名140140Sendmail平安配置限制可以审核邮件队列内容的人通常情况下,任何人都可以使用mailq命令来查看邮件队列的内容。 #vi/etc/sendmail.cf将OPrivacyOptions=authwarnings,noexpn,novrfy改为：OPrivacyOptions=authwarnings,noexpn,novrfy,restrictmailq 关闭open relay 141141Sendmail平安配置重要的sendmail文件设置不可更改位 #chattr+i/etc/sendmail.cf#chattr+i/etc/sendmail.cw #chattr+i/etc/sendmail.mc#chat