选讲-linux服务器操作系统安全相关_第1页
选讲-linux服务器操作系统安全相关_第2页
选讲-linux服务器操作系统安全相关_第3页
选讲-linux服务器操作系统安全相关_第4页
选讲-linux服务器操作系统安全相关_第5页
已阅读5页,还剩40页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

Linux服务器操作系统安全相关目标:了解系统安全风险了解 方式和方法了解如何防范风险:系统宕机:窃取数据:数据修改及破坏:安装

:宣传和金融影响:系统安全:系统 包括:针对系统系统可用性的攻击未的用户不合适的使用危害产生的原因利用错误的

利用协议的缺陷利用信任关系配置按攻击方法分类本地权限服务获得最高权限获得权限获得普通权

本地权限提升DOSDDOS程序设计缺陷行为分类服务可用性::Denial

of

Service(DoS)利用服务bug使其其支撑的服务网络带宽、主机内存等)其计算机(如DDoS(DISTRIBUTED

DoS)预防及时更新服务状态网络状态信息泄漏:服务信息泄漏:Banner信息(

及版本信息)配置信息及参数信息如

net在登录前会有/etc/信息露出的主机或者用户信息的泄漏,如showmount会泄漏NFS信息及FTP的STAT命令会泄漏配置信息可用的其他资源验证和

:安全的服务需要验证客户端的进入:弱认证及凭证捕获,s或-利用sniffer来获取clear-text用户名和票单导致出现错误认证及缺陷利用弱验证很容易哄骗系统输入验证

::利用服务输入验证的bug进行如输入框不进行安全校验及执行处理缓冲区溢出

:输入大size的数据,服务将此数据放入缓冲区时造成溢出,进而使程序

。更好的方式是覆盖执行堆栈,进而使程序运行任意代码。格式字符串

:如注入预防:代码审计最小权限运行程序限制程序数量限制客户端

服务网络的安全性:中间人数据注入Session劫持认证和加密数据以保护数据的完整性及性对称加密:DES,AES,BLOWFISH,ETC.Hash:crc-32,md5,sha-1,etc.非对称加密:RSA,EIGamal安全网络认证系统kerberos交换机的安全MAC

FloodingMAC

DuplicationARP

Redirection的计划-分不同阶段:获取目标系统会尽可能多的获取,如环境信息等如采用主动扫描及间接获取分析获取的信息,确定哪些信息具备安全缺陷(

)发现缺陷后,获取缺陷的 权限设置陷阱,获取root权限或者控制通信等删除记录,安装后门踩点扫描清除日志隐藏&后门扩大战果发掘阶段拓展阶段阶段勘查阶段踩点扫描清除日志隐藏&后门扩大战果通过nmap.SSS等扫描器扫描

。利用所取得的权限清除日志,种植木马。通过某个服务的,溢出取得权限。通过

net

80端口等形式查询信息,定位目标隐藏&后门一个简单的rootkit:PS1、mv

ps

psbak2、cat>ps#!/bin/shpsbak

$1|grep

-v

sniff|grep

-v

grep|grep

-v

psbak|gawk'{gsub(/sh

\/bin\//,

"",$0);print}‘[ctrl+d]3、

od

755

ps扩大战果使用john使用Sniff类安装Dos器捕获敏感数据其他主机利用此服务器的信任关系进行内网攻击蠕虫和最小安装、关闭非要服务控制和审计保持

的安全更新敏感信息Why(技术层面)踩点隐藏&后门扫描扩大战果清除日志安全管理工作高危端口及服务定义服务器安全检查规范服务器安全配置规范安全管理工作技术问题实际应用的复杂性易用性与安全性整合回退方案工具准备对业务应用熟悉工程问题时间进度安排分布实施及实施决策筛选应急备案防护机制一定要有一套防护策略:检测验证和评估入侵

后恢复报告策略执行的文档防护方法安全补丁更新敏感信息保护最小化安全原则控制防DOS配置完整性检验日志 和保护LINUX自身的防护机制防护:Netfilter-低水平防护,只看包头信息Proxy-高水平防护,可验证发送者、用户验证、协议、内容等等。本地

滤TCP

WrappersXinetdPAMSecurity

Enhanced

Linux服务自身的安全配置程序加强(如使用java、.net环境等)TCP

Wrappers

and

xinetdTCP

Wrappers适用于:Daemon

list:client

list:ALLOW|DENYDaemon

list:client

list:severity

[fac].priLog

connectionslibwrap.so的服务Daemon

list:client

list:spawn|twist

command在子程序中执行命令或服务被命令替换Daemon

list:client

list:banners

directory设置bannerXinetd:控制在其only_from

=

host_patternno_access

=

host_patternaccess_time=<time

range>bind

=<ip

address>下的服务cps

=

<connetction/sec>

<waitperiod>per_source=<connections>Flags:INTERCEP

SORPAM

and

SELinux验证用户是否可针对独立的服务服务控制

时间、使用限制、位置限制等SELinux建立服务的规则防止系统被攻破要有相关的凭证才能

服务相当于服务运行在一个jail环境中,服务只可定的资源特敏感信息保护banner信息&版本信息删除默认帐户删除默认保护敏感信息最小化安全原则关闭不必要的服务&包包最小化安全母盘模式自行定制安装系统时使用进行包管理不安装X相关的不安装GAME不安装不使用的开发工具服务最小化安装时采取白 仅安装需要套件通过netstat

-anp检查开放端口进行验证端口扫描,并根据公司高危端口相关规定检测外部风险滤设置通过绑定内网通过IPTABLES进行开启SELinux最小化准则设置

控制控制odSetuid&Setgidumaskchattr设置

控制控制od有写权限。其他人对root可能运行的Setuid&Setgid去除所有不必要的S位程序。Umask最小化权限回收ChattrChattr设置隐蔽的

控制规则防DoS防DOS配置专业网络设备网络上ACL主机TCP/IP栈调整防DoS开启LINUX自带syn-flood抵御机制进行防护。secho

1

>

/proc/sys/net/ipv4/tcp_syn使用tcp_bic算法echo

1

>

/proc/sys/net/ipv4/tcp_bic设置开始建立一个tcp会话时,重试发送syn+ack连接请求包的次数echo

3

>/proc/sys/net/ipv4/tcp_synack_retries增大默认队列连接数sysctl

–w

net.ipv4.tcp_max_syn_backlog=1280状态机参数echo

365536 >

/proc/sys/net/ipv4/ip_conntrack_maxsysctl

-wfilter.ip_conntrack_tcp_timeout_syn_recv=13sysctl

-wfilter.ip_conntrack_tcp_timeout_fin_wait=60sysctl

-wfilter.ip_conntrack_tcp_timeout_time_wait=60防DoS开启SYN-sydctl

–w

net.ipv4.tcp_syn_

s=1设置开始建立一个tcp会话时,重试发送syn连接请求包的次数echo

3

>

/proc/sys/net/ipv4/tcp_syn_retries放置IP路由

转发echo

1

>

/proc/sys/net/ipv4/conf/all/rp_filterecho

1

>/proc/sys/net/ipv4/conf/default/rp_filter等待对方FIN包的超时时间echo

30

>

/proc/sys/net/ipv4/tcp_fin_timeout内存中保持IP片断的时间echo

15 >

/proc/sys/net/ipv4/ipfrag_time遭遇DOS时不允许 被DOS主机echo

1

>/proc/sys/net/ipv4/icmp_echo_ignore_all能够更快地回收TIME-WAIT套接字。Slackware默认是0。建议为1——开启echo

1

>/proc/sys/net/ipv4/tcp_tw_recycle完整性检验完整性检验TripwareAide自己的简单checksum日志 和保护日志

和保护日志 和保护Linux系统的日志文件/var/log/wtmp/var/log/debug*/var/log/dmesg*/var/log/messages*/var/log/secure*/var/log/syslog*对日志文件的保护Chattr+ai

日志文件(wtmp不可)Syslog

日志文件传送检测内容:日志网络交通开放的端口文件的修改检测日志:日志要同时记录在本机和

服务器

服务器)日志要使用logwatch每天分析一次Logwatch的结果要配置为被发送到一个单独的系统观察服务的异常检测网络交通:检测系统IDS使用那个iptables来记录可疑尝试使用工具:tcpdump、wireshark来抓包建个蜜罐检测开放端口或文件:NetstatNmapNethogsSsAtopSnortLsof

fuserRoot

kit

detectors检测检测修改的文件:md5sumCmpAideRpmPrelink

问题检测的系统:评估和验证被在一个安全的环境下工作救援模式使用信任的系统Live

cd将可疑块设备做成image来分析进行完整性检查检测和击败后门完善inbound、outbound经常性检测端口和文件规则:网络:tcpdump、snort、atop等打开文件:lsof

fuser检测和击败Root

Kits检测混杂模式的网络接口:经常性检测可疑文件和

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论