版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
Linux服务器操作系统安全相关目标:了解系统安全风险了解 方式和方法了解如何防范风险:系统宕机:窃取数据:数据修改及破坏:安装
:宣传和金融影响:系统安全:系统 包括:针对系统系统可用性的攻击未的用户不合适的使用危害产生的原因利用错误的
利用协议的缺陷利用信任关系配置按攻击方法分类本地权限服务获得最高权限获得权限获得普通权
本地权限提升DOSDDOS程序设计缺陷行为分类服务可用性::Denial
of
Service(DoS)利用服务bug使其其支撑的服务网络带宽、主机内存等)其计算机(如DDoS(DISTRIBUTED
DoS)预防及时更新服务状态网络状态信息泄漏:服务信息泄漏:Banner信息(
及版本信息)配置信息及参数信息如
net在登录前会有/etc/信息露出的主机或者用户信息的泄漏,如showmount会泄漏NFS信息及FTP的STAT命令会泄漏配置信息可用的其他资源验证和
:安全的服务需要验证客户端的进入:弱认证及凭证捕获,s或-利用sniffer来获取clear-text用户名和票单导致出现错误认证及缺陷利用弱验证很容易哄骗系统输入验证
::利用服务输入验证的bug进行如输入框不进行安全校验及执行处理缓冲区溢出
:输入大size的数据,服务将此数据放入缓冲区时造成溢出,进而使程序
。更好的方式是覆盖执行堆栈,进而使程序运行任意代码。格式字符串
:如注入预防:代码审计最小权限运行程序限制程序数量限制客户端
服务网络的安全性:中间人数据注入Session劫持认证和加密数据以保护数据的完整性及性对称加密:DES,AES,BLOWFISH,ETC.Hash:crc-32,md5,sha-1,etc.非对称加密:RSA,EIGamal安全网络认证系统kerberos交换机的安全MAC
FloodingMAC
DuplicationARP
Redirection的计划-分不同阶段:获取目标系统会尽可能多的获取,如环境信息等如采用主动扫描及间接获取分析获取的信息,确定哪些信息具备安全缺陷(
)发现缺陷后,获取缺陷的 权限设置陷阱,获取root权限或者控制通信等删除记录,安装后门踩点扫描清除日志隐藏&后门扩大战果发掘阶段拓展阶段阶段勘查阶段踩点扫描清除日志隐藏&后门扩大战果通过nmap.SSS等扫描器扫描
。利用所取得的权限清除日志,种植木马。通过某个服务的,溢出取得权限。通过
net
80端口等形式查询信息,定位目标隐藏&后门一个简单的rootkit:PS1、mv
ps
psbak2、cat>ps#!/bin/shpsbak
$1|grep
-v
sniff|grep
-v
grep|grep
-v
psbak|gawk'{gsub(/sh
\/bin\//,
"",$0);print}‘[ctrl+d]3、
od
755
ps扩大战果使用john使用Sniff类安装Dos器捕获敏感数据其他主机利用此服务器的信任关系进行内网攻击蠕虫和最小安装、关闭非要服务控制和审计保持
的安全更新敏感信息Why(技术层面)踩点隐藏&后门扫描扩大战果清除日志安全管理工作高危端口及服务定义服务器安全检查规范服务器安全配置规范安全管理工作技术问题实际应用的复杂性易用性与安全性整合回退方案工具准备对业务应用熟悉工程问题时间进度安排分布实施及实施决策筛选应急备案防护机制一定要有一套防护策略:检测验证和评估入侵
后恢复报告策略执行的文档防护方法安全补丁更新敏感信息保护最小化安全原则控制防DOS配置完整性检验日志 和保护LINUX自身的防护机制防护:Netfilter-低水平防护,只看包头信息Proxy-高水平防护,可验证发送者、用户验证、协议、内容等等。本地
滤TCP
WrappersXinetdPAMSecurity
Enhanced
Linux服务自身的安全配置程序加强(如使用java、.net环境等)TCP
Wrappers
and
xinetdTCP
Wrappers适用于:Daemon
list:client
list:ALLOW|DENYDaemon
list:client
list:severity
[fac].priLog
connectionslibwrap.so的服务Daemon
list:client
list:spawn|twist
command在子程序中执行命令或服务被命令替换Daemon
list:client
list:banners
directory设置bannerXinetd:控制在其only_from
=
host_patternno_access
=
host_patternaccess_time=<time
range>bind
=<ip
address>下的服务cps
=
<connetction/sec>
<waitperiod>per_source=<connections>Flags:INTERCEP
SORPAM
and
SELinux验证用户是否可针对独立的服务服务控制
时间、使用限制、位置限制等SELinux建立服务的规则防止系统被攻破要有相关的凭证才能
服务相当于服务运行在一个jail环境中,服务只可定的资源特敏感信息保护banner信息&版本信息删除默认帐户删除默认保护敏感信息最小化安全原则关闭不必要的服务&包包最小化安全母盘模式自行定制安装系统时使用进行包管理不安装X相关的不安装GAME不安装不使用的开发工具服务最小化安装时采取白 仅安装需要套件通过netstat
-anp检查开放端口进行验证端口扫描,并根据公司高危端口相关规定检测外部风险滤设置通过绑定内网通过IPTABLES进行开启SELinux最小化准则设置
控制控制odSetuid&Setgidumaskchattr设置
控制控制od有写权限。其他人对root可能运行的Setuid&Setgid去除所有不必要的S位程序。Umask最小化权限回收ChattrChattr设置隐蔽的
控制规则防DoS防DOS配置专业网络设备网络上ACL主机TCP/IP栈调整防DoS开启LINUX自带syn-flood抵御机制进行防护。secho
1
>
/proc/sys/net/ipv4/tcp_syn使用tcp_bic算法echo
1
>
/proc/sys/net/ipv4/tcp_bic设置开始建立一个tcp会话时,重试发送syn+ack连接请求包的次数echo
3
>/proc/sys/net/ipv4/tcp_synack_retries增大默认队列连接数sysctl
–w
net.ipv4.tcp_max_syn_backlog=1280状态机参数echo
365536 >
/proc/sys/net/ipv4/ip_conntrack_maxsysctl
-wfilter.ip_conntrack_tcp_timeout_syn_recv=13sysctl
-wfilter.ip_conntrack_tcp_timeout_fin_wait=60sysctl
-wfilter.ip_conntrack_tcp_timeout_time_wait=60防DoS开启SYN-sydctl
–w
net.ipv4.tcp_syn_
s=1设置开始建立一个tcp会话时,重试发送syn连接请求包的次数echo
3
>
/proc/sys/net/ipv4/tcp_syn_retries放置IP路由
转发echo
1
>
/proc/sys/net/ipv4/conf/all/rp_filterecho
1
>/proc/sys/net/ipv4/conf/default/rp_filter等待对方FIN包的超时时间echo
30
>
/proc/sys/net/ipv4/tcp_fin_timeout内存中保持IP片断的时间echo
15 >
/proc/sys/net/ipv4/ipfrag_time遭遇DOS时不允许 被DOS主机echo
1
>/proc/sys/net/ipv4/icmp_echo_ignore_all能够更快地回收TIME-WAIT套接字。Slackware默认是0。建议为1——开启echo
1
>/proc/sys/net/ipv4/tcp_tw_recycle完整性检验完整性检验TripwareAide自己的简单checksum日志 和保护日志
和保护日志 和保护Linux系统的日志文件/var/log/wtmp/var/log/debug*/var/log/dmesg*/var/log/messages*/var/log/secure*/var/log/syslog*对日志文件的保护Chattr+ai
日志文件(wtmp不可)Syslog
日志文件传送检测内容:日志网络交通开放的端口文件的修改检测日志:日志要同时记录在本机和
服务器
服务器)日志要使用logwatch每天分析一次Logwatch的结果要配置为被发送到一个单独的系统观察服务的异常检测网络交通:检测系统IDS使用那个iptables来记录可疑尝试使用工具:tcpdump、wireshark来抓包建个蜜罐检测开放端口或文件:NetstatNmapNethogsSsAtopSnortLsof
fuserRoot
kit
detectors检测检测修改的文件:md5sumCmpAideRpmPrelink
问题检测的系统:评估和验证被在一个安全的环境下工作救援模式使用信任的系统Live
cd将可疑块设备做成image来分析进行完整性检查检测和击败后门完善inbound、outbound经常性检测端口和文件规则:网络:tcpdump、snort、atop等打开文件:lsof
fuser检测和击败Root
Kits检测混杂模式的网络接口:经常性检测可疑文件和
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 大班颜色变变变课件
- 会计数据分析 Solutions-Manual Chapter-8-EOC-Solutions-Manual-update
- 2024届陕西省西安电子科技大附中高三第一次模拟联考数学试题
- 山东省枣庄市台儿庄区2023-2024学年七年级上学期第一次月考数学试卷(含答案)
- 脑筋急转弯及答案爆笑版
- 5年中考3年模拟试卷初中道德与法治八年级下册03第3课时国家行政机关
- 病媒生物防制工作计划
- 建筑工地车辆运输合同7篇
- 五年级下册9课的教育课件
- (统考版)2023版高考化学一轮复习课时作业11氯及其化合物卤素
- 高考语文诗歌专题鉴赏之比较类诗歌鉴赏 课件24张
- 对边境立体化防控体系建设的几点思考
- 特种设备风险分级管控清单(叉车)
- FANUC伺服电机中文参数说明
- JJG 1044-2008 卡尔·费休库仑法微量水分测定仪检定规程-(高清现行)
- 翰文平面图绘制系统教学教程
- 人教版三年级数学上册全单元测试题
- 初中语文 统编版 九年级上册 第22课《范进中举》 课件
- 最新:儿童肾输尿管重复畸形诊治专家共识(最全版)
- 医院护理质量管理委员会成员、职责、制度
- 北师大版四年级数学上册运算律复习课件ppt
评论
0/150
提交评论