安全协议与标准bLinux安全NCSE讲义

安全协议与标准2008,11强化Linux安全

第1节Linux系统综述 ↓第2节Linux发行版的通用命令 ↓第3节Linux文件系统安全性 ↓A

↓B第4节Linux帐号安全性 ↓第5节Linux的安全配置文件 ↓第6节NFS和NIS安全 ↓第7节典型应用层服务 ↓第8节Linux安全性的评估 ↓第1节Linux系统综述Linux纵览Linux内核Linux的特性Linux与其他操作系统的区别典型应用层服务LinuxLinux的出现，最早开始于一位名叫LinusTorvalds的计算机业余爱好者，当时他是芬兰赫尔辛基大学的学生。Linux以它的高效性和灵活性著称。它能够在PC计算机上实现全部的Unix特性，具有多任务、多用户的能力。Linux是一套Free免费使用和自由传播的类Unix操作系统。thepenguin,theLinuxmascotUnix/Linux发展脉络Redhat9RedhatAS4RedhatAS5Debian6Fedora10PreviewUbuntu8.04Solaris9LinuxLinux之所所以以受受到到重重视视，，主主要要原原因因它具具有有Unix的全全部部功功能能，任任何何使使用用Unix操作作系系统统或或想想要要学学习习Unix操作作系系统统的的人人都都可可以以从从Linux中获获益益。。它属属于于自由由软软件件，用用户户不不用用支支付付任任何何费费用用就就可可以以获获得得它它和和它它的的源源代代码码，，并并且且可可以以根根据据自自己己的的需需要要对对它它进进行行必必要要的的修修改改，，无无偿偿对对它它使使用用，，无无约约束束地地继继续续传传播播。。UNIX,GNU,Linux关键键人人物物及及贡贡献献KenThompson,DennisRitchieUNIX；；60年代代末末BrianKernighan,DennisRitchieTheCProgrammingLanguage70年代末末RichardStallmanFSF，GNU，GPL，emacs，gcc80年代中中AndrewS.TanenbaumMINIX:DesignandImplementation80/90LinusTorvaldsLinux；90年代EricRaymond《黑客文文化简简史》》，《《如何何成为为一名名黑客客》，，《大教教堂和和市集集》，，《开开拓智智域》》，《《魔法法大锅锅炉》》自由软软件领领袖RichardStallmanEricRaymondLinuxLinux操作系系统软软件包包不仅仅包括括完整整的Linux操作系系统，，而且且还包包括了了文本本编辑器器、高级级语言言编译器器等应用用软件件还包括括带有有多个个窗口管管理器器的X-Windows图形用用户界界面，，如同同我们们使用用WindowsNT一样，，允许许我们们使用用窗口口、图图标和和菜单单对系系统进进行操操作丰富的的应用软软件Linux纵览Linux可以分分为四四个主主要部部分Linux内核函数库库Shell和工具具应用程程序0Kernel1文件结结构库库，库库函数数2Shell3ApplicationsLinux纵览Linux内核Linux系统的的内核核（Kernel）,它提供供了对对硬件件的统统一接接口内核是是在引引导时时装入入的程程序内核识识别硬硬件；；初始化化启动动脚本本，并并且运运行网网络和和终端端守护护程序序当启动动完毕毕之后后，内内核又又成为为访问硬硬件的通路路，用用来提提供用用户层层程序序和硬硬件之之间的的接口口Linux内核的的功能能进程调调度进程间间通信信管理内内存I/O驱动initinit/etc/inittab#ps-A|grepinitLinuxShellShell是系统统的用用户界界面，，提供供了用用户与与内核核进行行交互互操作作的一一种接接口它接收收用户户输入入的命命令并并把它它送入入内核核去执执行#cat/etc/passwd|greprootshell内核执行Shell的多种种版本本Shell也有多多种不不同的的版本本。目目前主主要有有下列列版本本的ShellBourneShell：：是贝尔实实验室开开发的BASH：是GNU的BourneAgainShell，，是GNU操作系统统上默认认的shellKornShell：是对BourneSHell的发展，，在大部部分内容容上与BourneShell兼容CShell：是SUN公司Shell的BSD版本Linux文件结构构文件结构构是文件件存放在在磁盘等等存储设设备上的的组织方方法。主主要体现现在对文文件和目目录的组组织上。。目录提提供了管管理文件件的一个个方便而而有效的的途径Linux目录采用用多级树树形结构构。LinuxHierarchicalFileSystem使用Linux，用户可以以设置目目录和文文件的权权限，以以便允许许或拒绝绝其他人人对其进进行访问问用户可以以浏览整整个系统统，可以以进入任任何一个个已授权权进入的的目录，，访问那那里的文文件。#cd/#tree#ls-lLinux实用工具具标准的Linux系统都有有一套叫叫做实用用工具的的程序，，它们是是专门的的程序，，实用用工具可可分三类类：用于编辑辑文件用于接收收数据并并过滤数数据允许用户户发送信信息或接接收来自自其他用用户的信信息编辑器过滤器交互程序序内核的版版本号内核的版版本号分分为三部部分（以以为例）主版本号号：此内内核是2。它表表明对内内核的重重大改进进，很少少改变次版本号号：此内内核是6。它表明明内核的的稳定性性。偶数号（（如0、、2、4等）的的内核是是稳定的的产品版版本。而而奇数号号(如1、3、、5等)的内核核是处于于开发过过程中的的内核，，一般包包含着最最近开发发的试验验性代码码，它不不太稳定定，有时时可能包包含着致致命的错错误。修订号：：此内核核是27。它表明明这一发发布版本本的增补补级Linux版本经历历主要版本本0.0191.87.5k0.0291.100.99/Slackware93.111.094.3158kAlpha版95.62.096.7649k2.299.11536k2.401.12888k2.603.124200k+2.6.2708.1010000k311.7图示代码规模模：指数数增长版本更新新时间区区间内核介绍绍内核源文文件linux-.tar.bz2编译内核核#makemenuconfig#make#makemodules_install#makeinstall#rebootWheretogetLinux特性Linux主要特性性可靠的系统安全开放性

多任务

丰富的网络功能

多用户

Linux主要特性良好的可移植性

良好的用户界面

设备独立性

Linux与其他操操作系统统的区别别Linux与MS－DOS之间的区区别Linux与OS/2之间的区区别Linux与Windows之间的区区别Linux与WindowsNT之间的区区别Linux优势Linux从Unix社团获益益Linux是Free/Open的Linux的成本优优势Linux主要发行行版Redflag4第2节Linux发行版的的通用命命令Linux系统管理理命令Linux与用户有有关的命命令Linux常用命令令Linux系统管理理命令wall命令这个命令令的功能能是对全全部已登登录的用用户发送送信息用户可以以先把要要发送的的信息写写好存入入一个文文件中，，然后输输入#wall<文件名“<”表示输入入重定向向Linux系统管理理命令write命令write命令的功功能是向向系统中中某一个个用户发发送信息息。该命令的的一般格格式为：：#write用户帐号号[终终端名称称]希望退出出发送状状态时，，按组合合键<Ctrl+c>即可。另一个：：talkLinux系统管理理命令mesg指令mesg命令设定定是否允允许其他他用户用用write命令给自自己发送送信息。。如果允许许别人给给自己发发送信息息，输入入命令：：#mesgy否则，输输入：#mesgnLinux系统管理理命令sync命令,关闭Linux系统时使使用的。。因为Linux系统，在在内存中中缓存了了许多数数据，在在关闭系系统时需需要进行行内存数数据与硬硬盘数据据的同步步校验，，保证硬硬盘数据据在关闭闭系统时时是最新新的，只只有这样样才能确确保数据据不会丢丢失。一一般正常常的关闭闭系统的的过程是是自动进进行这些些工作的的，在系系统运行行过程中中也会定定时做这这些工作作，不需需要用户户干预。。sync命令是强制把把内存中的数数据写回硬盘盘，以免数据据的丢失。Linux系统管理命令令shutdown命令，关闭或或重启Linux系统。shutdown[选项][时时间][警警告信息]命令中各选项项的含义为-k并不真正关机机。而只是发发出警告信息息给所有用户户-r关机后立即重重新启动-h关机后不重新新启动-f快速关机。重重启动时跳过过fsck-n快速关机。不不经过init程序-c取消一个已经经运行的shutdown该命令只能由由超级用户使使用poweroff,rebootpoweroffrebootCTL+ALT+DELLinux系统管理命令令free命令的功能是查看看当前系统内内存的使用情情况，它显示示系统中剩余余及已用的物物理内存和交交换内存，以以及共享内存存和被核心使使用的缓冲区区该命令的一般般格式为：free[-b|-k|-m]命令中各选选项的含义义如下-b以字节为单单位显示-k以K字节为单位位显示-m以兆字节为为单位显示示Linux系统管理命命令uptime命令uptime命令显示系统统已经运行了了多长时间它依次显示下下列信息现在时间系统已经运行行了多长时间间目前有多少登登录用户系统在过去的的1分钟、5分钟和15分钟内的平平均负载Linux与用户有关的的命令#who#whoamI#wLinux与用户有关的的命令passwd命令Linux系统中的每一一个用户除了了有其用户名名外，还有其其对应的用户户口令。因此此需使用passwd命令为每一位位新增加的用用户设置口令令用户以后还可可以随时用passwd命令改变自己己的口令只有超级用户户可以使用“passwd用户名”修改其他用户户的口令，普普通用户只能能用不带参数数的passwd命令修改自己己的口令mkpasswddebian5:~#makepasswd--count10wx5d7aNL459PTXxu1DS2tAvgP802aPb9gMjxQUXa7AvUtH6yigxb3Kp9rpUav4fGKJm69Linux与用户有关的的命令su命令（switchuser）它可以让一个个普通用户拥拥有超级用户户或其他用户户的权限，也也可以让超级级用户以普通通用户的身份份做一些事情情普通用户使用用这个命令时时必须有超级级用户或其他他用户的口令令输入exit离开当前用户户的身份Linux与用户有关的的命令su命令该命令的一般般形式为：su[选项][?][使用者帐号]C执行一个命令令后就结束-加了这个个减号的目的的是使环境变变量和欲转换换的用户相同同m保留环境变量量不变#suroot-c’cat/etc/shadow’sudo命令Linux常用命令ifconfig网络配置命命令Linux无论是自动动安装还是是手工安装装，Linux都会向用户户询问有关关网络的问问题并配置置相关的软软件用于配置网网卡的基本本命令为ifconfigifconfig#ifconfig#ifconfigeth0up#ifconfigeth0down#ifconfigeth0192.168.?.?#ifconfigeth0:1192.168.?.?#ifconfigeth0ether?:?:?:?:?:?#ifconfigeth0promisc#tcpdumpetc#ifupeth0#ifdowneth0arp,ping,traceroute,netstat,……管理后台服服务不安装/卸载/关闭服务（inredhat）＃setup＃servicestart/stop?＃ntsysv进程管理相相关命令（（一）ps命令查看系统运运行的进程程#psauxwa表示显示系系统中所有有用户的进进程u表示输出进进程用户所所属信息x表示也显示示没有控制制台的进程程若显示行太太长而被截截断则可以以使用f参数pstree进程管理相相关命令（（二）netstat命令用来查看系系统监听的的服务#netstat-lnl表示显示当当前系统监监听的端口口信息n表示端口按按照端口号号来显示，，而不转换换为service文件中定义义的端口名名若希望了解解各个端口口都是由哪哪些进程监监听则可以以使用p参数进程管理相相关命令（（三）top命令用来查看当当前系统使使用情况kill＃kill＃kill-9＃killall＃renicelsoflsofisacommandmeaning"listopenfiles",whichisusedinmanyUnix-likesystemstoreportalistofallopenfilesandtheprocessesthatopenedthem.ThisopensourceutilitywasdevelopedandsupportedbyVicAbell,theretiredAssociateDirectorofthePurdueUniversityComputingCenter.ItworksinandsupportsseveralUNIXflavors.Openfilesinthesystemincludediskfiles,pipes,networksocketsanddevicesopenedbyallprocesses.Oneuseforthiscommandiswhenadiskcannotbeunmountedbecause(unspecified)filesareinuse.Thelistingofopenfilescanbeconsulted(suitablyfilteredifnecessary)toidentifytheprocessthatisusingthefiles.第3节ALinux文件系统安安全性Linux文件系统基基础Linux文件件系系统统安安全全性性↓Linux文件件系系统统基基础础Linux的树树型型结结构构Linux下一一些些主主要要目目录录的的功功用用（（一一））/bin二进进制制可可执执行行命命令令/dev设备备特特殊殊文文件件/etc系统统管管理理和和配配置置文文件件/etc/rc.d启动的配置文文件和脚本/home用户主目录的的基点，比如如用户user的主目录就是是/home/user，可以用~user表示/lib标准程序设计计库，又叫动动态链接共享享库，作用类类似windows里的.dll文件/sbin系统管理命令令，这里存放放的是系统管管理员使用的的管理程序Linux下一些主要目目录的功用（（二）/tmp公用的临时文文件存储点/root系统管理员的的主目录/mnt系统提供这个个目录是让用用户临时挂载载其他的文件件系统。/lost+found系统非正常关关机而留下的的文件/proc虚拟的目录，，是系统内存存的映射。可可直接访问这这个目录来获获取系统信息息。/var某些大文件的的溢出区，比比方说各种服服务的日志文文件Linux下一些主要目目录的功用（（三）/usr最庞大的目录录，要用到的的应用程序和和文件几乎都都在这个目录录。其中包含含：/usr/X11R6存放Xwindow的目录/usr/bin众多的应用程程序/usr/sbin超级用户的一一些管理程序序/usr/doclinux文档/usr/includelinux下开发发和编编译应应用程程序所所需要要的头头文件件/usr/lib常用的的动态态链接接库和和软件件包的的配置置文件件Linux下一些些主要要目录录的功功用（（四））/usr/man帮助文文档/usr/src源代码码，linux内核的的源代代码就就放在在/usr/src/linux里/usr/local/bin本地增增加的的命令令/usr/local/lib本地增增加的的库Linux文件系系统文件系系统指指文件件存在在的物物理空空间及及其逻逻辑结结构。。Linux系统中中每个个分区区都是是一个个文件件系统统，都都有自自己的的目录录层次次结构构。linux会将这这些分分属不不同分分区的的、单单独的的文件件系统统按一一定的的方式式形成成一个个系统统的总总的目目录层层次结结构。。Filelinks＃ln＃ln-sLinux系统分分区硬盘的的分区区主要要分为为基本分分区（（PrimaryPartion）扩充分分区(ExtensionPartion)基本分分区和和扩充充分区区的数数目之之和不能能大于于四个个基本分分区扩充分区区基本分区区基本分区区安装时的的分区可以将Linux安装在一一个或多多个类型型为‘Linuxnative’的硬盘分分区.还还需要要一个交换(swap)分区,这这个分分区的类类型是‘Linuxswap’.就是说安安装Linux至少需要要两个硬硬盘分区区。一个或多多个'Linuxnative'类型的分分区一个'Linuxswap'类型的分分区分区命名名规则Linux通过字母母和数字字的组合合来标识识硬盘分分区,归归纳如如下前两个字字母--分分区名的的前两个个字母表表明分区区所在设设备的类类型.您您将通通常看到到hd(指IDE硬盘),或sd(指SCSI硬盘)下一个字字母--这这个字母母表明分分区在哪哪个设备备.例例如,/dev/hda(第一个IDE硬盘)或或/dev/sdb(第二个SCSI硬盘)数字--代代表分区区.前前四个分分区(主主分区或或扩展分分区)用用数字1到4表示.逻辑辑分区从从5开始始.例如,/dev/hda3第一个IDE硬盘上的的第三个个主分区区或扩展展分区;/dev/sdb6是第二个个SCSI硬盘上的的第二个个逻辑分分区常用的分分区配置置一个根分分区--根根分区是是/(root)所在地，，保存内内核和有有关文件件。这个个分区不不需要很很大。需需要注意意的是要要选择Linux本身作为为这个根根分区的的分区类类型。一个boot分区--存存放内核核等启动动文件一个/usr分区--/usr是RedHatLinux系统的许多多软件的所所在的地方方，根据交交换安装的的包的数量量确定一个/home分区--这是用用户的home目录所在地地；它的大大小取决于于系统有多多少用户,以及这这些用户将将存放多少少数据一个交换分分区--交换分分区用来支支持虚拟内内存，交换换分区的尺尺寸通常是是内存的大大小的两倍倍FileSystemsExt2Ext3兼容ext2添加了日志志功能Ext4（BTRFS）Reiser4推荐使用XFS(非boot分区)挂载文件系系统（一））linux系统中每个个分区都是是一个文件件系统，都都有自己的的目录层次次结构。linux会将这些分分属不同分分区的、单单独的文件件系统按一一定的方式式形成一个个系统的总总的目录层层次结构。。这里所说说的“按一定方式式”就是指的挂挂载挂载点必须须是一个目目录一个分区挂挂载在一个个已存在的的目录上，，这个目录录可以不为为空，但挂挂载后这个个目录下以以前的内容容将不可用用挂载文件系系统（二））挂载时使用用mount命令格式：mount[-参数][设备名称称][挂挂载点]-tauto/vfat/iso9660-oro/rw/mnt/floppy/mnt/cdrom/etc/fstab＃less/etc/fstab关于nouser选项FStoolsfdiskmkfsmount/umountfsckdfdumkswapswapon/swapoff第3节BLinux文件系统安安全性Linux文件系统安安全性(一)控制台和网网络↓(二)引导与资源源↓(三)异常文件↓Linux文件系统安安全性（一一）禁止使用控控制台程序序禁止控制台台的访问防止sendmail被没有授权权的用户滥滥用使系统对ping没有反应不要显示系系统提示信信息路由协议使TCPSYNCookie保护生效防火墙console.apps＃cd/etc/security/console.apps＃ls’’Removeanyitemyouwant禁止控制台台程序pam.conforpam.d#cd/etc/pam.d/#catpoweroff#authrequiredpam_console.so禁止控制台台访问PAMPluggableAuthenticationModulessendmail/etc/sendmail.cf:PrivacyOptions=authwarningsPrivacyOptions=authwarnings,novrfy,noexpn杜绝滥发邮邮件/etc/postfix/*:ICMPPing/ICMP：ECHO-REQ,ECHO-REPLY#echo1>/proc/sys/net/ipv4/icmp_echo_ignaore_all禁止对ECHO-REQ反应”Appendto/etc/rc.d/rc.localissue修改/etc/issue，勿泄漏线线索信息/etc/inetd.conf:telnetstreamtcpnowaitroot/usr/sbin/tcpdin.telnetd-h-h则阻止显示示登陆信息息xinetd:IPsourceroutingIPsourceroutingoptions://禁止源路由由选项#echo0>/proc/sys/net/ipv4/conf/eth0/accept_source_routeforfin/proc/sys/net/ipv4/conf/*/accept_source_route;doecho0>$fdoneappendto/etc/rc.d/rc.localTCPSYNTCPSYNAttack#echo1>/proc/sys/net/ipv4/tcp_syncookies#sysctl-wnet.ipv4.tcp_syncookies=1可抵抗SYN攻击Netfilter/iptableFirewallICFinwinxpnetfilter/iptable$iptables-AINPUT-s-jREJECT$iptables-DINPUT--dport80-jDROPLinux文件系统安安全性（二二）资源限制更好地控制制mount上的文件系系统把rpm程序转移到到一个安全全的地方，，并改变默默认的访问问许可登录shell创建所有重重要的日志志文件的硬硬拷贝改变“/etc/rc.d/init.d/”目录下的脚脚本文件的的访问许可可limits.conf#less/etc/security/limits.conf*hardcore0//禁止coredump*hardnproc20//进程数限制制20*hardrss5000//内存限制5Min/etc/pam.d/login:sessionrequired/lib/security/pam_limits.somount/fstab#cat/etc/fstab选项：nosuid禁止suid，sgidnoexec不执行二进制制文件nodev不使用设备符符号rpm保护rpmchmod700/bin/rpm把文件/bin/rpm转移到安全地地方mount/mnt/floppymv/bin/rpm/mnt/floppy/.umount/mnt/floppyshell~/.bash_historyin/etc/profile:HISTFILESIZE=20HISTSIZE=20log/var/log/防止日志被破破坏在线打印:append/etc/syslog.confauthpriv.*;mail.*/dev/lp0#/etc/rc.d/init.d/syslogrestart#servicesyslog//inredhat转移到另外的的服务器集中中处理authpriv.*;mail.*@mailserver/etc/rc.d/init.d/*chmod––R700/etc/rc.d/init.d/*只有root有权限限操作作Linux文件系系统安安全性性（三三）异常和和隐含含文件件查找所所有SUID/SGID位有效效的文文件查找任任何人人都有有写权权限的的文件件和目目录查找没没有主主人的的文件件查找“.rhosts”文件使Control-Alt-Delete关机键键无效效.?ls-a#find/-name““.*”-printSUID/SGIDSUID#find/usr/bin-typef-perm-2000-printSGID#find/usr/bin-typef-perm-4000-printSUID/SGID文件可能能是被植植入的*可写文文件#find.-perm-2-print#find.-perm-20任何人都可写写的文件，可可能是入侵的的遗留无主文件#find/dev-nouser-print#find/dev-nogroup-print无属主文件的的存在是有疑疑问的.rhosts#find/home-name.rhosts.rhosts等价主机，允允许无需口令令的rlogin等CTL＋ALT＋DELin/etc/inittab#TrapCTRL-ALT-DELETEca::ctrlaltdel:/sbin/shutdown-t3-rnow#initq加密文件系统统例子：文件里里的虚拟盘（（loopback）ddif=/dev/zeroof=mydbs=1kcount=1024losetup[-edes|-exor]/dev/loop0mydmke2fs/dev/loop0mount/dev/loop0/mnt/myd…umount/mnt/mydlosetup-d/dev/loop0(detach)第4节Linux帐号安全性系统安全记录录文件启动和登录安安全性BIOS用户口令帐号口令文件C-A-Dsuissue系统安全记录录文件操作系统内部部的记录文件件是检测是否否有网络入侵侵的重要线索索可以运行来检检查系统所受受到的攻击#more/var/log/secure|greprefusedcat/var/log/secure#last,lastlogless/var/log/secure|grepFailed基本日志Windows事件查看器IISLog本地安全策略略－本地策略略－审核策略略等Linuxaccess-log记录HTTP/web的传输acct/pacct记录用户命令令aculog记录MODEM的活动btmp记录失败的记记录lastlog记录最近几次次成功登录的的事件和最后后一次不成功功的登录messages从syslog中记录信息（（有的链接到到syslog文件）sudolog记录使用sudo发出的命令sulog记录使用su命令的使用syslog从syslog中记录信息（（通常链接到到messages文件）utmp记录当前登录录的每个用户户wtmp一个用户每次次登录进入和和退出时间的的永久记录xferlog记录FTP会话启动和登录安安全性BIOS安全设置BIOS密码且修改改引导次序序禁止从软软盘启动系系统BIOSsetup/userpasswd用户口令口令$mkpasswd口令至少要要有6个字字符，最好好包含一个个以上的数数字或特殊殊字符口令不能太太简单，所所谓的简单单就是很容容易猜出来来，也就是是用自己的的名字，电电话号码、、生日、职职业或者其其它个人信信息作为口口令口令必须是是有有效期期的，在一一段时间之之后就要更更换口令口令在这种种情况下必必须作废或或者重新设设定：如果果发现有人人试图猜测测你的口令令，而且已已经试过很很多次了不要使用单单一口令ZipcrackersampleAdvancedZIPPasswordRecoverystatistics:EncryptedZIP-file:sdjfks.zipTotalpasswords:2,091,362,752Totaltime:6m58s725msAveragespeed(passwords/s):4,994,597Passwordforthisfile:7uee23PasswordinHEX:377565653233login.defs/etc/login.defsPASS_MIN_LEN58PASS_MAX_DAYS9999999帐号（一）特殊的帐号禁止操作系统统中不必要的的预置帐号删除一些不必必要的组在系统中加入入必要的用户户“不许改变”位可以用来保保护文件使其其不被意外地地删除或重写写，也可以防防止有些人创创建这个文件件的符号连接接userdel#useradd?#userdel?#groupadd?#groupdel?#passwd?#chattr+i? //文件只读如passwd,shadow,group,gshadow帐号（二）root帐号“root”帐号是是Unix系统中中享有有特权权的帐帐号“root”帐号是是不受受任何何限制制和制制约的的不要随随便用用root帐号登登录#su//临时启启用root身份帐号（（三））加密加密时时要用用到密密匙，，密匙匙是一一个特特殊的的数字字，把把密匙匙和需需要加加密的的信息息经过过加密密算法法加密密之后后，只只有知知道密密匙的的人才才能把把信息息读出出来通信加加密OpenSSLApache＋OpenSSLOpenSSHsshd，putty口令文文件chattr命令给给下面面的文文件加加上不不可更更改属属性，，从而而防止止非授授权用用户获获得权权限。。#chattr+i/etc/passwd#chattr+i/etc/shadow#chattr+i/etc/group#chattr+i/etc/gshadow禁止Ctrl+Alt+Del重新启启动机机器命命令修改/etc/inittab文件将该行行注释释掉ca::ctrlaltdel:/sbin/shutdown-t3-rnow重新设设置/etc/rc.d/init.d/目录下下所有有文件件的许许可权权限，，运行行如下下命令令#chmod-R700/etc/rc.d/init.d/*限制su命令防止任何人人都可以用用su命令成为root在“/etc/pam.d/su”文件中加入入authsufficient/lib/security/pam_rootok.sodebugauthrequired/lib/security/pam_wheel.sogroup=wheel只有“wheel”组的成员才才能用su命令成为root。。举例：让admin用户成为“wheel”组的成员[root@deep]#usermod-G10admin“10”是“wheel”组的ID值删减登录信信息默认情况下下，登录提提示信息包包括Linux发行版、内内核版本名名和服务器器主机名等等编辑/etc/rc.d/rc.local将输出系统统信息的注注释掉清空/etc/issue,/etc/第5节Linux的安全配置置文件（一一）“/etc/exports”文件“/etc/inetd.conf”文件“/etc/aliases”文件“/etc/host.conf”文件“/etc/services”文件“/etc/securetty”文件“/etc/lilo.conf”文件GRUB多重启动管管理器Linux的安全配置置文件（二二）“/etc/rc.d/rc.local”文件“/etc/sysctl.conf”文件syslog系统日志工工具/etc/sysconfig/network-scripts/目录/etc/sysconfig/networkNFS/exports/etc/exports:/dir/to/export(ro,root_squash)只读,抵制root特权inetd/etc/inetd.conf禁止（注释释掉）暂不不需要的服服务ftp,telnet,talk,finger,shell,login,…#killall––HUPinetd//重读配置#chmod600~#chattr+i~#stat~tcp_wrappers/etc/hosts.allowsshd:,/etc/hosts.denyALL:ALL#tcpdchk//tcpd+inetdsendmail/aliases/etc/aliases注释掉不必必要的项#vi/etc/aliases#/usr/bin/newaliaseshost.conf查找域名的的顺序/etc/host.conforderhosts,bindmultion//有多IP主机nospoofon//禁止IP伪装#manhost.confservices/etc/services#less/etc/services#chattr+i~securetty/etc/securetty//login使用“tty””注释掉不必必要和不被被信任的tty#cat/etc/inittab//ttylilo.conf/etc/lilo.conftimeout=0restrictedpassword=?#chmod600/etc/lilo.conf#chattr+i/etc/lilo.conf#lilogrub.conf/boot/grub/*/etc/grub.conf:password?password--md5?grub>md5cryptissue清空/etc/issue/etc/查看/ect/rc.d/rc.local注意勿泄泄漏OS敏感信息息sysctl.conf/proc/sys/#sysctl-a //显示所有有可控项项#sysctl-wnet.ipv4.ip_forward=1修改/etc/sysctl.confnet.ipv4.ip_forward=1可以拼加到rc.sysinit中#less/etc/rc.d/rc.sysinitsyslogd/etc/syslog.conf<facility.levelaction>facilityauth,cron,daemon,kern,lpr,mail,…levelemerg,alert,crit,err,warning,notice,info,debug,noneactionfile,term,@host,username,npipesyslogsyslogd-r-h-r接受远程进入入信息-h//hop转发klogd记录内核信息息klogd通常会传递信信息给syslogd，也可以写入入指定文件(-ffname)其他日志/var/log/*#cd/var/log/sambacroncyclognetwork-scripts#cd/etc/sysconfig/network-scripts/ifupifdown#ifupeth0#catifcfg-eth0#catifcfg-lonetwork/etc/sysconfig/network#cat/etc/sysconfig/networkNETWORKING=YES/NOGATEWAY=?.?.?.?GATEWAYDEV=eth0/?HOSTNAME=myname第6节NFS和NIS安全什么是是NFS什么是是NISNFS和NIS的安全全问题题？什么是是NFS基于RPC（remoteprocedurecall）协议的的网络络文件件系统统，是是由SunMicrosystems公司最最早于于1980年实实现的的，用用于在在异种种UNIX操作系系统共共享文文件NFS的客户户端/服务务器实实现结结构使使得远远程磁磁盘对对于本本地客客户端端是透透明可可见的的。它它通过过几个个守护护进程程和配配置文文件来来实现现文件件共享享NFS如何工工作由于NFS运行于于面向向无连连接（（不需需要对对传输输数据据包进进行任任何确确认））的UDP协议上上，NFS则试图图强迫迫对它它发送送的每每一个个命令令进行行确认认如果收收到确确认，，则继继续发发送数数据。。如果果在特特定时时间内内未收收到确确认，，数据据将被被重传传74563212745632126451ack2ack确认NFS的配置置文件件NFS的配置置文件件/etc/exports，它定义义了哪哪些共共享和和对谁谁是可可用的的/etc/fstab，它包含含了在在客户户端上上被安安装的的文件件系统统列表表/nfs-howto/exports,fstab/etc/exports:/usr/local/(ro,root_squash)只读/etc/fstab#cat/etc/fstab//挂到/pub位置server:/usr/local/pub/pubnfsrsize=8192,wsize=8192,timeo=14,intr什么是是NISNetworkInformationService（网络信信息服服务）），通通常还还称为为YellowPages（（黄页）），是是一种种集中中管理理系统统通用用访问问文件件的分分布式式数据据库系系统。。master服务器器存放放这些些文件件，而而客户户端则则通过过网络络访问问其中中的信信息Master/Slave+Client/etc/nsswitch.confNIS的实现现NIS的实现现是通通过几几个守守护进进程ypserv是服务务器守守护进进程ypbind是客户户端进进程以以构造造NIS请求maps可以在在更新新后手手工（（使用用yppush））传送到到slave服务器器，或或者通通过ypxfrd进程自自动（（slave服务器器检查查服务务器上上的时时间戳戳以进进行正正确的的更新新）传传送。。NFS和NIS的安全全问题题NFS的安全全问题题NIS服务的的安全全问题题保护NFS保护NISNFS的安全全问题题NFS使用AUTH_UNIX的认证证方法法即非显显式信信任NFS客户端端在服服务器器的UID（用户ID））和GID（组ID））对于文文件系系统共共享输输出（（export））时被明明确地地指定定了允允许root用户访访问的的权限限，任任何在在NFS客户端端获取取了root权限的的攻击击者都都可能能会轻轻易控控制NFS服务器器。攻击者者通过过编写写设置置UID和GID值的程程序，，使其其有权权访问问NFS服务器器端任任何用用户的的文件件NFS守护进进程服服务器器还不不时被被发现现存在在缓冲冲区溢溢出漏漏洞#manexports//末尾有有例子子NIS服务的的安全全问题题DoS攻击（（在多多台客客户端端上使使用finger服务））缓冲区区溢出出攻击击（libnasl）NISmaps查询弱弱认证证和其其各个个守护护进程程也存存在各各自的的安全全问题题NFS，NIS运行在在非特特权端端口＃cat/etc/services|grepnfs保护NFS安装最新新的NFS补丁检查/etc/exports文件确保所有有被共享享的文件件名不超超过256字符符确保/etc/exports和/etc/netgroups的访问权权限为644，，属主为为root，组用户为为root或sys在被输出出文件系系统机器器上运行行fsirand抵抗对文文件句柄柄的猜测测激活NFS的端口监监视insolaris保护NIS安全替代品SecureNFSNIS+/LDAPCFS第7节典型应用用层服务FTPDanonftpwu-ftpd//vsftpdinFC#rpm––ivhwu-ftpd.x.x.x.i386.rpmFTP(Wu-Ftpd)FTP服务器的配置置文件/etc/ftpusers/etc/ftpconversions//处理压缩/etc/ftpgroups/etc/ftphosts/etc/ftpaccessftpd/etc/ftphostsallowftpadmindenyftpadmin/etc/ftpaccess#/etc/ftpaccesswu-ftpdconffileclassuserreal*//orguest/anonymouspasswd-checkrfc822warnloginfails3

limitremote20any/msg.fileTelnetTelnet面临的主要要安全问题题使用者认证证数据传送保保密防范针对telnet的攻击Telnet本身的缺陷陷没有口令保保护，远程程用户的登登陆传送的的帐号和密密码都是明明文，使用用普通的sniffer都可以被截截获没有强力认认证过程。。只是验证证连接者的的帐户和密密没有完整性性检查。传传送的数据据没有办法法知道是否否完整的，，而不是被被篡改过的的数据。传送的数据据都没有加加密snifferNetXRay/SnifferPro演示数据传送保保密使数据在Telnet会话中安全全传送的方方法使用Diffie-Hellman进行密钥交交换使用DES、3DES、、IDEA加密会话使用公钥私私钥加密签签名telnettelnetxxx80telnetxxx20…sshOpenSSHSSH基于旧的paswd机制基于公钥的的机制SMTP（（Sendmail）Sendmail是在Unix环境下使用用最广泛的的实现邮件件发送/接接受的邮件件传输代理理程序设置Sendmail使用"smrsh"决定smrsh可以允许sendmail运行的命令令列表#cd/etc/smrsh在“/etc/smrsh”目录中创建建允许sendmail运行的程序序的符号连连接配置/etc/sendmail.cf使之使用受受限shellpostfix?避免Sendmail被未授权的的用户滥用用编辑“/etc/sendmail.cf”文件，修改改这个配置置文件，使使邮件服务务器能够挡挡住欺骗邮邮件。100001北京市XXXXXXXXX（收）XXXXXX100088限制制可可以以审审核核邮邮件件队队列列内内容容的的人人员员为了了限限制制可可以以审审核核邮邮件件队队列列内内容容的的人人员员，，只只要要在在“/etc/sendmail.cf”文件件中中指指定定“restrictmailq”选项项即即可可。。这种种情情况况下下，，sendmail只允允许许与与这这个个队队列列所所在在目目录录的的组组属属主主相相同同的的用用户户可可以以查查看看它它的的内内容容。。Apache服务务器器它它是是Internet网上上应应用用最最为为广广泛泛的的Web服务务器器软软件件之之一一。。Apache服务务器器源源自自美美国国国国家家超超级级技技术术计计算算应应用用中中心心（（NCSA））的Web服务务器器项项目目中中。。目目前前已已在在互互联联网网中中占占据据了了领领导导地地位位。。Apache服务务器器的的主主要要安安全全缺缺陷陷使用用HTTP协议议进进行行的的拒拒绝绝服服务务攻攻击击(denialofservice)缓冲冲区区溢溢出出攻攻击击被攻攻击击者者获获得得root权限限的的安安全全缺缺陷陷恶意意的的攻攻击击者者进进行行“拒绝服务务”(DoS)攻击SSL－DoS正确维护护和配置置Apache服务器ApacheWeb服务器主主要有三三个配置置文件，，位于/usr/local/apache/conf目录httpd.conf>主配置文文件srm.conf>填加资源源文件access.conf>设置文件件的访问问权限#cat/etc/httpd/conf/httpd.confApache服务器的的日志文文件使用日志志格式指指令来控控制日志志文件的的信息。。使用LogFormat“%a%l”指令，可可以把发发出HTTP请求浏览览器的IP地址和主主机名记记录到日日志文件件出于安全全的考虑虑，在日日志中至至少应该该知道那那些验证证失败的的WEB用户在http.conf文件中中加入入LogFormat“%401u”指令可可以实实现这这个目目的#cat/etc/httpd/conf/httpd.conf|grepLogFApache服务器的目目录安全认认证在ApacheServer中是允许使使用.htaccess做目录安全全保护的，，欲读取这这保护的目目录需要先先键入正确确用户帐号号与密码。。这样可做做为专门管管理网页存存放的目录录或做为会会员区等.htaccessAuthUserFile“/usr/tmp/xxx.pw”Requirdvalid-userhtpasswd-c/var/tmp/xxx.pwuser1htpasswd/var/tmp/xxx.pwuser2？？？Apache服务器访问问控制第8节Linux安全性的评评估Linux安全之路没有真正安安全的操作作系统安全问题是是一个难度度大且长久久的工作开放源码团团体已经不不断地努力力发现各种种安全漏洞洞，并且已已经取得很很大的成绩绩到底谁更安安全（结论是：：没有结论论）事实现象是是：Windows上确实发生生过一些危危害严重和和广泛得多多的安全问问题CIHNimda，Blaster，SasserLinuxbrk()可以让普通用用户获得root权限iso9660iSEC发现的漏洞关于争辩和解解释开放代码和安安全开放代码可能能会带来安全全问题PartWindowssourcecodeleak开放代码可以以吸引更多的的人员分析和和查找潜在的的威胁和漏洞洞，从而更安安全愚民政策S