网络攻击与防护 课件 3-Linux操作系统攻防技术

Linux操作系统攻防技术Linux操作系统概述Linux安全配置Linux攻击Linux基础Linux是一个功能强大的操作系统，同时它是一个自由软件，是免费的、源代码开放的，编制它的目的是建立不受任何商品化软件版权制约的、全世界都能自由使用的UNIX兼容产品。各种使用Linux作为内核的GNU操作系统正被广泛地使用著；虽然这些系统通常被称作为“Linux”，但是它们应该更精确地被称为GNU/Linux系统。Linux系统的特点开放性的系统多用户多任务的系统具有出色的稳定性和速度性能具有可靠的系统安全性提供了丰富的网络功能标准兼容性和可移植性提供了良好的用户界面Linux系统的组成Linux内核：内核（Kernel）是系统的心脏，实现操作系统的基本功能。LinuxShell：Shell是系统的用户界面，提供了用户与内核进行交互操作的一种接口。Linux应用程序包括文本编辑器、编程语言、XWindow、办公套件、Internet工具、数据库等。Linux文件系统：文件系统是文件存放在磁盘等存储设备上的组织方法。通常是按照目录层次的方式进行组织。系统以/为根目录。Linux内核Linux内核项目主要作者：LinusTorvalds1994年3月，Linux1.0版发布官方网站：Linux内核的标志为企鹅Tux，取自芬兰的吉祥物Linux内核实现了操作系统的基本功能硬件方面：控制硬件设备，内存管理，硬件接口，基本I/O软件方面：管理文件系统，为程序分配内存和CPU时间等Linux发行版Linux发行版（Distribution）是以LinuxKernel为核心，搭配各种应用程序和工具的软件集合。Linux内核＋各种自由软件＝完整的操作系统发行版的名称、版本由发行厂商决定包括厂商/社区提供的辅助安装、软件包管理等程序发行版可以自由选择使用某个版本的Linux内核相对于内核版本，发行版的版本号随发布者的不同而不同，与系统内核的版本号是相对独立的Linux操作系统概述Linux安全配置Linux攻击Linux用户Linux用户名与用户标识符UID和GID用户名和对应用户ID号码组群名对应组群ID号码计算机识别用户唯一标识就是ID文件属性中属主与属组，记录UID和GID理解UID用户登录主机的验证过程1.先找寻/etc/passwd里面是否有你输入的账号如果没有则跳出如果有：读取账号对应UID与GID，同时，读取账户家目录与shell2.核对密码表啦读取/etc/shadow对应的账号与UID，核对密码。3.如果一切都OK的话，就进入Shell控管阶段用户的相关文件/etc/passwd 用户账号文件/etc/shadow 用户密码文件/etc/login.defs 用户默认属性文件/etc/skel/ 用户环境目录/etc/passwd文件vim/etc/passwd字段1：用户名字段2：密码占位符字段3：uid字段4：gid字段5：用户信息说明字段6：家目录字段7：登录shell一般/sbin/nologin代表用户不能登录UID数字含义0：UID是0时，代表这个账号是『系统管理员』。其他账号更改UID为0，将成为管理员。1~999：保留给系统实用，一般非登录的服务账号实用1000~60000：可登录账号，给一般使用者用。UID最大支持数量4294967295(2^32-1)UID/etc/login.defs文件MAIL_DIR 邮件存放目录PASS_MAX_DAYS密码有效期最长时间PASS_MIN_DAYS密码有效期最短时间PASS_MIN_LEN密码最小长度PASS_WARN_AGE密码到期提示时间UID_MINUID最小值UID_MAXUID最大值GID_MINGID最小值GID_MAXGID最大值CREATE_HOME是否创建家目录UMASKUMASK值USERGROUPS_ENAB当删除用户后，同名组中不在存在用户的时候，是否删除该组/etc/skel目录存放用户启动文件的目录，类似与windows的用户配置文件目录，为用户提供用户环境，该目录下的文件全部为隐藏文件。在添加用户时会从该目录下复制文件到用户的家目录下，相当与统一的登陆模板。类似于windows的用户配置文件模板目录

C:\DocumentsandSettings\AllUsersLinux文件权限Linux用户角色UGO概念User文件拥有者Group文件所属组Other其他人Linux下文件属性文件属性包含文件类型、权限、拥有者、属组、文件大小、修改时间等[root@linux~]#ls–l//查看文件属性文件类型与权限第一位表示文件类型，第2位到10位代表文件权限文件属性-文件类型第一个属性代表这个文件的类型当为[d]则是目录当为[-]则是文件若是[l]则表示为连结档(linkfile)；若是[b]则表示为装置文件里面的可供储存的接口设备；若是[c]则表示为装置文件里面的串行端口设备，例如键盘、鼠标。文件属性-权限文件的属性中，三个为一组，且均为『rwx』的三个参数的组合。[r]代表可读(read)[w]代表可写(write)[x]代表可执行(excute)第一组为『拥有人的权限』第二组为『同群组的权限』第三组为『其它非本群组的权限』文件属性-Inode连接数[root@localhost~]#ls–l-rw-------1rootroot116412-1917:13anaconda-ks.cfgLinux系统中将文件的属性存储在文件系统中的i-node中每个文件都与至少一个i-node节点连接第二栏表示有多少文件名连结到此节点(i-node)文件属性-其他属性[root@localhost~]#ls–l-rw-------1rootroot116412-1917:13anaconda-ks.cfg第三栏表示这个文件(或目彔)的『拥有者账号』第四栏表示这个文件的所属群组第五栏为这个文件的容量大小，默认单位为bytes第六栏为这个文件的创建日期或者是最近的修改日期七栏为这个文件的文件名文件属性与权限的修改命令：chgrp：改变文件所属群组chown：改变文件拥有者chmod：改变文件的权限chgrp更改文件属组权限要求：只有root权限才能改变文件的所有者只有root权限或所有者才能改变文件的组群命令格式：chown更改文件属主权限要求：只有root权限才能改变文件的所有者只有root权限或所有者才能改变文件的组群命令格式：#Chowndongye:dongye1.txt可同时更改属主与属组chmod更改文件或目录权限Chmod命令格式与参数：权限更改方法：符号法数字法更改权限-符号法u、g、o：分别代表用户、属组、和其它用户+或-：代表授予或拒绝r、w、x：分别代表读取、写入、和执行更改权限－数字式方法使用三个数字模式第一个数字代表所属用户的权限第一个数字代表组群权限第三个数字代表其它用户的权限通过把以下数值相加起来来计算权限：4（代表读取）、2（代表写入）、1（代表执行）通过数字加权代表权限，例如7，代表rwx，6代表rw-，5代表r-xLinux特殊权限umask与默认权限文件隐藏属性意义与作用suid、sgid意义与设置sbit意义与设置文件预设权限：umask值umask：指定建立文件或目录时预设的权限掩码用法1：umask 查看系统当前的权限掩码值用法2：umask数值 设定系统的权限掩码新创建文件或目录权限与umaskLinux新建文件默认权限为：-rw-rw-rw-（666）Linux新建目录默认权限为：drwxrwxrwx（777）新建文件或目录权限=文件或目录默认权限-umask例如：新建文件权限：666-002=664即rw-rw-r--例如：新建目录权限：777-002=775即rwxrwxr-x文件的隐藏属性文件隐藏属性9个：ASacdistua和i最常用隐藏属性受文件系统影响：Ext2/Ext3/Ext4完全生效，xfs部分属性支持AadiS。Chattr支持a:当设定a之后，这个文件将只能增加数据，而不能删除也不能修改数据，只有root才能设定这属性。logi:他可以让一个文件『不能被删除、改名、设定连结也无法写入或新增数据！』对于系统安全性有相当大的帮助！只有root能设定此属性Lsattr显示隐藏属性Lsattr显示文件隐藏属性Linux系统日志Linux系统日志与配置Linux系统日志安全分析Linux常见日志文件日志目录:/var/log/*常见日志文件secure：安全相关,主要是用户认证,如登录、创建和删除账号、sudo等audit/audit.log：审计日志。跟用户账号相关messages：记录系统和软件的绝大多数消息。如服务启动、停止、服务错误等。boot.log：系统启动日志。能看到启动流程。cron：计划任务日志。会记录crontab计划任务的创建、执行信息。dmesg：硬件设备信息(device)。纯文本,也可以用dmesg命令查看。yum.log：yum软件的日志。记录yum安装、卸载软件的记录。lastlog：系统上面所有的账号最近一次登入系统时的相关信息。用lastlog查看(二进制日志文件)btmp：登录失败的信息(bad)。用lastb查(二进制日志文件)wtmp：正确登录的所有用户命令(who、w)，用last查(二进制日志文件)日志相关服务与程序负责日志的程序和deamonrsyslog.service：负责登录系统与网络等服务日志logrotate：主要在进行日志文件的轮替功能。systemd-journald.service：系统日志提供者，systemd提供的rsyslog服务Systemctlstatus|start|stoprsyslogrsyslog配置文件:rpm-qcrsyslog/etc/rsyslog.confrsyslog.conf规定什么服务，什么等级的信息记录位置服务类型 日志等级 记录位置*.info;mail.none;authpriv.none;cron.none/var/log/messages日志记录的位置文件文件的绝对路径：通常就是放在/var/log里打印机或其他例如/dev/lp0这个打印机装置使用者名称显示给用户远程主机（日志服务器）例如@*：代表目前在在线的所有人入侵应急响应重点分析的日志日志目录:/var/log/*常见日志文件secure：安全相关,主要是用户认证,如登录、创建和删除账号、sudo等audit/audit.log：审计日志。跟用户账号相关messages：记录系统和软件的绝大多数消息。如服务启动、停止、服务错误等。boot.log：系统启动日志。能看到启动流程。cron：计划任务日志。会记录crontab计划任务的创建、执行信息。dmesg：硬件设备信息(device)。纯文本,也可以用dmesg命令查看。yum.log：yum软件的日志。记录yum安装、卸载软件的记录。lastlog：系统上面所有的账号最近一次登入系统时的相关信息。用lastlog查看(二进制日志文件)btmp：登录失败的信息(bad)。用lastb查(二进制日志文件)wtmp：正确登录的所有用户命令(who、w)，用last查(二进制日志文件)Lastlog日志-最近一次登录系统信息/var/log/lastlog:系统上面所有的账号最近一次登入系统时的相关信息。(二进制日志文件)命令：lastlog查看Linux操作系统概述Linux安全配置Linux攻击/etc/shadow文件这个文件只有root可以读取和操作Vim/etc/shadow/etc/shadow文件root:$6$tAyBrnmDvABY3Q9I$.iiDZI0amgdVdraLJ6RijrWTmJVbl09bRukWssPV2wkuTc.WBfaDBLJRPvilanBuyjeRMTgrC0TNdzxfxMk9a0::0:99999:7:::字段1：root字段2：密码被sha-512加密字段3：距离1970年1月1日密码最近的修改时间单位（天）字段4：密码最短有效期，时间以距离字段三时间，0代表随时能改字段