Unix系统安全管理

Unix系统平安管理祝晓光提纲帐号管理 文件管理 Unix攻击介绍 平安根本配置 提纲一帐号管理帐户管理用户类型Root〔超级用户，不受任何限制〕普通用户(未设置密码和宿主目录者除外)系统用户〔用于和进程间交互，从不登陆〕UID与GIDUnix口令文件存储路径Linux/etc/shadowSystemVRelease4.2/etc/securitySystemVRelease4.0/etc/shadowSunOS5.0/etc/shadowSCOUnix/tcb/auth/files/OSF/1/etc/passwdHP-UX/.secure/etc/passwdBSD4.x/etc/master.passwdAIX3/etc/security/passwdIRIX5/etc/shadow

帐号密码文件zhuxg:x:501:501:Jacky:/home/zhuxg:/bin/bash用户名密码位置UIDGID用户全名用户主目录用户shell

/etc/passwd和/etc/shadow(master.passwd)文件解读/etc/shadow文件root:$1$fgvCnqo0$C6xldBN0rs.w1SCtD/RST0:10598:0:99999:7:-1:-1:-1073743272用户名加密口令上一次修改的时间〔从1970年1月1日起的天数〕口令在两次修改间的最小天数离用户必须修改口令还剩下的天数离系统提醒用户必须修改口令还剩下的天数

用户仍可修改口令还剩余的天数，否那么到期之后该账号将被禁止从1970年1月1日起账号被禁用的天数保存字段添加帐户添加用户useradd/adduser[root@www/root]#useradd--helpuseradd:invalidoption---usage:useradd[-uuid[-o]][-ggroup][-Ggroup,...][-dhome][-sshell][-ccomment][-m[-ktemplate]][-finactive][-eexpire][-ppasswd][-n][-r]nameuseradd-D[-ggroup][-bbase][-sshell][-finactive][-eexpire][root@www/root]#useradd–u1000–d/home/test–s/bin/shtest删除帐户userdel/deluserUserdel[-r]name [root@www/root]#userdel–rtest [root@www/root]#ls–l/home管理帐号查看当前用户名[root@www/root]#users更改用户属性usermod[root@www/root]#usermod--helpusage:usermod[-uuid[-o]][-ggroup][-Ggroup,...][-dhome[-m]][-sshell][-ccomment][-lnew_name][-finactive][-eexpire][-ppasswd][-L|-U]nameSUID/SGID和粘滞位SUID一般用于可执行程序，当普通用户需要间接使用(读或写)某个文件时，可以对该程序设置SUID/bin/passwd/etc/passwd和/etc/shadowSGID一般应用于普通目录粘滞位用于对某些目录提供额外的保护/tmp

文件管理

Linux/Unix文件系统类型Ext2/ext3、UFS文件类型正规文件：ASCII文本文件，二进制数据文件，二进制可执行文件目录：包含一组文件的二进制可执行文件特殊文件：/dev,/proc链接文件Sockets:进程间通讯使用的特殊文件文件类型由文件长模式显示的第一个字符决定“-”：普通文件“d”：目录“l”：符号链接“s”：套接字Linux文件权限-rw-r--r--文件类型(文件、目录、特殊文件)拥有者访问权分组访问权其它用户访问权ls–l文件名Mask和umask值Mask和umask相对应对于文件umask值||文件权限=666对于目录umask值||目录权限=777文件管理添加/删除/移动文件和目录touch、echo、vi、rm、mv更改文件权限chmod、chattr更改文件属主chown、chgrp设置SUID/SGID和Sticky-bit设置SUID/SGID程序利用chmod典型文件如/bin/passwdSGID通常设置在某个目录上设置粘置位典型目录如/tmp粘置位可防止误删、误修改或破坏用户文件提纲三Unix攻击介绍黑客攻击手法(一)收集信息扫描社会工程公开信息利用系统漏洞DNS的配置失误Finger....黑客攻击手法(二)尝试获得主机入口密码猜测远程溢出Sniffer社会工程程序漏洞……黑客攻击手法(三〕尝试获得最高权限本地溢出木马社会工程窃取，欺骗程序漏洞黑客攻击手法(四)扩大攻击范围去除系统记录系统日志去除操作日志去除应用日志去除留下系统后门Bindshell帐户LKM..跳跃攻击其他主机RootKits用于获得具有root权限的一组程序通过设置uid程序,系统木马,cron后门等方法来实现入侵者以后从非特权用户使用root权限的程序提纲四系统平安配置与优化Solaris根本平安配置设置一个尽可能复杂的root口令设置默认路由/etc/defaultrouter设置dns/etc/resolv.conf设置/etc/nsswitch.confHost:filesdns系统启动效劳清理清理/etc/rc2.d值得注意的nfs.*S71RPC清理/etc/rc3.dSNMP使用的选择SNMP配置清理/etc/init.d/inetsvc禁止dInetd–s–t启动禁止multicast系统启动效劳清理清理/etc/inetd.conf效劳所有的TCP/UDP小效劳所有的调试效劳所以的R效劳几乎所有的RPC效劳使用必要的工具替换telnet,ftp必要的时候可以完全禁止inetd或用xinetd替换ndd使用帮助ndd/dev/arp\?(icmp,tcp,udp,ip)查询ndd/dev/arparp_cleanup_interval设置ndd-set/dev/arparp_cleanup_interval60000启动网络参数设定设置/etc/init.d/inetinit

ndd-set/dev/tcptcp_conn_req_max_q010240ndd-set/dev/ipip_ignore_redirect1ndd-set/dev/ipip_send_redirects0ndd-set/dev/ipip_ire_flush_interval60000ndd-set/dev/arparp_cleanup_interval60ndd-set/dev/ipip_forward_directed_broadcasts0ndd-set/dev/ipip_forward_src_routed0ndd-set/dev/ipip_forwarding0(或/etc/notrouter)ndd-set/dev/ipip_strict_dst_multihoming1ARP攻击防止减少过期时间#ndd–set/dev/arparp_cleanup_interval60000#ndd-set/dev/ipip_ire_flush_interval60000静态ARParp–ffilename禁止ARPifconfiginterface–arpIP关闭ip转发。＃ndd–set/dev/ipip_forwarding0转发包播送由于在转发状态下默认是允许的，为了防止被用来实施smurf攻击，关闭这一特性。(参见cert-98.01)#ndd–set/dev/ipip-forward_directed_broadcasts0源路由转发，所以我们必须手动关闭它＃ndd–set/dev/ipip_forward_src_routed0ICMP关闭对echo播送的响应＃ndd–set/dev/ipip_respond_to_echo_boadcast0响应时间戳播送#ndd–set/dev/ipip_respond_to_timestamp_broadcast0地址掩码播送#ndd–set/dev/ipip_respind_to_address_mask_broadcast0ICMP接受重定向错误#ndd–set/dev/ipip_ignore_redirect1响应时间戳播送发送重定向错误报文ndd–set/dev/ipip_send_redirects0时间戳响应#ndd–set/dev/ipip_respond_to_timestamp0注意：Rdata〔同步时钟〕可能无法正常TCPSynfloodndd–set/dev/tcptcp_conn_req_max_q04096 默认值是1024连接耗尽攻击ndd–set/dev/tcptcp_conn_req_max_q1024 默认值是128增加私有端口ndd/dev/tcptcp_extra_priv_ports20494045要注意的是，不要随便定义私有端口，因为有些非根权限的进程会使用这些端口。特别是改变最小非私有端口这个参数，经常会引起问题。文件系统配置删除NFS的相关配置/etc/auto_*/etc/dfs/dfstabMount文件系统的设置/etc/vfstab/usrmountro/dev/dsk/c0t3d0s4/dev/rdsk/c0t3d0s4/usrufs1noroOthermountnosuid/dev/dsk/c0t3d0s5/dev/rdsk/c0t3d0s5/varufs1nonosuid/dev/dsk/c0t3d0s6/dev/rdsk/c0t3d0s6/localufs2yesnosuid可能的话mount/nosuid文件系统配置寻找无用的suid程序Find/-typef\(-perm-4000\)|xargsls–a调整文件系统的权限/usr/sbin/var/log/etc…日志系统配置/etc/syslog.conf增加的日志记录/var/log/authlog输出到loghost输出到打印机增加对su和crontab的日志记录/etc/default/cron/etc/default/su日志系统配置syslog.conf的格式如下,设备.行为级别[；设备.行为级别]记录行为注意各栏之间用[Tab]来分隔，用空格是无效的。如*.err;daemon.notice;mail.crit/var/adm/messages日志系统配置-设备auth认证系统，即询问用户名和口令cron系统定时系统执行定时任务时发出的信息daemon守护程序的syslog,如由in.ftpd产生的logkern内核的syslog信息lpr打印机的syslog信息mail邮件系统的syslog信息mark定时发送消息的时标程序news新闻系统的syslog信息user本地用户应用程序的syslog信息uucpuucp子系统的syslog信息*:代表以上各种设备日志系统配置-行为级别行为级别描述〔危险程度递递〕debug程序的调试信息info信息消息notice要注意的消息warning警告err一般性错误crit严重情况alert应该立即被纠正的情况emerg紧急情况none指定的效劳程序未给所选择的日志系统配置-特殊配置loghost@loghost日志输出到打印机把打印机连接到终端端口/dev/ttya上，在/etc/syslog.conf中参加配置语句.auth.notice /dev/ttya帐户清理与设置userdel/passmgmt(uucp,listen,lp,smtp,adm)/etc/default/login的设置禁止非consoleroot登陆登陆超时登陆掩码设置/etc/defualt/passwd密码长度，过期等Linux系统平安根本配置分区时将根目录〔/〕、〔/home〕、〔/tmp〕和/var目录