UNIX系统安全.ppt

1、,UNIX系统安全 msn: qq:55841705,UNIX系统安全基础 UNIX系统安全规划 UNIX系统入侵防范 UNIX系统入侵检测 UNIX系统安全审计 UNIX系统入侵恢复,UNIX系统安全,UNIX系统安全基础 UNIX系统安全规划 UNIX系统入侵防范 UNIX系统入侵检测 UNIX系统安全审计 UNIX系统入侵恢复,UNIX系统安全,UNIX系统安全基础,UNIX系统综述 UNIX系统的安全机制 UNIX系统安全管理基础,UNIX系统安全基础,UNIX系统综述 UNIX系统的安全机制 UNIX系统安全管理基础,UNIX系统综述,UNIX系统安全基础,UNIX系统综述 UNIX

2、系统的安全机制 UNIX系统安全管理基础,UNIX系统的安全机制,UNIX系统的安全特征 UNIX系统的安全模型,UNIX系统的安全特征,按照可信计算机评价标准(TCSEC)达到C2级 有控制的存取保护 访问控制 个人身份标识与认证 审计记录 操作的可靠性,UNIX系统的安全模型,UNIX系统安全基础,UNIX系统综述 UNIX系统的安全机制 UNIX系统安全管理基础,UNIX系统安全管理基础,Unix 系统结构 unix文件系统 文件系统基础 文件系统结构 文件系统类型,Unix 系统结构,多用户； 多任务； 分层的操作系统。,Unix 系统结构,用户程序与底层的硬件无关,文件系统基础 文件

3、系统结构 文件系统类型,unix文件系统,文件系统基础,文件系统安全是UNIX系统安全的核心。 在UNIX中，所有的事物都是文件。用户数据的集合是文件，目录是文件，进程是文件，命令是文件，设备是文件、甚至网络连接也是文件。,文件系统结构,文件系统结构,文件系统结构,“i节点（inode）”一个文件系统中的每个i节点有一个唯一的数字，每个文件有不同的i节点。i节点关注UNIX文件系统中所有的文件活动。 .UID文件拥有者。 .GID文件所在分组。 .模式文件的权限设置。 UNIX文件系统安全就是基于i节点中三段关键信息：,文件系统结构,i节点中还包括其他信息： 文件大小以字节为单位。 文件类型文

4、件、目录、链接等。 .ctimei节点上次修改的时间。 .mtime文件上次修改的时间。 .atime文件上次访问的时间。 .nlink硬链接的数目。,文件系统结构,设备文件 存放路径：/dev或 /devices audio 音频设备 console 系统控制台 le,hme 网卡 kmem 核心内存 mem 内存,文件系统类型,正规文件：（A S C I I文本文件，二进 制数据文件，二进制可执行文件等） 目录 特殊文件 链接 （硬链接、软链接） Sockets（进程间通信时使用的特殊文件）,UNIX系统安全基础 UNIX系统安全规划 UNIX系统入侵防范 UNIX系统入侵检测 UNIX系

5、统安全审计 UNIX系统入侵恢复,入侵检测系统,UNIX系统安全规划,危险评估 安全策略,UNIX系统安全规划,危险评估 资产确认 资产评估 判断危险性 确定保护方法,UNIX系统安全规划,安全策略 通用策略 个人使用策略 帐户策略 电子邮件策略 防火墙策略 问题报告策略,UNIX系统安全基础 UNIX系统安全规划 UNIX系统入侵防范 UNIX系统入侵检测 UNIX系统安全审计 UNIX系统入侵恢复,入侵检测系统,UNIX系统入侵防范,物理安全 网络安全 帐号安全 文件系统安全 安全防范组件及工具,UNIX系统入侵防范,物理安全 网络安全 帐号安全 文件系统安全 安全防范组件及工具,UNIX

6、系统物理安全,控制台安全 数据安全 用户意识,UNIX系统物理安全,控制台安全 数据安全 用户意识,控制台安全（一）,用有效的钥匙锁住房间 不要有其他的途径进入房间 具有报警系统和警卫,控制台安全（二）,BIOS安全，设定引导口令 禁止从软盘或光盘启动 防止未授权用户使用单用户模式 Control-Alt-Delete关机键无效 禁止使用控制台程序,防止未授权用户使用单用户模式,修改lilo文件 boot=/dev/sda map=/boot/map install=/boot/boot.b prompt timeout=00 ? change this line to 00. Default

7、=linux restricted ? add this line. password= ? add this line and put your password. image=/boot/vmlinuz-2.2.12-20 label=linux 使修改生效 rootcnns# /sbin/lilo -v (to update the lilo.conf file).,Control-Alt-Delete关机键无效,编辑inittab文件 #ca:ctrlaltdel:/sbin/shutdown -t3 -r now 用下面的命令使改变生效： #rootcnns# /sbin/init

8、q,禁止使用控制台程序,rootcnns# rm -f /etc/security/console.apps/halt rootcnns# rm -f /etc/security/console.apps/poweroff rootcnns# rm -f /etc/security/console.apps/reboot rootcnns# rm -f /etc/security/console.apps/shutdown rootcnns# rm -f /etc/security/console.apps/xserver,UNIX系统物理安全,控制台安全 数据安全 用户意识,数据安全,数据备

9、份在安全的,专用的恢复数据的地方 计算机在UPS 保护下保证稳定的电源 保护网络电缆不要暴露 把敏感的信息锁在抽屉里 毁坏敏感的打印输出和磁带,UNIX系统物理安全,控制台安全 数据安全 用户意识,用户意识,离开时请锁住屏幕或注销登陆机器 不要把密码或者密码提示写在桌子上 细心使用xauth / xhost命令,防止别人读取自己的屏幕 管理意识，信息是有价值的资产 经常改变root的口令,UNIX系统入侵防范,物理安全 网络安全 帐号安全 文件系统安全 安全防范组件及工具,UNIX系统网络安全,linux系统网络安全基本配置 Solaris系统网络安全基本配置 常用网络服务安全,UNIX系统网

10、络安全,linux系统网络安全基本配置 Solaris系统网络安全基本配置 常用网络服务安全,linux系统网络安全基本配置,过滤 防止欺骗,linux系统网络安全基本配置,过滤： 系统启动服务清理 屏蔽系统对ping请求的反应 屏蔽系统登录显示信息 “/etc/host.conf”文件配置 使用更安全的版本替代（比如ssh2）,linux系统网络安全基本配置,过滤： 采用TCP wrappers 提供更强的访问控制 Pam访问控制 限制root用户登录的tty设备 防止任何人都可以用su命令成为root 系统资源使用限制,系统启动服务清理,清理/etc/rc2.d 值得注意的 nfs.* S

11、71RPC 清理/etc/rc3.d SNMP使用的选择 SNMP配置,系统启动服务清理,清理/etc/xinetd.d 服务： 所有的TCP/UDP小服务 所有的调试服务 所以的R服务 几乎所有的RPC服务 使用必要的工具替换telnet,ftp 必要的时候可以完全禁止inetd或用xinetd替换,禁止所有不需要的服务,/etc/xinetd.d/telnet - service telnet disable = yes flags = REUSE socket_type = stream wait = no user = root server = /usr/sbin/in.telnet

12、d server_args = -h log_on_failure += USERID,linux系统网络安全基本配置,屏蔽系统对ping请求的反应 echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all 编辑“host.conf”文件(vi /etc/host.conf) order bind,hosts multi on nospoof on,linux系统网络安全基本配置,屏蔽系统登录显示信息 1）编辑“/ect/rc.d/rc.local”文件 #echo /etc/issue #echo $R /etc/issue #echo Kernel $(

13、uname -r) on $a $(uname -m) /etc/issue #cp -f /etc/issue /etc/ #echo /etc/issu 2）、删除“/etc”目录下“”、“issue”文件,linux系统网络安全基本配置,限制root用户登录的tty设备 “/etc/securetty”文件允许你规定“root”用户可以从那个TTY设备登录。 编辑securetty文件(vi /etc/securetty)象下面一样，注释掉一些行： tty1 #tty2 #tty3 #tty4 #tty5 #tty6 #tty7 #tty8,linux系统网络安全基本配置,防止欺骗： 禁

14、止IP源路径路由 防范“SYN Attack”拒绝服务攻击 配置防火墙加强网络防御,linux系统网络安全基本配置,禁止IP源路径路由： # echo 0 /proc/sys/net/ipv4/conf/*/accept_source_route; 防范“SYN Attack”拒绝服务攻击 # echo 1 proc/sys/net/ipv4/tcp_syncookies,UNIX系统网络安全,linux系统网络安全基本配置 Solaris系统网络安全基本配置 常用网络服务安全,Solaris系统网络安全基本配置,调整ARP协议参数 调整IP层参数 调整ICMP参数 调整TCP协议参数,调整A

15、RP协议参数,减少过期时间 #ndd set /dev/arp arp_cleanup_interval 60000 #ndd -set /dev/ip ip_ire_flush_interval 60000 静态ARP arp f filename 禁止ARP ifconfig interface arp,Solaris系统网络安全基本配置,调整IP层参数： 禁止IP转发 bash-2.03# ndd -set /dev/ip ip_forwarding 0 转发包广播 由于在转发状态下默认是允许的，为了防止被用来实施smurf攻击，关闭这一特性。 #ndd set /dev/ip ip-f

16、orward_directed_broadcasts 0 禁止IP源路由 bash-2.03# ndd -set /dev/ip ip_forward_src_routed 0,Solaris系统网络安全基本配置,ICMP广播： 关闭对echo广播的响应 bash-2.03# ndd -set /dev/ip ip_respond_to_echo_broadcast 0 响应时间戳广播 #bash-2.03# ndd -set /dev/ip ip_respond_to_timestamp_broadcast 0 地址掩码广播 bash-2.03# ndd -set /dev/ip ip_re

17、spind_to_address_mask_broadcast 0,ICMP Smurf,attacker,target,Solaris系统网络安全基本配置,ICMP重定向错误: 拒绝接受ICMP重定向错误报文: bash-2.03# ndd -set /dev/ip ip_ignore_redirect 1 禁止本机发送错误ICMP重定向报文。 bash-2.03# ndd -set /dev/ip ip_send_redirects 0 不接受时间戳报文 bash-2.03# ndd -set /dev/ip ip_respond_to_timestamp 0,Solaris系统网络安全基

18、本配置,调整TCP协议参数 对付SYN_flood攻击 bash-2.03# ndd -set /dev/tcp tcp_conn_req_max_q0 4096 防范连接耗尽攻击 bash-2.03# ndd -set /dev/tcp tcp_conn_req_max_q 1024 防范IP 欺骗 修改/etc/default/inetinit文件来提高ISN的生成强度。将 TCP_STRONG_ISS=1改为 TCP_STRONG_ISS=2 重起系统使他生效,UNIX系统网络安全,linux系统网络安全基本配置 Solaris系统网络安全基本配置 常用网络服务安全,UNIX系统网络服务

19、安全,域名（dns）服务 WWW服务 mail服务,UNIX系统网络服务安全,域名（dns）服务 WWW服务 mail服务,DNS基本原理,互连网上主机信息的分布式数据库 域名服务器 解析器即客户机 域名查询采用UDP协议，而区域传输采用TCP协议 域名解析过程分为两种方式：递归模式和交互模式,域名解析过程,BIND主要配置文件,named配置文件:/etc/named.boot、etc/named.conf DNS数据文件 反向解析顺序文件/etc/resolv.conf,DNS服务器的常见攻击方法,地址欺骗 远程漏洞入侵 拒绝服务,地址欺骗,缓冲区溢出漏洞,解决办法：安装最新BIND ht

20、tp://products/BIND/bind9.html,DNS服务器的拒绝服务攻击,针对DNS服务器软件本身 利用DNS服务器作为中间的“攻击放大器”，去攻击其它intetnet上的主机,Bind服务器安全配置,基本安全配置 Bind服务器的访问控制 设置chroot运行环境,Bind服务器安全配置,基本安全配置: 隐藏版本信息 named进程启动选项： -r：关闭域名服务器的递归查询功能（缺省为打开）。 -u 和-g ：定义域名服务器运行时所使用的UID和GID。 -t ：指定当服务器进程处理完命令行参数后所要chroot()的目录。,Bind服务器安全配置,Bin

21、d服务器的访问控制: 限制查询 限制区域传输 关闭递归查询,Bind服务器安全配置,/etc/named.conf options directory “/var/named”; allow-query /24; allow-transfer ; /24; recursion no; ; ;,Bind服务器安全配置,设置chroot运行环境 及时更新安装bind的最新版本,chroot,chroot 是 ”change root” 的缩写， chroot重定义了一个程序的运行环境。重定义了一个程序的“ROOT”目录或“/”。

22、也就是说，对于chroot了的程序或shell来说，chroot环境之外的目录是不存在的。,Chroot方法步骤,建立”监狱式”目录 拷贝本身服务软件和其他要求的文件 拷贝所需要系统库文件 变换启动脚本，使系统启动正确环境,UNIX系统网络服务安全,域名（dns）服务 WWW服务 mail服务,常见安全威胁,HTTP拒绝服务 攻击者通过某些手段使服务器拒绝对HTTP应答。 缓冲区溢出,Web服务器(apache)配置文件,控制着服务器各个方面的特性的三个配置文件 httpd.conf主配置文件，是对守护程序httpd如何运行的技术描述 srm.conf是服务器的资源映射文件，告诉服务器各种文件

23、的MIME类型，以及如何支持这些文件 access.conf用于配置服务器的访问权限，控制不同用户和计算机的访问限制,Apache的基本安全配置,及时更新安装Apache的最新版本 设置chroot运行环境 隐藏版本信息,Apache服务器访问控制,文件的访问控制 目录的访问控制 主机的访问控制,Apache服务器访问控制,access.conf文件包含一些指令控制允许某个用户、某个域、IP地址或者IP段的访问访问Apache目录。 order deny,allow deny from all allow from 使用.htaccess文件，可以把某个目录的访问权限赋予某个

24、用户,UNIX系统网络服务安全,域名（dns）服务 WWW服务 mail服务,Sendmail的主要安全问题,邮件转发与垃圾邮件 文件系统安全 拒绝服务攻击,邮件转发与垃圾邮件,避免未授权的用户滥用noexpn,novrfy 限制可以审核邮件队列内容的人员 （/etc/sendmail.cf: PrivacyOptions=authwarnings,noexpn,novrfy,restrictmailq） 关闭relay选项 及时更新安装最新版本的Sendmail,关闭relay选项,sendmail提供了许多在编译期间选择的功能特性 在/etc/sendmail.mc中与安全相关的特性有：F

25、EATURE(*) promiscuous_relay accept_unqualified_senders loose_relay_check accept_unresolvable_domains blacklist_recipients relay_entire_domain,邮件转发与垃圾邮件,设置smtp身份验证,文件系统安全,重要的文件设置不可更改位 rootdeep# chattr +i /etc/sendmail.cf rootdeep# chattr +i /etc/sendmail.cw rootdeep# chattr +i /etc/sendmail.mc rootde

26、ep# chattr +i /etc/aliases rootdeep# chattr +i /etc/mail/access,Sendmail配置抵御DOS,/etc/sendmail.cf MinFreeBlocks配置最少的自由块数 MaxMessageSize最大邮件大小 AutoRebuildAliases自动重建别名 QueueLA队列平均负荷 RefuseLA平均负荷拒绝临界点 MaxDaemonChildren最大的守护进程的子进程数 MaxHeadersLength 最大的报头长度 MaxMimeHeaderLength 最大MIME编码报文长度 MaxRecipientsP

27、erMessage 每封邮件的最多接收者,FTP,了解那些FTP有安全问题 wu-ftpd （wu-ftpd 2.6.0 输入验证漏洞、site newer 内存耗尽问题） proftpd,Ftp安全要点,使用最新版本 / 2.6.2 / 1.2.9 使用ftpuser限制ftp用户使用ftpaccess控制用户行为，流量等等 设置chroot运行环境 使用ssh或sftp代替ftp,UNIX系统入侵防范,UNIX系统物理安全 UNIX系统网络安全 UNIX系统帐号安全 UNIX文件系统安全 安全防范组件及工具

28、,UNIX系统帐号安全,口令安全 帐号安全 系统帐号安全巩固,UNIX系统帐号安全,口令安全基础 口令安全管理,UNIX系统帐号安全,Passwd文件剖析 name:coded-passwd:UID:GID:user-info:home-directory:shell 7个域中的每一个由冒号隔开。 name给用户分配的用户名。 Coded-passwd经过加密的用户口令。如果一个系统管理员需要阻止一个用户登录，则经常用一个星号（ : * :）代替。该域通常不手工编辑。 UID用户的唯一标识号。习惯上，小于100的UID是为系统帐号保留的。,UNIX系统帐号安全,GID用户所属的基本分组。通常它

29、将决定用户创建文件的分组拥有权。 User_info习惯上它包括用户的全名。邮件系统和finger这样的工具习惯使用该域中的信息。 home-directory该域指明用户的起始目录，它是用户登录进入后的初始工作目录。 shell该域指明用户登录进入后执行的命令解释器所在的路径。注意可以为用户在该域中赋一个/bin/false值，这将阻止用户登录。,UNIX帐号安全（shadow文件）,UNIX系统帐号安全,上一次修改口令的日期，以从1970年1月1日开始的天数表示。 口令在两次修改间的最小天数。口令在建立后必须更改的天数。 口令更改之前向用户发出警告的天数。 口令终止后帐号被禁用的天数。 自

30、从1970年1月1日起帐号被禁用的天数。 保留域。,UNIX系统帐号安全,口令安全基础 口令安全管理,UNIX系统帐号安全,禁用的口令： 不要选择简单字母序列组成的口令（例如“qwerty”或“abcdef”）。 不要选择任何指明个人信息的口令（例如生日、姓名、配偶姓名、孩子姓名、电话号码、社会保障号码、汽车牌号、汽车执照号、居住的街道名称等）。 不要选择一个与要替换的口令相似的新口令。 不要选择一个包含用户名或相似内容的口令。 不要选择一个短于6个字符或仅包含字母或数字的口令。 不要选择一个所有字母都是小写或大写字母的口令。 不要选择一个被作为口令范例公布的口令。,UNIX系统帐号安全,好的

31、口令： 选择一个至少有10个字符长度的口令。 选择一个包含非字母字符的口令，包括数字和特殊字符，如 ! $ % , . ? / 。 选择一个容易记住而不必写下来的口令。 选择一个不用看键盘而能迅速键入的口令，使偷看的人不能识别出键入的字符。 禁止写下口令,UNIX系统帐号安全,口令安全 帐号安全 系统帐号安全巩固,UNIX系统帐号安全,缺省帐号,UNIX系统帐号安全,禁用和删除帐号： 禁用帐号最快的方式是在/etc/passwd或影子口令文件中用户加密口令的开始加一个星号（*）。该用户将不能再次登录。 # userdel jrandom,UNIX系统帐号安全,删除一个帐号时要完整。 杀死任何属

32、于该用户的进程或打印任务。 检查用户的起始目录并为任何需要保存的东西制作一个备份。 删除用户的起始目录及其内容。 删除用户的邮件文件（/var/spool /mail）。 把用户从邮件别名文件中删除（/usr/lib/aliases）。 如果事先知道用户帐号将在哪天终止，则考虑在/etc/shadow中设置口令和帐号终止域。,UNIX系统帐号安全,Root帐号安全性： 确保root只允许从控制台登陆 限制知道root口令的人数 使用强壮的密码 三个月或者当有人离开公司是就更改一次密码 使用普通用户登陆,用su取得root权限, 而不是以root身份登录,UNIX系统帐号安全,Root帐号安全性

33、： 设置 umask 为077 ,在需要时再改回022 请使用全路径执行命令 不要允许有非root用户可写的目录存在root的路径里 确保root没有/.rhosts文件 确保root的cron job文件里没有执行属于其它用户或人人可写的文件 修改/etc/securetty，去除终端ttyp0-ttyp9，使root只能从console或者使用ssh登陆。,禁止root用户远程登录,linux下: /etc/pam.d/login auth required pam_securetty.so 其它多数系统: /etc/default/login CONSOLE=/dev/console,U

34、NIX系统帐号安全,自动帐号封锁能够声明尝试登录失败的最大次数；一旦到达这个次数就封锁该帐号。 日期和时间限制能够声明在一周或一天的什么时候可以使用一个用户的帐号；这是为了防御深更半夜的黑客。 自动登录退出可以使长时间无反应的用户会话自动终止；这是有风险的，因为可能因一个合法的原因使一个会话显得不活跃,基本安全(linux),密码长度的强制定义 修改 /etc/login.defs PASS_MIN_LEN 5 为 PASS_MIN_LEN 8 设置root登陆的timeout /etc/profile: export TMOUT=7200,（Linux）用chage命令管理口令周期,chag

35、e -l username -m 最短周期 -M 最长周期 -I 口令到期到被锁定的天数 -E到期日期 -W 口令到期之前开始警告的天数 username,UNIX系统帐号安全,受限制的登录shell： 编辑profile文件(vi /etc/profile)，把这些行改成： HISTSIZE=20,UNIX系统帐号安全,口令安全 帐号安全 系统帐号安全巩固,UNIX系统帐号安全,策略传播 进行口令检查 产生随机口令 提前进行口令检查 口令更换,UNIX系统帐号安全,口令安全 口令禁忌 好的口令 写下口令 口令机制 Passwd文件剖析 口令的弱点,管理帐号 用户名 缺省帐号 共享帐号 禁用或

36、删除帐号 保护root 附加的帐号控制,UNIX系统入侵防范,UNIX系统物理安全 UNIX系统网络安全 UNIX系统帐号安全 UNIX文件系统安全 安全防范组件及工具,UNIX文件系统安全,文件权限 文件完整性 文件加密 文件备份,UNIX文件系统安全,文件权限 文件完整性 文件加密 文件备份,文件权限分类,读：允许读文件和目录内容。 写：允许修改、删除文件。 执行：允许执行二进制程序和脚本 目录粘着位：用户不能删除该目录下没有写权限的文件，尽管他对目录有写权限。 SUID: 程序以所有者而不是执行者的身份执行。 SGID（文件）: 类似SUID，程序以所在组的权限运行。,文件和目录的访问对

37、象,文件所有者； 文件所有组； 其它人。,文件权限,文件权限的8进制表示,属主,组,其它分别以一个8进制位表示,其中: r - 4 w - 2 x - 1,例子: “-rwxr-x-” 8进制表示为0750 0400 0200 0100 0040 0000 0010 0000 - 0750,文件权限,八进制数表示文件权限,文件权限Chmod/chown/chgrp,chmod (改变权限） #chmod o+r file (用户（u）、分组（g）、其他（0）) c h o w n（改变拥有权） #chown user1 file c h g r p（改变分组） #chgrp group1 fi

38、le,文件权限,umask值 当创建了一个新文件或目录时，它基于用户的权限屏蔽“umask”来确定缺省的权限设置。chmod命令用来声明要打开的权限，而umask命令用来指明要禁止的权限。 它用一个简单的三位数变元来声明在一个文件或目录被创建时应该被禁止的访问权限或被屏蔽的。 umask主要在系统范围及个人的登录文件.login或.profile中建立。,文件权限,应该设置root用户的umask为077，这使其它用户不能读写root新创建的文件。 在多数系统中，u m a s k的缺省值是0 2 2。,附加的文件权限属性,linux的ext2/ext3文件系统 lsattr chattr i

39、 禁止修改 #chattr +i files #chattr -i files,UNIX系统帐号安全,给口令文件和组文件设置不可改变位， rootcnns# chattr +i /etc/passwd rootcnns# chattr +i /etc/shadow rootcnns# chattr +i /etc/group rootcnns# chattr +i/etc/gshadow,SUID和SGID文件,SUID表示“设置用户ID”，SGID表示“设置组ID”。当用户执行一个SUID文件时，用户ID在程序运行过程中被置为文件拥有者的用户ID。如果文件属于root，那用户就成为超级用户。

40、同样，当一个用户执行SGID文件时，用户的组被置为文件的组。 Unix实际上有两种类型的用户ID。 “real user ID”是在登录过程中建立的用户ID。 effective user ID是在登录后的会话过程中通过SUID和SGID位来修改。,文件权限,#find /-type f (-perm -4000 -o -perm -2000) ls 这告诉find列出所有设置了SUID（“4000”）或SGID（“2000”）位的普通文件（“f”）。应该在每个本地系统中运行它。 rootkcn# chmod a-s /usr/bin/chage,UNIX文件系统安全,文件权限 文件完整性 文

41、件加密 文件备份,文件完整性,确保操作系统文件,尤其可执行程序/bin,/sbin,/usr/bin/usr/sbin)不被修改。 许多rootkit都要替换系统程序(如login,netstat,ps,ls等)来隐藏自己及安装后门,文件完整性,一般通过计算文件校验码（如MD5码）的方式来检验文件完整性 #md5sum -check bin.sum RPM检验和签名检查（linux） # rpm -verify timed -0.10-2,UNIX文件系统安全,文件权限 文件完整性 文件加密 文件备份,文件加密,Unix常用的加密算法有crypt(最早的加密工具)、DES(目前最常用的)、ID

42、EA(国际数据加密算法)、RC4、Blowfish(简单高效的DES)、RSA。 PGP还可以用来加密本地文件。现在常用的Linux下的PGP工具为：pgpe(加密)、pgps(签名)、pgpv(确认/解密)、pgpk(管理密钥),UNIX文件系统安全,文件权限 文件完整性 文件加密 文件备份,备份策略,第0天备份 完全备份 增量式备份 特别备份,备份命令,cp Tar（用于磁带机） Dump（把整个文件系统拷贝到备份介质上） -#dump 0f0 /dev/rst0 1500 /dev/sd0a -把一个SCSI硬盘(/dev/rsd0a)以0级备份到磁带(/dev/rst0)。 Resto

43、re（恢复整个文件系统或提取单个文件）,备份要注意的问题,检验备份 保护备份介质 把备份磁带写保护 定期把备份送到远离站点的地方 要留神介质的限制,UNIX系统入侵防范,UNIX系统物理安全 UNIX系统网络安全 UNIX系统帐号安全 UNIX文件系统安全 安全防范组件及工具,安全防范组件及工具,防火墙组件（ipchains和iptables) PAM认证(Pluggable Authetication Module) OpenSSH,PAM(Pluggable Authetication Module),PAM(Pluggable Authetication Module)框架将新的认证技术

44、方法加入操作系统中，同时不需要修改和认证相关的命令如login,su,ftp,telnet等。,PAM,PAM主要配置文件,PAM配置文件 /etc/pam.conf，指定PAM的认证策略。 ：service-name module-type control-flag module-path arguments 一个库文件 /usr/lib/libpam.so，实现模块加载和PAM框架结构。 多个模块 /usr/lib/security/,pam.conf,每行由以下元素组成： service-name module-type control-flag module-path argument

45、s,service-name,service-name 服务的名字：telnet、login、ftp等，服务名字“OTHER”代表所有没有在该文件中明确配置的其它服务。,模块类型,认证模块：认证用户。 帐号管理模块：检查口令时效，帐号失效，登录时间限制等。当用户由认证模块标识之后，帐号管理模块再继续检查是否可以给予用户存取权限。 会话管理模块：管理认证会话的建立和结束，提供会话日志记录和会话结束后的清理工作。 口令管理模块：管理口令及口令相关属性的修改。,control-flag,用来告诉PAM库该如何处理与该服务相关的PAM模块的成功或失败情况。 required 要使最终结果为成功，该模块

46、必需返回成功。 optional 即使当前模块返回失败，最终结果也可能成功，如果别的模块成功。 sufficient 如果当前模块返回成功，那么跳过后续的模块，即使后面有标识为required的模块。 requisite 如果失败，则跳过后面的模块，立刻返回失败。,module-path,/usr/lib/security/pam_unix.so.等认证模块 pam_unix模块：使用Unix口令做认证 Rhosts_auth模块:使用.rhosts文件和/etc/hosts.equiv为rsh和rlogin提供认证,arguments,是用来传递给该模块的参数。一般来说每个模块的参数都不相同

47、，可以由该模块的开发者自己定义，但是也有以下几个共同的参数： debug 该模块应当用syslog( )将调试信息写入到系统日志文件中。 no_warn 表明该模块不应把警告信息发送给应用程序。 use_first_pass 表明该模块不能提示用户输入密码，而应使用前一个模块从用户那里得到的密码。 try_first_pass 表明该模块首先应当使用前一个模块从用户那里得到的密码，如果该密码验证不通过，再提示用户输入新的密码。 use_mapped_pass 该模块不能提示用户输入密码，而是使用映射过的密码。 expose_account 允许该模块显示用户的帐号名等信息，一般只能在安全的环境

48、下使用，因为泄漏用户名会对安全造成一定程度的威胁。,例：通过pam配置ftpd的认证方式,首先用pam_ftp模块检查当前用户是否为匿名用户，如果是匿名用户，则sufficient控制标志表明无需再进行后面的认证步骤，直接通过认证； 否则继续使用pam_unix_auth模块来进行标准的unix认证，即用/etc/passwd和/etc/shadow进行认证； 通过了pam_unix_auth模块的认证之后，还要继续用pam_listfile模块来检查该用户是否出现在文件/etc/ftpusers中，如果是则该用户被deny掉。 ftpd auth sufficient /usr/lib/se

49、curity/pam_ftp.so ftpd auth required /usr/lib/security/pam_unix_auth.so use_first_pass ftpd auth required /usr/lib/security/pam_listfile.so onerr=succeed item=user sense=deny file=/etc/ftpusers,“wheel”组的成员才能用su成为root,1、编辑su文件(vi /etc/pam.d/su)在文件的头部加入下面两行： auth sufficient /lib/security/pam_rootok.so

50、 debug auth required /lib/security/pam_wheel.so group=wheel 2、让admin用户成为“wheel”组的成员 # usermod -G10 admin,防火墙组件,防火墙组件（ipchains和iptables),iptables,Iptables 中使用了三个规则链来过滤数据包。 INPUT规则链：用于处理进入防火墙的数据包 OUTPUT规则链：处理从防火墙发出的数据包 FORWARD规则链：处理转发的数据包,Iptables和ipchains,Iptables和ipchains的主要区别： PREROUTING和POSTROUTIN

51、G，这些规则用于实现伪装以及网络地址翻译； （Iptables的功能） 规则链的的匹配方法不同； iptables基于状态检测的功能。,ipchains,iptables,TCP_wrappers,配置TCP_wrappers /etc/hosts.allow in.telnetd:75:ALLOW in.ftpd:192.168.1.:ALLOW /etc/hosts.deny in.telnetd:ALL:DENY in.ftpd:ALL:DENY,第三方安全工具(一),SSH telnet/rsh/rlogin/ftp等的替代品 在不安全的网络上提供安全的加密通信,

52、SSH提供的功能 远程控制/管理服务器(替代telnet,rlogin) 远程执行命令(替代rsh) 在主机间安全的传送文件(替代ftp) 端口转发(为其它不安全的网络服务提供安全加密的网络连接),第三方安全工具(一),客户端发送连接请求,服务器发送公钥H和S,客户端校验H,然后用H和S加密N,以N为密钥进行加密连接,SSH服务器端,SSH客户端,H:公共主机密钥 S:公共服务器密钥 N:客户端产生的256 位随机数,ssh的下载和安装,ftp:/ ssh-3.2.5.tar.gz,ssh用法和选项,ssh l username hostname ssh usernamehostname ss

53、h usernamehostname command ssh -l username -L 7575:localhost:110 5,ssh提供的其它安全工具,sftp 安全ftp客户端 scp 安全远程拷贝工具 scp file userhostname:/path scp userhostname:/path/file /localpath,其他工具,TRIPWIRE：一个文件系统完整性检查工具。 TROJAN，一个可以被任何用户运行来检查特洛伊木马的perl程序。 /pub/tools/unix/trojan/troja

54、n.pl PGP，流行的邮件和文件加密程序。 /linux/RPM/pgp.html LIBDES，建立一个DES加密库和一个DES加密程序的工具。包括一个crypt(3)的快速实现。 ftp:/ftp.psy.uq.oz.au/pub/Crypto/DES/,其他工具,Lsof：确定那些进程正在运行以及使用的端口等等很多信息。 /pub/tools/unix/lsof,UNIX系统安全基础 UNIX系统安全规划 UNIX系统入侵防范 UNIX系统入侵检测 UNIX系统安全审计 UNIX系统入侵恢复,入侵检测系统,

55、UNIX系统入侵检测,异常检查 行为监视,UNIX系统入侵检测,异常检查 行为监视,异常检查,系统异常文件检查 系统资源占用检查 系统日志检查 本地帐号检查 网络流量检查,系统异常文件检查,检查系统中nouser, nogroup文件 find / -nouser -o nogroup 查找任何人都有写权限的文件 find / -type f perm -2 查找任何人都有写权限的目录 find / -type d perm -2 找出系统不寻常或隐藏的档案 find / -name . -print -xdev find / -name .* -print -xdev,系统异常文件检查,检查

56、系统中的suid程序 #find / -perm -004000 -exec ls -l ; 检查系统中的sgid程序 #find / -perm -002000 -exec ls -l ; ? 检查所有的.rhosts文件 #find / -name .rhosts -exec ls -l ;,系统资源占用检查,CPU资源 -Top 磁盘资源 -Df,du 网络资源 -Netstat -snoop -tcpdump,本地帐号检查,检查系统中的帐号 #more /etc/passwd 检查脆弱口令 #./john -single /etc/shadow 对比初始安装系统，确认系统缺省帐号的口令

57、正确设置,UNIX系统入侵检测,异常检查 行为监视,UNIX系统入侵检测,网络连接检测 监听端口检测 系统运行程序检测 连线记录检测,UNIX系统安全基础 UNIX系统安全规划 UNIX系统入侵防范 UNIX系统入侵检测 UNIX系统安全审计 UNIX系统入侵恢复,入侵检测系统,日志子系统,使用wtmp/utmp文件的连接时间日志； 使用acct或pacct文件的进程统计； 经过syslog实施的错误日志。,日志子系统,日志子系统,使用wtmp/utmp文件的连接时间日志； 使用acct或pacct文件的进程统计； 经过syslog实施的错误日志。,连接时间日志,有关当前登录用户的信息记录在文件utmp中； 登录进入和退出记录在文件wtmp中；数据交换、关机和重启也记录在wtmp文件中。 最后一次登录在文件lastlog中。 所有的记录都包含时间戳。,使用基于utmp/wtmp的命令,who命令 w命令 users命令 last命令 lastb命令 ac命令,使用基于utmp/wtmp的命令,who命令查询utmp文件并报告当前每个登录的用户。,使用基于utmp/wtmp的命令,w命令查询utmp文件并显示当前系统中每个用户和他所运