安全協(xié)議與標準07b-Linux安全(NCSE講義)ppt課件

1、平安協(xié)議與規(guī)范2021, 11強化Linux平安 第1節(jié) Linux系統(tǒng)綜述第2節(jié) Linux發(fā)行版的通用命令第3節(jié) Linux文件系統(tǒng)平安性A B第4節(jié) Linux帳號平安性第5節(jié) Linux的平安配置文件第6節(jié) NFS和NIS平安第7節(jié) 典型運用層效力第8節(jié) Linux平安性的評價第1節(jié) Linux系統(tǒng)綜述 Linux縱覽 Linux內核 Linux的特性 Linux與其他操作系統(tǒng)的區(qū)別 典型運用層效力 LinuxLinux的出現(xiàn)，最早開場于一位名叫Linus Torvalds的計算機業(yè)余喜好者，當時他是芬蘭赫爾辛基大學的學生。Linux以它的高效性和靈敏性著稱。它可以在PC計算機上實現(xiàn)全

2、部的Unix特性，具有多義務、多用戶的才干。Linux是一套Free免費運用和自在傳播的類Unix操作系統(tǒng)。the penguin, the Linux mascotUnix/Linux開展脈絡Redhat 9Redhat AS 4Redhat AS 5Debian 6Fedora 10 PreviewUbuntu 8.04Solaris 9LinuxLinux之所以遭到注重，主要緣由它具有Unix的全部功能，任何運用Unix操作系統(tǒng)或想要學習Unix操作系統(tǒng)的人都可以從Linux中獲益。 它屬于自在軟件，用戶不用支付任何費用就可以獲得它和它的源代碼，并且可以根據(jù)本人的需求對它進展必要的修正，

3、無償對它運用，無約束地繼續(xù)傳播。UNIX, GNU, Linux 關鍵人物及奉獻Ken Thompson, Dennis RitchieUNIX；60 年代末Brian Kernighan, Dennis RitchieThe C Programming Language 70 年代末Richard StallmanFSF，GNU，GPL，emacs，gcc 80 年代中Andrew S. TanenbaumMINIX : Design and Implementation 80/90Linus TorvaldsLinux；90 年代Eric Raymond，自在軟件領袖 Richard St

4、allmanEric Raymond“the most famous hackersthe author of The Cathedral and the Bazaar and the present maintainer of the Jargon File (also known as The New Hackers Dictionary). LinuxLinux操作系統(tǒng)軟件包不僅包括完好的Linux操作系統(tǒng)，而且還包括了文本編輯器、高級言語編譯器等運用軟件還包括帶有多個窗口管理器的X-Windows圖形用戶界面，好像我們運用Windows NT一樣，允許我們運用窗口、圖標和菜單對系統(tǒng)進展

5、操作豐富的運用軟件Linux 縱覽Linux可以分為四個主要部分Linux 內核函數(shù)庫Shell和工具運用程序0 Kernel1 文件構造庫，庫函數(shù)2 Shell3 ApplicationsLinux 縱覽Linux內核 Linux系統(tǒng)的內核Kernel,它提供了對硬件的一致接口 內核是在引導時裝入的程序內核識別硬件；初始化啟動腳本，并且運轉網(wǎng)絡和終端守護程序當啟動終了之后，內核又成為訪問硬件的通路，用來提供用戶層程序和硬件之間的接口Linux 內核的功能進程調度進程間通訊管理內存I/O驅動initinit/etc/inittab#ps -A | grep init Linux Shell S

6、hell是系統(tǒng)的用戶界面，提供了用戶與內核進展交互操作的一種接口它接納用戶輸入的命令并把它送入內核去執(zhí)行 # cat /etc/passwd | grep rootshell內核執(zhí)行Shell的多種版本Shell也有多種不同的版本。目前主要有以下版本的Shell Bourne Shell：是貝爾實驗室開發(fā)的 BASH：是GNU的Bourne Again Shell，是GNU操作系統(tǒng)上默許的shell Korn Shell：是對Bourne SHell的開展，在大部分內容上與Bourne Shell兼容C Shell：是SUN公司Shell的BSD版本 Linux文件構造 文件構造是文件存放在磁

7、盤等存儲設備上的組織方法。主要表達在對文件和目錄的組織上。目錄提供了管理文件的一個方便而有效的途徑Linux目錄采用多級樹形構造。Linux Hierarchical File System運用Linux，用戶可以設置目錄和文件的權限，以便允許或回絕其他人對其進展訪問 用戶可以閱讀整個系統(tǒng)，可以進入任何一個已授權進入的目錄，訪問那里的文件。#cd /#tree #ls -lLinux適用工具 規(guī)范的Linux系統(tǒng)都有一套叫做適用工具的程序，它們是專門的程序 ，適用工具可分三類： 用于編輯文件 用于接納數(shù)據(jù)并過濾數(shù)據(jù) 允許用戶發(fā)送信息或接納來自其他用戶的信息 編輯器過濾器交互程序內核的版本號 內

8、核的版本號分為三部分以為例主版本號：此內核是2。它闡明對內核的艱苦改良，很少改動次版本號：此內核是6。它闡明內核的穩(wěn)定性。偶數(shù)號如0、2、4等的內核是穩(wěn)定的產(chǎn)品版本。而奇數(shù)號(如1、3、5等)的內核是處于開發(fā)過程中的內核，普通包含著最近開發(fā)的實驗性代碼，它不太穩(wěn)定，有時能夠包含著致命的錯誤。修訂號：此內核是27。它闡明這一發(fā)布版本的增補級 Linux版本閱歷主要版本0.0191.8 7.5k0.0291.100.99/Slackware93.111.094.3 158kAlpha版95.62.096.7 649k2.299.11536k2.401.12888k2.603.12 4200k+2.

9、6.2708.10 10000k311.7圖示代碼規(guī)模：指數(shù)增長版本更新時間區(qū)間內核引見內核源文件 linux-.tar.bz2編譯內核 # make menuconfig # make # make modules_install # make install # rebootWhere to get/ lxr.linux.no/ Linux特性 Linux主要特性可靠的系統(tǒng)平安 開放性 多義務 豐富的網(wǎng)絡功能 多用戶 Linux主要特性良好的可移植性 良好的用戶界面 設備獨立性 Linux與其他操作系統(tǒng)的區(qū)別 Linux與MSDOS之間的區(qū)別 Linux與OS/2之間的區(qū)別 Linux與W

10、indows之間的區(qū)別 Linux與Windows NT之間的區(qū)別 Linux優(yōu)勢Linux從Unix社團獲益Linux是Free/Open的Linux的本錢優(yōu)勢Linux主要發(fā)行版Linux Distribution = Linux Kernel+ GNU Package+ Free/Open SoftwareRedhat / FedoracoreDebian (LinuxHurd)Ubuntu GentooMandrakeTurboLinuxRedflag4第2節(jié) Linux發(fā)行版的通用命令 Linux系統(tǒng)管理命令 Linux與用戶有關的命令 Linux常用命令 Linux系統(tǒng)管理命令wa

11、ll命令 這個命令的功能是對全部已登錄的用戶發(fā)送信息用戶可以先把要發(fā)送的信息寫好存入一個文件中，然后輸入 # wall 文件名 “表示輸入重定向 Linux系統(tǒng)管理命令write命令 write命令的功能是向系統(tǒng)中某一個用戶發(fā)送信息。該命令的普通格式為：#write 用戶帳號 終端稱號希望退出發(fā)送形狀時，按組合鍵即可。 另一個：talkLinux系統(tǒng)管理命令mesg指令 mesg命令設定能否允許其他用戶用write命令給本人發(fā)送信息。假設允許他人給本人發(fā)送信息，輸入命令： # mesg y 否那么，輸入：# mesg nLinux系統(tǒng)管理命令sync命令, 封鎖Linux系統(tǒng)時運用的。由于Li

12、nux系統(tǒng)，在內存中緩存了許多數(shù)據(jù)，在封鎖系統(tǒng)時需求進展內存數(shù)據(jù)與硬盤數(shù)據(jù)的同步校驗，保證硬盤數(shù)據(jù)在封鎖系統(tǒng)時是最新的，只需這樣才干確保數(shù)據(jù)不會喪失。普通正常的封鎖系統(tǒng)的過程是自動進展這些任務的，在系統(tǒng)運轉過程中也會定時做這些任務，不需求用戶干涉。sync命令是強迫把內存中的數(shù)據(jù)寫回硬盤，以免數(shù)據(jù)的喪失。 Linux系統(tǒng)管理命令shutdown命令，封鎖或重啟Linux系統(tǒng)。shutdown 選項 時間 警告信息命令中各選項的含義為- k 并不真正關機。而只是發(fā)出警告信息給一切用戶 - r 關機后立刻重新啟動 - h 關機后不重新啟動 - f 快速關機。重啟動時跳過fsck - n 快速關機。

13、不經(jīng)過init程序 - c 取消一個曾經(jīng)運轉的shutdown該命令只能由超級用戶運用poweroff, rebootpoweroffrebootCTL+ALT+DELLinux系統(tǒng)管理命令free命令的功能是查看當前系統(tǒng)內存的運用情況，它顯示系統(tǒng)中剩余及已用的物理內存和交換內存，以及共享內存和被中心運用的緩沖區(qū) 該命令的普通格式為：free -b | -k | -m命令中各選項的含義如下-b 以字節(jié)為單位顯示-k 以K字節(jié)為單位顯示-m 以兆字節(jié)為單位顯示 Linux系統(tǒng)管理命令uptime命令uptime命令顯示系統(tǒng)曾經(jīng)運轉了多長時間它依次顯示以下信息如今時間系統(tǒng)曾經(jīng)運轉了多長時間目前有多

14、少登錄用戶系統(tǒng)在過去的1分鐘、5分鐘和15分鐘內的平均負載 Linux與用戶有關的命令#who#who am I#wLinux與用戶有關的命令passwd命令 Linux系統(tǒng)中的每一個用戶除了有其用戶名外，還有其對應的用戶口令。因此需運用passwd命令為每一位新添加的用戶設置口令用戶以后還可以隨時用passwd命令改動本人的口令 只需超級用戶可以運用“passwd 用戶名修正其他用戶的口令，普通用戶只能用不帶參數(shù)的passwd命令修正本人的口令 mkpasswddebian5:# makepasswd -count 10wx5d7aNL459PTXxu1DS2tAvgP802aPb9gMjx

15、QUXa7AvUtH6yigxb3Kp9rpUav4fGKJm69Linux與用戶有關的命令su命令switch user 它可以讓一個普通用戶擁有超級用戶或其他用戶的權限，也可以讓超級用戶以普通用戶的身份做一些事情普通用戶運用這個命令時必需有超級用戶或其他用戶的口令輸入exit分開當前用戶的身份 Linux與用戶有關的命令su命令 該命令的普通方式為： su 選項 ? 運用者帳號C 執(zhí)行一個命令后就終了- 加了這個減號的目的是使環(huán)境變量和欲轉換的用戶一樣m 保管環(huán)境變量不變#su root -c cat /etc/shadowsudo命令Linux常用命令 ifconfig網(wǎng)絡配置命令 Li

16、nux無論是自動安裝還是手工安裝，Linux都會向用戶訊問有關網(wǎng)絡的問題并配置相關的軟件用于配置網(wǎng)卡的根本命令為ifconfigifconfig#ifconfig#ifconfig eth0 up#ifconfig eth0 down#ifconfig eth0 192.168.?.?#ifconfig eth0:1 192.168.?.?#ifconfig eth0 ether ?:?:?:?:?:?#ifconfig eth0 promisc#tcpdumpetc#ifup eth0#ifdown eth0arp, ping, traceroute, netstat, 管理后臺效力不安裝/

17、卸載/封鎖效力in redhatsetupservice start/stop ?ntsysv進程管理相關命令一 ps命令查看系統(tǒng)運轉的進程 # ps auxw a表示顯示系統(tǒng)中一切用戶的進程u表示輸出進程用戶所屬信息x表示也顯示沒有控制臺的進程假設顯示行太長而被截斷那么可以運用f參數(shù)pstree進程管理相關命令二netstat命令用來查看系統(tǒng)監(jiān)聽的效力 # netstat -ln l 表示顯示當前系統(tǒng)監(jiān)聽的端口信息n表示端口按照端口號來顯示，而不轉換為service文件中定義的端口名假設希望了解各個端口都是由哪些進程監(jiān)聽那么可以運用p參數(shù)進程管理相關命令三top命令用來查看當前系統(tǒng)運用情況

18、killkillkill -9killall renicelsoflsof is a command meaning list open files, which is used in many Unix-like systems to report a list of all open files and the processes that opened them. This open source utility was developed and supported by Vic Abell, the retired Associate Director of the Purdue U

19、niversity Computing Center. It works in and supports several UNIX flavors.Open files in the system include disk files, pipes, network sockets and devices opened by all processes. One use for this command is when a disk cannot be unmounted because (unspecified) files are in use. The listing of open f

20、iles can be consulted (suitably filtered if necessary) to identify the process that is using the files.第3節(jié)A Linux文件系統(tǒng)平安性Linux文件系統(tǒng)根底Linux文件系統(tǒng)平安性Linux文件系統(tǒng)根底Linux的樹型構造Linux下一些主要目錄的功用一/bin 二進制可執(zhí)行命令/dev 設備特殊文件/etc 系統(tǒng)管理和配置文件/etc/rc.d 啟動的配置文件和腳本/home 用戶主目錄的基點，比如用戶user的主目錄就是/home/user，可以用user表示/lib 規(guī)范程序設計庫，

21、又叫動態(tài)鏈接共享庫，作用類似windows里的.dll文件/sbin 系統(tǒng)管理命令，這里存放的是系統(tǒng)管理員運用的管理程序Linux下一些主要目錄的功用二/tmp 公用的暫時文件存儲點/root 系統(tǒng)管理員的主目錄/mnt 系統(tǒng)提供這個目錄是讓用戶暫時掛載其他的文件系統(tǒng)。/lost+found 系統(tǒng)非正常關機而留下的文件/proc 虛擬的目錄，是系統(tǒng)內存的映射?？芍苯釉L問這個目錄來獲取系統(tǒng)信息。/var 某些大文件的溢出區(qū)，比如說各種效力的日志文件Linux下一些主要目錄的功用三/usr 最龐大的目錄，要用到的運用程序和文件幾乎都在這個目錄。其中包含：/usr/X11R6 存放X window的

22、目錄/usr/bin 眾多的運用程序/usr/sbin 超級用戶的一些管理程序/usr/doc linux文檔/usr/include linux下開發(fā)和編譯運用程序所需求的頭文件/usr/lib 常用的動態(tài)鏈接庫和軟件包的配置文件Linux下一些主要目錄的功用四/usr/man 協(xié)助文檔/usr/src 源代碼，linux內核的源代碼就放在/usr/src/linux里/usr/local/bin 本地添加的命令/usr/local/lib 本地添加的庫 Linux文件系統(tǒng) 文件系統(tǒng)指文件存在的物理空間及其邏輯構造。Linux系統(tǒng)中每個分區(qū)都是一個文件系統(tǒng)，都有本人的目錄層次構造。linux

23、會將這些分屬不同分區(qū)的、單獨的文件系統(tǒng)按一定的方式構成一個系統(tǒng)的總的目錄層次構造。File links lnln -sLinux系統(tǒng)分區(qū)硬盤的分區(qū)主要分為根本分區(qū)Primary Partion擴展分區(qū)(Extension Partion)根本分區(qū)和擴展分區(qū)的數(shù)目之和不能大于四個 根本分區(qū)擴展分區(qū)根本分區(qū)根本分區(qū)安裝時的分區(qū)可以將Linux安裝在一個或多個類型為Linux native 的硬盤分區(qū). 還需求一個交換(swap)分區(qū), 這個分區(qū)的類型是Linux swap. 就是說安裝Linux至少需求兩個硬盤分區(qū)。一個或多個Linux native類型的分區(qū) 一個Linux swap類型的分區(qū)

24、分區(qū)命名規(guī)那么Linux經(jīng)過字母和數(shù)字的組合來標識硬盤分區(qū), 歸納如下前兩個字母 - 分區(qū)名的前兩個字母闡明分區(qū)所在設備的類型. 您將通常看到hd(指IDE硬盤), 或sd(指SCSI硬盤) 下一個字母 - 這個字母闡明分區(qū)在哪個設備. 例如,/dev/hda(第一個IDE硬盤) 或 /dev/sdb(第二個SCSI硬盤) 數(shù)字 - 代表分區(qū). 前四個分區(qū)(主分區(qū)或擴展分區(qū))用數(shù)字1 到4表示. 邏輯分區(qū)從5開場. 例如, /dev/hda3第一個 IDE硬盤上的第三個主分區(qū)或擴展分區(qū);/dev/sdb6是第二個SCSI硬盤上的第二個邏輯分區(qū)常用的分區(qū)配置一個根分區(qū) - 根分區(qū)是/(root)

25、所在地，保管內核和有關文件。這個分區(qū)不需求很大。需求留意的是要選擇Linux本身作為這個根分區(qū)的分區(qū)類型。一個boot分區(qū) -存放內核等啟動文件一個 /usr 分區(qū) - /usr 是Red Hat Linux系統(tǒng)的許多軟件的所在的地方，根據(jù)交換安裝的包的數(shù)量確定一個 /home 分區(qū) - 這是用戶的home目錄所在地；它的大小取決于系統(tǒng)有多少用戶, 以及這些用戶將存放多少數(shù)據(jù)一個交換分區(qū) - 交換分區(qū)用來支持虛擬內存，交換分區(qū)的尺寸通常是內存的大小的兩倍File SystemsExt2Ext3 兼容ext2添加了日志功能Ext4BTRFSReiser4 引薦運用XFS(非boot分區(qū))掛載文件

26、系統(tǒng)一 linux系統(tǒng)中每個分區(qū)都是一個文件系統(tǒng)，都有本人的目錄層次構造。linux會將這些分屬不同分區(qū)的、單獨的文件系統(tǒng)按一定的方式構成一個系統(tǒng)的總的目錄層次構造。這里所說的“按一定方式就是指的掛載掛載點必需是一個目錄一個分區(qū)掛載在一個已存在的目錄上，這個目錄可以不為空，但掛載后這個目錄下以前的內容將不可用掛載文件系統(tǒng)二掛載時運用mount命令格式：mount -參數(shù) 設備稱號 掛載點 -t auto/vfat/iso9660-o ro/rw/mnt/floppy/mnt/cdrom/etc/fstabless /etc/fstab關于nouser選項FS toolsfdiskmkfsmou

27、nt / umountfsckdfdumkswapswapon/swapoff第3節(jié)B Linux文件系統(tǒng)平安性Linux文件系統(tǒng)平安性(一) 控制臺和網(wǎng)絡(二) 引導與資源(三) 異常文件Linux文件系統(tǒng)平安性一制止運用控制臺程序 制止控制臺的訪問 防止sendmail被沒有授權的用戶濫用 使系統(tǒng)對ping沒有反響 不要顯示系統(tǒng)提示信息 路由協(xié)議 使TCP SYN Cookie維護生效 防火墻console.appscd /etc/security/console.appslsRemove any item you want制止控制臺程序pam.conf or pam.d#cd /etc/

28、pam.d/#cat poweroff#auth required pam_console.so制止控制臺訪問PAMPluggable Authentication Modulessendmail/etc/sendmail.cf :PrivacyOptions=authwarnings PrivacyOptions=authwarnings,novrfy,noexpn 杜絕濫發(fā)郵件/etc/postfix/* :ICMPPing/ICMP：ECHO-REQ, ECHO-REPLY#echo 1 /proc/sys/net/ipv4/icmp_echo_ignaore_all制止對ECHO-RE

29、Q反響Append to /etc/rc.d/rc.localissue修正 /etc/issue ，勿走漏線索信息/etc/inetd.conf :telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -h-h那么阻止顯示登陸信息xinetd:IP source routingIP source routing options: / 制止源路由選項#echo 0 /proc/sys/net/ipv4/conf/eth0/accept_source_routefor f in /proc/sys/net/ipv4/conf/*/acce

30、pt_source_route; doecho 0 $fdoneappend to /etc/rc.d/rc.localTCP SYNTCP SYN Attack#echo 1 /proc/sys/net/ipv4/tcp_syncookies#sysctl -w net.ipv4.tcp_syncookies=1可抵抗SYN攻擊Netfilter/iptableFirewallICF in winxpnetfilter/iptable$ iptables -A INPUT -s -j REJECT$ iptables -D INPUT -dport 80 -j DROP Linux文件系統(tǒng)平

31、安性二資源限制 更好地控制mount上的文件系統(tǒng) 把rpm程序轉移到一個平安的地方，并改動默許的訪問答應 登錄shell 創(chuàng)建一切重要的日志文件的硬拷貝 改動“/etc/rc.d/init.d/目錄下的腳本文件的訪問答應 limits.conf#less /etc/security/limits.conf* hard core 0/ 制止core dump* hard nproc 20/ 進程數(shù)限制20* hard rss 5000 / 內存限制5Min /etc/pam.d/login :session required /lib/security/pam_limits.somount/fs

32、tab#cat /etc/fstab選項：nosuid制止suid，sgidnoexec不執(zhí)行二進制文件nodev不運用設備符號rpm維護rpmchmod 700 /bin/rpm把文件 /bin/rpm 轉移到平安地方mount /mnt/floppymv /bin/rpm /mnt/floppy/.umount /mnt/floppyshell/.bash_historyin /etc/profile:HISTFILESIZE=20HISTSIZE=20log/var/log/防止日志被破壞在線打印: append /etc/syslog.conf authpriv.*;mail.* /d

33、ev/lp0#/etc/rc.d/init.d/syslog restart#service syslog / in redhat轉移到另外的效力器集中處置authpriv.*;mail.* mailserver/etc/rc.d/init.d/*chmod R 700 /etc/rc.d/init.d/*只需root有權限操作Linux文件系統(tǒng)平安性三異常和隱含文件 查找一切SUID/SGID位有效的文件查找任何人都有寫權限的文件和目錄 查找沒有主人的文件 查找“.rhosts文件 使Control-Alt-Delete關機鍵無效 .?ls -a#find / -name “.* -prin

34、tSUID/SGIDSUID#find /usr/bin -type f -perm -2000 -printSGID#find /usr/bin -type f -perm -4000 -printSUID/SGID文件能夠是被植入的*可寫文件#find . -perm -2 -print#find . -perm -20任何人都可寫的文件，能夠是入侵的遺留無主文件# find /dev -nouser -print# find /dev -nogroup -print無屬主文件的存在是有疑問的.rhosts#find /home -name .rhosts.rhosts等價主機，允許無需口

35、令的rlogin等CTLALTDELin /etc/inittab# Trap CTRL-ALT-DELETEca:ctrlaltdel:/sbin/shutdown -t3 -r now#init q加密文件系統(tǒng)例子：文件里的虛擬盤loopbackdd if=/dev/zero of=myd bs=1k count=1024losetup -e des | -e xor /dev/loop0 mydmke2fs /dev/loop0mount /dev/loop0 /mnt/mydumount /mnt/mydlosetup -d /dev/loop0 (detach)第4節(jié) Linux帳號

36、平安性系統(tǒng)平安記錄文件 啟動和登錄平安性 BIOS用戶口令帳號口令文件C-A-Dsuissue系統(tǒng)平安記錄文件操作系統(tǒng)內部的記錄文件是檢測能否有網(wǎng)絡入侵的重要線索 可以運轉來檢查系統(tǒng)所遭到的攻擊#more /var/log/secure | grep refusedcat /var/log/secure#last,lastlogless /var/log/secure | grep Failed根本日志W(wǎng)indows事件查看器IIS Log本地平安戰(zhàn)略本地戰(zhàn)略審核戰(zhàn)略等Linuxaccess-log 記錄HTTP/web的傳輸 acct/pacct 記錄用戶命令 aculog 記錄MODEM的

37、活動 btmp 記錄失敗的記錄 lastlog 記錄最近幾次勝利登錄的事件和最后一次不勝利的登錄 messages 從syslog中記錄信息有的鏈接到syslog文件 sudolog 記錄運用sudo發(fā)出的命令 sulog 記錄運用su命令的運用 syslog 從syslog中記錄信息通常鏈接到messages文件 utmp 記錄當前登錄的每個用戶 wtmp 一個用戶每次登錄進入和退出時間的永久記錄 xferlog 記錄FTP會話 啟動和登錄平安性BIOS平安 設置BIOS密碼且修正引導次序制止從軟盤啟動系統(tǒng)BIOS setup/user passwd 用戶口令 口令 $ mkpasswd口令

38、至少要有6個字符，最好包含一個以上的數(shù)字或特殊字符 口令不能太簡單，所謂的簡單就是很容易猜出來，也就是用本人的名字，號碼、生日、職業(yè)或者其它個人信息作為口令 口令必需是有有效期的，在一段時間之后就要改換口令 口令在這種情況下必需作廢或者重新設定：假設發(fā)現(xiàn)有人試圖猜測他的口令，而且曾經(jīng)試過很多次了 不要運用單一口令Zip crackersampleAdvanced ZIP Password Recovery statistics:Encrypted ZIP-file: sdjfks.zipTotal passwords: 2,091,362,752Total time: 6m 58s 725ms

39、 Average speed (passwords/s): 4,994,597Password for this file: 7uee23Password in HEX: 37 75 65 65 32 33 login.defs/etc/login.defsPASS_MIN_LEN 58PASS_MAX_DAYS 9999999帳號一特殊的帳號制止操作系統(tǒng)中不用要的預置帳號 刪除一些不用要的組 在系統(tǒng)中參與必要的用戶 “不許改動位可以用來維護文件使其不被不測地刪除或重寫，也可以防止有些人創(chuàng)建這個文件的符號銜接userdel#useradd ?#userdel ?#groupadd ? #gro

40、updel ?#passwd ?#chattr +i ?/ 文件只讀如passwd, shadow, group, gshadow帳號二 root帳號“root帳號是Unix系統(tǒng)中享有特權的帳號“root帳號是不受任何限制和制約的 不要隨意用root帳號登錄 #su/ 暫時啟用root身份帳號三加密 加密時要用到密匙，密匙是一個特殊的數(shù)字，把密匙和需求加密的信息經(jīng)過加密算法加密之后，只需知道密匙的人才干把信息讀出來 通訊加密OpenSSLApacheOpenSSLOpenSSHsshd，putty口令文件 chattr命令給下面的文件加上不可更改屬性，從而防止非授權用戶獲得權限。 # chat

41、tr +i /etc/passwd # chattr +i /etc/shadow # chattr +i /etc/group # chattr +i /etc/gshadow 制止Ctrl+Alt+Del重新啟動機器命令修正/etc/inittab文件將該行注釋掉ca:ctrlaltdel:/sbin/shutdown -t3 -r now重新設置/etc/rc.d/init.d/目錄下一切文件的答應權限，運轉如下命令 # chmod -R 700 /etc/rc.d/init.d/* 限制su命令 防止任何人都可以用su命令成為root 在“/etc/pam.d/su文件中參與 auth

42、 sufficient /lib/security/pam_rootok.so debug auth required /lib/security/pam_wheel.so group=wheel只需“wheel組的成員才干用su命令成為root。舉例：讓admin用戶成為“wheel組的成員rootdeep# usermod -G10 admin “10是“wheel組的ID值刪減登錄信息 默許情況下，登錄提示信息包括Linux發(fā)行版、內核版本名和效力器主機名等 編輯/etc/rc.d/rc.local將輸出系統(tǒng)信息的注釋掉清空 /etc/issue, /etc/第5節(jié) Linux的平安配置

43、文件一“/etc/exports文件“/etc/inetd.conf文件“/etc/aliases文件“/etc/host.conf文件“/etc/services文件“/etc/securetty文件 “/etc/lilo.conf文件GRUB多重啟動管理器Linux的平安配置文件二“/etc/rc.d/rc.local文件 “/etc/sysctl.conf文件syslog 系統(tǒng)日志工具 /etc/sysconfig/network-scripts/ 目錄/etc/sysconfig/network NFS/exports/etc/exports : /dir/to/export host

44、1.mydomain(ro,root_squash) 只讀, 抵抗root特權inetd/etc/inetd.conf制止注釋掉暫不需求的效力ftp,telnet,talk,finger,shell,login,#killall HUP inetd/ 重讀配置#chmod 600 #chattr +i #stat tcp_wrappers/etc/hosts.allowsshd: , host1.my/etc/hosts.denyALL:ALL#tcpdchk/ tcpd+inetdsendmail/aliases/etc/aliases注釋掉不用要的項# vi /etc/aliases# /

45、usr/bin/newaliaseshost.conf查找域名的順序/etc/host.conforder hosts,bindmulti on/ 有多IP主機nospoof on/ 制止IP偽裝#man host.confservices/etc/services#less /etc/services#chattr +i securetty/etc/securetty / login運用“tty注釋掉不用要和不被信任的tty#cat /etc/inittab / ttylilo.conf/etc/lilo.conftimeout = 0restrictedpassword=?#chmod 6

46、00 /etc/lilo.conf#chattr +i /etc/lilo.conf #lilogrub.conf/boot/grub/*/etc/grub.conf:password ?password -md5 ?grubmd5cryptissue清空/etc/issue/etc/查看/ect/rc.d/rc.local留意勿走漏OS敏感信息sysctl.conf/proc/sys/#sysctl -a/ 顯示一切可控項#sysctl -w net.ipv4.ip_forward=1修正 /etc/sysctl.confnet.ipv4.ip_forward = 1可以拼加到rc.sysi

47、nit中#less /etc/rc.d/rc.sysinitsyslogd/etc/syslog.conffacilityauth,cron,daemon,kern,lpr,mail,levelemerg,alert,crit,err,warning,notice,info,debug,noneactionfile,term,host,username,npipesyslogsyslogd -r -h-r 接受遠程進入信息-h /hop 轉發(fā)klogd記錄內核信息klogd通常會傳送信息給syslogd，也可以寫入指定文件(-f fname)其他日志/var/log/*#cd /var/log

48、/sambacroncyclognetwork-scripts#cd /etc/sysconfig/network-scripts/ifupifdown#ifup eth0#cat ifcfg-eth0#cat ifcfg-lonetwork/etc/sysconfig/network#cat /etc/sysconfig/networkNETWORKING=YES/NOGATEWAY=?.?.?.?GATEWAYDEV=eth0 /?HOSTNAME=myname第6節(jié) NFS和NIS平安什么是NFS什么是NISNFS和NIS的平安問題？什么是NFS基于RPCremote procedure

49、 call協(xié)議的網(wǎng)絡文件系統(tǒng)，是由Sun Microsystems公司最早于1980年實現(xiàn)的，用于在異種UNIX操作系統(tǒng)共享文件NFS的客戶端/效力器實現(xiàn)構造使得遠程磁盤對于本地客戶端是透明可見的。它經(jīng)過幾個守護進程和配置文件來實現(xiàn)文件共享NFS 如何任務由于NFS運轉于面向無銜接不需求對傳輸數(shù)據(jù)包進展任何確認的UDP協(xié)議上，NFS那么試圖強迫對它發(fā)送的每一個命令進展確認假設收到確認，那么繼續(xù)發(fā)送數(shù)據(jù)。假設在特定時間內未收到確認，數(shù)據(jù)將被重傳 74563212745632126451 ack2 ack確認NFS的配置文件NFS的配置文件/etc/exports，它定義了哪些共享和對誰是可用的/

50、etc/fstab，它包含了在客戶端上被安裝的文件系統(tǒng)列表 /nfs-howto/exports,fstab/etc/exports :/usr/local/pub host1.mydomain(ro,root_squash) 只讀/etc/fstab#cat /etc/fstab / 掛到/pub位置server:/usr/local/pub /pub nfs rsize=8192,wsize=8192,timeo=14,intr什么是NISNetwork Information Service網(wǎng)絡信息效力，通常還稱為Yellow Pages黃頁，是一種集中管理系統(tǒng)通用訪問文件的分布式數(shù)據(jù)庫

51、系統(tǒng)。master效力器存放這些文件，而客戶端那么經(jīng)過網(wǎng)絡訪問其中的信息Master/Slave + Client/etc/nsswitch.confNIS的實現(xiàn)NIS的實現(xiàn)是經(jīng)過幾個守護進程ypserv是效力器守護進程ypbind是客戶端進程以構造NIS懇求maps可以在更新后手工運用yppush傳送到slave效力器，或者經(jīng)過ypxfrd進程自動slave效力器檢查效力器上的時間戳以進展正確的更新傳送。 NFS和NIS的平安問題NFS的平安問題NIS效力的平安問題維護NFS 維護NIS NFS的平安問題 NFS運用AUTH_UNIX的認證方法即非顯式信任NFS客戶端在效力器的UID用戶ID

52、和GID組ID對于文件系統(tǒng)共享輸出export時被明確地指定了允許root用戶訪問的權限，任何在NFS客戶端獲取了root權限的攻擊者都能夠會隨便控制NFS效力器。攻擊者經(jīng)過編寫設置UID和GID值的程序，使其有權訪問NFS效力器端任何用戶的文件NFS守護進程效力器還不時被發(fā)現(xiàn)存在緩沖區(qū)溢出破綻#man exports / 末尾有例子NIS效力的平安問題DoS攻擊在多臺客戶端上運用finger效力緩沖區(qū)溢出攻擊libnaslNIS maps查詢弱認證和其各個守護進程也存在各自的平安問題NFS，NIS運轉在非特權端口cat /etc/services | grep nfs維護 NFS 安裝最新的

53、NFS補丁 檢查/etc/exports文件 確保一切被共享的文件名不超越256字符 確保/etc/exports和/etc/netgroups的訪問權限為644，屬主為root，組用戶為root或sys 在被輸出文件系統(tǒng)機器上運轉fsirand抵抗對文件句柄的猜測激活NFS的端口監(jiān)視 in solaris維護 NIS確保安裝了最新的NIS補丁 確保NIS maps能否與本地口令文件是相互獨立的 檢查用戶口令強度 檢查空口令 確?？诹钣蛑?的正確運用 /nis-howto/平安替代品Secure NFSNIS+/LDAPCFS第7節(jié) 典型運用層效力FTP (Wu-Ftpd)TelnetSMTP

54、 (Sendmail)WWW (Apache)FTPDanonftpwu-ftpd/ vsftpd in FC#rpm ivh wu-ftpd.x.x.x.i386.rpmFTP (Wu-Ftpd)FTP效力器的配置文件/etc/ftpusers/etc/ftpconversions/處置緊縮/etc/ftpgroups/etc/ftphosts/etc/ftpaccessftpd/etc/ftphostsallow ftpadmin deny ftpadmin /etc/ftpaccess# /etc/ftpaccess wu-ftpd conf fileclass user real *

55、/ or guest/anonymouspasswd-check rfc822 warn loginfails 3limit remote 20 any /msg.fileTelnetTelnet面臨的主要平安問題運用者認證 數(shù)據(jù)傳送嚴密 防備針對telnet的攻擊Telnet本身的缺陷沒有口令維護，遠程用戶的登陸傳送的帳號和密碼都是明文，運用普通的sniffer都可以被截獲沒有強力認證過程。只是驗證銜接者的帳戶和密沒有完好性檢查。傳送的數(shù)據(jù)沒有方法知道能否完好的，而不是被篡矯正的數(shù)據(jù)。傳送的數(shù)據(jù)都沒有加密snifferNetXRay / Sniffer Pro 演示數(shù)據(jù)傳送嚴密使數(shù)據(jù)在Tel

56、net會話中平安傳送的方法運用Diffie-Hellman進展密鑰交換運用DES、3DES、IDEA加密會話運用公鑰私鑰加密簽名telnettelnet xxx 80telnet xxx 20sshOpenSSHSSH基于舊的paswd機制基于公鑰的機制SMTPSendmailSendmail是在Unix環(huán)境下運用最廣泛的實現(xiàn)郵件發(fā)送/接受的郵件傳輸代理程序設置Sendmail運用smrsh決議smrsh可以允許sendmail運轉的命令列表 #cd /etc/smrsh在“/etc/smrsh目錄中創(chuàng)建允許sendmail運轉的程序的符號銜接 配置/etc/sendmail.cf使之運用受限shellpostfix