《unix系统安全》PPT课件.ppt_第1页
《unix系统安全》PPT课件.ppt_第2页
《unix系统安全》PPT课件.ppt_第3页
《unix系统安全》PPT课件.ppt_第4页
《unix系统安全》PPT课件.ppt_第5页
已阅读5页,还剩125页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

,*NIX系统安全,曹鹏 资深安全顾问,CISP, CCID安全专栏作家 东软NETEYE策划部 北京 ,2003 Neteye. All rights reserved. Confidential Do Not Copy or Distribute,四月 2003,认识UNIX系统 了解UNIX系统的基本安全知识和安全配置 3. 如何安全配置常用的服务进程 4. 了解UNIX下常用安全工具的使用 5. 了解系统入侵,通过本课程的学习,将使您掌握以下知识:,系统安全基础,安全的首要问题是用户的安全意识不足 安全产品解决不了所有的安全问题 突破防火墙的途径 安全的相对性和暂时性 真正的安全来自于安全配置的操作系统 以及完善的用户管理制度,配置安全操作系统的关键: 1. 去掉不必要的服务 2. 去掉默认的用户账户 3. 使用强壮的口令 4. 严格设置文件读写权限 5. 激活审计与日志功能 6. 关注各种漏洞的发布和及时升级补丁 7. 物理环境的安全 8. 设置non-exec stack,系统安全基础,课程模块,Module 1: UNIX系统基本知识 Module 2: UNIX系统基本安全知识和安全配置 Module 3: UNIX常用服务进程的安全配置 Module 4: UNIX下常用安全工具介绍 Module 5: 了解系统入侵 Module 6: Linux系统配置经验,Module 1: UNIX系统基本知识,操作系统简介 1. 安装在硬件设备上的软件; 2. 允许系统执行基本功能的软件; 3. 多数网络设备通过网络操作系统执行基本的网络服务;,操作系统,UNIX系统概况,什么是UNIX?,UNIX是: 1. Novell公司的注册商标 2. 多任务、多用户的操作系统 3. 相关操作系统应用工具、编译程序的总称 4. 功能丰富的可扩展、开放的计算环境,UNIX简介,在互联网上应用最广 种类最多 有多家厂商提供不同的版本,UNIX变种关系图,Module 2: UNIX系统基本安全知识和安全配置,系统安全基础,安全来自于安全配置的操作系统 许多安全问题源于系统的部署和薄弱的配置 1. 默认配置 2. 改变的二进制代码 3. 未授权访问,默认配置,与默认配置有关的系统风险: 1. 许多特征与服务是可用的; 2. 默认的用户账户被打开: 3. Guest 账户 4. 空口令账户 5. 宽松的访问控制,改变的二进制代码,攻击者可能会利用弱配置的系统,改变的系统文件或植入木马程序. 损害的操作系统呈现以下的危险: 有可进入系统的后门 2. 密码泄露 3. 系统安全措施失效 4. 不可靠的系统或审计日志,未授权访问,默认账户或合法用户账户仅通过简单的口令进行防护,这为攻击者提供一个进入系统的简单的攻击点。 具有合法用户权限的攻击者利用权限提升的漏洞来获得管理员权限 一些提供远程服务的进程没有限制访问,被远程溢出,UNIX的安全威胁,管理类的威胁 1. 缺乏本地安全策略 2. 没有重视多余服务进程的危害性 3. 错误的配置 4. 弱口令,技术类的威胁 1. 软件本身的缺陷(缓冲区溢出) 2. 会话劫持,窃听等,UNIX安全威胁的种类?,UNIX系统安全基础,本地(物理)安全,系统补丁,安全配置,网络安全,安全管理策略,物理安全,保护硬件环境 ; 保护硬件; 关闭不用的接口:并行口、串行、红外或USB; 设置开机口令; 严格限制对系统的物理存储; 安装操作系统时应该在非生产的网络中,或放置在断开的网络中; 使用第二系统来接收厂商提供的升级报或补丁程序,系统安装,使用常规介质;备份可能包括改变的代码 对于具有网络功能的设备只安装必要的选项 系统安装结束后,将最新的补丁程序打上 去掉不用的用户名或者修改其密码 使用第二系统来获得补丁程序 在正式装补丁程序前需要校验(md5sum) 随时注意并更新系统和软件补丁,日志审计,审计特性: 1. 操作系统都具有一些审计与日志的功能 2. 安全配置的操作系统应使用这些特性 3. 审计与日志会纪录各种应用软件的事件,系统消息及用户活动,例如用户登陆等。 4. 应用服务进程自身也有日志功能,日志审计,1. 提供一种追踪用户活动的方法 2. 系统管理员可以知道系统的日常活动 3. 及时了解和处理安全事件 4. 它是一种在安全事件发生后,可以提供法律证据的机制,为什么要启用审计?,日志审计,1. 在UNIX中, 主要的审计工具是 syslogd, 2. 可以通过配置这个后台进程程序,可以提供各种水平的系统审计和指定输出目录,如何启用审计?,帐号安全基础,选择复杂口令的意义:,防止两层攻击 基于用户信息简单密码猜测 基于口令强制猜测程序的攻击,人类倾向于使用易于猜测到的口令, 这在使用字典猜测攻击面前变得非常脆弱,口令选择的弱点:,选择口令的原则,如何选择口令?,严禁使用空口令和与用户名相同的口令 不要选择可以在任何字典或语言中找到的口令 不要选择简单字母组成的口令 不要选择任何和个人信息有关的口令 不要选择短于6个字符或仅包含字母或数字 不要选择作为口令范例公布的口令 采取数字混合并且易于记忆,口令的管理,如何保管好自己的口令?,不要把口令写在纸上 不要把口令贴到任何计算机的硬件上面 不要把口令以文件的形式放在计算机里 不要把口令与人共享 5. 防止信任欺骗(电话,E-mail等),Passwd文件剖析,条目的格式: name:coded-passwd:UID:GID:user-info:homedirectory:shell 2. 条目例子: jrandom:Npge08fdehjkl:523:100:J. Random:/home/jrandom:/bin/sh 3. 密文的组成 Salt + 口令的密文 Np ge08fdehjkl,帐号管理,1. 伪用户帐号 通常不被登录,而是进程和文件所有权保留位置,如bin、daemon、mail和uucp等。 2. 单独命令帐号 如date、finger 、halt等帐号。 3. 相应策略 检查/etc/passwd文件,确保口令域中是 “*”,而非空白。 4. 公共帐号 原则上每个用户必须有自己的帐号,若一个系统必须提供guest帐号,则设置一个每天改变的口令。最好是设置受限shell,并且做chroot限制.,禁用或删除帐号,1.禁用帐号 在/etc/passwd文件中用户名前加一个“#”,把“#”去掉即可取消限制。 2. 删除帐号 a) 杀死任何属于该用户的进程或打印任务。 b) 检查用户的起始目录并为任何需要保存的东西制作备份。 c) 删除用户的起始目录及其内容。 d) 删除用户的邮件文件(/var/spool/mail)。 e) 把用户从邮件别名文件中删除(/etc/sendmail/aliases)。,保护root,除非必要,避免以超级用户登录。 严格限制root只能在某一个终端登陆,远程用户可以使用/bin/su -l来成为root。 不要随意把root shell留在终端上。 若某人确实需要以root来运行命令,则考虑安装sudo这样的工具,它能使普通用户以root来运行个人命令并维护日志。 不要把当前目录(“ . /”)和普通用户的bin目录放在root帐号的环境变量PATH中。 永远不以root运行其他用户的或不熟悉的程序,受限环境,应用受限制shell(restricted shell) 1. 不能用cd命令切换到其它工作目录 2. 不能改变PATH环境变量 3. 不能执行包含“ / ” 的命令名 4. 不能用“”和“”重定向输出 创建chroot jail chroot()系统调用改变一个进程对root目录所在位置的,如调用chroot(“/usr/restricted”)后,访问的根目录/其实是/usr/restricted。,巩固帐号安全,加强口令安全,1. 策略传播(对用户培训和宣传) 2. 进行口令检查 3. 产生随机口令 4. 口令更新 5. 设置口令失效时间,巩固帐号安全,使用影子口令(shadow)文件,组成 /etc/passwd :口令域置为“X”或其它替代符号。 /etc/shadow:只被root或passwd等有SUID位的程序可读。 设置影子口令 在可选影子口令系统中,执行pwconv命令。,除了包含用户名和加密口令还包含以下域: 1. 上次口令修改日期。 2. 口令在两次修改间的最小天数。 3. 口令建立后必须修改的天数。 4. 口令更改前向用户发出警告的天数。 5. 口令终止后被禁用的天数。 6. 自从1970/1/1起帐号被禁用的天数。 7. 保留域。 示例: root:*:10612:0:99999:7:,/etc/shadow文件剖析,文件系统的安全,文件类型 1. 普通文件文本文件,二进制文件。 2. 目录包括一组其它文件的二进制文件。 3. 特殊文件/dev目录下的设备文件等。 4. 链接文件硬链接和符号链接。 5. Sockets进程间通信时使用的特殊文件。,i-node包含的信息 1. UID文件拥有者。 2. GID 文件的权限设置。 3. 模式节点上次修改时间。 4. 文件大小文件所在的分组。 5. 文件类型文件、目录、链接等。 6. ctimei-访问时间。 7. mtime文件上次修改时间。 8. atime文件上次以字节为单位。 9. nlink硬链接的数目。,文件系统的安全,文件系统权限,各种许可权限的含义是什么?,计算8进制权限位,如何计算各种权限位?,计算文件权限的例子,某文件的权限位为: ”-rwxr-x-” 转换成8进制为: 0750 即: 0400 0200 0100 0040 0000 0010 + 0000 - 0750,ls -l 命令可以来显示文件名与特性。 下面信息的第一栏可以表明文件类型和该文件赋予不同组用户的权限,查看文件权限,文件修改命令,1. chmod 改变文件权限设置。 2. chgrp 改变文件的分组。 3. chown 改变文件的拥有权。 4. Chattr 设置文件属性,操作实例,1. 取消groups 与others 组用户的读权限 2.目录的r与x的设置 3.目录”粘着位”的设置,umask值,什么是umask值?,用来指明要禁止的访问权限,通常在登录文件.login或.profile中建立。 三位8进制值 用来指定新创建文件和目录权限的缺省许可权限 通过umask值来计算文件目录的许可权限(mod&umask 常用的值有022,027,077,SUID和SGID,什么是SUID和SGID程序?,UNIX中的SUID(Set User ID)/SGID(Set Group ID)设置了用户id和分组id属性,允许用户以特殊权利来运行程序, 这种程序执行时具有宿主的权限.,如passwd程序,它就设置了SUID位 -r-s-x-x 1 root root 10704 Apr 15 2002 /usr/bin/passwd SUID程序 passwd程序执行时就具有root的权限,SUID和SGID,为什么要有SUID和SGID程序?,SUID程序是为了使普通用户完成一些普通用户权限不能完成的事而设置的.比如每个用户都允许修改自己的密码, 但是修改密码时又需要root权限,所以修改密码的程序需要以管理员权限来运行.,非法命令执行和权限提升 为了保证SUID程序的安全性,在SUID程序中要严格限制功能范围,不能有违反安全性规则的SUID程序存在。并且要保证SUID程序自身不能被任意修改。,SUID和SGID,SUID程序对系统安全的威胁.,用户可以通过检查权限模式来识别一个SUID程序。如果“x”被改为“s”,那么程序是SUID。如: ls -l /bin/su -rwsr-xr-x 1 root root 12672 oct 27 1997 /bin/su 查找系统中所有的SUID/SGID程序 find find / -type f ( -perm +4000 -or -perm +2000 ) -exec ls -alF ; 用命令 chmod u-s file 可去掉file的SUID位,堆栈溢出攻击,有漏洞的SUID程序 在SUID程序堆栈中填入过长的数据, 使数据覆盖返回地址. 执行攻击者指定的代码.,SUID程序 服务进程,攻击目标,来自buffer overflow的威胁,越来越多的buffer overflow被发现 Internet上可以获得大量利用buffer overflow漏洞攻击的程序 一旦被成功攻击,系统将暴露无遗 更多的攻击形式(heap, format),堆栈溢出的危害,防止堆栈溢出攻击,及时发现系统和应用程序存在的问题 及时下载并修补最新的程序和补丁 去掉不必要或者发生问题的SUID程序s位 养成良好的编程习惯,如何更好的防止堆栈溢出攻击?,1. Libsafe: /project/libsafe/ 2. PAX: non-exec stack module / 3. RSX: non-exec stack/heap module /software/rsx/ 4. kNoX:non-exec stack/heap module http:/isec.pl/projects/knox/knox.html,设置 non-exec stack,文件的特殊属性,针对特定系统的特殊文件属性/标志,Linux下的chattr命令 Freebsd下的chflags命令 sappnd设置只追加标志 schg设置不可改变标志 sunlnk设置不可删除标志,文件系统的结构,常见目录的用途,/bin 用户命令可执行文件。 /dev 特殊设备文件。 /etc 系统执行文件、配置文件、管理文件。 /home 用户的起始目录。 /lib 引导系统及在 root 文件系统中运行命令所需共享。 /lost+found 与特定文件系统断开连接的丢失文件。 /mnt 临时安装的文件系统。 /proc 伪文件系统,是到内核数据结构或运行进程的接口。 /sbin 为只被root使用的可执行文件及引导系统启动的文件。 /usr 分成许多目录,包含可执行文件、头文件、帮助文件。 /var 用于电子邮件、打印、cron等的文件,统计、日志文件。,文件系统权限限制,与安全有关的mount选项 noodev noexec nosuid rdonly,网络服务安全,服务: 服务就是运行在网络服务器上监听用户请求的进程,服务是通过端口号来区分的. 常见的服务及其对应的端口 ftp : 21 telnet : 23 http(www) : 80 pop3 : 110,网络服务安全,1. inetd超级服务器 inetd 的功能 inetd 的配置和管理 2. 服务的关闭 关闭通过inetd启动的服务 关闭独立启动的服务 3. inetd 的替代品 xinetd() xinetd 比inetd更多管理功能 xinetd 的配置,网络服务安全,建议禁止使用的网络服务,finger tftp r系列服务 telnet 大多数rpc服务 其他不必要的服务,网络服务安全,系统启动脚本,sysV风格的启动脚本 rcX.d/KNprog SNprog K03rhnsd K24irda S10network S90crond K05anacron K25squid K60lpd S12syslog K05keytable K30sendmail S91smb 2. BSD风格的启动脚本 /etc/rc.conf sshd_enable=“YES”,网络服务安全,使用命令工具来监视网络状况,netstat ifconfig Linux下的socklist Freebsd下的sockstat lsof I tcpdump,系统记帐,1. 普通的系统记账 连接/登录记账 ac命令(记录登录时长) last命令 who命令 w命令 lastlog/lastlogin命令 2.进程记账 打开进程记账(FreeBSD为例) cd /var/account touch acct savacct usracct accton /var/account/acct sa a lastcomm,系统记帐,系统计帐的相关记录文件,/var/run/utmp /var/log/wtmp /var/account/acct,系统日志,syslog的功能 syslog的配置 把syslog的信息输出到其它服务器或打印机把syslog的信息输出到打印机: authpriv.*;mail.*;local7.*;auth.*; /dev/lp0 4.系统日志/记账信息可以做什么和不可以做什么 5. syslog的替代品,syslog工具,软件厂商的安全信息,Sun(Solaris) /pub-cgi/show.pl?target=patches/patch-access IBM(AIX) /services/continuity/recovery1.nsf/advisories HP(HP-UX) SGI(IRIX) /support/security/index.html Compaq (Tru64 UNIX, OpenVMS, Ultrix) /public Linux(RedHat Linux) /apps/support/errata/ Freebsd http:/www.FreeBSD.org/security/ 美国国家安全局发布的SE-Linux补丁 /selinux,Module 3: UNIX常用服务器软件的配置,系统服务安全,什么是服务?,服务就是运行在网络服务器上监听用户请求的进程 服务是通过端口号来区分的,关闭服务,在UNIX系统中, 服务是通过inetd 进程或启动脚本来启动 通过 inetd 来启动的服务可以通过在/etc/inetd.conf 文件中注释来禁用 通过启动脚本启动的服务可以通过改变脚本名称的方式禁用,Inetd配置文件,启动脚本,UNIX启动脚本目录 /etc/rc*.d/,禁用启动脚本 改变脚本名,使他不以大写的S 开头,WWW服务器安全,一旦出现问题造成的损失很大 企业形象的损害 信息资产的流失 对公众开放,成为众多攻击者的目标,WWW服务有何特殊性?,典型的Apache服务器配置图,WWW服务器安全,WWW服务器安全,Apache服务器软件的编译和安装 相关网址 /dist/httpd/ / / /,WWW服务器安全,Apache服务器配置应注意哪些问题?,1. 尽量使用高版本的服务器程序 2. 给WWW文档所在目录设置正确的权限 3. 不要以root身份运行服务器程序 4. 在CGI程序中不要信任用户输入的任何信息,特别是“ ” | * ? ( ) $ n r t 0 # /”一类的字符 5. 禁止自动目录列表 (Options Indexes),WWW服务器安全,对特殊文件配置保护 (如 .* 开头的文件,.bak 文件等): Order allow,deny Deny from all Order allow,deny Deny from all ,1) Access_log: 10 - - 24/Nov/2002:19:45:25 +0800 “GET / HTTP/1.1“ 304 - “-“ “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)“ 10 - - 24/Nov/2002:19:45:25 +0800 “GET /icons/apache_pb.gif HTTP/1.1“ 304 - “14/“ “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)“ 2) Error_log: Mon Nov 25 08:53:28 2002 notice child pid 898 exit signal Segmentation fault (11) Mon Nov 25 12:07:14 2002 error client 14 request failed: error reading the headers Mon Nov 25 12:10:06 2002 error client 14 request failed: error reading the headers,WWW服务器安全,Apache日志审查:,FTP服务器安全,必须以root身份运行 以明文传输数据(包括用户名和口令),FTP服务器的安全问题?,FTP服务器安全,FTP服务器安全注意事项?,对匿名ftp服务器尽量不要开放写权限 禁止root登录 敏感信息不要通过ftp传递 对连接数和带宽加以限制 记录详细的日志 进行访问控制 使用安全性好的ftp服务器 对于提供ftp帐号的用户,如果是系统用户, 最好能把用户shell设置成/bin/true,FTP服务器安全,FTP服务器软件,推荐使用proftpd proftpd的特点 a.高度可配置的ftp服务器 b.良好的安全性 c.很容易配置多个虚拟服务器和匿名服务器 d.匿名服务器的根目录不需要特殊的目录结构,执行文件,和库文件等。 e.没有SITE EXEC命令,FTP服务器安全,下载、编译和安装proftpd 1. /,当前版本1.2.5 2. proftpd的编译和安装,FTP服务器安全,Proftpd的访问控制功能,Allow和Deny. 举例: Order Allow,Deny Allow from 128.44.26.,128.44.26.,. Allow from /22 Deny from all 2. UseHostsAllowFile/UseHostsDenyFile 用/etc/hosts.allow , /etc/hosts.deny来作为允许/禁止的地址列表,FTP服务器安全,CommandBufferSize 用户输入命令允许的最大长度 2. MaxClients 允许的最大连接数 3. MaxClientsPerHost 每个客户允许的最大连接数 4. MaxInstances 允许的最大进程数,Proftpd预防拒绝服务攻击的选项,1. Quotas 磁盘空间配额 2. RateReadBPS/RateWriteBPS 上/下传的带宽限制 3. MaxLoginAttempts 登录尝试的次数限制 4. UseReverseDNS 使用反向域名解析,FTP服务器安全,Proftpd其它和安全有关的配置命令,DNS服务器安全,DNS服务器的安全问题?,Internet上最重要的服务之一 DNS与BIND BIND服务器软件存在不少远程溢出漏洞 BIND服务器软件存在不少拒绝服务漏洞,DNS服务器安全,使用BIND9提供的安全特性来确保服务器的安全,1. 限制查询 allow-query子句的语法: options allow-query 地址匹配列表 ; 例如: options allow-query 10.1.1/24;10.1.2/24 ;,DNS服务器安全,2. 防止未授权的区传送 对某个域的区传送的限制: zone “” type master; file “db.demo”; allow-transfer; ; 全局的区传送访问控制列表: options allow-transfer 10.1.1/24;10.1.2/24 ,3. 隐藏BIND的版本信息 在options可以自定义版本信息,例如: options version “unknow” ,DNS服务器安全,4. 以普通用户身份运行BIND 启动named时使用以下参数: -u 以该用户名或用户id来运行named, 例如 -u nobody -g 以该用户组或组id来运行named, 例如 -g nogroup,DNS服务器安全,Module 5: UNIX下常用安全工具介绍,1. rsh和rlogin 的替代品 2. 可以在不安全的网络上提供安全的加密通信,SSH,安全shell (ssh)的特点:,SSH,SSH 的下载和安装?,/pub/ssh,SSH,SSH 的用法以及常用选项,ssh l username hostname ssh usernamehostname ssh usernamehostname command,SSH,SSH 提供的其他工具,Sftp 安全ftp客户端 2. Scp 安全远程拷贝工具,以pop3服务为例说明,SSH,SSH 端口转发功能,pop3(110)端口,邮件客户端软件,客户端,服务器端,非加密连接,传统的POP3连接示意图,pop3(110)端口,客户端,服务器,通过ssh客户端转发的本地端口(7755),邮件客户端软件: foxmail,ssh服务端口(22),ssh客户端软件,加密连接,通过ssh端口转发的加密POP3连接示意图,SSH 端口转发功能的命令格式,ssh -l username -L 7755:1:110 1,SSH,1. Linux/UNIX一般自带 2. Windows 下可以使用SecureCRT,Putty等,SSH的客户端软件,vmware: cygwin: /cygwin/ SecureCRT: ,相关软件的下载地址,GPG简介,1. 用于e-mail和其它数据的加密安全通信 2. 加/解密文件 3. 数字签名的生成/验证 4. 兼容PGP 5. ,1. 多种方式进行端口扫描 2. 多种方式进行远程主机操作系统探测 3. /nmap/,Nmap简介,Md5sum简介,1. 计算文件的md5检校和 2. 验证文件的完整性 3 textutils(/gnu/textutils) cat,who,tail,head 等,lsof简介,1. 列出当前系统进程打开的文件 2. 列出打开文件与端口打开的情况等 3. /projects/lsof/,其他常用安全工具,Sudo (使用其他用户身份执行命令) Crack, john (破解密码) tcp_wrapper (hosts.allow,hosts.deny) Tripwire (检查文件完整性) Swatch (日志过滤工具),Module 6: 了解系统入侵,明显的特征 1) WEB站点主页面被删除或者被篡改 2) 文件突然被删除或者被修改 3) 系统速度突然变慢 4) 系统用户异常 5) 某些程序运行失败,如何知道系统已经被入侵,2.其他异常情况: 1) 网络流量出现异常 2) 用户登陆次数明显增多 3) netstat 看有不明连接或者不明端口 4) 日志文件内容、大小、日期异常 5) ps ax 列举有不明进程,入侵检查一般步骤和要求,在出现以上或者其他异常情况后,首先应该 使主机与网络断开,可能的话不使用已经被 入侵的系统启动. 检查系统日志(.bash_history,last等) 检查敏感的命令是否被改动(ls,ps,su等) 检查系统启动文件 检查入侵者留下的目录/文件 检查核心级的后门(module等) 检查是否已经成了入侵内网的跳板,检查系统日志,last,lastlog命令的输出 /var目录下的很多日志文件 messages文件 .bash_history文件,检查敏感的系统命令,检查文件内容和日期 手工用strings命令查看 利用系统本身提供的校验功能 和其他同样版本操作系统的可信主机对比,检查启动和配置脚本,检查/etc目录文件内容及日期 与同样版本的可信系统作对比,Find命令 find / -type d -name “.*” find / -type d name “ *” find / -perm -004000,检查入侵者留下的文件或目录,检查核心级后门,Linux系统的检查 FreeBSD系统的检查 Solaris系统的检查,检查是否已经成了入侵内网的跳板,检查是否已经成为跳板比较困难,运气好的话 可以在.bash_profile或者acct文件里面看到一 些日志记录. 检查入侵者遗留下来的程序或者文件是否有 提供包转发功能. 2.检查入侵者遗留下来的程序或者文件是否有 指定内网IP. 3.检查内网机器,看是否有何异常.,Module 7: Linux系统配置经验,关于分区,安装系统时就应该注意,如果用root分区纪录数据,如log文件和email,就可能因为拒绝服务产生大量日志或垃圾邮件,从而导致系统崩溃。所以建议为/var开辟单独的分区,用来存放日志和邮件,以避免root分区溢满。最好为特殊的应用程序单独开一个分区,特别是可以产生大量日志的程序,如为email开设/mail分区, 还有建议为/home单独分一个区,从而就避免了部分针对Linux分区溢满的恶意攻击。,关于BIOS,记着要在BIOS设置中设定一个BIOS密码,不接受软盘启动。这样可以阻止不怀好意的人用专门的启动盘启动你的Linux系统,并避免别人更改BIOS设置,如更改软盘启动设置或不弹出密码框直接启动服务器等等。,关于口令,口令严整是系统中认证用户的主要手段,系统安装时默认的口令最小长度通常为5,但为保证口令不易被猜测攻击,可增加口令的最小长度,至少等于8。为此,需修改文件/etc/login.defs中参数PASS_MIN_LEN(口令最小长度)。同时应限制口令使用时间,保证定期更换口令,建议修改参数PASS_MIN_DAYS(口令使用时间)。,关于Ping,没有人能ping通你的机器,你可以大大增强你的站点的安全性。你可以加下面的一行命令到/etc/rc.d/rc.local,以使每次启动后自动运行,这样就可以阻止你的系统响应任何从外部/内部来的ping请求。 echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all,关于Telnet,如果你希望用户用Telnet远程登录到你的服务器时不要显示操作系统和版本信息(可以避免有针对性的漏洞攻击),你应该改写/etc/inetd.conf中的一行象下面这样: telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -h 加-h标志在最后使得telnet后台不要显示系统信息,而仅仅显示login。,关于特权帐号,禁止所有默认的被操作系统本身启动的且不需要的帐号,当你第一次装上系统时就应该做此检查,Linux提供了各种帐号,你可能不需要,如果你不需要这个帐号,就移走它,你有的帐号越多,就越容易受到攻击。 删除你系统上的用户,用下面的命令:userdel username 删除你系统上的组用户帐号,用下面的命令:groupdel username 或者把passwd和shadow文件里的相关记录用#注释掉。,关于su,如果你不想任何人能够su为root的话,你应该编辑/etc/pam.d/su文件,加下面几行: auth sufficient /lib/security/pam_rootok.so debug auth required /lib/security/pam_wheel.s o group=isd 这意味着仅仅isd组的用户可以su作为root。,如果你希望用户admin能su作为root.就运行下面的命令: usermod -gisd admin,关于suid,suid程序也是非常危险的,这些程序被普通用户以euid=0(即root)的身份执行,只能有少量程序被设置为suid。用这个命令列出系统的suid二进制程序: find / -perm -4000 -print 你可以用chmod -s去掉一些不需要程序的suid 位。,关于账户注销,如果系统管理员在离开系统时忘了从root注销,系统应该能够自动从shell中注销。那么,你就需要设置一个特殊的 Linux 变量“tmout”,用以设定时间。 你可以修改/etc/profile文件,保证账户在一段时间没有操作后,自动从系统注销。 编辑文件/etc/profile,在“histfilesize=”行的下一行增加如下一行: tmout=600 则所有用户将在10分钟无操作后自动注销。注意:修改了该参数后,必须退出并重新登录root,更改才能生效。,关于系统文件,对于系统中的某些关键性文件如passwd、passwd.old、passwd._、shadow、shadow._、inetd.conf、services和lilo.conf等可修改其属性,防止意外修改和被普通用户查看。 如将inetd文件属性改为600: chmod 600 /etc/inetd.conf,关于系统文件,保证文件的属主为root,还可以将其设置为不能改变: # chattr +i /etc/inetd.conf 这样,对该文件的任何改变都将被禁止。 当然,我们可以用root重新设置复位标志后才能进行修改: # chattr -i /etc/inetd.conf,关于用户资源,对你的系统上所有的用户设置资源限制可以防止DoS类型攻击,如最大进程数,内存数量等。例如

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论