Unix系统安全管理.ppt

Unix系统安全 管理 内容简介 mUNIX/LINUX简介 mUnix安全问题分析 mUnix安全管理 Unix发展过程 mUnix是在麻省理工学院(MIT)在1965年开发的分时操作系统 Multics的基础上演变而来。 m1969年，在AT&T贝尔实验室，Thompson和Ritchie在其他的研究人 员协助下在PDP-7上开发了一个小的16位分时系统 m1971年，UNIX移植到PDP-11上，第一次得到实用。此时的系统全部 用汇编语言写成 m1973年用C语言重写UNIX核心，系统变得极为便于理解、修改和移 植 m1980年贝尔实验室推出UNIX32V，Berkeley在此基础上推出了 BSD4.0和 BSD4.1版本 ，从此Unix分为AT&T和Berkeley两条道路 m1988年成立了以 ATT和Sun等公司为代表的 UI(UNIX International)和以 DEC、IBM等公司为代表的 OSF(Open Software Foundation) 两个Unix标准化组织 Unix特点 m极强的可移植性 m可靠性强，可以每天24小时不间断运行 m一致的文件、设备和进程间的I/O m可装卸的树型分层结构文件系统 m多用户的分时操作系统，即不同的用户 分别在不同的终端上，进行交互式地操作 ，就好像各自单独占用主机一样。 Unix结构 硬件 核心 用户 Unix 系统基本知识（1） m超级用户 在Unix系统中有一个名为root的用户，这个用户在系统上拥有 最大的权限，即不需授权就可以对其他用户的文件、目录以及系统 文件进行任意操作。 $ su 然后输入passwd 可以得到# m文件属性 为保护每个用户的私人文件不受他人非法修改，系统为每个文 件和目录都设定了属性，如下所示： -rw-r-r- l root wheel 545 Apr 4 12:19 file1 r表示可读，w表示可写，x表示可执行。最前的-可以是d，表示 是子目录。这里可以读为644。可以用chmod命令改变文件属性。 Unix 系统基本知识（2） mShell Shell是用户和Unix系统内核之间的接口程序。在提示符下输 入的每个命令都由Shell先解释然后传给Unix内核。可以简单地认 为Shell就是Unix的命令解释器，相当于DOS中的COMMAND.COM。 m输入/输出重定向 重定向用于改变一个命令的输入/输出源。“”符号 用于把当前命令的输入/输出重走向为指定的文件。 如 cat passwd mypasswd，相当cp passwd mypasswd m管道 管道可以把一系列命令连接起来。这意味着第一个命令的输出 会通过管道传给第二个命令而作为第二个命令的输入，第二个命令 的输出又会作为第三个命令的输入，以此类推。如ls al |more. Linux发展过程 m1990年，芬兰赫尔辛基大学学生Linus Torvalds用汇编语言在80386保护模式下写的 Unix系统雏形，为Linux 0.0.1版本 m1991年10月，Linux v.0.0.2发布 m1993年，Linux 1.0诞生 mLinux加入GNU并遵循公共版权许可证(GPL)，大 大加强了GNU和Linux，出现了许多Linux发行版 ：Slackware、Redhat、Suse、TurboLinux、 OpenLinux等 Linux特点（1） m与Unix高度兼容 Linux是一种完全符合POSIX.l等国际标准 的操作系统，它和大部分商业Unix操作系统保 持高度的兼容性，几乎所有的Unix命令都可以 在Linux下使用。 m高度的稳定性和可靠性 Linux是一种完全32位的操作系统，具备完 善的多任务机制。 Linux特点（2） m完全开放源代码，价格低廉 Linux符合GNU通用公共版权协议，是自由软件，它 的源代码是完全开放的，可以免费得到，这对于系统安 全人员来说是非常重要的，因为阅读源代码是发现系统 漏洞的最主要方法。而且与各种商业操作系统相比， Linux发行版价格低廉，还可以免费获得其他版本的 Linux。 m安全可靠，绝无后门 由于源代码开放，用户不用担心Linux中会存在秘密 后门，而且任何错误都会被及时发现并修正，因此 Linux可以提供极高的安全性。 内容简介 mUNIX/LINUX简介 mUnix安全问题分析 mUnix安全管理 Unix安全问题环境变量（1） 程序员在编写具有一些特殊用户权限的 代码（如超级用户权限）时要用到许多技 术。本质上 ，要确保用户不能控制程序 执行的环境，而且所有返回的错误状态都 应给予适当的处理。这些技术也不仅限于 特权代码的编写，它更是良好的编程习惯 。这些技术包括初始化操作环境、检查所 有系统调用的返回码以及内部分析检查所 有的参数。 Unix安全问题环境变量（2） 输入域分隔符IFS 一种攻击的方法是通过输入域分隔符（IFS）Shell 变量得逞的。该变量用于决定传给Shell的字符串的分 隔符。例如一个程序调用函数system()或popen()来执 行一个命令，那么该命令首先由Shell来分析。如果执 行的用户可以控制IFS环境变量，这可能会导致不可预 测的结果。 典型的例子是：如果程序执行代码 system(“/bin/ls-l“),同时IFS变量被设置为包含“/” 的字符，而一个恶意的程序被命名为bin并放在用户的 PATH内，则该命令会被解释成bin ls-l,它执行程序bin 并带有两个参数ls和-l。因此一个程序不该用 system(),popen(),execlp()或execvp()函数来运行其 他程序。 Unix安全问题环境变量（3） HOME 另外一个环境攻击的方法是通过使用HOME环 境变量。通常，csh和ksh在路径名称中用字符 “”代替该变量。 因此，如果一个入侵者能 改变该值，就能利用一个使用字符“”作为 HOME命令的Shell文件业得逞。 例如，如果一个Shell文件用/.rhosts或 $HOME/.rhosts指向用户指定的文件，就有可能 通过在执行命令前重置HOME来搞破坏活动。 Unix安全问题环境变量（4） PATH 用PATH的攻击方法特征是利用PATH环境变量文件路径的值 和顺序。不合理的路径顺序会导致意外的结果如果执 行的命令不是以绝对路径方式执行。例如下面的PATH指定 方法： PATH=./:/usr/bin:/bin:/sbin。如果有人在当前路径，它 就会比/bin/ls的执行优先级高。如果该文件包括以下内容 ： #!/bin/sh (/bin/cp /bin/sh /tmp/.secret 2/dev/null rm -f $0 exec /bin/ls “$0“ 该段代码会暗中创建一个/bin/sh的拷贝，它在执行时会以执行 该文件的用户的身份被执行。此外，它消除证据，使用户在执行该 命令时感觉不到是在执行另外一个程序。 Unix安全问题环境变量（5） umask值 umask（默认的文件保护掩码）的设 置经常是不正确的。许多程序没有检查 umask 的值，而且经常忘记指定新建文件 的保护掩码值。即使该程序创建了一个文 件，也忘记改变其保护模式而使之安全。 入侵者可以利用这一点，更改可写的文件 。因此，在建立任何文件之前，要先建立 一个 umask 值。 Unix安全问题程序代码漏洞（1） 许多入侵者通过研究一些程序的源 代码而达到攻击目的。通常，这种源代码 可以免费下载得到，这使得许多人可以研 究它，并找到里面潜在的漏洞。这种攻击 方法在6年前还很少见，如今却非常普遍 。从某种意义上讲，这也是一种好事。因 为它促进一些软件错误的改正，也使一些 软件编程方法为人们所了解。 Unix安全问题程序代码漏洞（2） m缓冲区的溢出 不好的编程习惯也会导致软件的安全漏洞。 一个典型的利用该漏洞的例子是Morris蠕虫。 该漏洞是系统调用 gets()在执行时不检查参数 的长度，而 fgets()系统调用没有这个问题。 这使得在用户的控制下缓冲区会溢出，因此程 序会出现不可预测的结果。另外还有几个系统 调用也存在同样的漏洞，它们是： scanf(),sscanf(),fscanf()和sprintf() Unix安全问题程序代码漏洞（3） m状态返回值 另一个经常存在的漏洞是不检查每个 系统调用的返回值。这意味着入侵者如果 可以控制程序运行环境，就能调用一个失 败的系统，而调用在用户程序中却认为是 永远会正确招待的。这会使用户的程序出 现不确定的结果。 Unix安全问题程序代码漏洞（4） m捕捉信号 在很多情况下，程序员编写的程序不捕捉 它可以接收的信号，因此执行的结果会有异常 情况。这允许一个入侵者设置其umask为某个值 ，之后向一个特权（具有特殊用户权限）程序 发送一个信号该信号使特权程序产生core 文件（有的系统不允许产生core文件）。此时 该core文件的所有者是执行该程序的UID，但是 它的保护掩码是由umask设置的。 Unix安全问题特洛伊木马 特洛伊木马与一般用户想要执行的程序从外观上看 （如文件名）很相似，例如：编辑器、登录程序、或者 游戏程序。这种程序与一般用户想要执行的程序很相似 ，而它实际上完成其他操作（例如删除文件、窃取口令 和格式化磁盘等）。等用户发现，却为时已晚。 特洛伊木马可以出现在许多地方。它们可以出现在 被编译过程序中，也可以出现在由系统管理员执行的系 统命令文件中。其他的特洛伊木马包括作为消息（例如 电子邮件或发给终端的消息）的一部分发送。一些邮件 头(mail header)允许用户退到外壳(shell)并执行命令 ，该特性能在邮件被阅读的时候被激活。给终端发送特 定的消息能在终端上存储一个命令序列，然后该命令被 执行，就好象从键盘上敲入一样。编辑器初始化文件（ 如，vi对应的.exrc文件）也是经常存放特洛伊木马的 地方。 Unix安全问题网络监听和数据截取 计算机安全面临的一个威胁是计算机之间传输的数 据可以是很容易被截取到的。过去在大型主机时代，这 不是威胁，因为在这种系统上数据传输是处于系统控制 之下的。但由于异构系统互联，敏感数据的传输会处于 系统的控制之外。有许多现成的软件可以监视网络上传 输的数据。特别脆弱的是总线型网络（例如：以太网） ，这种网络上发送给每个特定机器的数据可以被网络通 路上的任何机器截取到。 这意味着任意数据可以被截取并用于不同的目的。 这里不仅仅包括敏感数据，还协议交换（例如登录顺序 ，包括口令）。数据截取并不一定要从网络本身截取。 通过在网络软件上或应用程序上安装特洛伊木马，就能 截取数据并保存到磁盘上以备后用。 Unix安全问题软件之间的相互作用和设置 本质上，计算机安全受威胁的根本原因是计算机系 统和运行的软件越来越复杂。任何一个人都不可能编写 整个系统，因此也无法预测系统内部每个部分之间的相 互作用。例如:/bin/login接收其他一些程序的非法参 数的问题。 除了系统内软件相互作用的复杂性，程序员也为系 统管理员提供了多种选择。配置系统是如此复杂，以至 于简单的配置错误可能导致不易觉察的安全问题。目前 有一种趋势，即用电子方法来检测攻破系统的能力 既从系统外部又从系统内部检测。但是，这种方法只能 检测已知安全问题，而不能测出新的安全问题。 内容简介 mUNIX/LINUX简介 mUnix安全问题分析 mUnix安全管理 Unix安全管理综述（1） mUnix系统的安全管理主要分为四个方面： （1）防止未授权存取：这是计算机安全最重要的问题 ，即未被授权使用系统的人进入系统。用户意识、良好 的口令管理(由系统管理员和用户双方配合)、登录活动 记录和报告、用户和网络活动的周期检查、这些都是防 止未授权存取的关键。 （2）防止泄密：这也是计算机安全的一个重要问题。 防止已授权或未授权的用户存取相互的重要信息。文件 系统查帐，su登录和报告，用户意识，加密都是防止泄 密的关键。 Unix安全管理综述（2） （3）防止用户拒绝系统的管理：这一方面的安全应由 操作系统来完成。一个系统不应被一个有意试图使用过 多资源的用户损害。不幸的是，UNIX不能很好地限制用 户对资源的使用，一个用户能够使用文件系统的整个磁 盘空间，而UNIX基本不能阻止用户这样做。系统管理员 最好用PS命令，记帐程序df和du 周期地检查系统。查 出过多占用CPU的进程和大量占用磁盘的文件。 （4）防止丢失系统的完整性：这一安全方面与一 个好系统管理员的实际工作(例如：周期地备份文件系 统，系统崩溃后运行fsck检查，修复文件系统，当有新 用户时，检测该用户是否可能使系统崩溃的软件)和保 持一个可靠的操作系统有关(即用户不能经常性地使系 统崩溃)。 防范缓冲区溢出 据统计，约90%的安全问题来自缓冲区溢出。攻击者通过写一个超 过缓冲区长度的字符串，然后植入到缓冲区，可能会出现两个结果 ，一是过长的字符串覆盖了相邻的存储单元，引起程序运行失败， 严重的可导致系统崩溃；另有一个结果就是利用这种漏洞可以执行 任意指令，甚至可以取得系统root特级权限。一些版本的Unix系统 （如Solaris 2.6和Solaris 7）具备把用户堆栈设成不可执行的功能， 以使这种攻击不能得逞。以下是让这个功能生效的步骤： 1）变成root 2）对/etc/system文件做个拷贝 cp /etc/system /etc/system.BACKUP 3）用编辑器编辑/etc/system文件 4）到文件的最后，插入以下几行： set noexec_user_stack=1 set noexec_user_stack_log=15 5）保存文件，退出编辑器后，重启机器，以使这些改变生效。可 能有些合法使用可执行堆栈的程序在做如上改变后不能正常运行， 不过这样的程序并不多。 Unix安全管理口令安全 m不要将口令写下来. m不要将口令存于终端功能键或MODEM的字 符串存储器中 m不要选取显而易见的信息作口令. m不要让别人知道. m不要交替使用两个口令. m不要在不同系统上使用同一口令. m不要让人看见自己在输入口令. Unix安全管理文件权限 文件属性决定了文件的被访问权限,即谁能 存取或执行该文件。文件许可权可用于防 止偶然性地重写或删除一个重要文件(即 使是属主自己)。改变文件的属主和组名 可用chown和chgrp,但修改后原属主和组 员就无法修改回来了。 Unix安全管理目录 m目录许可 在UNIX系统中,目录也是一个文件,用ls -l列出时 ,目录文件的属性前面带一个d,目录许可也类似于文件 许可,用ls列目录要有读许可,在目录中增删文件要有写 许可,进入目录或将该目录作路径分量时要有执行许可, 故要使用任一个文件,必须有该文件及找到该文件的路 径上所有目录分量的相应许可 .仅当要打开一个文件 时,文件的许可才开始起作用,而rm,mv只要有目录的搜 索和写许可,不需文件的许可,这一点应注意。 Unix安全管理用户权限（1） mumask命令 umask设置用户文件和目录的文件创 建缺省屏蔽值,若将此命令放入。profile 文件,就可控制该用户后续所建文件的存 取许可。umask命令与chmod命令的作用正 好相反,它告诉系统在创建文件时不给予 什么存取许可。 Unix安全管理用户权限（2） m设置用户ID和同组用户ID许可 户ID许可(SUID)设置和同组用户ID许可(SGID)可给予可执行的 目标文件(只有可执行文件才有意义) 当一个进程执行时就被赋于 4个编号,以标识该进程隶属于谁,分别为实际和有效的UID,实际和 有效的GID.有效的UID和GID一般和实际的UID和GID相同,有效的UID 和GID用于系统确定该进程对于文件的存取许可.而设置可执行文件 的SUID许可将改变上述情况,当设置了SUID时,进程的有效UID为该 可执行文件的所有者的有效UID,而不是执行该程序的用户的有效 UID,因此,由该程序创建的都有与该程序所有者相同的存取许可. 这样,程序的所有者将可通过程序的控制在有限的范围内向用户发 表不允许被公众访问的信息.同样,SGID是设置有效GID.用chmod u+s 文件名和chmod u-s文件名来设置和取消SUID设置. 用 chmod g+s 文件名和chmod g-s文件名来设置和取消SGID设置当 文件设置了SUID和SGID后chown和chgrp命令将全部取消这些许可. Unix安全管理网络配置安全（1） m关闭服务 关闭系统上的一些服务，最常见的服务是FTP和TELNET 。 FTP：用于文件传输，但是如果用户的系统只想从 别的机器上获取文件，就没有必要提供该项服务。可以从 /etc/inetd.conf文件中将对应的项注释掉（在该行的行首 加上“#”符号即可）。 TELNET：明显的安全威胁之一（建议用户使用 TCP_Wrapper来限制访问权限，提高该项服务的安全性）。 要确保只有真正需要的服务才被允许外部访问。 Unix安全管理网络配置安全（2） mr命令 r命令是由Berkley开发的一系列命令软件。由 于这些命令都是以“r”开头，因此统称为r命令（ 例如rlogin和rsh等等）。这些服务充满了漏洞。尽 量少的使用这些命令，这可以减少系统的口令暴露 在网络监听程序之下的可能性。如必须执行r命令， 建议用户针对特定的需求使用更安全版本的r命令。 Wietse Venema的logdaemon程序包含有更安全版本 的r命令守护进程。建议使用TCP_Wrapper来提高系 统的安全性，并能对系统的被访问情况做更完善的 记录。 Unix安全管理网络配置安全（3） m/etc/hosts.equiv文件 检查系统是否需要/etc/hosts.equiv文件。 这样的命令能从一个被信任的主机上不需口 令地访问系统。 如果不允许r命令服务或者不希望对其他系统 加以信任，则应该去掉该文件，即删除该文 件。如果该文件不存在，即使不小心允许了r 命令服务，也不会造成安全问题。 Unix安全管理网络配置安全（4） m/etc/netgroup文件 如果使用NIS（也称YP）或NIS+，一定要在该 文件中的每个netgroup中设置成只包含 usernames或只包含hostnames。所有的工具程 序都只分析该文件中的hosts或usernames，但 没有对这两个部分都做分析。使用独立的 netgroups会使记忆每个netgroup的功能变得 简单。配置这些额外的netgroups所付出的时 间与使系统置于不安全的状态相比，这个付出 还是值得的。 Unix安全管理网络配置安全（5） m$HOME/.rhosts文件 确保任何用户在他们的$HOME目录下都没有 .rhosts文件存在。这些文件比 /etc/hosts.equiv会造成更大的安全漏洞，因 为任何系统上的用户都可以创建该文件。 Unix安全管理网络配置安全（6） mNFS NFS是最重要的也是最脆弱的网络服务，因为它提 供了完全的对文件和目录的访问，安全漏洞在于难维护 性、控制的非精确性，以及没有用户验证机制。 任一台主机都可以做NFS服务器或者NFS客户，或 者二者兼而有之。 用户最常犯的错误只是简单的NFS设置错误，设置 有错误的NFS主机到处都是。 由于NFS对用户的认证非常简单，并且对NFS设置错 误的例子比比皆是。因此NFS对网络安全的危害是非常 巨大的。 Unix安全管理网络配置安全（7） 首先，对可以安装调出文件卷的主机没有限制，将 使得任何主机都可以安装，因此攻击者所在的主机也一 样可以安装它。即使没有其它权限，攻击者通过这一步 便已看到了系统的许多信息。 其次，没有明确地设置调出文件卷为只读，则调出 文件卷在客户端缺省为可读、可写。这时候攻击者便可 以增加，修改，删除或替换NFS服务器上的文件。需要 明确指出的是，调出文件卷缺省为可写。 Unix安全管理网络配置安全（8） 第三，许多主机常常将NFS服务器上的系统信箱和 用户主目录所在的目录调出。安装这些目录的用户(攻击 者)，只要具有文件属主的UID和GID，便可以阅读这些 文件。这只要攻击者在本机是超级用户，那么他便可以 用su命令变成任何普通用户，或者诸如bin这类的特殊用 户。 第四，有一些系统甚至将NFS服务器上的根目录调 出，这等于是将系统送到别人眼底，系统的一切秘密暴 露无疑。攻击者只需用命令“su bin”变成bin用户，或者 与root同组的用户，便可以替换系统一些启动时的文件 ，或者在/(root用户的主目录)，/bin(bin用户的主目录)下 增加一个.rhosts文件，系统已经为外来用户敞开了大门 。 Unix安全管理网络配置安全（9） 对NFS的攻击总是从showmount命令开始的，通过这一命令， 攻击者可以查明目标主机是否存在配置上的漏洞。NFS是网络攻击 最流行的方法之一。NFS服务的攻击示意如下： A机文件系统B机文件系统 bin usr etc bin usr etc File1 file2 file3 符号连接 Unix安全管理网络配置安全（10） 设置NFS时要注意的一些安全事项： u限制可安装调出文件卷的客户机及可安装的目录。 u如果可能，将文件系统以只读方式调出去。 u对调出的文件及目录设置为root所有。 u不要将服务器的可执行文件调出。 u不要将用户目录调出。 u使用安全的NFS。 u最后一点，最好不要使用NFS。 Unix安全管理网络配置安全（11） m/etc/hosts.lpd文件 确保该文件的第一个字符不是“-“。 确保该文件的访问权限被设置成600。 确保该文件的所有者被设置成root。 确保在该文件中不使用“!“或“#“符号。 这些符号在该文件中不表示注释 Unix安全管理网络配置安全(12) 安全的终端设置 确保从所有不需要root登录权限的记录中删除掉安 全选取项。此外，如果不希望其他用户能以单用户 的方式重新启动的话，还应该从console中删除掉安 全选项。 确保配置文件的所有者是root。 确保配置文件的访问权限被设置成644。 Unix安全管理网络配置安全(13) m网络服务安全 /etc/inetd.conf 文件 确保该文件的服务权限被设置为600。 确保该文件的所有者是root。 尽量过滤掉不真正需要的服务。 要完成这一点，建议在该文件对应行的第 一个字符前加上一个“#“符号。这样做的好处是， 如果以后要想恢复该项服务，只要去掉“#“符号即 可。最好去掉所有的r命令服务和tftp服务，因为 它们会造成系统明显的安全漏洞。 Unix安全管理网络配置安全(14) m/etc/services 文件 确保该文件的访问权限被设置成644。 确保该文件的所有者是root。 Unix安全管理网络配置安全(15) mportmapper 服务 为使系统更安全，应尽量去掉非必需的 、系统在启动时启动并在portmapper中 注册的服务程序。 Unix安全管理网络配置安全(16) mtftp服务 tftp 主要用于无盘工作站的启动。它 与 ftp 类似，但没有口令保护。因此如 果系统提供tftp服务，那么其他主机上 的所有用户都可以通过tftp获取本系统 上的文件。如非必需应关闭该服务。 Unix安全管理网络配置安全(17) mTCP-Wrapper 程序包 建议使用该程序包。 激活 PARANOID 方式。 考虑使用 RFC931 选项。 通过在 /etc/hosts.deny 文件中加入一行“all:all“， 来拒绝所有的主机访问，然后通过在 /etc/hosts.allow文件中加入信任的主机名称来显式地 列出允许访问的主机名称。 建议用户记录所有在 /etc/inetd.conf 文件中提供的 服务。 Unix安全检查(1) m审计 UNIX审计软件包可用作安全检查工具,除最后登录时 间的记录外,审计系统还能保存全天运行的所有进程的完整 记录,对于一个进程所存贮的信息包括 UID,命令名,进程开 始执行与结束的时间,CPU时间和实际消耗的时间,该进程是 否是root进程,这将有助于系统管理员了解系统中的用户在 干什么。 acctcom 命令可以列出一天的帐目表.有明,系统中有 多个记帐数据文件,记帐信息保存 在文件/usr/adm/pacct* 中,/usr/adm/pacct是当前记录文件,/usr/adm/pacctn 是 以前的记帐文件(n为整型数)。 Unix安全检查(2) mdu 报告在层次目录结构(当前工作目录或指定目录起) 中各目录占用的磁盘块数。可用于检查用户对文件系统